今日頭條
官方微信
官方抖音
資訊頻道在信息技術和互聯網高速發展的 21 世紀,信息安全正深入各個領域,工業基礎設施已成為信息安全的新戰場。工業控制系統作為國家關鍵基礎設施的重要組成部分,直接關系到國家的戰略安全和政治穩定。電力行業發展較早,建設較好,但依然存在機組核心部件及控制系統主要由外國廠商提供和運維的基本現狀。同時近年來,帶有政治色彩并對被攻擊對象造成特別嚴重后果的網絡攻擊越來越頻繁:2010 年“震網” 病毒控 制 伊 朗 核 電 站 離 心 機 轉 速 導 致 離 心 機 損 壞 ; 2016 年BlackEnergy3 惡意軟件感染并控制烏克蘭變電站造成大面積停電。在此大環境下,國家關鍵基礎設施行業從企業層面、行業層面、部門層面、國家層面上研究和實踐工業控制系統安全運行以推動建立安全防護體系顯得很重要也很迫切。
一、相關概念
(1)工業控制系統
工業控制系統簡稱工控系統,是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。其核心組件包括數據采集與監控系統、分布式控制系統、可編程控制器、遠程終端、人機交互界面設備,以及確保各組件通信的接口技術。
(2)分散控制系統
分散控制系統[3]簡稱 DCS (Distributed Control System),是由過程控制級和過程監控級組成的以通信網絡為紐帶的多計算機系統,綜合了計算機、通信、顯示和控制等 4C 技術,其基本思想是分散控制、集中操作、分級管理、配置靈活、組態方便。
(3)安全模塊 S612
S612 屬于西門子工業部 SCALANCE S 通信產品,用于 VPN(Virtual Private Network)通道安全防護。案例電廠基建期安裝此模塊的目的是便于西門子工程師遠程診斷。
(4)工業防火墻
工控防火墻與傳統防火墻相比,支持 Modbus TCP、OPC(OLE for Process Control)、IEC 60870-5-104、IEC 61850、 Siemens S7 等多種工業協議。且工控防火墻具備工控協議指令級“4S”深度防護技術和業務連續性保障技術,支持多種訪問控制規則、協議深度分析、VPN、流量控制、安全審計等安全防護功能,具備 Dos、ARP(Address Resolution Protocol)攻擊防護和自身訪問控制功能,可有效保障自身和工控網絡的雙重安全。
二、項目背景
本文對某燃機發電廠分散控制系統安全加固[4]研究與實踐進行全過程的分析,案例電廠采用西門子 SGT5-4000F(4)型燃氣輪發電機組,分散控制系統采用 SPPA-T3000,系統運行物理環境包括網絡設備、網絡安全設備、服務器、接口機、操作員站、打印機均由機組廠家全套提供。案例電廠分散控制系統由#1 機組、#2 機組、公用部分、化水部分四個相對獨立的子系統組成。分散控制系統架構如圖 1 所示。
三、安全加固實踐依據
2016 年 , 案 例 電 廠 完 成 SIS(Supervisory InformationSystem)系統改造后發現#2 機組 SIS 系統測點頻繁出現斷點故障,經信息專業和儀控專業逐步排查定位故障節點#2 機組分散控制系統接口機出口處安全模塊 S612,安裝位置在工程師站#2 機組屏柜。在對 S612 進行消缺過程中,信息安全專職提出根據《發電廠監控系統安全防護方案》條款 4.1.3 系統間安全防護(發電廠內同屬于安全區 I 的各機組監控系統之間、機組監控系統與控制系統之間、同一機組的不同功能的監控系統之間,尤其是機組監控系統與輸變電部分控制系統之間,根據需要可以采取一定強度的邏輯訪問控制措施,如防火墻、VLAN 等)和《工業控制系統信息安全防護指南》相關條款要求,建議拆除 S612 并在單元機組之間部署工業級防火墻 。
四、安全加固實現過程
4.1 機組運行方式
案例電廠是以天然氣為發電原料的調峰機組,全年利用小時數比較低,在一年中的大數時間處于調停狀態,且兩臺機組同時上網的概率小,這為安全加固前期調研、基礎收據收集、改造方式選擇、改造效果試驗對比提供了相對寬松的外部條件。
4.2 實現保障
案例電廠從社會效益和安全效益兩方面分析本次分散控制系統安全加固的必要性后明確目標和周期,從案例電廠最高層面成立專項工作組,保障安全加固工作的技術力量和資金投入。
4.3 系統學習
鑒于案例電廠分散控制系統四個子系統之間相對獨立、系統架構一致。本章節所有內容以案例電廠#2 機組分散控制系統為例來對安全加固實現過程進行詳細地記錄和分析。
案例電廠分散控制系統的硬件設備和軟件均采用進口產品,相關專業自身對系統本身只停留在簡單使用層面。針對硬件升級、補丁更新、漏洞掃描修復、系統查毒殺毒等常規安全行為不能自行開展;對系統內部數據包、數據流向、通信協議、通訊端口等數據安全不能有效控制,系統涉及的維護、升級、改造都依托設備和系統廠家。
依據重要信息系統建設和改造“三同步”0 原則,保證分散控制系統的持續運行和安全性,必須要求對系統有一個全面深入認識。案例電廠通過三個方面工作實現對系統的全新認識:
(1)邀請廠家系統工程師、網絡工程師到現場進行技術指導,組織專業對分散控制系統網絡拓撲、硬件功能、策略配置、軟件運行進行全面學習;
