張相東

摘要：火電廠 DCS 系統(tǒng)網(wǎng)絡(luò)安全相對(duì)薄弱，安全防護(hù)措施在傳統(tǒng)控制網(wǎng)絡(luò)中相對(duì)滯后，在日益嚴(yán)峻的工控信息安全形勢下，有效采取風(fēng)險(xiǎn)消控措施，實(shí)保障機(jī)組的安全運(yùn)行，有著極其重要的經(jīng)濟(jì)和社會(huì)意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全;DCS 系統(tǒng);防護(hù)

中圖分類號(hào)：TP301 ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）15-0289-02

1 背景

目前國內(nèi)發(fā)電種類主要包括火電、水電、核電、風(fēng)電及其他綠色環(huán)保電力，其中火電在電力結(jié)構(gòu)中占比最高。伴隨著大容量、高參數(shù)火電機(jī)組的不斷投產(chǎn)和運(yùn)行，其對(duì)自動(dòng)化控制的要求也不斷提高，新型電廠控制系統(tǒng)已向數(shù)字化和智能化進(jìn)行轉(zhuǎn)變。電廠控制系統(tǒng)不斷發(fā)展，各種通用的網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用于電廠控制系統(tǒng)，其安全問題日益突出。但是相比互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的熱度，電廠控制系統(tǒng)的網(wǎng)絡(luò)安全一直“備受冷落”。直到近年國外發(fā)生多起因黑客網(wǎng)絡(luò)攻擊導(dǎo)致電力系統(tǒng)癱瘓的事件，才引起人們對(duì)電廠控制系統(tǒng)信息安全的重視。

2010年，伊朗“震網(wǎng)病毒”事件震驚全球。2012年，兩座美國電廠遭USB病毒攻擊，感染了電廠控制系統(tǒng)，相關(guān)控制數(shù)據(jù)被竊取。2015年，烏克蘭電力系統(tǒng)遭到具有高度破壞性的惡意軟件攻擊，造成的大規(guī)模停電事故。2019年3月委內(nèi)瑞拉發(fā)生大規(guī)模停電事件。網(wǎng)絡(luò)攻擊水電站計(jì)算機(jī)系統(tǒng)中樞是造成大規(guī)模停電的重要原因。

2 信息安全威脅

隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合，工控系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議和硬件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，從而導(dǎo)致工控系統(tǒng)被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)增大，保護(hù)工控系統(tǒng)信息安全刻不容緩。

火電廠工控系統(tǒng)面對(duì)如下威脅：

2.1 操作系統(tǒng)安全漏洞

Windows的操作系統(tǒng)現(xiàn)已成為工控機(jī)操作站的主流，每個(gè)型號(hào)的Windows系統(tǒng)自發(fā)布以來都在不停發(fā)布更新補(bǔ)丁，打過補(bǔ)丁的操作系統(tǒng)沒有經(jīng)過制造商測試，存在不安全運(yùn)行的風(fēng)險(xiǎn)。但是與之相矛盾的是，系統(tǒng)不打補(bǔ)丁就會(huì)存在被攻擊的漏洞，即使是普通常見病毒也會(huì)遭受感染，可能造成操作站乃至整個(gè)控制網(wǎng)絡(luò)的癱瘓。

2.2 病毒與惡意代碼

基于工控軟件與殺毒軟件的兼容性，在操作站上通常不安裝殺毒軟件，即使是有防病毒產(chǎn)品，其基于病毒庫查殺的機(jī)制在工控領(lǐng)域使用也有局限性，主要是網(wǎng)絡(luò)的隔離性和保證系統(tǒng)的穩(wěn)定性導(dǎo)致病毒庫對(duì)新病毒的處理總是滯后的。在操作站上，即插即用的U盤等存儲(chǔ)設(shè)備濫用，更給這類病毒帶來的泛濫傳播的機(jī)會(huì)。

