今日頭條
官方微信
官方抖音
資訊頻道火電廠的監控系統主要用于監視和控制生產過程,包括發電廠的主控制系統、外圍輔助控制系統、電氣二次系統等控制區實時系統,以及廠級監控信息系統等非控制區監控系統,其安全問題一直受到國家和公眾的重點關注[4]。目前電力行業主要依據《電力監控系統安全防護規定》(發改委14號令)及能源局《電力監控系統安全防護總體方案》(36號文)及相關配套安全防護方案,按照“安全分區、網絡專用、橫向隔離[5]、縱向認證、綜合防護”的總體原則,強化邊界防護,同時加強內部安全措施和安全管理制度,提高系統整體安全防護能力。
本文主要對火電廠監控系統中的外圍輔助控制系統(以下簡稱:火電廠輔控系統)網絡安全防護技術進行探討。
1 火電廠輔控系統網絡安全現狀
火電廠輔控系統包括全廠水、煤、灰三大部分及循環水、空壓機房、脫硫脫硝等其它輔助控制系統。其中水主要包括化學水處理、凝結水精處理、化學廢水處理、凈水站、汽水取樣、污水處理等,煤主要包括輸煤系統,灰主要包括除灰除渣系統。
火電廠輔控系統的特性決定了當前網絡安全不容樂觀的現狀。
1.1 輔控系統結構復雜
火電廠輔控系統結構復雜原因可以被歸為物理位置分散、網絡節點多和平臺軟件不統一這三類。
(1)物理位置分散主要體現在PLC控制器、交換機、工控機位置分散
· 火電廠輔控系統內各子系統分散于生產區各個角落,子系統PLC控制器一般隨工藝設備就近安裝,并且部分子系統就地部署有操作員站/工程師站,例如凝結水精處理系統普遍就地部署操作員站用于樹脂再生等關鍵環節的監控;
· 火電廠輔控系統一般根據工藝功能特點設立相對集中的監控室,如化學集控室、除灰集控室、輸煤集控室,不同火電廠有所差異,部分系統單獨設置有集控室,例如遠程泵房集控室。
(2)網絡節點多
· 輔控系統建成后隨著新機組擴建、工藝系統改造升級、環保需求等原因,子系統數量不斷增加,網絡節點數同步遞增;
· 火電廠輔控系統一體化概念的提出及落地,使輔控系統各子系統網絡通過交換機逐步連通,用于集中監控的工控機相繼部署,火電廠輔控系統內的網絡設備數量逐步增多;
· 為了保證系統可持續性的安全運行,火電廠輔控系統網絡設備和網絡介質一般采用雙網冗余配置。
(3)平臺軟件不統一
· 一方面火電廠輔控系統內各子系統的建設時間不同,另一方面操作系統升級換代速度快,導致工控機使用的操作系統版本不統一;
· 火電廠輔控系統內上位機監控軟件不統一,輔控系統部分子系統的上位機軟件隨工藝設備整體交付、部分子系統由PLC控制改造成DCS控制等各類原因造成上位機監控軟件品牌不同或者版本號不同。
輔控系統結構的復雜程度決定了開展網絡安全防護工作的難度。火電廠輔控系統由不同部門運行和管理,很難對控制網絡進行有效管控,更難保障各類終端的安全。
1.2 網絡安全防護成本高
同處于火電廠安全I區內的主控系統相比,輔控系統的安全域邊界龐大、結構復雜。若對輔控系統的安全域進行細分,如按照水、煤、灰三大部分劃分為三個子安全區域。雖一定程度上可以解決大部分設備安全域劃分的問題,但實際操作時仍然有部分設備同時存在于多個子安全區域內,如主機集控室內的某臺操作員站需要監控全廠輔控系統、輔網某臺接口機需要同時讀取水和灰系統數據等。
出現上述情況則需要對現有輔控系統進行改造,增加網絡安全設備如防火墻或者相當功能的設備進行邏輯隔離,這都額外增加設備成本及管理成本。輔控系統網絡安全防護建設成本將是主控系統的幾倍。
2 輔控系統網絡安全防護技術探討
火電廠輔控系統的復雜結構特性使得按照常規方案對其進行安全防護加固的效果不佳或成本高昂,是否有一種適用于火電廠輔控系統這類結構復雜的網絡安全防護技術?
