某火力發電廠工控安全解決方案——護航火力發電廠工業控制系統安全
方案概述
本方案針對DCS系統、SIS系統的安全問題進行完善,按照國家和電力行業相關網絡安全防護的政策與網絡安全防護體系要求,針對火力發電生產控制技術發展,利用當前先進的網絡安全防護理念、技術與產品,建設縱深立體的網絡安全防護體系,輔助企業建立網絡安全監測、通報預警與聯動處置機制,為綜合安全防護能力提供技術支撐,為火力發電企業生產控制系統安全運行提供必要的網絡安全保障。
1.方案背景
電力系統的安全發展和安全穩定運行關系到國計民生,而在電力系統當中,要保證電力系統的安全、穩定運行,網絡安全防護工作顯得十分重要。近年來,針對電力系統的網絡安全攻擊事件屢屢發生,“伊朗核電站震網病毒事件”、“ 烏克蘭電網大面積停電事件”等,更給電力系統的網絡安全防護工作敲響警鐘。
2017年6月,《中華人民共和國網絡安全法》的實施,提出實行等級保護制度,明確網絡運營單位應當按照網絡安全等級保護制度的要求,履行安全保護義務,采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。《中華人民共和國網絡安全法》及GB/T 22239-2019 《網絡安全等級保護基本要求》等一系列法律及行業規定要求的頒布實施,更進一步凸顯電力系統運營單位開展網絡安全防護工作的重要性、逼迫性和必要性。
2.方案簡介
本方案主要是針對某火力發電廠的DCS系統、SIS系統等工控系統安全防護建設。
某火電廠建設2臺66萬千瓦燃煤機組。其機組配套DCS系統控制系統為和利時DCS分散控制系統,兩臺單元機組、公用系統均獨立組網,整體構成某火電廠發電監控系統。DCS通過UDP接口程序將生產數據經過單向隔離裝置發送到SIS系統。SIS系統為大唐先一建設集成,采集1#DCS、2#DCS、公用等數據,通過SIS核心網絡寫入實時數據庫,實時數據庫經單向隔離同步到管理信息大區的鏡像數據庫,用于生產經營應用。
3.方案目標
依據電力行業已發布的國家與行業標準規范,設計、建設DCS系統、SIS系統加固信息安全防護體系:
深度檢查:面向應用層對特有的工業通訊協議進行內容深度檢查,告別病毒庫升級缺陷;
安全審計:完善的安全審計平臺,對網絡運行日志、操作系統運行日志、安全設施運行日志等進行集中收集、自動分析,及時發現各種違規行為以及病毒和黑客的攻擊行為;
威脅檢查:部署于網絡邊界的威脅檢測系統能夠快速準確發現入侵監控系統的病毒和惡意代碼,并實施清除并報警。
實時報警:所有部署的工控信息安全產品都能由管理平臺統一進行實時監控,任何非法的(沒有被組態允許的)訪問,都會在管理平臺產生實時報警信息,從而故障問題會在原始發生區域被迅速的發現和解決。
實現以下建設目標:
(1)提高DCS系統、SIS系統信息安全防護能力
基于某火電廠DCS系統、SIS系統網絡安全現狀,在工業控制系統的主機層和網絡層進行安全加固、入侵檢測、安全審計和邊界防護以有效抵御來自工控網絡內部、外部的病毒、入侵、滲透以及違規操作行為對DCS系統、SIS系統造成破壞,防范信息安全事故的發生。
(2)滿足合規性要求
方案建設滿足能源局36號文中綜合防護的要求,提供網絡內部入侵檢測、主機與網絡設備加固、安全審計和惡意代碼防護的要求,使某火電廠DCS系統、SIS系統安全防護措施達到國家監管部門對發電企業的要求。
(3)方案成果的應用
此方案的進一步加強了某火電廠DCS系統、SIS系統信息安全的重視程度和實施力度,將切實保證免受病毒、惡意代碼等威脅,保持安全穩定運行的狀態。
方案實施概況
方案結合火力發電廠工業控制系統的實際安全需求和等級保護2.0、電力36號文“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”,實現事前預警、事中防范和事后取證等安全能力。
1. 方案總體架構和主要內容
(1)頂層設計架構
本方案參考《信息安全技術網絡安全等級保護》、電力36號文等相關技術要求,以縱深防御的防護理念為核心,結合火力發電行業工業控制系統網絡的業務特點,構建以工業控制網絡、設備、數據、控制、應用為目標防護對象的立體安全防護思路。
圖11-1 設計思路
安全技術防護和安全管理防護是工業控制系統縱深防御的核心內容,是保障工業控制系統安全運營之兩翼,缺少其中一個,都無法確保系統的安全。在安全技術方向,方案遵從P2DR模型,主要從威脅防護、監測感知、處置恢復三個維度展開技術防護工作。
