火电厂工业控制系统网络安全等级保护设计研究

张琴玲,侯正炜,桂 华

（淮浙电力有限责任公司凤台发电分公司,安徽 淮南 232131）

0 引言

火力发电作为我国主流的发电类型,是国民经济发展的重要支撑。火力发电工业控制系统（以下简称“工控系统”）对火电厂运行安全至关重要。在两化融合的大趋势下,工业控制网络（以下简称“工控网络”）与办公网络的互联互通是必然趋势。从火力发电行业普遍性角度来看,工控网络与办公网络的连接基本上仅有一个防火墙,但是不支持OPC等主流工控设备,控制粒度非常粗糙,存在很大的安全隐患。工控网络基本上不具备发现、防御外部攻击行为的手段,外部威胁源一旦进入办公网络,则可以连接到工控网络的现场控制层,直接影响工业生产。另一方面,工控网络内部设备如各类操作站、终端等,大部分采用Windows系统,为保证工业软件稳定运行无法进行系统升级甚至不能安装杀毒软件,存在大量漏洞,在自身安全性不高的情况下运行,工控系统的安全风险不言而喻。

2019年5月13日,网络安全等级保护制度2.0标准（简称“等保2.0”）在原有的基础上进行了细化、分类和加强,工控系统、云计算、移动互联网、物联网、大数据安全被纳入管理范畴。等保2.0标准的发布,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义。本文将根据等保2.0的要求,结合火力发电厂工控系统实际情况,对其进行网络安全等级保护设计。

1 火电厂工控系统网络安全需求与防护设计的目标

1.1 火电厂工控系统网络安全需求分析

1.1.1 安全域划分需求

很多火电厂的工控系统,包括整个网络结构中没有相应的安全防护设备,处于不设防状态,各工控子系统之间没有相应的隔离设备,不符合安全区域隔离的要求,关键服务器采用双网卡的逻辑隔离方式等同于将工控系统暴露在公网上,十分危险。

1.1.2 生产控制系统与管理信息系统的网络隔离需求

火电厂生产控制系统与管理信息系统的隔离十分重要,如火电厂厂级监控信息系统SIS（Supervisory Information System）与生产过程控制系统PCS（Production Control System）相连,直接关系整个火电厂的运行调度,二者之间安全隔离才能确保工控系统不会受到来自管理网的安全威胁。

1.1.3 漏洞监控和网络入侵行为审计需求

电气、锅炉汽机、抄表等系统操作站和服务器大多采用Windows操作系统,系统长期不更新导致大量漏洞存在,但相关人员并不掌握。另外,各类操作站的外设管理以及安装软件合规性等都需进行安全防护。对于监控服务器、操作站服务器等设备的入侵或异常行为应进行及时监测。

1.1.4 运维行为安全审计防护需求

运维人员在运维时都是直接将运维笔记本接入到现场控制层网络,如果对运维行为没有安全审计防护,可能会因为运维中的不当行为造成控制系统停机事故。

1.2 火电厂工控系统安全防护设计的目标

发电厂工控系统安全防护建设的总体目标是参照国内外成熟、先进的方法和模型,根据火电厂工控系统的实际特点和安全需求,全面加强工控系统安全防护力度,切实保障生产经营活动的正常开展。主要实现以下几个具体目标:

第一,完善工控系统安全风险管理,实现风险管理的机制化运行,相关人员能准确掌握自身工控系统面临的主要安全风险。

第二,强化生产网和管理网的隔离和访问控制,防止安全威胁或风险的渗透和转移。

第三,提升工控系统对入侵和异常行为的检测和发现能力,实现安全威胁的可知、可查。

第四,提高工控系统安全管理响应效率,实现可视化统一管控。

2 火电厂工控系统网络安全防护设计的思路与框架

2.1设计思路

在原有的防护基础上,通过对生产控制大区内部进行边界区域安全防护、流量监测审计、主机安全防护和安全综合管理,从而满足等级保护2.0中“一个中心、三重防护”的核心要求。具体思路是:

第一,边界区域安全防护,主要对控制大区边界和各系统间的区域进行隔离防护；

第二,主机安全防护,主要对工控上位机（工程师站、操作员站等）与工控服务器进行安全加固和防护；

第三,流量监测审计,主要结合2015年国家能源局发布的36号文《电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》中入侵检测和安全审计的要求,对电厂控制大区进行网络监测审计,对整个操作的行为安全性进行分析和监控；

第四,安全综合管理,通过对分布式部署的边界防护产品、监测审计产品的集中管理,以及工控系统日志的搜集和综合分析,形成快速有效的威胁检测、分析和处置能力。

2.2 设计框架

设计架构采用“纵向分层、横向分区”的纵深防御,充分体现了等保2.0“一个中心、三重防御”的思想。“一个中心”指“安全管理中心”,“三重防御”指“安全计算环境、安全区域边界、安全网络通信”。同时等保2.0强化可信计算安全技术要求的使用,以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全。火电厂工控系统网络安全防护设计框架如图1所示。

图1 火电厂工控系统网络安全防护设计框架Figure 1 Design framework for network security protection of industrial control system in thermal power plant

该框架充分参考了国内外相关工控系统安全标准和成熟的安全模型,结合行业工控系统的业务特点和安全需求,同时按照生产优先的原则,并充分考虑了对工控系统、网络和软硬件设备的兼容性。整体防护框架的落实需要按照循序渐进的原则逐步予以完善。根据该框架,对火电厂工控系统网络安全防护建设的建议如下:

第一,开展全面的工控系统安全风险评估,充分了解工控系统中存在的安全风险,明确工控系统安全建设方向和重点。

第二,各类工控系统安全防护建设。首先,开展安全域划分,明确安全防护重点和要求；其次,在工控系统中部署相应的安全技术防护措施,实现防护目标和效果。

第三,建立配套的安全管理措施。结合工控系统的管理特点和要求,以及国家相关标准规范,以现有运维管理制度和流程为基础,制定专门的工控系统安全管理制度。

第四,形成网络安全防护和管理的长效机制。通过专业机构服务和自身的网络安全管理团队建设,内外部协同,资源共享,使工控系统实现全方位、多角度、高效率的安全防护。

3 火电厂工控系统网络安全防护的具体设计

根据等保2.0“一个中心、三重防御”的思想,对某火电厂工控系统进行网络安全防护加固后的网络拓扑如图2所示。

图2 某火电厂工控系统网络安全防护加固后的网络拓扑Figure 2 Network topology of a thermal power plant's industrial control system after network security protection has been strengthened

3.1 安全区域边界防护设计

3.1.1 安全区域边界防护要求

（1）控制区与非控制区边界安全防护

安全区Ⅰ与安全区Ⅱ之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设备,实现逻辑隔离、报文过滤、访问控制等功能。

（2）系统间安全防护

发电厂内同属于安全Ⅰ区的各机组监控系统之间、机组监控系统与控制系统之间、同一机组不同功能的监控系统之间,尤其是机组监控系统与输变电部分控制系统之间,根据需要可采取一定强度的逻辑访问控制措施,如防火墙、VLAN等。

3.1.2 安全区域边界防护目标

实现生产控制系统Ⅰ区到生产控制系统Ⅱ区之间生产和信息数据的安全访问；实现厂级监控系统到机组DCS之间、主控DCS与辅控DCS之间的数据安全访问；实现现场不同系统之间的逻辑隔离,例如机组DCS间,避免某一个系统将安全问题引入其他子系统。

3.1.3 安全区域边界防护的技术实现

通过对火电厂工控系统边界的定义,在安全区域划分的基础上,针对不同安全区域的业务重要性以及区域之间的通信与数据交换需求,部署适当防护强度的边界防护设备,进行有效的边界防护。边界定义:电厂生产控制区到电厂生产非控制区之间；电厂机组DCS（Distributed Control System）、辅控DCS和NCS（Network Control System）等系统之间。

（1）控制区（安全Ⅰ区）和非控制区（安全Ⅱ区）边界安全防护

第一,工业防火墙防护方式。在安全Ⅰ区和安全Ⅱ区之间部署工业防火墙,如图3所示。允许安全Ⅰ区只有特定的对象并通过特定的工控协议与安全Ⅱ区进行交互；同时对安全Ⅰ区和安全Ⅱ区之间传输的报文内容做深度检查,识别正常的操作行为并生成白名单,发现其用户节点的行为不符合白名单中的行为特征时进行阻断并告警。

