2019年12月1日�����,《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的正式實(shí)施標(biāo)志著等級(jí)保護(hù)制度整體進(jìn)入 2.0 時(shí)代����,等級(jí)保護(hù)對(duì)象范圍從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)����,向“云移物工大”上進(jìn)行了擴(kuò)展。GB/T22239由單獨(dú)的基本要求演變?yōu)橥ㄓ冒踩?新技術(shù)安全擴(kuò)展要求��,且技術(shù)要求和管理要求都做了調(diào)整���。而關(guān)鍵信息基礎(chǔ)設(shè)施也在定級(jí)要求上明確指出“定級(jí)原則上不低于三級(jí)”的要求�。在“關(guān)鍵信息基礎(chǔ)設(shè)施的等保2.0之路”系列文章中�,天地和興將從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐出發(fā),梳理并提供2.0時(shí)代等保安全建設(shè)的整體解決方案����,旨在助力關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者網(wǎng)絡(luò)安全防護(hù)能力和信息安全管理能力的提升���,應(yīng)對(duì)各類網(wǎng)絡(luò)風(fēng)險(xiǎn)和挑戰(zhàn)。
一����、安全現(xiàn)狀
自2007年國(guó)務(wù)院《關(guān)于加快關(guān)停小火電機(jī)組若干意見的通知》,火電行業(yè)開始“上大壓小”���。新建���、擴(kuò)建�、改建的火電廠發(fā)電機(jī)組規(guī)模越來越大,按照行業(yè)定級(jí)要求火電機(jī)組控制系統(tǒng)單機(jī)容量300兆瓦及以上的定級(jí)為三級(jí)來看�����,火電生產(chǎn)控制系統(tǒng)需要按等保三級(jí)要求重點(diǎn)防護(hù)的占比越來越高��。電廠生產(chǎn)控制系統(tǒng)和電力監(jiān)控系統(tǒng)是以計(jì)算機(jī)�、通訊設(shè)備、測(cè)控單元為基本工具����,為火電廠生產(chǎn)的實(shí)時(shí)數(shù)據(jù)采集�、開關(guān)狀態(tài)檢測(cè)及遠(yuǎn)程控制提供了基礎(chǔ)平臺(tái)���,它可以和檢測(cè)��、控制設(shè)備構(gòu)成任意復(fù)雜的監(jiān)控系統(tǒng)��,在火電廠生產(chǎn)中發(fā)揮了核心作用����,可以幫助企業(yè)消除信息孤島���,降低運(yùn)作成本�,提高生產(chǎn)效率�����,加快產(chǎn)電�����、變配電過程中的異常反應(yīng)速度�。當(dāng)前火力發(fā)電企業(yè)生產(chǎn)控制大區(qū)信息普遍存在以下網(wǎng)絡(luò)安全隱患:
-
火電企業(yè)系統(tǒng)眾多���、數(shù)據(jù)交互頻繁,一旦防護(hù)不當(dāng)會(huì)導(dǎo)致惡意攻擊從信息網(wǎng)甚至互聯(lián)網(wǎng)直接滲透到生產(chǎn)網(wǎng)絡(luò)�����;
-
生產(chǎn)控制大區(qū)的工程師站�����、操作員站等大部分上位機(jī)為Windows/Linux平臺(tái)����。為保證過程控制系統(tǒng)的相對(duì)獨(dú)立性,同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行�����,通常在系統(tǒng)運(yùn)行后不會(huì)安裝殺毒軟件�,更新安全補(bǔ)丁或變更策略配置�����,防止埋下巨大的安全隱患���。一旦感染惡意代碼��,極易傳播擴(kuò)散����,導(dǎo)致非計(jì)劃停機(jī);
-
目前在火電DCS控制系統(tǒng)中��,各類品牌設(shè)備普遍存在安全問題�。近年來國(guó)內(nèi)外漏洞平臺(tái)陸續(xù)發(fā)布了針對(duì)工控系統(tǒng)HMI軟件、PLC固件的多個(gè)漏洞����。一旦漏洞沒有及時(shí)修復(fù)被黑客利用,會(huì)造成嚴(yán)重影響�;
-
缺乏對(duì)管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計(jì),誤操作或惡意操作安全風(fēng)險(xiǎn)較大�����;
