發(fā)電廠分散控制系統(tǒng)安全加固研究與實踐

◆俞愛榮 林賢良 陳金虎

?

發(fā)電廠分散控制系統(tǒng)安全加固研究與實踐

◆俞愛榮1林賢良1陳金虎2

（1.浙江浙能長興天然氣熱電有限公司 浙江 313100；2.西門子電站自動化有限公司 江蘇 211100）

隨著信息技術的發(fā)展，特別是工業(yè)4.0的提出[1]，工業(yè)化和信息化深度融合，電力行業(yè)的信息安全已成為國家信息安全的重要組成部分。同時國內外信息安全形勢日趨嚴峻，針對工業(yè)控制系統(tǒng)展開地有組織、有預謀的網絡攻擊時有發(fā)生。本文通過對某火力發(fā)電廠分散控制系統(tǒng)防火墻改造項目的分析來討論電力行業(yè)工業(yè)控制系統(tǒng)安全加固工作的開展，為國家關鍵基礎設施工業(yè)控制系統(tǒng)信息安全的發(fā)展提供有價值的參考依據(jù)。案例電廠積極應對國內電力行業(yè)中工業(yè)控制系統(tǒng)國外產品占絕對比例帶來的安全問題和潛在風險，使國產工業(yè)防火墻技術真正在工控系統(tǒng)中落地，減少對國外進口設備的依賴，逐步建立符合中國國情的電廠工業(yè)控制系統(tǒng)安全防護體系。

分散控制系統(tǒng)；安全加固；工業(yè)防火墻

0 引言

在信息技術和互聯(lián)網高速發(fā)展的21世紀，信息安全正深入各個領域，工業(yè)基礎設施已成為信息安全的新戰(zhàn)場。工業(yè)控制系統(tǒng)作為國家關鍵基礎設施的重要組成部分，直接關系到國家的戰(zhàn)略安全和政治穩(wěn)定。電力行業(yè)發(fā)展較早，建設較好，但依然存在機組核心部件及控制系統(tǒng)主要由外國廠商提供和運維的基本現(xiàn)狀。同時近年來，帶有政治色彩并對被攻擊對象造成特別嚴重后果的網絡攻擊越來越頻繁：2010年“震網” 病毒控制伊朗核電站離心機轉速導致離心機損壞；2016年BlackEnergy3惡意軟件感染并控制烏克蘭變電站造成大面積停電。在此大環(huán)境下，國家關鍵基礎設施行業(yè)從企業(yè)層面、行業(yè)層面、部門層面、國家層面上研究和實踐工業(yè)控制系統(tǒng)安全運行以推動建立安全防護體系顯得很重要也很迫切。

1 相關概念

（1）工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)[2]簡稱工控系統(tǒng)，是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件共同構成的確保工業(yè)基礎設施自動化運行、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、可編程控制器、遠程終端、人機交互界面設備，以及確保各組件通信的接口技術。

（2）分散控制系統(tǒng)

分散控制系統(tǒng)[3]簡稱DCS (Distributed Control System)，是由過程控制級和過程監(jiān)控級組成的以通信網絡為紐帶的多計算機系統(tǒng)，綜合了計算機、通信、顯示和控制等4C技術，其基本思想是分散控制、集中操作、分級管理、配置靈活、組態(tài)方便。

（3）安全模塊S612

S612屬于西門子工業(yè)部SCALANCE S通信產品，用于VPN(Virtual Private Network)通道安全防護。案例電廠基建期安裝此模塊的目的是便于西門子工程師遠程診斷。

（4）工業(yè)防火墻

工控防火墻與傳統(tǒng)防火墻相比，支持Modbus TCP、OPC (OLE for Process Control)、IEC 60870-5-104、IEC 61850、Siemens S7等多種工業(yè)協(xié)議。且工控防火墻具備工控協(xié)議指令級“4S”深度防護技術和業(yè)務連續(xù)性保障技術，支持多種訪問控制規(guī)則、協(xié)議深度分析、VPN、流量控制、安全審計等安全防護功能，具備Dos、ARP(Address Resolution Protocol)攻擊防護和自身訪問控制功能，可有效保障自身和工控網絡的雙重安全。

