火電廠DCS系統(tǒng)網(wǎng)絡(luò)安全防護

張相東

摘要：火電廠 DCS 系統(tǒng)網(wǎng)絡(luò)安全相對薄弱，安全防護措施在傳統(tǒng)控制網(wǎng)絡(luò)中相對滯后，在日益嚴峻的工控信息安全形勢下，有效采取風(fēng)險消控措施，實保障機組的安全運行，有著極其重要的經(jīng)濟和社會意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全;DCS 系統(tǒng);防護

中圖分類號：TP301 ? ?文獻標識碼：A

文章編號：1009-3044（2019）15-0289-02

1 背景

目前國內(nèi)發(fā)電種類主要包括火電、水電、核電、風(fēng)電及其他綠色環(huán)保電力，其中火電在電力結(jié)構(gòu)中占比最高。伴隨著大容量、高參數(shù)火電機組的不斷投產(chǎn)和運行，其對自動化控制的要求也不斷提高，新型電廠控制系統(tǒng)已向數(shù)字化和智能化進行轉(zhuǎn)變。電廠控制系統(tǒng)不斷發(fā)展，各種通用的網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用于電廠控制系統(tǒng)，其安全問題日益突出。但是相比互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的熱度，電廠控制系統(tǒng)的網(wǎng)絡(luò)安全一直“備受冷落”。直到近年國外發(fā)生多起因黑客網(wǎng)絡(luò)攻擊導(dǎo)致電力系統(tǒng)癱瘓的事件，才引起人們對電廠控制系統(tǒng)信息安全的重視。

2010年，伊朗“震網(wǎng)病毒”事件震驚全球。2012年，兩座美國電廠遭USB病毒攻擊，感染了電廠控制系統(tǒng)，相關(guān)控制數(shù)據(jù)被竊取。2015年，烏克蘭電力系統(tǒng)遭到具有高度破壞性的惡意軟件攻擊，造成的大規(guī)模停電事故。2019年3月委內(nèi)瑞拉發(fā)生大規(guī)模停電事件。網(wǎng)絡(luò)攻擊水電站計算機系統(tǒng)中樞是造成大規(guī)模停電的重要原因。

2 信息安全威脅

隨著網(wǎng)絡(luò)和計算機技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合，工控系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議和硬件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，從而導(dǎo)致工控系統(tǒng)被網(wǎng)絡(luò)攻擊的風(fēng)險增大，保護工控系統(tǒng)信息安全刻不容緩。

火電廠工控系統(tǒng)面對如下威脅：

2.1 操作系統(tǒng)安全漏洞

Windows的操作系統(tǒng)現(xiàn)已成為工控機操作站的主流，每個型號的Windows系統(tǒng)自發(fā)布以來都在不停發(fā)布更新補丁，打過補丁的操作系統(tǒng)沒有經(jīng)過制造商測試，存在不安全運行的風(fēng)險。但是與之相矛盾的是，系統(tǒng)不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成操作站乃至整個控制網(wǎng)絡(luò)的癱瘓。

2.2 病毒與惡意代碼

基于工控軟件與殺毒軟件的兼容性，在操作站上通常不安裝殺毒軟件，即使是有防病毒產(chǎn)品，其基于病毒庫查殺的機制在工控領(lǐng)域使用也有局限性，主要是網(wǎng)絡(luò)的隔離性和保證系統(tǒng)的穩(wěn)定性導(dǎo)致病毒庫對新病毒的處理總是滯后的。在操作站上，即插即用的U盤等存儲設(shè)備濫用，更給這類病毒帶來的泛濫傳播的機會。

2.3 黑客入侵與應(yīng)用軟件安全漏洞

黑客入侵和工控應(yīng)用軟件的自身漏洞通常發(fā)生在遠程工控系統(tǒng)的應(yīng)用上，另外，對于分布式的大型的工控網(wǎng)，人們?yōu)榱丝刂票O(jiān)視方便，安裝無線網(wǎng)卡方式實現(xiàn)遠程診斷與分析，同時也不可避免地給黑客入侵帶來了方便之門，無線網(wǎng)絡(luò)技術(shù)使用帶來的網(wǎng)絡(luò)防護邊界模糊。

2.4 工藝數(shù)據(jù)安全威脅

電廠內(nèi)部生產(chǎn)管理數(shù)據(jù)、控制工藝數(shù)據(jù)等各類數(shù)據(jù)的安全問題，不管數(shù)據(jù)是通過大數(shù)據(jù)平臺存儲、還是分布在用戶、生產(chǎn)終端、設(shè)計服務(wù)器等多種設(shè)備上，海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。

