安全防护的原则

电力行业

工控安全解决思路保障框架从电力行业对工控安全需求看，电力企业在主要是以合规性建设为主，在 2004 年原电监会 5 号令颁布开始，大部分的电厂控制系统安全
建设已经按照 5 号令的要求进行了整改，形成“安全分区、网络专用、横向隔离、纵向加密” 的防护体系。从整体电力行业工控系统防护情况看，电网整体的防护水平要优于发电侧，而且从发电企业情况看，发电企业相对比较分散，造成在发电控制系统安全建设水平方面存在较大差异性。本文中描述的内容，主要以在我国供电形式中占比最高的火电控制系统
的安全需求为例，来说明发电企业在工控安全建设方面的思路。#### 火电控制系统逻辑架构
发电控制系统从业务功能范围来说，主要分为主控系统、辅控系统和网控系统。主控系统系统完成对锅炉、汽机的控制，辅控系统主要完成化水处理、除尘、输煤的处理。主控系统主要采用 DCS（分散式控制系统），辅控系统主要采用 PLC进行控制，网控系统主要负责电厂电气运行情况的监控，通过远动装置接受电网的指令，通过 AGC 和 AVC 下发到发电机，来实现功率增减和励磁的调整，同时为升压站的运行提供控制。
从逻辑上来说，系统中主要承载几种类型的信息：控制信息（操作员站下达要求智能设备执行相关动作的指令），数据信息（遥测、遥信），配置信息（获取相关 I/O 卡键状体的信息），组态信息（系统中相关业务逻辑变更的信息）。主控主要通过 DPU完成对相关被控设备的控制，辅控主要通过与 PLC的通信实现整个控制流程的过程。具体如图 4所示：
图 4 火电厂主控与辅控系统逻辑架构图
网控系统（NCS）主要实现对升压站的监控和实现与 DCS 采集信息的传输（主要实现 AGC 和 AVC）。网控系统主要分为站控层、间隔层和过程层。

站控层设备：主机兼操作员工作站、一体化平台主机、远全站运行设备的信息进行采集、转换、处理和传送。I/O 动通信设备、智能接口设备、故障录波及网络分析、网络测控装置还应配置有 “就地 / 远方”切换开关。交换机。（其中还有打印机、音响音响告警输出装置）过程层设备：过程层设备包含智能终端、合并单元及智能
- 间隔层设备：间隔层都是 I/0 测控装置。I/O 测控装置具一次设备接口等。可完成对断路器、隔离开关的信号采集、有状态量采集、交流采样及测量、防误闭锁、同期检测、处理和控制，以及互感器采样值信息的采集和处理。就地断路器紧急操作和单接线状态及数字显示等功能，对
  主要通过控制信息实现对一次设备的控制、信息采集和继电保护。如下图所示：
  间隔层网络过程层网络
  图 5 火电厂NCS逻辑架构图

主要控制系统之间的逻辑关系

DCS 和辅控系统之间可以通过网络或者硬接线连接，辅控向主控提供相关数参数。ＮＣＳ与主控之间实现双向的通信，ＮＣＳ可以通过向主控的ＡＧＶ和ＡＶＣ来控制发电机组的出力。ＮＣＳ向ＤＣＳ提供相关的数据，ＤＣＳ向ＮＣＳ提供相关的数据。相关控制系统的数据通过ＯＰＣ，通过隔离装置摆渡到镜像服务器，ＳＩＳ系统通过读取镜像服务器信息来进行相关生产流程优化处理和生产系统的环境的运行情况展示。
图 6 火电厂NCS逻辑架构图

