一種提升DCS網絡信息安全的研究與應用

作者簡介：李根（1990.11-），男，漢，河南省商丘市，本科，助理工程師，火電廠熱控技術與儀器。

摘要：該研究主要應用于DCS系統的網絡信息安全防護，從網絡信息安全、工控機安全、軟件安全三個方面出發，通過部署單向隔離網閘、病毒入侵檢測系統、日志審計、網絡審計系統、工業防病毒軟件、工控機加固及附屬設備，建立安全管理平臺，實現對網絡流量、設備日志、操作系統的實時監視，阻斷病毒入侵，從而保障DCS系統信息網絡安全穩定運行。

關鍵詞：DCS;網絡;信息安全

1 引言

電力行業慢慢向現代信息化發展，DCS技術走向信息化也是必然的趨勢。DCS系統不僅要給生產技術人員提供最基本的生產數據，還要給各種網絡平臺提供所需要的生產數據。基于此類需求，要求DCS系統既要具有提供給電廠必需的采集和處理生產數據的功能，還要具有提供連接的端口和對外開放的功能，從而滿足現代化企業對數據的要求。由于這些因素致使DCS系統網絡與電廠信息網絡產生了聯接，進而還可能與互聯網產生更加廣泛的互聯。DCS系統網絡存在的不安全因素主要有兩個方面：人的方面、物的方面。對DCS系統網絡來說，物的方面主要是在于數據物理層的風險以及數據層的風險，人的方面主要是管理的缺失、管理的漏洞以及接觸人員不規范、不確定性以及隨意性的行為。

2 DCS網絡信息安全的不安全因素

DCS系統逐漸走向開放，網絡系統結構也變的越發簡單，也更方便人員對于數據的獲取。因此DCS系統會和外界互聯網產生直接、間接的聯系，以至于外界非法侵入、各種病毒對DCS系統網絡形成威脅。

DCS系統目前采用的操作系統都存在這各種各樣的漏洞，不法侵入者可能會利用這些漏洞對DSC系統網絡進行攻擊，現在各DCS系統網絡尚未制定防御病毒的安全措施。

3 技術應用案例

第一、將現場生產大區劃分為3個安全域，分別為1號域（公用系統）、2號域（主機DCS系統）、3號域（輔網DCS系統）。從網絡信息安全、工控機安全、軟件安全三個方面出發，通過部署單向隔離網閘、病毒入侵檢測系統、日志審計、網絡審計系統、防病毒軟件、工控機加固及附屬設備，建立安全管理平臺，實現對網絡流量、設備日志、操作系統的實時監視，阻斷病毒入侵，從而保障DCS系統信息網絡安全穩定運行。

整體DCS系統信息安全防護具體措施包括：

（1）工業安全單向隔離網閘，部署在DCS系統和生產信息系統（SIS）的網絡邊界，實現DCS系統與生產信息系統（SIS）的隔離，保護DCS系統網絡邊界安全。

（2）工業網絡審計系統，部署于DCS系統的主交換機旁路，用于網絡全流量審計、告警和分析。

（3）工業日志審計系統，部署在DCS系統網絡中，用于對各安全防護設備、網絡數據設備、工控機系統、數據庫的日志數據采集、分類和分析。

（4）工業病毒入侵檢測系統，部署于生產信息系統（SIS）的三層中心交換機旁路，用于對工業網絡傳輸數據的實時監視，以及對網絡數據流量的入侵監測、告警。

（5）此外，該技術還在主機、輔網的DCS系統的邊界，部署有專業的邏輯隔離工業防火墻，在各工控機安裝有工業防病毒軟件。在DCS系統部署有專業交換機，用于連接各安全設備，組成網絡安全專網，實現生產數據、信息安全數據的網絡分離，部署有校時設備，用于確保網絡安全設備與DCS的時間一致，提高報警、入侵事件追溯的準確性、可靠性。又通過關閉各種服務端口、切斷病毒滲入的入口以減少被被利用的可能性。最終將整個系統融合為一個專門的工業安全管理平臺，用于收集系統設備、網絡安全設備的不安全事件及各種報警信息，實現安全信息處理和分析。詳見部署附圖1、2：

