APP下载

探讨智慧电厂下的数据网络安全体系

2022-01-17朱磊

电子元器件与信息技术 2021年9期
关键词:工控防火墙漏洞

朱磊

(国家能源集团上湾热电厂,内蒙古 鄂尔多斯 017293)

0 引言

智慧电厂是我国电力事业不断改革发展的产物,更是提升电厂现代化发展的关键所在。智慧电厂的运行要从安全、生产及设备等几个方面的智慧进行思考,全面构建起电厂的智慧运行。数据网络安全问题是影响智慧电厂安全、可靠运行的关键所在,如何处理好该问题,需要电厂针对自身实际情况,构建起数据网络安全体系,确保智慧电厂的可持续发展。因此对于智慧电厂下的数据网络安全体系进行研究具有重要意义。

1 项目概述

国家能源集团该项目为此电厂的二期扩建工程,二期扩建工程总装机容量2×660MW,直接空冷发电机组。此次智能化电厂建设项目结合集团先进管理理念,通过云、大、物、移、智等新型技术手段,以需求为导向,实现智能化生产运行、主动安全管理和智能经营与决策等,在数据融合和技术融合的基础上,打造一体化管控平台,实现应用融合和安全融合,解决电厂各项生产经营管理问题[1]。为了更好达到智能化电厂建设目标,从以设备为中心的生产管理、以人为中心的安全管理和以财务为中心的经营管理三个方面,开展智能化电厂研究与建设工作。智能DCS系统建设是在机组DCS功能基础上,通过网络结构调整、智能硬件部署,形成智能发电运行控制平台。通过智慧电厂的建设,数据网络安全问题成为人们关注的重点,因此本文在该案例基础上,就智慧电厂下的数据网络安全体系进行介绍。

2 智慧电厂下的数据网络安全风险

2.1 互联网风险

智慧电网对于互联网的依赖性较高,尤其是在连成广域网之后,受到外部安全攻击的概率增加。安全攻击主要有网络病毒、钓鱼工具、等“黑客”手段,所以这些问题也成为智慧电厂数据网络安全风险的主要来源[2]。

2.2 内部网络风险

内部网风险是网络安全事件的主要来源,内部网络风险面临着更加严峻的形势。智慧电厂员工的不当操作,或者监管不力都会对内部网络安全造成极大影响,比如信息泄露、系统遭受攻击等。

2.3 安全监管风险

网络安全监管是确保智慧电网网络安全运行的重要手段,但是就目前来看,此电厂在一期项目中网络安全方面还是比较薄弱的,无法构建起网络安全体系,监管方法、技术等相对比较落后,无法为智慧电厂网络安全运行提供可靠支持。

3 智慧电厂下的数据网络安全体系的构建

针对新型的智慧电厂,需要在数据网络安全体系的构建过程中,该项目管理人员已经认识到数据网络安全的重要性,针对实际情况,制定可靠的构建策略。下面就对智慧电厂下的数据网络安全体系进行介绍:

3.1 系统建设方案

数据网络安全监管系统通过大数据的应用,构建起开放的平台架构设计,为便于模块的灵活布置,应用接口更为业界通用。系统架构可以分为展示层、监测层、大数据层、接入层与感知层五个模块[3]。在平台功能设计时,数据网络安全监管系统的应用,需要对安全风险进行识别与评估。在对网络漏洞进行挖掘时,需要通过端口扫描等途径,与指纹进行匹配,能快速对网络服务存在的安全隐患或者脆弱点进行分析,最终形成漏洞结果。通过威胁评估,可以对安全风险进行精准识别,并最终在系统应用下,将监测结果直观呈现出来。建设智慧化电厂统一网络安全保护平台,建立协同安全保护中心,实现网络空间立体协同防护,网络安全业务实现模块按需部署,集中实现网络边界接入安全保护、边界防火墙与入侵保护,有效管控非法外联与非法入网;内部网信空间的上网行为安全审计机制,有效处置内网病毒、系统漏洞缺陷及系统维护操作的安全隐患,建立边界保护、区域内网空间统一安全防护、网络通信传输加密保护,网络资产运行状态可实时监测的统一网络安全保护机制,实现网络安全统一监测指挥、各安全业务模块化具体负责安全事件处置的统一网络安全保护机制。

