水电站监控系统安全防护体系研究
2024-01-08葛创杰
荆 芳,葛创杰
(黄河勘测规划设计研究院有限公司,河南 郑州 450003)
0 引言
水电站枢纽工程是水利关键信息基础设施,也是区域电网的重要电源节点[1]。水电站监控系统作为水电站枢纽工程的核心业务系统,直接关系到闸门、水泵、发电机组等重要设备的管理运行,安全影响巨大。随着工业化和信息化的加速融合,新技术越来越多地使用,在提高自动化水平的同时,工业控制系统(以下简称工控系统)和企业管理系统的连接更加密切,系统间的跨区交互越来越多,导致原本独立、封闭的工控系统更加开放,更易受到外部冲击[2]。
近年来网络安全事件频发,针对电力、石油、水利等关键基础设施的高级可持续攻击和数据窃取行为越来越频繁。国内二滩水电厂控制系统受到异常信号攻击、伊朗核电站“震网”病毒、委内瑞拉电网控制计算机遭到攻击等诸多网络攻击事件,充分暴露了关键基础设施信息安全防御的脆弱性,针对包括水利工程在内的重要基础设施的复杂信息攻击愈演愈烈[3],因此,需要重新审视关键基础设施存在的信息安全风险。为避免黑客入侵、病毒感染、数据被窃取等安全风险,最大限度地保障水利工控系统安全平稳运行,针对典型水电站工程开展深入调研,充分掌握工程实际状况及现行管理措施,深入剖析水利工控系统安全风险及问题,针对性地提出一套完善的水电站监控系统纵深防御安全体系。
1 水电站监控系统概述
1.1 基本构成及业务流程
水电站主要由挡水、泄水、取水等建筑物及发电厂房组成,实现防洪、发电、灌溉、调水调沙等功能。监控系统是水电站实现远程自动化控制的重要途径[4],其中最为重要的 2 项功能分析如下:
1)发电控制功能。一般情况下,在收到电力调度部门下发的发电指令后,现场操作人员登录监控系统发电控制界面,发电业务以单个机组为单元进行操作,点击启动按钮,系统将自动运行空转、空载、并网发电等业务流程,期间需要持续关注油压、转子转速、机组温度、隔离阀、油压阀、电源开关等状态是否正常,业务流程如图 1 所示。
2)闸门控制功能。闸门控制一般有现地和远方2 种控制方式,现地控制权优先远方控制权。正常情况下,闸门控制多采用远方控制方式,由操作人员通过监控系统闸门控制界面下发闸门启闭指令,现地控制单元接收指令后,依照事先注入 PLC(可编程逻辑控制器)的控制逻辑,依次启动油压、动力等装置,期间监视油泵启停信号、系统压力、缸旁压力、闸门开度信号等,一旦发现异常立即停机,业务流程如图 2 所示。
1.2 系统架构
图1 发电控制业务流程图
图2 开闸控制业务流程图
水电站监控系统是一个集计算机、控制、通信、网络、电力电子设备于一体的综合自动化系统,多以独立的局域网形式存在,主要实现设备运行监视、控制调节及操作、日志报告统计、发电自动控制、有功和无功功率自动调节等功能[5]。
随着水电站信息化程度的飞速发展,设计时网络独立部署的水电站监控系统越来越多地与其他业务系统产生数据交换,目前与外部连接呈现“一网多系统”的特点:“一网”指电力调度网,监测系统经通信服务器接入电力调度网,向电力网发送发电过程的监测数据,接收来自电力系统的调度信息;“多系统”指水电站内部的其他业务系统,如水调自动化、数字孪生、生产管理等系统,其他业务系统一般需要从监控系统获取机组发电状态、闸门开度及状态、发电量数据等现场监测数据。