2.1 輔控系統網絡安全基本要求
針對火電廠輔控系統,根據所在安全區域的安全防護要求,對用于監視和控制生產及供應過程的、基于計算機及網絡技術的業務系統及智能設備,以及作為基礎支撐的通信網絡等方面進行安全防護,以消除風險或將風險控制在可接受的范圍。
為了保證火電廠輔控系統網絡安全,應該實行國家網絡安全等級保護制度,使其信息安全防護滿足信息安全等級保護的相關要求。
同時,火電廠輔控系統根據不同的功能特性,應劃分為不同的安全區域,安全區域之間應當采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施,實現邏輯隔離。結合國家信息安全等級保護工作的相關要求,從上位機、網絡設備、惡意代碼防范、應用安全控制、審計等多個層面進行信息安全的綜合防護。
2.2 交換機安全隔離域技術
在火電廠輔控系統網絡中,整個輔控系統內網是一個大的通信作用域,輔控系統內網中終端設備可以自由通訊,其中一臺終端設備感染病毒,便可能很快在輔控系統內網蔓延,感染其它終端設備。通常采用交換機劃分VLAN或者部署防火墻進行網絡區域的邏輯隔離,但在火電廠輔控系統使用場景下均存在不足之處。特提出一種工業安全交換機,本身作為輔控系統的重要組成部分,具備內生的多重安全隔離域技術。該技術主要由網絡安全管理中心和工業安全交換機兩部分構成實現,網絡安全管理中心管理所有工業安全交換機。
具體的實現方式是火電廠輔控系統內,根據各終端之間的數據流制定合理的應用隔離域,在網絡安全管理中心創建隔離域用戶組、定義名稱、定義用戶組的端口速率/廣播抑制/組播抑制等功能、劃歸工業安全交換機端口至各個隔離域、下發配置,工業安全交換機每個端口既可歸屬某一個組,也可歸屬多個組。
完成配置后,在內網形成多個用戶組,組內端口連接的終端之間可以相互通訊,不同組之間終端不能相互通訊;組與組可以是相互獨立的,也可以有交集。在內網形成多重虛擬隔離的網絡結構,并且不會改變輔控系統網絡的物理結構。
多重安全隔離域的劃分示意圖如圖1所示。
圖1 發電廠輔控系統多重安全隔離域劃分示意圖
多重安全隔離域技術是基于工業安全交換機以下核心功能來實現的。
(1)柔性安全區
采用柔性安全區技術,用戶可以靈活劃分復雜網絡系統的安全域,突破單個交換機的功能局限,多個交換機之間實現功能融合,所有交換機端口可統一管控、自由劃分至指定安全域,達到1+1>2的效果。最終體現為由隔離域用戶組組合構成的網絡安全區架構,隔離域用戶組之間邏輯隔離。
(2)訪問控制
根據生產現場業務邏輯情況,設置隔離域用戶組訪問控制策略,可深度綁定組內資產信息并固化,拒絕其他未授權的資產接入和服務請求。
安全域重疊部分的設備能夠跨多個安全域進行數據交互,從數據流上是允許的,相應的也存在跳板式攻擊的可能。工業安全交換機支持對重疊區域的設備數據流進行切片隔離傳輸,每個隔離域設備數據流具有獨立的邏輯通道。工業安全交換機提供技術,指導重疊區域的設備進行安全加固與聯動防護。
2.3 防范病毒蔓延和網絡攻擊技術
網絡病毒傳播的一個重要手段就是通過掃描網絡中的地址尋找下一個感染和攻擊的目標。病毒掃描攻擊過程如圖2所示。
圖2 病毒掃描攻擊過程示意圖
