葉中華

[摘? ? 要]為了落實國家發(fā)改委[2014]14號令《DCS系統(tǒng)安全防護規(guī)定》和國家能源局[2015]36號文《DCS系統(tǒng)安全防護總體方案》的各項要求，本著對比事實、尋找差距，總體規(guī)劃、分步實施，文章抓住信息安全最薄弱環(huán)節(jié)和防護的重點環(huán)節(jié)對控制系統(tǒng)進行技術和管理升級改造。

[關鍵詞]DCS;控制系統(tǒng);網(wǎng)絡安全;安全防護

[中圖分類號]TM76 [文獻標志碼]A [文章編號]2095–6487（2021）01–00–04

Research plan for Improving Safety Protection of DCS Distributed

Control System in Taishan Power Plant

Ye Zhong-hua

[Abstract]According to the "Guiding Opinions of the State Council on Deepening the Development of Manufacturing and Internet Integration" （Guo Fa [2016] No. 28）， to ensure the information security of industrial control systems in industrial enterprises， and to formulate "Guidelines for Information Security Protection of Industrial Control Systems"， Industry and Information The Ministry of Chemistry guides and manages the industrial control safety protection and guarantee work of industrial enterprises nationwide. And to implement the requirements of the National Development and Reform Commission [2014] No. 14 "DCS System Safety Protection Regulations" and the National Energy Administration [2015] No. 36 "DCS System Security Protection Overall Plan"， based on the comparison of facts， looking for gaps， the overall plan， Implement step by step， grasp the weakest link of information security and the key link of protection to upgrade the technology and management of the control system.

[Keywords]DCS; control system; network security; security protection

隨著計算機技術網(wǎng)絡技術的發(fā)展，特別是互聯(lián)網(wǎng)及社會公共網(wǎng)絡平臺的快速發(fā)展，在“兩化”融合的行業(yè)發(fā)展需求下，為了提高生產(chǎn)運行、生產(chǎn)管理效率，國內(nèi)眾多行業(yè)大力推進工業(yè)控制系統(tǒng)自身的集成化，集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強，與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。但是工業(yè)控制系統(tǒng)建設更多的是考慮各自系統(tǒng)的可用性，并沒有考慮系統(tǒng)之間互聯(lián)互通的安全風險和防護建設，造成國際國內(nèi)針對工業(yè)控制系統(tǒng)的攻擊事件層出不窮，如伊朗發(fā)生的“震網(wǎng)”病毒事件，促使國家和社會逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。

2019年5月，國家信息等級保護制度等保2.0正式發(fā)布，并于12月正式實施。相比等保1.0版本，等保2.0將工業(yè)控制系統(tǒng)納入保護對象，針對工業(yè)控制系統(tǒng)制定了安全擴展要求，以及更嚴格的測試程序。同時等保2.0上升至強制性法律的高度，正式將涵蓋工業(yè)控制系統(tǒng)的網(wǎng)絡安全納入國家法律要求范疇。

DCS分散控制系統(tǒng)（以下簡稱DCS系統(tǒng)）是電廠最重要的控制系統(tǒng)，它負責單元機組設備的監(jiān)控任務，是基于計算機及網(wǎng)絡技術用于監(jiān)控電力生產(chǎn)過程的設備組合。因此，其安全和可靠關系到單元機組的運行安全。DCS系統(tǒng)網(wǎng)絡安全防護的原則為“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證、綜合防護”，加強邊界防御和保護;同時強化內(nèi)部的硬件、軟件、網(wǎng)絡、數(shù)據(jù)和物理安全;完善安全管理制度，強化維護人員、組織、系統(tǒng)建設、運營的管理，提高系統(tǒng)整體安全性和可靠性，確保DCS系統(tǒng)網(wǎng)絡和數(shù)據(jù)安全。

1 安全現(xiàn)狀

1.1 安全配置不足

目前發(fā)電企業(yè)生產(chǎn)控制大區(qū)與調(diào)度中心之間已經(jīng)配置了傳統(tǒng)邊界防火墻和物理隔離網(wǎng)閘，但仍存在較大安全風險問題，距離國家行政監(jiān)管機構的政策要求和企業(yè)業(yè)務連續(xù)運營要求有較大差距，目前拓撲及具體表現(xiàn)如下：

