今日頭條
官方微信
官方抖音
資訊頻道火電廠的監(jiān)控系統(tǒng)主要用于監(jiān)視和控制生產(chǎn)過程,包括發(fā)電廠的主控制系統(tǒng)、外圍輔助控制系統(tǒng)、電氣二次系統(tǒng)等控制區(qū)實時系統(tǒng),以及廠級監(jiān)控信息系統(tǒng)等非控制區(qū)監(jiān)控系統(tǒng),其安全問題一直受到國家和公眾的重點關(guān)注[4]。目前電力行業(yè)主要依據(jù)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(發(fā)改委14號令)及能源局《電力監(jiān)控系統(tǒng)安全防護總體方案》(36號文)及相關(guān)配套安全防護方案,按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離[5]、縱向認證、綜合防護”的總體原則,強化邊界防護,同時加強內(nèi)部安全措施和安全管理制度,提高系統(tǒng)整體安全防護能力。
本文主要對火電廠監(jiān)控系統(tǒng)中的外圍輔助控制系統(tǒng)(以下簡稱:火電廠輔控系統(tǒng))網(wǎng)絡(luò)安全防護技術(shù)進行探討。
1 火電廠輔控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀
火電廠輔控系統(tǒng)包括全廠水、煤、灰三大部分及循環(huán)水、空壓機房、脫硫脫硝等其它輔助控制系統(tǒng)。其中水主要包括化學(xué)水處理、凝結(jié)水精處理、化學(xué)廢水處理、凈水站、汽水取樣、污水處理等,煤主要包括輸煤系統(tǒng),灰主要包括除灰除渣系統(tǒng)。
火電廠輔控系統(tǒng)的特性決定了當前網(wǎng)絡(luò)安全不容樂觀的現(xiàn)狀。
1.1 輔控系統(tǒng)結(jié)構(gòu)復(fù)雜
火電廠輔控系統(tǒng)結(jié)構(gòu)復(fù)雜原因可以被歸為物理位置分散、網(wǎng)絡(luò)節(jié)點多和平臺軟件不統(tǒng)一這三類。
(1)物理位置分散主要體現(xiàn)在PLC控制器、交換機、工控機位置分散
· 火電廠輔控系統(tǒng)內(nèi)各子系統(tǒng)分散于生產(chǎn)區(qū)各個角落,子系統(tǒng)PLC控制器一般隨工藝設(shè)備就近安裝,并且部分子系統(tǒng)就地部署有操作員站/工程師站,例如凝結(jié)水精處理系統(tǒng)普遍就地部署操作員站用于樹脂再生等關(guān)鍵環(huán)節(jié)的監(jiān)控;
· 火電廠輔控系統(tǒng)一般根據(jù)工藝功能特點設(shè)立相對集中的監(jiān)控室,如化學(xué)集控室、除灰集控室、輸煤集控室,不同火電廠有所差異,部分系統(tǒng)單獨設(shè)置有集控室,例如遠程泵房集控室。
(2)網(wǎng)絡(luò)節(jié)點多
· 輔控系統(tǒng)建成后隨著新機組擴建、工藝系統(tǒng)改造升級、環(huán)保需求等原因,子系統(tǒng)數(shù)量不斷增加,網(wǎng)絡(luò)節(jié)點數(shù)同步遞增;
· 火電廠輔控系統(tǒng)一體化概念的提出及落地,使輔控系統(tǒng)各子系統(tǒng)網(wǎng)絡(luò)通過交換機逐步連通,用于集中監(jiān)控的工控機相繼部署,火電廠輔控系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備數(shù)量逐步增多;
· 為了保證系統(tǒng)可持續(xù)性的安全運行,火電廠輔控系統(tǒng)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)介質(zhì)一般采用雙網(wǎng)冗余配置。
(3)平臺軟件不統(tǒng)一
· 一方面火電廠輔控系統(tǒng)內(nèi)各子系統(tǒng)的建設(shè)時間不同,另一方面操作系統(tǒng)升級換代速度快,導(dǎo)致工控機使用的操作系統(tǒng)版本不統(tǒng)一;
· 火電廠輔控系統(tǒng)內(nèi)上位機監(jiān)控軟件不統(tǒng)一,輔控系統(tǒng)部分子系統(tǒng)的上位機軟件隨工藝設(shè)備整體交付、部分子系統(tǒng)由PLC控制改造成DCS控制等各類原因造成上位機監(jiān)控軟件品牌不同或者版本號不同。
