沈志剛

摘要 針對某火力發(fā)電公司廠級信息監(jiān)控系統(tǒng)近年來推進(jìn)的信息系統(tǒng)安全等級保護(hù)改造，進(jìn)行了歸納整理，其中涉及的普遍性問題解決方案，在同類型企業(yè)中具有較高的推廣應(yīng)用價(jià)值。

【關(guān)鍵詞】廠級信息監(jiān)控系統(tǒng) 信息系統(tǒng)安全等級保護(hù) 安全防護(hù)改造

1 前言

某火力發(fā)電公司廠級信息監(jiān)控系統(tǒng)（以下簡稱SIS系統(tǒng)）于2005年投運(yùn)，采集全廠生產(chǎn)過程數(shù)據(jù)，對生產(chǎn)過程進(jìn)行優(yōu)化分析，并向電廠管理信息系統(tǒng)（以下簡稱MIS系統(tǒng)）提供過程數(shù)據(jù)和計(jì)算分析結(jié)果，以滿足公司對于生產(chǎn)過程的管理要求。自2015年以來，根據(jù)能源行業(yè)及地方政府下達(dá)的規(guī)范及文件，逐步推進(jìn)信息系統(tǒng)安全等級保護(hù)改造，改造過程所涉及的問題在行業(yè)內(nèi)普遍存在，其解決方案對于同類型企業(yè)及SIS系統(tǒng)開發(fā)具有極好的借鑒作用。

2 系統(tǒng)概述

某公司全廠SIS系統(tǒng)由西安熱工研究院有限公司設(shè)計(jì)建造，于2005年投產(chǎn)，硬件主要服務(wù)器為IBM X306和IBM X346，接口機(jī)為研華工控IPC-610，防火墻為思科PIX-515E，網(wǎng)絡(luò)隔離裝置為珠海鴻瑞正向。底層數(shù)據(jù)庫為北京印步公司eDNA產(chǎn)品，應(yīng)用軟件系統(tǒng)為西安熱工研究院TPRI-SIS產(chǎn)品。信息安全等級保護(hù)測評定級二級。

3 風(fēng)險(xiǎn)分析

近年來等級保護(hù)推進(jìn)工作中逐步歸納整理了以下內(nèi)容，其中既有自查發(fā)現(xiàn)問題，也有外聘等級保護(hù)評估單位檢查發(fā)現(xiàn)問題，擇其精要，部分不具備普遍意義的，以及在SIS系統(tǒng)設(shè)計(jì)中的通識性內(nèi)容則未收錄（如專用安全產(chǎn)品）。

3.1 物理安全

如表1所示。

3.2 網(wǎng)絡(luò)安全

如表2所示。

3.3 主機(jī)安全

如表3所示。

3.4 應(yīng)用安全

見表4。

3.5 數(shù)據(jù)安全

見表5。

4 安全防護(hù)改造方案

4.1 方案綜述

在設(shè)計(jì)改造方案之前，首先定義發(fā)電廠SIS系統(tǒng)幾項(xiàng)特征，非控制、可短暫中斷、實(shí)時(shí)數(shù)據(jù)分析、發(fā)布信息共享。個別發(fā)電廠參與生產(chǎn)控制的SIS系統(tǒng)需執(zhí)行更嚴(yán)格的等級保護(hù)措施，不在本文所述范圍。根據(jù)SIS系統(tǒng)特征，結(jié)合前文的風(fēng)險(xiǎn)分析，方案推進(jìn)需遵循基礎(chǔ)設(shè)施改造在前、先硬件后軟件、數(shù)據(jù)完整遷移的原則。

4.2 機(jī)房改造

SIS系統(tǒng)機(jī)房必須獨(dú)立布置，加裝防盜報(bào)警系統(tǒng)、電子門禁系統(tǒng)以實(shí)現(xiàn)身份鑒別;機(jī)房敷設(shè)防靜電地板;配置具備溫濕度控制功能的單體空調(diào)，或結(jié)合中央空調(diào)改造實(shí)現(xiàn)溫濕度控制;SIS系統(tǒng)配置雙路自動切換電源，兩路電源應(yīng)取自不同動力段，避免整段停電檢修影響SIS系統(tǒng)供電。

4.3 系統(tǒng)拓?fù)浣Y(jié)構(gòu)改造

早期設(shè)計(jì)的SIS系統(tǒng)大多不符合等級保護(hù)所要求的三層結(jié)構(gòu)，在對硬件改造之前，需先優(yōu)化系統(tǒng)拓?fù)浣Y(jié)構(gòu)，調(diào)整相應(yīng)功能區(qū)，根據(jù)調(diào)整后的拓?fù)鋱D規(guī)劃硬件布置，添置關(guān)鍵設(shè)備。圖1、圖2為某公司規(guī)劃前后的SIS系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D，有以下幾點(diǎn)改造。

