華能集團生產(chǎn)控制系統(tǒng)安全監(jiān)管預(yù)警平臺 ——工業(yè)互聯(lián)網(wǎng)中的工控信息安全
北京天地和興科技有限公司成立于2007年,總部位于北京,是一家專注于工控行業(yè)信息安全測評、防護與技術(shù)服務(wù)的高新技術(shù)企業(yè)和雙軟認(rèn)證企業(yè);公司擁有先進的技術(shù)、成熟的市場拓展、優(yōu)質(zhì)的系統(tǒng)集成和工程服務(wù)等核心競爭力,為企業(yè)客戶提供全方位一體化解決方案。通過在工控系統(tǒng)內(nèi)多年的研發(fā)投入和積累,完全自主研發(fā)并推出包括工業(yè)防火墻、主機安全防護系統(tǒng)、工控安全審計平臺、工控威脅檢測系統(tǒng)、賬號管理及運維審計系統(tǒng)、工控入侵檢測系統(tǒng)以及工控安全監(jiān)管和分析平臺為一體的整體解決方案,在各發(fā)電集團獲得普遍認(rèn)可,并推動了發(fā)電廠信息安全示范性工程及安全防護試點項目的開展。公司根據(jù)華能玉環(huán)電廠工控系統(tǒng)網(wǎng)絡(luò)安全的實際情況,結(jié)合發(fā)改委2014年第14號令、國家能源局2015年第36號文件、國能安全161號文、國家經(jīng)貿(mào)委30號令等一系列相關(guān)政策和華能集團針對電廠工控系統(tǒng)安全防護的具體要求,制定針對性的項目技術(shù)路線。
一、項目概況-百萬機組的“難題”
華能玉環(huán)電廠是由華能國際電力股份有限公司開發(fā)、建設(shè)的全資電廠。電廠位于浙江省臺州市玉環(huán)縣大麥嶼開發(fā)區(qū),華能玉環(huán)電廠是國家“863”計劃中引進超臨界機組技術(shù),逐步實現(xiàn)國產(chǎn)化的國家重點依托工程。是全國第一個投產(chǎn)百萬千瓦超超臨界機組、第一座擁有四臺百萬千瓦機組的燃煤電廠。
1. 項目背景-頂層設(shè)計、整體布局
充分結(jié)合華能集團玉環(huán)電廠工控系統(tǒng)的實際情況,有針對性的制定具體解決方案:
(1)加強頂層設(shè)計,制定電力行業(yè)信息安全解決方案,完善電力行業(yè)信息安全管理標(biāo)準(zhǔn)制度,建立電力行業(yè)信息安全監(jiān)測、通報預(yù)警、應(yīng)急處置、協(xié)同聯(lián)動機制,構(gòu)建電力行業(yè)信息安全縱深聯(lián)動防御標(biāo)準(zhǔn)體系。
(2)建立電力行業(yè)統(tǒng)一信息安全基礎(chǔ)平臺,具體包括電力行業(yè)信息安全通信平臺和電子認(rèn)證服務(wù)平臺。
(3)開展電力行業(yè)生產(chǎn)控制大區(qū)試點示范。
2. 項目簡介-多維度的安全體系
本項目采用三層分布式架構(gòu),由安全監(jiān)測層、區(qū)域管控層和全網(wǎng)分析層組成。安全監(jiān)測層包含流量監(jiān)測模塊、行為監(jiān)測模塊、威脅監(jiān)測模塊、主機監(jiān)測模塊和監(jiān)測數(shù)據(jù)存儲模塊,負(fù)責(zé)建立廠級電力工控系統(tǒng)信息安全縱深監(jiān)測體系,并完成各安全分區(qū)內(nèi)安全數(shù)據(jù)的存儲轉(zhuǎn)發(fā)。
3. 項目目標(biāo)-行業(yè)信息安全的防護之道
依據(jù)電力行業(yè)已發(fā)布的國家與行業(yè)標(biāo)準(zhǔn)規(guī)范,按照安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證、綜合防護對當(dāng)前計算機監(jiān)控網(wǎng)絡(luò)進行安全升級,設(shè)計、建設(shè)玉環(huán)電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系,并實現(xiàn)以下建設(shè)目標(biāo):
1. 提高電廠工業(yè)控制系統(tǒng)信息安全防護能力和管理水平。
在工控系統(tǒng)的主機層和網(wǎng)絡(luò)層進行安全加固、搭建監(jiān)測、審計、預(yù)警平臺,制定一套信息安全管理措施和標(biāo)準(zhǔn),以有效抵御來自工控網(wǎng)絡(luò)內(nèi)部、外部的病毒、入侵、滲透以及違規(guī)操作行為對工業(yè)控制系統(tǒng)造成破壞,防范信息安全事故的發(fā)生。
