水电站国产化工控安全建设,经典可复制!
水电站国产化工控安全建设,经典可复制!
1项目概述
我国工业控制基础软硬件发展滞后,核心竞争力差,是提升工控领域自主安全水平的关键症结。相关工业控制基础软硬件较大程度地依赖国外引进,尤其部分涉及国家关键基础设施建设的重要行业,核心技术仍然受制于国外公司,企业自主创新能力存在欠缺,如精密采集、精准时钟、智能算法、故障定位、中断调度等。
水电监控系统是水电站的“神经中枢”,可实现机组的自动启停、负荷及运行的智能调整,是保障安全稳定运行的重要基础。长期以来,国内大型水电机组的智能监控系统的大部分软硬件依赖国外进口,目前自主可控的国产化控制系统技术日趋成熟并逐步落地应用,解决了自动化控制的“卡脖子”难题,随之安全防护方案中配套的安全产品和技术也处在国产化适配的探索实践阶段。作为典型的关基行业,水电站电力监控系统网络安全规划和建设时除应依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》外,还要满足行业内“国能安全〔2015〕36号《电力监控系统安全防护总体方案》”的相关网络安全要求。
2项目需求
国内某集团水电站响应“国产自主可控”号召,采用睿渥系统进行水电监控系统全国产化改造建设,同期进行网络安全政策合规、水电监控系统网络安全一体化建设,具体需求参考如下:
2.1 政策合规需求
- 等级保护
依据《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息(2007)34号)、《电力行业信息系统等级保护定级工作指导意见》电监信息〔2007〕44号,该集团水电站电力监控系统按照定级标准定位三级,并结合对应等级要求进行安全防护体系设计,具体合规模块及对应产品技术关系参考如下:
图1 等级保护和安全防护产品对标示意图
- 国能安全36号文
该集团水电站按照国能安全〔2015〕36号《电力监控系统安全防护总体方案》等安全防护方案和评估规范要求,需重点强化边界防护,加强内部的物理、网络、主机、应用和数据安全,加强安全管理制度、机构、人员、系统建设、系统运维的管理,提高系统整体安全防护能力,保证电力监控系统及重要数据的安全。
同时根据国能安全〔2015〕36号 附件4,发电厂监控系统安全防护方案应满足“安全分区、网络专用、横向隔离、纵向认证、综合防护”要求,详细要求如下图所示:
图2 附件4 发电厂监控系统安全防护方案
2.2 一体化需求
在水电站监控系统网络安全建设过程中,面临着设备繁多、信息孤立、监测面不全、缺乏专业人员等问题,现阶段网络安全数据和生产网络数据往往孤立存在,未和机组实时监测数据列为同等重要推送序列,不能实时反馈和预警,从而可能造成网络安全事件反应迟滞,给安全生产带来风险。
为实时掌握“生产安全”,从工业协议、生产工艺流程等多维度考量对接,将网络安全数据以“IEC104协议”封装接入监控系统,确保监控系统运行稳定、网络安全相关数据传输安全、数据反馈呈现真实预警效果。
3技术体系
水电监控系统的网络安全防护规划,在技术上以大数据分析为基础,结合机器学习、可信计算、行为分析等能力,形成全国产化的协同防御体系。防护体系按照“2个体系、1个中心、1个支撑”的“211防护”思路进行规划。
2个体系:在电力生产控制大区内建立“白环境防护体系”和“黑名单检测体系”。
- 通过设备入网白环境、通信传输白环境和主机运行白环境的建设,构建监控系统可信运行环境。保证只有可信任的设备才能接入到生产网络、只有可信任的流量才能在网络中传输、只有可信任的程序才能在主机上执行的“白环境防护体系”;
- 通过病毒检测、网络入侵检测、漏洞利用攻击检测、APT攻击检测技术,构建起基于访问控制、病毒库、入侵规则库、漏洞利用规则库、威胁情报库的“黑名单检测体系”。
1个中心:构建具有电力行业属性的安全运营中心,一方面通过集中日志审计、统一安全运维、统一威胁发现、统一安全设备管理的能力建设,构建起工控网安全管理中心;另一方面,为确保水电站监控系统内部通信协议的统一,提高系统内部通信的开放性、兼容性,利用IEC104协议进行威胁事件的上报和告警,匹配电力行业工控网络的通信特点。