2 項目背景

本文對某燃機發(fā)電廠分散控制系統(tǒng)安全加固[4]研究與實踐進行全過程的分析，案例電廠采用西門子SGT5-4000F(4)型燃氣輪發(fā)電機組，分散控制系統(tǒng)采用SPPA-T3000，系統(tǒng)運行物理環(huán)境包括網絡設備、網絡安全設備、服務器、接口機、操作員站、打印機均由機組廠家全套提供。案例電廠分散控制系統(tǒng)由#1機組、#2機組、公用部分、化水部分四個相對獨立的子系統(tǒng)組成。分散控制系統(tǒng)架構如圖1所示。

3 安全加固實踐依據(jù)

2016年，案例電廠完成SIS(Supervisory Information System)系統(tǒng)改造后發(fā)現(xiàn)#2機組SIS系統(tǒng)測點頻繁出現(xiàn)斷點故障，經信息專業(yè)和儀控專業(yè)逐步排查定位故障節(jié)點#2機組分散控制系統(tǒng)接口機出口處安全模塊S612，安裝位置在工程師站#2機組屏柜。在對S612進行消缺過程中，信息安全專職提出根據(jù)《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》條款4.1.3系統(tǒng)間安全防護（發(fā)電廠內同屬于安全區(qū)I 的各機組監(jiān)控系統(tǒng)之間、機組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、同一機組的不同功能的監(jiān)控系統(tǒng)之間，尤其是機組監(jiān)控系統(tǒng)與輸變電部分控制系統(tǒng)之間，根據(jù)需要可以采取一定強度的邏輯訪問控制措施，如防火墻、VLAN 等）和《工業(yè)控制系統(tǒng)信息安全防護指南》相關條款要求，建議拆除S612并在單元機組之間部署工業(yè)級防火墻[5]。

圖1 分散控制系統(tǒng)架構圖

4 安全加固實現(xiàn)過程

4.1 機組運行方式

案例電廠是以天然氣為發(fā)電原料的調峰機組，全年利用小時數(shù)比較低，在一年中的大數(shù)時間處于調停狀態(tài)，且兩臺機組同時上網的概率小，這為安全加固前期調研、基礎收據(jù)收集、改造方式選擇、改造效果試驗對比提供了相對寬松的外部條件。

4.2 實現(xiàn)保障

案例電廠從社會效益和安全效益兩方面分析本次分散控制系統(tǒng)安全加固的必要性后明確目標和周期，從案例電廠最高層面成立專項工作組，保障安全加固工作的技術力量和資金投入。

4.3 系統(tǒng)學習

鑒于案例電廠分散控制系統(tǒng)四個子系統(tǒng)之間相對獨立、系統(tǒng)架構一致。本章節(jié)所有內容以案例電廠#2機組分散控制系統(tǒng)為例來對安全加固實現(xiàn)過程進行詳細地記錄和分析。

案例電廠分散控制系統(tǒng)的硬件設備和軟件均采用進口產品，相關專業(yè)自身對系統(tǒng)本身只停留在簡單使用層面。針對硬件升級、補丁更新、漏洞掃描修復、系統(tǒng)查毒殺毒等常規(guī)安全行為不能自行開展；對系統(tǒng)內部數(shù)據(jù)包、數(shù)據(jù)流向、通信協(xié)議、通訊端口等數(shù)據(jù)安全不能有效控制，系統(tǒng)涉及的維護、升級、改造都依托設備和系統(tǒng)廠家。

依據(jù)重要信息系統(tǒng)建設和改造“三同步”0原則，保證分散控制系統(tǒng)的持續(xù)運行和安全性，必須要求對系統(tǒng)有一個全面深入地認識。案例電廠通過三個方面工作實現(xiàn)對系統(tǒng)的全新認識：

