今日頭條
官方微信
官方抖音
資訊頻道在信息技術(shù)和互聯(lián)網(wǎng)高速發(fā)展的 21 世紀(jì),信息安全正深入各個領(lǐng)域,工業(yè)基礎(chǔ)設(shè)施已成為信息安全的新戰(zhàn)場。工業(yè)控制系統(tǒng)作為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,直接關(guān)系到國家的戰(zhàn)略安全和政治穩(wěn)定。電力行業(yè)發(fā)展較早,建設(shè)較好,但依然存在機組核心部件及控制系統(tǒng)主要由外國廠商提供和運維的基本現(xiàn)狀。同時近年來,帶有政治色彩并對被攻擊對象造成特別嚴(yán)重后果的網(wǎng)絡(luò)攻擊越來越頻繁:2010 年“震網(wǎng)” 病毒控 制 伊 朗 核 電 站 離 心 機 轉(zhuǎn) 速 導(dǎo) 致 離 心 機 損 壞 ; 2016 年BlackEnergy3 惡意軟件感染并控制烏克蘭變電站造成大面積停電。在此大環(huán)境下,國家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)從企業(yè)層面、行業(yè)層面、部門層面、國家層面上研究和實踐工業(yè)控制系統(tǒng)安全運行以推動建立安全防護(hù)體系顯得很重要也很迫切。
一、相關(guān)概念
(1)工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)簡稱工控系統(tǒng),是由各種自動化控制組件以及對實時數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、可編程控制器、遠(yuǎn)程終端、人機交互界面設(shè)備,以及確保各組件通信的接口技術(shù)。
(2)分散控制系統(tǒng)
分散控制系統(tǒng)[3]簡稱 DCS (Distributed Control System),是由過程控制級和過程監(jiān)控級組成的以通信網(wǎng)絡(luò)為紐帶的多計算機系統(tǒng),綜合了計算機、通信、顯示和控制等 4C 技術(shù),其基本思想是分散控制、集中操作、分級管理、配置靈活、組態(tài)方便。
(3)安全模塊 S612
S612 屬于西門子工業(yè)部 SCALANCE S 通信產(chǎn)品,用于 VPN(Virtual Private Network)通道安全防護(hù)。案例電廠基建期安裝此模塊的目的是便于西門子工程師遠(yuǎn)程診斷。
(4)工業(yè)防火墻
工控防火墻與傳統(tǒng)防火墻相比,支持 Modbus TCP、OPC(OLE for Process Control)、IEC 60870-5-104、IEC 61850、 Siemens S7 等多種工業(yè)協(xié)議。且工控防火墻具備工控協(xié)議指令級“4S”深度防護(hù)技術(shù)和業(yè)務(wù)連續(xù)性保障技術(shù),支持多種訪問控制規(guī)則、協(xié)議深度分析、VPN、流量控制、安全審計等安全防護(hù)功能,具備 Dos、ARP(Address Resolution Protocol)攻擊防護(hù)和自身訪問控制功能,可有效保障自身和工控網(wǎng)絡(luò)的雙重安全。
二、項目背景
本文對某燃機發(fā)電廠分散控制系統(tǒng)安全加固[4]研究與實踐進(jìn)行全過程的分析,案例電廠采用西門子 SGT5-4000F(4)型燃?xì)廨啺l(fā)電機組,分散控制系統(tǒng)采用 SPPA-T3000,系統(tǒng)運行物理環(huán)境包括網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、接口機、操作員站、打印機均由機組廠家全套提供。案例電廠分散控制系統(tǒng)由#1 機組、#2 機組、公用部分、化水部分四個相對獨立的子系統(tǒng)組成。分散控制系統(tǒng)架構(gòu)如圖 1 所示。
三、安全加固實踐依據(jù)
2016 年 , 案 例 電 廠 完 成 SIS(Supervisory InformationSystem)系統(tǒng)改造后發(fā)現(xiàn)#2 機組 SIS 系統(tǒng)測點頻繁出現(xiàn)斷點故障,經(jīng)信息專業(yè)和儀控專業(yè)逐步排查定位故障節(jié)點#2 機組分散控制系統(tǒng)接口機出口處安全模塊 S612,安裝位置在工程師站#2 機組屏柜。在對 S612 進(jìn)行消缺過程中,信息安全專職提出根據(jù)《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》條款 4.1.3 系統(tǒng)間安全防護(hù)(發(fā)電廠內(nèi)同屬于安全區(qū) I 的各機組監(jiān)控系統(tǒng)之間、機組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、同一機組的不同功能的監(jiān)控系統(tǒng)之間,尤其是機組監(jiān)控系統(tǒng)與輸變電部分控制系統(tǒng)之間,根據(jù)需要可以采取一定強度的邏輯訪問控制措施,如防火墻、VLAN 等)和《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》相關(guān)條款要求,建議拆除 S612 并在單元機組之間部署工業(yè)級防火墻 。
