今日頭條
官方微信
官方抖音
資訊頻道在信息技術(shù)和互聯(lián)網(wǎng)高速發(fā)展的 21 世紀(jì),信息安全正深入各個(gè)領(lǐng)域,工業(yè)基礎(chǔ)設(shè)施已成為信息安全的新戰(zhàn)場(chǎng)。工業(yè)控制系統(tǒng)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,直接關(guān)系到國(guó)家的戰(zhàn)略安全和政治穩(wěn)定。電力行業(yè)發(fā)展較早,建設(shè)較好,但依然存在機(jī)組核心部件及控制系統(tǒng)主要由外國(guó)廠商提供和運(yùn)維的基本現(xiàn)狀。同時(shí)近年來(lái),帶有政治色彩并對(duì)被攻擊對(duì)象造成特別嚴(yán)重后果的網(wǎng)絡(luò)攻擊越來(lái)越頻繁:2010 年“震網(wǎng)” 病毒控 制 伊 朗 核 電 站 離 心 機(jī) 轉(zhuǎn) 速 導(dǎo) 致 離 心 機(jī) 損 壞 ; 2016 年BlackEnergy3 惡意軟件感染并控制烏克蘭變電站造成大面積停電。在此大環(huán)境下,國(guó)家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)從企業(yè)層面、行業(yè)層面、部門(mén)層面、國(guó)家層面上研究和實(shí)踐工業(yè)控制系統(tǒng)安全運(yùn)行以推動(dòng)建立安全防護(hù)體系顯得很重要也很迫切。
一、相關(guān)概念
(1)工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)簡(jiǎn)稱(chēng)工控系統(tǒng),是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過(guò)程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、可編程控制器、遠(yuǎn)程終端、人機(jī)交互界面設(shè)備,以及確保各組件通信的接口技術(shù)。
(2)分散控制系統(tǒng)
分散控制系統(tǒng)[3]簡(jiǎn)稱(chēng) DCS (Distributed Control System),是由過(guò)程控制級(jí)和過(guò)程監(jiān)控級(jí)組成的以通信網(wǎng)絡(luò)為紐帶的多計(jì)算機(jī)系統(tǒng),綜合了計(jì)算機(jī)、通信、顯示和控制等 4C 技術(shù),其基本思想是分散控制、集中操作、分級(jí)管理、配置靈活、組態(tài)方便。
(3)安全模塊 S612
S612 屬于西門(mén)子工業(yè)部 SCALANCE S 通信產(chǎn)品,用于 VPN(Virtual Private Network)通道安全防護(hù)。案例電廠基建期安裝此模塊的目的是便于西門(mén)子工程師遠(yuǎn)程診斷。
(4)工業(yè)防火墻
工控防火墻與傳統(tǒng)防火墻相比,支持 Modbus TCP、OPC(OLE for Process Control)、IEC 60870-5-104、IEC 61850、 Siemens S7 等多種工業(yè)協(xié)議。且工控防火墻具備工控協(xié)議指令級(jí)“4S”深度防護(hù)技術(shù)和業(yè)務(wù)連續(xù)性保障技術(shù),支持多種訪問(wèn)控制規(guī)則、協(xié)議深度分析、VPN、流量控制、安全審計(jì)等安全防護(hù)功能,具備 Dos、ARP(Address Resolution Protocol)攻擊防護(hù)和自身訪問(wèn)控制功能,可有效保障自身和工控網(wǎng)絡(luò)的雙重安全。
二、項(xiàng)目背景
本文對(duì)某燃機(jī)發(fā)電廠分散控制系統(tǒng)安全加固[4]研究與實(shí)踐進(jìn)行全過(guò)程的分析,案例電廠采用西門(mén)子 SGT5-4000F(4)型燃?xì)廨啺l(fā)電機(jī)組,分散控制系統(tǒng)采用 SPPA-T3000,系統(tǒng)運(yùn)行物理環(huán)境包括網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、接口機(jī)、操作員站、打印機(jī)均由機(jī)組廠家全套提供。案例電廠分散控制系統(tǒng)由#1 機(jī)組、#2 機(jī)組、公用部分、化水部分四個(gè)相對(duì)獨(dú)立的子系統(tǒng)組成。分散控制系統(tǒng)架構(gòu)如圖 1 所示。
