今日頭條
官方微信
官方抖音
資訊頻道★ 國能神福(石獅)發(fā)電有限公司 沈鐵志
★ 寧波和利時信息安全研究院有限公司 穆雷霆
★ 國能神福(石獅)發(fā)電有限公司 吳炳輝,郭玉姬
1引言
2019年5月13日正式發(fā)布的網絡安全等級保護系列標準將工業(yè)控制系統(tǒng)正式納入安全擴展要求,并提出了嚴格的測評規(guī)范。工業(yè)控制系統(tǒng)廣泛應用于能源、交通、先進制造、公用設施等國計民生相關的重要領域,自2010年伊朗“震網病毒”開始,國際上已發(fā)生多起針對工業(yè)控制系統(tǒng)的網絡攻擊,而電力能源更是安全事件頻發(fā)的重災區(qū)。
在我國電力生產供應中,超超臨界1000MW級大型火電機組承擔了大部分職責,既是作為等保2.0三級系統(tǒng),也是關系到國家戰(zhàn)略安全的關鍵基礎設施,無疑是工業(yè)控制系統(tǒng)安全建設的重點對象。在大型火電等工業(yè)設施中,大型分布式控制系統(tǒng)(DCS)作為保障其運行的核心管控系統(tǒng),具有高可靠性、強實時性、控制邏輯復雜和大規(guī)模系統(tǒng)部署等典型特點,其安全防護建設尤具代表性。
工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比,保護對象不同,防護側重點也不同,主要體現在:工業(yè)控制系統(tǒng)由于連續(xù)生產的要求,系統(tǒng)和軟件實時更新困難,傳統(tǒng)防病毒和檢測手段難以保障安全;工業(yè)協(xié)議私有化程度高,通用技術兼容性差,設計時大都未考慮安全特性;工業(yè)控制系統(tǒng)嵌入式計算環(huán)境實時性要求高,但資源極其有限,難以增加復雜的安全防護功能。由于以上在功能和需求上的顯著差異,傳統(tǒng)的信息安全產品并不完全適用于工控系統(tǒng),同時,我國工控安全建設目前仍呈現風險意識薄弱、安全認知不足的局面,針對如何滿足等保2.0技術要求缺乏完善的設計思路和具備典型參考意義的工程案例。
本文基于國能神福(石獅)發(fā)電有限公司2×1050MW機組安全防護項目,介紹基于可信計算3.0技術的安全防護方案在火電超超臨界百萬千瓦機組DCS的應用。該廠是國內技術水平領先的百萬千瓦級超超臨界發(fā)電機組,是福建省“十一五”能源發(fā)展專項規(guī)劃和電力發(fā)展規(guī)劃確定的優(yōu)化發(fā)展煤電和熱電聯(lián)產大型電源點,是“神華電站數字化建設解決方案”的標桿項目。該廠采用國內技術領先、應用廣泛的和利時公司HOLLiAS-MACS大型分布式控制系統(tǒng),實現了DCS和DEH在百萬千瓦級機組的一體化應用、實現了全廠智能儀表的現場總線互聯(lián)互通,在國內大型電廠具有典型代表意義。
2火電百萬千瓦機組DCS面臨的網絡風險分析
國內大部分火電百萬千瓦機組DCS控制系統(tǒng),在建設時未考慮完善的網絡安全建設,未部署其他網絡安全系統(tǒng)及設備,不能滿足國家網絡安全、電網公司二次防護要求。DCS網絡及設備安全防護能力不足,對網絡邊界缺少入侵檢測手段,對網絡流量缺乏分析手段,采用通用操作系統(tǒng)安全漏洞多,電腦主機防護能力不足,缺少統(tǒng)一安全管理機制。全廠DCS網絡安全性較差,存在安全隱患,極易因外部攻擊、內部病毒入侵等造成分散控制系統(tǒng)故障、癱瘓等惡性事故。
隨著火電機組DCS系統(tǒng)開放性的增強,且電廠SIS系統(tǒng)、生產管理系統(tǒng)及第三方系統(tǒng)存在網絡通信邊界,一旦某個網絡被病毒感染,容易蔓延到DCS網絡,嚴重威脅系統(tǒng)運行的安全,由此帶來了病毒以及網絡攻擊擴散導致工控系統(tǒng)遭受影響的安全風險。