2. 滿足合規(guī)性要求
滿足能源局36號文等一系列政策中的要求,使電廠的工業(yè)控制系統(tǒng)安全防護措施達(dá)到各監(jiān)管部門對發(fā)電企業(yè)的要求。
3.集團戰(zhàn)略目標(biāo)的契合
集團先后對各電廠開展了安全性評價標(biāo)準(zhǔn)查評及聘請專業(yè)機構(gòu)對系統(tǒng)進行等級保護測評工作。
二、項目實施概況-用科技推動工業(yè)進步
本項目在工業(yè)互聯(lián)網(wǎng)體系架構(gòu)的基礎(chǔ)上應(yīng)用了基于工業(yè)控制系統(tǒng)的防護手段,構(gòu)建了安全可控為目標(biāo)、監(jiān)控審計為特征的電廠控制系統(tǒng)新一代主動防御體系,提高工業(yè)控制系統(tǒng)在于工業(yè)互聯(lián)網(wǎng)對接過程中的整體安全性。
1. 項目總體架構(gòu)和主要內(nèi)容-一體化的功能支撐
圖1 項目總體架構(gòu)圖
1. 監(jiān)測模塊
監(jiān)測模塊可以實現(xiàn)對生產(chǎn)控制大區(qū)的工控系統(tǒng)和業(yè)務(wù)的安全狀態(tài)進行實時監(jiān)測和安全事件分析。
2. 預(yù)警模塊
預(yù)警模塊采用事件搜集及深度分析技術(shù),從全局角度進行安全事件實時分析處理,為管理者提供網(wǎng)絡(luò)安全風(fēng)險的實時告警;幫助決策者根據(jù)生產(chǎn)控制網(wǎng)絡(luò)的安全形勢,及時調(diào)整安全策略和有效部署安全措施;及時消除網(wǎng)絡(luò)系統(tǒng)中的安全隱患;實現(xiàn)可視化的網(wǎng)絡(luò)安全管理,幫助用戶實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的持續(xù)安全運營。
3. 審計模塊
審計模塊對威脅進行閉環(huán)管理的過程,從全局角度進行安全事件實時分析處理;幫助管理者掌握網(wǎng)絡(luò)運行情況。
4. 平臺模塊
接入防護平臺部署與生產(chǎn)控制系統(tǒng)類型無關(guān),不影響生產(chǎn)控制系統(tǒng)的安全性和可靠性。針對電力行業(yè)信息安全防護特點,采用并接、串接、信息擺渡等方式實現(xiàn)對生產(chǎn)控制系統(tǒng)的安全防護和審計,確保本地終端及遠(yuǎn)程終端的安全接入。不影響系統(tǒng)控制系統(tǒng)的安全性和可靠性,不增加新的系統(tǒng)風(fēng)險點。
2. 網(wǎng)絡(luò)互聯(lián)架構(gòu)-基于工控網(wǎng)絡(luò)的獨立設(shè)計
在本項目中,網(wǎng)絡(luò)互聯(lián)技術(shù)負(fù)責(zé)的是能源信息安全數(shù)據(jù)的的識別、采集、分析、傳送、管理等方面,是實現(xiàn)多種信息內(nèi)容合理調(diào)配的關(guān)鍵。在信息采集和處理方面,在基于電廠自身的信息采集與傳輸上,基于旁路的防暑部署數(shù)據(jù)采集節(jié)點,包含海量數(shù)據(jù)采集、預(yù)處理、存儲、分析等功能的大數(shù)據(jù)技術(shù)等。在設(shè)備與平臺方面,應(yīng)用具有可產(chǎn)業(yè)化的、工業(yè)環(huán)境下的專業(yè)設(shè)備進行對整個信息平臺的建設(shè)。在通信安全、傳輸協(xié)議和標(biāo)準(zhǔn)方面,具備專業(yè)協(xié)議深度解析,支持工控協(xié)議包括Modbus/TCP,OPC,IEC104,DNP3, S7等,并可對協(xié)議數(shù)據(jù)包深度解析。
3. 數(shù)據(jù)架構(gòu)和應(yīng)用-特有的工控數(shù)據(jù)化管理
整個數(shù)據(jù)傳輸?shù)募軜?gòu)分為數(shù)據(jù)傳輸層、數(shù)據(jù)處理層、數(shù)據(jù)分析層、應(yīng)用服務(wù)層以及態(tài)勢展示層。