三、安全加固實(shí)踐依據(jù)
2016 年 , 案 例 電 廠 完 成 SIS(Supervisory InformationSystem)系統(tǒng)改造后發(fā)現(xiàn)#2 機(jī)組 SIS 系統(tǒng)測(cè)點(diǎn)頻繁出現(xiàn)斷點(diǎn)故障,經(jīng)信息專(zhuān)業(yè)和儀控專(zhuān)業(yè)逐步排查定位故障節(jié)點(diǎn)#2 機(jī)組分散控制系統(tǒng)接口機(jī)出口處安全模塊 S612,安裝位置在工程師站#2 機(jī)組屏柜。在對(duì) S612 進(jìn)行消缺過(guò)程中,信息安全專(zhuān)職提出根據(jù)《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》條款 4.1.3 系統(tǒng)間安全防護(hù)(發(fā)電廠內(nèi)同屬于安全區(qū) I 的各機(jī)組監(jiān)控系統(tǒng)之間、機(jī)組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、同一機(jī)組的不同功能的監(jiān)控系統(tǒng)之間,尤其是機(jī)組監(jiān)控系統(tǒng)與輸變電部分控制系統(tǒng)之間,根據(jù)需要可以采取一定強(qiáng)度的邏輯訪問(wèn)控制措施,如防火墻、VLAN 等)和《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》相關(guān)條款要求,建議拆除 S612 并在單元機(jī)組之間部署工業(yè)級(jí)防火墻 。
四、安全加固實(shí)現(xiàn)過(guò)程
4.1 機(jī)組運(yùn)行方式
案例電廠是以天然氣為發(fā)電原料的調(diào)峰機(jī)組,全年利用小時(shí)數(shù)比較低,在一年中的大數(shù)時(shí)間處于調(diào)停狀態(tài),且兩臺(tái)機(jī)組同時(shí)上網(wǎng)的概率小,這為安全加固前期調(diào)研、基礎(chǔ)收據(jù)收集、改造方式選擇、改造效果試驗(yàn)對(duì)比提供了相對(duì)寬松的外部條件。
4.2 實(shí)現(xiàn)保障
案例電廠從社會(huì)效益和安全效益兩方面分析本次分散控制系統(tǒng)安全加固的必要性后明確目標(biāo)和周期,從案例電廠最高層面成立專(zhuān)項(xiàng)工作組,保障安全加固工作的技術(shù)力量和資金投入。
4.3 系統(tǒng)學(xué)習(xí)
鑒于案例電廠分散控制系統(tǒng)四個(gè)子系統(tǒng)之間相對(duì)獨(dú)立、系統(tǒng)架構(gòu)一致。本章節(jié)所有內(nèi)容以案例電廠#2 機(jī)組分散控制系統(tǒng)為例來(lái)對(duì)安全加固實(shí)現(xiàn)過(guò)程進(jìn)行詳細(xì)地記錄和分析。
案例電廠分散控制系統(tǒng)的硬件設(shè)備和軟件均采用進(jìn)口產(chǎn)品,相關(guān)專(zhuān)業(yè)自身對(duì)系統(tǒng)本身只停留在簡(jiǎn)單使用層面。針對(duì)硬件升級(jí)、補(bǔ)丁更新、漏洞掃描修復(fù)、系統(tǒng)查毒殺毒等常規(guī)安全行為不能自行開(kāi)展;對(duì)系統(tǒng)內(nèi)部數(shù)據(jù)包、數(shù)據(jù)流向、通信協(xié)議、通訊端口等數(shù)據(jù)安全不能有效控制,系統(tǒng)涉及的維護(hù)、升級(jí)、改造都依托設(shè)備和系統(tǒng)廠家。
依據(jù)重要信息系統(tǒng)建設(shè)和改造“三同步”0 原則,保證分散控制系統(tǒng)的持續(xù)運(yùn)行和安全性,必須要求對(duì)系統(tǒng)有一個(gè)全面深入認(rèn)識(shí)。案例電廠通過(guò)三個(gè)方面工作實(shí)現(xiàn)對(duì)系統(tǒng)的全新認(rèn)識(shí):
