當(dāng)前火電廠控制系統(tǒng)信息安全工作策略探討
來源:
|
作者:pro3c65e5
|
發(fā)布時間: 2017-08-18
|
5114 次瀏覽
|
分享到:
內(nèi)容摘要:本文根據(jù)火電廠控制系統(tǒng)特點,指出控制系統(tǒng)信息安全防護(hù)應(yīng)與互聯(lián)網(wǎng)系統(tǒng)信息安全防護(hù)具有不同安全工作策略,并對當(dāng)前控制系統(tǒng)供應(yīng)側(cè)和應(yīng)用側(cè)兩個信息安全戰(zhàn)場的互相協(xié)調(diào)和促進(jìn)進(jìn)行了探討。最后,作者還對控制大區(qū)和管理大區(qū)隔離問題以及DCS信息安全認(rèn)證和測試這兩個具體問題提出了一些想法。
關(guān)鍵詞:火電廠;控制系統(tǒng);信息安全;策略
1 我國工業(yè)控制系統(tǒng)信息安全發(fā)展態(tài)勢
從2011年底起,國家各部委發(fā)布了一系列關(guān)于工業(yè)控制系統(tǒng)信息安全的文件,把工控信息安全列為“事關(guān)經(jīng)濟(jì)發(fā)展、社會穩(wěn)定和國家安全”的重要戰(zhàn)略,受到國家層面的高度重視。
在國家層面的推動下,工控信息安全工作轟轟烈烈展開,大批行政指令以及標(biāo)準(zhǔn)應(yīng)運而生;在行政和市場雙重動力的推動下,安全信息產(chǎn)業(yè)如雨后春筍般發(fā)展,工控信息安全產(chǎn)業(yè)聯(lián)盟迅速壯大。這種形勢下,我國電力、石化、鋼鐵等各大行業(yè)的集團(tuán)和公司面臨著如何迅速研究工控信息安全這個新課題,學(xué)習(xí)這一系列文件精神和標(biāo)準(zhǔn),加強(qiáng)工控信息安全管理,研究采取恰當(dāng)?shù)男畔踩夹g(shù)措施等,積極穩(wěn)妥地把工控信息安全工作踏踏實實地開展起來這一系列緊迫任務(wù)。
但是,當(dāng)前面臨的困難是,從事信息安全產(chǎn)業(yè)的公司大多不太熟悉特點各異的各行業(yè)工控系統(tǒng),有時還不免把工控系統(tǒng)視作一個互聯(lián)網(wǎng)信息系統(tǒng)去思考和防護(hù);而從事工控系統(tǒng)應(yīng)用行業(yè)的人們大多還來不及了解信息安全技術(shù),主導(dǎo)制定本行業(yè)的相關(guān)標(biāo)準(zhǔn)和本行業(yè)控制系統(tǒng)信息安全的工作策略,并推動兩支力量的緊密配合。這正是當(dāng)前面臨的困境和作者力圖要與同仁們一起學(xué)習(xí)和探討的問題。
2 從工控系統(tǒng)特點出發(fā)正確制定信息安全發(fā)展策略
火電廠控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比,相對來說,與外部完全開放的互聯(lián)網(wǎng)聯(lián)系極少,分布地域有限,接觸人員較少,而對實時性、穩(wěn)定性和可靠性卻要求極高。這正是我們制定火電廠控制系統(tǒng)信息安全工作策略的基本出發(fā)點。
為了形象起見,我們以人類抵抗疾病為例。人要不生病,一方面要自身強(qiáng)壯,不斷提高肌體的免疫系統(tǒng)和自修復(fù)能力;另一方面,要盡可能營造一個良好的外部環(huán)境(不要忽冷忽熱,空氣中污染物少,無彌漫的病菌和病毒)。人類積累了豐富的經(jīng)驗,根據(jù)實際情況采取非常適當(dāng)?shù)谋Wo(hù)措施。例如,對于一般人來說,他們改變環(huán)境的可行性較差。因此,確保自身強(qiáng)壯以及發(fā)現(xiàn)病兆及時吃藥修復(fù)等是其保護(hù)自己的主要手段。但是,對于新生兒,因為自身免疫系統(tǒng)還比較脆弱,短時間也不可能馬上提高。剛出生時醫(yī)生也有條件將其暫時置于無菌恒溫保護(hù)箱中哺養(yǎng),以隔絕惡劣的環(huán)境。
信息安全與人類抵抗病十分相似。
對于一般互聯(lián)網(wǎng)信息系統(tǒng),分布地域極廣,接觸人員多而雜,因此信息安全策略重點,除了在適當(dāng)?shù)攸c采取一些防火墻等隔離措施外,主要依靠提高自身健壯性,以及查殺病毒等措施防御信息安全。