數(shù)據(jù)傳輸層負(fù)責(zé)數(shù)據(jù)傳輸。通過消息中間件將數(shù)據(jù)傳輸給中心平臺。
數(shù)據(jù)處理層通過分析引擎從消息中間件讀取數(shù)據(jù)后,進行數(shù)據(jù)解壓縮,數(shù)據(jù)解密等操作。
數(shù)據(jù)分析層內(nèi)置多種分析引擎,包括:智能檢索引擎,關(guān)聯(lián)分析引擎,統(tǒng)計分析引擎,態(tài)勢展示引擎,報表引擎等。
應(yīng)用服務(wù)層提供系統(tǒng)的基本功能,包括資產(chǎn)管理,配置管理,事件管理,風(fēng)險管理,知識庫管理等。
態(tài)勢展示層通過可視化的頁面展示網(wǎng)絡(luò)態(tài)勢情況,通過3D地圖,熱力圖,雷達(dá)圖,平行坐標(biāo)圖等多種可視化圖標(biāo)展示網(wǎng)絡(luò)安全情況和態(tài)勢。
4. 安全及可靠性-三重防御多級互聯(lián)
本項目不僅僅是華能集團2016年工控信息安全防護改造試點(暨國家發(fā)改委工控信息安全改造示范項目),更是為發(fā)電企業(yè)的網(wǎng)絡(luò)安全防護做出了技術(shù)示范作用,優(yōu)化管理流程,切實保證了發(fā)電企業(yè)工業(yè)控制系統(tǒng)免受病毒、惡意代碼等威脅,保持安全穩(wěn)定運行的狀態(tài)。安全框架通過借鑒《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計要求 第五部分:工業(yè)控制安全要求》 “網(wǎng)絡(luò)三重防御多級互聯(lián)”的互聯(lián)技術(shù)框架。采用“一個中心、三重發(fā)現(xiàn)”的建設(shè)理念,其中包含:
1. 資產(chǎn)安全
確立以資產(chǎn)安全為核心的安全生產(chǎn)原則,保障資產(chǎn)按時按規(guī)定的正常運行和及時檢測出資產(chǎn)的異常行為,從而保護電力生產(chǎn)全過程的安全。
2. 空間域監(jiān)測
在空間域方面,借鑒了縱深防御的思想,形成一套縱深監(jiān)測架構(gòu),包括:邊界監(jiān)測、區(qū)域監(jiān)測、節(jié)點監(jiān)測、核心監(jiān)測、整體監(jiān)測五個方面。
3. 時間域監(jiān)測
在時間域方面,設(shè)計了評估、防護、偵測、響應(yīng)、恢復(fù)、決策六大過程,通過持續(xù)實施六大過程監(jiān)測來積極響應(yīng)工控網(wǎng)絡(luò)風(fēng)險變化,促進工控網(wǎng)絡(luò)整體安全的螺旋式上升。
三、下一步實施計劃-打造可信工控環(huán)境、助力網(wǎng)絡(luò)強國
1. 工控信息安全框架(IFS)
加大更具有針對性的工業(yè)互聯(lián)網(wǎng)體系架構(gòu)下的工控安全技術(shù)研發(fā)力度,貫徹落實習(xí)近平總書記419講話精神,搭理開展工業(yè)信息安全仿真測試、漏洞挖掘、攻防對抗等非對稱技術(shù)、前沿技術(shù)、顛覆性技術(shù)的攻關(guān)工作,研發(fā)自主可控且滿足工控系統(tǒng)特點的專用工控安全防護工具。持續(xù)推進工控信息安全框架(IFS)建設(shè),提升工業(yè)控制系統(tǒng)在線監(jiān)測和數(shù)據(jù)分析能力,實現(xiàn)全天候全方位感知工業(yè)信息安全態(tài)勢。如圖2所示:
圖2 ISF框架
2. 深防護深感知
建立以工控協(xié)議深度(DPI)檢測能力為核心的工控系統(tǒng)網(wǎng)絡(luò)環(huán)境感知能力平臺。研發(fā)以可信、加固、抗惡意代碼為中心的工控節(jié)點安全產(chǎn)品方向和以預(yù)警、隔離、應(yīng)急、追溯為中心的工控區(qū)域安全產(chǎn)品方向。
四、項目創(chuàng)新點和實施效果
(一). 項目先進性及創(chuàng)新點-可復(fù)制的全系列生命周期應(yīng)用案例
1.可以生產(chǎn)全系列的工控安全產(chǎn)品
? 提供全系列工控安全產(chǎn)品,可以滿足不同工控系統(tǒng)信息安全防護項目的需要。
? 工控安全產(chǎn)品覆蓋了整個生產(chǎn)監(jiān)控系統(tǒng)的核心部分。
