伴随“互联网+”的来临,电力行业与“互联网+”深度融合是未来的发展趋势,移动互联网、云计算、大数据、物联网等先进信息技术应用到电厂的安全生产中,促进电厂向智能化、数字化等方向发展。同时随着电力自动化生产技术的迅猛发展,工控系统产品越来越多地采用通用协议/规约,通用硬/软件和网络设备,工控系统在物理环境上的封闭性以及软/硬件的专用性逐渐被打破,工控系统的智能化提高了生产效率和管理效率,同时也为恶意攻击者创造了可乘之机。
工控系统作为电力行业生产的最重要控制系统,在高度对抗的安全环境下受到了前所未有的威胁,成为了众多对象打击和渗透的目标,各种针对电力生产控制系统网络的病毒、木马等威胁事件层出不穷。面对攻击技术与手段日益先进、复杂、成熟的针对电力工控系统进行攻击的行为,电力工控系统所面临的安全威胁也日益严峻。因此,如何保障水电厂工控系统安全,保障水电厂的安全生产,为水电厂设计安全、有效的工控系统安全防护方案,已成为一个日益突出的问题。
1 水电厂工控系统安全现状
水电厂工控系统由生产控制大区和管理信息大区组成,其中生产控制大区可以分为控制区(安全I区)和非控制区(安全II区),控制区主要由计算机监控系统上位机、机组LCU、公用LCU、开关站LCU、闸门监控系统、稳控装置、PMU等不同子系统组成,非控制区主要由电量计量、故障录波、水情等系统组成。管理信息区由信息内网和信息外网组成,信息内网主要由门户网站、办公OA、生产管理系统等组成,信息外网为互联网。
尽管水电厂工控系统已按照电力二次安全防护规定的要求,建立了“安全分区,网络专用,横向隔离,纵向认证”的网络结构,对生产控制大区和管理信息系统进行了安全分区,管理信息系统、调度数据网等系统网络专用,在安全I区和安全II区之间部署了防火墙,在与调度中心通信链路中部署了纵向加密认证装置,部分水电厂根据自身的需要,在网络中还增加了其他网络安全设备。然而水电厂工控系统依然面临复杂的外部和内部威胁,主要集中在以下几个方面:
(1)主机安全风险。生产控制大区的服务器/网络设备等存在弱口令,用户权限设置不合理,存在默认账号,空闲端口未关闭,系统软件、操作系统漏洞升级困难,缺少必要的应用安全控制策略,对用户登录应用系统,访问系统资源等操作进行身份认证、访问控制和安全审计。
(2)网络安全风险。水电厂工控系统中安全I区与安全II区之间部署的防火墙,缺乏对工业协议的支持和工业病毒的防护,水情系统服务器通过微波或GPRS等无线信号直接接收来自遥测站的数据,缺乏对接收数据进行安全防护,安全II区的非实时业务至调度中心数据网采用防火墙,未使用纵向认证加密装置。
(3)移动存储介质使用风险。随着移动存储介质的广泛应用,运维人员使用移动存储介质方便的接入操作员站/工程师站等服务器上,主机中的工控数据和配置文件存在外泄的可能,给工控数据的完整性、保密性带来严重威胁,同时给病毒木马进入工控系统提供有利的感染通道。
(4)病毒引入风险。病毒控制手段缺乏,病毒可通过移动存储设备、外来运维的电脑,无线系统等进入系统,水电厂工控系统中很多控制单元都是封闭的系统,无法通过病毒软件进行病毒清理,同时缺少病毒在工控网络中传播的控制手段,一旦感染病毒将传播到整个工控系统网络。
(5)应用安全风险。水电厂工控系统普遍缺乏网络准入和控制机制,上位机与下位机通信缺乏身份鉴别和认证机制,只要能够从协议层面跟下位机建立连接,即可以对下位机进行修改,普遍缺乏限制系统最高权限的限制,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄漏,同时也缺乏事后追查的有效工具,让责任划分和威胁追踪变得更加困难。
2 系统总体设计原则
水电厂工控系统设计以满足我国电力监控系统安全防护总体原则为依据,同时考虑当前国内外工控安全防护技术的发展趋势,结合水电厂工控系统测评和安全防护评估发现的风险点,提出构建水电厂一体化纵深防御的安全防护方案,即安全分区、网络专用、横向隔离、纵向认证、综合防护。
(1)安全分区是工控系统安全防护体系的结构基础,结合工控系统的业务系统和网络结构,根据业务功能组、安全需求、物理位置等信息将整个工控系统网络划分成不同的安全区域,各安全区域之间可通过链式、三角以及星型等方式建立连接,同时也需避免不同安全区的纵向交叉连接。
(2)网络专用是工控系统安全防护体系的物理网络基础,工控系统网络应使用物理独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离,管理信息网应使用逻辑独立的虚拟专用网络。
(3)横向隔离是工控系统安全防护体系的横向防线,在安全分区的基础上,水电厂内部不同安全区域之间采用不同强度的横向隔离措施。
(4)纵向认证是工控系统安全防护体系的纵向防线,水电厂在安全分区的基础上,与调度中心通信的纵向数据网络,应采用认证、加密、访问控制等技术措施实现数据远程安全传输和纵向数据网边界的安全防护。
(5)综合防护是指通过长期技术与管理措施做到工控系统的安全运营,包括定期渗透测试、设备加固、软硬件安全可控、白名单策略控制、安全渗透、评估与测试和管理持续化等几个方面。
2.1 安全分区
水电厂的工控系统由实时业务区、非实时业务区、信息管理业务区和独立系统组成。实时业务区和非实时业务区的信息系统通过电力调度数据网与上级调度进行连接,生产控制大区和管理信息大区之间没有连接。
2.2 横向隔离
横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区,以实现对重点安全区域的严格网络隔离和访问控制,保障电力二次安全防护体系的整体安全性。水电厂横向隔离主要包含以下几个方面:
(1)生产控制大区与管理信息大区之间。通常水电厂的两大网络之间没有直接的物理连接,可不加防护装置,如以后相连则必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。
(2)控制区(安全I区)与非控制区(安全II区)之间。安全I区是整个工控系统的防护重点,尽管水电厂安全I区和安全II区之间通常已经部署了传统防火墙,但难以对IEC104规约进行精确防护,需要进行升级并部署工业防火墙,实现对工业协议数据深度过滤,防范各种非法操作和数据,保障工控系统安全。
(3)监控区和现场控制区之间。由于PLC控制器的安全防护级别要高于上位机的安全防护,因此在集中监控区上位机和现地控制区下位机之间部署智能保护装置,允许上位机通过特定的工控协议与下位机进行交互,同时对上下位机之间传输的报文内容做深度检查,识别正常的操作行为并生成白名单,发现其用户节点的行为不符合白名单中的行为特征,对此行为进行阻断或告警。
(4)第三方边界安全防护。在非控制区第三方边界部署安全隔离装置,保障数据传输安全。在水电厂非控制区中,水情系统通过无线信号收集来自遥测站的水情数据用于水情分析,采集的数据经水电厂的水情服务器接收处理后,送往上级调度部门,应采取电力系统专用隔离装置进行保护。
2.3 纵向认证
采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。因此在水电厂生产控制大区与电力调度数据网的纵向连接处部署电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制,同时具有安全过滤功能,实现对数据通信应用层协议及报文的处理功能。
2.4 综合防护
为保障水电厂工控系统安全,除了遵循“十六字方针”外,还应考虑综合防护方面的需求,如实现入侵检测装置、主机与网络设备加固、应用安全控制、安全审计、专用安全产品管理、备用与容灾、恶意代码防护、设备选型及漏洞整改等以及其他安全需求。
(1)安全审计。发现网络安全威胁,并对威胁进行分析,是保护工控系统网络安全的首要任务,工控安全监测审计以旁路镜像交换机数据端口的方式,对水电厂工控系统网络各层级可能存在的威胁和内部人员的操作行为实时在线监测和分析。通过在水电厂安全I区的监控系统核心交换机、调度数据网实时业务交换机、安全II区的非实时业务交换机处部署工控安全监测审计设备,从生产控制网络环境监测、安全形式评价、安全事件审计、安全接入等方面建立工控系统网络安全保障体系,以便实时检测工控网络流量中的恶意代码或利用漏洞攻击的行为,分析潜在威胁并进行安全预警,同时,可审计经过现地控制系统汇聚交换机的操作指令,及时发现违规操作行为,便于事后追溯和分析。
(2)入侵检测。入侵检测系统可以对工控系统可能面临的攻击行为进行有效检测,并通过事前告警、事中防护、事后取证3个角度,实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马等恶意流量,及时捕获网络异常行为,分析潜在威胁,保护信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。该系统旁路部署在安全I区,安全II区,管理信息大区的核心交换机上。
(3)主机加固。水电厂主机加固主要是对计算机监控系统、水情系统、闸门监控系统等操作员站、工程师站以及数据服务器进行防护,通过在工作站上安装主机加固软件,以白名单的技术方式监控工控主机的进程状态、网络端口状态、USB端口状态,全方位地保护主机的资源使用。根据白名单的配置,主机防护软件会禁止非法进程的运行,禁止非法网络端口的打开与服务,禁止非法USB设备的接入,从而切断病毒和木马的传播与破坏路径,保证各控制系统指令安全、正确执行,各生产系统安全稳定运行。
(4)移动介质防护。移动介质防护主要对水电厂工控系统工程师站、操作员站、数据服务器、水情上位机等USB接口进行防护,通过在工作站上安装部署USB保护装置,利用文件过滤技术,根据用户系统特点及相应配置,过滤所有可疑文件,切断病毒传播途径;通过对U盘的认证、权限设置以及行为记录,从而实现对内网U盘的行为管理,可全面防护USB病毒及攻击,彻底消除了USB使用中的安全威胁;可有效拦截死亡蓝屏攻击、BadUSB攻击、LNK攻击等USB高级攻击;通过单向拷贝技术,防止数据泄漏事故。该设备安装之后,必须使用专业的钥匙才能打开,如果强制拔出,将会导致USB口损坏,从而无法使用。
(5)安全预警。工控安全预警平台主要是实时监测水电厂工控系统的计算机网络及安全设备运行状态,及时发现非法外联、外部入侵等安全事件并告警,收集厂站侧原有网络设备、安全设备以及上位机监控软件的日志信息。通过监测工控系统网络的通信流量与安全事件,从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等,为工控系统网络当前的状态以及未来可能受到的攻击做出态势评估与预测,为专业人员提供可靠、有效的决策依据,最大程度上降低工控系统可能遭受的风险和损失。
3 结论
本文以国务院14号令和国家能源局“36号文”为依据,以水电厂工控系统网络为基础,设计实施的工控系统安全防护方案,创新性地采用基于白名单的主机加固软件,应用软硬件结合的认证策略,USB保护设备,安全监测审计等,解决了水电行业工控系统中普遍存在的上位机未进行加固,USB接口未关闭,网络边界缺乏防护等问题,实现工控系统集中监控管理,减少现有水电厂工控系统安全风险点,降低水电厂遭受网络攻击的可能性,多维度、全方位的提升水电厂安全防护能力,为水电行业工控系统安全防护机制积累宝贵经验,具有广泛的推广应用前景。