本廠一期DCS系統(tǒng)和二期DCS系統(tǒng)相關設備部署于生產(chǎn)控制大區(qū)安全I區(qū)，一期DCS系統(tǒng)和二期DCS系統(tǒng)分別通過交換機與PI系統(tǒng)進行數(shù)據(jù)交互，一期DCS系統(tǒng)和二期DCS系統(tǒng)各機組與PI系統(tǒng)區(qū)域邊界部署了電力專用橫向隔離裝置，實現(xiàn)安全隔離。

（1）在生產(chǎn)控制大區(qū)不同系統(tǒng)不同區(qū)域之間無任何安全防護設備，從而使形成了同一個安全區(qū)域，這種方式不符合合規(guī)性的要求而且安全隱患較大，一旦發(fā)生信息安全事件，將是全網(wǎng)范圍的毀滅，需要整改。

（2）旁路控制的風險依然存在：旁路控制一直是DCS系統(tǒng)面臨的最主要風險，目前系統(tǒng)中僅部署了傳統(tǒng)防火墻，但對于大多數(shù)PLC系統(tǒng)來說仍是處于“裸奔”狀態(tài)，沒有采取任何防護措施。

（3）針對內(nèi)部操作人員的違反授權和非法使用情況，只能單純依靠管理制度，加強安全意識培訓教育，缺少相應的技術監(jiān)控和威懾手段。

（4）針對欺騙和偽裝的風險，如IP地址的偽裝，客戶端的偽裝缺少應對措施。

（5）對生產(chǎn)控制大區(qū)的主機安全防護與外來設備接入考慮和防護手段嚴重不足重視不夠。

1.2 安全管理的不足

在安全管理理念和安全管理技術手段上的不足主要表現(xiàn)為：

（1）嚴重依賴隔離手段，缺少縱深防護。目前發(fā)電企業(yè)最重要的安全防護措施為生產(chǎn)控制大區(qū)和管理信息大區(qū)之間的橫向隔離產(chǎn)品，以單向傳輸為主要技術手段。在生產(chǎn)控制大區(qū)多個系統(tǒng)之間沒有任何安全防護手段，一旦突破橫向隔離產(chǎn)品則生產(chǎn)控制大區(qū)門戶洞開。

另外針對發(fā)自生產(chǎn)控制大區(qū)內(nèi)部系統(tǒng)的攻擊則無任何安全防護能力。DCS系統(tǒng)特有的現(xiàn)場運維過程的安全性研究和防護基本沒有，現(xiàn)場運維直接繞過了生產(chǎn)控制大區(qū)的邊界安全防護設備。

（2）以防為主，手段單一。以往的技術手段主要是以防為主，甚至表現(xiàn)為“一隔了之”，對于監(jiān)控手段和措施基本上沒有。以防為主的安全防護思想面臨著百密一疏的風險，特別是無法應對目前的以國家層面集團式有組織的長期潛伏APT攻擊。

（3）安全防護無法做到量化和可視化。一線人員和相關領導一方面覺得安全至關重要，但是又無法做到量化和可視化，安全看不見摸不著，缺少趨勢和預警，一旦發(fā)生安全事件，后果不堪設想。

1.3 等保差距測評

通過等保測評機構出具的《一期DCS系統(tǒng)_測評報告》與《二期DCS系統(tǒng)_測評報告》，發(fā)現(xiàn)臺山電廠一期DCS系統(tǒng)和二期DCS系統(tǒng)在安全區(qū)域邊界、計算環(huán)境、管理中心、建設管理、運維管理等技術、管理層面都存在高、中風險項，這些高、中風險項將給一期DCS系統(tǒng)和二期DCS系統(tǒng)的安全穩(wěn)定運行帶來一定的風險，所以在基于等保測評結(jié)果的基礎上，結(jié)合廣東國華粵電臺山發(fā)電有限公司一期DCS系統(tǒng)和二期DCS系統(tǒng)的實際安全需求，從技術層面有針對性的提出安全整改加固情況方案。