2.工控安全產(chǎn)品性能達(dá)到國內(nèi)領(lǐng)先水平
? 獨有的專利技術(shù)的全機柜一體化解決方案;松耦合的安全框架設(shè)計具有極好的設(shè)備兼容性;一體化安全產(chǎn)品管理機制。
? 配置簡單方便,無需部署管理集中部署;完全為工控網(wǎng)絡(luò)設(shè)計開發(fā),非IT審計的修改。
? 獨有的專利技術(shù)雙因子認(rèn)證;白名單采用高效的hash檢索算法,檢索時間小于4微秒;白名單深入系統(tǒng)內(nèi)核,包括U盤、動態(tài)鏈接庫、命令行等。
? 采用工業(yè)級無風(fēng)扇設(shè)計,配置簡單方便;支持工業(yè)控制協(xié)議識別。
3. 先進的管理體系
? ISO14001900127001管理體系、信息安全服務(wù)資質(zhì)(信息安全風(fēng)險評估三級)
4.持續(xù)的先進技術(shù)支持
? 武漢建立工控信息安全產(chǎn)品研發(fā)中心。
? 完善的售后服務(wù)系統(tǒng)
? 與工業(yè)界、學(xué)術(shù)界、科學(xué)院校、培訓(xùn)機構(gòu)的廣泛合作
5.創(chuàng)新關(guān)鍵技術(shù)
? Windows系統(tǒng)調(diào)用攔截技術(shù)
? 多源異構(gòu)現(xiàn)場設(shè)備環(huán)境感知技術(shù)
(二)實施效果-為用戶考慮的智能安全
通過采用一整套的工控系統(tǒng)信息安全解決方案,以建立縱深防御策略為主要思想,主要達(dá)到了如下效果:
1.入侵檢測:
對緩沖區(qū)溢出、SQL 注入、DoS 攻擊、蠕蟲病毒、木馬后門等各類黑客攻擊和惡意流量進行實時檢測及報警,并通過與防火墻聯(lián)動、安全中心顯示、日志數(shù)據(jù)庫記錄等方式進行動態(tài)防御。
2.深度檢查:
面向應(yīng)用層對特有的工業(yè)通訊協(xié)議進行內(nèi)容深度檢查,告別病毒庫升級缺陷;
3.通信管控:
對數(shù)據(jù)流量進行管控,通過端口、地址、協(xié)議等方式對數(shù)據(jù)流量進行篩選,保證流量合法性。
4.實時報警:
所有部署的安全設(shè)備都能由管理平臺進行實時監(jiān)控,任何非法的訪問,都會在管理平臺產(chǎn)生實時報警信息,從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
5.主機防護:
安裝了主機防護的電腦在面對自身與外界的安全威脅有了更深的防護級別,深度執(zhí)行白名單數(shù)據(jù)庫的數(shù)據(jù)運行。
6.流量審計:
完善的安全審計平臺,對網(wǎng)絡(luò)運行日志、操作系統(tǒng)運行日志、安全設(shè)施運行日志等進行集中收集、自動分析,及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。
7.操作行為的監(jiān)控與審計:
依靠主機防護軟件的主機審計和工控安全審計系統(tǒng)的網(wǎng)絡(luò)審計對整個電力生產(chǎn)監(jiān)控系統(tǒng)進行操作行為的監(jiān)控與審計,記錄操作行為,便于事件追溯。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數(shù)據(jù)、觀點、建議,不構(gòu)成法律建議,也不應(yīng)替代律師意見。本報告所有材料或內(nèi)容的知識產(chǎn)權(quán)歸工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟所有(注明是引自其他方的內(nèi)容除外),并受法律保護。如需轉(zhuǎn)載,需聯(lián)系本聯(lián)盟并獲得授權(quán)許可。未經(jīng)授權(quán)許可,任何人不得將報告的全部或部分內(nèi)容以發(fā)布、轉(zhuǎn)載、匯編、轉(zhuǎn)讓、出售等方式使用,不得將報告的全部或部分內(nèi)容通過網(wǎng)絡(luò)方式傳播,不得在任何公開場合使用報告內(nèi)相關(guān)描述及相關(guān)數(shù)據(jù)圖表。違反上述聲明者,本聯(lián)盟將追究其相關(guān)法律責(zé)任。
AII微信公眾號
AII頭條號