摘要:本文对某热电公司全厂MIS、SIS、DCS、PLC、CEMS环保数据无线传输等工业控制网络及办公自动化网络进行了系统阐述,并对网络运行期间的安全防范措施做了初步的总结。
关键词:恶意代码;横向隔离;控制系统;风险独立;网络隔离;失控;盖振;防火墙;SIS系统;风险独立
一、网络概述
某热电公司SIS系统以分散控制系统DCS为基础,集发电实时生产过程监测、优化控制、实时生产过程管理为一体,作用是提高机组运行的安全性和经济性,提供在线分析和指导,并为管理决策服务。
为防范黑客及恶意代码等对电力二次系统所造成的攻击侵害,避免引发电力系统事故,根据《电网和电厂计算机监控系统及调度数据网络安全防护规定》和《电力系统安全防护规定》规定要求,电力系统二次系统安全防护工作做到了坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,企业内部基于计算机和网络技术的业务系统,已按照原则划分为生产控制大区和管理信息大区,生产控制大区可分为控制区Ⅰ(安全区Ⅰ)和非控制区Ⅱ(安全区Ⅱ)。
热控系统主要网络设备有DCS控制系统,化学PLC控制系统,输灰PLC系统,环保CEMS系统等,与外界设备连接情况如下图所示:
据上图,控制系统与SIS系统连接主要为通讯连接,与电气电网设备连接主要为硬接线连接,DCS系统,PLC控制系统及CEMS系统与外网连接均为单向连接,数据单向传送,主要网络安全风险存在于通讯连接中,通过通讯方式可入侵DCS控制系统,对电厂控制系统DCS产生攻击,电厂控制设备如:DCS、PLC控制系统岛存在出现运行一次设备失控故障安全隐患。
电气系统划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区Ⅱ)。控制区业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等,非控制区的业务系统包括继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等。目前某热电公司电力通信设备实现了“双通道,双路由”的双重化配置,继电保护等重要通信信息采用单独通道,基本满足“安全分区、网络专用、横向隔离、纵向认证”的原则。
二、安全防范重点及发现问题
某热电公司SIS系统属于控制大区中的安全Ⅱ区,通过环路分析,网络安全风险主要发生在SIS系统与DCS系统之间,现计算机管理中心在DCS系统与SIS系统之间已安装有硬件防火墙,使用电力系统专用安全网络隔离装置(HR wall-85M-Ⅱ)可有效杜绝不法人员从外部入侵热控系统事件,各控制系统之间无连接无通讯相互独立,安全风险互相不交叉,做到了风险独立,但因控制系统本身自带系统为WIN XP系统,其漏洞较多,若防火墙出现漏洞,控制系统将十分脆弱,无任何防护措施,控制系统操作软件将会得到极大破坏,经检查可能产生的安全隐患如下:
1 控制系统均采用WIN XP系统,此系统已不更新,无官方补丁升级包,系统漏洞较多,若防火墙突破则控制系统及其脆弱,极易瘫痪。
2 控制系统操作软件中未安装正版杀毒软件,操作系统中有隐藏病毒,若病毒爆发将严重影响系统安全运行。
3 控制系统中无木马查杀软件,控制系统操作软件中的木马病毒可反向通过防火墙向外界发送信息,一旦被远程利用后果将十分严重。
4 部分辅机控制系统操作员站、工程师站计算机USB插口未封闭,U盘等移动存储设备可随意插拔,给设备安全运行带来安全隐患。
5 DCS控制系统与SIS系统为单层防火墙系统,若防火墙故障或停止运行将直接影响DCS及PLC系统控制计算机运行,有可能造成控制系统全面失灵。
6 部分计算机远程服务管理端口未关闭,允许远程操作功能,若被利用极易造成DCS等操作员、工程师站计算机失控。
三、网络安全管理及防护措施
3.1 网络安全管理
依据《国家能源局综合司关于开展电力系统安全防护专项检查工作的通知》(国能综安全[2016]92号文)及《XX集团关于开展发电企业电力监控系统安全防护自查工作的通知》安函[2016]9号文的要求,自3月2日至3月14日,公司组织信息中心、电气及热控专业人员积极开展为期两周的自查工作,具体内容如下:
3.1.1 3月2日至4日完成发电机组设备:发电厂计算机监控系统(SIS等)分散控制系统(DCS、CCS等)电网调度自动化系统(AGC/AVC)电力通信网络等硬件网络设备、端口等检查。
3.1.2 3月5日至10日完成变电站设备:自动化系统、监控系统、故障录波装置、与外网连接设备等进行全面检查梳理工作。
3.1.3 3月11日完成系统检查工作,并制定整改计划。
3.2 针对发现隐患制定的安全防护措施