在安全管理方向,主要從火力發電廠行業工業控制系統的全生命周期安全風險管理、企業安全建設目標、系統安全建設策略三個方面展開安全管理工作。
2. 網絡、平臺或安全互聯架構
圖11-2 整體防護架構圖
方案總體技術架構參考等級保護要求,結合防護指南和36號文等相關要求,基于某火電廠生產系統的工業網絡安全防護需求,依靠安全現狀和需求,建設某火電廠DCS系統、SIS系統工控網絡防護體系框架,設計電力企業網絡安全綜合防護平臺基礎機構,建設安全態主動防御平臺,提升某火電廠統一管理與主動防御能力,構建多層次一體化工業網絡安全防御能力,為安全生產提供保障。
拓撲說明:
(1)邊界隔離
為保障火電廠生產控制大區安全防護標準已以滿足行業防護需求和建設原則,秉承安全分區網絡專用原則,生產控制大區內部應DCS機組之間應進行有效的邊界隔離和防護手段,生產區域內各業務系統邊界部署工業防火墻實現業務系統邏輯隔離。
(2)入侵檢測
采用旁路方式在廠級監控信息系統(SIS)核心交換機和場站生產系統交換機部署工業入侵檢測系統,實現包括入侵檢測、協議解析、病毒檢測、DNS監測、DDOS攻擊檢測等安全監測能力。
(3)安全審計
在廠級監控信息系統(SIS)及現場設備層各生產域交換機采用旁路方式,部署工控網絡安全審計系統,檢測生產控制系統中的操作行為和異常網絡行為,便于進行事件取證和定責。
(4)主機加固
針對火電廠所有操作系統,采用工業主機安全防護系統進行安全加固和防護,提供主機系統加固、白名單可信防護、惡意代碼攔截、系統數據訪問控制、外設管控等多種安全能力。
(5)集中管控
根據等保標準“安全管理中心”相關要求,部署集中安全集中管理平臺,采集生產網絡中各工控安全設備及系統的數據,實現全局化安全管控,加強電力監控系統安全管理水平,和監管能力。
(6)運維管控
為保證電力監控系統生產網絡的安全運維,部署運維安全審計系統,通過賬號集中管理、細粒度訪問權限、操作審計,讓運維人員的操作處于可管、可控的狀態下,規范運維操作。
(7)日志分析
通過部署日志審計與分析系統對一區、二區的各網絡設備、安全設備、操作站、Windows、Linux、的運行狀態信息、告警信息進行集中采集、分類、過濾、范式與合并,對網絡全局的日志安全事件進行自動聯系分析,跟系統默認的或自定義的規則來識別網絡威脅和負責的攻擊模式,從而確定事件的真實性、進行事件分級并進行有效的響應 。通過對日志內容的深度分析,對采集到的日志數據進行動態分析,將網絡非法訪問、數據違規操作、系統進程異常、設備故障等高危安全事件,從海量日志數據中提取出來,并通過內置告警規則采用桌面屏幕、郵件、短信、SYSLOG、SNMP等方式通知管理員及時處理。
(8)態勢感知與威脅預警
通過態勢感知與預警平臺能夠實現針對發電廠生產系統全局風險的感知,比如工控資產分類與統計、資產存在的漏洞等級與數量統計,同時依據國內外最新通報的安全事件和威脅信息,通過內置威脅感知引擎和外部威脅情報的支持,利用現場安全設備的告警日志、網絡流量異常狀態、主機安全狀態分析,針對潛在的風險進行高級動態分析和定位,提供網絡安全應急處置策略和建議,同時,為使用方提供威脅預警能力,基于少量的異常行為和特征信息預測當前將要出現的網絡攻擊和威脅,為決策指揮人員提供技術依據和支撐,便于有針對制定安全防范措施和預案。
3. 具體應用場景和安全應用模式
本套方案可以廣泛應用于電力、智能制造、石油石化、天然氣、水利、鐵路、軌道交通、城市市政以及其他與國計民生緊密相關領域的工業控制系統,提供可定制化和可擴展的安全解決方案。
系統整體可采用分布式架構,支持單級或多級應用部署(廠區級、分公司級、集團級)滿足不同層級的用戶應用場景。支持全方位工控安全數據采集,主要包括來自于工控主機、工控網絡設備、工控網絡安全設備、工控數據庫軟件的威脅事件、操作日志,以及關鍵位置的工控流量數據采集。
并通過對安全大數據的深度挖掘,借助AI智能技術,充分利用資產管理、流量分析、威脅感知、關聯分析、風險評估、可視化等技術和功能,實現整體安全防護能力和運營能力的提升。
4. 安全及可靠性
本方案通過以下技術加強系統自身安全可靠:
基于SSL的遠程管理:通過網絡可以直接對工控安全審計系統進行管理和配置。所有通訊采用了SSL加密技術,所有數據和所有配置管理信息在網絡上全部以密文傳輸,可以防止惡意攻擊者使用網絡監聽工具竊取信息。