(2)通過電話技術支持咨詢西門子能源部、發電部、工業部工程師,從一個更加廣義的角度尋找工控系統的有效解決方案;
(3)在此基礎上,案例電廠組織技術骨干模擬機組運行環境,利用外部條件優勢開展不同機組間的橫向對比測試和同一機組的縱向對比測試。
4.4 設備部署
通過對現場的實地勘察,工程師站溫度和濕度能夠控制在B 級機房標準,機柜空間緊湊,案例電廠選用機架式工業防火墻,機架式是網絡安全設備常見的一種安裝方式,通過螺絲固定在機柜上,設備使用和維護方便。
案例電廠工業防火墻部署模式采用重要系統、設備的隔離與防護[7]。工控防火墻以透明或路由模式部署于控制網絡與控制設備之間,實現對重要設備的安全防護。啟用應用層安全防護策略,通過“四維一體”安全防護技術以及“白名單”機制,對來自控制網絡的工控指令“數據完整性” 、“功能碼” 、“地址范圍”和“工藝參數范圍”進行深度解析和過濾,及時發現可疑指令和惡意數據。啟用網絡層安全防護策略,對 PLC 等控制設備進行訪問控制,只允許有權限的終端對其進行修改或訪問。同時結合“工控業務連續性保障方法”技術在不影響工控業務連續性的基礎上阻斷異常指令、告警可疑操作、隔離威脅數據,保障關鍵設備運行安全。
4.5 系統原接線和數據流
(1)系統接線:SIEMENS OPC 接口機電口 P2 上聯進口防火墻模塊 S612 電口 P2 口, S612 電口 P1 口上聯交換機模塊X108 電口 P7 口,X108 電口 P1 口上聯 SIS 系統。
(2)系統數據流:源數據由 SIEMENS OPC Server 經SIEMENS OPC Interface、進口防火墻模塊 S612、模塊 X108、傳統防火墻到達 SIS OPC Client。OPC Server 到 OPC Client 之間采用 MatrikonOPC Tunneller 代替 DCOM 進行通信,以解決DCOM[8]使用眾多端口和合理配置防火墻困難大的問題。機組DCS 原接線和數據流如圖 2 所示。
4.6 系統測試階段接線和數據流
(1)系統接線:SIEMENS OPC 接口機電口 P2 上聯交換機模塊 X108 電口 P7 口,X108 電口 P1 口上聯 SIS 系統。
(2)系統數據流:數據源由 SIEMENS OPC Server 經SIEMENS OPC Interface、模塊 X108、傳統防火墻到達 SIS OPCClient。OPC Server 到 OPC Client 之間采用 DCOM 進行通信。機組 DCS 測試階段接線和數據流如圖 3 所示。
4.7 系統加固后接線和數據流
(1)SIEMENS OPC Server 上聯交換機模塊 X202 電口 P2口,X202 電口 P3 口上聯工業防火墻電口,防火墻電口上聯SIEMENS OPC 接口機電口 P2,OPC 接口機電口 P2 上聯交換機模塊 X108 電口 P7 口,X108 電口 P1 口上聯 SIS 系統。
(2)數據源由 SIEMENS OPC Server 經模塊 X202、工業防火墻、SIEMENS OPC Interface、模塊 X108、傳統防火墻到達 SIS OPC Client。OPC Server 到 OPC Client 之間采用DCOM 進行通信。機組 DCS 加固后接線和數據流如圖 4 所示。
五、成果
案例電廠積極應對國內電力行業中工業控制系統國外產品占絕對比例帶來的安全問題和潛在風險,使工業防火墻技術真正在工控系統中落地,以點帶面找準定位,從被動防御逐步轉化為主動防護,建立并不斷完善電廠工業控制系統安全防護體系。更重要的是為同情況機組和新建機組工控系統的選型、建設、安全防護提供了有實際意義的參考。
就案例電廠本次分散控制系統安全加固工作從短期來看,存在一定的技術困難并且缺乏資金投入,但從長期來看工控系統防火墻國產化和工業級防護是必然趨勢,同時也為后期的設備更新、修理、保養、維護及安全性、合規性帶來優勢。
案例電廠通過工業防火墻的部署,利用其具備的工控協議 指令級“四維一體”深度防護技術,同時結合工控業務連續性保障技術和“白名單”機制,可對工業控制網絡“協議完整性”、“功能碼”、“地址范圍”和“工藝參數范圍”進行深度解析,在不影響工控業務連續性的基礎上阻斷異常指令、告警可疑操作、隔離威脅數據,保障分散控制系統安全、可靠運行 。
本次案例電廠的防護體系設計,在一定程度上規避了大量的工控網絡內部的非法訪問,有效隔離了分散控制系統不同機組單元之間和與生產區其他系統之間的訪問,保障了分散控制系統運行的可靠性、穩定性及安全性。
然而,工控系統的穩定性及安全性,僅僅通過防火墻的安全防護顯然是不夠的,正如傳統網絡當中防火墻所起的作用一樣,其防護的本質還是通過端口、協議進行識別和防護,一旦病毒或者攻擊通過正常的端口或者使用正常的協議進行傳播,工控防火墻的防護效果就會被大打折扣,此時需要通過其他防護手段,如主機加固、工業流量審計等手段進行全方位、立體化、可視化進行統一綜合整治,讓病毒及攻擊無處藏身,因此工控系統如分散控制系統等防護的工作依然任重而道遠。
來源:網絡整理
北京市公安局海淀分局備案號:11010802023656號