火电机组分散控制系统网络安全加固策略研究

火电机组分散控制系统网络安全加固策略研究

沈鸿海

河北蔚州能源综合开发有限公司 河北张家口 063000

摘  要：分散控制系统作为火电机组正常运转的核心，有着无可替代的作用，网络安全意义重大。本文通过对分散控制系统网络安全加固技术的分析，构建了以工业安全管理平台为中心的安全计算环境、安全区域边界、安全通信网络三重纵深防御体系，同时满足控制过程中对实时性、可靠性和可用性的要求。

关键词：分散控制系统；网络安全；加固；自主可控

中图分类号：TP273

1

0引言

分散控制系统（简称“DCS系统”）及相关衍生产品已经在全球电力行业中获得广泛应用。随着工业化与信息化的深度融合，大量的工厂设备和生产数据正在不断连接汇聚，原先封闭隔离的控制系统逐渐开放互联。在电力生产跨越性发展的同时，也带来了严峻的网络安全问题。与信息系统不同的是，工业控制生产环境对信息传递的实时性要求非常高，数据的延误可能导致各类生产事故。

国家信息安全漏洞共享平台（CNVD）仅2021年就公布了各类网络安全漏洞26562个，其中工控漏洞达到1.2%，涉及欧姆龙、西门子等多家国际主流控制系统产品。从漏洞的影响目标来看，86%的漏洞是与工控业务相关的，直接影响生产系统的上位机、DPU以及现场控制设备正常运转等；从漏洞的危害程度来看，超过50%的漏洞一旦被利用将导致系统失去监控。工业应用场景复杂多样，传统的信息安全防护手段难以满足。

1 背景

目前国内DCS系统虽然已经开始逐步推进自主可控改造，但艾默生、ABB、福克斯波罗等进口品牌仍占据较大市场，设备的检修维护、升级改造受制于系统厂商，并且大多数厂商发布了自主加固风险声明，将不对未使用原厂网络设备导致的安全事件负责。过度依赖于后台厂家最终导致“卡脖子”的问题，特别是网络安全加固的进程中往往畏首畏尾，因此DCS系统的总体安全防护率普遍较低。

对于目前DCS系统网络安全加固存在的难度和安全风险，关键点在于完整透明的掌握整个系统的业务流程，以及数据交互过程。在此基础上，通过对现有工业控制业务与数据安全的深度理解，结合信息安全防护技术与工业控制技术二者的深度融合，才能从信息安全加业务安全这两个方面，来保障工业控制系统的整体安全。因此，工控系统的内生安全，与其安全产品之间如何配合解决安全问题，提升从系统本身健壮性上来抵抗外部攻击的能力，则更是需要工控系统与安全产品之间的深度业务融合。

4火电机组分散控制系统网络安全加固策略

DCS系统网络安全加固体系的建设总体以网络安全等级保护框架为基础，建议采用“统一规划，统一设计，分步实施”的策略，符合条件的应确保网络安全技术措施与项目同步规划、同步建设、同步使用。除考虑系统的安全分区、网络专用、横向隔离等基本要求，安全防护设备需与现场DCS控制系统兼容，避免影响现场DCS系统运行的实时性及稳定性。

第一阶段主要目标是建立安全专网，对安全设备进行统一管控，提高各设备的协同防御能力，以满足构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系的需求，同时为态势感知提供基础数据采集支撑。部署安全防护设备包括单向隔离网闸，工业日志审计系统以及工业主机防护系统,对工控系统上位机进行主机加固同时采用适用于工业控制系统的可信计算和白名单技术对工控系统上位机进行安全防护，实现计算环境的安全可信，免疫未知恶意代码破坏，应对高级别的恶意攻击。