對于工控系統(tǒng),特別是火電廠控制系統(tǒng),它與外部互聯(lián)網(wǎng)聯(lián)系較少,分布地域有限,接觸人員較少。因此,對火電廠應(yīng)該首先把重點放在為控制系統(tǒng)營造一個良好環(huán)境上。也就是說,盡可能與充斥病毒和惡意攻擊的源泉隔離,包括從互聯(lián)網(wǎng)進(jìn)來的外部入侵,以及企業(yè)內(nèi)外人員從內(nèi)部的直接感染和入侵。前者可采取電力行業(yè)中證明行之有效的硬件網(wǎng)絡(luò)單向傳輸裝置(單向物理隔離裝置)等技術(shù)手段;后者則主要通過加強(qiáng)目前電廠內(nèi)比較忽視和薄弱的信息安全管理措施。火電廠控制系統(tǒng)采取這種信息安全策略可以達(dá)到事半功倍的效果。
從當(dāng)前國內(nèi)外出現(xiàn)的不少工控系統(tǒng)遭受惡意攻擊和植入病毒導(dǎo)致的嚴(yán)重事故來看,幾乎大多數(shù)是沒有或者隔離措施非常薄弱經(jīng)互聯(lián)網(wǎng)端侵入,或者通過企業(yè)內(nèi)外人員從內(nèi)部直接植入病毒導(dǎo)致。
當(dāng)然,我們不能忽視提高控制系統(tǒng)自身健壯性的各種努力和措施,以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是,開展這方面工作,特別是在已經(jīng)投運的控制系統(tǒng)上進(jìn)行這方面工作要特別慎重,這不僅因為這些工作代價較高,而且在當(dāng)前信息安全產(chǎn)業(yè)中不少公司還不太熟悉相關(guān)行業(yè)工控系統(tǒng)特點,有些產(chǎn)品在工控系統(tǒng)中應(yīng)用尚不成熟,而火電廠控制系統(tǒng)廠家對自身產(chǎn)品信息安全狀態(tài)研究剛剛開始,或者由于種種原因沒有介入和積極配合的情況下風(fēng)險較高。這不是聳人聽聞,實踐已經(jīng)發(fā)生,有的電廠為此已經(jīng)付出了DCS停擺,機(jī)組誤跳的事故代價。
3 火電廠控制系統(tǒng)供應(yīng)側(cè)和應(yīng)用側(cè)兩個信息安全戰(zhàn)場的不同策略及相互協(xié)調(diào)
火電廠控制系統(tǒng),主要是DCS,不僅是保證功能安全的基礎(chǔ),也是提高自身健壯性,確保信息安全的關(guān)鍵,它包括供應(yīng)側(cè)和應(yīng)用側(cè)兩個信息安全戰(zhàn)場。
在DCS供應(yīng)側(cè)提高自身健壯性,并通過驗收測收,確保系統(tǒng)信息安全有許多明顯的優(yōu)點。它可以非常協(xié)調(diào)地融入信息安全策略,可以離線進(jìn)行危險性較大的滲透性測試,發(fā)現(xiàn)的漏洞對應(yīng)用其控制系統(tǒng)的電廠具有一定的通用性等。此外,DCS供應(yīng)側(cè)在提高信息安全方面積累的經(jīng)驗和措施,培養(yǎng)起來的隊伍,也將有助于現(xiàn)有電廠DCS的測試評估,以及安全加固等直接升級服務(wù)或配合服務(wù)。
與信息安全產(chǎn)業(yè)的公司提供服務(wù)擴(kuò)大了公司的市場不同,DCS供應(yīng)側(cè)提高其信息安全水平增加了DCS成本。因此,為了推動DCS供應(yīng)側(cè)提高信息安全水平,除了目前已經(jīng)在發(fā)揮作用的行政手段外,我們還必須加強(qiáng)市場手段的動力。為此,當(dāng)前我們電力行業(yè)應(yīng)盡快從信息安全角度著手制定DCS準(zhǔn)入標(biāo)準(zhǔn),制定火電廠DCS信息安全技術(shù)標(biāo)準(zhǔn)和驗收測試標(biāo)準(zhǔn),以及招標(biāo)用典型技術(shù)規(guī)范書等。
火電廠DCS應(yīng)用側(cè),是當(dāng)前最緊迫面臨現(xiàn)實信息安全風(fēng)險,而且范圍極廣的戰(zhàn)場,必須迅速有步驟地點面結(jié)合提高信息安全,降低風(fēng)險。具體意見如下:
3.1應(yīng)迅速全面開展下列三方面工作
(1)全面核查DCS與SIS及互聯(lián)網(wǎng)間是否真正貫徹落實了發(fā)改委2014年14號令和國家能源局2015年36號文附件中關(guān)于配置單向物理隔離的規(guī)定,沒有加裝必須盡快配置,已配置的要檢查是否符合要求。
(2)迅速按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》加強(qiáng)內(nèi)部安全管理,杜絕內(nèi)部和外部人員非法接近操作、介入或在現(xiàn)場總線及其它接入系統(tǒng)上偷掛攻擊設(shè)備等,并適度開展一些風(fēng)險較小的安全測評項目。