(1)邀請(qǐng)廠家系統(tǒng)工程師、網(wǎng)絡(luò)工程師到現(xiàn)場(chǎng)進(jìn)行技術(shù)指導(dǎo),組織專(zhuān)業(yè)對(duì)分散控制系統(tǒng)網(wǎng)絡(luò)拓?fù)洹⒂布δ堋⒉呗耘渲谩④浖\(yùn)行進(jìn)行全面學(xué)習(xí);
(2)通過(guò)電話技術(shù)支持咨詢(xún)西門(mén)子能源部、發(fā)電部、工業(yè)部工程師,從一個(gè)更加廣義的角度尋找工控系統(tǒng)的有效解決方案;
(3)在此基礎(chǔ)上,案例電廠組織技術(shù)骨干模擬機(jī)組運(yùn)行環(huán)境,利用外部條件優(yōu)勢(shì)開(kāi)展不同機(jī)組間的橫向?qū)Ρ葴y(cè)試和同一機(jī)組的縱向?qū)Ρ葴y(cè)試。
4.4 設(shè)備部署
通過(guò)對(duì)現(xiàn)場(chǎng)的實(shí)地勘察,工程師站溫度和濕度能夠控制在B 級(jí)機(jī)房標(biāo)準(zhǔn),機(jī)柜空間緊湊,案例電廠選用機(jī)架式工業(yè)防火墻,機(jī)架式是網(wǎng)絡(luò)安全設(shè)備常見(jiàn)的一種安裝方式,通過(guò)螺絲固定在機(jī)柜上,設(shè)備使用和維護(hù)方便。
案例電廠工業(yè)防火墻部署模式采用重要系統(tǒng)、設(shè)備的隔離與防護(hù)[7]。工控防火墻以透明或路由模式部署于控制網(wǎng)絡(luò)與控制設(shè)備之間,實(shí)現(xiàn)對(duì)重要設(shè)備的安全防護(hù)。啟用應(yīng)用層安全防護(hù)策略,通過(guò)“四維一體”安全防護(hù)技術(shù)以及“白名單”機(jī)制,對(duì)來(lái)自控制網(wǎng)絡(luò)的工控指令“數(shù)據(jù)完整性” 、“功能碼” 、“地址范圍”和“工藝參數(shù)范圍”進(jìn)行深度解析和過(guò)濾,及時(shí)發(fā)現(xiàn)可疑指令和惡意數(shù)據(jù)。啟用網(wǎng)絡(luò)層安全防護(hù)策略,對(duì) PLC 等控制設(shè)備進(jìn)行訪問(wèn)控制,只允許有權(quán)限的終端對(duì)其進(jìn)行修改或訪問(wèn)。同時(shí)結(jié)合“工控業(yè)務(wù)連續(xù)性保障方法”技術(shù)在不影響工控業(yè)務(wù)連續(xù)性的基礎(chǔ)上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù),保障關(guān)鍵設(shè)備運(yùn)行安全。
4.5 系統(tǒng)原接線和數(shù)據(jù)流
(1)系統(tǒng)接線:SIEMENS OPC 接口機(jī)電口 P2 上聯(lián)進(jìn)口防火墻模塊 S612 電口 P2 口, S612 電口 P1 口上聯(lián)交換機(jī)模塊X108 電口 P7 口,X108 電口 P1 口上聯(lián) SIS 系統(tǒng)。
(2)系統(tǒng)數(shù)據(jù)流:源數(shù)據(jù)由 SIEMENS OPC Server 經(jīng)SIEMENS OPC Interface、進(jìn)口防火墻模塊 S612、模塊 X108、傳統(tǒng)防火墻到達(dá) SIS OPC Client。OPC Server 到 OPC Client 之間采用 MatrikonOPC Tunneller 代替 DCOM 進(jìn)行通信,以解決DCOM[8]使用眾多端口和合理配置防火墻困難大的問(wèn)題。機(jī)組DCS 原接線和數(shù)據(jù)流如圖 2 所示。
4.6 系統(tǒng)測(cè)試階段接線和數(shù)據(jù)流
(1)系統(tǒng)接線:SIEMENS OPC 接口機(jī)電口 P2 上聯(lián)交換機(jī)模塊 X108 電口 P7 口,X108 電口 P1 口上聯(lián) SIS 系統(tǒng)。
(2)系統(tǒng)數(shù)據(jù)流:數(shù)據(jù)源由 SIEMENS OPC Server 經(jīng)SIEMENS OPC Interface、模塊 X108、傳統(tǒng)防火墻到達(dá) SIS OPCClient。OPC Server 到 OPC Client 之間采用 DCOM 進(jìn)行通信。機(jī)組 DCS 測(cè)試階段接線和數(shù)據(jù)流如圖 3 所示。
