今日頭條
官方微信
官方抖音
資訊頻道
1 引言
隨著熱工自動化技術的不斷發展,工業以太網在控制網絡的不斷普及和應用,火力發電廠的主控系統與輔助車間的控制已脫離每個系統采用獨立控制的模式,而采用實時數據庫對控制系統的生產數據進行集中采集并進行存儲。信息化在電廠控制網絡的應用有效地提高了生產效率、降低發電生產成本、提升控制水平,但也使控制系統的信息安全面臨更大的威脅和挑戰,主控系統及輔控網絡的縱深防御體系亟待建立和完善。
2 電廠信息安全現狀分析
目前電廠的輔控網絡建設主要分為兩種拓撲結構,一種是樹形網絡,設置兩層控制網。上層網絡為輔助車間集中監控網(輔控網),下層為水網、煤網、灰網、脫硫四個車間級控制主干網,其他子系統直接連接輔控網;水網的鍋爐補給水處理系統、凝結水精處理系統、工業廢水程控系統、生活污水程控系統等集中連接至水網上層網絡,再連接至輔控網絡;輔控網絡內設有兩臺熱備的數據服務器,采集PLC的數據和現場儀表的數據,存儲和管理數據庫;多臺操作員站對輔控網絡下的各底層程控系統進行集中監控。另一種是雙星型結構,主要由兩臺輔控網絡核心交換機和2N個終端子交換機組成(N代表輔助車間的數量)。這樣的網絡結構使通訊線路分為A、B兩個鏈路,兩個鏈路互為熱備用,相互獨立互不影響。各外圍的輔助控制系統均直接連至輔控網絡核心交換機,包括除灰控制系統、除渣控制系統、電除塵控制系統、脫硫控制系統、凝結水精處理及化學加藥取樣控制系統、空調制冷控制系統、空壓機控制系統、鍋爐補給水處理系統、化學水處理預脫鹽系統、制氫站、循環水加藥處理系統、工業廢水處理系統、輸煤控制系統等,由集中監控室進行集中監控。
電廠主控車間、輔控網絡等的集中監控大大提高了控制系統的運維效率,也大大節約了人力成本,但同時也使得一個車間或節點的信息安全威脅對整個控制網絡的安全造成影響。早期電廠的控制系統鮮有信息安全事件出現,目前隨著信息化的大力發展以及國際形勢的錯綜變化,電廠等國家基礎性能源企業的控制系統的信息安全事件頻繁發生。國內已經有多家火力發電廠出現輔控網絡計算機和服務器感染病毒或者網絡風暴等網絡問題造成控制系統出現故障的情況發生。
3 行業政策導向
面對電力行業工業信息安全的嚴峻形勢,國家各部委紛紛出臺相關政策和措施推動電力行業信息安全防護的發展,尤以2014年12月發布的國標GB/T 30976.1-2014《工業控制系統信息安全第1部分:評估規范》,GB/T 30976.2-2014《工業控制系統信息安全第2部分:驗收規范》,國家發改委2014年第14號令《電力監控系統安全防護規定》,國家能源局2015年第36號令《國家能源局關于印發電力監控系統安全防護總結方案等安全防護方案和評估規范的通知》等對行業信息安全的發展提出了指導性意見。國家能源局2015年36號文件附件4《發電廠監控系統安全防護方案》對火力發電企業的信息安全防護方案作了指導性意見,主要總結為以下幾點:
(1)生產控制大區與管理信息大區之間通信應當部署電力專用橫向單向安全隔離裝置。
(2)控制區與非控制區之間應當采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻或者相當功能的設備,實現邏輯隔離、報文過濾、訪問控制等功能。
(3)控制區內的各機組監控系統之間、機組監控系統與控制系統之間、同一機組的不同功能的監控系統之間,尤其是機組監控系統與輸變電部分控制系統之間,根據需要可以采取一定強度的邏輯訪問控制措施,如防火墻、VLAN等。
(4)如果發電廠生產控制大區中的業務系統與環保、安全等政府部門進行數據傳輸,其邊界防護采用防火墻、VPN和租用專線等方式。
(5)發電廠廠級監控系統等關鍵應用系統的主服務器,以及網絡邊界處的通信網關機、Web服務器等,應當采用安全加固的操作系統。加固方式包括:安全配置、安全補丁、采用專業軟件強化操作系統訪問控制能力以及配置安全的應用程序。
4 基于縱深防御的電廠安全解決方案
依據國家能源局2015年36號文件的指示意見,青島海天煒業自動化控制系統有限公司結合多年投身工業控制系統信息安全防護的經驗和項目應用情況,總結出一套針對火力發電廠控制系統安全防護的解決方案。網絡拓撲防護簡單示意圖如圖1所示。
圖1 網絡拓撲防護簡單示意圖
(1)單向隔離。在實時監控信息系統與辦公網絡的接口部署電力專用單向隔離網閘,控制數據只能由SIS網絡流向MIS網絡,有效防止因特網的病毒侵入至電廠生產網絡,這一防護手段已在業內得到廣泛認可和應用。
(2)網絡安全。在各電子設備交換機之間與輔控網絡核心交換機之間,歷史數據站與實時數據庫之間部署Guard工業防火墻,實現各控制系統之間、SIS網絡與控制系統之間的安全隔離,利用“白名單”防護機制和實時報警來實現主動防御來自上層信息網絡的攻擊,有效控制ARP攻擊,網絡異常流量以及網絡廣播對控制網絡造成的影響。
(3)終端防護。在集中監控室的操作員站,數據冗余服務器,各設備間的操作員站上部署Intrust可信計算安全平臺及客戶端,有效地對Windows XP系統停服后操作員的系統漏洞進行防護,在系統級對USB傳輸介質進行識別和管控,在芯片級依賴可信計算技術對操作員站等PC終端進行主機加固和防護,有效防止計算機后門程序、木馬、病毒、數據掃描、秘鑰數據塊攻擊以及黑客攻擊等多元化的風險和信息安全威脅。
(4)安全審計。工控安全管理平臺SMP是專門針對工控網絡行為審計記錄的智能分析管理軟件,具備強大的審計日志存儲查詢功能。可以對海量的審計數據進行實時監控和網絡行為態勢分析,使系統安全運維人員能夠通過實時日志展示畫面隨時監控正在發生的不同級別審計日志和報警信息,也可以通過安全管理平臺的條件查詢、統計、篩選、圖表展示和態勢分析算法模型等強大的功能迅速判斷,得出網絡健康狀況,最終自動獲得詳細的統計分析報告和事件處置方式建議,實現系統安全運維管理的實時性、完整性、自動化、智能化。
5 結語
本文以縱深防御的防護理念為核心,結合國家能源局關于電廠信息安全的指導文件以及我公司在電廠安全防護的項目經驗,推出一套基于單向隔離網閘、可信計算、Guard工業防火墻、SMP安全管理平臺的縱深防御的解決方案,實現了發電廠工業控制系統信息安全的縱深防御,能切實有效地保護工控系統遠離木馬、蠕蟲、黑客等各種威脅和攻擊,保障企業生產安全穩定運行。
作者簡介
向人鵬(1991-),男,工程師,畢業于青島科技大學計算機科學與技術專業,現就職于青島海天煒業自動化控制系統有限公司,主要從事工業信息安全研究與實施,積累了豐富的工業信息安全項目施工經驗,參與了電力二次防護、石油石化過程控制信息安全、管道遠程調度安全等多個行業相關信息安全項目解決方案的制定與實施。
北京市公安局海淀分局備案號:11010802023656號