1个支撑:建立以专业安全服务为支撑的主动管理能力。通过风险评估、安全巡检、应急响应、安全培训等全方位专业化安全服务,主动发现安全风险,建立电力监控系统完善的监测预警机制。
4 解决方案
4.1 政策合规建设
图3 项目方案规划部署图
在安全区I和安全区II之间部署工业防火墙,通过访问控制和工控协议深度解析,建立业务通信白名单,实现区域间的安全访问控制;
图4 工业防火墙工业协议应用级配置示意图
在安全防护交换机旁路部署工控安全监测与审计系统。基于工控协议深度解析技术,智能学习建立业务系统安全通信模型,实时监测生产网络异常流量和行为,提高计算机监控系统的网络安全审计能力;
图5 工控安全监测与审计系统工业控制协议应用级配置示意图
在安全防护交换机旁路部署高级威胁检测系统,通过开启入侵检测功能,及时告警网络中存在的网络扫描、入侵攻击、APT攻击等违反安全策略的行为和被攻击的迹象;
图6 高级威胁检测系统入侵检测配置示意图
图7 高级威胁检测系统沙箱检测示意图
在安全防护交换机旁路部署防毒墙设备,通过开启病毒防护功能,及时告警网络中存在的病毒传播事件;
图8 防毒墙病毒检测配置示意图
建立安全管理区域实现集中管理,在管理区内部署安全运维管理系统,完成账号统一管理、资源和权限统一分配、操作全程审计,提升运维过程的安全性;部署统一安全管理平台,对机组部署的安全设备进行统一的安全管理,包括策略下发、日志审计、报警展示等,简化运维管理工作流程、提高运维管理工作效率;部署日志审计与分析系统,实现日志数据和告警数据统一收集和关联分析;部署数据库审计系统,对数据库的重要操作行为进行监控和审计;部署工控漏洞扫描平台,对计算机监控系统进行漏洞扫描,实现对工控设备、系统、软件等漏洞的掌控及管理;
图9 统一安全管理平台运维管理示意图
图10 安全运维管理系统资源配置示意图
图11 日志审计与分析系统配置示意图
在安全II区和调度数据网之间部署入侵防御系统,对病毒传播、漏洞攻击、扫描探测等各类攻击实时检测和阻断,保障电厂与调度之间的安全通信。
图12 入侵防御系统策略配置示意图
4.2 一体化建设
水电监控系统统一生产环境工业协议,使用IEC104向水电监控系统传输网络安全事件信息。
图13 网络安全信息上送逻辑图
水电监控系统作为重要生产系统,为保障其稳定性,防止网络安全告警信息过载影响生产系统并兼顾网络安全信息及时反馈,思路如下:
1、现阶段优先支持部分重要告警信息,告警类型编号:设备无流量(01)、异常流量(02)、工控协议操作异常(03)、违反ACL规则(04)、会话异常行为(05)、地址欺诈(06)、程序报警事件(07)、非法外联(08)、未知设备接入(09)、非法外设接入(10)。
图14 网络安全主要上送信息图
2、以IEC104协议暂定两种发送告警状态方式:
a、水电监控系统主动发送总召唤,统一安全平台反馈需求十种告警的状态(是否有告警);
b、在两次总召唤之间告警状态发生改变,主动上传变化的告警类型以及对应的告警状态。
图15 统一安全管理平台IEC104封装信息上送配置图
5项目价值
定制化IEC104信息对接全面监控水电监控系统稳定运行:提升水电监控系统的安全预警、事件溯源、动态防御、统一管理等防护能力,降低水电站工控网络安全事件的发生概率,保障了国家关键能源基础设备安全运营,同时通过IEC104协议将网络安全数据与水电监控系统进行对接,实时把控安全生产状态,确保生产工艺安全和生产网络安全;
为工控安全技术产品国产化迭代创新提供样板工程:本项目是一次工控网络安全技术产品国产化的迭代创新应用,同时结合国内某集团水电站国产水电监控系统的实际情况,按系统化、规范化、工程化要求,细化了水电监控系统安全防护的技术要求,定制化开发了自主可控安全产品。一定程度上达到加速国产化工控网络安全技术产品在电力等重点行业推广应用的效果;
全面推进关键信息基础设施国产化网络安全能力提升:通过本次项目建设,在落实关键信息基础设施网络安全建设标准规范的同时,践行关键基础设施单位国产化的责任与义务。