当前位置:安全服务 \ 安全征文作品展
三等奖 —— 火力发电厂工控系统网络安全防护体系研究
新闻来源:
发布人:计算机安全协会
点击率:341
发布日期:2018.07.18

摘  要:信息技术的高速发展给工控系统信息安全带来了巨大挑战,而国内外层出不穷的工控安全事件将工控安全防护建设提上了日程。笔者首先阐述了近年来国家在工控领域发布的法规文件;接着将近期对几家大型火力发电厂工控系统的安全调查结果与几年前国家能源局的检查结果做对比,分析这几年来发电厂工控系统安全防护工作所取得的成绩,以及现阶段继续存在的安全问题和重大挑战;最后,笔者结合当前网络安全防护水平,从管理和技术角度提出了大型火力发电厂工控系统安全防护手段,对发电厂工控系统安全防护水平的提升具有指导意义。

关键词:工控安全防护 电力监控系统 火力发电厂


引言

随着两化融合以及“互联网+”的深入推进,工业控制系统以各种方式与外界网络联通,工控产品也越来越多的采用通用软件及通用协议,高度信息化使得工控系统更容易受到病毒、木马等威胁的攻击。另一方面,发电厂工控系统的稳定性、实时性、可靠性要求又限制了网络安全技术的应用,给安全防护带来了巨大的挑战,导致发电厂工控系统网络安全问题日益突出。

通过对几家大型火力发电厂的深入调查,分析火力发电厂工控系统网络安全现状,并结合目前的网络安全防护水平,从管理和技术角度提出可行的火力发电厂工控系统网络安全防护手段,以期进一步提升火力发电厂工控系统网络安全防护水平。

1 、国内外工控安全事件分析

工控安全事件最早发生在1994年,当时在美国亚利桑那州的电力公司遭到黑客入侵,2008年美国国安局针对电力系统进行了渗透测试,一台发电机在控制系统遭到攻击后发生了物理损坏。2010年,“震网”病毒攻击伊朗核设施,导致多台离心机超速损坏,该事件为工业生产控制系统安全敲响了警钟,国内外生产企业都开始把工控系统安全防护建设提上了日程。2014年上海一家燃机电厂由于工控网络故障及处置不当引起两台机组全停,整个电力行业对该起事件进行了教育学习。2015年,乌克兰电网因网络攻击引发大面积停电事故更是充分反映出工控系统信息安全面临着严峻的形势。

近几年,工控网络攻击技术发展迅速,而且攻击行为变得有组织、有预谋、集团化、专业化。例如HevexApt都是有针对性的攻击,精准定位,能够绕过防火墙、隔离设备,向工控系统传输木马或者逻辑炸弹,实现对工控系统的入侵和破坏。

2 、发电厂工控安全防护体系现状

2.1 国家法规介绍

2011年工信部在451号通知中指出,我国工业控制系统信息安全管理工作中仍存在不少问题,要求加强工业控制系统信息安全管理。

2014年发布的《电力监控系统安全防护规定》(发改委14号令)进一步明确了电力监控系统的定义,提出电力监控系统安全防护工作应按照国家信息安全等级保护的有关要求,坚持“安全分区、网络专用、横向隔离、纵向认证”的原则进行安全防护,并在技术管理、安全管理、保密管理、监督管理等方面进行了规范[1]

2015年国能安全[2015]36号文发布,细化了电力监控系统安全防护总体原则,提出了《电力监控系统安全防护总体方案》、《发电厂监控系统安全防护方案》、《电力监控系统安全防护评估规范》等安全防护方案和评估规范[2]

20175月工业与信息化部发布《工业控制系统信息安全事件应急管理工作指南》,要求各工业企业提高工控安全事件应急处置能力,预防和减少工控安全事件造成的损失和危害,保障工业生产正常运行[3]

20176月开始施行的《中华人民共和国网络安全法》作为基础性法律规范了网络安全管理方面的问题,完善了网络安全监管体制,为网络安全工作提供了切实法律保障,并提出了关键基础设施的网络安全防护要求。

2.2 发电厂工控安全防护体系现状调查

2014年国家能源局曾经组织电力企业网络与信息安全督察组对浙江省发电企业控制系统及电力监控系统进行安全检查,检查内容主要包括《电力二次系统安全防护规定》(注:现已改为《电力监控系统安全防护规定》)贯彻情况,信息安全等级保护备案情况,电力工控PLC设备信息排查情况等,该次检查发现了不少问题,主要表现为对工控系统信息安全问题重视不够,管理不规范,制度不健全,工控设备情况不明,技术防护措施不到位,安全防护能力不高等。