（1）邀請廠家系統(tǒng)工程師、網絡工程師到現(xiàn)場進行技術指導，組織專業(yè)對分散控制系統(tǒng)網絡拓撲、硬件功能、策略配置、軟件運行進行全面學習;

（2）通過電話技術支持咨詢西門子能源部、發(fā)電部、工業(yè)部工程師，從一個更加廣義的角度尋找工控系統(tǒng)的有效解決方案;

（3）在此基礎上，案例電廠組織技術骨干模擬機組運行環(huán)境，利用外部條件優(yōu)勢開展不同機組間的橫向對比測試和同一機組的縱向對比測試。

4.4 設備部署

通過對現(xiàn)場的實地勘察，工程師站溫度和濕度能夠控制在B級機房標準，機柜空間緊湊，案例電廠選用機架式工業(yè)防火墻，機架式是網絡安全設備常見的一種安裝方式，通過螺絲固定在機柜上，設備使用和維護方便。

案例電廠工業(yè)防火墻部署模式采用重要系統(tǒng)、設備的隔離與防護[7]。工控防火墻以透明或路由模式部署于控制網絡與控制設備之間，實現(xiàn)對重要設備的安全防護。啟用應用層安全防護策略，通過“四維一體”安全防護技術以及“白名單”機制，對來自控制網絡的工控指令“數(shù)據(jù)完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”進行深度解析和過濾，及時發(fā)現(xiàn)可疑指令和惡意數(shù)據(jù)。啟用網絡層安全防護策略，對PLC等控制設備進行訪問控制，只允許有權限的終端對其進行修改或訪問。同時結合“工控業(yè)務連續(xù)性保障方法”技術在不影響工控業(yè)務連續(xù)性的基礎上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù)，保障關鍵設備運行安全。

4.5 系統(tǒng)原接線和數(shù)據(jù)流

（1）系統(tǒng)接線：SIEMENS OPC接口機電口P2上聯(lián)進口防火墻模塊S612電口P2口，S612電口P1口上聯(lián)交換機模塊X108電口P7口，X108電口P1口上聯(lián)SIS系統(tǒng)。

（2）系統(tǒng)數(shù)據(jù)流：源數(shù)據(jù)由SIEMENS OPC Server經SIEMENS OPC Interface、進口防火墻模塊S612、模塊X108、傳統(tǒng)防火墻到達SIS OPC Client。OPC Server到OPC Client之間采用MatrikonOPC Tunneller代替DCOM進行通信，以解決DCOM[8]使用眾多端口和合理配置防火墻困難大的問題。機組DCS原接線和數(shù)據(jù)流如圖2所示。

4.6 系統(tǒng)測試階段接線和數(shù)據(jù)流

（1）系統(tǒng)接線：SIEMENS OPC接口機電口P2上聯(lián)交換機模塊X108電口P7口，X108電口P1口上聯(lián)SIS系統(tǒng)。

圖2 機組DCS原接線和數(shù)據(jù)流圖

（2）系統(tǒng)數(shù)據(jù)流：數(shù)據(jù)源由SIEMENS OPC Server經SIEMENS OPC Interface、模塊X108、傳統(tǒng)防火墻到達SIS OPC Client。OPC Server到OPC Client之間采用DCOM進行通信。機組DCS測試階段接線和數(shù)據(jù)流如圖3所示。

4.7 系統(tǒng)加固后接線和數(shù)據(jù)流

（1）SIEMENS OPC Server上聯(lián)交換機模塊X202電口P2口，X202電口P3口上聯(lián)工業(yè)防火墻電口，防火墻電口上聯(lián)SIEMENS OPC接口機電口P2，OPC接口機電口P2上聯(lián)交換機模塊X108電口P7口，X108電口P1口上聯(lián)SIS系統(tǒng)。

