发电厂分散控制系统安全加固研究与实践

◆俞爱荣 林贤良 陈金虎



发电厂分散控制系统安全加固研究与实践

◆俞爱荣1林贤良1陈金虎2

（1.浙江浙能长兴天然气热电有限公司 浙江 313100；2.西门子电站自动化有限公司 江苏 211100）

随着信息技术的发展，特别是工业4.0的提出[1]，工业化和信息化深度融合，电力行业的信息安全已成为国家信息安全的重要组成部分。同时国内外信息安全形势日趋严峻，针对工业控制系统展开地有组织、有预谋的网络攻击时有发生。本文通过对某火力发电厂分散控制系统防火墙改造项目的分析来讨论电力行业工业控制系统安全加固工作的开展，为国家关键基础设施工业控制系统信息安全的发展提供有价值的参考依据。案例电厂积极应对国内电力行业中工业控制系统国外产品占绝对比例带来的安全问题和潜在风险，使国产工业防火墙技术真正在工控系统中落地，减少对国外进口设备的依赖，逐步建立符合中国国情的电厂工业控制系统安全防护体系。

分散控制系统；安全加固；工业防火墙

0 引言

在信息技术和互联网高速发展的21世纪，信息安全正深入各个领域，工业基础设施已成为信息安全的新战场。工业控制系统作为国家关键基础设施的重要组成部分，直接关系到国家的战略安全和政治稳定。电力行业发展较早，建设较好，但依然存在机组核心部件及控制系统主要由外国厂商提供和运维的基本现状。同时近年来，带有政治色彩并对被攻击对象造成特别严重后果的网络攻击越来越频繁：2010年“震网” 病毒控制伊朗核电站离心机转速导致离心机损坏；2016年BlackEnergy3恶意软件感染并控制乌克兰变电站造成大面积停电。在此大环境下，国家关键基础设施行业从企业层面、行业层面、部门层面、国家层面上研究和实践工业控制系统安全运行以推动建立安全防护体系显得很重要也很迫切。

1 相关概念

（1）工业控制系统

工业控制系统[2]简称工控系统，是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统、分布式控制系统、可编程控制器、远程终端、人机交互界面设备，以及确保各组件通信的接口技术。

（2）分散控制系统

分散控制系统[3]简称DCS (Distributed Control System)，是由过程控制级和过程监控级组成的以通信网络为纽带的多计算机系统，综合了计算机、通信、显示和控制等4C技术，其基本思想是分散控制、集中操作、分级管理、配置灵活、组态方便。

（3）安全模块S612

S612属于西门子工业部SCALANCE S通信产品，用于VPN(Virtual Private Network)通道安全防护。案例电厂基建期安装此模块的目的是便于西门子工程师远程诊断。

（4）工业防火墙

工控防火墙与传统防火墙相比，支持Modbus TCP、OPC (OLE for Process Control)、IEC 60870-5-104、IEC 61850、Siemens S7等多种工业协议。且工控防火墙具备工控协议指令级“4S”深度防护技术和业务连续性保障技术，支持多种访问控制规则、协议深度分析、VPN、流量控制、安全审计等安全防护功能，具备Dos、ARP(Address Resolution Protocol)攻击防护和自身访问控制功能，可有效保障自身和工控网络的双重安全。

2 项目背景

本文对某燃机发电厂分散控制系统安全加固[4]研究与实践进行全过程的分析，案例电厂采用西门子SGT5-4000F(4)型燃气轮发电机组，分散控制系统采用SPPA-T3000，系统运行物理环境包括网络设备、网络安全设备、服务器、接口机、操作员站、打印机均由机组厂家全套提供。案例电厂分散控制系统由#1机组、#2机组、公用部分、化水部分四个相对独立的子系统组成。分散控制系统架构如图1所示。