（1）邊界完整性：DCS生產(chǎn)區(qū)的工控防火墻在早期發(fā)電廠SIS系統(tǒng)均未布置，作為關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)在SIS系統(tǒng)改造時(shí)統(tǒng)一配置;管理信息大區(qū)的MIS子交換機(jī)與MIS主交換機(jī)分屬不同的系統(tǒng)，之間應(yīng)布置防火墻。

（2）結(jié)構(gòu)安全：拆分計(jì)算站業(yè)務(wù)，實(shí)時(shí)生產(chǎn)數(shù)據(jù)計(jì)算站遷至安全區(qū)II，管理信息大區(qū)增加MIS數(shù)據(jù)計(jì)算站，取消值長站及打印機(jī)等位于安全區(qū)II的管理區(qū)設(shè)備。

（3）安全審計(jì)及監(jiān)測：安全區(qū)II的核心交換機(jī)部署經(jīng)專用安全產(chǎn)品認(rèn)證的監(jiān)測審計(jì)平臺。

（4）容災(zāi)配置：二級防火墻、網(wǎng)絡(luò)單向隔離裝置及鏡像數(shù)據(jù)庫增加災(zāi)備冗余設(shè)備，由于SIS系統(tǒng)可短暫中斷的特點(diǎn)，除鏡像數(shù)據(jù)庫之外，其余設(shè)備均設(shè)為冷備用。

4.4 硬件改造。

對SIS系統(tǒng)早期部署的老化服務(wù)器、交換機(jī)集中更新，補(bǔ)充系統(tǒng)結(jié)構(gòu)缺少的設(shè)備，主要為邊界防護(hù)工業(yè)防火墻、監(jiān)測審計(jì)平臺服務(wù)器。由于結(jié)構(gòu)的變化，值長站等跨區(qū)管理主機(jī)取消，在不同安全分區(qū)內(nèi)分別配置獨(dú)立的一體式共享機(jī)架，以實(shí)現(xiàn)對分區(qū)內(nèi)設(shè)備的維護(hù)管理。

4.5 軟件改造

4.5.1 數(shù)據(jù)庫改造

數(shù)據(jù)庫在原有軟件版本基礎(chǔ)上進(jìn)行升級，主要解決運(yùn)行中不穩(wěn)定、歷史服務(wù)進(jìn)程易宕機(jī)，并改善原數(shù)據(jù)庫日志策略過于簡單的缺陷，避免遺漏重要異常事件。

4.5.2 操作系統(tǒng)改造

SIS系統(tǒng)所有主機(jī)均使用Windows操作系統(tǒng)，作為非安全操作系統(tǒng)，需做全面加固改造，安裝漏洞補(bǔ)丁，修改本地安全策略。

4.5.3 防惡意代碼改造

SIS系統(tǒng)作為邊界防護(hù)完整，未直接連接互聯(lián)網(wǎng)的內(nèi)部局域網(wǎng)業(yè)務(wù)系統(tǒng)，防惡意代碼改造主要手段為安裝白名單軟件，并按等級保護(hù)要求定期更新病毒特征庫。

4.5.4 應(yīng)用軟件改造

SIS應(yīng)用軟件改造由原系統(tǒng)集成商進(jìn)行二次開發(fā)，主要增強(qiáng)局域網(wǎng)內(nèi)web用戶身份鑒別，對系統(tǒng)內(nèi)信息執(zhí)行分級策略，高密信息進(jìn)行加密驗(yàn)證，加裝數(shù)據(jù)庫在線不停機(jī)備份系統(tǒng)。

5 改造難點(diǎn)分析

5.1 基礎(chǔ)設(shè)施規(guī)劃

需在原機(jī)房機(jī)位因地制宜，在不擴(kuò)充占地的前提下，滿足雙路電源擴(kuò)充、強(qiáng)電弱電分槽、增強(qiáng)機(jī)柜散熱以及按安全區(qū)分柜的要求，同時(shí)每個分區(qū)需配備獨(dú)立的一體式共享機(jī)架，在考察其他單位機(jī)房時(shí)發(fā)現(xiàn)大部分廠級SIS系統(tǒng)機(jī)柜還在使用普通民用電源插座，在此應(yīng)配備防雷擊防浪涌的工業(yè)PDU服務(wù)器電源，整個施工完成后應(yīng)形成完備的電源線纜竣工圖、網(wǎng)絡(luò)布線竣工圖、系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D、機(jī)柜設(shè)備布置圖，在線纜的兩端均有打印標(biāo)識，這一點(diǎn)在配合相關(guān)部門檢查時(shí)可做到一目了然，擺脫系統(tǒng)邊界不清晰等嫌疑。

