2019年5月13日正式发布的网络安全等级保护系列标准将工业控制系统正式纳入安全扩展要求,并提出了严格的测评规范。工业控制系统广泛应用于能源、交通、先进制造、公用设施等国计民生相关的重要领域,自2010年伊朗“震网病毒”开始,国际上已发生多起针对工业控制系统的网络攻击,而电力能源更是安全事件频发的重灾区。
在我国电力生产供应中,超超临界1000MW级大型火电机组承担了大部分职责,既是作为等保2.0三级系统,也是关系到国家战略安全的关键基础设施,无疑是工业控制系统安全建设的重点对象。在大型火电等工业设施中,大型分布式控制系统(DCS)作为保障其运行的核心管控系统,具有高可靠性、强实时性、控制逻辑复杂和大规模系统部署等典型特点,其安全防护建设尤具代表性。
工控系统与传统信息系统相比,保护对象不同,防护侧重点也不同,主要体现在:工业控制系统由于连续生产的要求,系统和软件实时更新困难,传统防病毒和检测手段难以保障安全;工业协议私有化程度高,通用技术兼容性差,设计时大都未考虑安全特性;工业控制系统嵌入式计算环境实时性要求高,但资源极其有限,难以增加复杂的安全防护功能。由于以上在功能和需求上的显著差异,传统的信息安全产品并不完全适用于工控系统,同时,我国工控安全建设目前仍呈现风险意识薄弱、安全认知不足的局面,针对如何满足等保2.0技术要求缺乏完善的设计思路和具备典型参考意义的工程案例。
本文基于国能神福(石狮)发电有限公司2×1050MW机组安全防护项目,介绍基于可信计算3.0技术的安全防护方案在火电超超临界百万千瓦机组DCS的应用。该厂是国内技术水平领先的百万千瓦级超超临界发电机组,是福建省“十一五”能源发展专项规划和电力发展规划确定的优化发展煤电和热电联产大型电源点,是“神华电站数字化建设解决方案”的标杆项目。该厂采用国内技术领先、应用广泛的和利时公司HOLLiAS-MACS大型分布式控制系统,实现了DCS和DEH在百万千瓦级机组的一体化应用、实现了全厂智能仪表的现场总线互联互通,在国内大型电厂具有典型代表意义。
国内大部分火电百万千瓦机组DCS控制系统,在建设时未考虑完善的网络安全建设,未部署其他网络安全系统及设备,不能满足国家网络安全、电网公司二次防护要求。DCS网络及设备安全防护能力不足,对网络边界缺少入侵检测手段,对网络流量缺乏分析手段,采用通用操作系统安全漏洞多,电脑主机防护能力不足,缺少统一安全管理机制。全厂DCS网络安全性较差,存在安全隐患,极易因外部攻击、内部病毒入侵等造成分散控制系统故障、瘫痪等恶性事故。
随着火电机组DCS系统开放性的增强,且电厂SIS系统、生产管理系统及第三方系统存在网络通信边界,一旦某个网络被病毒感染,容易蔓延到DCS网络,严重威胁系统运行的安全,由此带来了病毒以及网络攻击扩散导致工控系统遭受影响的安全风险。
在火电机组DCS控制系统中,大量使用的通信协议多为OPC、Modbus TCP等通用工控协议,以及各DCS厂家的私有工控协议,绝大多数工控协议在设计之初忽视了其安全设计,通讯双方没有有效的认证与保密机制,容易受到中间人的窃听和欺骗性攻击,协议对畸形报文的识别能力弱,通信健壮性能力较弱。此外,现场未部署监测审计设备和安全管理设备,缺少对生产网络的实时安全监控,无法及时发现系统中存在的异常流量和异常行为,也无法及时感知安全威胁并进行告警。
火电机组DCS控制系统系统中上位机多采用如Windows或Linux等通用操作系统,存在较多安全漏洞,其中很多漏洞会被黑客利用,成为黑客攻击的目标或跳板,工业领域软/硬件更新、补丁升级、换代困难、漏洞不能得到及时修补且工控系统多存在防病毒系统缺失或更新不及时的问题,容易造成木马病毒泛滥。
另外作为火电机组DCS控制系统重要组成部分的控制站设备,多经过裁剪的实时操作系统,近几年披露的漏洞不断增多,很多漏洞可以导致系统失去监控,对控制安全影响极大。如果不能对DCS控制器本身的安全性提供有效的保障措施,仅靠外围的安全措施无法从根本上保证DCS控制系统的整体安全。
