今日頭條
官方微信
官方抖音
資訊頻道★ 國能神福(石獅)發(fā)電有限公司 沈鐵志
★ 寧波和利時信息安全研究院有限公司 穆雷霆
★ 國能神福(石獅)發(fā)電有限公司 吳炳輝,郭玉姬
1引言
2019年5月13日正式發(fā)布的網(wǎng)絡(luò)安全等級保護(hù)系列標(biāo)準(zhǔn)將工業(yè)控制系統(tǒng)正式納入安全擴(kuò)展要求,并提出了嚴(yán)格的測評規(guī)范。工業(yè)控制系統(tǒng)廣泛應(yīng)用于能源、交通、先進(jìn)制造、公用設(shè)施等國計民生相關(guān)的重要領(lǐng)域,自2010年伊朗“震網(wǎng)病毒”開始,國際上已發(fā)生多起針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊,而電力能源更是安全事件頻發(fā)的重災(zāi)區(qū)。
在我國電力生產(chǎn)供應(yīng)中,超超臨界1000MW級大型火電機(jī)組承擔(dān)了大部分職責(zé),既是作為等保2.0三級系統(tǒng),也是關(guān)系到國家戰(zhàn)略安全的關(guān)鍵基礎(chǔ)設(shè)施,無疑是工業(yè)控制系統(tǒng)安全建設(shè)的重點(diǎn)對象。在大型火電等工業(yè)設(shè)施中,大型分布式控制系統(tǒng)(DCS)作為保障其運(yùn)行的核心管控系統(tǒng),具有高可靠性、強(qiáng)實(shí)時性、控制邏輯復(fù)雜和大規(guī)模系統(tǒng)部署等典型特點(diǎn),其安全防護(hù)建設(shè)尤具代表性。
工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比,保護(hù)對象不同,防護(hù)側(cè)重點(diǎn)也不同,主要體現(xiàn)在:工業(yè)控制系統(tǒng)由于連續(xù)生產(chǎn)的要求,系統(tǒng)和軟件實(shí)時更新困難,傳統(tǒng)防病毒和檢測手段難以保障安全;工業(yè)協(xié)議私有化程度高,通用技術(shù)兼容性差,設(shè)計時大都未考慮安全特性;工業(yè)控制系統(tǒng)嵌入式計算環(huán)境實(shí)時性要求高,但資源極其有限,難以增加復(fù)雜的安全防護(hù)功能。由于以上在功能和需求上的顯著差異,傳統(tǒng)的信息安全產(chǎn)品并不完全適用于工控系統(tǒng),同時,我國工控安全建設(shè)目前仍呈現(xiàn)風(fēng)險意識薄弱、安全認(rèn)知不足的局面,針對如何滿足等保2.0技術(shù)要求缺乏完善的設(shè)計思路和具備典型參考意義的工程案例。
本文基于國能神福(石獅)發(fā)電有限公司2×1050MW機(jī)組安全防護(hù)項(xiàng)目,介紹基于可信計算3.0技術(shù)的安全防護(hù)方案在火電超超臨界百萬千瓦機(jī)組DCS的應(yīng)用。該廠是國內(nèi)技術(shù)水平領(lǐng)先的百萬千瓦級超超臨界發(fā)電機(jī)組,是福建省“十一五”能源發(fā)展專項(xiàng)規(guī)劃和電力發(fā)展規(guī)劃確定的優(yōu)化發(fā)展煤電和熱電聯(lián)產(chǎn)大型電源點(diǎn),是“神華電站數(shù)字化建設(shè)解決方案”的標(biāo)桿項(xiàng)目。該廠采用國內(nèi)技術(shù)領(lǐng)先、應(yīng)用廣泛的和利時公司HOLLiAS-MACS大型分布式控制系統(tǒng),實(shí)現(xiàn)了DCS和DEH在百萬千瓦級機(jī)組的一體化應(yīng)用、實(shí)現(xiàn)了全廠智能儀表的現(xiàn)場總線互聯(lián)互通,在國內(nèi)大型電廠具有典型代表意義。
