張琴玲,侯正煒,桂 華

（淮浙電力有限責任公司鳳臺發(fā)電分公司,安徽 淮南 232131）

0 引言

火力發(fā)電作為我國主流的發(fā)電類型,是國民經(jīng)濟發(fā)展的重要支撐?；鹆Πl(fā)電工業(yè)控制系統(tǒng)（以下簡稱“工控系統(tǒng)”）對火電廠運行安全至關重要。在兩化融合的大趨勢下,工業(yè)控制網(wǎng)絡（以下簡稱“工控網(wǎng)絡”）與辦公網(wǎng)絡的互聯(lián)互通是必然趨勢。從火力發(fā)電行業(yè)普遍性角度來看,工控網(wǎng)絡與辦公網(wǎng)絡的連接基本上僅有一個防火墻,但是不支持OPC等主流工控設備,控制粒度非常粗糙,存在很大的安全隱患。工控網(wǎng)絡基本上不具備發(fā)現(xiàn)、防御外部攻擊行為的手段,外部威脅源一旦進入辦公網(wǎng)絡,則可以連接到工控網(wǎng)絡的現(xiàn)場控制層,直接影響工業(yè)生產(chǎn)。另一方面,工控網(wǎng)絡內(nèi)部設備如各類操作站、終端等,大部分采用Windows系統(tǒng),為保證工業(yè)軟件穩(wěn)定運行無法進行系統(tǒng)升級甚至不能安裝殺毒軟件,存在大量漏洞,在自身安全性不高的情況下運行,工控系統(tǒng)的安全風險不言而喻。

2019年5月13日,網(wǎng)絡安全等級保護制度2.0標準（簡稱“等保2.0”）在原有的基礎上進行了細化、分類和加強,工控系統(tǒng)、云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)安全被納入管理范疇。等保2.0標準的發(fā)布,對加強中國網(wǎng)絡安全保障工作,提升網(wǎng)絡安全保護能力具有重要意義。本文將根據(jù)等保2.0的要求,結(jié)合火力發(fā)電廠工控系統(tǒng)實際情況,對其進行網(wǎng)絡安全等級保護設計。

1 火電廠工控系統(tǒng)網(wǎng)絡安全需求與防護設計的目標

1.1 火電廠工控系統(tǒng)網(wǎng)絡安全需求分析

1.1.1 安全域劃分需求

很多火電廠的工控系統(tǒng),包括整個網(wǎng)絡結(jié)構(gòu)中沒有相應的安全防護設備,處于不設防狀態(tài),各工控子系統(tǒng)之間沒有相應的隔離設備,不符合安全區(qū)域隔離的要求,關鍵服務器采用雙網(wǎng)卡的邏輯隔離方式等同于將工控系統(tǒng)暴露在公網(wǎng)上,十分危險。

1.1.2 生產(chǎn)控制系統(tǒng)與管理信息系統(tǒng)的網(wǎng)絡隔離需求

火電廠生產(chǎn)控制系統(tǒng)與管理信息系統(tǒng)的隔離十分重要,如火電廠廠級監(jiān)控信息系統(tǒng)SIS（Supervisory Information System）與生產(chǎn)過程控制系統(tǒng)PCS（Production Control System）相連,直接關系整個火電廠的運行調(diào)度,二者之間安全隔離才能確保工控系統(tǒng)不會受到來自管理網(wǎng)的安全威脅。

1.1.3 漏洞監(jiān)控和網(wǎng)絡入侵行為審計需求

電氣、鍋爐汽機、抄表等系統(tǒng)操作站和服務器大多采用Windows操作系統(tǒng),系統(tǒng)長期不更新導致大量漏洞存在,但相關人員并不掌握。另外,各類操作站的外設管理以及安裝軟件合規(guī)性等都需進行安全防護。對于監(jiān)控服務器、操作站服務器等設備的入侵或異常行為應進行及時監(jiān)測。

