台山电厂DCS分散控制系统安全防护提升研究方案

叶中华

[摘    要]为了落实国家发改委[2014]14号令《DCS系统安全防护规定》和国家能源局[2015]36号文《DCS系统安全防护总体方案》的各项要求，本着对比事实、寻找差距，总体规划、分步实施，文章抓住信息安全最薄弱环节和防护的重点环节对控制系统进行技术和管理升级改造。

[关键词]DCS;控制系统;网络安全;安全防护

[中图分类号]TM76 [文献标志码]A [文章编号]2095–6487（2021）01–00–04

Research plan for Improving Safety Protection of DCS Distributed

Control System in Taishan Power Plant

Ye Zhong-hua

[Abstract]According to the "Guiding Opinions of the State Council on Deepening the Development of Manufacturing and Internet Integration" （Guo Fa [2016] No. 28）， to ensure the information security of industrial control systems in industrial enterprises， and to formulate "Guidelines for Information Security Protection of Industrial Control Systems"， Industry and Information The Ministry of Chemistry guides and manages the industrial control safety protection and guarantee work of industrial enterprises nationwide. And to implement the requirements of the National Development and Reform Commission [2014] No. 14 "DCS System Safety Protection Regulations" and the National Energy Administration [2015] No. 36 "DCS System Security Protection Overall Plan"， based on the comparison of facts， looking for gaps， the overall plan， Implement step by step， grasp the weakest link of information security and the key link of protection to upgrade the technology and management of the control system.

[Keywords]DCS; control system; network security; security protection

随着计算机技术网络技术的发展，特别是互联网及社会公共网络平台的快速发展，在“两化”融合的行业发展需求下，为了提高生产运行、生产管理效率，国内众多行业大力推进工业控制系统自身的集成化，集中化管理。系统的互联互通性逐步加强，与办公网、互联网也存在千丝万缕的联系。但是工业控制系统建设更多的是考虑各自系统的可用性，并没有考虑系统之间互联互通的安全风险和防护建设，造成国际国内针对工业控制系统的攻击事件层出不穷，如伊朗发生的“震网”病毒事件，促使国家和社会逐渐重视工业控制系统的信息安全问题。

2019年5月，国家信息等级保护制度等保2.0正式发布，并于12月正式实施。相比等保1.0版本，等保2.0将工业控制系统纳入保护对象，针对工业控制系统制定了安全扩展要求，以及更严格的测试程序。同时等保2.0上升至强制性法律的高度，正式将涵盖工业控制系统的网络安全纳入国家法律要求范畴。

DCS分散控制系统（以下简称DCS系统）是电厂最重要的控制系统，它负责单元机组设备的监控任务，是基于计算机及网络技术用于监控电力生产过程的设备组合。因此，其安全和可靠关系到单元机组的运行安全。DCS系统网络安全防护的原则为“安全分区、网络专用、横向隔离、纵向认证、综合防护”，加强边界防御和保护;同时强化内部的硬件、软件、网络、数据和物理安全;完善安全管理制度，强化維护人员、组织、系统建设、运营的管理，提高系统整体安全性和可靠性，确保DCS系统网络和数据安全。

1 安全现状

1.1 安全配置不足

目前发电企业生产控制大区与调度中心之间已经配置了传统边界防火墙和物理隔离网闸，但仍存在较大安全风险问题，距离国家行政监管机构的政策要求和企业业务连续运营要求有较大差距，目前拓扑及具体表现如下：

本厂一期DCS系统和二期DCS系统相关设备部署于生产控制大区安全I区，一期DCS系统和二期DCS系统分别通过交换机与PI系统进行数据交互，一期DCS系统和二期DCS系统各机组与PI系统区域边界部署了电力专用横向隔离装置，实现安全隔离。

（1）在生产控制大区不同系统不同区域之间无任何安全防护设备，从而使形成了同一个安全区域，这种方式不符合合规性的要求而且安全隐患较大，一旦发生信息安全事件，将是全网范围的毁灭，需要整改。

（2）旁路控制的风险依然存在：旁路控制一直是DCS系统面临的最主要风险，目前系统中仅部署了传统防火墙，但对于大多数PLC系统来说仍是处于“裸奔”状态，没有采取任何防护措施。