-
從等保2.0的要求以及構(gòu)建整體網(wǎng)絡(luò)安全防護(hù)體系的需求來看��,大部分火電企業(yè)并無統(tǒng)一的信息安全管理策略�,亦并未配置獨(dú)立的安全管理中心。
|
*安全威脅分類摘自:《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》5.2電力監(jiān)控系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅
|
二����、解決方案
面對(duì)上述火力發(fā)電企業(yè)的安全現(xiàn)狀����,天地和興做了深入的調(diào)查與研究����,面對(duì)不同的應(yīng)用場(chǎng)景,提供了全生命周期安全解決方案���,為火力發(fā)電安全生產(chǎn)構(gòu)建安全防御體系����。
1��、風(fēng)險(xiǎn)評(píng)估方案
風(fēng)險(xiǎn)評(píng)估是全面了解與驗(yàn)證火力發(fā)電企業(yè)生產(chǎn)控制網(wǎng)絡(luò)和管理過程中存在各種風(fēng)險(xiǎn)和問題的一種必要手段��,亦是安全防護(hù)體系建設(shè)的前提����,天地和興將針對(duì)火力發(fā)電企業(yè)生產(chǎn)控制網(wǎng)運(yùn)行環(huán)境與安全管理制度�,對(duì)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)做全面的安全檢查與驗(yàn)證,并對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境進(jìn)行深度工控漏洞挖掘����,最終生成權(quán)威的安全風(fēng)險(xiǎn)評(píng)估報(bào)告����,為用戶全面了解生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供依據(jù)�����。
2���、安全防護(hù)方案
對(duì)火電廠生產(chǎn)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)建設(shè)�,遵循電力建立體系不斷發(fā)展���、分區(qū)分級(jí)保護(hù)重點(diǎn)����、網(wǎng)絡(luò)專用多道防線�����、全面融入安全生產(chǎn)���、管控風(fēng)險(xiǎn)保障安全的原則����,參照國(guó)家《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》“一個(gè)中心、三重防護(hù)”的安全理念��,通過部署工控防火墻�����、工控安全審計(jì)��、入侵檢測(cè)���、網(wǎng)絡(luò)安全監(jiān)測(cè)裝置等安全防護(hù)產(chǎn)品�,提升生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)整體防護(hù)能力���,部署示意圖如下:
安全通信網(wǎng)絡(luò):在生產(chǎn)控制大區(qū)和信息管理大區(qū)之間串行部署電力專用單向隔離網(wǎng)閘�,用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式單向數(shù)據(jù)傳輸�;電力專用加密認(rèn)證網(wǎng)關(guān)部署在電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間,用來保障電力調(diào)度系統(tǒng)縱向數(shù)據(jù)傳輸過程中的數(shù)據(jù)機(jī)密性��、完整性��。