2.5 人員管理安全威脅

隨著電廠網(wǎng)絡(luò)化和數(shù)字化發(fā)展，企業(yè)管理人員的無意識的行為可能破壞工業(yè)系統(tǒng)、傳播惡意軟件、忽略工作異常等，因為網(wǎng)絡(luò)的廣泛使用，這些挑戰(zhàn)的影響將會急劇放大;而針對人的釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此，人員管理的也面臨巨大安全挑戰(zhàn)。

3 電廠DCS控制系統(tǒng)安全防護

3.1 系統(tǒng)總體架構(gòu)

DCS系統(tǒng)為相對獨立的控制網(wǎng)絡(luò)，但隨著自動化程度的提高和不同系統(tǒng)間通訊的需求，仍存在各種第三方系統(tǒng)接口（SIS系統(tǒng)、汽機安全監(jiān)視系統(tǒng)、汽機振動監(jiān)測和故障診斷系統(tǒng)、電氣監(jiān)控管理系統(tǒng)、電力網(wǎng)絡(luò)微機監(jiān)控系統(tǒng)等）作為DCS網(wǎng)絡(luò)邊界。

3.2 邊界安全防護

工業(yè)控制網(wǎng)與互聯(lián)網(wǎng)相通可能會導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中的DCS控制設(shè)備暴露在公網(wǎng)中，而這些設(shè)備本身就存在安全漏洞，針對這些漏洞的攻擊手段（如病毒、木馬、攻擊腳本）很有可能會從互聯(lián)網(wǎng)、管理網(wǎng)等途徑入侵，傳統(tǒng)安全設(shè)備（如防火墻、IDS等）無法識別和防范攻擊，一旦發(fā)生攻擊必然會導(dǎo)致DCS控制設(shè)備異常，進而影響整個生產(chǎn)網(wǎng)絡(luò)的正常運行。因此，必須在DCS控制網(wǎng)絡(luò)中部署安全設(shè)備，自動檢測并防范攻擊，保證DCS控制網(wǎng)絡(luò)穩(wěn)定、安全運行。

DCS系統(tǒng)各自作為獨立系統(tǒng)，通過核心交換機進行VLAN劃分，與第三方系統(tǒng)（SIS、TSI、PLC、ECMS和NCS等）的通訊接口。OPC工作站到SIS系統(tǒng)之間，為保障自身的網(wǎng)絡(luò)邊界防護，ovation系統(tǒng)部署FW工業(yè)防火墻，實現(xiàn)對DCS控制網(wǎng)絡(luò)的縱向邊界深度安全防護，防范來自互聯(lián)網(wǎng)、SIS網(wǎng)的攻擊。在電廠控制網(wǎng)絡(luò)各個安全區(qū)域之間部署火墻，實現(xiàn)區(qū)域橫向邏輯隔離，阻止來自區(qū)域之間的越權(quán)訪問，病毒、蠕蟲惡意軟件擴散和入侵攻擊，保護各個區(qū)域控制系統(tǒng)安全運行。電廠內(nèi)同屬于安全I區(qū)的各機組監(jiān)控系統(tǒng)之間、機組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、同一機組的不同功能的監(jiān)控系統(tǒng)之間，根據(jù)需要可以采取一定強度的邏輯訪問控制措施，如防火墻、VLAN等。

3.3 補丁配置管理

現(xiàn)有DCS控制軟件自身的環(huán)境要求，DCS控制網(wǎng)絡(luò)內(nèi)上位機和服務(wù)器的操作系統(tǒng)相對比較固定，很少升級打補丁，以免對DCS生產(chǎn)運行造成影響。但是不打補丁系統(tǒng)會存在漏洞，易被利用攻擊，造成嚴重后果。因此操作系統(tǒng)補丁升級操作需要綜合考慮，進行嚴格的安全評估和測試驗證，在不影響生產(chǎn)運行的情況下進行補丁安裝。應(yīng)采用DCS廠商發(fā)布的經(jīng)過兼容性測試的補丁對系統(tǒng)進行補丁升級操作。

3.4 安全軟件管理

保證各個單元控制系統(tǒng)上位機操作系統(tǒng)只運行指定的工控軟件和配套的數(shù)據(jù)庫軟件，其他任何未經(jīng)允許的軟件不得在操作系統(tǒng)中啟動運行，并且控制開機自動啟動的軟件。各個單元控制系統(tǒng)上位機操作系統(tǒng)不能頻繁進行配置更新，確保上位機運行環(huán)境安全。