3.2 运用到的核心技术

智慧电厂下的数据网络安全体系的构建会运用到大数据技术、数据融合技术等几种技术,具体如表1所示。

表1 核心技术

3.3 漏洞挖掘

在对漏洞进行挖掘期间,可以通过漏洞挖掘检测系统的应用,为工控安全漏洞库及设备库等提供丰富、全面的工控协议测试用例库、模糊测试引擎。常见的工控协议主要包括Modbus、Profinet等,通过定制开发与协议智能测试等,对私有位置协议模式提供具体解决方案[4]。

智慧电厂利用漏洞挖掘系统,可以对漏洞产生的根源进行精准定位,对攻击原理进行梳理,然后捕获数据包,这时可以对所捕获的数据包进行漏洞分析[5]。这样管理人员可以对数据进行修改,然后从数据包的分析结果出发,开展性能测试工作,并最终找到漏洞出现的根本原因。当有潜在的网络数据信息安全漏洞时,能快速识别漏洞,评价漏洞等级,并具有针对性的进行完善。

3.4 工控协议漏洞分析

工控协议漏洞分析的基本原理是模糊测试,模糊测试在实际应用中的方法主要有预生成测试用例、自动协议生成测试、随机生成输入等几种。以模糊测试为基础,构建起通信协议动态随机分析测试框架,对同性协议健壮性检测评估系统进行建设。通过这样的方式对工控协议漏洞进行分析。

3.5 脆弱点分析

智慧电厂在进行脆弱点分析时,需要使用静态扫描、模糊测试等综合方法,通过静态扫描对被测系统进行扫描,然后呈现匹配的报告。对于业务逻辑的脆弱点,则可以在逆向还原的方式下发现。在对程序进行测试时,可以利用Fuzz技术实现,对程序执行的状态进行测试,将可能存在的bug数据记录进行筛选,精准定位漏洞脆弱点。

3.6 威胁评估

智慧电厂通过威胁评估,对存在的网络数据安全问题进行及时发现,分析的主要模块为威胁分析、流量分析等几个模块。该平台在实际应用中,支持的工控和IT协议数量达到70种,对网络安全控制中的系统、设备等中的威胁因素进行有效识别,然后可以地网络安全风险进行评价,将漏洞分析在报告中进行详细分析,为管理人员提供可靠参考。

3.7 智能报警

智能报警应综合采用机理建模、数据分析、人工智能等先进技术,优化报警能力,大幅度减少无效报警,快速定位报警根源,保证操作人员有足够的响应时间,并能够提供适当鉴别信息和做出指导,提高机组的监控品质。智能报警的软硬件要求具体如表2所示。

表2 软硬件要求

3.8 工业防火墙及隔离装置

原有的防火墙无法满足新的网络数据安全问题,需要使用工业防火墙,对原有的防火墙就代替,并增加工业隔离器,采用横向隔离,纵向加密等手段确保网络攻击无法获进入工控系统内,在简单的ACL控制下,无法对各类攻击进行有效应对,但是工业防火墙在应用之后,能将网络中的攻击流量进行深层次的检测。工业防火墙在关键系统与非关键系统的隔离过程中,能通过分离SIS系统网络及控制系统网络完成此项工作。

4 结语

智慧电厂是我国电力事业改革的重要步骤,通过智慧电厂的建立,能提升电厂的生产与运营水平,为我国特色社会主义事业建设提供支持。数据网络安全问题成为影响智慧电厂发展的关键所在,因此需要针对实际情况,制定数据网络安全体系,确保智慧电厂的可靠、安全运行,减少由于网络数据安全而造成的经济损失,实现我国电力事业的可持续发展。

猜你喜欢

工控防火墙漏洞
漏洞
构建防控金融风险“防火墙”
工控速派 一个工控技术服务的江湖
工控速浱 一个工控技术服务的江湖
三明:“两票制”堵住加价漏洞
漏洞在哪儿
热点追踪 工控安全低调而不失重要
基于攻击图的工控系统脆弱性量化方法
在舌尖上筑牢抵御“僵尸肉”的防火墙
高铁急救应补齐三漏洞