臺山電廠DCS分散控制系統安全防護提升研究方案

葉中華

[摘? ? 要]為了落實國家發改委[2014]14號令《DCS系統安全防護規定》和國家能源局[2015]36號文《DCS系統安全防護總體方案》的各項要求，本著對比事實、尋找差距，總體規劃、分步實施，文章抓住信息安全最薄弱環節和防護的重點環節對控制系統進行技術和管理升級改造。

[關鍵詞]DCS;控制系統;網絡安全;安全防護

[中圖分類號]TM76 [文獻標志碼]A [文章編號]2095–6487（2021）01–00–04

Research plan for Improving Safety Protection of DCS Distributed

Control System in Taishan Power Plant

Ye Zhong-hua

[Abstract]According to the "Guiding Opinions of the State Council on Deepening the Development of Manufacturing and Internet Integration" （Guo Fa [2016] No. 28）， to ensure the information security of industrial control systems in industrial enterprises， and to formulate "Guidelines for Information Security Protection of Industrial Control Systems"， Industry and Information The Ministry of Chemistry guides and manages the industrial control safety protection and guarantee work of industrial enterprises nationwide. And to implement the requirements of the National Development and Reform Commission [2014] No. 14 "DCS System Safety Protection Regulations" and the National Energy Administration [2015] No. 36 "DCS System Security Protection Overall Plan"， based on the comparison of facts， looking for gaps， the overall plan， Implement step by step， grasp the weakest link of information security and the key link of protection to upgrade the technology and management of the control system.

[Keywords]DCS; control system; network security; security protection

隨著計算機技術網絡技術的發展，特別是互聯網及社會公共網絡平臺的快速發展，在“兩化”融合的行業發展需求下，為了提高生產運行、生產管理效率，國內眾多行業大力推進工業控制系統自身的集成化，集中化管理。系統的互聯互通性逐步加強，與辦公網、互聯網也存在千絲萬縷的聯系。但是工業控制系統建設更多的是考慮各自系統的可用性，并沒有考慮系統之間互聯互通的安全風險和防護建設，造成國際國內針對工業控制系統的攻擊事件層出不窮，如伊朗發生的“震網”病毒事件，促使國家和社會逐漸重視工業控制系統的信息安全問題。

2019年5月，國家信息等級保護制度等保2.0正式發布，并于12月正式實施。相比等保1.0版本，等保2.0將工業控制系統納入保護對象，針對工業控制系統制定了安全擴展要求，以及更嚴格的測試程序。同時等保2.0上升至強制性法律的高度，正式將涵蓋工業控制系統的網絡安全納入國家法律要求范疇。

DCS分散控制系統（以下簡稱DCS系統）是電廠最重要的控制系統，它負責單元機組設備的監控任務，是基于計算機及網絡技術用于監控電力生產過程的設備組合。因此，其安全和可靠關系到單元機組的運行安全。DCS系統網絡安全防護的原則為“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”，加強邊界防御和保護;同時強化內部的硬件、軟件、網絡、數據和物理安全;完善安全管理制度，強化維護人員、組織、系統建設、運營的管理，提高系統整體安全性和可靠性，確保DCS系統網絡和數據安全。

1 安全現狀

1.1 安全配置不足

目前發電企業生產控制大區與調度中心之間已經配置了傳統邊界防火墻和物理隔離網閘，但仍存在較大安全風險問題，距離國家行政監管機構的政策要求和企業業務連續運營要求有較大差距，目前拓撲及具體表現如下：

本廠一期DCS系統和二期DCS系統相關設備部署于生產控制大區安全I區，一期DCS系統和二期DCS系統分別通過交換機與PI系統進行數據交互，一期DCS系統和二期DCS系統各機組與PI系統區域邊界部署了電力專用橫向隔離裝置，實現安全隔離。

（1）在生產控制大區不同系統不同區域之間無任何安全防護設備，從而使形成了同一個安全區域，這種方式不符合合規性的要求而且安全隱患較大，一旦發生信息安全事件，將是全網范圍的毀滅，需要整改。

（2）旁路控制的風險依然存在：旁路控制一直是DCS系統面臨的最主要風險，目前系統中僅部署了傳統防火墻，但對于大多數PLC系統來說仍是處于“裸奔”狀態，沒有采取任何防護措施。

（3）針對內部操作人員的違反授權和非法使用情況，只能單純依靠管理制度，加強安全意識培訓教育，缺少相應的技術監控和威懾手段。

（4）針對欺騙和偽裝的風險，如IP地址的偽裝，客戶端的偽裝缺少應對措施。

（5）對生產控制大區的主機安全防護與外來設備接入考慮和防護手段嚴重不足重視不夠。

1.2 安全管理的不足

在安全管理理念和安全管理技術手段上的不足主要表現為：

（1）嚴重依賴隔離手段，缺少縱深防護。目前發電企業最重要的安全防護措施為生產控制大區和管理信息大區之間的橫向隔離產品，以單向傳輸為主要技術手段。在生產控制大區多個系統之間沒有任何安全防護手段，一旦突破橫向隔離產品則生產控制大區門戶洞開。