近几年工业控制系统网络安全事件的发生频率在全球范围内依然处于较高水平,能源、关键制造、公共健康、通信、政府设施、交通运输等重要关键基础设施工业控制系统依然是信息安全事件高发的几个领域。网络攻击严重威胁到了工业运行安全、国民经济安全乃至国家战略安全,对工业信息安全保障工作提出了新的任务和新的挑战。
从工业控制系统安全防护手段来看,传统的“封堵查杀”方式已经过时,工控安全能力从“被动防范”为主转向“安全可信、主动防御、威胁预知、融合各种信息快速检测和响应能力”的构建,已经成为当下工控网络安全建设的共识。其中,可信计算技术已成为工业安全防护利器,通过可信计算为工业控制系统提供主动免疫安全防护能力,形成内生安全机制,可有效抵抗来自系统内外部的网络攻击。
可信计算是指计算的同时进行安全防护,计算全程可测可控、不被干扰,使计算结果总是与预期一致。可信计算是一种特有的基于整体安全思想的主动防御技术,随着网络空间安全技术变革而不断地创新发展,其引领的整体安全架构、主动免疫安全体系已经成为网络空间安全技术拼图中不可或缺的一环。可信计算将以创新理论与技术同计算机体系结构、操作系统安全、可信软件深度融合,构建更加有效、更加灵活的安全防护体系。
可信计算3.0提出了全新的可信计算体系框架,在网络层面解决可信问题。在计算节点构建一个“宿主——可信双节点”的可信免疫架构,通过这种双体系架构的模式实现可信机制,相当于为各种安全机制提供一个统一的、通用的可信平台。这一平台为系统中的安全机制提供了一个共同的基础,给安全机制提供统一的可信保障,同时也为各种安全机制动态连接、构成纵深防御安全体系提供了支持。
在工控领域的可信应用方面,国内主流控制系统厂商如和利时已推出安全可信DCS控制系统,实现可信计算技术在工业嵌入式领域的创新突破。安全可信DCS控制系统融合嵌入式可信计算、数字证书体系、深度协议控制等先进技术,采用双体系嵌入式架构,以可信加密芯片为基础,实现了从可信根到上层应用的完整性度量,包括静态度量和动态度量,具备对内核、应用、数据、工业业务行为的度量控制和检测审计能力。
随着技术和生态的进一步成熟,可信计算技术在工业安全防护领域的应用将会由点到面铺开,更加广泛和普遍。
国能神福(石狮)发电有限公司2×1050MW机组DCS以控制系统内生安全为核心、配合边界安全措施,形成满足等保2.0三级要求的信息安全防护完整体系。
核心控制系统采用安全可信DCS,内部集成信息安全功能,支持与组态上位机的加密通信,协议栈经过优化后具备对DDoS攻击、畸形报文攻击和非法报文攻击的网络自抵御能力;控制系统及上位机终端支持基于可信计算的可信度量,能够实现对内核中可能存在的恶意代码的加载和启动度量,有效抑制内嵌恶意代码和代码篡改的风险。同时,采用集成网络通信行为审计和控制逻辑业务行为审计的工业审计系统对控制系统内部威胁进行监测。
边界安全措施采用工业隔离设备、工业入侵检测系统、工业交换机等防护设备抵御由外部发起的网络攻击。
通过区域边界访问控制、包过滤、安全数据摆渡、接入控制等技术措施,仅允许必要的可信网络访问,拒绝非可信访问,构建DCS系统与SIS系统之间以及DCS内部区域之间的安全可信区域边界。
对网络环境中的网络攻击和异常行为进行监视和审计,发现并记录入侵渗透、违规操作过程,及时告警与应急处理,形成安全可信的通信网络环境;对通信数据通过加密等方式,实现通信双方的身份鉴别,并保证传输数据的完整性和机密性,从而实现安全可信的通信链路。
通过可信度量、身份认证、访问控制、数据保护等技术措施,建立安全可信计算环境,保证DCS系统计算环境的安全。通过在控制系统上位机加装基于可信计算和主机白名单的可信终端防护系统对主机终端进行安全加固,实现终端的病毒和安全防护。控制器采用可信DCS,内部集成信息安全功能和可信计算能力。
建立安全可信管理中心,通过部署工业安全可信管理平台,实现工业安全信息的集中采集、存储、展示、分析、预警,全局安全可信策略的统一配置、下发和管理以及安全设备的统一管控。
本项目方案结合基于可信计算的主动防护与边界防护构成内外贯穿的综合防护体系,在满足网络安全等级保护2.0标准的同时,最大化提升工业控制系统的网络安全防护能力,具备良好的技术创新和应用示范效应。