水电站监控系统分为过程监控层和现场控制层,系统架构如图 3 所示。上层为过程监控层,即厂级计算机监控系统,主要负责监督和控制系统各环节物理过程的功能实现,如操作员站负责现场设备运行状态监视,工程师站负责系统维护与功能调试,数据库服务器负责历史数据存储,语音报警工作站负责故障报警等。下层为现场控制层,一般由多个现地控制单元组成,以实现现场控制为主要目的,包括面向设备的指令下发、从传感器读取数据、维护过程历史记录等功能,涉及的设备包括 PLC、继电器、供电单元、交换机、集线器等。过程监控层与现场控制层之间一般由双光纤以太网组网,通常使用工业以太网协议进行通信。
图3 水电站监控系统及安全防护体系架构图
2 水电站监控系统安全风险
通过对水电站监控系统的实地调研,结合工控模拟场景漏洞挖掘工作,从技术和管理 2 个方面梳理监控系统面临的安全风险。
2.1 技术安全风险
2.1.1 区域边界风险
主要面临以下区域边界风险:
1)数据跨区交互引发风险横移。水调自动化、数字孪生等业务系统一般会与公共网络连接,通过防火墙接入监控系统,客观上打通 1 条外部网络到监控网络的通路,存在外部入侵跨区横移的风险,一旦被黑客组织攻入上位机服务器,水电站核心设备可能会被非法控制,极易引发重大安全生产事故。
2)现场控制层各控制单元防护缺失。各 LCU(现地控制单元)接入同一台交换机,之间没有相互隔离的防护措施,一旦某个 LCU 被蠕虫病毒感染,将造成 LCU 之间互相感染,易引发群体中毒事件。
2.1.2 通信网络风险
主要面临以下通信网络风险:
1)网络流量缺乏监控和审计。上位机与 LCU之间通信流量缺乏必要的监测和审计,难以对非法操作进行监控和溯源。
2)串行流量缺乏监视和检测。缺乏对现场总线网络有效通信流量的监视和检测,难以及时发现威胁流量并进行预警。
3)数据传输缺少加密认证机制。LCU 内部存在Modbus,Profibus,Modbus Plus 等串行通信协议,这些协议都是多年前设计的,缺乏加密和认证机制[6],易造成数据被窃取、被篡改等问题,无法抵挡拒绝服务、中间人、重放等常见的攻击手段。
2.1.3 计算环境风险
主要面临以下计算环境风险:
1)操作系统漏洞风险。当前很多水利工控场景的主机和服务器仍采用 Windows XP,RedHat 等操作系统,存在较高的系统漏洞风险。
2)自主可控风险。当前水利工控系统的大部分工控设备及服务由国外厂商主导,设备可能留有“后门”,且存在大量漏洞,无法实现自主可控[7]。
3)主机病毒风险。主机未安装杀毒软件或安装后无法及时更新,一旦被病毒感染,极易造成系统宕机。
4)组件间缺乏安全认证。监控系统内主机与主机之间、主机与人员之间、主机与移动存储介质之间、主机与 PLC 之间、PLC与PLC 之间、PLC 与移动存储介质之间缺乏认证手段,极易导致非法访问、接入、操作等。
5)重要数据明文存储风险。监控系统中主机配置、历史数据库中积累的大量闸门操作等重要数据的存储未采取加密措施,即使已有备份措施依然无法规避数据泄露、篡改风险。
2.2 管理安全风险
主要面临以下管理安全风险:
1)安全管理制度落实不佳。存在未按规范流程升级病毒库、账号共享、弱口令、未定期更改密码等问题,如 LCU 控制面板登录时依然使用弱口令。
2)安全配置和补丁管理不到位。对端口禁用、远程控制、默认账户管理等主机安全配置不够细化,存在 Windows和Linux 等操作系统上线后一直运行的问题,且为确保系统稳定,基本没打过补丁。
3)移动存储介质缺少技术管控手段。虽然制定了移动存储介质管理规定,但在日常使用中,为图方便,常出现即插即用的情况,导致数据拷贝行为无记录,另外,U 盘也是一个重要的病毒感染路径[8]。
