華能集團生產控制系統安全監管預警平臺 ——工業互聯網中的工控信息安全
北京天地和興科技有限公司成立于2007年,總部位于北京,是一家專注于工控行業信息安全測評、防護與技術服務的高新技術企業和雙軟認證企業;公司擁有先進的技術、成熟的市場拓展、優質的系統集成和工程服務等核心競爭力,為企業客戶提供全方位一體化解決方案。通過在工控系統內多年的研發投入和積累,完全自主研發并推出包括工業防火墻、主機安全防護系統、工控安全審計平臺、工控威脅檢測系統、賬號管理及運維審計系統、工控入侵檢測系統以及工控安全監管和分析平臺為一體的整體解決方案,在各發電集團獲得普遍認可,并推動了發電廠信息安全示范性工程及安全防護試點項目的開展。公司根據華能玉環電廠工控系統網絡安全的實際情況,結合發改委2014年第14號令、國家能源局2015年第36號文件、國能安全161號文、國家經貿委30號令等一系列相關政策和華能集團針對電廠工控系統安全防護的具體要求,制定針對性的項目技術路線。
一、項目概況-百萬機組的“難題”
華能玉環電廠是由華能國際電力股份有限公司開發、建設的全資電廠。電廠位于浙江省臺州市玉環縣大麥嶼開發區,華能玉環電廠是國家“863”計劃中引進超臨界機組技術,逐步實現國產化的國家重點依托工程。是全國第一個投產百萬千瓦超超臨界機組、第一座擁有四臺百萬千瓦機組的燃煤電廠。
1. 項目背景-頂層設計、整體布局
充分結合華能集團玉環電廠工控系統的實際情況,有針對性的制定具體解決方案:
(1)加強頂層設計,制定電力行業信息安全解決方案,完善電力行業信息安全管理標準制度,建立電力行業信息安全監測、通報預警、應急處置、協同聯動機制,構建電力行業信息安全縱深聯動防御標準體系。
(2)建立電力行業統一信息安全基礎平臺,具體包括電力行業信息安全通信平臺和電子認證服務平臺。
(3)開展電力行業生產控制大區試點示范。
2. 項目簡介-多維度的安全體系
本項目采用三層分布式架構,由安全監測層、區域管控層和全網分析層組成。安全監測層包含流量監測模塊、行為監測模塊、威脅監測模塊、主機監測模塊和監測數據存儲模塊,負責建立廠級電力工控系統信息安全縱深監測體系,并完成各安全分區內安全數據的存儲轉發。
3. 項目目標-行業信息安全的防護之道
依據電力行業已發布的國家與行業標準規范,按照安全分區、網絡專用、橫向隔離、縱向認證、綜合防護對當前計算機監控網絡進行安全升級,設計、建設玉環電廠工業控制系統網絡安全防護體系,并實現以下建設目標:
1. 提高電廠工業控制系統信息安全防護能力和管理水平。
在工控系統的主機層和網絡層進行安全加固、搭建監測、審計、預警平臺,制定一套信息安全管理措施和標準,以有效抵御來自工控網絡內部、外部的病毒、入侵、滲透以及違規操作行為對工業控制系統造成破壞,防范信息安全事故的發生。
2. 滿足合規性要求
滿足能源局36號文等一系列政策中的要求,使電廠的工業控制系統安全防護措施達到各監管部門對發電企業的要求。
3.集團戰略目標的契合
集團先后對各電廠開展了安全性評價標準查評及聘請專業機構對系統進行等級保護測評工作。
二、項目實施概況-用科技推動工業進步
本項目在工業互聯網體系架構的基礎上應用了基于工業控制系統的防護手段,構建了安全可控為目標、監控審計為特征的電廠控制系統新一代主動防御體系,提高工業控制系統在于工業互聯網對接過程中的整體安全性。
1. 項目總體架構和主要內容-一體化的功能支撐
圖1 項目總體架構圖
1. 監測模塊
監測模塊可以實現對生產控制大區的工控系統和業務的安全狀態進行實時監測和安全事件分析。
2. 預警模塊
預警模塊采用事件搜集及深度分析技術,從全局角度進行安全事件實時分析處理,為管理者提供網絡安全風險的實時告警;幫助決策者根據生產控制網絡的安全形勢,及時調整安全策略和有效部署安全措施;及時消除網絡系統中的安全隱患;實現可視化的網絡安全管理,幫助用戶實現網絡系統的持續安全運營。
3. 審計模塊
審計模塊對威脅進行閉環管理的過程,從全局角度進行安全事件實時分析處理;幫助管理者掌握網絡運行情況。
4. 平臺模塊
接入防護平臺部署與生產控制系統類型無關,不影響生產控制系統的安全性和可靠性。針對電力行業信息安全防護特點,采用并接、串接、信息擺渡等方式實現對生產控制系統的安全防護和審計,確保本地終端及遠程終端的安全接入。不影響系統控制系統的安全性和可靠性,不增加新的系統風險點。
2. 網絡互聯架構-基于工控網絡的獨立設計
在本項目中,網絡互聯技術負責的是能源信息安全數據的的識別、采集、分析、傳送、管理等方面,是實現多種信息內容合理調配的關鍵。在信息采集和處理方面,在基于電廠自身的信息采集與傳輸上,基于旁路的防暑部署數據采集節點,包含海量數據采集、預處理、存儲、分析等功能的大數據技術等。在設備與平臺方面,應用具有可產業化的、工業環境下的專業設備進行對整個信息平臺的建設。在通信安全、傳輸協議和標準方面,具備專業協議深度解析,支持工控協議包括Modbus/TCP,OPC,IEC104,DNP3, S7等,并可對協議數據包深度解析。
3. 數據架構和應用-特有的工控數據化管理
