雷建軍

[摘 ? ?要]隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全日益受到重視。根據(jù)國家等保測評和電力系統(tǒng)二次安防要求，對DCS系統(tǒng)相關(guān)設(shè)備通過增加安全防護設(shè)備和安全加固軟件，從網(wǎng)絡(luò)層面、主機層面、安全管理審計等方面綜合防治，提高機組 DCS 系統(tǒng)的安全防護能力，保證電力監(jiān)控系統(tǒng)安全可靠運行。電廠控制系統(tǒng)不斷發(fā)展，各種通用的網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用于電廠控制系統(tǒng)，其安全問題日益突出。

[關(guān)鍵詞]網(wǎng)絡(luò)安全;主機加固;DCS控制系統(tǒng)

[中圖分類號]TP273 [文獻標志碼]A [文章編號]2095–6487（2022）05–000–03

Comparison of the Host Reinforcement Strategy of Different DCS Control Systems

Lei Jian-jun

[Abstract]With the rapid development of the Internet， network security is paying more and more attention.According to the national security assessment and the secondary security requirements of the power system， the DCS system related equipment through the safety protection equipment and security reinforcement software from the network level， host level， safety management audit， improve the safety protection ability of the DCS system， ensure the safe and reliable operation of the power monitoring system.Power plant control system is constantly developing， various general network technologies are widely used in power plant control system， and its safety problems are increasingly prominent.

[Keywords]network security; host reinforcement; DCS control system

1 DCS網(wǎng)絡(luò)控制系統(tǒng)及存在風(fēng)險

目前國內(nèi)發(fā)電種類主要包括火電、水電、核電、風(fēng)電及其他綠色環(huán)保電力，其中火電在電力結(jié)構(gòu)中占比最高。伴隨著大容量、高參數(shù)火電機組的不斷投產(chǎn)和運行，其對自動化控制的要求也不斷提高，新型電廠控制系統(tǒng)已向數(shù)字化和智能化進行轉(zhuǎn)變。電廠控制系統(tǒng)不斷發(fā)展，各種通用的網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用于電廠控制系統(tǒng)，其安全問題日益突出。但是相比互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的熱度，電廠控制系統(tǒng)的網(wǎng)絡(luò)安全一直“備受冷落”。直到近年國外發(fā)生多起因黑客網(wǎng)絡(luò)攻擊導(dǎo)致電力系統(tǒng)癱瘓的事件，才引起人們對電廠控制系統(tǒng)信息安全的重視。

2010年，伊朗“震網(wǎng)病毒”事件震驚全球。2012年，兩座美國電廠遭USB病毒攻擊，感染了電廠控制系統(tǒng)，相關(guān)控制數(shù)據(jù)被竊取。2015年，烏克蘭電力系統(tǒng)遭到具有高度破壞性的惡意軟件攻擊，造成大規(guī)模停電事故。2019年3月委內(nèi)瑞拉發(fā)生大規(guī)模停電事件。網(wǎng)絡(luò)攻擊水電站計算機系統(tǒng)中樞是造成大規(guī)模停電的重要原因。

隨著網(wǎng)絡(luò)和計算機技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合，工控系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議和硬件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，從而導(dǎo)致工控系統(tǒng)被網(wǎng)絡(luò)攻擊的風(fēng)險增大，保護工控系統(tǒng)信息安全刻不容緩。

Windows操作系統(tǒng)現(xiàn)已成為工控機操作站的主流，每個型號的Windows系統(tǒng)自發(fā)布以來都在不停發(fā)布更新補丁，打過補丁的操作系統(tǒng)沒有經(jīng)過制造商測試，存在不安全運行的風(fēng)險。但是與之相矛盾的是，系統(tǒng)不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成操作站乃至整個控制網(wǎng)絡(luò)的癱瘓。

黑客入侵和工控應(yīng)用軟件的自身漏洞通常發(fā)生在遠程工控系統(tǒng)的應(yīng)用上，另外，對于分布式的大型工控網(wǎng)，人們?yōu)榱丝刂票O(jiān)視方便，安裝無線網(wǎng)卡方式實現(xiàn)遠程診斷與分析，同時也不可避免地給黑客入侵帶來了方便之門，無線網(wǎng)絡(luò)技術(shù)使用帶來的網(wǎng)絡(luò)防護邊界模糊。