5.2 設(shè)備更新選型

在滿足電源冗余、專用安全產(chǎn)品認(rèn)證等基礎(chǔ)要求外，防火墻等關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備要求提供針對工業(yè)協(xié)議的深度過濾，實(shí)現(xiàn)對Modbus、OPC等主流工業(yè)協(xié)議和規(guī)約的高細(xì)粒度的過濾，針對工業(yè)網(wǎng)絡(luò)協(xié)議的內(nèi)容和數(shù)據(jù)進(jìn)行細(xì)致的合規(guī)性檢查。這方面在以往的SIS系統(tǒng)設(shè)計(jì)中有所忽略，在有關(guān)部門進(jìn)行網(wǎng)絡(luò)邊界設(shè)備配置策略檢查中發(fā)現(xiàn)，SIS系統(tǒng)為實(shí)現(xiàn)與工業(yè)DCS系統(tǒng)的數(shù)據(jù)傳輸，在網(wǎng)絡(luò)邊界防火墻均未啟用訪問控制功能，未能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度僅為網(wǎng)段級，究其根本還是在于設(shè)備選型時(shí)未考慮工業(yè)網(wǎng)絡(luò)的傳輸協(xié)議類型。

5.3 兼容性問題

在SIS系統(tǒng)改造過程中尤為突出。數(shù)據(jù)傳輸應(yīng)用主干三大部分之間（DCS系統(tǒng)軟件、SIS系統(tǒng)數(shù)據(jù)庫軟件、SIS系統(tǒng)應(yīng)用軟件），由于分屬不同公司，在各自開發(fā)安全補(bǔ)丁后，通訊協(xié)議變化造成了數(shù)據(jù)傳輸?shù)闹袛?服務(wù)器主機(jī)加固補(bǔ)了對于整個數(shù)據(jù)傳輸鏈路的影響，主要體現(xiàn)在135、139、445等端口關(guān)閉后，各主機(jī)的遠(yuǎn)程訪問服務(wù)以及文件共享服務(wù)均被禁止，對于原先設(shè)有值長站以及網(wǎng)絡(luò)打印機(jī)的SIS系統(tǒng)，這些設(shè)備將失去作用;防惡意代碼軟件與數(shù)據(jù)庫軟件不兼容，數(shù)據(jù)庫軟件相關(guān)進(jìn)程被識別為惡意代碼而關(guān)閉。以上這些兼容性問題有些可以通過調(diào)整系統(tǒng)功能配置來解決，但大部分仍需要軟件開發(fā)單位協(xié)調(diào)后進(jìn)行二次開發(fā)。

6 應(yīng)用情況及經(jīng)驗(yàn)總結(jié)

經(jīng)歷近三年的改造，某公司SIS系統(tǒng)在保證業(yè)務(wù)系統(tǒng)平穩(wěn)運(yùn)行的同時(shí)，先后多次接受省、市公安系統(tǒng)及能源監(jiān)管辦的評估檢測以及模擬攻擊試驗(yàn)，進(jìn)步極為顯著，已達(dá)到信息安全等級保護(hù)二級系統(tǒng)樣板水平。

回顧幾年來的改造過程，受限于條文規(guī)范發(fā)布時(shí)序，先期規(guī)劃不足，存在一些二次改造的方面，例如升級數(shù)據(jù)庫時(shí)未同期配置防惡意代碼軟件。綜合來說，信息安全等級保護(hù)工作與網(wǎng)絡(luò)信息技術(shù)發(fā)展密切相關(guān)，無法一勞永逸，尤其是在軟件方面，加強(qiáng)與開發(fā)方的聯(lián)動，保證補(bǔ)丁更新的時(shí)效方能確保無虞。

參考文獻(xiàn)

[1]《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》（國能安全[2014]317號）.

[2]《電力行業(yè)信息安全等級保護(hù)管理辦法》（國能安全[2014]318號）.

[3]《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》（電監(jiān)信息[2012] 62號）.

[4]《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（發(fā)改委第14號令）.

[5]《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等安全防護(hù)方案和評估規(guī)范（國能安全[2015]36號）.