4)未设置专职工控安全管理人员。存在工控安全工作由网络安全部门统一管理的问题,网络安全人员往往缺乏足够的工控安全知识,不具备工控安全事件管理能力。
5)人员安全风险意识薄弱。未定期开展工控安全教育培训,部分监控系统工作人员缺乏足够的风险意识,存在“系统从建成运行至今一直没发生问题,以后也不会有问题”“系统在独立的局域网内,不会被外部入侵”等错误认识。
3 水电站监控系统安全防护体系
针对水电站监控系统面临的安全风险,结合水电站监控系统整体架构,根据《关键信息基础设施安全保护要求》《水利网络安全保护技术规范》《数字孪生水利工程建设技术导则(试行)》《电力监控系统安全防护总体方案》要求,提出水电站监控系统安全防护体系。防护体系基于多层、多维的安全思想,从区域边界、通信网络、计算环境等 3 个维度出发,涵盖过程监控层、网络传输层、现场控制层 3 个层面,最终形成技术与管理协同、由外到内的立体防御体系,防护体系架构见图 3 中红色部分。
3.1 区域边界防护
区域边界防护包括系统外部和内部防护。依据《数字孪生水利工程建设技术导则(试行)》建议,将水电站监控系统划分到安全Ⅰ区,水调自动化、数字孪生等信息化系统横跨Ⅱ,Ⅲ和Ⅳ区。监控系统至外部系统的数据出口处部署工业隔离网闸,配置严格的数据流通策略,确保数据单向流动,阻断通过跨安全区数据交互发生风险横移的可能性。
在监控系统内部,通过在各 LCU 处部署安全网关,既能实现上层过程监控层和下层现场控制层的安全隔离,形成 2 个安全子域,限制安全子域间的非法访问,又能实现各 LCU 之间的逻辑隔离,阻断蠕虫、木马等恶意程序的传播扩散,即使某个 LCU 遭受攻击,仍能保证其他控制器正常运行。
3.2 通信网络防护
通信网络的安全防护包括以下 2 个方面:
1)工业以太网。在交换机侧旁路部署网络安全审计、入侵检测、漏洞扫描系统,对通信流量进行有效监视和检测。对各种敏感信息、违规行为进行实时告警响应,全面记录网络中的各种会话和事件,根据内置工控规则库,实现针对工控攻击行为的准确检测,定期开展工控网络漏洞扫描并及时修补漏洞,实现对工控网络风险的全程跟踪定位和监测审计。
2)现场总线。对于现场总线网络,目前多基于Modbus,Profibus,Modbus Plus 等协议进行串口通信。在线路中串入通信监测模块,可对总线协议进行深度解析,对网络流量进行实时监测,基于内置特征库对异常行为进行报警。
3.3 计算环境防护
对操作员站、数据服务器等主机设备,可在主机部署主机加固系统,实现对操作系统的补丁更新,支持定期扫描并更新病毒库,支持对进程运行、外接设备等事件的记录与告警,并配备防病毒功能。对于PLC 等控制器,从信息和功能安全 2 个角度考量[9]:信息安全方面,做到对 PLC 本身操作行为的审计和编程设备的接入认证等;功能安全方面,设置内存、连接数等安全阈值,一旦达到阈值,立即限制相关操作,以免造成设备物理损坏。
对组件间的安全认证,可采用基于商用密码的数字签名技术,为接入系统的用户、移动设备及系统内各组件间提供统一的身份鉴别和授权管理,保证只有授权合法用户才有权访问系统,授权设备才能接入系统。
数据安全存储方面,由于涉及的数据体量较大,考虑系统性能,只对系统内的关键核心数据进行加密存储,使用 SM3 杂凑算法和 SM4 分组加密算法实现数据库字段和配置文件存取的加/解密功能,借助服务器密码机实现数据的实时加密存储。
