电力行业
工控安全解决思路保障框架从电力行业对工控安全需求看,电力企业在主要是以合规性建设为主,在 2004 年原电监会 5 号令颁布开始,大部 分的电厂控制系统安全
建设已经按照 5 号令的要求进行了整改,形成“安全分区、网络专用、横向隔离、纵向加密” 的防护体系。从整体电力行业工控系统防护情况看,电网整体的防护水平要优于发电侧,而且从发电企业情况看,发电 企业相对比较分散,造成在发电控制系统安全建设水平方面存在较大差异性。本文中描述的内容,主要以在我国供电形式中占比最高的火电控制系统
的安全需求为例,来说明发电企业在工控 安全建设方面的思路。#### 火电控制系统逻辑架构
发电控制系统从业务功能范围来说,主要分为主控系统、辅控系统和网控系统。主控系统系统完成对锅炉、汽机的 控制,辅控系统主要完成化水处理、除尘、输煤的处理。主控系统主要采用 DCS(分散式控制系统),辅控系统主要 采用 PLC进行控制,网控系统主要负责电厂电气运行情况的监控,通过远动装置接受电网的指令,通过 AGC 和 AVC 下发到发电机,来实现功率增减和励磁的调整,同时为升压站的运行提供控制。
从逻辑上来说,系统中主要承载几种类型的信息:控制信息(操作员站下达要求智能设备执行相关动作的指令), 数据信息(遥测、遥信),配置信息(获取相关 I/O 卡键状体的信息),组态信息(系统中相关业务逻辑变更的信息)。 主控主要通过 DPU完成对相关被控设备的控制,辅控主要通过与 PLC的通信实现整个控制流程的过程。具体如图 4所示:
图 4 火电厂主控与辅控系统逻辑架构图
网控系统(NCS)主要实现对升压站的监控和实现与 DCS 采集信息的传输(主要实现 AGC 和 AVC)。网控系统 主要分为站控层、间隔层和过程层。
- 站控层设备: 主机兼操作员工作站、一体化平台主机、远 全站运行设备的信息进行采集、转换、处理和传送。I/O 动通信设备、智能接口设备、故障录波及网络分析、网络 测控装置还应配置有 “就地 / 远方”切换开关。 交换机。(其中还有打印机、音响音响告警输出装置) 过程层设备: 过程层设备包含智能终端、合并单元及智能
- 间隔层设备:间隔层都是 I/0 测控装置。I/O 测控装置具 一次设备接口等。可完成对断路器、隔离开关的信号采集、 有状态量采集、交流采样及测量、防误闭锁、同期检测、 处理和控制,以及互感器采样值信息的采集和处理。 就地断路器紧急操作和单接线状态及数字显示等功能,对
主要通过控制信息实现对一次设备的控制、信息采集和继电保护。如下图所示:
间隔层网络 过程层网络
图 5 火电厂NCS逻辑架构图
- 间隔层设备:间隔层都是 I/0 测控装置。I/O 测控装置具 一次设备接口等。可完成对断路器、隔离开关的信号采集、 有状态量采集、交流采样及测量、防误闭锁、同期检测、 处理和控制,以及互感器采样值信息的采集和处理。 就地断路器紧急操作和单接线状态及数字显示等功能,对
主要控制系统之间的逻辑关系
DCS 和辅控系统之间可以通过网络或者硬接线连接,辅控向主控提供相关数参数。NCS与主控之间实现双向的 通信,NCS可以通过向主控的AGV和AVC来控制发电机组的出力。NCS向DCS提供相关的数据,DCS向N CS提供相关的数据。相关控制系统的数据通过OPC,通过隔离装置摆渡到镜像服务器,SIS系统通过读取镜像服 务器信息来进行相关生产流程优化处理和生产系统的环境的运行情况展示。
图 6 火电厂NCS逻辑架构图
发电控制系统面临的主要安全威胁
工业控制系统协议缺乏足够的安全性考虑,易被攻 击者利用。
与通用 IT信息系统安全需求不同,工业控制系统设 计需要兼顾应用场景与控制管理等多方面因素,以优先 确保系统的高可用性和业务连续性。在这种设计理念的
影响下,缺乏有效的工业安全防御和数据通信保密措施 是很多工业控制系统所面临的通病。
专有的工业控制通信协议或规约在设计时通常只强 调通信的实时性及可用性,对安全性普遍考虑不足,如 缺少足够强度的认证、加密、授权等。尤其是工业控制 系统中的无线通信协议,更容易遭受第三者的窃听及欺 骗性攻击。
缺乏有效的安全策略部署。
工业控制系统与信息系统之间缺乏有效的隔离措施,
即使采用了隔离装置等隔离措施,也存在安全策略设置 不当的问题,造成信息系统的威胁可以畅通无阻的进入 到工控系统中。同时在边界处缺乏有效的威胁检测手段, 外部的威胁可以无声息的进入到系统中。现有的安全 设备缺乏相关的工控识别能力,对于工控报文缺乏有效 的解析,在部署的环境中极容易引起生产系统的生产中 断。
严重漏洞难以及时处理,系统安全风险巨大。
当前主流的工业控制系统普遍存在安全漏洞,且多 为能够造成远程攻击、越权执行的严重威胁类漏洞;而 且近两年漏洞的数量呈快速增长的趋势。工业控制系统 通信协议种类繁多、系统软件难以及时升级、设备使用 周期长以及系统补丁兼容性差、发布周期长等现实问题, 又造成工业控制系统的补丁管理困难,难以及时处理威 胁严重的漏洞。
缺乏违规操作、越权访问行为审计能力。