安全區(qū)域邊界:在電力監(jiān)控系統(tǒng)不同級(jí)別安全域之間部署工控防火墻/電力專用隔離裝置���,建立不同安全域之間的訪問控制策略���,實(shí)現(xiàn)網(wǎng)絡(luò)隔離與細(xì)粒度控制。嚴(yán)格禁止E-mail��、WEB��、Telnet�����、Rlogin�、FTP 等安全風(fēng)險(xiǎn)高的網(wǎng)絡(luò)服務(wù),以及通過 B/S或 C/S 方式的數(shù)據(jù)庫(kù)訪問穿越專用橫向單向安全隔離裝置�。避免在一個(gè)系統(tǒng)或區(qū)域里爆發(fā)工控安全事件擴(kuò)散到其他系統(tǒng)或區(qū)域當(dāng)中,保障區(qū)域間通信網(wǎng)絡(luò)安全����。通過在核心交換機(jī)上旁路部署入侵檢測(cè)系統(tǒng)、工控威脅檢測(cè)系統(tǒng)��、工控安全審計(jì)平臺(tái)�����,實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)邊界、安全域內(nèi)重要節(jié)點(diǎn)的異常行為并進(jìn)行審計(jì)告警���,異常行為包括各類已知�����、未知的入侵行為��,網(wǎng)絡(luò)病毒��,非法訪問等����。
安全計(jì)算環(huán)境:在主要的上位機(jī)上部署主機(jī)安全防護(hù)系統(tǒng)客戶端����,實(shí)現(xiàn)主機(jī)防病毒、防第三方軟件的非授權(quán)安裝與使用�,主機(jī)系統(tǒng)外接口尤其是USB存儲(chǔ)設(shè)備的認(rèn)證管控、防病毒與操作行為審計(jì)�����。針對(duì)電力監(jiān)控系統(tǒng)內(nèi)所有上位機(jī)、人機(jī)交互站�、安全設(shè)備以及服務(wù)器等進(jìn)行人工加固服務(wù),加固方式包括但不限于:安全配置��、安全補(bǔ)丁���、采用專用軟件或硬件強(qiáng)化操作系統(tǒng)訪問控制能力以及配置安全的應(yīng)用程序。加固措施包括:升級(jí)到當(dāng)前系統(tǒng)版本����、安裝后續(xù)補(bǔ)丁合集、加固系統(tǒng)TCP/IP配置�����、關(guān)閉不必要服務(wù)和端口���、為超級(jí)用戶或特權(quán)用戶設(shè)定復(fù)雜口令���、修改弱口令或空口令、禁止任何應(yīng)用程序以超級(jí)用戶身份運(yùn)行�����、設(shè)定系統(tǒng)日志和審計(jì)行為等。
安全管理中心:在火電廠生產(chǎn)控制大區(qū)中新建安全管理域�,部署日志審計(jì)與分析系統(tǒng)、賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)�、工控信息安全監(jiān)管與分析平臺(tái),實(shí)現(xiàn)全網(wǎng)安全設(shè)備運(yùn)行監(jiān)控����、安全日志收集與分析、安全事件集中處置���,全網(wǎng)系統(tǒng)賬戶的統(tǒng)一管理與操作審計(jì)�,全網(wǎng)資產(chǎn)無損掃描識(shí)別與管理�����,資產(chǎn)漏洞匹配與統(tǒng)計(jì)報(bào)告等安全集中管理能力����。在NCS系統(tǒng)安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)各部署一臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置,通過探針軟件和網(wǎng)管協(xié)議收集涉網(wǎng)設(shè)備的運(yùn)行日志�����、安全設(shè)備運(yùn)行日志��,涉網(wǎng)業(yè)務(wù)系統(tǒng)的運(yùn)行日志等,將告警信息經(jīng)縱向加密統(tǒng)一上傳至省調(diào)和地調(diào)的網(wǎng)絡(luò)安全管理平臺(tái)�����。
3���、安全檢查方案
建立生產(chǎn)監(jiān)控系統(tǒng)定期安全檢查和整改工作機(jī)制�,每年至少自行開展一次安全檢查�����,依據(jù)發(fā)現(xiàn)問題需制定整改計(jì)劃及措施��,并將整改情況上報(bào)主管單位和集團(tuán)公司����。等級(jí)保護(hù)定級(jí)為三級(jí)的系統(tǒng)�,除每年自行開展一次安全檢查外,還應(yīng)按照等級(jí)保護(hù)要求����,做好安全評(píng)估及整改工作。配合集團(tuán)公司每年抽檢�,并協(xié)助開展生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全專項(xiàng)檢查���,最終對(duì)檢查結(jié)果進(jìn)行通報(bào)。
4�����、應(yīng)急演練方案