1.1.4 運維行為安全審計防護需求

運維人員在運維時都是直接將運維筆記本接入到現(xiàn)場控制層網(wǎng)絡,如果對運維行為沒有安全審計防護,可能會因為運維中的不當行為造成控制系統(tǒng)停機事故。

1.2 火電廠工控系統(tǒng)安全防護設計的目標

發(fā)電廠工控系統(tǒng)安全防護建設的總體目標是參照國內(nèi)外成熟、先進的方法和模型,根據(jù)火電廠工控系統(tǒng)的實際特點和安全需求,全面加強工控系統(tǒng)安全防護力度,切實保障生產(chǎn)經(jīng)營活動的正常開展。主要實現(xiàn)以下幾個具體目標:

第一,完善工控系統(tǒng)安全風險管理,實現(xiàn)風險管理的機制化運行,相關人員能準確掌握自身工控系統(tǒng)面臨的主要安全風險。

第二,強化生產(chǎn)網(wǎng)和管理網(wǎng)的隔離和訪問控制,防止安全威脅或風險的滲透和轉(zhuǎn)移。

第三,提升工控系統(tǒng)對入侵和異常行為的檢測和發(fā)現(xiàn)能力,實現(xiàn)安全威脅的可知、可查。

第四,提高工控系統(tǒng)安全管理響應效率,實現(xiàn)可視化統(tǒng)一管控。

2 火電廠工控系統(tǒng)網(wǎng)絡安全防護設計的思路與框架

2.1設計思路

在原有的防護基礎上,通過對生產(chǎn)控制大區(qū)內(nèi)部進行邊界區(qū)域安全防護、流量監(jiān)測審計、主機安全防護和安全綜合管理,從而滿足等級保護2.0中“一個中心、三重防護”的核心要求。具體思路是:

第一,邊界區(qū)域安全防護,主要對控制大區(qū)邊界和各系統(tǒng)間的區(qū)域進行隔離防護；

第二,主機安全防護,主要對工控上位機（工程師站、操作員站等）與工控服務器進行安全加固和防護；

第三,流量監(jiān)測審計,主要結(jié)合2015年國家能源局發(fā)布的36號文《電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》中入侵檢測和安全審計的要求,對電廠控制大區(qū)進行網(wǎng)絡監(jiān)測審計,對整個操作的行為安全性進行分析和監(jiān)控；

第四,安全綜合管理,通過對分布式部署的邊界防護產(chǎn)品、監(jiān)測審計產(chǎn)品的集中管理,以及工控系統(tǒng)日志的搜集和綜合分析,形成快速有效的威脅檢測、分析和處置能力。

2.2 設計框架

設計架構(gòu)采用“縱向分層、橫向分區(qū)”的縱深防御,充分體現(xiàn)了等保2.0“一個中心、三重防御”的思想?！耙粋€中心”指“安全管理中心”,“三重防御”指“安全計算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡通信”。同時等保2.0強化可信計算安全技術要求的使用,以實現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護和計算環(huán)境安全?；痣姀S工控系統(tǒng)網(wǎng)絡安全防護設計框架如圖1所示。

圖1 火電廠工控系統(tǒng)網(wǎng)絡安全防護設計框架Figure 1 Design framework for network security protection of industrial control system in thermal power plant

該框架充分參考了國內(nèi)外相關工控系統(tǒng)安全標準和成熟的安全模型,結(jié)合行業(yè)工控系統(tǒng)的業(yè)務特點和安全需求,同時按照生產(chǎn)優(yōu)先的原則,并充分考慮了對工控系統(tǒng)、網(wǎng)絡和軟硬件設備的兼容性。整體防護框架的落實需要按照循序漸進的原則逐步予以完善。根據(jù)該框架,對火電廠工控系統(tǒng)網(wǎng)絡安全防護建設的建議如下:

第一,開展全面的工控系統(tǒng)安全風險評估,充分了解工控系統(tǒng)中存在的安全風險,明確工控系統(tǒng)安全建設方向和重點。

第二,各類工控系統(tǒng)安全防護建設。首先,開展安全域劃分,明確安全防護重點和要求；其次,在工控系統(tǒng)中部署相應的安全技術防護措施,實現(xiàn)防護目標和效果。

第三,建立配套的安全管理措施。結(jié)合工控系統(tǒng)的管理特點和要求,以及國家相關標準規(guī)范,以現(xiàn)有運維管理制度和流程為基礎,制定專門的工控系統(tǒng)安全管理制度。

第四,形成網(wǎng)絡安全防護和管理的長效機制。通過專業(yè)機構(gòu)服務和自身的網(wǎng)絡安全管理團隊建設,內(nèi)外部協(xié)同,資源共享,使工控系統(tǒng)實現(xiàn)全方位、多角度、高效率的安全防護。

3 火電廠工控系統(tǒng)網(wǎng)絡安全防護的具體設計

根據(jù)等保2.0“一個中心、三重防御”的思想,對某火電廠工控系統(tǒng)進行網(wǎng)絡安全防護加固后的網(wǎng)絡拓撲如圖2所示。

圖2 某火電廠工控系統(tǒng)網(wǎng)絡安全防護加固后的網(wǎng)絡拓撲Figure 2 Network topology of a thermal power plant's industrial control system after network security protection has been strengthened

3.1 安全區(qū)域邊界防護設計

3.1.1 安全區(qū)域邊界防護要求

（1）控制區(qū)與非控制區(qū)邊界安全防護

安全區(qū)Ⅰ與安全區(qū)Ⅱ之間應當采用具有訪問控制功能的網(wǎng)絡設備、安全可靠的硬件防火墻或者相當功能的設備,實現(xiàn)邏輯隔離、報文過濾、訪問控制等功能。

（2）系統(tǒng)間安全防護

發(fā)電廠內(nèi)同屬于安全Ⅰ區(qū)的各機組監(jiān)控系統(tǒng)之間、機組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、同一機組不同功能的監(jiān)控系統(tǒng)之間,尤其是機組監(jiān)控系統(tǒng)與輸變電部分控制系統(tǒng)之間,根據(jù)需要可采取一定強度的邏輯訪問控制措施,如防火墻、VLAN等。

3.1.2 安全區(qū)域邊界防護目標

實現(xiàn)生產(chǎn)控制系統(tǒng)Ⅰ區(qū)到生產(chǎn)控制系統(tǒng)Ⅱ區(qū)之間生產(chǎn)和信息數(shù)據(jù)的安全訪問；實現(xiàn)廠級監(jiān)控系統(tǒng)到機組DCS之間、主控DCS與輔控DCS之間的數(shù)據(jù)安全訪問；實現(xiàn)現(xiàn)場不同系統(tǒng)之間的邏輯隔離,例如機組DCS間,避免某一個系統(tǒng)將安全問題引入其他子系統(tǒng)。

3.1.3 安全區(qū)域邊界防護的技術實現(xiàn)

通過對火電廠工控系統(tǒng)邊界的定義,在安全區(qū)域劃分的基礎上,針對不同安全區(qū)域的業(yè)務重要性以及區(qū)域之間的通信與數(shù)據(jù)交換需求,部署適當防護強度的邊界防護設備,進行有效的邊界防護。邊界定義:電廠生產(chǎn)控制區(qū)到電廠生產(chǎn)非控制區(qū)之間；電廠機組DCS（Distributed Control System）、輔控DCS和NCS（Network Control System）等系統(tǒng)之間。

（1）控制區(qū)（安全Ⅰ區(qū)）和非控制區(qū)（安全Ⅱ區(qū)）邊界安全防護

第一,工業(yè)防火墻防護方式。在安全Ⅰ區(qū)和安全Ⅱ區(qū)之間部署工業(yè)防火墻,如圖3所示。允許安全Ⅰ區(qū)只有特定的對象并通過特定的工控協(xié)議與安全Ⅱ區(qū)進行交互；同時對安全Ⅰ區(qū)和安全Ⅱ區(qū)之間傳輸?shù)膱笪膬?nèi)容做深度檢查,識別正常的操作行為并生成白名單,發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征時進行阻斷并告警。