4.7 系統(tǒng)加固后接線和數(shù)據(jù)流
(1)SIEMENS OPC Server 上聯(lián)交換機(jī)模塊 X202 電口 P2口,X202 電口 P3 口上聯(lián)工業(yè)防火墻電口,防火墻電口上聯(lián)SIEMENS OPC 接口機(jī)電口 P2,OPC 接口機(jī)電口 P2 上聯(lián)交換機(jī)模塊 X108 電口 P7 口,X108 電口 P1 口上聯(lián) SIS 系統(tǒng)。
(2)數(shù)據(jù)源由 SIEMENS OPC Server 經(jīng)模塊 X202、工業(yè)防火墻、SIEMENS OPC Interface、模塊 X108、傳統(tǒng)防火墻到達(dá) SIS OPC Client。OPC Server 到 OPC Client 之間采用DCOM 進(jìn)行通信。機(jī)組 DCS 加固后接線和數(shù)據(jù)流如圖 4 所示。
五、成果
案例電廠積極應(yīng)對(duì)國(guó)內(nèi)電力行業(yè)中工業(yè)控制系統(tǒng)國(guó)外產(chǎn)品占絕對(duì)比例帶來(lái)的安全問(wèn)題和潛在風(fēng)險(xiǎn),使工業(yè)防火墻技術(shù)真正在工控系統(tǒng)中落地,以點(diǎn)帶面找準(zhǔn)定位,從被動(dòng)防御逐步轉(zhuǎn)化為主動(dòng)防護(hù),建立并不斷完善電廠工業(yè)控制系統(tǒng)安全防護(hù)體系。更重要的是為同情況機(jī)組和新建機(jī)組工控系統(tǒng)的選型、建設(shè)、安全防護(hù)提供了有實(shí)際意義的參考。
就案例電廠本次分散控制系統(tǒng)安全加固工作從短期來(lái)看,存在一定的技術(shù)困難并且缺乏資金投入,但從長(zhǎng)期來(lái)看工控系統(tǒng)防火墻國(guó)產(chǎn)化和工業(yè)級(jí)防護(hù)是必然趨勢(shì),同時(shí)也為后期的設(shè)備更新、修理、保養(yǎng)、維護(hù)及安全性、合規(guī)性帶來(lái)優(yōu)勢(shì)。
案例電廠通過(guò)工業(yè)防火墻的部署,利用其具備的工控協(xié)議 指令級(jí)“四維一體”深度防護(hù)技術(shù),同時(shí)結(jié)合工控業(yè)務(wù)連續(xù)性保障技術(shù)和“白名單”機(jī)制,可對(duì)工業(yè)控制網(wǎng)絡(luò)“協(xié)議完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”進(jìn)行深度解析,在不影響工控業(yè)務(wù)連續(xù)性的基礎(chǔ)上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù),保障分散控制系統(tǒng)安全、可靠運(yùn)行 。
本次案例電廠的防護(hù)體系設(shè)計(jì),在一定程度上規(guī)避了大量的工控網(wǎng)絡(luò)內(nèi)部的非法訪問(wèn),有效隔離了分散控制系統(tǒng)不同機(jī)組單元之間和與生產(chǎn)區(qū)其他系統(tǒng)之間的訪問(wèn),保障了分散控制系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性及安全性。
然而,工控系統(tǒng)的穩(wěn)定性及安全性,僅僅通過(guò)防火墻的安全防護(hù)顯然是不夠的,正如傳統(tǒng)網(wǎng)絡(luò)當(dāng)中防火墻所起的作用一樣,其防護(hù)的本質(zhì)還是通過(guò)端口、協(xié)議進(jìn)行識(shí)別和防護(hù),一旦病毒或者攻擊通過(guò)正常的端口或者使用正常的協(xié)議進(jìn)行傳播,工控防火墻的防護(hù)效果就會(huì)被大打折扣,此時(shí)需要通過(guò)其他防護(hù)手段,如主機(jī)加固、工業(yè)流量審計(jì)等手段進(jìn)行全方位、立體化、可視化進(jìn)行統(tǒng)一綜合整治,讓病毒及攻擊無(wú)處藏身,因此工控系統(tǒng)如分散控制系統(tǒng)等防護(hù)的工作依然任重而道遠(yuǎn)。
來(lái)源:網(wǎng)絡(luò)整理
北京市公安局海淀分局備案號(hào):11010802023656號(hào)