協(xié)助制訂火電廠生產(chǎn)監(jiān)控系統(tǒng)安全應(yīng)急處置預(yù)案��,每年至少進(jìn)行一次演練����,確保發(fā)生安全事件時(shí)能夠有序處置、快速恢復(fù)��。當(dāng)生產(chǎn)控制大區(qū)內(nèi)生產(chǎn)監(jiān)控系統(tǒng)發(fā)生變化時(shí)���,及時(shí)組織對(duì)應(yīng)急處置預(yù)案進(jìn)行評(píng)估���,根據(jù)實(shí)際情況適時(shí)修改并進(jìn)行演練,形成快速反應(yīng)�����、快速處置能力�。確保當(dāng)生產(chǎn)控制大區(qū)出現(xiàn)安全事件���,尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時(shí)��,立即向上級(jí)電力調(diào)度機(jī)構(gòu)以及當(dāng)?shù)貒?guó)家能源局派出機(jī)構(gòu)��、當(dāng)?shù)卣鄳?yīng)部門及集團(tuán)公司報(bào)告����,同時(shí)按應(yīng)急處理預(yù)案采取安全應(yīng)急措施。處理安全事件過程中應(yīng)注意保護(hù)現(xiàn)場(chǎng)����,以便進(jìn)行調(diào)查取證和分析��。最后將制定安全防護(hù)事件通報(bào)制度�����、有關(guān)安全問題做好記錄��。定期向調(diào)度中心報(bào)送生產(chǎn)監(jiān)控系統(tǒng)安全防護(hù)情況�����,并及時(shí)上報(bào)生產(chǎn)監(jiān)控系統(tǒng)安全防護(hù)出現(xiàn)的異常現(xiàn)象�����。
5�、安全服務(wù)方案
針對(duì)主管、運(yùn)維等部門的“專業(yè)壁壘”等問題�����,天地和興為相關(guān)人員提供專業(yè)的培訓(xùn)��、咨詢�、運(yùn)維等服務(wù),涉及網(wǎng)絡(luò)安全培訓(xùn)����、安全防護(hù)標(biāo)準(zhǔn)培訓(xùn)、當(dāng)前攻防技術(shù)培訓(xùn)與應(yīng)用����、安全管理與規(guī)范操作日常運(yùn)維等內(nèi)容。協(xié)助企業(yè)全員提高專業(yè)知識(shí)與安全防范意識(shí)��。同時(shí)���,天地和興還提供7*24小時(shí)的專家級(jí)安全咨詢服務(wù)與運(yùn)維����、應(yīng)急保障。
6����、安全運(yùn)營(yíng)方案
安全運(yùn)營(yíng)的好壞直接影響工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的防護(hù)效能。安全運(yùn)營(yíng)涵蓋內(nèi)容較多���,包括安全運(yùn)營(yíng)中心建立�����、安全意識(shí)培訓(xùn)��、安全運(yùn)營(yíng)管理、安全體系管理��、安全運(yùn)維管理等多維度內(nèi)容����。針對(duì)企業(yè)實(shí)際情況進(jìn)行詳細(xì)方案設(shè)計(jì),規(guī)范火電企業(yè)的整體安全運(yùn)營(yíng)工作�����。
三、總結(jié)
火電廠生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)與管理是一個(gè)復(fù)雜的系統(tǒng)工程�,是保證火電廠安全生產(chǎn)、運(yùn)營(yíng)和管理所必須進(jìn)行的長(zhǎng)期工作�,其總體安全防護(hù)水平取決系統(tǒng)中最薄弱點(diǎn)的安全水平。本文所涉及方案依照國(guó)家等級(jí)保護(hù)要求����,充分考慮了火電廠生產(chǎn)監(jiān)控系統(tǒng)面臨的主要安全威脅,結(jié)合電力企業(yè)網(wǎng)絡(luò)安全建設(shè)與管理實(shí)際情況以及業(yè)務(wù)系統(tǒng)實(shí)際組網(wǎng)應(yīng)用情況����,側(cè)重在網(wǎng)絡(luò)層、主機(jī)層構(gòu)建縱深安全防護(hù)體系�����,落實(shí)國(guó)家等級(jí)保護(hù)“一個(gè)中心�����、三重防護(hù)”的安全理念與安全架構(gòu)要求���,提供包括安全服務(wù)��、安全建設(shè)�、安全運(yùn)營(yíng)在內(nèi)的全生命周期工控安全解決方案,為業(yè)務(wù)系統(tǒng)安全運(yùn)行保駕護(hù)航���。
