不同DCS控制系统主机加固策略对比
2022-07-22雷建军
雷建军
[摘 要]随着互联网的快速发展,网络安全日益受到重视。根据国家等保测评和电力系统二次安防要求,对DCS系统相关设备通过增加安全防护设备和安全加固软件,从网络层面、主机层面、安全管理审计等方面综合防治,提高机组 DCS 系统的安全防护能力,保证电力监控系统安全可靠运行。电厂控制系统不断发展,各种通用的网络技术被广泛应用于电厂控制系统,其安全问题日益突出。
[关键词]网络安全;主机加固;DCS控制系统
[中图分类号]TP273 [文献标志码]A [文章编号]2095–6487(2022)05–000–03
Comparison of the Host Reinforcement Strategy of Different DCS Control Systems
Lei Jian-jun
[Abstract]With the rapid development of the Internet, network security is paying more and more attention.According to the national security assessment and the secondary security requirements of the power system, the DCS system related equipment through the safety protection equipment and security reinforcement software from the network level, host level, safety management audit, improve the safety protection ability of the DCS system, ensure the safe and reliable operation of the power monitoring system.Power plant control system is constantly developing, various general network technologies are widely used in power plant control system, and its safety problems are increasingly prominent.
[Keywords]network security; host reinforcement; DCS control system
1 DCS网络控制系统及存在风险
目前国内发电种类主要包括火电、水电、核电、风电及其他绿色环保电力,其中火电在电力结构中占比最高。伴随着大容量、高参数火电机组的不断投产和运行,其对自动化控制的要求也不断提高,新型电厂控制系统已向数字化和智能化进行转变。电厂控制系统不断发展,各种通用的网络技术被广泛应用于电厂控制系统,其安全问题日益突出。但是相比互联网网络安全的热度,电厂控制系统的网络安全一直“备受冷落”。直到近年国外发生多起因黑客网络攻击导致电力系统瘫痪的事件,才引起人们对电厂控制系统信息安全的重视。
2010年,伊朗“震网病毒”事件震惊全球。2012年,两座美国电厂遭USB病毒攻击,感染了电厂控制系统,相关控制数据被窃取。2015年,乌克兰电力系统遭到具有高度破坏性的恶意软件攻击,造成大规模停电事故。2019年3月委内瑞拉发生大规模停电事件。网络攻击水电站计算机系统中枢是造成大规模停电的重要原因。
随着网络和计算机技术的发展,特别是信息化与工业化深度融合,工控系统产品越来越多地采用通用协议和硬件,以各种方式与互联网等公共网络连接,从而导致工控系统被网络攻击的风险增大,保护工控系统信息安全刻不容缓。
Windows操作系统现已成为工控机操作站的主流,每个型号的Windows系统自发布以来都在不停发布更新补丁,打过补丁的操作系统没有经过制造商测试,存在不安全运行的风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成操作站乃至整个控制网络的瘫痪。
黑客入侵和工控应用软件的自身漏洞通常发生在远程工控系统的应用上,另外,对于分布式的大型工控网,人们为了控制监视方便,安装无线网卡方式实现远程诊断与分析,同时也不可避免地给黑客入侵带来了方便之门,无线网络技术使用带来的网络防护边界模糊。
2 不同DCS控制系统网络加固策略对比
