唐清弟,李 鹤,刘晋曦
(华能澜沧江水电股份有限公司景洪水电厂,云南 景洪 666100)
我国工业控制基础软硬件发展滞后,核心竞争力差,成为提升工控领域自主安全水平的关键症结。相关工业控制基础软硬件仍然较大程度地依赖从国外引进,尤其部分涉及国家关键基础设施建设的重要行业,核心技术仍然受制于国外公司,企业自主创新能力仍然不强,如精密采集、精准时钟、智能算法、故障定位、中断调度、安全漏洞等[1]。
水电监控系统是水电站的“神经中枢”,是水电站核心控制系统,可实现机组的自动启停、负荷及运行的智能调整,是保障安全稳定运行的重要基础。长期以来,国内大型水电机组的智能监控系统大部分软硬件依赖国外进口,目前国产系统解决了这一“卡脖子”难题,而全国产水电监控系统的网络安全配套也同样处在探索阶段。
电力行业被定义为关键基础设施单位,关键基础设施单位网络安全即国家安全。电力行业企业用户除依据相关法规进行“等级保护”建设外,同样需满足行业内“国能安全36号文”相关网络安全要求进行整体建设[2]。
现阶段国内水电站已开始监控系统国产化改造,其配套的工控网络安全设备,同样需在满足法规及行业相关要求的基础上对安全设备进行国产化[3]。
网络安全合规建设过程中,面临设备繁多、信息孤立、监测面不全、缺乏专业人员等问题,现阶段网络安全信息作为生产网络数据的一部分往往孤立存在,未和机组实时监测数据列为同等重要推送序列,不能实时反馈和预警,从而可能造成网络安全反应迟滞,给安全生产带来不可预估风险。
等级保护2.0标准自2019年12月1日正式执行,其适用范围更广泛,执行标准更严格,其重点突出“一个中心、三重防护”:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心不同维度进行立体化网络安全建设[4]。
依据《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)、《电力行业信息系统等级保护定级工作指导意见》电监信息〔2007〕44号,发电企业电力监控系统应按照具体定级依据进行系统定级。并结合对应等级要求进行安全防护,所涉及合规模块及对应关系如图1所示。
发电企业需按照国家能源局 国能安全〔2015〕36号《电力监控系统安全防护总体方案》等安全防护方案和评估规范要求,重点强化边界防护,加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理,提高系统整体安全防护能力,保证电力监控系统及重要数据的安全[5-6]。
同时根据附件4发电厂监控系统安全防护方案应满足综合防护要求,综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。具体流程见图2。
图1 合规模块对应关系
图2 信息安全防护过程示意
水电监控系统作为电力企业关键业务系统,可以清晰了解生产实时状态;同时,生产网络的安全作为生产业务一部分,现今尤为重要。
为实时掌握“生产安全”,将网络安全数据以“IEC104协议”接入监控系统,确保监控系统运行稳定、网络安全数据传输安全、数据反馈呈现的真实预警效果,需要从工业协议、生产工艺流程等多维度进行考量对接。
水电监控系统的网络安全防护,在安全防护技术上以大数据分析为基础,结合机器学习、可信计算、行为分析等能力,形成全国产化的协同防御体系。防护设计思路为:以国家网络安全政策标准为依据,结合电力行业自身的特性,在安全防护设计思路上,按照“2个体系、1个中心、1个支撑”的“211防护”思路进行安全设计。
2个体系:指在电力生产控制大区内建立起“白环境可信体系”和“黑名单防护体系”。
通过设备入网白环境、通信传输白环境和主机运行白环境的建设,建立起工控网可信运行环境。保证只有可信任的设备才能接入到生产网络、只有可信任的流量才能在网络中传输、只有可信任的程序才能在主机上执行的“白环境可信体系”。
通过病毒检测、网络入侵检测、漏洞利用攻击检测、APT攻击检测的建设,建立起基于访问控制、病毒库、入侵规则库、漏洞利用规则库、威胁情报库的“黑名单防护体系”。