第二,网闸防护方式。在安全Ⅰ区和安全Ⅱ区之间部署工业网闸（部署在图3中的工业防火墙位置）,最大程度保证安全Ⅰ区和安全Ⅱ区之间数据采集和摆渡过程中的安全性。该方式实现了对基于TCP/IP协议体系攻击的彻底阻断,保障了工业网络数据的安全传输。

图3 安全Ⅰ区和安全Ⅱ区边界防护部署工业防火墙Figure 3 Deploying industrial firewalls for border protection of Security ZoneⅠand Security ZoneⅡ

（2）电厂机组DCS、辅控DCS和NCS等系统之间的边界安全防护

火电安全Ⅰ区内部边界安全防护部署如图4所示。在机组DCS之间、主控DCS与辅控DCS之间等部署工业防火墙,避免工业控制网络受到未知漏洞威胁,以及避免某一个DCS系统将安全问题引入其他DCS等系统,同时防止误操作、恶意病毒的传播及越权访问等。

图4 火电安全Ⅰ区内部边界安全防护部署图Figure 4 Security protection deployment diagram for the internal boundary of Thermal Power Safety ZoneⅠ

3.2 安全计算环境防护设计

3.2.1 安全计算环境防护要求

发电厂厂级信息监控系统等关键应用系统的主服务器,以及网络边界处的通信网关机、Web服务器等,应当使用安全加固的操作系统。非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。生产控制大区中除安全接入区外,应当禁止选用具有无线通信功能的设备。

3.2.2 安全计算环境防护目标

通过部署主机安全防护软件,基于白名单、完整性保护等技术手段,加强主机的恶意代码防范能力,避免不同监控软件如iFix、Rsview、组态王等漏洞被利用的情况发生,并有效阻止蠕虫等病毒在内网的传播与破坏。

3.2.3 安全计算环境防护的技术实现

主机防护主要在发电厂生产控制系统如火电厂机组的DCS、辅控DCS以及NCS系统、ECMS等系统的上位机和服务器安装防护软件,以白名单的方式监控工控主机的进程、网络端口和USB端口状态,全方位地保护主机的资源使用。根据白名单配置,主机防护软件会禁止非法进程的运行,禁止非法网络端口的打开与服务,禁止非法USB设备的接入,从而切断病毒和木马的传播与破坏路径,保证上位机正常指令的顺利下发和生产相关业务与进程的正常执行。其特点如下:

第一,白名单控制。可信应用白名单:禁止白名单以外的恶意代码加载运行,替代杀毒软件黑名单防范恶意代码的方式,避免杀毒软件的误杀问题；USB安全管理:规范USB设备使用,并防止各种USB作为媒介的攻击行为。

第二,完整性保护。关键配置完整性:对操作系统、工控应用关键配置（文件、注册表、数据库等）进行保护,防止非可信应用对其进行修改；系统加固:对操作系统、关键文件、注册表项、策略进行安全加固。

第三,应用软件兼容性。多种机制保障白名单部署,全系统无缝兼容。

3.3 安全通讯网络防护设计

3.3.1 安全通讯网络防护要求

第一,入侵检测。发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在的威胁并进行安全审计。

第二,安全审计。从管理层面提供工控网络的有效监督,预防、制止数据泄密,满足对工控网络行为审计备案及安全保护措施的要求,提供完整的记录,便于信息追踪、系统安全管理和风险防范。

第三,恶意代码防范。及时更新特征码,查看查杀记录。

3.3.2 安全通讯网络防护目标

监测网络流量中的恶意代码或漏洞攻击行为,分析潜在威胁并进行安全预警；通过机器自学习和合理设置安全规则,检测规则以外的异常数据和非法操作行为并进行记录和告警,防止误操作；进行监测审计,生成当前生产网络的行为日志和运行日志,弥补现有工控系统无安全日志的空白,便于事件追溯和分析。