3.5 U口使用管理

保證各個單元指定的控制系統(tǒng)上位機、控制系統(tǒng)服務(wù)器的USB口可被監(jiān)控，并可控制USB口的使用權(quán)限。DCS控制網(wǎng)絡(luò)中通過U盤進行信息拷貝是常見的現(xiàn)象，由此也會帶來病毒木馬傳染的安全隱患，需對上位機、服務(wù)器的USB口進行安全管理，經(jīng)過認證合法的U盤才能被識別使用，并能夠?qū)χ付ǖ拿舾形募M行保護，限制文件隨意拷貝到U盤中。

3.6 DCS主機安全加固

生產(chǎn)控制大區(qū)是電力企業(yè)重點保護的區(qū)域，在其控制區(qū)域內(nèi)各個關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器，以及上位機、操作工作站等，通過部署DCS主機防護軟件及設(shè)備（DCS主機防護軟件、專用安全U盤、終端準入管控系統(tǒng)等）安全加固措施，來提升主機的防御能力。防護方式應(yīng)該包括如下內(nèi)容：

控制區(qū)的主機應(yīng)該通過安裝針對電力工業(yè)控制系統(tǒng)開發(fā)的工業(yè)主機安全防護軟件強化主機的安全能力，包括主機軟件和進程監(jiān)控、網(wǎng)絡(luò)端口和外設(shè)端口管理。生產(chǎn)控制區(qū)主機的加固技術(shù)應(yīng)該避免與管理信息大區(qū)的技術(shù)相同，通過異構(gòu)方式提升整體安全的防護能力。

火電廠生產(chǎn)控制大區(qū)的主機應(yīng)該只能運行與電力生產(chǎn)作業(yè)相關(guān)的軟件應(yīng)用程序（例如DCS），其他與電力生產(chǎn)無關(guān)的軟件或應(yīng)用程序需要禁止安裝?？刂茀^(qū)內(nèi)的主機應(yīng)該禁止選用帶有無線功能主機，以保障控制區(qū)內(nèi)的網(wǎng)絡(luò)接入設(shè)備可控。

通過對主機進行相關(guān)的配置修改，提高主機的防護能力，包括對業(yè)務(wù)應(yīng)用不使用的服務(wù)端口進行關(guān)閉配置;對操作系統(tǒng)的登陸設(shè)置復(fù)雜度較高密碼;對組態(tài)軟件修改默認用戶名密碼等配置和操作，每次配置的變更要經(jīng)過測試。

3.7 數(shù)據(jù)安全和備份恢復(fù)

在生產(chǎn)系統(tǒng)內(nèi)部部署安全U盤，專網(wǎng)專用，數(shù)據(jù)加密。安全U盤分為普通區(qū)和安全區(qū)，不同使用環(huán)境配置不同的分區(qū)。普通區(qū)在未安裝DCS主機防護軟件的計算機上可讀取;安全分區(qū)僅在安裝有防護軟件的主機上，同時開放相應(yīng)策略后才可看到和正常使用，實現(xiàn)“專區(qū)專用”。對安全分區(qū)進行加密，采用高強度商密算法，有效防止暴力破解導(dǎo)致的數(shù)據(jù)泄露。

安全U盤結(jié)合防護軟件移動存儲介質(zhì)管理功能以及自身安全特性，可有效防御木馬、病毒等進入工控主機，保證主機安全。

4 結(jié)束語

大機組火電廠在電網(wǎng)中的安全穩(wěn)定性直接關(guān)乎供電的可靠性，電廠控制系統(tǒng)的信息安全也越發(fā)重要。處理好電廠控制系統(tǒng)信息安全，不僅需要引起電廠的重視，還關(guān)系到電廠所在地區(qū)和國家的安全。如何保證電廠控制系統(tǒng)的信息安全，已經(jīng)成為電廠控制系統(tǒng)的一個研究熱點。近些年來，隨著火電機組容量不斷上升，控制系統(tǒng)的整體規(guī)模正在逐步擴大，與之有關(guān)的安全等級也應(yīng)全面提升。本文通過介紹電廠DCS網(wǎng)絡(luò)防護的一些注意事項，希望給同行在網(wǎng)絡(luò)防護中提供幫助。

參考文獻：

[1]國能安全[2015]36號，電力監(jiān)控系統(tǒng)安全防護總體方案.

[2]工業(yè)和信息化部〔2016〕338號，工業(yè)控制系統(tǒng)信息安全防護指南.

[3]陳榮 安全防護在電廠DCS系統(tǒng)網(wǎng)絡(luò)中的應(yīng)用[C].2017年江西省電機工程學(xué)會年會論文集.

【通聯(lián)編輯：梁書】