水電站國產化工控安全建設,經典可復制!
1項目概述
我國工業控制基礎軟硬件發展滯后,核心競爭力差,是提升工控領域自主安全水平的關鍵癥結。相關工業控制基礎軟硬件較大程度地依賴國外引進,尤其部分涉及國家關鍵基礎設施建設的重要行業,核心技術仍然受制于國外公司,企業自主創新能力存在欠缺,如精密采集、精準時鐘、智能算法、故障定位、中斷調度等。
水電監控系統是水電站的“神經中樞”,可實現機組的自動啟停、負荷及運行的智能調整,是保障安全穩定運行的重要基礎。長期以來,國內大型水電機組的智能監控系統的大部分軟硬件依賴國外進口,目前自主可控的國產化控制系統技術日趨成熟并逐步落地應用,解決了自動化控制的“卡脖子”難題,隨之安全防護方案中配套的安全產品和技術也處在國產化適配的探索實踐階段。作為典型的關基行業,水電站電力監控系統網絡安全規劃和建設時除應依據GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》外,還要滿足行業內“國能安全〔2015〕36號《電力監控系統安全防護總體方案》”的相關網絡安全要求。
2項目需求
國內某集團水電站響應“國產自主可控”號召,采用睿渥系統進行水電監控系統全國產化改造建設,同期進行網絡安全政策合規、水電監控系統網絡安全一體化建設,具體需求參考如下:
2.1 政策合規需求
- 等級保護
依據《關于開展電力行業信息系統安全等級保護定級工作的通知》(電監信息(2007)34號)、《電力行業信息系統等級保護定級工作指導意見》電監信息〔2007〕44號,該集團水電站電力監控系統按照定級標準定位三級,并結合對應等級要求進行安全防護體系設計,具體合規模塊及對應產品技術關系參考如下:
圖1 等級保護和安全防護產品對標示意圖
- 國能安全36號文
該集團水電站按照國能安全〔2015〕36號《電力監控系統安全防護總體方案》等安全防護方案和評估規范要求,需重點強化邊界防護,加強內部的物理、網絡、主機、應用和數據安全,加強安全管理制度、機構、人員、系統建設、系統運維的管理,提高系統整體安全防護能力,保證電力監控系統及重要數據的安全。
同時根據國能安全〔2015〕36號 附件4,發電廠監控系統安全防護方案應滿足“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”要求,詳細要求如下圖所示:
圖2 附件4 發電廠監控系統安全防護方案
2.2 一體化需求
在水電站監控系統網絡安全建設過程中,面臨著設備繁多、信息孤立、監測面不全、缺乏專業人員等問題,現階段網絡安全數據和生產網絡數據往往孤立存在,未和機組實時監測數據列為同等重要推送序列,不能實時反饋和預警,從而可能造成網絡安全事件反應遲滯,給安全生產帶來風險。
為實時掌握“生產安全”,從工業協議、生產工藝流程等多維度考量對接,將網絡安全數據以“IEC104協議”封裝接入監控系統,確保監控系統運行穩定、網絡安全相關數據傳輸安全、數據反饋呈現真實預警效果。
3技術體系
水電監控系統的網絡安全防護規劃,在技術上以大數據分析為基礎,結合機器學習、可信計算、行為分析等能力,形成全國產化的協同防御體系。防護體系按照“2個體系、1個中心、1個支撐”的“211防護”思路進行規劃。
2個體系:在電力生產控制大區內建立“白環境防護體系”和“黑名單檢測體系”。
- 通過設備入網白環境、通信傳輸白環境和主機運行白環境的建設,構建監控系統可信運行環境。保證只有可信任的設備才能接入到生產網絡、只有可信任的流量才能在網絡中傳輸、只有可信任的程序才能在主機上執行的“白環境防護體系”;
- 通過病毒檢測、網絡入侵檢測、漏洞利用攻擊檢測、APT攻擊檢測技術,構建起基于訪問控制、病毒庫、入侵規則庫、漏洞利用規則庫、威脅情報庫的“黑名單檢測體系”。
1個中心:構建具有電力行業屬性的安全運營中心,一方面通過集中日志審計、統一安全運維、統一威脅發現、統一安全設備管理的能力建設,構建起工控網安全管理中心;另一方面,為確保水電站監控系統內部通信協議的統一,提高系統內部通信的開放性、兼容性,利用IEC104協議進行威脅事件的上報和告警,匹配電力行業工控網絡的通信特點。