整個數據傳輸的架構分為數據傳輸層、數據處理層、數據分析層、應用服務層以及態勢展示層。
數據傳輸層負責數據傳輸。通過消息中間件將數據傳輸給中心平臺。
數據處理層通過分析引擎從消息中間件讀取數據后,進行數據解壓縮,數據解密等操作。
數據分析層內置多種分析引擎,包括:智能檢索引擎,關聯分析引擎,統計分析引擎,態勢展示引擎,報表引擎等。
應用服務層提供系統的基本功能,包括資產管理,配置管理,事件管理,風險管理,知識庫管理等。
態勢展示層通過可視化的頁面展示網絡態勢情況,通過3D地圖,熱力圖,雷達圖,平行坐標圖等多種可視化圖標展示網絡安全情況和態勢。
4. 安全及可靠性-三重防御多級互聯
本項目不僅僅是華能集團2016年工控信息安全防護改造試點(暨國家發改委工控信息安全改造示范項目),更是為發電企業的網絡安全防護做出了技術示范作用,優化管理流程,切實保證了發電企業工業控制系統免受病毒、惡意代碼等威脅,保持安全穩定運行的狀態。安全框架通過借鑒《信息安全技術 網絡安全等級保護安全設計要求 第五部分:工業控制安全要求》 “網絡三重防御多級互聯”的互聯技術框架。采用“一個中心、三重發現”的建設理念,其中包含:
1. 資產安全
確立以資產安全為核心的安全生產原則,保障資產按時按規定的正常運行和及時檢測出資產的異常行為,從而保護電力生產全過程的安全。
2. 空間域監測
在空間域方面,借鑒了縱深防御的思想,形成一套縱深監測架構,包括:邊界監測、區域監測、節點監測、核心監測、整體監測五個方面。
3. 時間域監測
在時間域方面,設計了評估、防護、偵測、響應、恢復、決策六大過程,通過持續實施六大過程監測來積極響應工控網絡風險變化,促進工控網絡整體安全的螺旋式上升。
三、下一步實施計劃-打造可信工控環境、助力網絡強國
1. 工控信息安全框架(IFS)
加大更具有針對性的工業互聯網體系架構下的工控安全技術研發力度,貫徹落實習近平總書記419講話精神,搭理開展工業信息安全仿真測試、漏洞挖掘、攻防對抗等非對稱技術、前沿技術、顛覆性技術的攻關工作,研發自主可控且滿足工控系統特點的專用工控安全防護工具。持續推進工控信息安全框架(IFS)建設,提升工業控制系統在線監測和數據分析能力,實現全天候全方位感知工業信息安全態勢。如圖2所示:
圖2 ISF框架
2. 深防護深感知
建立以工控協議深度(DPI)檢測能力為核心的工控系統網絡環境感知能力平臺。研發以可信、加固、抗惡意代碼為中心的工控節點安全產品方向和以預警、隔離、應急、追溯為中心的工控區域安全產品方向。
四、項目創新點和實施效果
(一). 項目先進性及創新點-可復制的全系列生命周期應用案例
1.可以生產全系列的工控安全產品
? 提供全系列工控安全產品,可以滿足不同工控系統信息安全防護項目的需要。
? 工控安全產品覆蓋了整個生產監控系統的核心部分。
2.工控安全產品性能達到國內領先水平
? 獨有的專利技術的全機柜一體化解決方案;松耦合的安全框架設計具有極好的設備兼容性;一體化安全產品管理機制。
? 配置簡單方便,無需部署管理集中部署;完全為工控網絡設計開發,非IT審計的修改。
? 獨有的專利技術雙因子認證;白名單采用高效的hash檢索算法,檢索時間小于4微秒;白名單深入系統內核,包括U盤、動態鏈接庫、命令行等。
? 采用工業級無風扇設計,配置簡單方便;支持工業控制協議識別。
3. 先進的管理體系
? ISO14001900127001管理體系、信息安全服務資質(信息安全風險評估三級)
4.持續的先進技術支持
? 武漢建立工控信息安全產品研發中心。
? 完善的售后服務系統
? 與工業界、學術界、科學院校、培訓機構的廣泛合作
5.創新關鍵技術
? Windows系統調用攔截技術
? 多源異構現場設備環境感知技術
(二)實施效果-為用戶考慮的智能安全
通過采用一整套的工控系統信息安全解決方案,以建立縱深防御策略為主要思想,主要達到了如下效果:
1.入侵檢測:
對緩沖區溢出、SQL 注入、DoS 攻擊、蠕蟲病毒、木馬后門等各類黑客攻擊和惡意流量進行實時檢測及報警,并通過與防火墻聯動、安全中心顯示、日志數據庫記錄等方式進行動態防御。
2.深度檢查:
面向應用層對特有的工業通訊協議進行內容深度檢查,告別病毒庫升級缺陷;
3.通信管控:
對數據流量進行管控,通過端口、地址、協議等方式對數據流量進行篩選,保證流量合法性。
4.實時報警:
所有部署的安全設備都能由管理平臺進行實時監控,任何非法的訪問,都會在管理平臺產生實時報警信息,從而故障問題會在原始發生區域被迅速的發現和解決。
5.主機防護:
安裝了主機防護的電腦在面對自身與外界的安全威脅有了更深的防護級別,深度執行白名單數據庫的數據運行。
6.流量審計:
完善的安全審計平臺,對網絡運行日志、操作系統運行日志、安全設施運行日志等進行集中收集、自動分析,及時發現各種違規行為以及病毒和黑客的攻擊行為。
7.操作行為的監控與審計:
依靠主機防護軟件的主機審計和工控安全審計系統的網絡審計對整個電力生產監控系統進行操作行為的監控與審計,記錄操作行為,便于事件追溯。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號