2.1 一单元艾默生DCS控制系统
2.1.1 改造方案
(1)DCS系统可实施架构范围:DCS整体网络在上层利用核心交换机将晋能阳光电厂1期1号机、2号机和公用部分联接。单元机组采用生成树结构,由根交换机管理扩展交换机到各个设备。DCS网络相对独立,与第三方系统有通讯接口处为DCS系统边界。1号机、2号机与公用系统与SIS系统均有采用OPC协议的通讯。2号机组DCS系统状态见图1。
(2)为了满足加强DCS系统网络安全防护同时保证DCS系统原有功能安全稳定运行的目标,对DCS系统相关设备通过增加安全防护设备和安全加固软件,从网络层面、主机层面、安全管理审计等方面综合防治,提高机组DCS系统的安全防护能力,保证电力监控系统安全可靠运行。
(3)边界安全防护:根据等保标准、能源局36号
文、工信部《工业控制系统信息安全防护指南》,在DCS与SIS的边界部署工业防火墙加入侵监测,在核心交換机部署入侵监测加网络流量审计。已部署的安全设备通过统一安全管理平台和人机接口管理、审计、配置操作。
工业防火墙串联接入在DCS的OPC服务器和DMZ路由器交换机之间,有效防范从SIS和外部入侵的恶意软件、病毒程序、木马程序等,实现纵向隔离。
入侵监测旁路部署在工业防火墙到SIS的链路上,以及核心交换机层。监听DCS和SIS通讯的全部流量和网络信息,可以实时分析可疑的攻击行为,并且通过最新的恶意软件特征库匹配可能的攻击行为。一旦事件和行为匹配就会发出报警,实现纵向隔离和横向防护。
网络流量审计旁路部署在2号机组根交换机层,监听DCS系统各套机组之间的网络行为和网络流量。按照预先设置的流量基线,在网络内的设备与节点无流量或者流量超过设备承受极限时发出报警。并且通过学习收集所有设备之间的网络行为,做成白名单,出现白名单之外的网络行为时,会发出报警,实现横向防护。
(4)计算环境防护:在2号机DCS系统操作员站、OPC站、历史站、工程师站、服务器等工业主机上部署主机安全防护和加固软件,实现身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等功能,同时启用操作系统自身的安全策略,实现操作系统自身安全性的提升和审计、记录。在2号机DCS系统电脑主机上安装日志审计客户端软件,收集所有2号机DCS的电脑主机上的日志和记录,包括Windows操作系统本身的日志,DCS系统的事件和错误日志。通过部署的主机安全防护软件,实现外设管理,阻断2号机DCS电脑主机从物理接口的攻击入侵。通过部署USB智能钥匙,实现智能登入,并且与域用户绑定,有效控制非法登录和越权操作。
(5)数据安全防护:在2号机DCS系統已经通过主机防护软件进行安全加固和防护的前提下,采用有固化分区配置的安全U盘,实现DCS系统内部的数据摆渡。从物理上做到了专区专用,全程加密传输,且无法通过人机接口修改分区配置,保证了安全U盘的安全专区在任何环境的安全。
(6)综合运营和集中管理:在PWCS-C系统内的统一安全管理平台和人机接口,可以在一个界面实现多个安全设备的策略、日志、报警信息管理,并且通过各个设备的信息综合分析当前系统的安全状况。收集到的DCS系统内部信息会统一存储到日志审计设备中,所有事件可在人机接口以日期、时间、主体、客体和详细内容进行追溯,使得管理更加科学化和合理化。
2.1.2 工程效果总结及投资回报分析
(1)在PWCS-C安全系统布置完成后,在系统和OVATION DCS系统边界完成扰动测试,验证极端情况下,安全网络审计、入侵监测和统一管理平台连接失去时,对OVATION DCS系统核心业务数据网络做到无任何扰动。项目实施从开始到结束过程中,确保不会影响目前控制系统正常运行,不会更改DCS控制系统的逻辑及参数,并确保DCS控制系统性能和操作方式不变。
(2)本项目实施后晋能阳光电厂1期DCS需提供2号机组DCS系统安全防护应满足《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)、《电力监控系统安全防护总体方案》、《发电厂监控系统安全防护方案》(国家能源局国能安全[2015]36号文)等有关标准、规定的要求。在DCS系统完成全面防护和加固的情况下,顺利通过对于2号机组的等保测评。
2.2 二单元上海新华DCS控制系统
2.2.1 实施策略
鉴于iGuard为白名单机制的安全防护软件,在部署过程中有以下需求:
(1)用户无感知,需要平滑过渡;
(2)部署初期可以发现、调整问题,影响范围可控;
(3)便于回滚;
(4)尽可能节省主机资源。