另外針對發自生產控制大區內部系統的攻擊則無任何安全防護能力。DCS系統特有的現場運維過程的安全性研究和防護基本沒有，現場運維直接繞過了生產控制大區的邊界安全防護設備。

（2）以防為主，手段單一。以往的技術手段主要是以防為主，甚至表現為“一隔了之”，對于監控手段和措施基本上沒有。以防為主的安全防護思想面臨著百密一疏的風險，特別是無法應對目前的以國家層面集團式有組織的長期潛伏APT攻擊。

（3）安全防護無法做到量化和可視化。一線人員和相關領導一方面覺得安全至關重要，但是又無法做到量化和可視化，安全看不見摸不著，缺少趨勢和預警，一旦發生安全事件，后果不堪設想。

1.3 等保差距測評

通過等保測評機構出具的《一期DCS系統_測評報告》與《二期DCS系統_測評報告》，發現臺山電廠一期DCS系統和二期DCS系統在安全區域邊界、計算環境、管理中心、建設管理、運維管理等技術、管理層面都存在高、中風險項，這些高、中風險項將給一期DCS系統和二期DCS系統的安全穩定運行帶來一定的風險，所以在基于等保測評結果的基礎上，結合廣東國華粵電臺山發電有限公司一期DCS系統和二期DCS系統的實際安全需求，從技術層面有針對性的提出安全整改加固情況方案。

在分析和制定整改建議時，將按照國家有關規定和標準規范要求，堅持管理和技術并重的原則，將技術措施和管理措施有機結合，建立綜合防御體系，提高一期DCS系統和二期DCS系統整體安全保護能力。并擬定相關計劃逐步落實信息安全責任制，制定主機安全、應用安全和安全管理等安全整改措施，逐步消除識別出的高、中安全風險，提升臺山電廠DCS系統整體安全防護能力，并順利通過等保測評。

2 項目的必要性

（1）提高臺山電廠DCS系統安全防護能力，防止網絡被破壞和攻擊，滿足公司正常生產和電網正常運行的需要。

（2）工控系統中斷造成電網事故較多，工控系統受到的威脅主要有內部非授權人員的有意或無意破壞、黑客攻擊、病毒破壞和制造商預置陷阱等方面。實施安全防護工程可提高臺山電廠監控系統安全防護水平，防止網絡信息系統受惡意攻擊，影響公司電網的正常運行和日常管理工作的正常開展。

（3）緩解“單一傳輸方式”的傳輸壓力，提升網絡運行效率和速度。

（4）提高電力系統自動化水平及日常管理信息化水平，節約運營管理成本創造條件。

（5）提高臺山電廠DCS系統安全防護水平，使工控和信息系統網絡符合《DCS系統安全防護規定》等文件和相關規范要求。

（6）符合信息安全相關規范要求。

3 安全解決方案

3.1 邊界入侵檢測解決方案

3.1.1 解決方案

在一期DCS系統和二期DCS系統各機組關鍵網絡節點旁路部署入侵檢測系統，通過對各機組交換機全鏡像流量的分析，匹配自身特征庫規則，對常見的緩沖區溢出、SQL注入、暴力猜測、DoS攻擊、掃描探測、蠕蟲病毒、木馬后門等各類黑客攻擊和惡意流量進行實時檢測及報警。

3.1.2 解決的問題

部署入侵檢測系統可以解決以下問題：

（1）實時全網絡監控、快速辨別網絡攻擊。對網絡的數據和事件進行實時監測、實時警告，實時發現系統中存在的不合法操作、不正常事件、惡意、病毒及木馬攻擊等。

（2）修補系統漏洞、更新病毒庫。漏洞庫包含工控漏洞和傳統信息安全漏洞，由CVE、CNNVD、CNVD等公開漏洞庫中的漏洞和工匠安全實驗室長期積累的零日漏洞組成，數量可觀的工控漏洞和傳統信息漏洞的檢測能力。包含工控設備漏洞、工控系統組態軟件漏洞、監控軟件漏洞、操作系統漏洞、MySQL/Oracle/SQL Server等數據庫漏洞、office軟件漏洞等。同時具有超過1000條的工控木馬及病毒等特征的匹配規則和相關細化域名（CC域名）的記錄規則，典型的包含工控蠕蟲病毒、智能攝像頭類病毒、PLC類等各類病毒特征和規則庫。

