今日頭條
官方微信
官方抖音
資訊頻道★ 國能神福(石獅)發電有限公司 沈鐵志
★ 寧波和利時信息安全研究院有限公司 穆雷霆
★ 國能神福(石獅)發電有限公司 吳炳輝,郭玉姬
1引言
2019年5月13日正式發布的網絡安全等級保護系列標準將工業控制系統正式納入安全擴展要求,并提出了嚴格的測評規范。工業控制系統廣泛應用于能源、交通、先進制造、公用設施等國計民生相關的重要領域,自2010年伊朗“震網病毒”開始,國際上已發生多起針對工業控制系統的網絡攻擊,而電力能源更是安全事件頻發的重災區。
在我國電力生產供應中,超超臨界1000MW級大型火電機組承擔了大部分職責,既是作為等保2.0三級系統,也是關系到國家戰略安全的關鍵基礎設施,無疑是工業控制系統安全建設的重點對象。在大型火電等工業設施中,大型分布式控制系統(DCS)作為保障其運行的核心管控系統,具有高可靠性、強實時性、控制邏輯復雜和大規模系統部署等典型特點,其安全防護建設尤具代表性。
工控系統與傳統信息系統相比,保護對象不同,防護側重點也不同,主要體現在:工業控制系統由于連續生產的要求,系統和軟件實時更新困難,傳統防病毒和檢測手段難以保障安全;工業協議私有化程度高,通用技術兼容性差,設計時大都未考慮安全特性;工業控制系統嵌入式計算環境實時性要求高,但資源極其有限,難以增加復雜的安全防護功能。由于以上在功能和需求上的顯著差異,傳統的信息安全產品并不完全適用于工控系統,同時,我國工控安全建設目前仍呈現風險意識薄弱、安全認知不足的局面,針對如何滿足等保2.0技術要求缺乏完善的設計思路和具備典型參考意義的工程案例。
本文基于國能神福(石獅)發電有限公司2×1050MW機組安全防護項目,介紹基于可信計算3.0技術的安全防護方案在火電超超臨界百萬千瓦機組DCS的應用。該廠是國內技術水平領先的百萬千瓦級超超臨界發電機組,是福建省“十一五”能源發展專項規劃和電力發展規劃確定的優化發展煤電和熱電聯產大型電源點,是“神華電站數字化建設解決方案”的標桿項目。該廠采用國內技術領先、應用廣泛的和利時公司HOLLiAS-MACS大型分布式控制系統,實現了DCS和DEH在百萬千瓦級機組的一體化應用、實現了全廠智能儀表的現場總線互聯互通,在國內大型電廠具有典型代表意義。
2火電百萬千瓦機組DCS面臨的網絡風險分析
國內大部分火電百萬千瓦機組DCS控制系統,在建設時未考慮完善的網絡安全建設,未部署其他網絡安全系統及設備,不能滿足國家網絡安全、電網公司二次防護要求。DCS網絡及設備安全防護能力不足,對網絡邊界缺少入侵檢測手段,對網絡流量缺乏分析手段,采用通用操作系統安全漏洞多,電腦主機防護能力不足,缺少統一安全管理機制。全廠DCS網絡安全性較差,存在安全隱患,極易因外部攻擊、內部病毒入侵等造成分散控制系統故障、癱瘓等惡性事故。
隨著火電機組DCS系統開放性的增強,且電廠SIS系統、生產管理系統及第三方系統存在網絡通信邊界,一旦某個網絡被病毒感染,容易蔓延到DCS網絡,嚴重威脅系統運行的安全,由此帶來了病毒以及網絡攻擊擴散導致工控系統遭受影響的安全風險。
在火電機組DCS控制系統中,大量使用的通信協議多為OPC、ModbusTCP等通用工控協議,以及各DCS廠家的私有工控協議,絕大多數工控協議在設計之初忽視了其安全設計,通訊雙方沒有有效的認證與保密機制,容易受到中間人的竊聽和欺騙性攻擊,協議對畸形報文的識別能力弱,通信健壯性能力較弱。此外,現場未部署監測審計設備和安全管理設備,缺少對生產網絡的實時安全監控,無法及時發現系統中存在的異常流量和異常行為,也無法及時感知安全威脅并進行告警。
火電機組DCS控制系統系統中上位機多采用如Windows或Linux等通用操作系統,存在較多安全漏洞,其中很多漏洞會被黑客利用,成為黑客攻擊的目標或跳板,工業領域軟/硬件更新、補丁升級、換代困難、漏洞不能得到及時修補且工控系統多存在防病毒系統缺失或更新不及時的問題,容易造成木馬病毒泛濫。
另外作為火電機組DCS控制系統重要組成部分的控制站設備,多經過裁剪的實時操作系統,近幾年披露的漏洞不斷增多,很多漏洞可以導致系統失去監控,對控制安全影響極大。如果不能對DCS控制器本身的安全性提供有效的保障措施,僅靠外圍的安全措施無法從根本上保證DCS控制系統的整體安全。
3工控安全發展趨勢與可信計算防護模型
3.1工控網絡安全發展趨勢