2 不同DCS控制系統(tǒng)網(wǎng)絡(luò)加固策略對比

2.1 一單元艾默生DCS控制系統(tǒng)

2.1.1 改造方案

（1）DCS系統(tǒng)可實施架構(gòu)范圍：DCS整體網(wǎng)絡(luò)在上層利用核心交換機將晉能陽光電廠1期1號機、2號機和公用部分聯(lián)接。單元機組采用生成樹結(jié)構(gòu)，由根交換機管理擴展交換機到各個設(shè)備。DCS網(wǎng)絡(luò)相對獨立，與第三方系統(tǒng)有通訊接口處為DCS系統(tǒng)邊界。1號機、2號機與公用系統(tǒng)與SIS系統(tǒng)均有采用OPC協(xié)議的通訊。2號機組DCS系統(tǒng)狀態(tài)見圖1。

（2）為了滿足加強DCS系統(tǒng)網(wǎng)絡(luò)安全防護同時保證DCS系統(tǒng)原有功能安全穩(wěn)定運行的目標，對DCS系統(tǒng)相關(guān)設(shè)備通過增加安全防護設(shè)備和安全加固軟件，從網(wǎng)絡(luò)層面、主機層面、安全管理審計等方面綜合防治，提高機組DCS系統(tǒng)的安全防護能力，保證電力監(jiān)控系統(tǒng)安全可靠運行。

（3）邊界安全防護：根據(jù)等保標準、能源局36號

文、工信部《工業(yè)控制系統(tǒng)信息安全防護指南》，在DCS與SIS的邊界部署工業(yè)防火墻加入侵監(jiān)測，在核心交換機部署入侵監(jiān)測加網(wǎng)絡(luò)流量審計。已部署的安全設(shè)備通過統(tǒng)一安全管理平臺和人機接口管理、審計、配置操作。

工業(yè)防火墻串聯(lián)接入在DCS的OPC服務(wù)器和DMZ路由器交換機之間，有效防范從SIS和外部入侵的惡意軟件、病毒程序、木馬程序等，實現(xiàn)縱向隔離。

入侵監(jiān)測旁路部署在工業(yè)防火墻到SIS的鏈路上，以及核心交換機層。監(jiān)聽DCS和SIS通訊的全部流量和網(wǎng)絡(luò)信息，可以實時分析可疑的攻擊行為，并且通過最新的惡意軟件特征庫匹配可能的攻擊行為。一旦事件和行為匹配就會發(fā)出報警，實現(xiàn)縱向隔離和橫向防護。

網(wǎng)絡(luò)流量審計旁路部署在2號機組根交換機層，監(jiān)聽DCS系統(tǒng)各套機組之間的網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量。按照預(yù)先設(shè)置的流量基線，在網(wǎng)絡(luò)內(nèi)的設(shè)備與節(jié)點無流量或者流量超過設(shè)備承受極限時發(fā)出報警。并且通過學(xué)習(xí)收集所有設(shè)備之間的網(wǎng)絡(luò)行為，做成白名單，出現(xiàn)白名單之外的網(wǎng)絡(luò)行為時，會發(fā)出報警，實現(xiàn)橫向防護。

（4）計算環(huán)境防護：在2號機DCS系統(tǒng)操作員站、OPC站、歷史站、工程師站、服務(wù)器等工業(yè)主機上部署主機安全防護和加固軟件，實現(xiàn)身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等功能，同時啟用操作系統(tǒng)自身的安全策略，實現(xiàn)操作系統(tǒng)自身安全性的提升和審計、記錄。在2號機DCS系統(tǒng)電腦主機上安裝日志審計客戶端軟件，收集所有2號機DCS的電腦主機上的日志和記錄，包括Windows操作系統(tǒng)本身的日志，DCS系統(tǒng)的事件和錯誤日志。通過部署的主機安全防護軟件，實現(xiàn)外設(shè)管理，阻斷2號機DCS電腦主機從物理接口的攻擊入侵。通過部署USB智能鑰匙，實現(xiàn)智能登入，并且與域用戶綁定，有效控制非法登錄和越權(quán)操作。

