“预”见安全 启明星辰构筑智慧火电网络安全防线
前言:
火电在保障中国电力安全稳定供应中发挥着兜底保供、灵活调节的作用,是当前中国电力系统的“顶梁柱”和“压舱石”,其网络安全建设不容小觑。本文以某火电厂实际安全情况为例,根据“安全分区,网络专用,横向隔离,纵向认证”的电力防护总体原则,提出了针对性、系统性的安全防护建设措施,进一步加强该电厂网络安全整体防护能力,降低工控网络被渗透攻击风险。
火力发电是我国主要的发电方式,其发电量超过全国总体发电量的70%。但由于大部分火电厂组网时间较早,系统设备老旧、安全管理不规范等问题较为普遍,导致其网络环境存在很大的安全隐患。
安全隐患一
设备管控不规范 暴露面大且复杂
控制系统中对移动存储介质管理不到位,存在随意使用和不严格访问控制等情况,为内部攻击留下可利用入口点。火电厂工控系统的工程师站、操作员站、历史站等多使用未及时更新补丁的操作系统,同时存在账号管理不严、密码更新周期长等问题,为病毒传播、入侵渗透、攻击等外部攻击埋下了可被利用的隐患。此外,控制系统上大量必需的第三方软件,如数据处理插件、数据采集软件,来源和安全风险不可控。
安全隐患二
网络结构复杂 安全损失易扩大
火电厂的工艺过程复杂、特殊,涵盖电力系统、电气系统、热工系统、信息系统等各种监控系统,各系统间的通信需求导致火电厂工控系统网络结构复杂,通信协议繁多,存在多种协议共存的情况,有利用漏洞伪造报文的风险。此外,未对网络进行划分和访问控制,一旦网络被突破,损失将快速扩大。
安全隐患三
监控措施缺失,难以发现网络异常
由于大量火电厂组网时间较早,网络安全的基础普遍薄弱。资产梳理方面,控制系统软、硬件资产不清晰,网络拓扑结构未及时更新,与实际情况不一致。管理措施方面,缺乏安全日志审计,缺少异常检测机制,应急响应机制不完善。导致传统火电厂无法快速对安全事件进行察觉、反应和溯源。
深入业务场景 定制专业方案
以某火电厂为例。该电厂结合自身电力监控系统和信息化情况,制定了信息安全总体规划,初步建立了信息安全体系,符合国能安全〔2015〕36号文(《电力监控系统安全防护总体方案》)的安全防护要求和评估规范,以及电监信息〔2012〕62号文(《电力行业信息系统安全等级保护基本要求》)的管理方面。但仍然缺失一些具体的安全防护措施。
启明星辰针对该火电厂存在的网络安全风险,结合多年在工控安全深耕的经验,为智慧火电网络安全的建设给出了专业有效的解决方案。
网络安全测评
分析安全风险与现状
为进一步提高对自身安全风险的认识,该火电厂从安全区域边界、安全计算环境和安全管理方面等维度,对电厂工控系统进行网络安全测评。
从测评结果来看,电厂自身安全防护措施的缺乏,易发生通过盗取弱口令账号、端口扫描、植入恶意代码等方式入侵系统以横向/纵向渗透,进而破坏系统或泄露重要数据资源的攻击行为,给电厂网络安全管理带来重大威胁。
启明星辰结合该发电厂风险调研评估和测评报告,根据“安全分区,网络专用,横向隔离,纵向认证”的电力防护总体原则,开展了有针对性的系统性安全防护建设,包括网络边界隔离、访问控制、恶意代码防范、操作系统漏洞管理、外设接口管控、网络审计、安全管理等能力需求的细化技术措施建设,进一步加强该电厂网络安全整体防护能力,降低工控网络被渗透攻击风险。
五大方面
筑牢发电厂网络安全建设
安全防护总体规划示意图
1、通过安全加固服务,增强系统抗攻击能力
对生产控制大区的锅炉、汽轮机、发电机的主、辅控系统如汽机监测系统TSI、NCS系统的工控主机、服务器、接口机等设备进行安全加固。通过启用操作系统自身安全防护、审计策略,提高账户及用户口令的复杂程度,关闭不需要的服务、端口等措施,解决测评中安全计算环境类别涉及的问题,实现终端设备自身的安全性提升。
2、划分安全区域,提升安全区域边界防护能力
在生产控制大区安全Ⅰ区和安全Ⅱ区的边界处部署工业防火墙,通过对工业协议指令的过滤,实现安全Ⅰ区和安全Ⅱ区的访问控制、边界防护,配置针对Modbus、OPC工业协议的访问控制策略,降低利用漏洞伪造报文的风险,解决测评中安全区域边界类别的网络节点未部署防病毒网关等产品,且无其他防恶意代码措施的问题。保护锅炉、汽轮机、发电机运行的主控系统如机组控制系统DCS、汽机调速系统DEH等安全运行。
3、实时监控异常事件,提升系统主动防御能力
在生产控制大区安全Ⅰ区和安全Ⅱ区的主机上部署工业主机安全卫士系统,通过建立主机“白”环境,建立工控主机的主动防护能力、移动存储介质管理能力、加强针对利用“0-day”漏洞进行勒索攻击的防护能力,在降低上述的系统风险、软件风险的同时,满足测评中安全计算环境类别的需要安装防恶意代码软件或配置具有相应功能的软件要求。
通过在SIS系统、主控和辅控系统等主要系统网络交换机镜像口部署工控安全监测与审计系统,利用基于网络流量的入侵攻击行为识别、监测、预警,解决了测评中安全区域边界类别的“未部署入侵监测设备,无法实现对网络攻击行为进行监视”的问题,为工业网络入侵攻击的应急响应提供预警监测能力。
4、完善安全审计体系,提高厂区的安全管理水平
在生产控制大区部署运维管理系统,实现对生产控制大区用户运维操作时技术层面的准确记录、审计、追踪溯源,实现违规危险指令的实时阻断,解决了安全区域边界和安全计算环境测评类别中没有对重要的用户行为和重要安全事件集中审计项的问题,加强生产控制大区整个系统在身份鉴别、访问控制和安全审计等方面的管理能力。
5、部署工控安全管理平台,实现厂区统一安全管理
在生产控制大区部署工控安全管理平台,对生产信息进行安全采集、分析和展现,实现安全防护设备、系统以及终端的安全统一呈现,协助解决资产情况不清晰的问题。在测评的安全管理类别中满足了覆盖物理、网络、主机系统、数据、应用、建设和运维等层面的要求,提高管理效率,降低运行维护成本,构建了一个威胁监控的统一安全管理中心。
电力在中国经济发展中一直扮演着国民经济“先行官”的角色,是国民经济发展的基础产业。启明星辰将结合自身在工业互联网安全领域丰富的实践经验和产品、技术积累,充分考虑电力发电侧用户实际生产系统的复杂性和特殊性,帮助电厂客户不断提升针对安全威胁的可知、可查、可控能力。