（3）针对内部操作人员的违反授权和非法使用情况，只能单纯依靠管理制度，加强安全意识培训教育，缺少相应的技术监控和威慑手段。

（4）针对欺骗和伪装的风险，如IP地址的伪装，客户端的伪装缺少应对措施。

（5）对生产控制大区的主机安全防护与外来设备接入考虑和防护手段严重不足重视不够。

1.2 安全管理的不足

在安全管理理念和安全管理技术手段上的不足主要表现为：

（1）严重依赖隔离手段，缺少纵深防护。目前发电企业最重要的安全防护措施为生产控制大区和管理信息大区之间的横向隔离产品，以单向传输为主要技术手段。在生产控制大区多个系统之间没有任何安全防护手段，一旦突破横向隔离产品则生产控制大区门户洞开。

另外针对发自生产控制大区内部系统的攻击则无任何安全防护能力。DCS系统特有的现场运维过程的安全性研究和防护基本没有，现场运维直接绕过了生产控制大区的边界安全防护设备。

（2）以防为主，手段单一。以往的技术手段主要是以防为主，甚至表现为“一隔了之”，对于监控手段和措施基本上没有。以防为主的安全防护思想面临着百密一疏的风险，特别是无法应对目前的以国家层面集团式有组织的长期潜伏APT攻击。

（3）安全防护无法做到量化和可视化。一线人员和相关领导一方面觉得安全至关重要，但是又无法做到量化和可视化，安全看不见摸不着，缺少趋势和预警，一旦发生安全事件，后果不堪设想。

1.3 等保差距测评

通过等保测评机构出具的《一期DCS系统_测评报告》与《二期DCS系统_测评报告》，发现台山电厂一期DCS系统和二期DCS系统在安全区域边界、计算环境、管理中心、建设管理、运维管理等技术、管理层面都存在高、中风险项，这些高、中风险项将给一期DCS系统和二期DCS系统的安全稳定运行带来一定的风险，所以在基于等保测评结果的基础上，结合广东国华粤电台山发电有限公司一期DCS系统和二期DCS系统的实际安全需求，从技术层面有针对性的提出安全整改加固情况方案。

在分析和制定整改建议时，将按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立综合防御体系，提高一期DCS系统和二期DCS系统整体安全保护能力。并拟定相关计划逐步落实信息安全责任制，制定主机安全、应用安全和安全管理等安全整改措施，逐步消除识别出的高、中安全风险，提升台山电厂DCS系统整体安全防护能力，并顺利通过等保测评。

2 项目的必要性

（1）提高台山电厂DCS系统安全防护能力，防止网络被破坏和攻击，满足公司正常生产和电网正常运行的需要。

（2）工控系统中断造成电网事故较多，工控系统受到的威胁主要有内部非授权人员的有意或无意破坏、黑客攻击、病毒破坏和制造商预置陷阱等方面。实施安全防护工程可提高台山电厂监控系统安全防护水平，防止网络信息系统受恶意攻击，影响公司电网的正常运行和日常管理工作的正常开展。

（3）缓解“单一传输方式”的传输压力，提升网络运行效率和速度。

（4）提高电力系统自动化水平及日常管理信息化水平，节约运营管理成本创造条件。

（5）提高台山电厂DCS系统安全防护水平，使工控和信息系统网络符合《DCS系统安全防护规定》等文件和相关规范要求。

（6）符合信息安全相关规范要求。

3 安全解决方案

3.1 边界入侵检测解决方案

3.1.1 解决方案

在一期DCS系统和二期DCS系统各机组关键网络节点旁路部署入侵检测系统，通过对各机组交换机全镜像流量的分析，匹配自身特征库规则，对常见的缓冲区溢出、SQL注入、暴力猜测、DoS攻击、扫描探测、蠕虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报警。

3.1.2 解决的问题

部署入侵检测系统可以解决以下问题：

（1）实时全网络监控、快速辨别网络攻击。对网络的数据和事件进行实时监测、实时警告，实时发现系统中存在的不合法操作、不正常事件、恶意、病毒及木马攻击等。

（2）修补系统漏洞、更新病毒库。漏洞库包含工控漏洞和传统信息安全漏洞，由CVE、CNNVD、CNVD等公开漏洞库中的漏洞和工匠安全实验室长期积累的零日漏洞组成，数量可观的工控漏洞和传统信息漏洞的检测能力。包含工控设备漏洞、工控系统组态软件漏洞、监控软件漏洞、操作系统漏洞、MySQL/Oracle/SQL Server等数据库漏洞、office软件漏洞等。同时具有超过1000条的工控木马及病毒等特征的匹配规则和相关细化域名（CC域名）的记录规则，典型的包含工控蠕虫病毒、智能摄像头类病毒、PLC类等各类病毒特征和规则库。

