我的位置 态势感知  >  安全态势

关键信息基础设施安全防护-风电篇

来源:老马玩工控安全 时间:2020-07-16 阅读次数:

1. 背景

随着“互联网+电力”的深度耦合发展,电力生产对现场设备之间的信息互通提出了更高的要求,以工业以太网为代表的组网技术不断得到广泛应用,电力系统建设已不再是系统的简单集成,而是向网络化、智能化方向全面拓展。在两化融合、智能电网大趋势的背景下,电力企业工业控制系统的管理控制一体化、网络化、智能化已是大势所趋。

因此,风电场在网络化、智能化在提高生产效率和管理效率的同时,也为恶意攻击者增加了新的攻击途径,近几年电力发生的安全事件层出不穷,使得我国电力面临越来越多的安全威胁和挑战。

2.风电场安全问题

2.1边界防护问题

边界防护方面主要存在以下问题:

安全区I和安全区II边界未进行有效的边界防护,不能针对例如OPC协议的动态端口有效防护;以及各风发电机组之间未进行边界防护。

2.2综合防护问题

在综合防护方面主要存在以下问题:

入侵检测:针对安全区I的工控系统网络中缺少病毒、木马等攻击行为的检测手段;

主机加固:多数工业主机操作系统为WindowsXP、2003、2008系统,系统进行打补丁不现实,部署杀毒软件与工业应用软件兼容性较差,冲突现象屡有发生。

应用安全控制:在访问系统资源,操作行为以及在发电厂内部远程访问业务系统时无法做到安全审计、事后可追溯。

安全审计:电力监控系统中的违规操作、误操作以及病毒、木马等攻击行为没有监测手段,远程运维行为无法监控。对网络运行日志、操作系统运行日志、数据库访问日志、业务系统运行日志以及安全设备运行日志等日志信息未进行集中收集与分析。

恶意代码防范:在安全区I的操作员站、工程师站、OPC接口机等工业主机上的工业应用软件因与杀毒软件兼容性差,有冲突,在安全区I未进行部署杀毒软件。在安全区II和管理大区主机部署了如360、瑞星等杀毒软件和病毒服务器,但是由于长期不更新病毒库,杀毒软件往往对零日漏洞爆发的病毒无法进行防护。

漏洞整改:对于工控系统目前暴露出来的2600多个漏洞,无有效的漏洞整改方案,工控系统处于带“洞”运行。

安全运维:远程运维在风电行业持有发生,因为大量单机设备需要运维,而又单机控制系统大部分采购于国外,如倍福、ABB、巴赫曼、西门子等。为了运维的便利和成本问题,企业用户经常选择让国外技术人员远程运维,将单机系统直接与互联网连接。这样,导致安全事件屡有发生,而又没有有效的技术管控手段,往往发生安全事件难以定位追溯。另一方面,在安全管理方面也存在很多不足,如缺乏信息安全的岗位,未设置专业的工控安全的岗位,工控安全职能由其他岗位兼职等,容易导致许多规章制度无法贯彻,如补丁管理制度、性能管理制度、流量控制制度、定期漏洞扫描制度和网络设备接入审批管理制度、病毒统计管理制度等。

3. 安全需求

  • 符合国能安全[2015]36号附件4《发电厂监控系统安全防护方案》要求;

  • 安全措施的引入不能影响工业生产的业务持续性;

  • 重点解决生产控制大区内部不同区域之间的隔离问题;

  • 重点解决上位机及服务器主机加固和防病毒问题;

  • 要有技术手段支撑用户了解工控网络整体安全状态,如审计、日志、告警等;

  • 针对已经投产并存在漏洞的PLC等设备要采取有效的防护手段。

4.解决方案

4.1架构设计 

图1风力发电安全架构设计

4.2边界防护

在安全区I的主控和辅控系统的网络出口分别部署1台工业防风墙以及在安全区I和安全区II之间部署2台工业防风墙(双机热备)。工业防风墙基于IP、端口以及工业协议(如IEC-104、MODBUS、OPC等)和工业黑名单规则库的访问控制策略实现不同系统之间的控制访问;基于白名单自学习功能,形成白名单基线安全模型,解决不同区之间的误操作、违规操作以及病毒、木马等恶意代码攻击问题;基于工控协议识别与深度解析功能,解决针对利用工控协议脆弱性进行攻击的问题。

在安全I区部署1台网络接入管控设备,实现对安全I区的终端设备(笔记本、无线AP、交换机等)接入内部网络以及内部设备非法外联进行管控。利用网络准入技术实现对外来设备接入内部网络进行管控,解决因外来设备的违规接入导致的IP冲突、病毒木马入侵等问题,以及内部设备非法外联等行为,提升管理水平。

4.3 综合防护

4.3.1 监测审计

在安全I区和II区交换机旁路镜像分别部署1台工业监测审计设备,对工控协议(OPC、S7、MODBUS、IEC104等常用工业协议)解析、异常流量分析、告警。通过机器自学习技术,形成安全基线模型,对工控网络中的异常流量进行告警(如网络攻击DDOS,违规设备接入,病毒、木马入侵行为以及违规操作误操作等),从而实现对生产控制系统中存在的异常流量、误操作、违规操作进行实时告警,记录、审计,为事后追溯、定位提供有力的证据,并帮助维护人员快速定位事故点,缩短系统恢复时间。

4.3.2 日志审计

在安全区I和II区的交换机旁路部署1套日志审计系统,实现对安全区I和安全区II的各网络设备、安全设备、工控设备以及操作系统、数据库、应用系统的日志信息进行集中收集与分析。解决:网络运行日志、操作系统运行日志、数据库访问日志、业务系统运行日志以及安全设备运行日志等日志信息未进行集中收集与分析问题。

4.3.3 终端安全

在安全区I和安全区II的操作员站、工程师站以及OPC接口机等工业主机上安装部署工控安全卫士,在安全区II部署终端安全管理系统。管理系统对工控安全卫士进行统一管理与监控,策略下发,异常报警等。实现对工业主机的进程白名单管理,对流量、USB口管控,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击,实现工业主机安全防护与加固。

4.3.4 安全运维

在安全区II的交换机上旁路部署运维堡垒机1台,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计,违规操作、非法访问等行为的有效监督,为事后追溯提供依据。

4.3.5 安全管理

在安全区II交换机上部署工控安全管理平台1套。工控安全管理平台主要是实时监测电厂工控系统的计算机网络及安全设备运行状态,及时发现非法外联、外部入侵等安全事件并告警,收集厂站侧原有网络设备、安全设备以及上位机监控软件的日志信息。通过监测工控系统网络的通信流量与安全事件,从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等,为工控系统网络当前的状态以及未来可能受到的攻击做出态势评估与预测,为专业人员提供可靠、有效的决策依据,最大程度上降低工控系统可能遭受的风险和损失,提升风电厂安全防护整体水平。

5. 客户收益
  • 全面提升风电场网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求;

  • 全面提升风电场生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为保障民生保驾护航;

  • 全面改进风电场业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效率。

 

 

原文来源:老马玩工控安全

8条评论