在火電機組DCS控制系統(tǒng)中,大量使用的通信協(xié)議多為OPC、ModbusTCP等通用工控協(xié)議,以及各DCS廠家的私有工控協(xié)議,絕大多數工控協(xié)議在設計之初忽視了其安全設計,通訊雙方沒有有效的認證與保密機制,容易受到中間人的竊聽和欺騙性攻擊,協(xié)議對畸形報文的識別能力弱,通信健壯性能力較弱。此外,現場未部署監(jiān)測審計設備和安全管理設備,缺少對生產網絡的實時安全監(jiān)控,無法及時發(fā)現系統(tǒng)中存在的異常流量和異常行為,也無法及時感知安全威脅并進行告警。
火電機組DCS控制系統(tǒng)系統(tǒng)中上位機多采用如Windows或Linux等通用操作系統(tǒng),存在較多安全漏洞,其中很多漏洞會被黑客利用,成為黑客攻擊的目標或跳板,工業(yè)領域軟/硬件更新、補丁升級、換代困難、漏洞不能得到及時修補且工控系統(tǒng)多存在防病毒系統(tǒng)缺失或更新不及時的問題,容易造成木馬病毒泛濫。
另外作為火電機組DCS控制系統(tǒng)重要組成部分的控制站設備,多經過裁剪的實時操作系統(tǒng),近幾年披露的漏洞不斷增多,很多漏洞可以導致系統(tǒng)失去監(jiān)控,對控制安全影響極大。如果不能對DCS控制器本身的安全性提供有效的保障措施,僅靠外圍的安全措施無法從根本上保證DCS控制系統(tǒng)的整體安全。
3工控安全發(fā)展趨勢與可信計算防護模型
3.1工控網絡安全發(fā)展趨勢
近幾年工業(yè)控制系統(tǒng)網絡安全事件的發(fā)生頻率在全球范圍內依然處于較高水平,能源、關鍵制造、公共健康、通信、政府設施、交通運輸等重要關鍵基礎設施工業(yè)控制系統(tǒng)依然是信息安全事件高發(fā)的幾個領域。網絡攻擊嚴重威脅到了工業(yè)運行安全、國民經濟安全乃至國家戰(zhàn)略安全,對工業(yè)信息安全保障工作提出了新的任務和新的挑戰(zhàn)。
從工業(yè)控制系統(tǒng)安全防護手段來看,傳統(tǒng)的“封堵查殺”方式已經過時,工控安全能力從“被動防范”為主轉向“安全可信、主動防御、威脅預知、融合各種信息快速檢測和響應能力”的構建,已經成為當下工控網絡安全建設的共識。其中,可信計算技術已成為工業(yè)安全防護利器,通過可信計算為工業(yè)控制系統(tǒng)提供主動免疫安全防護能力,形成內生安全機制,可有效抵抗來自系統(tǒng)內外部的網絡攻擊。
3.2基于可信計算的網絡安全防護模型
可信計算是指計算的同時進行安全防護,計算全程可測可控、不被干擾,使計算結果總是與預期一致。可信計算是一種特有的基于整體安全思想的主動防御技術,隨著網絡空間安全技術變革而不斷地創(chuàng)新發(fā)展,其引領的整體安全架構、主動免疫安全體系已經成為網絡空間安全技術拼圖中不可或缺的一環(huán)。可信計算將以創(chuàng)新理論與技術同計算機體系結構、操作系統(tǒng)安全、可信軟件深度融合,構建更加有效、更加靈活的安全防護體系。
可信計算3.0提出了全新的可信計算體系框架,在網絡層面解決可信問題。在計算節(jié)點構建一個“宿主——可信雙節(jié)點”的可信免疫架構,通過這種雙體系架的模式實現可信機制,相當于為各種安全機制提供一個統(tǒng)一的、通用的可信平臺。這一平臺為系統(tǒng)中的安全機制提供了一個共同的基礎,給安全機制提供統(tǒng)一的可信保障,同時也為各種安全機制動態(tài)連接、構成縱深防御安全體系提供了支持。
在工控領域的可信應用方面,國內主流控制系統(tǒng)廠商如和利時已推出安全可信DCS控制系統(tǒng),實現可信計算技術在工業(yè)嵌入式領域的創(chuàng)新突破。安全可信DCS控制系統(tǒng)融合嵌入式可信計算、數字證書體系、深度協(xié)議控制等先進技術,采用雙體系嵌入式架構,以可信加密芯片為基礎,實現了從可信根到上層應用的完整性度量,包括靜態(tài)度量和動態(tài)度量,具備對內核、應用、數據、工業(yè)業(yè)務行為的度量控制和檢測審計能力。
隨著技術和生態(tài)的進一步成熟,可信計算技術在工業(yè)安全防護領域的應用將會由點到面鋪開,更加廣泛和普遍。
4基于可信計算的火電機組DCS系統(tǒng)安全防護方案
國能神福(石獅)發(fā)電有限公司2×1050MW機組DCS以控制系統(tǒng)內生安全為核心、配合邊界安全措施,形成滿足等保2.0三級要求的信息安全防護完整體系。