（5）數(shù)據(jù)安全防護：在2號機DCS系統(tǒng)已經(jīng)通過主機防護軟件進行安全加固和防護的前提下，采用有固化分區(qū)配置的安全U盤，實現(xiàn)DCS系統(tǒng)內(nèi)部的數(shù)據(jù)擺渡。從物理上做到了專區(qū)專用，全程加密傳輸，且無法通過人機接口修改分區(qū)配置，保證了安全U盤的安全專區(qū)在任何環(huán)境的安全。

（6）綜合運營和集中管理：在PWCS-C系統(tǒng)內(nèi)的統(tǒng)一安全管理平臺和人機接口，可以在一個界面實現(xiàn)多個安全設(shè)備的策略、日志、報警信息管理，并且通過各個設(shè)備的信息綜合分析當前系統(tǒng)的安全狀況。收集到的DCS系統(tǒng)內(nèi)部信息會統(tǒng)一存儲到日志審計設(shè)備中，所有事件可在人機接口以日期、時間、主體、客體和詳細內(nèi)容進行追溯，使得管理更加科學(xué)化和合理化。

2.1.2 工程效果總結(jié)及投資回報分析

（1）在PWCS-C安全系統(tǒng)布置完成后，在系統(tǒng)和OVATION DCS系統(tǒng)邊界完成擾動測試，驗證極端情況下，安全網(wǎng)絡(luò)審計、入侵監(jiān)測和統(tǒng)一管理平臺連接失去時，對OVATION DCS系統(tǒng)核心業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)做到無任何擾動。項目實施從開始到結(jié)束過程中，確保不會影響目前控制系統(tǒng)正常運行，不會更改DCS控制系統(tǒng)的邏輯及參數(shù)，并確保DCS控制系統(tǒng)性能和操作方式不變。

（2）本項目實施后晉能陽光電廠1期DCS需提供2號機組DCS系統(tǒng)安全防護應(yīng)滿足《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（國家發(fā)展和改革委員會令2014年第14號）、《電力監(jiān)控系統(tǒng)安全防護總體方案》、《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》（國家能源局國能安全[2015]36號文）等有關(guān)標準、規(guī)定的要求。在DCS系統(tǒng)完成全面防護和加固的情況下，順利通過對于2號機組的等保測評。

2.2 二單元上海新華DCS控制系統(tǒng)

2.2.1 實施策略

鑒于iGuard為白名單機制的安全防護軟件，在部署過程中有以下需求：

（1）用戶無感知，需要平滑過渡;

（2）部署初期可以發(fā)現(xiàn)、調(diào)整問題，影響范圍可控;

（3）便于回滾;

（4）盡可能節(jié)省主機資源。

經(jīng)過分析，厘定以灰度發(fā)布策略進行iGuard客戶端的部署。第一部分先行部署工程師站主機。在正常操作的情況下觀察36h。36h后，對系統(tǒng)運行情況做出評估，如出現(xiàn)問題，則調(diào)整系統(tǒng)配置繼續(xù)觀察。如運行無誤，則繼續(xù)部署剩下的操作員站，然后重復(fù)其觀察過程。

待所有主機正常運行36h以上后，將系統(tǒng)切換至正常運行模式。

2.2.2 實施過程

2.2.2.1 安裝與架構(gòu)iGuard服務(wù)器

在一臺工作站上先行安裝了Linux操作系統(tǒng)，版本為Ubuntu14.04。將安裝包放置在Download文件夾內(nèi)。制作了軟件下載包放置于/data文件夾中以供各個主機下載。

軟件包包含如下文件：iGuard客戶端安裝程序（中文版）、Chrome for Win7 32Bit瀏覽器、360殺毒增強包（病毒庫更新至2021-4-17）、瑞星殺毒離線包（病毒庫更新至2021-4-16）、Conf.xml文件（用于使iGuard客戶端進行自我進程保護與開機自啟）。

服務(wù)器安裝完成之后，參數(shù)如下。

（1）操作系統(tǒng)：版本Ubuntu14.04，用戶名xinhua，初始密碼111111（在移交密碼后修改）。

（2）iGuard服務(wù)端：版本：V1.1.03，網(wǎng)頁登陸賬號名admin（超級管理員），網(wǎng)頁登陸初始密碼：123456（在移交密碼后修改），授權(quán)期限為永久授權(quán)。