（2）數(shù)據(jù)源由SIEMENS OPC Server經模塊X202、工業(yè)防火墻、SIEMENS OPC Interface、模塊X108、傳統(tǒng)防火墻到達SIS OPC Client。OPC Server到OPC Client之間采用DCOM進行通信。機組DCS加固后接線和數(shù)據(jù)流如圖4所示。

5 成果

案例電廠積極應對國內電力行業(yè)中工業(yè)控制系統(tǒng)國外產品占絕對比例帶來的安全問題和潛在風險，使工業(yè)防火墻技術真正在工控系統(tǒng)中落地，以點帶面找準定位，從被動防御逐步轉化為主動防護，建立并不斷完善電廠工業(yè)控制系統(tǒng)安全防護體系。更重要的是為同情況機組和新建機組工控系統(tǒng)的選型、建設、安全防護提供了有實際意義的參考。

就案例電廠本次分散控制系統(tǒng)安全加固工作從短期來看，存在一定的技術困難并且缺乏資金投入，但從長期來看工控系統(tǒng)防火墻國產化和工業(yè)級防護是必然趨勢，同時也為后期的設備更新、修理、保養(yǎng)、維護及安全性、合規(guī)性帶來優(yōu)勢。

案例電廠通過工業(yè)防火墻的部署，利用其具備的工控協(xié)議指令級“四維一體”深度防護技術，同時結合工控業(yè)務連續(xù)性保障技術和“白名單”機制，可對工業(yè)控制網絡“協(xié)議完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”進行深度解析，在不影響工控業(yè)務連續(xù)性的基礎上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù)，保障分散控制系統(tǒng)安全、可靠運行[9]。

圖4 機組DCS加固后接線和數(shù)據(jù)流圖

6 結束語

本次案例電廠的防護體系設計，在一定程度上規(guī)避了大量的工控網絡內部的非法訪問，有效隔離了分散控制系統(tǒng)不同機組單元之間和與生產區(qū)其他系統(tǒng)之間的訪問，保障了分散控制系統(tǒng)運行的可靠性、穩(wěn)定性及安全性。

然而，工控系統(tǒng)的穩(wěn)定性及安全性，僅僅通過防火墻的安全防護顯然是不夠的，正如傳統(tǒng)網絡當中防火墻所起的作用一樣，其防護的本質還是通過端口、協(xié)議進行識別和防護，一旦病毒或者攻擊通過正常的端口或者使用正常的協(xié)議進行傳播，工控防火墻的防護效果就會被大打折扣，此時需要通過其他防護手段，如主機加固、工業(yè)流量審計等手段進行全方位、立體化、可視化進行統(tǒng)一綜合整治，讓病毒及攻擊無處藏身，因此工控系統(tǒng)如分散控制系統(tǒng)等防護的工作依然任重而道遠。

[1][德]烏爾里?！ど吕?工業(yè)4.0：即將來襲的第四次工業(yè)革命[M].機械工業(yè)出版社，2014.

[2]工業(yè)控制系統(tǒng)基本概念簡述[J].保密科學技術，2014.

[3]聞躍軍.分散控制系統(tǒng)DCS在電氣控制系統(tǒng)中的應用[J].今日科苑，2008.

[4]唐文.基于縱深防御理念的工業(yè)自動化控制系統(tǒng)信息安全[J].中國儀器儀表，2013.

[5]姬勝凱.協(xié)議安全測試在工業(yè)DCS系統(tǒng)測評中的應用[J].微型機與應用，2017.

[6]中華人民共和國網絡安全法：附草案說明[M].法律出版社，2016.

[7]鮑金鵬.一種工業(yè)控制系統(tǒng)應用層數(shù)據(jù)安全防護方法[J].現(xiàn)代電子技術，2016.

[8]蘇岳龍.中國標準化論壇[C]，2015.

[9]李興東.基于OPC技術的DCS系統(tǒng)數(shù)據(jù)實時集成方法研究[J].科技與創(chuàng)新，2014.