2火電百萬千瓦機(jī)組DCS面臨的網(wǎng)絡(luò)風(fēng)險分析
國內(nèi)大部分火電百萬千瓦機(jī)組DCS控制系統(tǒng),在建設(shè)時未考慮完善的網(wǎng)絡(luò)安全建設(shè),未部署其他網(wǎng)絡(luò)安全系統(tǒng)及設(shè)備,不能滿足國家網(wǎng)絡(luò)安全、電網(wǎng)公司二次防護(hù)要求。DCS網(wǎng)絡(luò)及設(shè)備安全防護(hù)能力不足,對網(wǎng)絡(luò)邊界缺少入侵檢測手段,對網(wǎng)絡(luò)流量缺乏分析手段,采用通用操作系統(tǒng)安全漏洞多,電腦主機(jī)防護(hù)能力不足,缺少統(tǒng)一安全管理機(jī)制。全廠DCS網(wǎng)絡(luò)安全性較差,存在安全隱患,極易因外部攻擊、內(nèi)部病毒入侵等造成分散控制系統(tǒng)故障、癱瘓等惡性事故。
隨著火電機(jī)組DCS系統(tǒng)開放性的增強(qiáng),且電廠SIS系統(tǒng)、生產(chǎn)管理系統(tǒng)及第三方系統(tǒng)存在網(wǎng)絡(luò)通信邊界,一旦某個網(wǎng)絡(luò)被病毒感染,容易蔓延到DCS網(wǎng)絡(luò),嚴(yán)重威脅系統(tǒng)運(yùn)行的安全,由此帶來了病毒以及網(wǎng)絡(luò)攻擊擴(kuò)散導(dǎo)致工控系統(tǒng)遭受影響的安全風(fēng)險。
在火電機(jī)組DCS控制系統(tǒng)中,大量使用的通信協(xié)議多為OPC、ModbusTCP等通用工控協(xié)議,以及各DCS廠家的私有工控協(xié)議,絕大多數(shù)工控協(xié)議在設(shè)計之初忽視了其安全設(shè)計,通訊雙方?jīng)]有有效的認(rèn)證與保密機(jī)制,容易受到中間人的竊聽和欺騙性攻擊,協(xié)議對畸形報文的識別能力弱,通信健壯性能力較弱。此外,現(xiàn)場未部署監(jiān)測審計設(shè)備和安全管理設(shè)備,缺少對生產(chǎn)網(wǎng)絡(luò)的實(shí)時安全監(jiān)控,無法及時發(fā)現(xiàn)系統(tǒng)中存在的異常流量和異常行為,也無法及時感知安全威脅并進(jìn)行告警。
火電機(jī)組DCS控制系統(tǒng)系統(tǒng)中上位機(jī)多采用如Windows或Linux等通用操作系統(tǒng),存在較多安全漏洞,其中很多漏洞會被黑客利用,成為黑客攻擊的目標(biāo)或跳板,工業(yè)領(lǐng)域軟/硬件更新、補(bǔ)丁升級、換代困難、漏洞不能得到及時修補(bǔ)且工控系統(tǒng)多存在防病毒系統(tǒng)缺失或更新不及時的問題,容易造成木馬病毒泛濫。
另外作為火電機(jī)組DCS控制系統(tǒng)重要組成部分的控制站設(shè)備,多經(jīng)過裁剪的實(shí)時操作系統(tǒng),近幾年披露的漏洞不斷增多,很多漏洞可以導(dǎo)致系統(tǒng)失去監(jiān)控,對控制安全影響極大。如果不能對DCS控制器本身的安全性提供有效的保障措施,僅靠外圍的安全措施無法從根本上保證DCS控制系統(tǒng)的整體安全。
3工控安全發(fā)展趨勢與可信計算防護(hù)模型
3.1工控網(wǎng)絡(luò)安全發(fā)展趨勢
近幾年工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件的發(fā)生頻率在全球范圍內(nèi)依然處于較高水平,能源、關(guān)鍵制造、公共健康、通信、政府設(shè)施、交通運(yùn)輸?shù)戎匾P(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)依然是信息安全事件高發(fā)的幾個領(lǐng)域。網(wǎng)絡(luò)攻擊嚴(yán)重威脅到了工業(yè)運(yùn)行安全、國民經(jīng)濟(jì)安全乃至國家戰(zhàn)略安全,對工業(yè)信息安全保障工作提出了新的任務(wù)和新的挑戰(zhàn)。