在分析和制定整改建議時，將按照國家有關規(guī)定和標準規(guī)范要求，堅持管理和技術并重的原則，將技術措施和管理措施有機結(jié)合，建立綜合防御體系，提高一期DCS系統(tǒng)和二期DCS系統(tǒng)整體安全保護能力。并擬定相關計劃逐步落實信息安全責任制，制定主機安全、應用安全和安全管理等安全整改措施，逐步消除識別出的高、中安全風險，提升臺山電廠DCS系統(tǒng)整體安全防護能力，并順利通過等保測評。

2 項目的必要性

（1）提高臺山電廠DCS系統(tǒng)安全防護能力，防止網(wǎng)絡被破壞和攻擊，滿足公司正常生產(chǎn)和電網(wǎng)正常運行的需要。

（2）工控系統(tǒng)中斷造成電網(wǎng)事故較多，工控系統(tǒng)受到的威脅主要有內(nèi)部非授權人員的有意或無意破壞、黑客攻擊、病毒破壞和制造商預置陷阱等方面。實施安全防護工程可提高臺山電廠監(jiān)控系統(tǒng)安全防護水平，防止網(wǎng)絡信息系統(tǒng)受惡意攻擊，影響公司電網(wǎng)的正常運行和日常管理工作的正常開展。

（3）緩解“單一傳輸方式”的傳輸壓力，提升網(wǎng)絡運行效率和速度。

（4）提高電力系統(tǒng)自動化水平及日常管理信息化水平，節(jié)約運營管理成本創(chuàng)造條件。

（5）提高臺山電廠DCS系統(tǒng)安全防護水平，使工控和信息系統(tǒng)網(wǎng)絡符合《DCS系統(tǒng)安全防護規(guī)定》等文件和相關規(guī)范要求。

（6）符合信息安全相關規(guī)范要求。

3 安全解決方案

3.1 邊界入侵檢測解決方案

3.1.1 解決方案

在一期DCS系統(tǒng)和二期DCS系統(tǒng)各機組關鍵網(wǎng)絡節(jié)點旁路部署入侵檢測系統(tǒng)，通過對各機組交換機全鏡像流量的分析，匹配自身特征庫規(guī)則，對常見的緩沖區(qū)溢出、SQL注入、暴力猜測、DoS攻擊、掃描探測、蠕蟲病毒、木馬后門等各類黑客攻擊和惡意流量進行實時檢測及報警。

3.1.2 解決的問題

部署入侵檢測系統(tǒng)可以解決以下問題：

（1）實時全網(wǎng)絡監(jiān)控、快速辨別網(wǎng)絡攻擊。對網(wǎng)絡的數(shù)據(jù)和事件進行實時監(jiān)測、實時警告，實時發(fā)現(xiàn)系統(tǒng)中存在的不合法操作、不正常事件、惡意、病毒及木馬攻擊等。

（2）修補系統(tǒng)漏洞、更新病毒庫。漏洞庫包含工控漏洞和傳統(tǒng)信息安全漏洞，由CVE、CNNVD、CNVD等公開漏洞庫中的漏洞和工匠安全實驗室長期積累的零日漏洞組成，數(shù)量可觀的工控漏洞和傳統(tǒng)信息漏洞的檢測能力。包含工控設備漏洞、工控系統(tǒng)組態(tài)軟件漏洞、監(jiān)控軟件漏洞、操作系統(tǒng)漏洞、MySQL/Oracle/SQL Server等數(shù)據(jù)庫漏洞、office軟件漏洞等。同時具有超過1000條的工控木馬及病毒等特征的匹配規(guī)則和相關細化域名（CC域名）的記錄規(guī)則，典型的包含工控蠕蟲病毒、智能攝像頭類病毒、PLC類等各類病毒特征和規(guī)則庫。

（3）網(wǎng)絡安全數(shù)據(jù)行為分析為歷史追憶提供方便。對網(wǎng)絡中存在的所有活動提供行為審計、內(nèi)容審計、協(xié)議審計、流量審計，生成完整記錄便于事件追溯和后期數(shù)據(jù)分析。同時亦可作為現(xiàn)場布控設備終端的方式將檢測的信息發(fā)送至平臺形成體系化的時間追蹤態(tài)勢。