核心控制系統(tǒng)采用安全可信DCS,內部集成信息安全功能,支持與組態(tài)上位機的加密通信,協(xié)議棧經過優(yōu)化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網絡自抵御能力;控制系統(tǒng)及上位機終端支持基于可信計算的可信度量,能夠實現對內核中可能存在的惡意代碼的加載和啟動度量,有效抑制內嵌惡意代碼和代碼篡改的風險。同時,采用集成網絡通信行為審計和控制邏輯業(yè)務行為審計的工業(yè)審計系統(tǒng)對控制系統(tǒng)內部威脅進行監(jiān)測。
邊界安全措施采用工業(yè)隔離設備、工業(yè)入侵檢測系統(tǒng)、工業(yè)交換機等防護設備抵御由外部發(fā)起的網絡攻擊。
通過區(qū)域邊界訪問控制、包過濾、安全數據擺渡、接入控制等技術措施,僅允許必要的可信網絡訪問,拒絕非可信訪問,構建DCS系統(tǒng)與SIS系統(tǒng)之間以及DCS內部區(qū)域之間的安全可信區(qū)域邊界。
對網絡環(huán)境中的網絡攻擊和異常行為進行監(jiān)視和審計,發(fā)現并記錄入侵滲透、違規(guī)操作過程,及時告警與應急處理,形成安全可信的通信網絡環(huán)境;對通信數據通過加密等方式,實現通信雙方的身份鑒別,并保證傳輸數據的完整性和機密性,從而實現安全可信的通信鏈路。
通過可信度量、身份認證、訪問控制、數據保護等技術措施,建立安全可信計算環(huán)境,保證DCS系統(tǒng)計算環(huán)境的安全。通過在控制系統(tǒng)上位機加裝基于可信計算和主機白名單的可信終端防護系統(tǒng)對主機終端進行安全加固,實現終端的病毒和安全防護。控制器采用可信DCS,內部集成信息安全功能和可信計算能力。
建立安全可信管理中心,通過部署工業(yè)安全可信管理平臺,實現工業(yè)安全信息的集中采集、存儲、展示、分析、預警,全局安全可信策略的統(tǒng)一配置、下發(fā)和管理以及安全設備的統(tǒng)一管控。
5安全方案創(chuàng)新性
本項目方案結合基于可信計算的主動防護與邊界防護構成內外貫穿的綜合防護體系,在滿足網絡安全等級保護2.0標準的同時,最大化提升工業(yè)控制系統(tǒng)的網絡安全防護能力,具備良好的技術創(chuàng)新和應用示范效應。
(1)基于可信計算的自主免疫內生安全體系方案
針對火電百萬機組DCS系統(tǒng)安全防護全面應用了可信計算技術體系,打破傳統(tǒng)以邊界防護為主體的網絡安全防護理念,構建了基于控制系統(tǒng)本身的內生主動防護體系。
在傳統(tǒng)信息防護手段基礎上,設計并應用了適用于工業(yè)控制場景的可信計算技術,通過控制系統(tǒng)可信計算體系,增強控制系統(tǒng)的內生安全防護能力。構建基于在可信計算安全策略的指導下,針對工業(yè)控制網絡的實時控制行為和業(yè)務流程作業(yè),實現貫穿設計、運行、服務全生命周期的防御、檢測、響應、預測的主動安全防御循環(huán)技術體系(TDDRP)。
(2)基于可信計算的控制安全一體化業(yè)務行為監(jiān)測
在實際的工控環(huán)境中,通常缺乏針對工業(yè)控制系統(tǒng)的安全監(jiān)測及配置變更管理,導致安全事故的分析難以進行。目前國內工業(yè)控制系統(tǒng),在應用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為主要安全風險。本方案基于安全可信策略的應用,對生產網絡的訪問行為、特定控制協(xié)議內容的真實性、完整性進行監(jiān)控、管理與審計。依托DCS廠家在工業(yè)控制系統(tǒng)專用網絡和通信的技術積累,將傳統(tǒng)邊界防護解決方案與控制系統(tǒng)網絡和數據特點有機融合,形成對控制邏輯和控制網絡數據有效監(jiān)管和防護的一體化監(jiān)測方案,實現安全中有控制、控制中有安全。