3 安全加固实践依据

2016年，案例电厂完成SIS(Supervisory Information System)系统改造后发现#2机组SIS系统测点频繁出现断点故障，经信息专业和仪控专业逐步排查定位故障节点#2机组分散控制系统接口机出口处安全模块S612，安装位置在工程师站#2机组屏柜。在对S612进行消缺过程中，信息安全专职提出根据《发电厂监控系统安全防护方案》条款4.1.3系统间安全防护（发电厂内同属于安全区I 的各机组监控系统之间、机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间，尤其是机组监控系统与输变电部分控制系统之间，根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN 等）和《工业控制系统信息安全防护指南》相关条款要求，建议拆除S612并在单元机组之间部署工业级防火墙[5]。

图1 分散控制系统架构图

4 安全加固实现过程

4.1 机组运行方式

案例电厂是以天然气为发电原料的调峰机组，全年利用小时数比较低，在一年中的大数时间处于调停状态，且两台机组同时上网的概率小，这为安全加固前期调研、基础收据收集、改造方式选择、改造效果试验对比提供了相对宽松的外部条件。

4.2 实现保障

案例电厂从社会效益和安全效益两方面分析本次分散控制系统安全加固的必要性后明确目标和周期，从案例电厂最高层面成立专项工作组，保障安全加固工作的技术力量和资金投入。

4.3 系统学习

鉴于案例电厂分散控制系统四个子系统之间相对独立、系统架构一致。本章节所有内容以案例电厂#2机组分散控制系统为例来对安全加固实现过程进行详细地记录和分析。

案例电厂分散控制系统的硬件设备和软件均采用进口产品，相关专业自身对系统本身只停留在简单使用层面。针对硬件升级、补丁更新、漏洞扫描修复、系统查毒杀毒等常规安全行为不能自行开展；对系统内部数据包、数据流向、通信协议、通讯端口等数据安全不能有效控制，系统涉及的维护、升级、改造都依托设备和系统厂家。

依据重要信息系统建设和改造“三同步”0原则，保证分散控制系统的持续运行和安全性，必须要求对系统有一个全面深入地认识。案例电厂通过三个方面工作实现对系统的全新认识：

（1）邀请厂家系统工程师、网络工程师到现场进行技术指导，组织专业对分散控制系统网络拓扑、硬件功能、策略配置、软件运行进行全面学习;

（2）通过电话技术支持咨询西门子能源部、发电部、工业部工程师，从一个更加广义的角度寻找工控系统的有效解决方案;

（3）在此基础上，案例电厂组织技术骨干模拟机组运行环境，利用外部条件优势开展不同机组间的横向对比测试和同一机组的纵向对比测试。

4.4 设备部署

通过对现场的实地勘察，工程师站温度和湿度能够控制在B级机房标准，机柜空间紧凑，案例电厂选用机架式工业防火墙，机架式是网络安全设备常见的一种安装方式，通过螺丝固定在机柜上，设备使用和维护方便。

案例电厂工业防火墙部署模式采用重要系统、设备的隔离与防护[7]。工控防火墙以透明或路由模式部署于控制网络与控制设备之间，实现对重要设备的安全防护。启用应用层安全防护策略，通过“四维一体”安全防护技术以及“白名单”机制，对来自控制网络的工控指令“数据完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析和过滤，及时发现可疑指令和恶意数据。启用网络层安全防护策略，对PLC等控制设备进行访问控制，只允许有权限的终端对其进行修改或访问。同时结合“工控业务连续性保障方法”技术在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据，保障关键设备运行安全。

4.5 系统原接线和数据流

（1）系统接线：SIEMENS OPC接口机电口P2上联进口防火墙模块S612电口P2口，S612电口P1口上联交换机模块X108电口P7口，X108电口P1口上联SIS系统。

（2）系统数据流：源数据由SIEMENS OPC Server经SIEMENS OPC Interface、进口防火墙模块S612、模块X108、传统防火墙到达SIS OPC Client。OPC Server到OPC Client之间采用MatrikonOPC Tunneller代替DCOM进行通信，以解决DCOM[8]使用众多端口和合理配置防火墙困难大的问题。机组DCS原接线和数据流如图2所示。