第二阶段主要提升DCS系统整体网络安全能力及满足等级保护2.0三级系统的合规性要求，形成“一中心三防护”的纵深防御体系，在第一阶段建设基础上，同时实现厂站DCS系统内部各区域间的逻辑隔离以及对DCS网络流量数据的实时监测。根据日常安全运行工作的业务需要，分析、总结和抽象基于安全运营业务需求的各类安全场景和威胁感知规则，在厂级实现入侵感知、异常流量感知、异常操作指令感知、设备运行状态监控等多场景安全信息采集感知，同时日志审计系统可作为态势感知探针设备，同时为态势感知系统提供全方位的数据支撑，在厂级实现对工业主机的安全信息采集感知，支持以标准协议接口或定制化的接口向集团级以及中心级的态势感知平台提供基础数据支撑。

图1 火电机组分散控制系统网络安全加固结构

构建基于主动防护的纵深防御体系。根据厂站DCS系统自身特点，从边界隔离及访问控制、防病毒和恶意代码防范、主机加固、入侵检测、综合审计、外设管控、网络安全集中监控以及业务系统和安全系统的双因素认证和身份鉴别等方面进行综合考虑，实现对系统中存在的病毒危害、非法操作、异常事件和外部攻击等威胁的有效防护，并对网络内的安全设备、网络设备及终端的安全策略进行集中配置管理和安全事件集中监视处置，为DCS系统构建在安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络三重纵深防御体系，同时满足DCS控制系统对实时性、可靠性和可用性的要求。

基于可信计算技术的内生安全体系

。构建基于在可信计算安全策略的指导下，针对工业控制网络的实时控制行为和业务流程作业，实现贯穿设计、运行、服务全生命周期的防御、检测、响应、预测的主动安全防御循环技术体系（TDDRP）在传统信息防护手段基础上，设计并应用了适用于DCS控制场景的可信计算技术，通过控制系统可信计算体系，增强控制系统的内生安全防护能力。

控制业务与安全一体化的行为监测感知。在实际的DCS控制环境中，通常缺乏针对工业控制系统的业务行为的安全监测及配置变更管理，导致安全事故的分析难以进行。目前国内工业控制系统，在应用系统层面的误操作、违规操作或故意的破坏性操作成为面临的主要安全风险。因此，对控制系统网络内的关键业务行为、特定控制协议内容的真实性、完整性进行监控、管理与审计是非常必要的。一方面，网络安全防护体系能够对控制系统关键业务行为如控制器下装、上位机操作等行为进行实时检测，建立通信行为基线，可进行违反基线和基于安全数据和控制系统数据关联审计的异常行为检测，另一方面，可基于业务关键资产的设备场景模型识别操作人员的误操作。可通过基于形成对控制逻辑和控制网络数据有效监管和防护的一体化监测方案，实现安全中有控制、控制中有安全的突破性解决方案。

基于协同防御的整体安全态势感知能力。紧密围绕对各类系统和安全设备的日志、网络流量分析结果等数据的实时监测，建立基于安全事件处理引擎的分析能力，根据日常安全运行工作的业务需要，分析、总结和抽象基于安全运营业务需求的各类安全场景和威胁感知规则。实现如入侵感知、异常流量感知、异常操作指令感知、设备运行状态监控等多场景安全信息分析，进行整体安全关联分析，实现对来自外部和内部安全攻击的全面监控，让生产技术管理人员把握网络信息整体安全态势，实现不同部门及业务间的有效的协同防御。

5结束语

本文结合工控系统网络安全现状和火电机组分散控制系统网络安全需求，初步构建了以等保2.0“一个中心，三重防护”为基础的主动防护、可信计算技术和态势感知框架策略，下一步需结合DCS系统网络的内在特性和行业特点，重点研究抗APT攻击、数据加密等应用场景。

参考文献:

[1] 李俊. 网络安全加固工作的分析与探讨[J]. 网络安全技术与应用,2020(4).

[2] 曾卫东, 杨新民, 崔逸群. 火电厂工控系统网络安全风险及防护[J]. 热力发电,2021,50(2).

[3] 张大松, 姜洪朝, 吴云峰. 火电工控系统网络安全防护方案设计[J]. 信息技术与网络安全,2020,39(3).

[4] 李伟. 电力监控系统网络安全管理平台设计[J].电子世界,2020(22).

1