3.4 安全管理
安全是“三分技术、七分管理”[10],一个完整的安全防御体系不能缺少安全管理的内容。主要从以下8 个方面实现水电站安全管理:
1)设置专门工控安全管理岗位。由专人负责监控系统的风险排查、安全维护工作,如具备条件,还应设立专门的工控系统安全管理机构,负责制定工控安全管理方案,统一管理工控系统的安全事宜。
2)做到细粒度权限管理。对关键 PLC 设备做好外部物理加固,保证授权人员通过钥匙才能打开保护柜,为系统用户设置相应的访问权限,做到使用权、管理权、审计权分离。
3)定期开展安全风险评估工作。评估工作包括系统资产、威胁、脆弱性识别与分析,并做好漏洞扫描、病毒查杀、固件升级等工作。
4)做好接口和端口管控。拆除或封堵主机上多余的 USB,RJ45,DB9 等物理接口,阻断病毒、木马等通过移动介质入侵的途径,关闭 PLC 和主机上不必要的端口和服务,防止被恶意利用,降低系统运行风险。
5)制定安全管理制度。依据国家网络安全要求及行业相关规定,建立一套适用于水电站监控系统的安全管理制度,明确安全管理目标和任务。
6)保障系统运维安全。借助集中统一的管控平台,全面集成安全设备资源,做到对安全设备的统一管理,同时要严格管理运维人员账号及认证授权工作,防止权限滥用。
7)做好应急响应和处置。建立完善的应急响应预案,借助冗余设备搭建模拟工控场景,定期开展内外部攻击应急演练,对安全事件进行研判分析、响应处置,提高现场人员的应急能力和安全意识。
8)保障供应链安全。建立完善的供应链安全管理制度,优先采购安全可信的工控产品和服务,并对供应商开展定期评估,及时消除安全隐患。
4 水电站工控安全防护发展方向
随着信息化建设的不断深入,水电站监控系统将打破以往传统的独立网络运行模式,更多与水调自动化、数字孪生等外部系统联通,未来还有进一步扩大趋势,必将面临更多来自外部世界的风险挑战。因此,须及早考虑水电站监控系统安全防护水平的提档升级,建议从以下 3 个方面推进:
1)打造自主可控体系。随着国产化品牌的崛起,越来越多的水利工控系统在设计之初已经考虑使用国产设备,应力争做到全要素自主可控,将有效杜绝国外厂商留有“后门”的风险。
2)根植密码安全基因。采用嵌入国产密码芯片的可信 PLC、植入轻量级密码算法的加密传输协议等,为水利工控系统注入密码基因,形成国产密码应用的一体化管理能力,以及面向服务的快速、集约、统一的支撑能力,提升内生安全,解决身份仿冒、信息泄露、数据篡改等安全风险问题,强化密码的统一管控力度,提升密码管理应用的整体效能。
3)融入拟态防御技术。拟态防御可以有效应对“未知的未知”,即未知的漏洞、“后门”和攻击造成的未知后果,基本思路是构建一种动态异构、冗余分布的系统架构,以变化的状态迎接未知的外部威胁[11]。拟态防御技术实现需要耗费大量资源,与工控系统能否完美结合,仍需要大量实践,将拟态防御融入传统安全体系是现阶段一种可行的架构方式。
5 结语
在对水电站监控系统基本构成和业务现状进行充分调研的基础上,从技术和管理层面分析存在的安全风险,结果表明当前水电站监控系统仍面临较为严峻的外部威胁和复杂的内部脆弱性。结合现行的国家和行业标准规范,技术层面上,提出一套针对水电站监控系统的区域边界-通信网络-计算环境的纵深防御架构;管理层面上,针对现存的突出问题,给出针对性建议,从而形成一套较为完善的水电站监控系统安全防护体系,对其他水利工控系统安全防护体系建设具有较好的指导意义。