輔控系統(tǒng)結(jié)構(gòu)的復(fù)雜程度決定了開展網(wǎng)絡(luò)安全防護工作的難度。火電廠輔控系統(tǒng)由不同部門運行和管理,很難對控制網(wǎng)絡(luò)進行有效管控,更難保障各類終端的安全。
1.2 網(wǎng)絡(luò)安全防護成本高
同處于火電廠安全I區(qū)內(nèi)的主控系統(tǒng)相比,輔控系統(tǒng)的安全域邊界龐大、結(jié)構(gòu)復(fù)雜。若對輔控系統(tǒng)的安全域進行細分,如按照水、煤、灰三大部分劃分為三個子安全區(qū)域。雖一定程度上可以解決大部分設(shè)備安全域劃分的問題,但實際操作時仍然有部分設(shè)備同時存在于多個子安全區(qū)域內(nèi),如主機集控室內(nèi)的某臺操作員站需要監(jiān)控全廠輔控系統(tǒng)、輔網(wǎng)某臺接口機需要同時讀取水和灰系統(tǒng)數(shù)據(jù)等。
出現(xiàn)上述情況則需要對現(xiàn)有輔控系統(tǒng)進行改造,增加網(wǎng)絡(luò)安全設(shè)備如防火墻或者相當功能的設(shè)備進行邏輯隔離,這都額外增加設(shè)備成本及管理成本。輔控系統(tǒng)網(wǎng)絡(luò)安全防護建設(shè)成本將是主控系統(tǒng)的幾倍。
2 輔控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)探討
火電廠輔控系統(tǒng)的復(fù)雜結(jié)構(gòu)特性使得按照常規(guī)方案對其進行安全防護加固的效果不佳或成本高昂,是否有一種適用于火電廠輔控系統(tǒng)這類結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)安全防護技術(shù)?
2.1 輔控系統(tǒng)網(wǎng)絡(luò)安全基本要求
針對火電廠輔控系統(tǒng),根據(jù)所在安全區(qū)域的安全防護要求,對用于監(jiān)視和控制生產(chǎn)及供應(yīng)過程的、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備,以及作為基礎(chǔ)支撐的通信網(wǎng)絡(luò)等方面進行安全防護,以消除風(fēng)險或?qū)L(fēng)險控制在可接受的范圍。
為了保證火電廠輔控系統(tǒng)網(wǎng)絡(luò)安全,應(yīng)該實行國家網(wǎng)絡(luò)安全等級保護制度,使其信息安全防護滿足信息安全等級保護的相關(guān)要求。
同時,火電廠輔控系統(tǒng)根據(jù)不同的功能特性,應(yīng)劃分為不同的安全區(qū)域,安全區(qū)域之間應(yīng)當采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當功能的設(shè)施,實現(xiàn)邏輯隔離。結(jié)合國家信息安全等級保護工作的相關(guān)要求,從上位機、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計等多個層面進行信息安全的綜合防護。
2.2 交換機安全隔離域技術(shù)
在火電廠輔控系統(tǒng)網(wǎng)絡(luò)中,整個輔控系統(tǒng)內(nèi)網(wǎng)是一個大的通信作用域,輔控系統(tǒng)內(nèi)網(wǎng)中終端設(shè)備可以自由通訊,其中一臺終端設(shè)備感染病毒,便可能很快在輔控系統(tǒng)內(nèi)網(wǎng)蔓延,感染其它終端設(shè)備。通常采用交換機劃分VLAN或者部署防火墻進行網(wǎng)絡(luò)區(qū)域的邏輯隔離,但在火電廠輔控系統(tǒng)使用場景下均存在不足之處。特提出一種工業(yè)安全交換機,本身作為輔控系統(tǒng)的重要組成部分,具備內(nèi)生的多重安全隔離域技術(shù)。該技術(shù)主要由網(wǎng)絡(luò)安全管理中心和工業(yè)安全交換機兩部分構(gòu)成實現(xiàn),網(wǎng)絡(luò)安全管理中心管理所有工業(yè)安全交換機。