经过分析,厘定以灰度发布策略进行iGuard客户端的部署。第一部分先行部署工程师站主机。在正常操作的情况下观察36h。36h后,对系统运行情况做出评估,如出现问题,则调整系统配置继续观察。如运行无误,则继续部署剩下的操作员站,然后重复其观察过程。
待所有主机正常运行36h以上后,将系统切换至正常运行模式。
2.2.2 实施过程
2.2.2.1 安装与架构iGuard服务器
在一台工作站上先行安装了Linux操作系统,版本为Ubuntu14.04。将安装包放置在Download文件夹内。制作了软件下载包放置于/data文件夹中以供各个主机下载。
软件包包含如下文件:iGuard客户端安装程序(中文版)、Chrome for Win7 32Bit浏览器、360杀毒增强包(病毒库更新至2021-4-17)、瑞星杀毒离线包(病毒库更新至2021-4-16)、Conf.xml文件(用于使iGuard客户端进行自我进程保护与开机自启)。
服务器安装完成之后,参数如下。
(1)操作系统:版本Ubuntu14.04,用户名xinhua,初始密码111111(在移交密码后修改)。
(2)iGuard服务端:版本:V1.1.03,网页登陆账号名admin(超级管理员),网页登陆初始密码:123456(在移交密码后修改),授权期限为永久授权。
(3)iGuard客户端:进程自我保护为“是”,开机自动启动为“是”,白名单加密为“是”。
(4)网络:IP地址222.222.223.100,服务器本机登陆地址https://localhost:8080/login,工作站登陆服务器地址https://222.222.223.100:8080/login。
2.2.2.2 主机环境净化
为了保证白名单采集过程安全,对所有需要部署的主机进行了病毒与恶意软件筛查。经过比对与甄选,选择了360杀毒与瑞星杀毒进行双引擎查杀。
基于该选择的原因:360杀毒采用小红伞引擎,拥有国内较大的市场份额,故认为该杀毒软件具有较为全面的病毒库与查杀能力;瑞星杀毒软件为VB100认证程序,鉴于该认证为国际最高标准认证,故认为此杀毒软件拥有强力杀毒能力。
2.2.2.3 将客户端灰度部署至4#机组
首先对所有工程师站的主机均安装了iGuard主机安全卫士客户端。根据晋能阳光电厂要求,对Conf.xml文件进行了替换,使其客户端具有2.2.1中客户端的特性。
在执行文件过程中,所有的操作系统为Windows7 32Bit的主机出现了文件打开提示界面。由于出现该界面会影响正常操作,故将通知时间调整为“从不”。调整后重新启动主机,该现象消失。
在确认部署环境安全无毒后,对所有的工程师站主机文件进行遍历并采集了白名单,采集文件的后缀名包括.exe, .dll, .src和.mui,并全部提交至服务器合并。
所有白名单采集后,执行客户端程序,程序正常执行并运行。
所有工程师站运行iGuard客户端程序后,进行了36h的观察。期间,所有主机均在正常的工作模式下进行运行操作,36h后,调出系统日志记录,所有工程师站均未见异常。
随后,对剩余的操作员站以同样方法进行了iGuard客户端的部署。观察36h后,所有主机均未见异常。iGuard系统部署成功。
3 结束语
(1)从国家有关机构和部门对网络安全的重视程度出发,目前等保测评第2.0版本标准已经发布。火力发电厂的DCS 系统已经被强制定级为三级标准,是关系到日常生活的重要保障。目前火力发电厂的DCS系统每年都需要经受国家和集团上级直属部门的监测和检查。没有达到检查要求和未能通过检查的系统需要投入大量人力物力进行整改,接受更多的复查,在管理和经济方面承受多重压力。部署PWCS-C安全系统有助于提高等保测评的评价,最终达到在上级部门的网络安全检查中顺利通过的目的。
(2)由上海新华控制技术集团科技有限公司设计并研发的iGuard主机系统,全称iGuard主机安全卫士V1.1.03,用以帮助操作人员进行工作站计算机的管控与控制,同时对工作站计算机进行USB口的统一管理以及对操作系统的文件进行白名单管理与加载控制;以服务器+客户端的方式对受控主机进行白名单管理。部署工作完成后,将以该系统作为管理工具,以行政管理与管理工具相结合的模式,进一步加固4#机组的生产管理系统,提升系统安全系数,保障安全生产。
参考文献
[1] 杨建康. 安全加固技术在各类主机和系统中的应用[J]. 电子技术与软件工程, 2016(8):4.
[2] 俞愛荣, 林贤良, 陈金虎. 发电厂分散控制系统安全加固研究与实践[J]. 网络安全技术与应用, 2019(5):3.
[3] 周亚建.网络安全加固技术[M]. 北京:电子工业出版社, 2007.