2.3 黑客入侵與應(yīng)用軟件安全漏洞

黑客入侵和工控應(yīng)用軟件的自身漏洞通常發(fā)生在遠(yuǎn)程工控系統(tǒng)的應(yīng)用上，另外，對(duì)于分布式的大型的工控網(wǎng)，人們?yōu)榱丝刂票O(jiān)視方便，安裝無線網(wǎng)卡方式實(shí)現(xiàn)遠(yuǎn)程診斷與分析，同時(shí)也不可避免地給黑客入侵帶來了方便之門，無線網(wǎng)絡(luò)技術(shù)使用帶來的網(wǎng)絡(luò)防護(hù)邊界模糊。

2.4 工藝數(shù)據(jù)安全威脅

電廠內(nèi)部生產(chǎn)管理數(shù)據(jù)、控制工藝數(shù)據(jù)等各類數(shù)據(jù)的安全問題，不管數(shù)據(jù)是通過大數(shù)據(jù)平臺(tái)存儲(chǔ)、還是分布在用戶、生產(chǎn)終端、設(shè)計(jì)服務(wù)器等多種設(shè)備上，海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。

2.5 人員管理安全威脅

隨著電廠網(wǎng)絡(luò)化和數(shù)字化發(fā)展，企業(yè)管理人員的無意識(shí)的行為可能破壞工業(yè)系統(tǒng)、傳播惡意軟件、忽略工作異常等，因?yàn)榫W(wǎng)絡(luò)的廣泛使用，這些挑戰(zhàn)的影響將會(huì)急劇放大;而針對(duì)人的釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此，人員管理的也面臨巨大安全挑戰(zhàn)。

3 電廠DCS控制系統(tǒng)安全防護(hù)

3.1 系統(tǒng)總體架構(gòu)

DCS系統(tǒng)為相對(duì)獨(dú)立的控制網(wǎng)絡(luò)，但隨著自動(dòng)化程度的提高和不同系統(tǒng)間通訊的需求，仍存在各種第三方系統(tǒng)接口（SIS系統(tǒng)、汽機(jī)安全監(jiān)視系統(tǒng)、汽機(jī)振動(dòng)監(jiān)測和故障診斷系統(tǒng)、電氣監(jiān)控管理系統(tǒng)、電力網(wǎng)絡(luò)微機(jī)監(jiān)控系統(tǒng)等）作為DCS網(wǎng)絡(luò)邊界。

3.2 邊界安全防護(hù)

工業(yè)控制網(wǎng)與互聯(lián)網(wǎng)相通可能會(huì)導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中的DCS控制設(shè)備暴露在公網(wǎng)中，而這些設(shè)備本身就存在安全漏洞，針對(duì)這些漏洞的攻擊手段（如病毒、木馬、攻擊腳本）很有可能會(huì)從互聯(lián)網(wǎng)、管理網(wǎng)等途徑入侵，傳統(tǒng)安全設(shè)備（如防火墻、IDS等）無法識(shí)別和防范攻擊，一旦發(fā)生攻擊必然會(huì)導(dǎo)致DCS控制設(shè)備異常，進(jìn)而影響整個(gè)生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行。因此，必須在DCS控制網(wǎng)絡(luò)中部署安全設(shè)備，自動(dòng)檢測并防范攻擊，保證DCS控制網(wǎng)絡(luò)穩(wěn)定、安全運(yùn)行。