1個支撐:建立以專業安全服務為支撐的主動管理能力。通過風險評估、安全巡檢、應急響應、安全培訓等全方位專業化安全服務,主動發現安全風險,建立電力監控系統完善的監測預警機制。
4 解決方案
4.1 政策合規建設
圖3 項目方案規劃部署圖
在安全區I和安全區II之間部署工業防火墻,通過訪問控制和工控協議深度解析,建立業務通信白名單,實現區域間的安全訪問控制;
圖4 工業防火墻工業協議應用級配置示意圖
在安全防護交換機旁路部署工控安全監測與審計系統。基于工控協議深度解析技術,智能學習建立業務系統安全通信模型,實時監測生產網絡異常流量和行為,提高計算機監控系統的網絡安全審計能力;
圖5 工控安全監測與審計系統工業控制協議應用級配置示意圖
在安全防護交換機旁路部署高級威脅檢測系統,通過開啟入侵檢測功能,及時告警網絡中存在的網絡掃描、入侵攻擊、APT攻擊等違反安全策略的行為和被攻擊的跡象;
圖6 高級威脅檢測系統入侵檢測配置示意圖
圖7 高級威脅檢測系統沙箱檢測示意圖
在安全防護交換機旁路部署防毒墻設備,通過開啟病毒防護功能,及時告警網絡中存在的病毒傳播事件;
圖8 防毒墻病毒檢測配置示意圖
建立安全管理區域實現集中管理,在管理區內部署安全運維管理系統,完成賬號統一管理、資源和權限統一分配、操作全程審計,提升運維過程的安全性;部署統一安全管理平臺,對機組部署的安全設備進行統一的安全管理,包括策略下發、日志審計、報警展示等,簡化運維管理工作流程、提高運維管理工作效率;部署日志審計與分析系統,實現日志數據和告警數據統一收集和關聯分析;部署數據庫審計系統,對數據庫的重要操作行為進行監控和審計;部署工控漏洞掃描平臺,對計算機監控系統進行漏洞掃描,實現對工控設備、系統、軟件等漏洞的掌控及管理;
圖9 統一安全管理平臺運維管理示意圖
圖10 安全運維管理系統資源配置示意圖
圖11 日志審計與分析系統配置示意圖
在安全II區和調度數據網之間部署入侵防御系統,對病毒傳播、漏洞攻擊、掃描探測等各類攻擊實時檢測和阻斷,保障電廠與調度之間的安全通信。
圖12 入侵防御系統策略配置示意圖
4.2 一體化建設
水電監控系統統一生產環境工業協議,使用IEC104向水電監控系統傳輸網絡安全事件信息。
圖13 網絡安全信息上送邏輯圖
水電監控系統作為重要生產系統,為保障其穩定性,防止網絡安全告警信息過載影響生產系統并兼顧網絡安全信息及時反饋,思路如下:
1、現階段優先支持部分重要告警信息,告警類型編號:設備無流量(01)、異常流量(02)、工控協議操作異常(03)、違反ACL規則(04)、會話異常行為(05)、地址欺詐(06)、程序報警事件(07)、非法外聯(08)、未知設備接入(09)、非法外設接入(10)。
圖14 網絡安全主要上送信息圖
2、以IEC104協議暫定兩種發送告警狀態方式:
a、水電監控系統主動發送總召喚,統一安全平臺反饋需求十種告警的狀態(是否有告警);
b、在兩次總召喚之間告警狀態發生改變,主動上傳變化的告警類型以及對應的告警狀態。
圖15 統一安全管理平臺IEC104封裝信息上送配置圖
5項目價值
定制化IEC104信息對接全面監控水電監控系統穩定運行:提升水電監控系統的安全預警、事件溯源、動態防御、統一管理等防護能力,降低水電站工控網絡安全事件的發生概率,保障了國家關鍵能源基礎設備安全運營,同時通過IEC104協議將網絡安全數據與水電監控系統進行對接,實時把控安全生產狀態,確保生產工藝安全和生產網絡安全;
為工控安全技術產品國產化迭代創新提供樣板工程:本項目是一次工控網絡安全技術產品國產化的迭代創新應用,同時結合國內某集團水電站國產水電監控系統的實際情況,按系統化、規范化、工程化要求,細化了水電監控系統安全防護的技術要求,定制化開發了自主可控安全產品。一定程度上達到加速國產化工控網絡安全技術產品在電力等重點行業推廣應用的效果;
全面推進關鍵信息基礎設施國產化網絡安全能力提升:通過本次項目建設,在落實關鍵信息基礎設施網絡安全建設標準規范的同時,踐行關鍵基礎設施單位國產化的責任與義務。