第二,網(wǎng)閘防護方式。在安全Ⅰ區(qū)和安全Ⅱ區(qū)之間部署工業(yè)網(wǎng)閘（部署在圖3中的工業(yè)防火墻位置）,最大程度保證安全Ⅰ區(qū)和安全Ⅱ區(qū)之間數(shù)據(jù)采集和擺渡過程中的安全性。該方式實現(xiàn)了對基于TCP/IP協(xié)議體系攻擊的徹底阻斷,保障了工業(yè)網(wǎng)絡數(shù)據(jù)的安全傳輸。

圖3 安全Ⅰ區(qū)和安全Ⅱ區(qū)邊界防護部署工業(yè)防火墻Figure 3 Deploying industrial firewalls for border protection of Security ZoneⅠand Security ZoneⅡ

（2）電廠機組DCS、輔控DCS和NCS等系統(tǒng)之間的邊界安全防護

火電安全Ⅰ區(qū)內(nèi)部邊界安全防護部署如圖4所示。在機組DCS之間、主控DCS與輔控DCS之間等部署工業(yè)防火墻,避免工業(yè)控制網(wǎng)絡受到未知漏洞威脅,以及避免某一個DCS系統(tǒng)將安全問題引入其他DCS等系統(tǒng),同時防止誤操作、惡意病毒的傳播及越權(quán)訪問等。

圖4 火電安全Ⅰ區(qū)內(nèi)部邊界安全防護部署圖Figure 4 Security protection deployment diagram for the internal boundary of Thermal Power Safety ZoneⅠ

3.2 安全計算環(huán)境防護設計

3.2.1 安全計算環(huán)境防護要求

發(fā)電廠廠級信息監(jiān)控系統(tǒng)等關鍵應用系統(tǒng)的主服務器,以及網(wǎng)絡邊界處的通信網(wǎng)關機、Web服務器等,應當使用安全加固的操作系統(tǒng)。非控制區(qū)的網(wǎng)絡設備與安全設備應當進行身份鑒別、訪問權(quán)限控制、會話控制等安全配置加固。生產(chǎn)控制大區(qū)中除安全接入?yún)^(qū)外,應當禁止選用具有無線通信功能的設備。

3.2.2 安全計算環(huán)境防護目標

通過部署主機安全防護軟件,基于白名單、完整性保護等技術手段,加強主機的惡意代碼防范能力,避免不同監(jiān)控軟件如iFix、Rsview、組態(tài)王等漏洞被利用的情況發(fā)生,并有效阻止蠕蟲等病毒在內(nèi)網(wǎng)的傳播與破壞。

3.2.3 安全計算環(huán)境防護的技術實現(xiàn)

主機防護主要在發(fā)電廠生產(chǎn)控制系統(tǒng)如火電廠機組的DCS、輔控DCS以及NCS系統(tǒng)、ECMS等系統(tǒng)的上位機和服務器安裝防護軟件,以白名單的方式監(jiān)控工控主機的進程、網(wǎng)絡端口和USB端口狀態(tài),全方位地保護主機的資源使用。根據(jù)白名單配置,主機防護軟件會禁止非法進程的運行,禁止非法網(wǎng)絡端口的打開與服務,禁止非法USB設備的接入,從而切斷病毒和木馬的傳播與破壞路徑,保證上位機正常指令的順利下發(fā)和生產(chǎn)相關業(yè)務與進程的正常執(zhí)行。其特點如下:

第一,白名單控制?？尚艖冒酌麊?禁止白名單以外的惡意代碼加載運行,替代殺毒軟件黑名單防范惡意代碼的方式,避免殺毒軟件的誤殺問題；USB安全管理:規(guī)范USB設備使用,并防止各種USB作為媒介的攻擊行為。