DCS系統(tǒng)各自作為獨(dú)立系統(tǒng)，通過核心交換機(jī)進(jìn)行VLAN劃分，與第三方系統(tǒng)（SIS、TSI、PLC、ECMS和NCS等）的通訊接口。OPC工作站到SIS系統(tǒng)之間，為保障自身的網(wǎng)絡(luò)邊界防護(hù)，ovation系統(tǒng)部署FW工業(yè)防火墻，實(shí)現(xiàn)對(duì)DCS控制網(wǎng)絡(luò)的縱向邊界深度安全防護(hù)，防范來自互聯(lián)網(wǎng)、SIS網(wǎng)的攻擊。在電廠控制網(wǎng)絡(luò)各個(gè)安全區(qū)域之間部署火墻，實(shí)現(xiàn)區(qū)域橫向邏輯隔離，阻止來自區(qū)域之間的越權(quán)訪問，病毒、蠕蟲惡意軟件擴(kuò)散和入侵攻擊，保護(hù)各個(gè)區(qū)域控制系統(tǒng)安全運(yùn)行。電廠內(nèi)同屬于安全I(xiàn)區(qū)的各機(jī)組監(jiān)控系統(tǒng)之間、機(jī)組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、同一機(jī)組的不同功能的監(jiān)控系統(tǒng)之間，根據(jù)需要可以采取一定強(qiáng)度的邏輯訪問控制措施，如防火墻、VLAN等。

3.3 補(bǔ)丁配置管理

現(xiàn)有DCS控制軟件自身的環(huán)境要求，DCS控制網(wǎng)絡(luò)內(nèi)上位機(jī)和服務(wù)器的操作系統(tǒng)相對(duì)比較固定，很少升級(jí)打補(bǔ)丁，以免對(duì)DCS生產(chǎn)運(yùn)行造成影響。但是不打補(bǔ)丁系統(tǒng)會(huì)存在漏洞，易被利用攻擊，造成嚴(yán)重后果。因此操作系統(tǒng)補(bǔ)丁升級(jí)操作需要綜合考慮，進(jìn)行嚴(yán)格的安全評(píng)估和測試驗(yàn)證，在不影響生產(chǎn)運(yùn)行的情況下進(jìn)行補(bǔ)丁安裝。應(yīng)采用DCS廠商發(fā)布的經(jīng)過兼容性測試的補(bǔ)丁對(duì)系統(tǒng)進(jìn)行補(bǔ)丁升級(jí)操作。

3.4 安全軟件管理

保證各個(gè)單元控制系統(tǒng)上位機(jī)操作系統(tǒng)只運(yùn)行指定的工控軟件和配套的數(shù)據(jù)庫軟件，其他任何未經(jīng)允許的軟件不得在操作系統(tǒng)中啟動(dòng)運(yùn)行，并且控制開機(jī)自動(dòng)啟動(dòng)的軟件。各個(gè)單元控制系統(tǒng)上位機(jī)操作系統(tǒng)不能頻繁進(jìn)行配置更新，確保上位機(jī)運(yùn)行環(huán)境安全。

3.5 U口使用管理

保證各個(gè)單元指定的控制系統(tǒng)上位機(jī)、控制系統(tǒng)服務(wù)器的USB口可被監(jiān)控，并可控制USB口的使用權(quán)限。DCS控制網(wǎng)絡(luò)中通過U盤進(jìn)行信息拷貝是常見的現(xiàn)象，由此也會(huì)帶來病毒木馬傳染的安全隱患，需對(duì)上位機(jī)、服務(wù)器的USB口進(jìn)行安全管理，經(jīng)過認(rèn)證合法的U盤才能被識(shí)別使用，并能夠?qū)χ付ǖ拿舾形募M(jìn)行保護(hù)，限制文件隨意拷貝到U盤中。

3.6 DCS主機(jī)安全加固

生產(chǎn)控制大區(qū)是電力企業(yè)重點(diǎn)保護(hù)的區(qū)域，在其控制區(qū)域內(nèi)各個(gè)關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器，以及上位機(jī)、操作工作站等，通過部署DCS主機(jī)防護(hù)軟件及設(shè)備（DCS主機(jī)防護(hù)軟件、專用安全U盤、終端準(zhǔn)入管控系統(tǒng)等）安全加固措施，來提升主機(jī)的防御能力。防護(hù)方式應(yīng)該包括如下內(nèi)容：