笔者在2017年对浙江省9家大型火力发电厂进行工控系统信息安全调查,其中包括6家总装机容量均超过百万的煤机发电、39F天然气发电,涉及DCS、辅控、NCS、调度数据网、实时数据平台等系统,按照规章制度、物理环境、资产管控、安全管理、运维管理、应急管理、网络安全、安全分区、主机安全以及应用数据安全共10项安全规范进行打分,其中符合、部分符合、不符合分别记10.50分,调查主要采用问询、现场勘察、登录系统测试等方式。调查结果如表1所示。 

blob.png 

2.2.1工控系统安全防护水平有所提升

    本次调查发现,各电厂工控系统安全防护水平较之2014年能源局检查结果有明显改善,主要体现在:

1)工控信息安全意识显著提高

       9家电厂仪控、电气专工以及维护人员每年至少参加一次关于信息安全的培训或讲座,对工控系统网络知识有了一定的认知,对工控系统信息安全的危害性有了更深入的了解。例如各家电厂的网络拓扑图在完整性上有了大幅提高,所有电厂的工程师站、操作员站、历史站电脑均设置了复杂性符合要求的密码口令。

2)管理更规范,制度更健全

       9家电厂都按照公安部等保要求进行了信息系统等保备案,其中工业控制系统均定级为三级系统,按照要求定期进行等保测评,并委托第三方进行风险评估及安全加固。

       管理制度进一步完善,各家电厂均设立了电力监控系统安全组织机构,计算机管理规定、信息安全防护规定、资产设备介质管理制度等进一步细化,并制定了工控系统安全应急预案。

3)工控安全防护技术手段进一步提高

       各电厂每年均有一定的费用用于工控系统安全建设,机房物理环境合规性状况良好,均按照36号文中《发电厂监控系统安全防护方案》进行了整体防护,网络安全设备的配置进一步完善,例如将电力调度网生产控制二区的原有边界防火墙更换为纵向加密装置,有7家电厂在部分工控区域部署了安全审计设备。

2.2.2工控系统安全防护存在的问题

       但是在工控系统安全管理方式及技术手段上存在不足资产管控、运维管理、应急管理、安全分区防御、主机安全防护、应用和数据安全方面还存在一系列的问题,主要体现在:

1)日常运维管理存在不足,问题整改不到位

       各家电厂均发布了较为全面的管理制度及规范,但是在日常运维管理中,还是存在各部门工控系统安全职责划分不清,安全问题整改不到位,设备管理台账记录不全等现象。

       虽然参与调查的所有电厂都进行了等保备案和测评,但是对于等保检查中所存在的问题整改不到位,或者不整改。

2)应急预案可操作性不强,演练流于形式

       虽然各家电厂均制定了工控系统应急预案,但是应急预案可操作不强,特别是应急预案演练存在较多不足,定期演练流于形式,预案演练的效果及经验总结不到位,滚动修编等工作未有效开展,且对于应急资源的配备缺乏统筹和前瞻性考虑。

3)各控制系统间未严格安全隔离

       多家电厂各机组DCS网络没有隔离,各机组工程师站可以互相ping通。通过查看厂商提供的实施材料发现,DCS网络核心交换机按照功能划分了VLAN,但是并未配置任何的访问控制策略和逻辑隔离,各控制节点之间网络全通。例如,在其中1家电厂调查时,发现能够从7#DCS工程师站用Telnet登陆8#机的测控装置且拥有读写权限。

       另外,多家电厂厂级监控系统(SIS)各机组接口机之间没有逻辑隔离,由于SIS系统作为DCS系统和企业信息网络的连接中介,存在来自企业信息网络病毒攻击的风险,该系统各机组接口机的互联状态使得整个DCS网络暴露在病毒威胁之下。

4)移动介质管理有漏洞

       虽然9家电厂均有外来介质管理制度,但是在实际的管理过程中存在不少漏洞,监管不到位,台账缺失现象比较普遍。本次调查中,通过查看注册表文件发现5家发电厂的工程师站或操作员站有较多U盘使用记录,但是没有任何台账记录;USB口封条存在反复启封现象。