第二、該研究從以下方面對DCS系統網絡信息數據進行防護：

（1）在DCS系統網絡與生產信息系統（SIS）網絡邊界部署工業安全單相隔離網閘，實現DCS系統與生產信息系統（SIS）系統的隔離，保護DCS系統網絡邊界安全。

（2）在SIS三層中心交換機旁路增加病毒入侵檢測系統，對工業網絡傳輸數據進行即時監視，實現對異常網絡數據流量的檢測、報警。

（3）在DCS系統主交換機旁路部署網絡審計系統，實現網絡全流量的審計、報警與分析功能。

（4）在DCS系統部署日志審計系統：實現對各安全防護設備、網絡數據設備、工控機系統、數據庫等的日志數據采集、分類和分析。

（5）在DCS系統與輔網DCS系統的邊界采用工業防火墻進行邏輯隔離。

（6）在DCS系統的各工作站進行主機加固并加裝工業防病毒軟件。

（7）在DCS系統部署工業安全管理平臺，收集系統設備、網絡安全設備的不安全事件及各種報警信息，實現安全信息處理和分析。

（8）在DCS系統部署信息安全專網交換機，實現各安全防護設備的互聯，組成數據安全傳輸專網，從而把業務數據與信息安全數據進行分離。

（9）在DCS系統部署用于校時的設備，確保各個安全設備與系統的時間一致，提高報警、入侵事件追溯的準確性、可靠性。

（10）對DCS系統內的工控機網絡進行加固，關閉各種易備利用的服務端口，切斷病毒滲入的入口。

3 技術關鍵點

（1）在電力企業網絡I、II區域邊界增加專業的工業安全單向隔離網閘，實現電力企業網絡I、II區域的物理性隔離。應用專業設備切斷兩個網絡的數據鏈路層連接，并且能夠實現信息在兩個網絡間的適度應用、交換。切斷外屆網絡發起的連接，只能使數據單向傳輸，從而保護內部網絡。

（2）DCS系統部署有網絡審計設備，通過網絡協議（SNMP）實現對各臺工控機CPU負荷率、物理內存利用率、網絡狀態等的監測，也能對數據報文進行解析。網絡審計設備也可實時檢測各種工業協議性質的網絡入侵、人員誤操作、違規操作、非法設備接入以及病毒的傳播并進行報警，同時記錄、收集一切網絡行為。

（3）DCS系統部署有日志審計設備，可將DCS系統的各安全、網絡設備日志傳輸到日志審計系統中，從而實現安全防護設備、網絡數據設備、工控機系統、數據庫等的日志數據采集、分類和分析。

（4）DCS系統部署有病毒入侵檢測系統，并建立了病毒清冊，從而實現對病毒的入侵監測、報警，并及時通知技術人員，對設備進行必要的人為防護。

4 技術優勢及成果

根據此方案，建立了DCS系統網絡信息安全防護系統，該系統具有以下技術效果：

（1）網絡、日志審計系統，可以實現對DCS系統網絡的數據流量、設備狀態進行檢測、分析，通過報文深度解析，可對各種違規行為、不法設備、入侵病毒進行阻擊并實現報警。

（2）白名單防病毒軟件，可實現檢測DCS系統所有操作的安全性、合法性，實現對違規行為的隔離、管控，提供給DCS系統一個獨立、安全的局部環境。

（3）病毒入侵檢測系統，可以實現對病毒入侵進行提前檢測并報警，告知技術人員采用人為手段防止病毒的進一步滲入。

（4）工控機加固，刪除無用、默認開放的路由配置、IP地址，關閉工控機無用的服務，關閉默認的TCP、UDP端口（21/23、135/137/445等端口），切斷病毒入侵的入口。

該研究使得DCS系統形成了一套全面的、安全的DCS網絡信息安全防護系統。在公司的網絡安全防護演練中發揮了重大的作用，保證對DCS與外界通訊的安全性，具有可靠的病毒防控能力。抵御了外來、內部個人無意、惡意入侵DCS網絡的行為，避免高水平黑客、外部小型組織利用威脅源發起惡意攻擊。使得DCS網絡具有少量受損情況下可實現自動恢復的能力，并且有效、實時監控DCS網絡數據報文、流量，防止網絡擁堵導致DCS網絡癱瘓的情況。

最終將DCS網絡信息安全集中于工業網絡安全管理平臺進行展示，可實時監視DCS網絡健康狀態及各項指標。見下圖：

5 總結

通過該項技術的應用，實現了對DCS系統數據流量、設備的狀態的分析、檢測，實現了對網絡數據報文的深度解析，以及對各種違規行為、操作，非法設備的接入的阻擊并報警。增加了病毒入侵檢測系統，實現了病毒入侵的提前檢測、報警，提醒技術人員人為采取隔離手段切斷了病毒的滲入。此技術為現場DCS系統提供了一個獨立、安全、隔離環境，使得一切操作行為必須經過安全設備的嚴格檢測，提供給DCS系統一個干凈、安全的環境。

參考文獻

[1]GB/T 18336.1-2015 信息技術 安全技術 信息技術安全評估準則 第一部分：簡介和一般模型.

[2]GB/T22081-2016信息技術 安全技術 信息安全管理體系 要求.

[3]GB/T22081-2016信息技術 安全技術 信息安全控制實踐指南.

[4]GB/T 36047-2018電力信息系統安全檢查規范.

[5]GB/T 22239-2019信息安全技術網絡安全等級保護基本要求.

[6]張相東.火電廠DCS系統網絡安全防護.龍源期刊網，2019.