4.6 系统测试阶段接线和数据流

（1）系统接线：SIEMENS OPC接口机电口P2上联交换机模块X108电口P7口，X108电口P1口上联SIS系统。

图2 机组DCS原接线和数据流图

（2）系统数据流：数据源由SIEMENS OPC Server经SIEMENS OPC Interface、模块X108、传统防火墙到达SIS OPC Client。OPC Server到OPC Client之间采用DCOM进行通信。机组DCS测试阶段接线和数据流如图3所示。

4.7 系统加固后接线和数据流

（1）SIEMENS OPC Server上联交换机模块X202电口P2口，X202电口P3口上联工业防火墙电口，防火墙电口上联SIEMENS OPC接口机电口P2，OPC接口机电口P2上联交换机模块X108电口P7口，X108电口P1口上联SIS系统。

（2）数据源由SIEMENS OPC Server经模块X202、工业防火墙、SIEMENS OPC Interface、模块X108、传统防火墙到达SIS OPC Client。OPC Server到OPC Client之间采用DCOM进行通信。机组DCS加固后接线和数据流如图4所示。

5 成果

案例电厂积极应对国内电力行业中工业控制系统国外产品占绝对比例带来的安全问题和潜在风险，使工业防火墙技术真正在工控系统中落地，以点带面找准定位，从被动防御逐步转化为主动防护，建立并不断完善电厂工业控制系统安全防护体系。更重要的是为同情况机组和新建机组工控系统的选型、建设、安全防护提供了有实际意义的参考。

就案例电厂本次分散控制系统安全加固工作从短期来看，存在一定的技术困难并且缺乏资金投入，但从长期来看工控系统防火墙国产化和工业级防护是必然趋势，同时也为后期的设备更新、修理、保养、维护及安全性、合规性带来优势。

案例电厂通过工业防火墙的部署，利用其具备的工控协议指令级“四维一体”深度防护技术，同时结合工控业务连续性保障技术和“白名单”机制，可对工业控制网络“协议完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析，在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据，保障分散控制系统安全、可靠运行[9]。

图4 机组DCS加固后接线和数据流图

6 结束语

本次案例电厂的防护体系设计，在一定程度上规避了大量的工控网络内部的非法访问，有效隔离了分散控制系统不同机组单元之间和与生产区其他系统之间的访问，保障了分散控制系统运行的可靠性、稳定性及安全性。

然而，工控系统的稳定性及安全性，仅仅通过防火墙的安全防护显然是不够的，正如传统网络当中防火墙所起的作用一样，其防护的本质还是通过端口、协议进行识别和防护，一旦病毒或者攻击通过正常的端口或者使用正常的协议进行传播，工控防火墙的防护效果就会被大打折扣，此时需要通过其他防护手段，如主机加固、工业流量审计等手段进行全方位、立体化、可视化进行统一综合整治，让病毒及攻击无处藏身，因此工控系统如分散控制系统等防护的工作依然任重而道远。

[1][德]乌尔里希·森德勒.工业4.0：即将来袭的第四次工业革命[M].机械工业出版社，2014.

[2]工业控制系统基本概念简述[J].保密科学技术，2014.

[3]闻跃军.分散控制系统DCS在电气控制系统中的应用[J].今日科苑，2008.

[4]唐文.基于纵深防御理念的工业自动化控制系统信息安全[J].中国仪器仪表，2013.

[5]姬胜凯.协议安全测试在工业DCS系统测评中的应用[J].微型机与应用，2017.

[6]中华人民共和国网络安全法：附草案说明[M].法律出版社，2016.

[7]鲍金鹏.一种工业控制系统应用层数据安全防护方法[J].现代电子技术，2016.

[8]苏岳龙.中国标准化论坛[C]，2015.

[9]李兴东.基于OPC技术的DCS系统数据实时集成方法研究[J].科技与创新，2014.