（4）及時發(fā)現(xiàn)未知設備的接入。當未知的設備接入工業(yè)控制網(wǎng)絡系統(tǒng)內(nèi)時，及時發(fā)現(xiàn)告警，迅速識別非法接入事件，并實時記錄接入設備的詳細信息。

（5）完善的防御策略建議體系。根據(jù)檢測結(jié)果，提出防御策略方案，協(xié)助用戶建立合適的工業(yè)控制網(wǎng)絡安全防御系統(tǒng)。

（6）日志管理。支持日志記錄、查詢、篩選和下載。日志包含登錄退出、設備地址、事件分析、流量分析和下載格式文件等。

（7）用戶管理。采用三權分立的方式實現(xiàn)對主機使用的權限管理，用戶角色包括操作員、審計員、管理員。

（8）系統(tǒng)管理。操作員可通過對中心進行IP、網(wǎng)關的信息配置。通過對檢測結(jié)果的整理，可應用短息功能、郵件功能把相應檢測告警信息發(fā)給管理員與操作員進行記錄和備案。在平臺層面也可進行相應的系統(tǒng)與規(guī)則庫進行升級。在系統(tǒng)層面可利用時鐘同步功能完成與現(xiàn)場各系統(tǒng)時鐘服務器的時間同步。

3.2 備份系統(tǒng)解決方案

3.2.1 解決方案

在一期DCS系統(tǒng)和二期DCS系統(tǒng)各機組關鍵網(wǎng)絡節(jié)點旁路部署備份系統(tǒng)系統(tǒng)，通過被備份系統(tǒng)自動備份功能，有效的備份工作站、數(shù)據(jù)庫等核心數(shù)據(jù)確保系統(tǒng)異常時能夠快速恢復系統(tǒng)。

3.2.2 解決的問題

部署安全監(jiān)測與審計系統(tǒng)可以解決以下問題：

（1）當主機感染病毒、駭客攻擊;備份系統(tǒng)可以恢復操作系統(tǒng)，為主機運行提供安全保障。

（2）備份系統(tǒng)可以保護計算機系統(tǒng)里的數(shù)據(jù)，為系統(tǒng)穩(wěn)定可靠地運行提供安全保障，當系統(tǒng)軟件或應用軟件的缺陷、硬件的損毀、自然災難等因素造成計算機中數(shù)據(jù)的丟失，可以快速掛載、恢復。

（3）備份系統(tǒng)能夠提供本地集中備份，還能提供遠程異地數(shù)據(jù)災備功能，大大提高了數(shù)據(jù)存儲安全性。

（4）備份系統(tǒng)具有最廣泛的備份功能，可滿足各種環(huán)境的復雜需求;備份功能可以通過網(wǎng)線或者IP-SAN功能加以實現(xiàn)，它利用成熟的網(wǎng)絡部署結(jié)構來完成對數(shù)據(jù)的存儲。

（5）備份系統(tǒng)掛載恢復效率快，在數(shù)據(jù)庫發(fā)生故障，或需要通過備份數(shù)據(jù)實現(xiàn)容災演練、故障重現(xiàn)、環(huán)境模擬時，可通過備份中的快照記錄功能生成獨立的數(shù)據(jù)庫完整副本，并通過直接掛載的方式快速將生產(chǎn)庫切換至副本庫并提供業(yè)務訪問服務，支持將備份數(shù)據(jù)回灌至生產(chǎn)存儲后將業(yè)務切換回生產(chǎn)環(huán)境，當不再需要數(shù)據(jù)副本時可直接刪除。

3.3 主機安全加固解決方案

3.3.1 解決方案

在一期DCS系統(tǒng)和二期DCS系統(tǒng)操作員站、工程師站、過程處理服務器、歷史服務器部署工控主機衛(wèi)士，采用可執(zhí)行文件“白名單”管理技術，自動構建操作員站、工程師站、過程處理服務器、歷史服務器上承載的可信應用軟件白名單，在程序執(zhí)行時會與白名單庫進行比較、匹配、判斷，如果發(fā)現(xiàn)其不符合白名單中的特征，其主機加固系統(tǒng)將會對此程序執(zhí)行阻斷或告警，避免主機網(wǎng)絡受到已知或未知攻擊，同時還可有效的阻止操作人員異常操作帶來的危害;工控主機衛(wèi)士同時具備雙因子認證的功能，能夠滿足等保中對于主機身份鑒別的要求。同時，搭配準入控制，通過準入控制防止非法設備接入網(wǎng)絡。