目前在火電廠輔控系統網絡中部署的防火墻等設備大多數采用被動防御模式,主要采用預設的通訊協議、IP隔離、代碼過濾、包采集分析規則。而這些防護規則都不是原理性的防護規則,能夠被規避。例如上述這種掃描在尋找目標的過程,不包含惡意代碼,因此不會被傳統的防護措施如防病毒軟件判定為非法行為。
基于安全隔離域技術的網絡中,采用用戶組劃分最小安全隔離域,依托用戶組隔離技術和主機掃描偵聽技術,一旦監測到超出安全域的掃描情況,工業安全交換機立刻定位該非法事件,并可采取進一步的防范措施。火電廠輔控系統內的業務有一個共同特性,即建成后基本固定不變,包括網絡設備資產、數據流向、通訊協議、業務端口,有利于建立最小最優的安全隔離域。合理劃分安全隔離域有利于工業安全交換機更早發現各類未授權行為。
工業安全交換機通過實時監測數據源,能夠及時阻斷或告警病毒等的攻擊,病毒無法通過改變代碼特征、軟件端口號和掃描特征規避檢測,同時還能夠在一定程度上阻斷APT攻擊。
借助多重安全隔離域技術,只允許火電廠輔控系統正常通信的數據包到達相應終端,拒絕其他未授權的請求服務,從網絡系統層面阻斷了病毒蔓延和內部惡意攻擊者對網絡其他區域設備進行攻擊的通道。
2.4 其它管理功能
火電廠輔控系統不僅需要進行邊界防護,還需要重視內部網絡管控,才能落實輔控系統的綜合防護。網絡安全管理中心能夠和工業安全交換機聯動,實現全方位的準入控制,完成對非合規設備自動隔離及告警等,提升火電廠輔控系統網絡預警及恢復能力。網絡安全管理中心其它管理功能包括:
(1)終端接入控制
接入的終端設備在網絡端口進行限制,只有經授權地址的設備允許從端口接入至網絡,非授權設備接入該端口將被拒絕接入,防止非法設備從該端口進入網絡從而造成危害。
(2)風險主動防御
全面監控網絡中每個端口的數據流向,快速、準確定位網絡風險,風險實時告警,封鎖可疑IP,關閉風險端口。
(3)全面日志審計
對整個網絡中設備運行告警事件(設備電源告警、端口中斷告警、鏈路異常告警、冗余鏈路保護告警等)、設備配置操作記錄、網絡安全告警事件(異常網絡病毒掃描動作、內部網絡攻擊掃描動作等)、安全事件應急處理操作記錄等事件以及操作記錄進行存儲,用于故障診斷和記錄分析。
(4)網絡拓撲自動生成
網絡安全管理中心自動生成網絡連接拓撲結構,動態刷新鏈路狀態和網絡設備狀態。
2.5 技術特點及優勢
在該技術不影響原有應用系統(水、煤、灰及其子系統)功能的情況下,通過將網絡系統的交換機升級為工業安全交換機,提高網絡系統運行維護的直觀性、可視性,提高生產控制網的安全性,增加生產控制網防范病毒和異常安全事件告警處理的能力。有如下技術特點:
(1)不改變原有網絡架構
原有的網絡架構和線纜布局繼續保持,僅需對交換機進行升級。
(2)不影響網絡帶寬和實時性
網絡安全管理系統通過工業安全交換機內置的網絡管理芯片實現對網絡設備的運行狀態、告警信息的采集及動作指令下發,獨立于工業安全交換機的交換芯片,對應用數據的轉發沒有影響,確保應用數據的實時性和網絡帶寬的充裕性。
(3)直觀的網絡管理和運行監視
全圖形化的操作界面,使得網絡管理能夠直觀和簡化,運維管理人員能夠對全網運行狀況一目了然。
(4)安全策略的集中配置和下發
在安全管理中心對全網的安全策略進行集中配置和調整,一鍵下發至全網的工業安全交換機中,方便了全網的安全管理和配置過程。
(5)未知病毒和網絡風險的告警和隔離