近幾年工業控制系統網絡安全事件的發生頻率在全球范圍內依然處于較高水平,能源、關鍵制造、公共健康、通信、政府設施、交通運輸等重要關鍵基礎設施工業控制系統依然是信息安全事件高發的幾個領域。網絡攻擊嚴重威脅到了工業運行安全、國民經濟安全乃至國家戰略安全,對工業信息安全保障工作提出了新的任務和新的挑戰。
從工業控制系統安全防護手段來看,傳統的“封堵查殺”方式已經過時,工控安全能力從“被動防范”為主轉向“安全可信、主動防御、威脅預知、融合各種信息快速檢測和響應能力”的構建,已經成為當下工控網絡安全建設的共識。其中,可信計算技術已成為工業安全防護利器,通過可信計算為工業控制系統提供主動免疫安全防護能力,形成內生安全機制,可有效抵抗來自系統內外部的網絡攻擊。
3.2基于可信計算的網絡安全防護模型
可信計算是指計算的同時進行安全防護,計算全程可測可控、不被干擾,使計算結果總是與預期一致。可信計算是一種特有的基于整體安全思想的主動防御技術,隨著網絡空間安全技術變革而不斷地創新發展,其引領的整體安全架構、主動免疫安全體系已經成為網絡空間安全技術拼圖中不可或缺的一環。可信計算將以創新理論與技術同計算機體系結構、操作系統安全、可信軟件深度融合,構建更加有效、更加靈活的安全防護體系。
可信計算3.0提出了全新的可信計算體系框架,在網絡層面解決可信問題。在計算節點構建一個“宿主——可信雙節點”的可信免疫架構,通過這種雙體系架的模式實現可信機制,相當于為各種安全機制提供一個統一的、通用的可信平臺。這一平臺為系統中的安全機制提供了一個共同的基礎,給安全機制提供統一的可信保障,同時也為各種安全機制動態連接、構成縱深防御安全體系提供了支持。
在工控領域的可信應用方面,國內主流控制系統廠商如和利時已推出安全可信DCS控制系統,實現可信計算技術在工業嵌入式領域的創新突破。安全可信DCS控制系統融合嵌入式可信計算、數字證書體系、深度協議控制等先進技術,采用雙體系嵌入式架構,以可信加密芯片為基礎,實現了從可信根到上層應用的完整性度量,包括靜態度量和動態度量,具備對內核、應用、數據、工業業務行為的度量控制和檢測審計能力。
隨著技術和生態的進一步成熟,可信計算技術在工業安全防護領域的應用將會由點到面鋪開,更加廣泛和普遍。
4基于可信計算的火電機組DCS系統安全防護方案
國能神福(石獅)發電有限公司2×1050MW機組DCS以控制系統內生安全為核心、配合邊界安全措施,形成滿足等保2.0三級要求的信息安全防護完整體系。
核心控制系統采用安全可信DCS,內部集成信息安全功能,支持與組態上位機的加密通信,協議棧經過優化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網絡自抵御能力;控制系統及上位機終端支持基于可信計算的可信度量,能夠實現對內核中可能存在的惡意代碼的加載和啟動度量,有效抑制內嵌惡意代碼和代碼篡改的風險。同時,采用集成網絡通信行為審計和控制邏輯業務行為審計的工業審計系統對控制系統內部威脅進行監測。
邊界安全措施采用工業隔離設備、工業入侵檢測系統、工業交換機等防護設備抵御由外部發起的網絡攻擊。
通過區域邊界訪問控制、包過濾、安全數據擺渡、接入控制等技術措施,僅允許必要的可信網絡訪問,拒絕非可信訪問,構建DCS系統與SIS系統之間以及DCS內部區域之間的安全可信區域邊界。
對網絡環境中的網絡攻擊和異常行為進行監視和審計,發現并記錄入侵滲透、違規操作過程,及時告警與應急處理,形成安全可信的通信網絡環境;對通信數據通過加密等方式,實現通信雙方的身份鑒別,并保證傳輸數據的完整性和機密性,從而實現安全可信的通信鏈路。
通過可信度量、身份認證、訪問控制、數據保護等技術措施,建立安全可信計算環境,保證DCS系統計算環境的安全。通過在控制系統上位機加裝基于可信計算和主機白名單的可信終端防護系統對主機終端進行安全加固,實現終端的病毒和安全防護。控制器采用可信DCS,內部集成信息安全功能和可信計算能力。
建立安全可信管理中心,通過部署工業安全可信管理平臺,實現工業安全信息的集中采集、存儲、展示、分析、預警,全局安全可信策略的統一配置、下發和管理以及安全設備的統一管控。
5安全方案創新性
本項目方案結合基于可信計算的主動防護與邊界防護構成內外貫穿的綜合防護體系,在滿足網絡安全等級保護2.0標準的同時,最大化提升工業控制系統的網絡安全防護能力,具備良好的技術創新和應用示范效應。
(1)基于可信計算的自主免疫內生安全體系方案
針對火電百萬機組DCS系統安全防護全面應用了可信計算技術體系,打破傳統以邊界防護為主體的網絡安全防護理念,構建了基于控制系統本身的內生主動防護體系。