從工業(yè)控制系統(tǒng)安全防護(hù)手段來看,傳統(tǒng)的“封堵查殺”方式已經(jīng)過時,工控安全能力從“被動防范”為主轉(zhuǎn)向“安全可信、主動防御、威脅預(yù)知、融合各種信息快速檢測和響應(yīng)能力”的構(gòu)建,已經(jīng)成為當(dāng)下工控網(wǎng)絡(luò)安全建設(shè)的共識。其中,可信計算技術(shù)已成為工業(yè)安全防護(hù)利器,通過可信計算為工業(yè)控制系統(tǒng)提供主動免疫安全防護(hù)能力,形成內(nèi)生安全機(jī)制,可有效抵抗來自系統(tǒng)內(nèi)外部的網(wǎng)絡(luò)攻擊。
3.2基于可信計算的網(wǎng)絡(luò)安全防護(hù)模型
可信計算是指計算的同時進(jìn)行安全防護(hù),計算全程可測可控、不被干擾,使計算結(jié)果總是與預(yù)期一致。可信計算是一種特有的基于整體安全思想的主動防御技術(shù),隨著網(wǎng)絡(luò)空間安全技術(shù)變革而不斷地創(chuàng)新發(fā)展,其引領(lǐng)的整體安全架構(gòu)、主動免疫安全體系已經(jīng)成為網(wǎng)絡(luò)空間安全技術(shù)拼圖中不可或缺的一環(huán)。可信計算將以創(chuàng)新理論與技術(shù)同計算機(jī)體系結(jié)構(gòu)、操作系統(tǒng)安全、可信軟件深度融合,構(gòu)建更加有效、更加靈活的安全防護(hù)體系。
可信計算3.0提出了全新的可信計算體系框架,在網(wǎng)絡(luò)層面解決可信問題。在計算節(jié)點(diǎn)構(gòu)建一個“宿主——可信雙節(jié)點(diǎn)”的可信免疫架構(gòu),通過這種雙體系架的模式實(shí)現(xiàn)可信機(jī)制,相當(dāng)于為各種安全機(jī)制提供一個統(tǒng)一的、通用的可信平臺。這一平臺為系統(tǒng)中的安全機(jī)制提供了一個共同的基礎(chǔ),給安全機(jī)制提供統(tǒng)一的可信保障,同時也為各種安全機(jī)制動態(tài)連接、構(gòu)成縱深防御安全體系提供了支持。
在工控領(lǐng)域的可信應(yīng)用方面,國內(nèi)主流控制系統(tǒng)廠商如和利時已推出安全可信DCS控制系統(tǒng),實(shí)現(xiàn)可信計算技術(shù)在工業(yè)嵌入式領(lǐng)域的創(chuàng)新突破。安全可信DCS控制系統(tǒng)融合嵌入式可信計算、數(shù)字證書體系、深度協(xié)議控制等先進(jìn)技術(shù),采用雙體系嵌入式架構(gòu),以可信加密芯片為基礎(chǔ),實(shí)現(xiàn)了從可信根到上層應(yīng)用的完整性度量,包括靜態(tài)度量和動態(tài)度量,具備對內(nèi)核、應(yīng)用、數(shù)據(jù)、工業(yè)業(yè)務(wù)行為的度量控制和檢測審計能力。
隨著技術(shù)和生態(tài)的進(jìn)一步成熟,可信計算技術(shù)在工業(yè)安全防護(hù)領(lǐng)域的應(yīng)用將會由點(diǎn)到面鋪開,更加廣泛和普遍。
4基于可信計算的火電機(jī)組DCS系統(tǒng)安全防護(hù)方案
國能神福(石獅)發(fā)電有限公司2×1050MW機(jī)組DCS以控制系統(tǒng)內(nèi)生安全為核心、配合邊界安全措施,形成滿足等保2.0三級要求的信息安全防護(hù)完整體系。