具體的實現(xiàn)方式是火電廠輔控系統(tǒng)內(nèi),根據(jù)各終端之間的數(shù)據(jù)流制定合理的應(yīng)用隔離域,在網(wǎng)絡(luò)安全管理中心創(chuàng)建隔離域用戶組、定義名稱、定義用戶組的端口速率/廣播抑制/組播抑制等功能、劃歸工業(yè)安全交換機端口至各個隔離域、下發(fā)配置,工業(yè)安全交換機每個端口既可歸屬某一個組,也可歸屬多個組。
完成配置后,在內(nèi)網(wǎng)形成多個用戶組,組內(nèi)端口連接的終端之間可以相互通訊,不同組之間終端不能相互通訊;組與組可以是相互獨立的,也可以有交集。在內(nèi)網(wǎng)形成多重虛擬隔離的網(wǎng)絡(luò)結(jié)構(gòu),并且不會改變輔控系統(tǒng)網(wǎng)絡(luò)的物理結(jié)構(gòu)。
多重安全隔離域的劃分示意圖如圖1所示。
圖1 發(fā)電廠輔控系統(tǒng)多重安全隔離域劃分示意圖
多重安全隔離域技術(shù)是基于工業(yè)安全交換機以下核心功能來實現(xiàn)的。
(1)柔性安全區(qū)
采用柔性安全區(qū)技術(shù),用戶可以靈活劃分復(fù)雜網(wǎng)絡(luò)系統(tǒng)的安全域,突破單個交換機的功能局限,多個交換機之間實現(xiàn)功能融合,所有交換機端口可統(tǒng)一管控、自由劃分至指定安全域,達到1+1>2的效果。最終體現(xiàn)為由隔離域用戶組組合構(gòu)成的網(wǎng)絡(luò)安全區(qū)架構(gòu),隔離域用戶組之間邏輯隔離。
(2)訪問控制
根據(jù)生產(chǎn)現(xiàn)場業(yè)務(wù)邏輯情況,設(shè)置隔離域用戶組訪問控制策略,可深度綁定組內(nèi)資產(chǎn)信息并固化,拒絕其他未授權(quán)的資產(chǎn)接入和服務(wù)請求。
安全域重疊部分的設(shè)備能夠跨多個安全域進行數(shù)據(jù)交互,從數(shù)據(jù)流上是允許的,相應(yīng)的也存在跳板式攻擊的可能。工業(yè)安全交換機支持對重疊區(qū)域的設(shè)備數(shù)據(jù)流進行切片隔離傳輸,每個隔離域設(shè)備數(shù)據(jù)流具有獨立的邏輯通道。工業(yè)安全交換機提供技術(shù),指導(dǎo)重疊區(qū)域的設(shè)備進行安全加固與聯(lián)動防護。
2.3 防范病毒蔓延和網(wǎng)絡(luò)攻擊技術(shù)
網(wǎng)絡(luò)病毒傳播的一個重要手段就是通過掃描網(wǎng)絡(luò)中的地址尋找下一個感染和攻擊的目標。病毒掃描攻擊過程如圖2所示。
圖2 病毒掃描攻擊過程示意圖
目前在火電廠輔控系統(tǒng)網(wǎng)絡(luò)中部署的防火墻等設(shè)備大多數(shù)采用被動防御模式,主要采用預(yù)設(shè)的通訊協(xié)議、IP隔離、代碼過濾、包采集分析規(guī)則。而這些防護規(guī)則都不是原理性的防護規(guī)則,能夠被規(guī)避。例如上述這種掃描在尋找目標的過程,不包含惡意代碼,因此不會被傳統(tǒng)的防護措施如防病毒軟件判定為非法行為。
基于安全隔離域技術(shù)的網(wǎng)絡(luò)中,采用用戶組劃分最小安全隔離域,依托用戶組隔離技術(shù)和主機掃描偵聽技術(shù),一旦監(jiān)測到超出安全域的掃描情況,工業(yè)安全交換機立刻定位該非法事件,并可采取進一步的防范措施。火電廠輔控系統(tǒng)內(nèi)的業(yè)務(wù)有一個共同特性,即建成后基本固定不變,包括網(wǎng)絡(luò)設(shè)備資產(chǎn)、數(shù)據(jù)流向、通訊協(xié)議、業(yè)務(wù)端口,有利于建立最小最優(yōu)的安全隔離域。合理劃分安全隔離域有利于工業(yè)安全交換機更早發(fā)現(xiàn)各類未授權(quán)行為。
工業(yè)安全交換機通過實時監(jiān)測數(shù)據(jù)源,能夠及時阻斷或告警病毒等的攻擊,病毒無法通過改變代碼特征、軟件端口號和掃描特征規(guī)避檢測,同時還能夠在一定程度上阻斷APT攻擊。
借助多重安全隔離域技術(shù),只允許火電廠輔控系統(tǒng)正常通信的數(shù)據(jù)包到達相應(yīng)終端,拒絕其他未授權(quán)的請求服務(wù),從網(wǎng)絡(luò)系統(tǒng)層面阻斷了病毒蔓延和內(nèi)部惡意攻擊者對網(wǎng)絡(luò)其他區(qū)域設(shè)備進行攻擊的通道。