在傳統信息防護手段基礎上,設計并應用了適用于工業控制場景的可信計算技術,通過控制系統可信計算體系,增強控制系統的內生安全防護能力。構建基于在可信計算安全策略的指導下,針對工業控制網絡的實時控制行為和業務流程作業,實現貫穿設計、運行、服務全生命周期的防御、檢測、響應、預測的主動安全防御循環技術體系(TDDRP)。
(2)基于可信計算的控制安全一體化業務行為監測
在實際的工控環境中,通常缺乏針對工業控制系統的安全監測及配置變更管理,導致安全事故的分析難以進行。目前國內工業控制系統,在應用系統層面的誤操作、違規操作或故意的破壞性操作成為主要安全風險。本方案基于安全可信策略的應用,對生產網絡的訪問行為、特定控制協議內容的真實性、完整性進行監控、管理與審計。依托DCS廠家在工業控制系統專用網絡和通信的技術積累,將傳統邊界防護解決方案與控制系統網絡和數據特點有機融合,形成對控制邏輯和控制網絡數據有效監管和防護的一體化監測方案,實現安全中有控制、控制中有安全。
(3)基于可信計算的工控強制訪問控制防護模型
針對工控系統的特殊性,傳統的信息防護手段不能完全滿足工業信息安全的需求。因此,在傳統邊界防護的信息防護手段基礎上,設計并應用了適用于工業控制場景的可信計算技術,通過控制系統內嵌可信計算體系,增強控制系統自身的防護能力,通過嵌入式防護技術的集成,控制系統能夠對啟動態和運行態的惡意代碼和內核變化進行主動檢測和可信度量,進一步發現存在的威脅和隱患。同時在可信計算技術的基礎上結合強制訪問控制技術,對工控系統中操作系統和邏輯行為所涉及的關鍵主、客體增加安全標記,通過建立適用于工業控制邏輯業務需求的強制訪問控制模型,保證控制過程中關鍵的訪問行為均在可控范圍之內進行。通過建立應用于工業場景的強制訪問控制機制,有效避免越權操作,進而保障控制系統的安全可控。可信計算和強制訪問控制的結合,使工業系統的信息安全防護不只是依賴外圍的邊界防護設備,當發生由內爆發的、或外部突破進入的威脅時,控制系統有足夠的自保或應對能力。
6方案推廣價值
項目方案在控制系統規模和復雜度上具備良好的示范效果,通過該項目的信息安全建設能實現以下目標:
(1)滿足等保2.0要求的大規模工業現場應用與方案推廣
通過選擇以大型分布式控制系統為核心中樞的百萬千瓦級超超臨界火電機組開展信息安全設計和實施,填補了新標準在實際工業領域工程項目應用的空白,通過該項目可對新標準技術要求進行合理有效的驗證。該示范項目通過工業控制領域專家與安全測評領域專家的結合能夠進一步完善等保2.0工業控制系統安全技術體系、管理體系和測評體系建設,對后續開展全國范圍的工業控制領域網絡安全等級保護評估和建設具有良好的推廣和示范意義,能夠有力地推動網絡安全等級保護2.0標準在工業領域的全面推廣和實行。
(2)基于可信計算的主動防護技術在工控領域的應用推廣
示范項目采用基于可信計算的主動防護與邊界防護有機結合的綜合防護技術體系,將可信計算技術集成到工業控制器中,使網絡安全能力相對脆弱的控制系統內部具備內生安全能力,同時對傳統的安全審計設備增加控制邏輯和業務行為審計的功能,進而打破控制行為和網絡行為的防護壁壘,能夠實現對內部和外部不同層面爆發的網絡威脅的核心抵御能力。創新性的技術應用和防護體系建設帶來的良好防護能力將有助于為當前模糊的工業安全產品和技術發展方向提供正確指引,同時對完善和建設真正適用于工業控制系統的安全防護技術和產品體系形態能夠提供有力的工程應用支撐。
(3)結合流程行業共性特點的普適性應用模板
示范項目選取具備典型工業特點的百萬千瓦級火電機組,同時全廠采用現場總線技術實現智能儀表互聯互通,具備流程行業工控系統的共性特點。
基于以上基礎設計和建設的工業信息安全解決方案,適用于工控現場同時覆蓋流程行業全工藝環節的綜合安全防護工程應用模板,解決了主動安全技術與流程行業工控系統實施應用的適應性難題。
作者簡介:
沈鐵志(1975-),男,黑龍江哈爾濱人,高級工程師,碩士,現就職于國能神福(石獅)發電有限公司,研究方向為自動化。
穆雷霆(1981-),男,安徽宿州人,工程師,碩士,現就職于寧波和利時信息安全研究院有限公司,研究方向為工業自動化與網絡安全。
吳炳輝(1987-),男,福建莆田人,工程師,學士,現就職于國能神福(石獅)發電有限公司,研究方向為通信工程。
郭玉姬(1990-),女,湖南益陽人,工程師,學士,現就職于國能神福(石獅)發電有限公司,研究方向為自動化。
摘自《自動化博覽》2022年8月刊
北京市公安局海淀分局備案號:11010802023656號