3.3.2 解決的問題

部署工控主機衛(wèi)士可解決以下問題：

（1）主機系統(tǒng)及應用程序白名單保護。①應用程序白名單，對白名單以外的非法進程禁止運行，防止安全事件產(chǎn)生;②程序完整性檢查，使用證書、校驗值來檢驗程序的完整性，阻止受病毒感染或篡改程序運行;③移動存儲介質(zhì)白名單保護;④USB設備識別，支持通用USB設備識別;⑤USB設備授權，提供USB存儲設備的多種操作權限授予：讀寫、禁止使用;⑥USB設備白名單，禁止白名單以外的USB設備連接，防止安全事件產(chǎn)生;⑦USB設備審計，提供USB存儲設備的操作記錄，此記錄不可刪除、不可篡改。

（2）白名單管理。①白名單生成，通過自動掃描功能，建立白名單;②白名單導入、導出，提供白名單的導入導出功能;③白名單更新，需要運行新的程序、添加新的網(wǎng)絡服務和USB設備時，可以很方便地更新到白名單中。

（3）特定對象完整性保護。對重要的安裝目錄的文件進行完整性保護，阻止惡意程序篡改目標文件，或刪除或修改目標文件。

（4）安全事件審計。①安全事件日志，非白名單進程運行、非法USB設備接入的安全事件;②安全事件審計，安全事件的記錄不可刪除和篡改。

3.4 日志審計與分析解決方案

3.4.1 解決方案

為滿足國家相關政策、標準規(guī)范對日志收集與審計的需求，需在一期DCS系統(tǒng)和二期DCS系統(tǒng)安全管理中心各部署1臺日志審計與分析系統(tǒng)。日志審計與分析系統(tǒng)能夠?qū)崟r將DCS系統(tǒng)網(wǎng)絡中各種設備，如操作員站、服務器、網(wǎng)絡裝置等設備的日志信息，進行收集、處理和分析，協(xié)助設備維護人員從大量的設備日志記錄中快速準確地發(fā)現(xiàn)安全事件，及時對安全事件進行查找和阻止。

3.4.2 解決的問題

部署日志審計與分析系統(tǒng)可解決以下問題：

（1）安全事件日志采集監(jiān)控統(tǒng)計。提供對主機、網(wǎng)絡設備、安全設備和應用系統(tǒng)安全日志事件的實時監(jiān)控和多維度統(tǒng)計，通過事件列表展示當前網(wǎng)絡的實時活動，依據(jù)IP地址、事件類型等維度進行安全事件的統(tǒng)計，以可視化餅狀圖、柱狀圖、堆積圖等形式進行展示。

（2）數(shù)據(jù)庫行為審計。實時監(jiān)視和記錄數(shù)據(jù)庫的運行狀態(tài)，對數(shù)據(jù)庫進行管理，確保其審計的合規(guī)性。同時對風險行為觸發(fā)告警，阻止攻擊事件。

（3）安全事件高速查詢。提供自定義形態(tài)的混合搜索功能，在用戶自定義日志范式字段收縮的基礎上，結(jié)合大數(shù)據(jù)全文索引技術，實現(xiàn)安全事件的快速查詢。

（4）安全事件關聯(lián)分析。內(nèi)置豐富的關聯(lián)分析場景，并具有關聯(lián)分析場景可視化編輯功能，通過不同字段的組合和與、或、非等運算符構建復雜關聯(lián)分析規(guī)則，結(jié)合資產(chǎn)屬性，將多事件源進行關聯(lián)分析，及時發(fā)現(xiàn)網(wǎng)絡攻擊和違規(guī)等行為。