根据现阶段检查结果及现场实际情况,制定以下整改防范措施,以加强系统防护:
3.2.1 SIS系统中心机房配有单独的配电柜,容量有冗余,且配置UPS不间断电源系统,持续供电不少于2小时。机房安装有自动调节空调,有防火、防尘、防静电等设施。
3.2.2 DCS机房与信息机房通信采用冗余光缆,主要数据通信交换采用冗余设备,当运行中的设备出现问题时,备用设备自动投入。
3.2.3 SIS系统按照相关文件进行了安全分区,SIS系统属于生产控制大区非控制区即安全区Ⅱ,用于监视和采集实时数据。实行网络专用,Ⅰ、Ⅱ区之间采用有访问控制的防火墙设备,SIS系统安全Ⅱ区与信息系统安全Ⅲ区之间布置有电力系统专用的网络隔离装置,重要生产系统实时数据通过SIS系统向国家电网公司传送,SIS系统与国家电网网络加装有纵向加密认证装置。我公司内、外网实行完全的物理隔离,SIS系统关闭所有远程登录端口。
3.2.4 SIS 系统关键设备都采样国家安全检测通过的产品,操作系统等软件也都通过国家相关部门认证通过,横向隔离设备采样电力系统专用的珠海鸿瑞公司的产品,各应用系统的账号权限符合管理要求,并由专人负责保管。
3.2.5 某热电公司SIS系统由专人负责管理,并接受了相关的技术培训,具备了管理系统的资质,系统所有设备禁止接入移动介质,封闭所有远程接入端口,网络和信息安全预案完善并定期演练。
3.2.6 热工人员分级授权使用工程师站,操作员站等人机接口,增加计算机系统密码的复杂性,使用字母字符数字无顺序编码的密码。
3.2.7 严禁在DCS系统中使用非DCS软件,各种小工具及小程序须删除,防止程序后门被利用。
3.2.8 严禁非授权人员使用工程师站和操作员站计算机人机接口,计算机操作必须在指定监护人监护下进行,防止随意进行计算机设置或者随意插拔存储设备造成病毒或木马感染。
3.2.9 工程师站、运行操作员站计算机外接USB口进行禁用,从BIOS底层硬件设置中禁用,鼠标及键盘连接处应做好标识,无异常情况禁止随意插拔。3.2.10 计划在DCS及PLC计算机中安装正版工业级防毒杀毒软件,安装查杀木马软件,保证其实时监控,定期对系统杀毒软件病毒库进行更新升级,确保软件为最新版本,以提高计算机防护能力。
3.2.11 严禁在系统操作计算机上使用移动存储设备,计划采购移动式DVD刻录光驱及光盘,以光盘为介质完成数据转移,确保病毒与系统有效隔离;
3.2.12 对系统软件及程序定期做好备份,备份应与现系统保持一致,对同类型计算机进行标准化管理,确保备份系统通用,计算机故障后可及时进行恢复;
3.2.13 计划进行计算机操作系统改造升级,由无升级补丁支持的WIN XP系统升级至正版WIN 7系统,根据外网系统运行情况随时更新系统补丁包,确保操作系统与外网同步更新,提高系统运行的安全性和稳定性。
3.2.14 计划在DCS及SIS系统之间再增加第二道硬防火墙,确保网络通讯安全。
3.2.15 对现有计算机安全措施进行检查,对其管理程序及服务进行逐一核对,关闭与外网有关的服务,杜绝不法人员通过系统服务程序进行攻击。
3.2.16 禁止随意插入无线网卡及无线路由等极易与外界数据连接的设备,杜绝DCS及相关控制系统直接与外网相连接。
3.2.17 同时,已按照要求配置通信及调度自动化兼职人员一名,专人负责维护厂站内部所有监控通信设备,负责配合省调及地调完成相关工作。并制定齐全外部设备接入管理、移动介质管理、远程拨号管理等制度及网络与信息安全应急预案。
3.2.18 电气监控系统所配服务器、交换机、纵向加密装置均通过国家安全检测,操作系统、关系数据库等基础软件采用了国家有关部门安全监察的安全系统,SCADA/AGC/AVC等应用功能使用调度数字证书认证,相关账号、权限进行严格管理。
3.2.19 对某热电公司电力系统后台计算机进行独立管理,防止外界存储介质接入,对计算机操作系统安装防病毒软件,防止病毒侵入,同时杜绝计算机与外界互联网相连,关闭计算机远程服务,有效防止了外部攻击。
结束语
本文对火电厂SIS系统、办公自动化系统、DCS、PLC、CEMS系统网络间的防恶意攻击进行了细致分析总结,为日常网络安全工作的开展提供了参考方案。
参考文献:
[1]《电力二次安全防护技术在工业控制系统中的应用》,2013版
[2]《工业控制系统信息安全》,2015版
[3]《工业控制系统安全综述》,2016版
[4]《电力二次系统网络信息安全防护的设计》,2016版
论文作者:顾彬
论文发表刊物:《电力设备》2017年第16期
论文发表时间:2017/10/17
标签:系统论文; 控制系统论文; 计算机论文; 网络论文; 设备论文; 控制区论文; 大区论文; 《电力设备》2017年第16期论文;