(1)基于可信计算的自主免疫内生安全体系
方案针对火电百万机组DCS系统安全防护全面应用了可信计算技术体系,打破传统以边界防护为主体的网络安全防护理念,构建了基于控制系统本身的内生主动防护体系。
在传统信息防护手段基础上,设计并应用了适用于工业控制场景的可信计算技术,通过控制系统可信计算体系,增强控制系统的内生安全防护能力。构建基于在可信计算安全策略的指导下,针对工业控制网络的实时控制行为和业务流程作业,实现贯穿设计、运行、服务全生命周期的防御、检测、响应、预测的主动安全防御循环技术体系(TDDRP)。
(2)基于可信计算的控制安全一体化业务行为监测
在实际的工控环境中,通常缺乏针对工业控制系统的安全监测及配置变更管理,导致安全事故的分析难以进行。目前国内工业控制系统,在应用系统层面的误操作、违规操作或故意的破坏性操作成为主要安全风险。本方案基于安全可信策略的应用,对生产网络的访问行为、特定控制协议内容的真实性、完整性进行监控、管理与审计。依托DCS厂家在工业控制系统专用网络和通信的技术积累,将传统边界防护解决方案与控制系统网络和数据特点有机融合,形成对控制逻辑和控制网络数据有效监管和防护的一体化监测方案,实现安全中有控制、控制中有安全。
(3)基于可信计算的工控强制访问控制防护模型
针对工控系统的特殊性,传统的信息防护手段不能完全满足工业信息安全的需求。因此,在传统边界防护的信息防护手段基础上,设计并应用了适用于工业控制场景的可信计算技术,通过控制系统内嵌可信计算体系,增强控制系统自身的防护能力,通过嵌入式防护技术的集成,控制系统能够对启动态和运行态的恶意代码和内核变化进行主动检测和可信度量,进一步发现存在的威胁和隐患。同时在可信计算技术的基础上结合强制访问控制技术,对工控系统中操作系统和逻辑行为所涉及的关键主、客体增加安全标记,通过建立适用于工业控制逻辑业务需求的强制访问控制模型,保证控制过程中关键的访问行为均在可控范围之内进行。通过建立应用于工业场景的强制访问控制机制,有效避免越权操作,进而保障控制系统的安全可控。可信计算和强制访问控制的结合,使工业系统的信息安全防护不只是依赖外围的边界防护设备,当发生由内爆发的、或外部突破进入的威胁时,控制系统有足够的自保或应对能力。
项目方案在控制系统规模和复杂度上具备良好的示范效果,通过该项目的信息安全建设能实现以下目标:
(1)满足等保2.0要求的大规模工业现场应用与方案推广
通过选择以大型分布式控制系统为核心中枢的百万千瓦级超超临界火电机组开展信息安全设计和实施,填补了新标准在实际工业领域工程项目应用的空白,通过该项目可对新标准技术要求进行合理有效的验证。该示范项目通过工业控制领域专家与安全测评领域专家的结合能够进一步完善等保2.0工业控制系统安全技术体系、管理体系和测评体系建设,对后续开展全国范围的工业控制领域网络安全等级保护评估和建设具有良好的推广和示范意义,能够有力地推动网络安全等级保护2.0标准在工业领域的全面推广和实行。
(2)基于可信计算的主动防护技术在工控领域的
应用推广示范项目采用基于可信计算的主动防护与边界防护有机结合的综合防护技术体系,将可信计算技术集成到工业控制器中,使网络安全能力相对脆弱的控制系统内部具备内生安全能力,同时对传统的安全审计设备增加控制逻辑和业务行为审计的功能,进而打破控制行为和网络行为的防护壁垒,能够实现对内部和外部不同层面爆发的网络威胁的核心抵御能力。创新性的技术应用和防护体系建设带来的良好防护能力将有助于为当前模糊的工业安全产品和技术发展方向提供正确指引,同时对完善和建设真正适用于工业控制系统的安全防护技术和产品体系形态能够提供有力的工程应用支撑。
(3)结合流程行业共性特点的普适性应用模板
示范项目选取具备典型工业特点的百万千瓦级火电机组,同时全厂采用现场总线技术实现智能仪表互联互通,具备流程行业工控系统的共性特点。
基于以上基础设计和建设的工业信息安全解决方案,适用于工控现场同时覆盖流程行业全工艺环节的综合安全防护工程应用模板,解决了主动安全技术与流程行业工控系统实施应用的适应性难题。