（3）网絡安全数据行为分析为历史追忆提供方便。对网络中存在的所有活动提供行为审计、内容审计、协议审计、流量审计，生成完整记录便于事件追溯和后期数据分析。同时亦可作为现场布控设备终端的方式将检测的信息发送至平台形成体系化的时间追踪态势。

（4）及时发现未知设备的接入。当未知的设备接入工业控制网络系统内时，及时发现告警，迅速识别非法接入事件，并实时记录接入设备的详细信息。

（5）完善的防御策略建议体系。根据检测结果，提出防御策略方案，协助用户建立合适的工业控制网络安全防御系统。

（6）日志管理。支持日志记录、查询、筛选和下载。日志包含登录退出、设备地址、事件分析、流量分析和下载格式文件等。

（7）用户管理。采用三权分立的方式实现对主机使用的权限管理，用户角色包括操作员、审计员、管理员。

（8）系统管理。操作员可通过对中心进行IP、网关的信息配置。通过对检测结果的整理，可应用短息功能、邮件功能把相应检测告警信息发给管理员与操作员进行记录和备案。在平台层面也可进行相应的系统与规则库进行升级。在系统层面可利用时钟同步功能完成与现场各系统时钟服务器的时间同步。

3.2 备份系统解决方案

3.2.1 解决方案

在一期DCS系统和二期DCS系统各机组关键网络节点旁路部署备份系统系统，通过被备份系统自动备份功能，有效的备份工作站、数据库等核心数据确保系统异常时能够快速恢复系统。

3.2.2 解决的问题

部署安全监测与审计系统可以解决以下问题：

（1）当主机感染病毒、骇客攻击;备份系统可以恢复操作系统，为主机运行提供安全保障。

（2）备份系统可以保护计算机系统里的数据，为系统稳定可靠地运行提供安全保障，当系统软件或应用软件的缺陷、硬件的损毁、自然灾难等因素造成计算机中数据的丢失，可以快速挂载、恢复。

（3）备份系统能够提供本地集中备份，还能提供远程异地数据灾备功能，大大提高了数据存储安全性。

（4）备份系统具有最广泛的备份功能，可滿足各种环境的复杂需求;备份功能可以通过网线或者IP-SAN功能加以实现，它利用成熟的网络部署结构来完成对数据的存储。

（5）备份系统挂载恢复效率快，在数据库发生故障，或需要通过备份数据实现容灾演练、故障重现、环境模拟时，可通过备份中的快照记录功能生成独立的数据库完整副本，并通过直接挂载的方式快速将生产库切换至副本库并提供业务访问服务，支持将备份数据回灌至生产存储后将业务切换回生产环境，当不再需要数据副本时可直接删除。

3.3 主机安全加固解决方案

3.3.1 解决方案

在一期DCS系统和二期DCS系统操作员站、工程师站、过程处理服务器、历史服务器部署工控主机卫士，采用可执行文件“白名单”管理技术，自动构建操作员站、工程师站、过程处理服务器、历史服务器上承载的可信应用软件白名单，在程序执行时会与白名单库进行比较、匹配、判断，如果发现其不符合白名单中的特征，其主机加固系统将会对此程序执行阻断或告警，避免主机网络受到已知或未知攻击，同时还可有效的阻止操作人员异常操作带来的危害;工控主机卫士同时具备双因子认证的功能，能够满足等保中对于主机身份鉴别的要求。同时，搭配准入控制，通过准入控制防止非法设备接入网络。

3.3.2 解决的问题

部署工控主机卫士可解决以下问题：

（1）主机系统及应用程序白名单保护。①应用程序白名单，对白名单以外的非法进程禁止运行，防止安全事件产生;②程序完整性检查，使用证书、校验值来检验程序的完整性，阻止受病毒感染或篡改程序运行;③移动存储介质白名单保护;④USB设备识别，支持通用USB设备识别;⑤USB设备授权，提供USB存储设备的多种操作权限授予：读写、禁止使用;⑥USB设备白名单，禁止白名单以外的USB设备连接，防止安全事件产生;⑦USB设备审计，提供USB存储设备的操作记录，此记录不可删除、不可篡改。

（2）白名单管理。①白名单生成，通过自动扫描功能，建立白名单;②白名单导入、导出，提供白名单的导入导出功能;③白名单更新，需要运行新的程序、添加新的网络服务和USB设备时，可以很方便地更新到白名单中。