操作管理人员的技术水平和安全意识差别较大,容 易发生越权访问、违规操作,给生产系统埋下极大的安 全隐患。工业控制系统相对封闭的环境,也使得来自系 统内部人员在应用系统层面的误操作、违规操作或故意 的破坏性操作成为工业控制系统所面临的主要安全风险。 因此,对生产网络的访问行为、特定控制协议内容和数 据库数据的真实性、完整性进行监控、管理与审计是非 常必要的。
但电厂现实环境中缺乏针对工业控制系统的安全日 志审计及配置变更管理。这是因为部分工业控制系统可 能不具备审计功能或者虽有日志审计功能,但系统的性 能要求决定了它不能开启审计功能所造成的。
外部运维带来的安全风险。
由于工控系统采用的控制器和设备的种类繁多,外 部人员运维成为一个潜在的安全风险点。某些电厂已经 通过工作票的机制来从管理上保障运维过程的可管理, 但是在没有有效技术手段支撑的情况,本地管理人员很 难监测到外部人员的越权操作或者故意改变运行逻辑的 行为,在出现问题时,也很难去追踪。
移动介质缺乏有效管控。
工业生产环境中存在备份导出生产数据的需求,移 动介质是一种比较好的满足生产环境数据备份的介质。 但是在介质的使用在管理方面普遍存在安全隐患,文件 拷贝的介质无法做到专盘专用,可以采取的安全措施只 限于使用杀毒软件对全盘进行扫描。而杀毒软件是针对 已知病毒的查杀,并且主要针对传统的信息系统,而对 于未知病毒的检测和工控特定病毒的检测基本上无能为 力。从已经发生的安全事件看,移动介质是一个重要的 传播恶意代码到工控环境的手段。
面对新型的 APT 攻击,缺乏有效的应对措施。
APT(高级可持续性威胁)的攻击目标更为明确, 攻击时会利用最新的 0-day 漏洞,会与业务的过程进行 贴合,攻击过程强调技术的精心组合与攻击者之间的协 同。一旦进入到目标系统后,为了达到有效的攻击,会 持续寻找攻击的宿主目标,而且攻击过程缓慢,对潜在 系统的影响具有渐进、持续、不易被发现的特性。
现场普遍缺乏防护手段和现有工业控制系统安全防护产 品不够成熟的情况下,需要把业务的运行过程与相应的 防护手段结合,运用综合的防护手段(包含技术、管理 和人员),降低由于 APT攻击给工业控制系统带来的安 全隐患。
工控安全管理职责定义不清。
电厂工控系统的管理归口到相关的生产业务部门, 信息安全管理归口到信息化部门。当工业控制系统涉及 信息安全问题时,由于生产技术部的人员缺乏信息安全 知识,而信息化部门的人员对工控系统业务了解不足, 组织内部缺乏两个部门之间的协同、合作机制,可以把
信息安全和工控安全进行结合。在遇到安全事件时,无 法对事件做详细的定位,只能基于业务的运行逻辑定位 为相关的功能安全事件或者误操作事件,无法对其中可 能潜在信息安全要素进行分析和排除,造成潜在的安全 隐患就残留在系统中,为日后的安全带来了极大的隐患。
系统建成验收过程中缺乏信息安全的环节。
由于工业控制系统设备到货周期长,设备一般直接 投入使用,很少进行详细的验收测试,只是做基本功能 验收,但不会涉及信息安全的验收环节。由于工控设备 以强调工控实现为主要目标,基本不会考虑信息安全需 求,可能会把安全隐患留在工控系统中,如果外部的安 全威胁获取到相关的信息后,就有可能对系统带来极大 的,甚至可能是致命的影响。
没有足够的安全政策、管理制度,人员安全意识缺 乏。
电厂针对生产业务制定了相应的管理制度、管理流 程,但未制订完善的工业控制系统安全政策、管理制度 和操作规程,未形成全面的信息安全管理制度体系。给 工业控制系统信息安全管理工作带来极大的隐患。
随着工业控制系统在国计民生中的重要性日益凸显 以及 IT通用协议和系统在工控系统的逐渐应用,人员安 全意识薄弱成为导致工业控制系统安全风险的一个重要 因素,特别是社会工程学相关的定向钓鱼攻击可能使重 要岗位人员沦为外部威胁入侵的跳板(比如 RSA丢失 SecurID 认证令牌的事件中利用一封鱼叉式网络钓鱼的 电子邮件侵入 RSA公司内部网络的案例)。
安全防护的原则
现有的技术手段很难有效的发现 APT攻击。在工业
在方案构建时,充分参考遵循发改委 14 号令对发电厂安全防护建设的要求,从管理、技术等方面的具有要求中体 现出防护的思路。
在方案构建时,以安全审计作为主要的安全防护方向,以管理制度和人员职能的明晰化定义,为主要的安全管理 建设方向;对于新建电厂需要充分考虑在安全防护方面要符合 14 号令对电厂安全建设的要求,在方案中落实 14 号令 在安全建设方面的具体防护措施和管理要求,同时考虑在系统验收环节、系统运行、系统维护和系统检修环节中的安全
防护。
对于工控系统的安全防护,在符合了相关政策(14 号令要求,电力等保)要求的基础上,需要进一步考虑符合电 厂控制系统生命周期的安全防护要求。逐步完善发电厂工控的安全防护措施,使发电厂工控系统安全防护由安全策略的 部署向安全能力的部署能力迁移,逐步实现安全技术能力、安全管理能力的全面提升,实现管、控、防一体化。安全能 力逐步覆盖从系统上线、系统运行、系统运维、系统检修等各个环节,实现工控系统安全的闭环管控。如下图所示:
图7 工控系统安全闭环管控
参考资料
绿盟 2015绿盟科技工控安保框架白皮书
友情链接
GB-T 24405.2-2010 - ISO IEC 20000-2-2005 信息技术 服务管理 第2部分:实践规则