根據數據流向判定非法的通訊請求,未知病毒同樣能夠檢測和防范,尤其適用于工業控制系統這種位于封閉網絡、病毒庫升級不方便以及必須運行在一些無法升級安全補丁的老舊系統中的環境。
(6)安全事件的實時告警和處理
所有安全事件實時告警,并可選擇進行相關的應急處理,如阻斷訪問或者封閉端口。
(7)網絡和安全事件的記錄及分析
網絡設備的異常事件以及安全事件計入日志文件,并進行關聯分析。
工業安全交換機在火電廠輔控系統內具有明顯的技術優勢。工業安全交換機提供的不是邊界的單點防護,而是深入到整個網絡內全面立體的安全加固,封閉式的多重安全隔離域技術構成柔性安全區,能夠滿足復雜場景下的應用需求。
3 結語
火電廠輔控系統是火電廠生產過程中重要的后勤保障系統,也是生產控制區的網絡安全短板。本文探討的火電廠輔控系統網絡安全技術立足于多年輔控系統相關工作經驗,致力于提高火電廠輔控系統的防護能力,滿足國家信息安全等級保護工作的相關要求,對監控系統多個層面進行信息安全的綜合防護。針對火電廠輔控系統網絡安全設計的改進技術具有特定的優勢,適用于各行業外圍輔助系統網絡安全防護需求,具有一定的推廣實踐價值。
作者簡介:
劉 劍(1964-),男,工程師,大專學歷,現就職于浙江浙能電力股份有限公司臺州發電廠,主要從事發電廠熱工自動化檢修、技術管理。
參考文獻:
[1] 范科峰, 高林, 姚相振, 等. 工業控制系統信息安全指南[M]. 北京: 科學出版社, 2016 : 32 - 36.
[2] 周慎學, 范淵, 夏克晁, 等. 臺二電廠工控系統信息安全防護體系的建設[J]. 中國電力, 2017, 50 (8) : 53 - 57.
[3] 肖建榮. 工業控制系統信息安全[M]. 北京: 電子工業出版社, 2015 : 88 - 90.
[4] 張燕, 張劍. 論我國電力系統及其自動化發展現狀及趨勢[J]. 山東工業技術, 2016, (5) : 169.
[5] 高小芊, 羅超. 電力監控系統網絡安全監測裝置功能及實施[J]. 通訊世界, 2019, (4) : 176 – 177.
[6] 王菊. 發電廠調度自動化系統事次防護探討[J]. 數字技術與應用, 2012, (9) : 181.
[7] 張瑤瑤, 胡斌, 路天峰, 等. 調度自動化系統及數據網絡的安全防護研究[J]. 工程技術研究, 2019, (9) : 240 – 241.
[8] 李煒. 先進控制技術在DCS中的應用與研究[D]. 太原: 太原理工大學, 2004.
[9] 蔣存勇. 電力監控系統網絡安全分析[J]. 網絡安全和信息化, 2020, (11) : 126 - 128.
[10] 胡朝輝, 王方立. 電力監控系統通信安全技術研究[J]. 電子技術應用, 2017, 43 (3) : 21 - 24.
[11] 馬建偉, 萬會江, 王向東. 電力監控系統網絡安全的現狀與改進方法[J]. 信息與電腦(理論版), 2017, (22) : 187 - 188.
[12] 胡倩云. 電力監控系統網絡安全防護體系建設[J]. 技術與市場, 2020, (04) : 95 - 96.
摘自《自動化博覽》2021年4月刊
北京市公安局海淀分局備案號:11010802023656號