1个中心:指建立具有电力行业属性的安全运营中心,一方面通过工业安全态势感知平台、集中日志审计、统一安全运维、统一威胁发现、统一安全设备管理的建设,建立起工控网安全管理中心。另外,会利用IEC104协议等进行威胁事件的上报和告警,匹配电力行业工控网络的业务特点。
1个支撑:指建立以专业安全服务为支撑的主动管理能力。通过风险评估、安全巡检、应急响应、安全培训等的全方位专业化安全服务,主动发现安全风险,建立工控网运转高效、处置得当的安全运营工作机制。
在安全区Ⅰ和安全区Ⅱ之间部署工业防火墙,通过访问控制和工控协议深度解析,建立业务通信白名单,实现区域间的安全访问控制[7]。
在安全防护交换机旁路部署工控安全监测与审计系统。基于工控协议深度解析技术,智能学习建立业务系统安全通信模型,实时监测生产网络异常流量和行为,提高计算机监控系统的网络安全审计能力。
在安全防护交换机旁路部署入侵检测系统和高级威胁检测系统,通过开启入侵检测功能,及时告警网络中存在的网络扫描、入侵攻击、APT攻击等违反安全策略的行为和被攻击的迹象。
在安全防护交换机旁路部署防毒墙设备,通过开启病毒防护功能,及时告警网络中存在的病毒传播事件。
建设安全防护管理区实现集中管理,在管理区内部署安全运维管理系统,完成账号统一管理、资源和权限统一分配、操作全程审计,提升运维过程的安全性;部署统一安全管理平台,对机组部署的安全设备进行统一的安全管理,包括策略下发、日志审计、报警展示等,简化运维管理工作流程、提高运维管理工作效率;部署日志审计与分析系统,实现日志数据和告警数据统一收集和关联分析;部署数据库审计系统,对数据库的重要操作行为进行监控和审计;部署工控漏洞扫描平台,对计算机监控系统进行漏洞扫描,实现对工控设备、系统、软件等漏洞的掌控及管理。
在安全Ⅱ区和调度数据网之间部署入侵防御系统,对病毒传播、漏洞攻击、扫描探测等各类攻击实时检测和阻断,保障电厂与调度之间的安全通信。
水电监控系统统一生产环境工业协议,使用IEC104向水电监控系统传输网络安全事件信息。
水电监控系统作为重要生产系统,为保障其稳定性防止网络安全告警信息过载影响生产系统并兼顾网络安全信息及时反馈,具体思路如下:
(1)现阶段优先支持部分重要告警信息,告警类型编号包含设备无流量(01)、异常流量(02)、工控协议操作异常(03)、违反ACL规则(04)、会话异常行为(05)、地址欺诈(06)、程序报警事件(07)、非法外联(08)、未知设备接入(09)、非法外设接入(10)。
(2)以IEC104协议暂定两种发送告警状态方式。一是水电监控系统主动发送总召唤,统一安全平台反馈需求十种告警的状态(是否有告警);二是在两次总召唤之间告警状态发生改变,主动上传变化的告警类型以及对应的告警状态。
利用工业协议白名单、指令白名单、进程白名单等技术构建起工控网可信运行环境,以白名单技术为主的核心产品也更加适用于以可用性为主的工业现场。有效解决了传统的“黑名单”技术在解决工控安全问题时存在的兼容性、易用性、日常管理工作量大等问题[8]。
采用高性能ARM架构,运用白名单规则匹配算法,在开启深度报文检测(DPI)的情况下可实现30000PPS的吞吐量。时延小于100 μs,是业界同类产品的1/10。
全国产水电监控系统配套网络安全设备,均采用国产软硬件安全设备进行整体配套,依据当前国内主流架构设计普遍采用“PK”(飞腾+麒麟)架构设计。
通过将网络安全信息统一汇总,并以IEC104协议按需求发送至监控系统,充分考虑时效性、有效性因素,完善了监控系统生产数据完整性。
基于全国产水电监控系统的一体化网络安全防护及应用项目,水电站采取国产化水电站监控系统平台配套国产化工控安全方案,满足国能安全36号文、等级保护2.0要求,并补充数据库操作审计,APT攻击防范能力,完善电厂的安全防护体系,同时通过安全统一管理平台与水电监控系统对接,完善生产业务数据,实时把控安全生产,确保生产工艺安全和生产网络安全,对水电站在国产化工控安全的建设与完善国产水电监控系统研究与试点推广上提供了宝贵的经验。