四、安全加固實現(xiàn)過程
4.1 機組運行方式
案例電廠是以天然氣為發(fā)電原料的調(diào)峰機組,全年利用小時數(shù)比較低,在一年中的大數(shù)時間處于調(diào)停狀態(tài),且兩臺機組同時上網(wǎng)的概率小,這為安全加固前期調(diào)研、基礎(chǔ)收據(jù)收集、改造方式選擇、改造效果試驗對比提供了相對寬松的外部條件。
4.2 實現(xiàn)保障
案例電廠從社會效益和安全效益兩方面分析本次分散控制系統(tǒng)安全加固的必要性后明確目標(biāo)和周期,從案例電廠最高層面成立專項工作組,保障安全加固工作的技術(shù)力量和資金投入。
4.3 系統(tǒng)學(xué)習(xí)
鑒于案例電廠分散控制系統(tǒng)四個子系統(tǒng)之間相對獨立、系統(tǒng)架構(gòu)一致。本章節(jié)所有內(nèi)容以案例電廠#2 機組分散控制系統(tǒng)為例來對安全加固實現(xiàn)過程進(jìn)行詳細(xì)地記錄和分析。
案例電廠分散控制系統(tǒng)的硬件設(shè)備和軟件均采用進(jìn)口產(chǎn)品,相關(guān)專業(yè)自身對系統(tǒng)本身只停留在簡單使用層面。針對硬件升級、補丁更新、漏洞掃描修復(fù)、系統(tǒng)查毒殺毒等常規(guī)安全行為不能自行開展;對系統(tǒng)內(nèi)部數(shù)據(jù)包、數(shù)據(jù)流向、通信協(xié)議、通訊端口等數(shù)據(jù)安全不能有效控制,系統(tǒng)涉及的維護(hù)、升級、改造都依托設(shè)備和系統(tǒng)廠家。
依據(jù)重要信息系統(tǒng)建設(shè)和改造“三同步”0 原則,保證分散控制系統(tǒng)的持續(xù)運行和安全性,必須要求對系統(tǒng)有一個全面深入認(rèn)識。案例電廠通過三個方面工作實現(xiàn)對系統(tǒng)的全新認(rèn)識:
(1)邀請廠家系統(tǒng)工程師、網(wǎng)絡(luò)工程師到現(xiàn)場進(jìn)行技術(shù)指導(dǎo),組織專業(yè)對分散控制系統(tǒng)網(wǎng)絡(luò)拓?fù)洹⒂布δ堋⒉呗耘渲谩④浖\行進(jìn)行全面學(xué)習(xí);
(2)通過電話技術(shù)支持咨詢西門子能源部、發(fā)電部、工業(yè)部工程師,從一個更加廣義的角度尋找工控系統(tǒng)的有效解決方案;
(3)在此基礎(chǔ)上,案例電廠組織技術(shù)骨干模擬機組運行環(huán)境,利用外部條件優(yōu)勢開展不同機組間的橫向?qū)Ρ葴y試和同一機組的縱向?qū)Ρ葴y試。
4.4 設(shè)備部署
通過對現(xiàn)場的實地勘察,工程師站溫度和濕度能夠控制在B 級機房標(biāo)準(zhǔn),機柜空間緊湊,案例電廠選用機架式工業(yè)防火墻,機架式是網(wǎng)絡(luò)安全設(shè)備常見的一種安裝方式,通過螺絲固定在機柜上,設(shè)備使用和維護(hù)方便。
案例電廠工業(yè)防火墻部署模式采用重要系統(tǒng)、設(shè)備的隔離與防護(hù)[7]。工控防火墻以透明或路由模式部署于控制網(wǎng)絡(luò)與控制設(shè)備之間,實現(xiàn)對重要設(shè)備的安全防護(hù)。啟用應(yīng)用層安全防護(hù)策略,通過“四維一體”安全防護(hù)技術(shù)以及“白名單”機制,對來自控制網(wǎng)絡(luò)的工控指令“數(shù)據(jù)完整性” 、“功能碼” 、“地址范圍”和“工藝參數(shù)范圍”進(jìn)行深度解析和過濾,及時發(fā)現(xiàn)可疑指令和惡意數(shù)據(jù)。啟用網(wǎng)絡(luò)層安全防護(hù)策略,對 PLC 等控制設(shè)備進(jìn)行訪問控制,只允許有權(quán)限的終端對其進(jìn)行修改或訪問。同時結(jié)合“工控業(yè)務(wù)連續(xù)性保障方法”技術(shù)在不影響工控業(yè)務(wù)連續(xù)性的基礎(chǔ)上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù),保障關(guān)鍵設(shè)備運行安全。
4.5 系統(tǒng)原接線和數(shù)據(jù)流
(1)系統(tǒng)接線:SIEMENS OPC 接口機電口 P2 上聯(lián)進(jìn)口防火墻模塊 S612 電口 P2 口, S612 電口 P1 口上聯(lián)交換機模塊X108 電口 P7 口,X108 電口 P1 口上聯(lián) SIS 系統(tǒng)。