核心控制系統(tǒng)采用安全可信DCS,內(nèi)部集成信息安全功能,支持與組態(tài)上位機(jī)的加密通信,協(xié)議棧經(jīng)過優(yōu)化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網(wǎng)絡(luò)自抵御能力;控制系統(tǒng)及上位機(jī)終端支持基于可信計算的可信度量,能夠?qū)崿F(xiàn)對內(nèi)核中可能存在的惡意代碼的加載和啟動度量,有效抑制內(nèi)嵌惡意代碼和代碼篡改的風(fēng)險。同時,采用集成網(wǎng)絡(luò)通信行為審計和控制邏輯業(yè)務(wù)行為審計的工業(yè)審計系統(tǒng)對控制系統(tǒng)內(nèi)部威脅進(jìn)行監(jiān)測。
邊界安全措施采用工業(yè)隔離設(shè)備、工業(yè)入侵檢測系統(tǒng)、工業(yè)交換機(jī)等防護(hù)設(shè)備抵御由外部發(fā)起的網(wǎng)絡(luò)攻擊。
通過區(qū)域邊界訪問控制、包過濾、安全數(shù)據(jù)擺渡、接入控制等技術(shù)措施,僅允許必要的可信網(wǎng)絡(luò)訪問,拒絕非可信訪問,構(gòu)建DCS系統(tǒng)與SIS系統(tǒng)之間以及DCS內(nèi)部區(qū)域之間的安全可信區(qū)域邊界。
對網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)攻擊和異常行為進(jìn)行監(jiān)視和審計,發(fā)現(xiàn)并記錄入侵滲透、違規(guī)操作過程,及時告警與應(yīng)急處理,形成安全可信的通信網(wǎng)絡(luò)環(huán)境;對通信數(shù)據(jù)通過加密等方式,實(shí)現(xiàn)通信雙方的身份鑒別,并保證傳輸數(shù)據(jù)的完整性和機(jī)密性,從而實(shí)現(xiàn)安全可信的通信鏈路。
通過可信度量、身份認(rèn)證、訪問控制、數(shù)據(jù)保護(hù)等技術(shù)措施,建立安全可信計算環(huán)境,保證DCS系統(tǒng)計算環(huán)境的安全。通過在控制系統(tǒng)上位機(jī)加裝基于可信計算和主機(jī)白名單的可信終端防護(hù)系統(tǒng)對主機(jī)終端進(jìn)行安全加固,實(shí)現(xiàn)終端的病毒和安全防護(hù)。控制器采用可信DCS,內(nèi)部集成信息安全功能和可信計算能力。
建立安全可信管理中心,通過部署工業(yè)安全可信管理平臺,實(shí)現(xiàn)工業(yè)安全信息的集中采集、存儲、展示、分析、預(yù)警,全局安全可信策略的統(tǒng)一配置、下發(fā)和管理以及安全設(shè)備的統(tǒng)一管控。
5安全方案創(chuàng)新性
本項(xiàng)目方案結(jié)合基于可信計算的主動防護(hù)與邊界防護(hù)構(gòu)成內(nèi)外貫穿的綜合防護(hù)體系,在滿足網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)的同時,最大化提升工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力,具備良好的技術(shù)創(chuàng)新和應(yīng)用示范效應(yīng)。
(1)基于可信計算的自主免疫內(nèi)生安全體系方案
針對火電百萬機(jī)組DCS系統(tǒng)安全防護(hù)全面應(yīng)用了可信計算技術(shù)體系,打破傳統(tǒng)以邊界防護(hù)為主體的網(wǎng)絡(luò)安全防護(hù)理念,構(gòu)建了基于控制系統(tǒng)本身的內(nèi)生主動防護(hù)體系。
在傳統(tǒng)信息防護(hù)手段基礎(chǔ)上,設(shè)計并應(yīng)用了適用于工業(yè)控制場景的可信計算技術(shù),通過控制系統(tǒng)可信計算體系,增強(qiáng)控制系統(tǒng)的內(nèi)生安全防護(hù)能力。構(gòu)建基于在可信計算安全策略的指導(dǎo)下,針對工業(yè)控制網(wǎng)絡(luò)的實(shí)時控制行為和業(yè)務(wù)流程作業(yè),實(shí)現(xiàn)貫穿設(shè)計、運(yùn)行、服務(wù)全生命周期的防御、檢測、響應(yīng)、預(yù)測的主動安全防御循環(huán)技術(shù)體系(TDDRP)。
