火力发电厂工控系统网络安全解决方案 - 对比分析

发电厂网络概述

火电厂网络架构中涉及的系统主要包括：火电机组分散控制系统DCS、火电机组辅机控制系统DCS\PLC、火电厂级信息监控系统、调速系统和自动发电控制功能AGC、励磁系统和自动电压控制功能AVC、梯级调度监控系统、网控系统、继电保护、故障录波、电能量采集装置、电力市场报价终端等系统。

电力行业在安全方面是考虑地比较早的，形成了“安全分区、网络专用、横向隔离、纵向认证”的总体原则。

区域一般分为：生产控制大区（控制区+非控制区），管理信息大区。
也有情况下，电厂会将区域分为4个区：实时控制区(安全I区)、非控制生产区(安全II区)、生产管理区(安全III区)、管理信息区(安全IV区)。
《电力二次系统安全防护总体方案》将火电厂的网络拓扑绘制如下：

安全现状

火电厂在主控和辅控系统中，仍然以国外设备为主，主要有 艾默生、ABB、西门子、施耐德等品牌，国产品牌也有一些机组的应用，主要以国电智深、和利时、新华为主。

火力发电厂工控系统存在以下安全隐患：

1. MIS与厂级SIS网络互联，控制网络面临来自上层信息网的潜在威胁。
2. 监控层各现场车间与 SIS 层通讯多采用 OPC 协议，按照《电力二次系统安全防护总体方案》要求，需要配置防火墙做逻辑隔离，然而目前很多电厂采用的防火墙不支持OPC协议的动态端口机制，安全策略无法配置，导致防火墙形同虚设。
3. 控制网络内部的操作系统大多采用Windows操作系统，长期不更新导致存在大量漏洞，也无相关人员维护。
4. 厂内对第三方集成商或者内部仪表工程师的笔记本电脑、U盘的接入没有相应的技术措施和管理措施。可能导致病毒由此进入系统中。
5. 一些控制设备存在较严重的漏洞，一旦被攻击者发现，就有可能被其利用，在未授权的情况下访问或破坏控制系统。
6. 出现系统故障后，不清楚网络状况， 不能判断是否有网络入侵行为 、病毒、业务访问异常等问题， 不能定位安全问题 。

相关标准规范

• 《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）
• 《GB/T 22239-2008信息安全等级保护基本要求》
• 《电力二次系统安全防护总体方案》(电监安全[2006]34号)

各厂商解决方案

匡恩

针对火力发电工控系统安全现状，匡恩网络做了深入调查和研究，提供了全生命周期的安全解决方案。

匡恩网络结合火电站运营的真实需求和潜在需求而总结的成果，经过实践证明，该解决方案能为火力发电行业工控系统提供完整的安全防御体系。
1. 目标系统的威胁管理，帮助客户了解网络整体安全威胁和风险，提供全网安全防护建议，进而帮助用户构建合理有效的工控系统，对火力发电行业工控系统网络进行安全检查、漏洞分析和风险评估。
2. 目标系统的监控审计，通过特定的安全策略，快速识别出火力发电行业工控系统网络非法操作、异常事件、外部攻击，并实时发出报警。
3. 目标系统的智能保护，帮助用户有效提高工控网络整体安全系数，保证生产的安全有序进行，降低工控网络攻击带来的各种损失。对工控专有协议进行深度分析，层层拆解数据包、深入剖析数据包结构与内容，确保数据包的合法性，从而实现工控网络的深度防护。
4. 目标系统的数采隔离，对数采系统所采集的数据进行深度分析，确保数据合法性，一旦发现非法行为，将进行记录隔离
5. 模拟火力发电行业工控系统，通过不断的在系统上进行深入的漏洞挖掘、攻击研究，提供工控网络安全标准制定的仿真分析环境、标准草案的离线验证环境、事故和漏洞根源分析试验环境、保护及补偿性措施验证环境，完成攻击效果展示及安全防护方案验证。
6. 工控安全服务培训为火力发电行业提供各类工控网络安全相关的教育培训服务。培训范围包括：工控网络知识、信息安全知识、工控网络安全知识、工控网络安全问题解决对策和工控网络、安全前沿研究成果。

涉及产品：电力专用单向隔离网闸、数采隔离、工控网络审计系统、工控主机卫士、工业防火墙（智能IAD）、安全监管平台。

威努特

1. 在安全I区所属的一号机组、二号机组、辅助车间控制网与安全II区的SIS系统网络边界部署工业防火墙；
2. 在安全I区内一号机组、二号机组与共同使用中央空调系统、压缩空气系统、凝结水系统、脱硫公用系统、电气公用系统的公用系统网络边界部署工业防火墙，保证安全I区内一号机组、二号机组控制系统免受来自于公用系统的安全风险；
3. 在安全I区的操作员站、工程师站、历史服务器上安装工控主机卫士，只允许白名单列表中的程序执行，避免非授权访问，同时实施移动存储介质安全管控，保证主机间数据交换安全；
4. 在一号、二号机组控制系统交换机上旁路部署监测审计平台，对控制系统进行监控、告警、审计，及时发现安全问题；

5. 旁路部署统一安全管理平台，实现主辅网安全系统的统一管理和日志汇总分析。

   涉及产品：工业防火墙、工控主机卫士、监测审计平台、统一安全管理平台、入侵监测系统。    
   

启明星辰

1. 可实现对工程师站、操作员站的USB、光驱、无线等接口进行严格外设控制。
2. 实现对工控网络设备安全配置进行审计与完善。
3. 实现了阻断来自管理网的非法行为。实现了对DCS主控和辅控的非法行为的访问控制。尤其是基于OPC的访问控制。
4. 对所有设备操作的日志进行记录可供日后溯源。

5. 实时监测针对电力监控系统的攻击入侵行为及异常行为。

   涉及产品：工业防火墙、工控主机卫士、工控流量监测与审计系统、日志审计系统、工控异常检测系统。  
   

以上方案的不足

1. 由于控制网络面临来自上层信息网的潜在威胁，但以上厂商的方案中没有涉及发电厂信息管理大区的安全防护或防护不足，这与匡恩和威努特欠缺传统信息安全经验也有很大关系。
2. 威努特和启明的方案中，在SIS层与管理信息大区连通处，缺少支持OPC动态端口特性的强逻辑隔离设备，存在由上而下的攻击路径。
3. 启明的方案中，对《指南》中提到的“在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。”没有对应防护，建议配置合适的工业防火墙类设备。
4. 以上厂商，对《指南》中提到的“做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系统配置清单，定期进行配置审计。”没有对应措施，建议配置远程安全评估工具，对网络设备、工业主机进行安全评估、基线配置核查。
5. 以上厂商，对《指南》中提到的“密切关注重大工控安全漏洞。”没有对应措施，建议配置远程漏扫或本地漏洞，在系统停车或者合适的时机，进行漏洞发现和漏洞管理。
6. …..

LZ的方案（标准版、土豪版）

且听下回分解