（3）網絡安全數據行為分析為歷史追憶提供方便。對網絡中存在的所有活動提供行為審計、內容審計、協議審計、流量審計，生成完整記錄便于事件追溯和后期數據分析。同時亦可作為現場布控設備終端的方式將檢測的信息發送至平臺形成體系化的時間追蹤態勢。

（4）及時發現未知設備的接入。當未知的設備接入工業控制網絡系統內時，及時發現告警，迅速識別非法接入事件，并實時記錄接入設備的詳細信息。

（5）完善的防御策略建議體系。根據檢測結果，提出防御策略方案，協助用戶建立合適的工業控制網絡安全防御系統。

（6）日志管理。支持日志記錄、查詢、篩選和下載。日志包含登錄退出、設備地址、事件分析、流量分析和下載格式文件等。

（7）用戶管理。采用三權分立的方式實現對主機使用的權限管理，用戶角色包括操作員、審計員、管理員。

（8）系統管理。操作員可通過對中心進行IP、網關的信息配置。通過對檢測結果的整理，可應用短息功能、郵件功能把相應檢測告警信息發給管理員與操作員進行記錄和備案。在平臺層面也可進行相應的系統與規則庫進行升級。在系統層面可利用時鐘同步功能完成與現場各系統時鐘服務器的時間同步。

3.2 備份系統解決方案

3.2.1 解決方案

在一期DCS系統和二期DCS系統各機組關鍵網絡節點旁路部署備份系統系統，通過被備份系統自動備份功能，有效的備份工作站、數據庫等核心數據確保系統異常時能夠快速恢復系統。

3.2.2 解決的問題

部署安全監測與審計系統可以解決以下問題：

（1）當主機感染病毒、駭客攻擊;備份系統可以恢復操作系統，為主機運行提供安全保障。

（2）備份系統可以保護計算機系統里的數據，為系統穩定可靠地運行提供安全保障，當系統軟件或應用軟件的缺陷、硬件的損毀、自然災難等因素造成計算機中數據的丟失，可以快速掛載、恢復。

（3）備份系統能夠提供本地集中備份，還能提供遠程異地數據災備功能，大大提高了數據存儲安全性。

（4）備份系統具有最廣泛的備份功能，可滿足各種環境的復雜需求;備份功能可以通過網線或者IP-SAN功能加以實現，它利用成熟的網絡部署結構來完成對數據的存儲。

（5）備份系統掛載恢復效率快，在數據庫發生故障，或需要通過備份數據實現容災演練、故障重現、環境模擬時，可通過備份中的快照記錄功能生成獨立的數據庫完整副本，并通過直接掛載的方式快速將生產庫切換至副本庫并提供業務訪問服務，支持將備份數據回灌至生產存儲后將業務切換回生產環境，當不再需要數據副本時可直接刪除。

3.3 主機安全加固解決方案

3.3.1 解決方案

在一期DCS系統和二期DCS系統操作員站、工程師站、過程處理服務器、歷史服務器部署工控主機衛士，采用可執行文件“白名單”管理技術，自動構建操作員站、工程師站、過程處理服務器、歷史服務器上承載的可信應用軟件白名單，在程序執行時會與白名單庫進行比較、匹配、判斷，如果發現其不符合白名單中的特征，其主機加固系統將會對此程序執行阻斷或告警，避免主機網絡受到已知或未知攻擊，同時還可有效的阻止操作人員異常操作帶來的危害;工控主機衛士同時具備雙因子認證的功能，能夠滿足等保中對于主機身份鑒別的要求。同時，搭配準入控制，通過準入控制防止非法設備接入網絡。

3.3.2 解決的問題

部署工控主機衛士可解決以下問題：

（1）主機系統及應用程序白名單保護。①應用程序白名單，對白名單以外的非法進程禁止運行，防止安全事件產生;②程序完整性檢查，使用證書、校驗值來檢驗程序的完整性，阻止受病毒感染或篡改程序運行;③移動存儲介質白名單保護;④USB設備識別，支持通用USB設備識別;⑤USB設備授權，提供USB存儲設備的多種操作權限授予：讀寫、禁止使用;⑥USB設備白名單，禁止白名單以外的USB設備連接，防止安全事件產生;⑦USB設備審計，提供USB存儲設備的操作記錄，此記錄不可刪除、不可篡改。

（2）白名單管理。①白名單生成，通過自動掃描功能，建立白名單;②白名單導入、導出，提供白名單的導入導出功能;③白名單更新，需要運行新的程序、添加新的網絡服務和USB設備時，可以很方便地更新到白名單中。