3.3.3 安全通讯网络防护的技术实现

在火电厂的安全Ⅱ区核心交换机侧部署安全监测审计平台,以旁路镜像核心交换机数据端口的方式,对外部入侵行为和内部人员操作行为进行监测审计,如图5所示。

图5 火电厂工控系统网络监测审计部署Figure 5 The deployment of network monitoring and auditing of industrial control systems in thermal power plants

监测审计包含入侵行为检测特征库。特征库包含两大类:一类覆盖常见工控网络的木马、蠕虫病毒和渗透攻击、拒绝服务等信息；另一类是针对电力行业特有环境下的攻击特征,如利用操作系统、组态软件、OPC工业协议等漏洞的攻击。同时,监测审计由于系统集成商、设备供应商、第三方运维服务商等其他外部企业通过互联网远程连接电力生产控制大区内的系统或设备进行远程调试、维护等操作。其具体功能如下:

第一,事前预警。通过装置的自学习功能,收集和分析深入到协议层级的网络数据、流量、操作指令及其他网络信息,检测发现隐藏于网络正常信息流中的入侵行为,分析潜在威胁；对工控网络系统内未知设备接入进行实时告警；对工控系统中流量的流入流出异常情况进行监测和预警。

第二,事中决策。通过流量特征检测、弱点检测、流量异常检测、DDoS分析和混合式攻击检测等多重检测技术,识别出正常网络行为和异常网络行为。在有外部攻击或者内部人员误操作的时候,通过告警的方式提醒电厂运维人员判断异常行为是否为攻击,经判定后确定继续执行操作或者终止指令。

第三,事后追溯。对已经发生的安全事件进行统计并以报表的方式展现,总结出事件发生的全部过程并将事件还原,经过对事件各个环节的分析,建立有针对性的防护措施,避免类似安全事件的再次发生。

3.4 安全管理中心防护设计

3.4.1 安全管理中心防护要求

实时监测电力监控系统的计算机、网络及安全设备运行状态；定期对工控系统的应急响应预案进行演练,必要时对应急响应预案进行修订。

3.4.2 安全管理中心防护目标

对工控系统内的防护设备统一进行安全管理,即可以统一控制配置管理、部署安全策略和监控通信流量与安全事件,消除安全孤岛；通过多种方式来收集设备和业务系统的日志,通过对系统采集到的资产、业务、脆弱性漏洞、威胁、事件等信息进行大数据分析,从整体视角进行安全事件分析、安全攻击溯源和根因挖掘等。

3.4.3 安全管理中心防护技术实现

安全管理平台的部署如图6所示。安全管理平台基于对网络中安全产品的集中管理,系统、主机、网络设备等日志的搜集,以及告警、流量的关联分析,在降低运维成本的同时形成快速有效的威胁检测、分析、处置能力。

图6 火电厂工控系统安全管理平台部署Figure 6 Deployment of safety management platform for industrial control system in thermal power plants

第一,安全产品统一管理。统一管理和配置工业防火墙、安全监测审计等安全产品,并监测设备的通信流量和安全事件。

第二,信息采集。通过多种方式收集设备和业务系统的日志,例如Syslog,SNMPTrap,FTP和ODBC等。

第三,大数据分析。通过对系统采集到的资产、业务、脆弱性漏洞、威胁、事件等信息进行大数据分析,实现安全事件的关联分析,协助用户对不同设备的统一安全策略管理。

第四,应急响应。通过全局分析,进行安全预警,以便针对不同的安全事件快速启动应急响应策略。

4 结语

本文结合等保2.0具体要求,构建了火电厂工控系统网络的边界安全、流量行为安全、主机安全、安全综合管理为一体的网络安全防护体系,形成了安全防护的合力,提高了火电厂工控系统网络抵御内外部攻击的能力。该系统实现了统一控制配置管理、统一部署安全规则、统一监控通信流量与安全事件,既可以消除安全孤岛,又可以从整体视角进行安全事件分析、安全攻击溯源和根因挖掘。

针对当下信创产业国产化替代,下一步需要从电力监控网络的内在特性和行业特点出发,从隐患根源着手,研究电力监控系统现场底层和内部量身定制国产化硬件结构及芯片的安全技术,最终实现电力监控系统的稳定运行和安全治理。