发电控制系统面临的主要安全威胁

工业控制系统协议缺乏足够的安全性考虑，易被攻击者利用。
与通用 IT信息系统安全需求不同，工业控制系统设计需要兼顾应用场景与控制管理等多方面因素，以优先确保系统的高可用性和业务连续性。在这种设计理念的
影响下，缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。
专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性，对安全性普遍考虑不足，如缺少足够强度的认证、加密、授权等。尤其是工业控制系统中的无线通信协议，更容易遭受第三者的窃听及欺骗性攻击。
缺乏有效的安全策略部署。
工业控制系统与信息系统之间缺乏有效的隔离措施，
即使采用了隔离装置等隔离措施，也存在安全策略设置不当的问题，造成信息系统的威胁可以畅通无阻的进入到工控系统中。同时在边界处缺乏有效的威胁检测手段，外部的威胁可以无声息的进入到系统中。现有的安全设备缺乏相关的工控识别能力，对于工控报文缺乏有效的解析，在部署的环境中极容易引起生产系统的生产中断。
严重漏洞难以及时处理，系统安全风险巨大。
当前主流的工业控制系统普遍存在安全漏洞，且多为能够造成远程攻击、越权执行的严重威胁类漏洞；而且近两年漏洞的数量呈快速增长的趋势。工业控制系统通信协议种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题，又造成工业控制系统的补丁管理困难，难以及时处理威胁严重的漏洞。
缺乏违规操作、越权访问行为审计能力。
操作管理人员的技术水平和安全意识差别较大，容易发生越权访问、违规操作，给生产系统埋下极大的安全隐患。工业控制系统相对封闭的环境，也使得来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的主要安全风险。因此，对生产网络的访问行为、特定控制协议内容和数据库数据的真实性、完整性进行监控、管理与审计是非常必要的。
但电厂现实环境中缺乏针对工业控制系统的安全日志审计及配置变更管理。这是因为部分工业控制系统可能不具备审计功能或者虽有日志审计功能，但系统的性能要求决定了它不能开启审计功能所造成的。
外部运维带来的安全风险。
由于工控系统采用的控制器和设备的种类繁多，外部人员运维成为一个潜在的安全风险点。某些电厂已经通过工作票的机制来从管理上保障运维过程的可管理，但是在没有有效技术手段支撑的情况，本地管理人员很难监测到外部人员的越权操作或者故意改变运行逻辑的行为，在出现问题时，也很难去追踪。
移动介质缺乏有效管控。
工业生产环境中存在备份导出生产数据的需求，移动介质是一种比较好的满足生产环境数据备份的介质。但是在介质的使用在管理方面普遍存在安全隐患，文件拷贝的介质无法做到专盘专用，可以采取的安全措施只限于使用杀毒软件对全盘进行扫描。而杀毒软件是针对已知病毒的查杀，并且主要针对传统的信息系统，而对于未知病毒的检测和工控特定病毒的检测基本上无能为力。从已经发生的安全事件看，移动介质是一个重要的传播恶意代码到工控环境的手段。
面对新型的 APT 攻击，缺乏有效的应对措施。
APT（高级可持续性威胁）的攻击目标更为明确，攻击时会利用最新的 0-day 漏洞，会与业务的过程进行贴合，攻击过程强调技术的精心组合与攻击者之间的协同。一旦进入到目标系统后，为了达到有效的攻击，会持续寻找攻击的宿主目标，而且攻击过程缓慢，对潜在系统的影响具有渐进、持续、不易被发现的特性。
现场普遍缺乏防护手段和现有工业控制系统安全防护产品不够成熟的情况下，需要把业务的运行过程与相应的防护手段结合，运用综合的防护手段（包含技术、管理和人员），降低由于 APT攻击给工业控制系统带来的安全隐患。
工控安全管理职责定义不清。
电厂工控系统的管理归口到相关的生产业务部门，信息安全管理归口到信息化部门。当工业控制系统涉及信息安全问题时，由于生产技术部的人员缺乏信息安全知识，而信息化部门的人员对工控系统业务了解不足，组织内部缺乏两个部门之间的协同、合作机制，可以把
信息安全和工控安全进行结合。在遇到安全事件时，无法对事件做详细的定位，只能基于业务的运行逻辑定位为相关的功能安全事件或者误操作事件，无法对其中可能潜在信息安全要素进行分析和排除，造成潜在的安全隐患就残留在系统中，为日后的安全带来了极大的隐患。
系统建成验收过程中缺乏信息安全的环节。
由于工业控制系统设备到货周期长，设备一般直接投入使用，很少进行详细的验收测试，只是做基本功能验收，但不会涉及信息安全的验收环节。由于工控设备以强调工控实现为主要目标，基本不会考虑信息安全需求，可能会把安全隐患留在工控系统中，如果外部的安全威胁获取到相关的信息后，就有可能对系统带来极大的，甚至可能是致命的影响。
没有足够的安全政策、管理制度，人员安全意识缺乏。
电厂针对生产业务制定了相应的管理制度、管理流程，但未制订完善的工业控制系统安全政策、管理制度和操作规程，未形成全面的信息安全管理制度体系。给工业控制系统信息安全管理工作带来极大的隐患。
随着工业控制系统在国计民生中的重要性日益凸显以及 IT通用协议和系统在工控系统的逐渐应用，人员安全意识薄弱成为导致工业控制系统安全风险的一个重要因素，特别是社会工程学相关的定向钓鱼攻击可能使重要岗位人员沦为外部威胁入侵的跳板（比如 RSA丢失 SecurID 认证令牌的事件中利用一封鱼叉式网络钓鱼的电子邮件侵入 RSA公司内部网络的案例）。

安全防护的原则

现有的技术手段很难有效的发现 APT攻击。在工业
在方案构建时，充分参考遵循发改委 14 号令对发电厂安全防护建设的要求，从管理、技术等方面的具有要求中体现出防护的思路。
在方案构建时，以安全审计作为主要的安全防护方向，以管理制度和人员职能的明晰化定义，为主要的安全管理建设方向；对于新建电厂需要充分考虑在安全防护方面要符合 14 号令对电厂安全建设的要求，在方案中落实 14 号令在安全建设方面的具体防护措施和管理要求，同时考虑在系统验收环节、系统运行、系统维护和系统检修环节中的安全
防护。
对于工控系统的安全防护，在符合了相关政策（14 号令要求，电力等保）要求的基础上，需要进一步考虑符合电厂控制系统生命周期的安全防护要求。逐步完善发电厂工控的安全防护措施，使发电厂工控系统安全防护由安全策略的部署向安全能力的部署能力迁移，逐步实现安全技术能力、安全管理能力的全面提升，实现管、控、防一体化。安全能力逐步覆盖从系统上线、系统运行、系统运维、系统检修等各个环节，实现工控系统安全的闭环管控。如下图所示：
图7 工控系统安全闭环管控