2.4 其它管理功能
火電廠輔控系統(tǒng)不僅需要進行邊界防護,還需要重視內(nèi)部網(wǎng)絡(luò)管控,才能落實輔控系統(tǒng)的綜合防護。網(wǎng)絡(luò)安全管理中心能夠和工業(yè)安全交換機聯(lián)動,實現(xiàn)全方位的準入控制,完成對非合規(guī)設(shè)備自動隔離及告警等,提升火電廠輔控系統(tǒng)網(wǎng)絡(luò)預(yù)警及恢復(fù)能力。網(wǎng)絡(luò)安全管理中心其它管理功能包括:
(1)終端接入控制
接入的終端設(shè)備在網(wǎng)絡(luò)端口進行限制,只有經(jīng)授權(quán)地址的設(shè)備允許從端口接入至網(wǎng)絡(luò),非授權(quán)設(shè)備接入該端口將被拒絕接入,防止非法設(shè)備從該端口進入網(wǎng)絡(luò)從而造成危害。
(2)風(fēng)險主動防御
全面監(jiān)控網(wǎng)絡(luò)中每個端口的數(shù)據(jù)流向,快速、準確定位網(wǎng)絡(luò)風(fēng)險,風(fēng)險實時告警,封鎖可疑IP,關(guān)閉風(fēng)險端口。
(3)全面日志審計
對整個網(wǎng)絡(luò)中設(shè)備運行告警事件(設(shè)備電源告警、端口中斷告警、鏈路異常告警、冗余鏈路保護告警等)、設(shè)備配置操作記錄、網(wǎng)絡(luò)安全告警事件(異常網(wǎng)絡(luò)病毒掃描動作、內(nèi)部網(wǎng)絡(luò)攻擊掃描動作等)、安全事件應(yīng)急處理操作記錄等事件以及操作記錄進行存儲,用于故障診斷和記錄分析。
(4)網(wǎng)絡(luò)拓撲自動生成
網(wǎng)絡(luò)安全管理中心自動生成網(wǎng)絡(luò)連接拓撲結(jié)構(gòu),動態(tài)刷新鏈路狀態(tài)和網(wǎng)絡(luò)設(shè)備狀態(tài)。
2.5 技術(shù)特點及優(yōu)勢
在該技術(shù)不影響原有應(yīng)用系統(tǒng)(水、煤、灰及其子系統(tǒng))功能的情況下,通過將網(wǎng)絡(luò)系統(tǒng)的交換機升級為工業(yè)安全交換機,提高網(wǎng)絡(luò)系統(tǒng)運行維護的直觀性、可視性,提高生產(chǎn)控制網(wǎng)的安全性,增加生產(chǎn)控制網(wǎng)防范病毒和異常安全事件告警處理的能力。有如下技術(shù)特點:
(1)不改變原有網(wǎng)絡(luò)架構(gòu)
原有的網(wǎng)絡(luò)架構(gòu)和線纜布局繼續(xù)保持,僅需對交換機進行升級。
(2)不影響網(wǎng)絡(luò)帶寬和實時性
網(wǎng)絡(luò)安全管理系統(tǒng)通過工業(yè)安全交換機內(nèi)置的網(wǎng)絡(luò)管理芯片實現(xiàn)對網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、告警信息的采集及動作指令下發(fā),獨立于工業(yè)安全交換機的交換芯片,對應(yīng)用數(shù)據(jù)的轉(zhuǎn)發(fā)沒有影響,確保應(yīng)用數(shù)據(jù)的實時性和網(wǎng)絡(luò)帶寬的充裕性。
(3)直觀的網(wǎng)絡(luò)管理和運行監(jiān)視
全圖形化的操作界面,使得網(wǎng)絡(luò)管理能夠直觀和簡化,運維管理人員能夠?qū)θW(wǎng)運行狀況一目了然。
(4)安全策略的集中配置和下發(fā)
在安全管理中心對全網(wǎng)的安全策略進行集中配置和調(diào)整,一鍵下發(fā)至全網(wǎng)的工業(yè)安全交換機中,方便了全網(wǎng)的安全管理和配置過程。
(5)未知病毒和網(wǎng)絡(luò)風(fēng)險的告警和隔離
根據(jù)數(shù)據(jù)流向判定非法的通訊請求,未知病毒同樣能夠檢測和防范,尤其適用于工業(yè)控制系統(tǒng)這種位于封閉網(wǎng)絡(luò)、病毒庫升級不方便以及必須運行在一些無法升級安全補丁的老舊系統(tǒng)中的環(huán)境。
(6)安全事件的實時告警和處理
所有安全事件實時告警,并可選擇進行相關(guān)的應(yīng)急處理,如阻斷訪問或者封閉端口。
(7)網(wǎng)絡(luò)和安全事件的記錄及分析