部分關鍵控制接口,可通過國密SM3算法保護數據。
基于角色的分權分級管理,更便于系統權限劃分,減少對系統的濫用。
通過可信設備授權,只能通過已經授權的IP(或者IP段)登錄。
用戶口令嘗試次數限制和鎖定時間限制,有效防止暴力破解登錄密碼。
可支持信息安全管理體系的三權分立管理。
5. 其他亮點
集成了工控環境下白名單、黑名單、IP/MAC地址綁定、異常流量等常用的安全策略,輔以自定義的安全策略,能調用工業防火墻、工控安全審計、主機加固等安全產品實現對工控網絡APT攻擊、異常行為和非法數據包等多種威脅進行多方式保護,對發現的威脅進行告警和阻斷,保護工業控制網絡安全,有效的提高網絡的安全性。
以工控資產及業務為核心,以安全事件管理為關鍵流程,采用安全域劃分的思想,建立一套實時的風險模型,實現對各類資產和業務的信息采集、關聯分析、日志審計、事件監控、流量分析、網絡攻擊防范、態勢感知、安全預警和快速響應,做到“集中監控、統一管理、全面分析、快速響應”。
下一步實施計劃
1. 計劃1
研制分布式全流量、全空間、全時間的網絡安全動態預警裝置,能提高網絡安全監控的力度,提升針對火力發電行業工控網絡安全的自動化運維程度;
建立基于多維度的通信流量抓取的網絡安全分析評估模型,實現對網絡狀態的全方位掌握。
2. 計劃2
構建火力發電行業網絡安全事件快速定位機制,網絡安全問題的快速、準確定位。
建立火力發電行業網絡安全預測和預警訓練模型,實現全網絡、全時段的網絡安全的動態預警。
方案創新點和實施效果
1. 方案先進性及創新點
原有的網絡安全監測主要依靠網絡流量進行采集和展示,且流量源有限,協議解析能力有限,對危險的識別也有限,并且各自成體系,無法形成統一的網絡安全管理系統,造成網絡安全監測“死角”的存在,無法做到事前預測、事中防御、事后追溯的效果。通過擴展安全數據源、增強協議解析能力,同時增加AI安全大數據分析和挖掘,訓練出更適合當地系統的安全分析、預測、決策模型,并以快速定位、易理解、易管理的展示形式,形成一套完整的火力發電廠企業安全防護和態勢感知系統。
2. 實施效果
優化了網絡安全管理模式,減輕網絡安全運維人員的網絡安全現狀檢查及分析的工作;同時,按照近年各行業事故數量和經濟損失統計估算,本成果推廣應用預期可對事故發生進行合理規避,減少經濟損失。
既做好了安全風險把控,又節省了人力物力,節約了工作成本,減少經濟損失,提升了經濟效益。
增強對全局工控系統信息安全的掌控能力,提升網絡安全防護管理和運營水平,實現了國家、行業和企業對網絡安全的要求。
單位基本信息
北京珞安科技有限責任公司(簡稱:珞安科技)專注于工業網絡空間安全,是國家創新型高科技企業和國家級專精特新“小巨人”企業。
珞安科技成立于 2016 年,秉承“守護工業網絡空間安全,為國家關鍵信息基礎設施安全保駕護航”的企業使命,聚集國內工業網絡空間安全領域頂尖人才,組建工業網絡空間安全研究實驗室及工控安全專家團隊。在北京、武漢、西安、天津建立四大研發中心,以零信任理念和體系化思想為指導,自主研發了“實戰化、易部署、易維護”工控網絡安全產品體系,全面覆蓋工控安全、業務安全和工業互聯網安全,構建了資產可見、威脅可感、安全可視、攻擊可溯、主動防御的工業網絡空間安全防護體系。目前,擁有公安部第一研究所、中國網絡安全審查技術與認證中心和中國電子工業標準化技術協會頒發的安全建設、安全服務和運行維護能力認證證書,具備質量管理體系、信息安全管理體系、信息技術服務管理體系國際化標準認證等 100+ 資質體系認證、100+ 軟件著作權、80+ 發明專利。
珞安科技依托強大的技術原廠商實力,積極開展安全服務和安全運營,業務遍布發電、電網、石油石化、軌道交通、智能制造、煤炭、鋼鐵、化工、市政、水利、煙草、軍工、教育等 20 多個工業行業,覆蓋 600 多家監管機構和大型工業企業,服務近 2000 家中小企業,創造多個業內大規模安全產品部署成功案例,獲得政府主管部門和行業、產業界的高度認可,并攬獲多項省部級科技進步獎。
珞安科技總部位于北京,在武漢、西安、上海、杭州、廣州、成都、南京、重慶、寧夏、天津等核心城市設有 20+ 家分子公司及辦事處,堅持以保障國家關鍵信息基礎設施運行安全為己任,全力打造國內科技創新高地、人才聚集高地,為中國工業的信息化和智能化安全保駕護航。
AII微信公眾號
AII頭條號