控制區(qū)的主機(jī)應(yīng)該通過安裝針對(duì)電力工業(yè)控制系統(tǒng)開發(fā)的工業(yè)主機(jī)安全防護(hù)軟件強(qiáng)化主機(jī)的安全能力，包括主機(jī)軟件和進(jìn)程監(jiān)控、網(wǎng)絡(luò)端口和外設(shè)端口管理。生產(chǎn)控制區(qū)主機(jī)的加固技術(shù)應(yīng)該避免與管理信息大區(qū)的技術(shù)相同，通過異構(gòu)方式提升整體安全的防護(hù)能力。

火電廠生產(chǎn)控制大區(qū)的主機(jī)應(yīng)該只能運(yùn)行與電力生產(chǎn)作業(yè)相關(guān)的軟件應(yīng)用程序（例如DCS），其他與電力生產(chǎn)無關(guān)的軟件或應(yīng)用程序需要禁止安裝。控制區(qū)內(nèi)的主機(jī)應(yīng)該禁止選用帶有無線功能主機(jī)，以保障控制區(qū)內(nèi)的網(wǎng)絡(luò)接入設(shè)備可控。

通過對(duì)主機(jī)進(jìn)行相關(guān)的配置修改，提高主機(jī)的防護(hù)能力，包括對(duì)業(yè)務(wù)應(yīng)用不使用的服務(wù)端口進(jìn)行關(guān)閉配置;對(duì)操作系統(tǒng)的登陸設(shè)置復(fù)雜度較高密碼;對(duì)組態(tài)軟件修改默認(rèn)用戶名密碼等配置和操作，每次配置的變更要經(jīng)過測試。

3.7 數(shù)據(jù)安全和備份恢復(fù)

在生產(chǎn)系統(tǒng)內(nèi)部部署安全U盤，專網(wǎng)專用，數(shù)據(jù)加密。安全U盤分為普通區(qū)和安全區(qū)，不同使用環(huán)境配置不同的分區(qū)。普通區(qū)在未安裝DCS主機(jī)防護(hù)軟件的計(jì)算機(jī)上可讀取;安全分區(qū)僅在安裝有防護(hù)軟件的主機(jī)上，同時(shí)開放相應(yīng)策略后才可看到和正常使用，實(shí)現(xiàn)“專區(qū)專用”。對(duì)安全分區(qū)進(jìn)行加密，采用高強(qiáng)度商密算法，有效防止暴力破解導(dǎo)致的數(shù)據(jù)泄露。

安全U盤結(jié)合防護(hù)軟件移動(dòng)存儲(chǔ)介質(zhì)管理功能以及自身安全特性，可有效防御木馬、病毒等進(jìn)入工控主機(jī)，保證主機(jī)安全。

4 結(jié)束語

大機(jī)組火電廠在電網(wǎng)中的安全穩(wěn)定性直接關(guān)乎供電的可靠性，電廠控制系統(tǒng)的信息安全也越發(fā)重要。處理好電廠控制系統(tǒng)信息安全，不僅需要引起電廠的重視，還關(guān)系到電廠所在地區(qū)和國家的安全。如何保證電廠控制系統(tǒng)的信息安全，已經(jīng)成為電廠控制系統(tǒng)的一個(gè)研究熱點(diǎn)。近些年來，隨著火電機(jī)組容量不斷上升，控制系統(tǒng)的整體規(guī)模正在逐步擴(kuò)大，與之有關(guān)的安全等級(jí)也應(yīng)全面提升。本文通過介紹電廠DCS網(wǎng)絡(luò)防護(hù)的一些注意事項(xiàng)，希望給同行在網(wǎng)絡(luò)防護(hù)中提供幫助。

參考文獻(xiàn)：

[1]國能安全[2015]36號(hào)，電力監(jiān)控系統(tǒng)安全防護(hù)總體方案.

[2]工業(yè)和信息化部〔2016〕338號(hào)，工業(yè)控制系統(tǒng)信息安全防護(hù)指南.

[3]陳榮 安全防護(hù)在電廠DCS系統(tǒng)網(wǎng)絡(luò)中的應(yīng)用[C].2017年江西省電機(jī)工程學(xué)會(huì)年會(huì)論文集.

【通聯(lián)編輯：梁書】