第二,完整性保護。關鍵配置完整性:對操作系統(tǒng)、工控應用關鍵配置（文件、注冊表、數(shù)據(jù)庫等）進行保護,防止非可信應用對其進行修改；系統(tǒng)加固:對操作系統(tǒng)、關鍵文件、注冊表項、策略進行安全加固。

第三,應用軟件兼容性。多種機制保障白名單部署,全系統(tǒng)無縫兼容。

3.3 安全通訊網(wǎng)絡防護設計

3.3.1 安全通訊網(wǎng)絡防護要求

第一,入侵檢測。發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界正常信息流中的入侵行為,分析潛在的威脅并進行安全審計。

第二,安全審計。從管理層面提供工控網(wǎng)絡的有效監(jiān)督,預防、制止數(shù)據(jù)泄密,滿足對工控網(wǎng)絡行為審計備案及安全保護措施的要求,提供完整的記錄,便于信息追蹤、系統(tǒng)安全管理和風險防范。

第三,惡意代碼防范。及時更新特征碼,查看查殺記錄。

3.3.2 安全通訊網(wǎng)絡防護目標

監(jiān)測網(wǎng)絡流量中的惡意代碼或漏洞攻擊行為,分析潛在威脅并進行安全預警；通過機器自學習和合理設置安全規(guī)則,檢測規(guī)則以外的異常數(shù)據(jù)和非法操作行為并進行記錄和告警,防止誤操作；進行監(jiān)測審計,生成當前生產(chǎn)網(wǎng)絡的行為日志和運行日志,彌補現(xiàn)有工控系統(tǒng)無安全日志的空白,便于事件追溯和分析。

3.3.3 安全通訊網(wǎng)絡防護的技術實現(xiàn)

在火電廠的安全Ⅱ區(qū)核心交換機側(cè)部署安全監(jiān)測審計平臺,以旁路鏡像核心交換機數(shù)據(jù)端口的方式,對外部入侵行為和內(nèi)部人員操作行為進行監(jiān)測審計,如圖5所示。

圖5 火電廠工控系統(tǒng)網(wǎng)絡監(jiān)測審計部署Figure 5 The deployment of network monitoring and auditing of industrial control systems in thermal power plants

監(jiān)測審計包含入侵行為檢測特征庫。特征庫包含兩大類:一類覆蓋常見工控網(wǎng)絡的木馬、蠕蟲病毒和滲透攻擊、拒絕服務等信息；另一類是針對電力行業(yè)特有環(huán)境下的攻擊特征,如利用操作系統(tǒng)、組態(tài)軟件、OPC工業(yè)協(xié)議等漏洞的攻擊。同時,監(jiān)測審計由于系統(tǒng)集成商、設備供應商、第三方運維服務商等其他外部企業(yè)通過互聯(lián)網(wǎng)遠程連接電力生產(chǎn)控制大區(qū)內(nèi)的系統(tǒng)或設備進行遠程調(diào)試、維護等操作。其具體功能如下:

第一,事前預警。通過裝置的自學習功能,收集和分析深入到協(xié)議層級的網(wǎng)絡數(shù)據(jù)、流量、操作指令及其他網(wǎng)絡信息,檢測發(fā)現(xiàn)隱藏于網(wǎng)絡正常信息流中的入侵行為,分析潛在威脅；對工控網(wǎng)絡系統(tǒng)內(nèi)未知設備接入進行實時告警；對工控系統(tǒng)中流量的流入流出異常情況進行監(jiān)測和預警。

第二,事中決策。通過流量特征檢測、弱點檢測、流量異常檢測、DDoS分析和混合式攻擊檢測等多重檢測技術,識別出正常網(wǎng)絡行為和異常網(wǎng)絡行為。在有外部攻擊或者內(nèi)部人員誤操作的時候,通過告警的方式提醒電廠運維人員判斷異常行為是否為攻擊,經(jīng)判定后確定繼續(xù)執(zhí)行操作或者終止指令。