（3）特定對象完整性保護。對重要的安裝目錄的文件進行完整性保護，阻止惡意程序篡改目標文件，或刪除或修改目標文件。

（4）安全事件審計。①安全事件日志，非白名單進程運行、非法USB設備接入的安全事件;②安全事件審計，安全事件的記錄不可刪除和篡改。

3.4 日志審計與分析解決方案

3.4.1 解決方案

為滿足國家相關政策、標準規范對日志收集與審計的需求，需在一期DCS系統和二期DCS系統安全管理中心各部署1臺日志審計與分析系統。日志審計與分析系統能夠實時將DCS系統網絡中各種設備，如操作員站、服務器、網絡裝置等設備的日志信息，進行收集、處理和分析，協助設備維護人員從大量的設備日志記錄中快速準確地發現安全事件，及時對安全事件進行查找和阻止。

3.4.2 解決的問題

部署日志審計與分析系統可解決以下問題：

（1）安全事件日志采集監控統計。提供對主機、網絡設備、安全設備和應用系統安全日志事件的實時監控和多維度統計，通過事件列表展示當前網絡的實時活動，依據IP地址、事件類型等維度進行安全事件的統計，以可視化餅狀圖、柱狀圖、堆積圖等形式進行展示。

（2）數據庫行為審計。實時監視和記錄數據庫的運行狀態，對數據庫進行管理，確保其審計的合規性。同時對風險行為觸發告警，阻止攻擊事件。

（3）安全事件高速查詢。提供自定義形態的混合搜索功能，在用戶自定義日志范式字段收縮的基礎上，結合大數據全文索引技術，實現安全事件的快速查詢。

（4）安全事件關聯分析。內置豐富的關聯分析場景，并具有關聯分析場景可視化編輯功能，通過不同字段的組合和與、或、非等運算符構建復雜關聯分析規則，結合資產屬性，將多事件源進行關聯分析，及時發現網絡攻擊和違規等行為。

3.5 安全運維審計管理系統解決方案

3.5.1 解決方案

在一期DCS系統和二期DCS系統安全管理中心各部署一臺安全運維管理系統，切斷運維終端對系統網絡設備或前臺主機資源的直接訪問，采用協議代理的方式，實現對系統內各網絡設備、主機設備、應用系統、數據庫等集中有序的運維安全管理，對運維人員從登錄到退出的全程操作行為進行審計，從而加強DCS系統及設備遠程維護的安全管理。

3.5.2 解決的問題

部署安全運維管理系統可解決以下問題：

（1）統一用戶身份認證。堡壘機為企業運維人員創建唯一的自然人賬號（即主賬號），此賬號如同個人的身份證一樣，與個人綁定。在運維過程中，主賬號與其權限內的設備賬號（從賬號）進行關聯，做到企業資源信息的實名制訪問。

（2）系統資源管理。堡壘機支持豐富的資源管理功能。資源類型：Unix資源、網絡資源、Windows資源、數據庫資源、C/S資源、B/S資源、中間件資源、大型機資源。協議類型：支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等協議。

（3）資源賬號密碼管理。堡壘機支持對資源賬號密碼的管理功能。密碼管理功能主要是對資源賬號密碼定期自動變更管理，以防止賬號密碼被暴力破解或無意泄露而引發的安全性問題。

（4）訪問授權管理。堡壘機通過對資源賬號訪問權限進行細粒度控制，確保每個運維人員擁有最小訪問權限。系統訪問授權管理通過角色管理和崗位授權管理來實現。

（5）運維行為審計。堡壘機支持用戶對各種網絡資源的訪問操作行為進行審計。

（6）運維流程管理。堡壘機內置了運維工作流程管理功能，企業可以通過運維工作流程來規范運維人員的運維過程。

4 結語

控制系統就像是電廠生產流程的神經系統，其安全性是電廠安全生產和運營的基礎。控制系統的控制器、服務器和操作員站等主要設備，是通過網絡總線進行連接進行數據交換，各設備的工作均依賴于網絡。因此，控制系統中網絡總線的安全性就顯得尤為重要。通過控制系統安全防護提升研究方案，提高控制系統各重要設備和網絡系統的本質安全，是確保電廠生產安全的重要舉措。一個穩定可靠的電廠生產流程是電網穩定可靠的供電源頭，終將會為國民經濟發展發揮重要的作用。

參考文獻

[1] 劉貞，何躍鷹，丁歡.軌道交通列控系統網絡安全風險和防護對策研究[J].鐵路通信信號工程技術，2020，17（12）：1-7.

[2] 郭城軼.高校網絡意識形態安全及其應對策略研究[J].現代職業教育，2021（1）：76-77.

[3] 陳銳.基于大數據的計算機網絡安全研究[J].黑龍江科學，2020，11（24）：124-125.

[4] 祝彥峰.網絡交換機安全加固策略探討[J].網絡安全技術與應用，2020（6）：9-10.

[5] 李俊.網絡安全加固工作的分析與探討[J].網絡安全技術與應用，2020（4）：19-20.

[6] 郭翔.電力監控系統安全防護與網絡安全加固的探討[J].中國新通信，2020，22（2）：144.