“預”見安全 啟明星辰構筑智慧火電網絡安全防線
前言:
火電在保障中國電力安全穩定供應中發揮著兜底保供、靈活調節的作用,是當前中國電力系統的“頂梁柱”和“壓艙石”,其網絡安全建設不容小覷。本文以某火電廠實際安全情況為例,根據“安全分區,網絡專用,橫向隔離,縱向認證”的電力防護總體原則,提出了針對性、系統性的安全防護建設措施,進一步加強該電廠網絡安全整體防護能力,降低工控網絡被滲透攻擊風險。
火力發電是我國主要的發電方式,其發電量超過全國總體發電量的70%。但由于大部分火電廠組網時間較早,系統設備老舊、安全管理不規范等問題較為普遍,導致其網絡環境存在很大的安全隱患。
安全隱患一
設備管控不規范 暴露面大且復雜
控制系統中對移動存儲介質管理不到位,存在隨意使用和不嚴格訪問控制等情況,為內部攻擊留下可利用入口點。火電廠工控系統的工程師站、操作員站、歷史站等多使用未及時更新補丁的操作系統,同時存在賬號管理不嚴、密碼更新周期長等問題,為病毒傳播、入侵滲透、攻擊等外部攻擊埋下了可被利用的隱患。此外,控制系統上大量必需的第三方軟件,如數據處理插件、數據采集軟件,來源和安全風險不可控。
安全隱患二
網絡結構復雜 安全損失易擴大
火電廠的工藝過程復雜、特殊,涵蓋電力系統、電氣系統、熱工系統、信息系統等各種監控系統,各系統間的通信需求導致火電廠工控系統網絡結構復雜,通信協議繁多,存在多種協議共存的情況,有利用漏洞偽造報文的風險。此外,未對網絡進行劃分和訪問控制,一旦網絡被突破,損失將快速擴大。
安全隱患三
監控措施缺失,難以發現網絡異常
由于大量火電廠組網時間較早,網絡安全的基礎普遍薄弱。資產梳理方面,控制系統軟、硬件資產不清晰,網絡拓撲結構未及時更新,與實際情況不一致。管理措施方面,缺乏安全日志審計,缺少異常檢測機制,應急響應機制不完善。導致傳統火電廠無法快速對安全事件進行察覺、反應和溯源。
深入業務場景 定制專業方案
以某火電廠為例。該電廠結合自身電力監控系統和信息化情況,制定了信息安全總體規劃,初步建立了信息安全體系,符合國能安全〔2015〕36號文(《電力監控系統安全防護總體方案》)的安全防護要求和評估規范,以及電監信息〔2012〕62號文(《電力行業信息系統安全等級保護基本要求》)的管理方面。但仍然缺失一些具體的安全防護措施。
啟明星辰針對該火電廠存在的網絡安全風險,結合多年在工控安全深耕的經驗,為智慧火電網絡安全的建設給出了專業有效的解決方案。
網絡安全測評
分析安全風險與現狀
為進一步提高對自身安全風險的認識,該火電廠從安全區域邊界、安全計算環境和安全管理方面等維度,對電廠工控系統進行網絡安全測評。
從測評結果來看,電廠自身安全防護措施的缺乏,易發生通過盜取弱口令賬號、端口掃描、植入惡意代碼等方式入侵系統以橫向/縱向滲透,進而破壞系統或泄露重要數據資源的攻擊行為,給電廠網絡安全管理帶來重大威脅。
啟明星辰結合該發電廠風險調研評估和測評報告,根據“安全分區,網絡專用,橫向隔離,縱向認證”的電力防護總體原則,開展了有針對性的系統性安全防護建設,包括網絡邊界隔離、訪問控制、惡意代碼防范、操作系統漏洞管理、外設接口管控、網絡審計、安全管理等能力需求的細化技術措施建設,進一步加強該電廠網絡安全整體防護能力,降低工控網絡被滲透攻擊風險。
五大方面
筑牢發電廠網絡安全建設
安全防護總體規劃示意圖
1、通過安全加固服務,增強系統抗攻擊能力
對生產控制大區的鍋爐、汽輪機、發電機的主、輔控系統如汽機監測系統TSI、NCS系統的工控主機、服務器、接口機等設備進行安全加固。通過啟用操作系統自身安全防護、審計策略,提高賬戶及用戶口令的復雜程度,關閉不需要的服務、端口等措施,解決測評中安全計算環境類別涉及的問題,實現終端設備自身的安全性提升。
2、劃分安全區域,提升安全區域邊界防護能力
在生產控制大區安全Ⅰ區和安全Ⅱ區的邊界處部署工業防火墻,通過對工業協議指令的過濾,實現安全Ⅰ區和安全Ⅱ區的訪問控制、邊界防護,配置針對Modbus、OPC工業協議的訪問控制策略,降低利用漏洞偽造報文的風險,解決測評中安全區域邊界類別的網絡節點未部署防病毒網關等產品,且無其他防惡意代碼措施的問題。保護鍋爐、汽輪機、發電機運行的主控系統如機組控制系統DCS、汽機調速系統DEH等安全運行。
3、實時監控異常事件,提升系統主動防御能力
在生產控制大區安全Ⅰ區和安全Ⅱ區的主機上部署工業主機安全衛士系統,通過建立主機“白”環境,建立工控主機的主動防護能力、移動存儲介質管理能力、加強針對利用“0-day”漏洞進行勒索攻擊的防護能力,在降低上述的系統風險、軟件風險的同時,滿足測評中安全計算環境類別的需要安裝防惡意代碼軟件或配置具有相應功能的軟件要求。
通過在SIS系統、主控和輔控系統等主要系統網絡交換機鏡像口部署工控安全監測與審計系統,利用基于網絡流量的入侵攻擊行為識別、監測、預警,解決了測評中安全區域邊界類別的“未部署入侵監測設備,無法實現對網絡攻擊行為進行監視”的問題,為工業網絡入侵攻擊的應急響應提供預警監測能力。
4、完善安全審計體系,提高廠區的安全管理水平
在生產控制大區部署運維管理系統,實現對生產控制大區用戶運維操作時技術層面的準確記錄、審計、追蹤溯源,實現違規危險指令的實時阻斷,解決了安全區域邊界和安全計算環境測評類別中沒有對重要的用戶行為和重要安全事件集中審計項的問題,加強生產控制大區整個系統在身份鑒別、訪問控制和安全審計等方面的管理能力。
5、部署工控安全管理平臺,實現廠區統一安全管理
在生產控制大區部署工控安全管理平臺,對生產信息進行安全采集、分析和展現,實現安全防護設備、系統以及終端的安全統一呈現,協助解決資產情況不清晰的問題。在測評的安全管理類別中滿足了覆蓋物理、網絡、主機系統、數據、應用、建設和運維等層面的要求,提高管理效率,降低運行維護成本,構建了一個威脅監控的統一安全管理中心。
電力在中國經濟發展中一直扮演著國民經濟“先行官”的角色,是國民經濟發展的基礎產業。啟明星辰將結合自身在工業互聯網安全領域豐富的實踐經驗和產品、技術積累,充分考慮電力發電側用戶實際生產系統的復雜性和特殊性,幫助電廠客戶不斷提升針對安全威脅的可知、可查、可控能力。