5)主机安全加固普遍存在不足

       通过登录DCS工程师站、辅控工程师站、OPC站、NCS服务器等查看日志、端口、服务、注册表等配置情况,发现大部分所涉及的Windows系统未设置安全策略,默认共享、无关服务均处于默认开启状态,补丁未更新,仅有1家电厂的DCSNCS系统关闭了TelnetFTPSMTPRlogin等不必要的服务。调查中发现,其中有1家电厂的多台DCS主机感染病毒,另外1家电厂的NCS操作员站感染病毒。

6)部分电厂网络拓扑不完善

       调查发现还是有3家电厂的网络拓扑图未能及时更新,与实际情况不一致,其中有1家电厂的灰控、化控等辅控网络与SIS网络混用,且现场工作人员无法提供该详细设备清单。

7)网络安全设备配置不完善

       调查发现,部分电厂的网络安全设备无法登录,没有进行日常的运维。防火墙访问控制策略不够细化的问题普遍存在,配置的安全审计设备并未正常投入使用,网络安全设备的固件版本未及时更新。

3 、发电厂工控安全防护体系提升

 对发电厂工控系统安全来说,信息系统的稳定可靠是最重要的,必须在保证系统的实时性和高效性的前提下,进行工控系统安全防护。

3.1 管理升级

       完善管理制度建设,成立信息安全领导、工作小组,明确责任分工,信息部门加强技术监督,工控设备部门加强防范意识,并注重工控与信息安全的复合型技术人才培养。

       建立健全工控事件应急工作机制,预防为主、平战结合、快速反应、科学处置,加强风险监测,开展信息报送和通报,提高工控安全事件应急处置能力。

       进一步落实电力监控系统安全规范,严格执行外来人员、外接设备、外接介质管理,加强防病毒管理,例如windows操作系统,可以将整个系统拷贝出来进行病毒检查。

       等保测评以及安全评估整改,对于等保测评或安全评估检查中所存在的问题按要求进行整改,落实到位,逐步完善。

       3.2网络安全监控能力提升

       通过在工控系统核心交换机配置镜像端口,将DCSPLC等工控设备网络数据单向发送给工控安全审计系统进行分析、监测和统计,实现工控网络安全态势感知。对ModbusOPCProfibusEthernet/IPFFS7等工控协议报文进行解析,发现工控环境中的异常流量、畸形报文、恶意行为等,特别对工程师站组态变更、操作指令变更、PLC程序下装等操作行为进行审计和告警。

       3.3边界隔离能力提升

       在各工控OPCSIS接口机之间,各个机组边界之间采用工控防火墙进行逻辑隔离,通过对工控协议的深度解析以及白名单机制阻止网络内异常流量通行,及时发现工控系统存在的安全问题,更深层次的防护工控网络中的各类攻击。

3.4防护策略提升

       通过访问控制、主机加固等方式进行防护策略的提升。在工控系统核心交换机上配置访问控制策略,将网络威胁的范围降到最低;关闭不必要的服务和端口,如RloginHTTPDNS ClientTelnetSMTP等;定期进行补丁升级,特别是存在重大安全隐患的已知系统漏洞,及时更新关键补丁;进行主机状态的检测、病毒的查杀;通过在输入设备与主机间安装安全防护装置,进行输入过程监控和数据交换审计,实现对工控系统主机的安全管理和审计。当然,防护策略提升工作的开展需要与工控厂商保持良好的沟通,在保证业务正常运行的基础上,经过测试再在生产环境中应用。

4、 结论

本文结合对几家发电厂工控系统安全防护的情况调查,分析了现阶段发电厂工控系统安全防护体系现状,并根据调查结果提出了相应的安全防护体系提升手段,以期在管理和技术角度建立有效的工控系统防护体系。由于大型火力发电厂工控系统在可靠性、实时性、安全性等方面的多重要求,很多安全防护手段还正处于探索研究阶段,还有待在今后的实践应用中不断完善和深入。

 

参考文献:

[1]国家发展和改革委员会.电力监控系统安全防护规定,国家发展和改革委员会令[2014] 14.

[2]国家能源局. 关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知.国能安全[2015]36.

[3]工业与信息化部. 工业控制系统信息安全事件应急管理工作指南, 工信部信软[2017]122.

[4]朱松强. 发电厂控制与管理系统信息安全[D]. 中国电力出版社, 2017.


作者:孙科达(浙江浙能镇海发电有限责任公司)

上一篇:三等奖 —— 网络准入控制在银行信息安全建设中的应用
下一篇:三等奖 —— 宁波市气象局网络安全风险防御体系建设
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com