（3）特定对象完整性保护。对重要的安装目录的文件进行完整性保护，阻止恶意程序篡改目标文件，或删除或修改目标文件。

（4）安全事件审计。①安全事件日志，非白名单进程运行、非法USB设备接入的安全事件;②安全事件审计，安全事件的记录不可删除和篡改。

3.4 日志审计与分析解决方案

3.4.1 解决方案

为满足国家相关政策、标准规范对日志收集与审计的需求，需在一期DCS系统和二期DCS系统安全管理中心各部署1台日志审计与分析系统。日志审计与分析系统能够实时将DCS系统网络中各种设备，如操作员站、服务器、网络装置等设备的日志信息，进行收集、处理和分析，协助设备维护人员从大量的设备日志记录中快速准确地发现安全事件，及时对安全事件进行查找和阻止。

3.4.2 解决的问题

部署日志审计与分析系统可解决以下问题：

（1）安全事件日志采集监控统计。提供对主机、网络设备、安全设备和应用系统安全日志事件的实时监控和多维度统计，通过事件列表展示当前网络的实时活动，依据IP地址、事件类型等维度进行安全事件的统计，以可视化饼状图、柱状图、堆积图等形式进行展示。

（2）数据库行为审计。实时监视和记录数据库的运行状态，对数据库进行管理，确保其审计的合规性。同时对风险行为触发告警，阻止攻击事件。

（3）安全事件高速查询。提供自定义形态的混合搜索功能，在用户自定义日志范式字段收缩的基础上，结合大数据全文索引技术，实现安全事件的快速查询。

（4）安全事件关联分析。内置丰富的关联分析场景，并具有关联分析场景可视化编辑功能，通过不同字段的组合和与、或、非等运算符构建复杂关联分析规则，结合资产属性，将多事件源进行关联分析，及时发现网络攻击和违规等行为。

3.5 安全运维审计管理系统解决方案

3.5.1 解决方案

在一期DCS系统和二期DCS系统安全管理中心各部署一台安全运维管理系统，切断运维终端对系统网络设备或前台主机资源的直接访问，采用协议代理的方式，实现对系统内各网络设备、主机设备、应用系统、数据库等集中有序的运维安全管理，对运维人员从登录到退出的全程操作行为进行审计，从而加强DCS系统及设备远程维护的安全管理。

3.5.2 解决的问题

部署安全运维管理系统可解决以下问题：

（1）统一用户身份认证。堡垒机为企业运维人员创建唯一的自然人账号（即主账号），此账号如同个人的身份证一样，与个人绑定。在运维过程中，主账号与其权限内的设备账号（从账号）进行关联，做到企业资源信息的实名制访问。

（2）系統资源管理。堡垒机支持丰富的资源管理功能。资源类型：Unix资源、网络资源、Windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源。协议类型：支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议。

（3）资源账号密码管理。堡垒机支持对资源账号密码的管理功能。密码管理功能主要是对资源账号密码定期自动变更管理，以防止账号密码被暴力破解或无意泄露而引发的安全性问题。

（4）访问授权管理。堡垒机通过对资源账号访问权限进行细粒度控制，确保每个运维人员拥有最小访问权限。系统访问授权管理通过角色管理和岗位授权管理来实现。

（5）运维行为审计。堡垒机支持用户对各种网络资源的访问操作行为进行审计。

（6）运维流程管理。堡垒机内置了运维工作流程管理功能，企业可以通过运维工作流程来规范运维人员的运维过程。

4 结语

控制系统就像是电厂生产流程的神经系统，其安全性是电厂安全生产和运营的基础。控制系统的控制器、服务器和操作员站等主要设备，是通过网络总线进行连接进行数据交换，各设备的工作均依赖于网络。因此，控制系统中网络总线的安全性就显得尤为重要。通过控制系统安全防护提升研究方案，提高控制系统各重要设备和网络系统的本质安全，是确保电厂生产安全的重要举措。一个稳定可靠的电厂生产流程是电网稳定可靠的供电源头，终将会为国民经济发展发挥重要的作用。

参考文献

[1] 刘贞，何跃鹰，丁欢.轨道交通列控系统网络安全风险和防护对策研究[J].铁路通信信号工程技术，2020，17（12）：1-7.

[2] 郭城轶.高校网络意识形态安全及其应对策略研究[J].现代职业教育，2021（1）：76-77.

[3] 陈锐.基于大数据的计算机网络安全研究[J].黑龙江科学，2020，11（24）：124-125.

[4] 祝彦峰.网络交换机安全加固策略探讨[J].网络安全技术与应用，2020（6）：9-10.

[5] 李俊.网络安全加固工作的分析与探讨[J].网络安全技术与应用，2020（4）：19-20.

[6] 郭翔.电力监控系统安全防护与网络安全加固的探讨[J].中国新通信，2020，22（2）：144.