关键信息基础设施的等保2.0之路 | 火力发电篇

原博文 天地和兴 昨天


 引言

2019年12月1日,网络安全等级保护基本要求的正式实施标志着等级保护制度整体进入 2.0 时代,等级保护对象范围从传统的网络和信息系统,向“云移物工大”上进行了扩展。GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求,且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。在“关键信息基础设施的等保2.0之路”系列文章中,天地和兴将从关键信息基础设施保护的实践出发,梳理并提供2.0时代等保安全建设的整体解决方案,旨在助力关键信息基础设施运营者网络安全防护能力和信息安全管理能力的提升,应对各类网络风险和挑战。


 No.1 

安全现状


自2007年国务院《关于加快关停小火电机组若干意见的通知》,火电行业开始“上大压小”。新建、扩建、改建的火电厂发电机组规模越来越大,按照行业定级要求火电机组控制系统单机容量300兆瓦及以上的定级为三级来看,火电生产控制系统需要按等保三级要求重点防护的占比越来越高
电厂生产控制系统和电力监控系统是以计算机、通讯设备、测控单元为基本工具,为火电厂生产的实时数据采集、开关状态检测及远程控制提供了基础平台,它可以和检测、控制设备构成任意复杂的监控系统,在火电厂生产中发挥了核心作用,可以帮助企业消除信息孤岛,降低运作成本,提高生产效率,加快产电、变配电过程中的异常反应速度。当前火力发电企业生产控制大区信息普遍存在以下网络安全隐患
  • 火电企业系统众多、数据交互频繁,一旦防护不当会导致恶意攻击从信息网甚至互联网直接渗透到生产网络;
  • 生产控制大区的工程师站、操作员站等大部分上位机为Windows/Linux平台。为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常在系统运行后不会安装杀毒软件更新安全补丁或变更策略配置,防止埋下巨大的安全隐患。一旦感染恶意代码,极易传播扩散,导致非计划停机;
  • 目前在火电DCS控制系统中,各类品牌设备普遍存在安全问题。近年来国内外漏洞平台陆续发布了针对工控系统HMI软件PLC固件的多个漏洞。一旦漏洞没有及时修复被黑客利用,会造成严重影响;
  • 缺乏对管理和技术人员操作行为的有效安全监管和审计,误操作或恶意操作安全风险较大;

  • 从等保2.0的要求以及构建整体网络安全防护体系的需求来看,大部分火电企业并无统一的信息安全管理策略,亦并未配置独立的安全管理中心。


安全威胁分类摘自:《电力监控系统网络安全防护导则》5.2电力监控系统面临的网络安全威胁



 No.2 

解决方案


面对上述火力发电企业的安全现状,天地和兴做了深入的调查与研究,面对不同的应用场景,提供了全生命周期安全解决方案,为火力发电安全生产构建安全防御体系。


01

风险评估方案

风险评估是全面了解与验证火力发电企业生产控制网络和管理过程中存在各种风险和问题的一种必要手段,亦是安全防护体系建设的前提,天地和兴将针对火力发电企业生产控制网运行环境与安全管理制度,对生产控制系统网络做全面的安全检查与验证,并对当前网络环境进行深度工控漏洞挖掘,最终生成权威的安全风险评估报告,为用户全面了解生产控制系统网络安全风险提供依据。




02

安全防护方案

对火电厂生产监控系统的网络安全防护建设,遵循电力建立体系不断发展、分区分级保护重点、网络专用多道防线、全面融入安全生产、管控风险保障安全的原则,参照国家《网络安全等级保护基本要求》“一个中心、三重防护”的安全理念,通过部署工控防火墙、工控安全审计、入侵检测、网络安全监测装置等安全防护产品,提升生产监控系统网络整体防护能力,部署示意图如下:




安全通信网络:在生产控制大区和信息管理大区之间串行部署电力专用单向隔离网闸,用于生产控制大区到管理信息大区的非网络方式单向数据传输;电力专用加密认证网关部署在电力控制系统的内部局域网与电力调度数据网络的路由器之间,用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性。
安全区域边界:在电力监控系统不同级别安全域之间部署工控防火墙/电力专用隔离装置,建立不同安全域之间的访问控制策略,实现网络隔离与细粒度控制。严格禁止E-mail、WEB、Telnet、Rlogin、FTP 等安全风险高的网络服务,以及通过 B/S或 C/S 方式的数据库访问穿越专用横向单向安全隔离装置。避免在一个系统或区域里爆发工控安全事件扩散到其他系统或区域当中,保障区域间通信网络安全。通过在核心交换机上旁路部署入侵检测系统、工控威胁检测系统、工控安全审计平台,实时监测网络边界、安全域内重要节点的异常行为并进行审计告警,异常行为包括各类已知、未知的入侵行为,网络病毒,非法访问等。
安全计算环境:在主要的上位机上部署主机安全防护系统客户端,实现主机防病毒、防第三方软件的非授权安装与使用,主机系统外接口尤其是USB存储设备的认证管控、防病毒与操作行为审计。针对电力监控系统内所有上位机、人机交互站、安全设备以及服务器等进行人工加固服务,加固方式包括但不限于:安全配置、安全补丁、采用专用软件或硬件强化操作系统访问控制能力以及配置安全的应用程序。加固措施包括:升级到当前系统版本、安装后续补丁合集、加固系统TCP/IP配置、关闭不必要服务和端口、为超级用户或特权用户设定复杂口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。

安全管理中心:在火电厂生产控制大区中新建安全管理域,部署日志审计与分析系统、账号管理及运维审计系统、工控信息安全监管与分析平台,实现全网安全设备运行监控、安全日志收集与分析、安全事件集中处置,全网系统账户的统一管理与操作审计,全网资产无损扫描识别与管理,资产漏洞匹配与统计报告等安全集中管理能力。在NCS系统安全I区和安全II区各部署一台网络安全监测装置,通过探针软件和网管协议收集涉网设备的运行日志、安全设备运行日志,涉网业务系统的运行日志等,将告警信息经纵向加密统一上传至省调和地调的网络安全管理平台。


03

安全检查方案

建立生产监控系统定期安全检查和整改工作机制,每年至少自行开展一次安全检查,依据发现问题需制定整改计划及措施,并将整改情况上报主管单位和集团公司。等级保护定级为三级的系统,除每年自行开展一次安全检查外,还应按照等级保护要求,做好安全评估及整改工作。配合集团公司每年抽检,并协助开展生产监控系统网络安全专项检查,最终对检查结果进行通报。


04

应急演练方案

协助制订火电厂生产监控系统安全应急处置预案,每年至少进行一次演练,确保发生安全事件时能够有序处置、快速恢复。当生产控制大区内生产监控系统发生变化时,及时组织对应急处置预案进行评估,根据实际情况适时修改并进行演练,形成快速反应、快速处置能力。确保当生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,立即向上级电力调度机构以及当地国家能源局派出机构、当地政府相应部门及集团公司报告,同时按应急处理预案采取安全应急措施。处理安全事件过程中应注意保护现场,以便进行调查取证和分析。最后将制定安全防护事件通报制度、有关安全问题做好记录。定期向调度中心报送生产监控系统安全防护情况,并及时上报生产监控系统安全防护出现的异常现象。


05

安全服务方案

针对主管、运维等部门的“专业壁垒”等问题,天地和兴为相关人员提供专业的培训、咨询、运维等服务,涉及网络安全培训、安全防护标准培训、当前攻防技术培训与应用、安全管理与规范操作日常运维等内容。协助企业全员提高专业知识与安全防范意识。同时,天地和兴还提供7*24小时的专家级安全咨询服务与运维、应急保障。


06

安全运营方案

安全运营的好坏直接影响工控系统网络安全防护体系的防护效能。安全运营涵盖内容较多,包括安全运营中心建立、安全意识培训、安全运营管理、安全体系管理、安全运维管理等多维度内容。针对企业实际情况进行详细方案设计,规范火电企业的整体安全运营工作。


No.3 

总结


火电厂生产监控系统网络安全建设与管理是一个复杂的系统工程,是保证火电厂安全生产、运营和管理所必须进行的长期工作,其总体安全防护水平取决系统中最薄弱点的安全水平。本文所涉及方案依照国家等级保护要求,充分考虑了火电厂生产监控系统面临的主要安全威胁,结合电力企业网络安全建设与管理实际情况以及业务系统实际组网应用情况,侧重在网络层、主机层构建纵深安全防护体系,落实国家等级保护“一个中心、三重防护”的安全理念与安全架构要求,提供包括安全服务、安全建设、安全运营在内的全生命周期工控安全解决方案,为业务系统安全运行保驾护航。




往期精选

1

美国OPTO 22公司:SoftPAC虚拟控制器爆出漏洞! 

2

食品供应链网络有多安全?网络攻击态势超出想象...... 

3

细思极恐!CVE-2017-6034多重身份验证还能绕过漏洞?深度分析为您解密