第三,事后追溯。對已經(jīng)發(fā)生的安全事件進行統(tǒng)計并以報表的方式展現(xiàn),總結(jié)出事件發(fā)生的全部過程并將事件還原,經(jīng)過對事件各個環(huán)節(jié)的分析,建立有針對性的防護措施,避免類似安全事件的再次發(fā)生。

3.4 安全管理中心防護設計

3.4.1 安全管理中心防護要求

實時監(jiān)測電力監(jiān)控系統(tǒng)的計算機、網(wǎng)絡及安全設備運行狀態(tài)；定期對工控系統(tǒng)的應急響應預案進行演練,必要時對應急響應預案進行修訂。

3.4.2 安全管理中心防護目標

對工控系統(tǒng)內(nèi)的防護設備統(tǒng)一進行安全管理,即可以統(tǒng)一控制配置管理、部署安全策略和監(jiān)控通信流量與安全事件,消除安全孤島；通過多種方式來收集設備和業(yè)務系統(tǒng)的日志,通過對系統(tǒng)采集到的資產(chǎn)、業(yè)務、脆弱性漏洞、威脅、事件等信息進行大數(shù)據(jù)分析,從整體視角進行安全事件分析、安全攻擊溯源和根因挖掘等。

3.4.3 安全管理中心防護技術實現(xiàn)

安全管理平臺的部署如圖6所示。安全管理平臺基于對網(wǎng)絡中安全產(chǎn)品的集中管理,系統(tǒng)、主機、網(wǎng)絡設備等日志的搜集,以及告警、流量的關聯(lián)分析,在降低運維成本的同時形成快速有效的威脅檢測、分析、處置能力。

圖6 火電廠工控系統(tǒng)安全管理平臺部署Figure 6 Deployment of safety management platform for industrial control system in thermal power plants

第一,安全產(chǎn)品統(tǒng)一管理。統(tǒng)一管理和配置工業(yè)防火墻、安全監(jiān)測審計等安全產(chǎn)品,并監(jiān)測設備的通信流量和安全事件。

第二,信息采集。通過多種方式收集設備和業(yè)務系統(tǒng)的日志,例如Syslog,SNMPTrap,FTP和ODBC等。

第三,大數(shù)據(jù)分析。通過對系統(tǒng)采集到的資產(chǎn)、業(yè)務、脆弱性漏洞、威脅、事件等信息進行大數(shù)據(jù)分析,實現(xiàn)安全事件的關聯(lián)分析,協(xié)助用戶對不同設備的統(tǒng)一安全策略管理。

第四,應急響應。通過全局分析,進行安全預警,以便針對不同的安全事件快速啟動應急響應策略。

4 結(jié)語

本文結(jié)合等保2.0具體要求,構(gòu)建了火電廠工控系統(tǒng)網(wǎng)絡的邊界安全、流量行為安全、主機安全、安全綜合管理為一體的網(wǎng)絡安全防護體系,形成了安全防護的合力,提高了火電廠工控系統(tǒng)網(wǎng)絡抵御內(nèi)外部攻擊的能力。該系統(tǒng)實現(xiàn)了統(tǒng)一控制配置管理、統(tǒng)一部署安全規(guī)則、統(tǒng)一監(jiān)控通信流量與安全事件,既可以消除安全孤島,又可以從整體視角進行安全事件分析、安全攻擊溯源和根因挖掘。

針對當下信創(chuàng)產(chǎn)業(yè)國產(chǎn)化替代,下一步需要從電力監(jiān)控網(wǎng)絡的內(nèi)在特性和行業(yè)特點出發(fā),從隱患根源著手,研究電力監(jiān)控系統(tǒng)現(xiàn)場底層和內(nèi)部量身定制國產(chǎn)化硬件結(jié)構(gòu)及芯片的安全技術,最終實現(xiàn)電力監(jiān)控系統(tǒng)的穩(wěn)定運行和安全治理。