(3)基于可信計算的工控強制訪問控制防護模型
針對工控系統(tǒng)的特殊性,傳統(tǒng)的信息防護手段不能完全滿足工業(yè)信息安全的需求。因此,在傳統(tǒng)邊界防護的信息防護手段基礎上,設計并應用了適用于工業(yè)控制場景的可信計算技術,通過控制系統(tǒng)內嵌可信計算體系,增強控制系統(tǒng)自身的防護能力,通過嵌入式防護技術的集成,控制系統(tǒng)能夠對啟動態(tài)和運行態(tài)的惡意代碼和內核變化進行主動檢測和可信度量,進一步發(fā)現存在的威脅和隱患。同時在可信計算技術的基礎上結合強制訪問控制技術,對工控系統(tǒng)中操作系統(tǒng)和邏輯行為所涉及的關鍵主、客體增加安全標記,通過建立適用于工業(yè)控制邏輯業(yè)務需求的強制訪問控制模型,保證控制過程中關鍵的訪問行為均在可控范圍之內進行。通過建立應用于工業(yè)場景的強制訪問控制機制,有效避免越權操作,進而保障控制系統(tǒng)的安全可控。可信計算和強制訪問控制的結合,使工業(yè)系統(tǒng)的信息安全防護不只是依賴外圍的邊界防護設備,當發(fā)生由內爆發(fā)的、或外部突破進入的威脅時,控制系統(tǒng)有足夠的自保或應對能力。
6方案推廣價值
項目方案在控制系統(tǒng)規(guī)模和復雜度上具備良好的示范效果,通過該項目的信息安全建設能實現以下目標:
(1)滿足等保2.0要求的大規(guī)模工業(yè)現場應用與方案推廣
通過選擇以大型分布式控制系統(tǒng)為核心中樞的百萬千瓦級超超臨界火電機組開展信息安全設計和實施,填補了新標準在實際工業(yè)領域工程項目應用的空白,通過該項目可對新標準技術要求進行合理有效的驗證。該示范項目通過工業(yè)控制領域專家與安全測評領域專家的結合能夠進一步完善等保2.0工業(yè)控制系統(tǒng)安全技術體系、管理體系和測評體系建設,對后續(xù)開展全國范圍的工業(yè)控制領域網絡安全等級保護評估和建設具有良好的推廣和示范意義,能夠有力地推動網絡安全等級保護2.0標準在工業(yè)領域的全面推廣和實行。
(2)基于可信計算的主動防護技術在工控領域的應用推廣
示范項目采用基于可信計算的主動防護與邊界防護有機結合的綜合防護技術體系,將可信計算技術集成到工業(yè)控制器中,使網絡安全能力相對脆弱的控制系統(tǒng)內部具備內生安全能力,同時對傳統(tǒng)的安全審計設備增加控制邏輯和業(yè)務行為審計的功能,進而打破控制行為和網絡行為的防護壁壘,能夠實現對內部和外部不同層面爆發(fā)的網絡威脅的核心抵御能力。創(chuàng)新性的技術應用和防護體系建設帶來的良好防護能力將有助于為當前模糊的工業(yè)安全產品和技術發(fā)展方向提供正確指引,同時對完善和建設真正適用于工業(yè)控制系統(tǒng)的安全防護技術和產品體系形態(tài)能夠提供有力的工程應用支撐。
(3)結合流程行業(yè)共性特點的普適性應用模板
示范項目選取具備典型工業(yè)特點的百萬千瓦級火電機組,同時全廠采用現場總線技術實現智能儀表互聯(lián)互通,具備流程行業(yè)工控系統(tǒng)的共性特點。
基于以上基礎設計和建設的工業(yè)信息安全解決方案,適用于工控現場同時覆蓋流程行業(yè)全工藝環(huán)節(jié)的綜合安全防護工程應用模板,解決了主動安全技術與流程行業(yè)工控系統(tǒng)實施應用的適應性難題。
作者簡介:
沈鐵志(1975-),男,黑龍江哈爾濱人,高級工程師,碩士,現就職于國能神福(石獅)發(fā)電有限公司,研究方向為自動化。
穆雷霆(1981-),男,安徽宿州人,工程師,碩士,現就職于寧波和利時信息安全研究院有限公司,研究方向為工業(yè)自動化與網絡安全。
吳炳輝(1987-),男,福建莆田人,工程師,學士,現就職于國能神福(石獅)發(fā)電有限公司,研究方向為通信工程。
郭玉姬(1990-),女,湖南益陽人,工程師,學士,現就職于國能神福(石獅)發(fā)電有限公司,研究方向為自動化。
摘自《自動化博覽》2022年8月刊
北京市公安局海淀分局備案號:11010802023656號