(2)基于可信計算的控制安全一體化業(yè)務(wù)行為監(jiān)測
在實(shí)際的工控環(huán)境中,通常缺乏針對工業(yè)控制系統(tǒng)的安全監(jiān)測及配置變更管理,導(dǎo)致安全事故的分析難以進(jìn)行。目前國內(nèi)工業(yè)控制系統(tǒng),在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為主要安全風(fēng)險。本方案基于安全可信策略的應(yīng)用,對生產(chǎn)網(wǎng)絡(luò)的訪問行為、特定控制協(xié)議內(nèi)容的真實(shí)性、完整性進(jìn)行監(jiān)控、管理與審計。依托DCS廠家在工業(yè)控制系統(tǒng)專用網(wǎng)絡(luò)和通信的技術(shù)積累,將傳統(tǒng)邊界防護(hù)解決方案與控制系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)特點(diǎn)有機(jī)融合,形成對控制邏輯和控制網(wǎng)絡(luò)數(shù)據(jù)有效監(jiān)管和防護(hù)的一體化監(jiān)測方案,實(shí)現(xiàn)安全中有控制、控制中有安全。
(3)基于可信計算的工控強(qiáng)制訪問控制防護(hù)模型
針對工控系統(tǒng)的特殊性,傳統(tǒng)的信息防護(hù)手段不能完全滿足工業(yè)信息安全的需求。因此,在傳統(tǒng)邊界防護(hù)的信息防護(hù)手段基礎(chǔ)上,設(shè)計并應(yīng)用了適用于工業(yè)控制場景的可信計算技術(shù),通過控制系統(tǒng)內(nèi)嵌可信計算體系,增強(qiáng)控制系統(tǒng)自身的防護(hù)能力,通過嵌入式防護(hù)技術(shù)的集成,控制系統(tǒng)能夠?qū)討B(tài)和運(yùn)行態(tài)的惡意代碼和內(nèi)核變化進(jìn)行主動檢測和可信度量,進(jìn)一步發(fā)現(xiàn)存在的威脅和隱患。同時在可信計算技術(shù)的基礎(chǔ)上結(jié)合強(qiáng)制訪問控制技術(shù),對工控系統(tǒng)中操作系統(tǒng)和邏輯行為所涉及的關(guān)鍵主、客體增加安全標(biāo)記,通過建立適用于工業(yè)控制邏輯業(yè)務(wù)需求的強(qiáng)制訪問控制模型,保證控制過程中關(guān)鍵的訪問行為均在可控范圍之內(nèi)進(jìn)行。通過建立應(yīng)用于工業(yè)場景的強(qiáng)制訪問控制機(jī)制,有效避免越權(quán)操作,進(jìn)而保障控制系統(tǒng)的安全可控。可信計算和強(qiáng)制訪問控制的結(jié)合,使工業(yè)系統(tǒng)的信息安全防護(hù)不只是依賴外圍的邊界防護(hù)設(shè)備,當(dāng)發(fā)生由內(nèi)爆發(fā)的、或外部突破進(jìn)入的威脅時,控制系統(tǒng)有足夠的自保或應(yīng)對能力。
6方案推廣價值
項(xiàng)目方案在控制系統(tǒng)規(guī)模和復(fù)雜度上具備良好的示范效果,通過該項(xiàng)目的信息安全建設(shè)能實(shí)現(xiàn)以下目標(biāo):
(1)滿足等保2.0要求的大規(guī)模工業(yè)現(xiàn)場應(yīng)用與方案推廣