（3）iGuard客戶端：進程自我保護為“是”，開機自動啟動為“是”，白名單加密為“是”。

（4）網(wǎng)絡(luò)：IP地址222.222.223.100，服務(wù)器本機登陸地址https：//localhost：8080/login，工作站登陸服務(wù)器地址https：//222.222.223.100：8080/login。

2.2.2.2 主機環(huán)境凈化

為了保證白名單采集過程安全，對所有需要部署的主機進行了病毒與惡意軟件篩查。經(jīng)過比對與甄選，選擇了360殺毒與瑞星殺毒進行雙引擎查殺。

基于該選擇的原因：360殺毒采用小紅傘引擎，擁有國內(nèi)較大的市場份額，故認為該殺毒軟件具有較為全面的病毒庫與查殺能力;瑞星殺毒軟件為VB100認證程序，鑒于該認證為國際最高標準認證，故認為此殺毒軟件擁有強力殺毒能力。

2.2.2.3 將客戶端灰度部署至4#機組

首先對所有工程師站的主機均安裝了iGuard主機安全衛(wèi)士客戶端。根據(jù)晉能陽光電廠要求，對Conf.xml文件進行了替換，使其客戶端具有2.2.1中客戶端的特性。

在執(zhí)行文件過程中，所有的操作系統(tǒng)為Windows7 32Bit的主機出現(xiàn)了文件打開提示界面。由于出現(xiàn)該界面會影響正常操作，故將通知時間調(diào)整為“從不”。調(diào)整后重新啟動主機，該現(xiàn)象消失。

在確認部署環(huán)境安全無毒后，對所有的工程師站主機文件進行遍歷并采集了白名單，采集文件的后綴名包括.exe， .dll， .src和.mui，并全部提交至服務(wù)器合并。

所有白名單采集后，執(zhí)行客戶端程序，程序正常執(zhí)行并運行。

所有工程師站運行iGuard客戶端程序后，進行了36h的觀察。期間，所有主機均在正常的工作模式下進行運行操作，36h后，調(diào)出系統(tǒng)日志記錄，所有工程師站均未見異常。

隨后，對剩余的操作員站以同樣方法進行了iGuard客戶端的部署。觀察36h后，所有主機均未見異常。iGuard系統(tǒng)部署成功。

3 結(jié)束語

（1）從國家有關(guān)機構(gòu)和部門對網(wǎng)絡(luò)安全的重視程度出發(fā)，目前等保測評第2.0版本標準已經(jīng)發(fā)布?；鹆Πl(fā)電廠的DCS 系統(tǒng)已經(jīng)被強制定級為三級標準，是關(guān)系到日常生活的重要保障。目前火力發(fā)電廠的DCS系統(tǒng)每年都需要經(jīng)受國家和集團上級直屬部門的監(jiān)測和檢查。沒有達到檢查要求和未能通過檢查的系統(tǒng)需要投入大量人力物力進行整改，接受更多的復(fù)查，在管理和經(jīng)濟方面承受多重壓力。部署PWCS-C安全系統(tǒng)有助于提高等保測評的評價，最終達到在上級部門的網(wǎng)絡(luò)安全檢查中順利通過的目的。

（2）由上海新華控制技術(shù)集團科技有限公司設(shè)計并研發(fā)的iGuard主機系統(tǒng)，全稱iGuard主機安全衛(wèi)士V1.1.03，用以幫助操作人員進行工作站計算機的管控與控制，同時對工作站計算機進行USB口的統(tǒng)一管理以及對操作系統(tǒng)的文件進行白名單管理與加載控制;以服務(wù)器+客戶端的方式對受控主機進行白名單管理。部署工作完成后，將以該系統(tǒng)作為管理工具，以行政管理與管理工具相結(jié)合的模式，進一步加固4#機組的生產(chǎn)管理系統(tǒng)，提升系統(tǒng)安全系數(shù)，保障安全生產(chǎn)。

參考文獻

[1] 楊建康. 安全加固技術(shù)在各類主機和系統(tǒng)中的應(yīng)用[J]. 電子技術(shù)與軟件工程， 2016（8）：4.

[2] 俞愛榮， 林賢良， 陳金虎. 發(fā)電廠分散控制系統(tǒng)安全加固研究與實踐[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2019（5）：3.

[3] 周亞建.網(wǎng)絡(luò)安全加固技術(shù)[M]. 北京：電子工業(yè)出版社， 2007.