(2)系統(tǒng)數(shù)據(jù)流:源數(shù)據(jù)由 SIEMENS OPC Server 經(jīng)SIEMENS OPC Interface、進(jìn)口防火墻模塊 S612、模塊 X108、傳統(tǒng)防火墻到達(dá) SIS OPC Client。OPC Server 到 OPC Client 之間采用 MatrikonOPC Tunneller 代替 DCOM 進(jìn)行通信,以解決DCOM[8]使用眾多端口和合理配置防火墻困難大的問題。機組DCS 原接線和數(shù)據(jù)流如圖 2 所示。
4.6 系統(tǒng)測試階段接線和數(shù)據(jù)流
(1)系統(tǒng)接線:SIEMENS OPC 接口機電口 P2 上聯(lián)交換機模塊 X108 電口 P7 口,X108 電口 P1 口上聯(lián) SIS 系統(tǒng)。
(2)系統(tǒng)數(shù)據(jù)流:數(shù)據(jù)源由 SIEMENS OPC Server 經(jīng)SIEMENS OPC Interface、模塊 X108、傳統(tǒng)防火墻到達(dá) SIS OPCClient。OPC Server 到 OPC Client 之間采用 DCOM 進(jìn)行通信。機組 DCS 測試階段接線和數(shù)據(jù)流如圖 3 所示。
4.7 系統(tǒng)加固后接線和數(shù)據(jù)流
(1)SIEMENS OPC Server 上聯(lián)交換機模塊 X202 電口 P2口,X202 電口 P3 口上聯(lián)工業(yè)防火墻電口,防火墻電口上聯(lián)SIEMENS OPC 接口機電口 P2,OPC 接口機電口 P2 上聯(lián)交換機模塊 X108 電口 P7 口,X108 電口 P1 口上聯(lián) SIS 系統(tǒng)。
(2)數(shù)據(jù)源由 SIEMENS OPC Server 經(jīng)模塊 X202、工業(yè)防火墻、SIEMENS OPC Interface、模塊 X108、傳統(tǒng)防火墻到達(dá) SIS OPC Client。OPC Server 到 OPC Client 之間采用DCOM 進(jìn)行通信。機組 DCS 加固后接線和數(shù)據(jù)流如圖 4 所示。
五、成果
案例電廠積極應(yīng)對國內(nèi)電力行業(yè)中工業(yè)控制系統(tǒng)國外產(chǎn)品占絕對比例帶來的安全問題和潛在風(fēng)險,使工業(yè)防火墻技術(shù)真正在工控系統(tǒng)中落地,以點帶面找準(zhǔn)定位,從被動防御逐步轉(zhuǎn)化為主動防護(hù),建立并不斷完善電廠工業(yè)控制系統(tǒng)安全防護(hù)體系。更重要的是為同情況機組和新建機組工控系統(tǒng)的選型、建設(shè)、安全防護(hù)提供了有實際意義的參考。
就案例電廠本次分散控制系統(tǒng)安全加固工作從短期來看,存在一定的技術(shù)困難并且缺乏資金投入,但從長期來看工控系統(tǒng)防火墻國產(chǎn)化和工業(yè)級防護(hù)是必然趨勢,同時也為后期的設(shè)備更新、修理、保養(yǎng)、維護(hù)及安全性、合規(guī)性帶來優(yōu)勢。
案例電廠通過工業(yè)防火墻的部署,利用其具備的工控協(xié)議 指令級“四維一體”深度防護(hù)技術(shù),同時結(jié)合工控業(yè)務(wù)連續(xù)性保障技術(shù)和“白名單”機制,可對工業(yè)控制網(wǎng)絡(luò)“協(xié)議完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”進(jìn)行深度解析,在不影響工控業(yè)務(wù)連續(xù)性的基礎(chǔ)上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù),保障分散控制系統(tǒng)安全、可靠運行 。
本次案例電廠的防護(hù)體系設(shè)計,在一定程度上規(guī)避了大量的工控網(wǎng)絡(luò)內(nèi)部的非法訪問,有效隔離了分散控制系統(tǒng)不同機組單元之間和與生產(chǎn)區(qū)其他系統(tǒng)之間的訪問,保障了分散控制系統(tǒng)運行的可靠性、穩(wěn)定性及安全性。
然而,工控系統(tǒng)的穩(wěn)定性及安全性,僅僅通過防火墻的安全防護(hù)顯然是不夠的,正如傳統(tǒng)網(wǎng)絡(luò)當(dāng)中防火墻所起的作用一樣,其防護(hù)的本質(zhì)還是通過端口、協(xié)議進(jìn)行識別和防護(hù),一旦病毒或者攻擊通過正常的端口或者使用正常的協(xié)議進(jìn)行傳播,工控防火墻的防護(hù)效果就會被大打折扣,此時需要通過其他防護(hù)手段,如主機加固、工業(yè)流量審計等手段進(jìn)行全方位、立體化、可視化進(jìn)行統(tǒng)一綜合整治,讓病毒及攻擊無處藏身,因此工控系統(tǒng)如分散控制系統(tǒng)等防護(hù)的工作依然任重而道遠(yuǎn)。
來源:網(wǎng)絡(luò)整理
北京市公安局海淀分局備案號:11010802023656號