通過選擇以大型分布式控制系統(tǒng)為核心中樞的百萬千瓦級超超臨界火電機(jī)組開展信息安全設(shè)計和實(shí)施,填補(bǔ)了新標(biāo)準(zhǔn)在實(shí)際工業(yè)領(lǐng)域工程項(xiàng)目應(yīng)用的空白,通過該項(xiàng)目可對新標(biāo)準(zhǔn)技術(shù)要求進(jìn)行合理有效的驗(yàn)證。該示范項(xiàng)目通過工業(yè)控制領(lǐng)域?qū)<遗c安全測評領(lǐng)域?qū)<业慕Y(jié)合能夠進(jìn)一步完善等保2.0工業(yè)控制系統(tǒng)安全技術(shù)體系、管理體系和測評體系建設(shè),對后續(xù)開展全國范圍的工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全等級保護(hù)評估和建設(shè)具有良好的推廣和示范意義,能夠有力地推動網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)在工業(yè)領(lǐng)域的全面推廣和實(shí)行。
(2)基于可信計算的主動防護(hù)技術(shù)在工控領(lǐng)域的應(yīng)用推廣
示范項(xiàng)目采用基于可信計算的主動防護(hù)與邊界防護(hù)有機(jī)結(jié)合的綜合防護(hù)技術(shù)體系,將可信計算技術(shù)集成到工業(yè)控制器中,使網(wǎng)絡(luò)安全能力相對脆弱的控制系統(tǒng)內(nèi)部具備內(nèi)生安全能力,同時對傳統(tǒng)的安全審計設(shè)備增加控制邏輯和業(yè)務(wù)行為審計的功能,進(jìn)而打破控制行為和網(wǎng)絡(luò)行為的防護(hù)壁壘,能夠?qū)崿F(xiàn)對內(nèi)部和外部不同層面爆發(fā)的網(wǎng)絡(luò)威脅的核心抵御能力。創(chuàng)新性的技術(shù)應(yīng)用和防護(hù)體系建設(shè)帶來的良好防護(hù)能力將有助于為當(dāng)前模糊的工業(yè)安全產(chǎn)品和技術(shù)發(fā)展方向提供正確指引,同時對完善和建設(shè)真正適用于工業(yè)控制系統(tǒng)的安全防護(hù)技術(shù)和產(chǎn)品體系形態(tài)能夠提供有力的工程應(yīng)用支撐。
(3)結(jié)合流程行業(yè)共性特點(diǎn)的普適性應(yīng)用模板
示范項(xiàng)目選取具備典型工業(yè)特點(diǎn)的百萬千瓦級火電機(jī)組,同時全廠采用現(xiàn)場總線技術(shù)實(shí)現(xiàn)智能儀表互聯(lián)互通,具備流程行業(yè)工控系統(tǒng)的共性特點(diǎn)。
基于以上基礎(chǔ)設(shè)計和建設(shè)的工業(yè)信息安全解決方案,適用于工控現(xiàn)場同時覆蓋流程行業(yè)全工藝環(huán)節(jié)的綜合安全防護(hù)工程應(yīng)用模板,解決了主動安全技術(shù)與流程行業(yè)工控系統(tǒng)實(shí)施應(yīng)用的適應(yīng)性難題。
作者簡介:
沈鐵志(1975-),男,黑龍江哈爾濱人,高級工程師,碩士,現(xiàn)就職于國能神福(石獅)發(fā)電有限公司,研究方向?yàn)樽詣踊?/span>
穆雷霆(1981-),男,安徽宿州人,工程師,碩士,現(xiàn)就職于寧波和利時信息安全研究院有限公司,研究方向?yàn)楣I(yè)自動化與網(wǎng)絡(luò)安全。
吳炳輝(1987-),男,福建莆田人,工程師,學(xué)士,現(xiàn)就職于國能神福(石獅)發(fā)電有限公司,研究方向?yàn)橥ㄐ殴こ獭?/span>
郭玉姬(1990-),女,湖南益陽人,工程師,學(xué)士,現(xiàn)就職于國能神福(石獅)發(fā)電有限公司,研究方向?yàn)樽詣踊?/span>。
摘自《自動化博覽》2022年8月刊
北京市公安局海淀分局備案號:11010802023656號