網(wǎng)絡(luò)設(shè)備的異常事件以及安全事件計入日志文件,并進行關(guān)聯(lián)分析。
工業(yè)安全交換機在火電廠輔控系統(tǒng)內(nèi)具有明顯的技術(shù)優(yōu)勢。工業(yè)安全交換機提供的不是邊界的單點防護,而是深入到整個網(wǎng)絡(luò)內(nèi)全面立體的安全加固,封閉式的多重安全隔離域技術(shù)構(gòu)成柔性安全區(qū),能夠滿足復(fù)雜場景下的應(yīng)用需求。
3 結(jié)語
火電廠輔控系統(tǒng)是火電廠生產(chǎn)過程中重要的后勤保障系統(tǒng),也是生產(chǎn)控制區(qū)的網(wǎng)絡(luò)安全短板。本文探討的火電廠輔控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)立足于多年輔控系統(tǒng)相關(guān)工作經(jīng)驗,致力于提高火電廠輔控系統(tǒng)的防護能力,滿足國家信息安全等級保護工作的相關(guān)要求,對監(jiān)控系統(tǒng)多個層面進行信息安全的綜合防護。針對火電廠輔控系統(tǒng)網(wǎng)絡(luò)安全設(shè)計的改進技術(shù)具有特定的優(yōu)勢,適用于各行業(yè)外圍輔助系統(tǒng)網(wǎng)絡(luò)安全防護需求,具有一定的推廣實踐價值。
作者簡介:
劉 劍(1964-),男,工程師,大專學(xué)歷,現(xiàn)就職于浙江浙能電力股份有限公司臺州發(fā)電廠,主要從事發(fā)電廠熱工自動化檢修、技術(shù)管理。
參考文獻:
[1] 范科峰, 高林, 姚相振, 等. 工業(yè)控制系統(tǒng)信息安全指南[M]. 北京: 科學(xué)出版社, 2016 : 32 - 36.
[2] 周慎學(xué), 范淵, 夏克晁, 等. 臺二電廠工控系統(tǒng)信息安全防護體系的建設(shè)[J]. 中國電力, 2017, 50 (8) : 53 - 57.
[3] 肖建榮. 工業(yè)控制系統(tǒng)信息安全[M]. 北京: 電子工業(yè)出版社, 2015 : 88 - 90.
[4] 張燕, 張劍. 論我國電力系統(tǒng)及其自動化發(fā)展現(xiàn)狀及趨勢[J]. 山東工業(yè)技術(shù), 2016, (5) : 169.
[5] 高小芊, 羅超. 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測裝置功能及實施[J]. 通訊世界, 2019, (4) : 176 – 177.
[6] 王菊. 發(fā)電廠調(diào)度自動化系統(tǒng)事次防護探討[J]. 數(shù)字技術(shù)與應(yīng)用, 2012, (9) : 181.
[7] 張瑤瑤, 胡斌, 路天峰, 等. 調(diào)度自動化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護研究[J]. 工程技術(shù)研究, 2019, (9) : 240 – 241.
[8] 李煒. 先進控制技術(shù)在DCS中的應(yīng)用與研究[D]. 太原: 太原理工大學(xué), 2004.
[9] 蔣存勇. 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全分析[J]. 網(wǎng)絡(luò)安全和信息化, 2020, (11) : 126 - 128.
[10] 胡朝輝, 王方立. 電力監(jiān)控系統(tǒng)通信安全技術(shù)研究[J]. 電子技術(shù)應(yīng)用, 2017, 43 (3) : 21 - 24.
[11] 馬建偉, 萬會江, 王向東. 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀與改進方法[J]. 信息與電腦(理論版), 2017, (22) : 187 - 188.
[12] 胡倩云. 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護體系建設(shè)[J]. 技術(shù)與市場, 2020, (04) : 95 - 96.
摘自《自動化博覽》2021年4月刊
北京市公安局海淀分局備案號:11010802023656號