3.5 安全運維審計管理系統(tǒng)解決方案

3.5.1 解決方案

在一期DCS系統(tǒng)和二期DCS系統(tǒng)安全管理中心各部署一臺安全運維管理系統(tǒng)，切斷運維終端對系統(tǒng)網(wǎng)絡設備或前臺主機資源的直接訪問，采用協(xié)議代理的方式，實現(xiàn)對系統(tǒng)內(nèi)各網(wǎng)絡設備、主機設備、應用系統(tǒng)、數(shù)據(jù)庫等集中有序的運維安全管理，對運維人員從登錄到退出的全程操作行為進行審計，從而加強DCS系統(tǒng)及設備遠程維護的安全管理。

3.5.2 解決的問題

部署安全運維管理系統(tǒng)可解決以下問題：

（1）統(tǒng)一用戶身份認證。堡壘機為企業(yè)運維人員創(chuàng)建唯一的自然人賬號（即主賬號），此賬號如同個人的身份證一樣，與個人綁定。在運維過程中，主賬號與其權限內(nèi)的設備賬號（從賬號）進行關聯(lián)，做到企業(yè)資源信息的實名制訪問。

（2）系統(tǒng)資源管理。堡壘機支持豐富的資源管理功能。資源類型：Unix資源、網(wǎng)絡資源、Windows資源、數(shù)據(jù)庫資源、C/S資源、B/S資源、中間件資源、大型機資源。協(xié)議類型：支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等協(xié)議。

（3）資源賬號密碼管理。堡壘機支持對資源賬號密碼的管理功能。密碼管理功能主要是對資源賬號密碼定期自動變更管理，以防止賬號密碼被暴力破解或無意泄露而引發(fā)的安全性問題。

（4）訪問授權管理。堡壘機通過對資源賬號訪問權限進行細粒度控制，確保每個運維人員擁有最小訪問權限。系統(tǒng)訪問授權管理通過角色管理和崗位授權管理來實現(xiàn)。

（5）運維行為審計。堡壘機支持用戶對各種網(wǎng)絡資源的訪問操作行為進行審計。

（6）運維流程管理。堡壘機內(nèi)置了運維工作流程管理功能，企業(yè)可以通過運維工作流程來規(guī)范運維人員的運維過程。

4 結(jié)語

控制系統(tǒng)就像是電廠生產(chǎn)流程的神經(jīng)系統(tǒng)，其安全性是電廠安全生產(chǎn)和運營的基礎?？刂葡到y(tǒng)的控制器、服務器和操作員站等主要設備，是通過網(wǎng)絡總線進行連接進行數(shù)據(jù)交換，各設備的工作均依賴于網(wǎng)絡。因此，控制系統(tǒng)中網(wǎng)絡總線的安全性就顯得尤為重要。通過控制系統(tǒng)安全防護提升研究方案，提高控制系統(tǒng)各重要設備和網(wǎng)絡系統(tǒng)的本質(zhì)安全，是確保電廠生產(chǎn)安全的重要舉措。一個穩(wěn)定可靠的電廠生產(chǎn)流程是電網(wǎng)穩(wěn)定可靠的供電源頭，終將會為國民經(jīng)濟發(fā)展發(fā)揮重要的作用。

參考文獻

[1] 劉貞，何躍鷹，丁歡.軌道交通列控系統(tǒng)網(wǎng)絡安全風險和防護對策研究[J].鐵路通信信號工程技術，2020，17（12）：1-7.

[2] 郭城軼.高校網(wǎng)絡意識形態(tài)安全及其應對策略研究[J].現(xiàn)代職業(yè)教育，2021（1）：76-77.

[3] 陳銳.基于大數(shù)據(jù)的計算機網(wǎng)絡安全研究[J].黑龍江科學，2020，11（24）：124-125.

[4] 祝彥峰.網(wǎng)絡交換機安全加固策略探討[J].網(wǎng)絡安全技術與應用，2020（6）：9-10.

[5] 李俊.網(wǎng)絡安全加固工作的分析與探討[J].網(wǎng)絡安全技術與應用，2020（4）：19-20.

[6] 郭翔.電力監(jiān)控系統(tǒng)安全防護與網(wǎng)絡安全加固的探討[J].中國新通信，2020，22（2）：144.