上述兩項工作,在已投運系統(tǒng)上實施難度較低,實施風(fēng)險相對較低,但是卻能起到抵御當(dāng)前大部分潛在病毒侵襲和惡意攻擊的風(fēng)險。
(3)通過試點,逐步開展對已運DCS進(jìn)行較為深入的安全測評,適度增加信息安全技術(shù)措施,待取得經(jīng)驗后,再組織力量全面推廣,把我國火電廠控制系統(tǒng)信息安全提高到一個新的水平。為了提高這項工作的總體效益,建議針對國內(nèi)火電廠應(yīng)用的各種型號的DCS品牌出發(fā),各大電力集團(tuán)互相協(xié)調(diào),統(tǒng)籌規(guī)劃,選擇十個左右試點電廠,由應(yīng)用單位上級領(lǐng)導(dǎo)組織,國家級或重點的測評機(jī)構(gòu)、實驗室技術(shù)指導(dǎo),相關(guān)DCS供應(yīng)商、優(yōu)秀信息安全產(chǎn)品生產(chǎn)商以及電廠負(fù)責(zé)DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經(jīng)驗,包括
他們已經(jīng)開展的信息安全測評和信息安全加強(qiáng)措施,減少不必要的某些現(xiàn)場直接工作帶來的較大風(fēng)險。也有利于當(dāng)前復(fù)合人才缺乏的情況下,確保工控系統(tǒng)技術(shù)和工控系統(tǒng)信息安全技術(shù)無縫融合,防止發(fā)生故障而影響安全生產(chǎn)(目前已經(jīng)有電廠在測試和加入安全措施導(dǎo)致
DCS故障而停機(jī)的事件)。
4 DCS信息安全若干具體問題的建議
4.1關(guān)于控制大區(qū)和管理大區(qū)隔離的問題
根據(jù)國家發(fā)改委2014年14號令頒發(fā)的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》,以及國家能源局36號文附件《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》的要求:
(1)生產(chǎn)拉制大區(qū)和管理信息大區(qū)之間通信應(yīng)當(dāng)部署專用橫向單向安全隔離裝置,是橫向防護(hù)的關(guān)鍵設(shè)備。
(2)生產(chǎn)控制大區(qū)內(nèi)的控制區(qū)與非控制區(qū)之間應(yīng)當(dāng)采取具有訪問功能的設(shè)施,實現(xiàn)邏輯隔離。
2016年修訂的電力行業(yè)標(biāo)準(zhǔn)《火電廠廠級監(jiān)控信息系統(tǒng)技術(shù)條件》(DL/T 924-2016)對隔離問題做了新的補(bǔ)充規(guī)定:
(1)當(dāng)MIS網(wǎng)絡(luò)不與互聯(lián)網(wǎng)連接時,宜采用SIS與MIS共用同一網(wǎng)絡(luò),在生產(chǎn)控制系統(tǒng)與SIS之間安裝硬件的網(wǎng)絡(luò)單向傳輸裝置(單向物理隔離裝置)。
(2)當(dāng)MIS網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接時,宜采用SIS網(wǎng)絡(luò)獨立于MIS網(wǎng)絡(luò),并加裝硬件的網(wǎng)絡(luò)單向傳輸裝置(單向物理隔離裝置),而在生產(chǎn)控制系統(tǒng)與SIS之間安裝硬件防火墻隔離。
根椐當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢,應(yīng)當(dāng)重新思考單向物理隔離裝置這個行之有效的關(guān)鍵安全措施的設(shè)置點問題。建議無論是剛才提到的哪一種情況,單向物理隔離裝置均應(yīng)設(shè)置在生產(chǎn)控制系統(tǒng)(DCS)與SIS之間,理由是:
(1)生產(chǎn)控制系統(tǒng)(DCS)對電廠人身設(shè)備危害和社會影響極大,而且危險事件瞬間爆發(fā)。因此,一定要把防控惡意操作、網(wǎng)絡(luò)攻擊和傳播病毒的區(qū)域限制在盡可能小的范圍內(nèi),這樣可以最大限度提高電廠控制系統(tǒng)應(yīng)對網(wǎng)絡(luò)危害的能力。
(2)SIS是全廠性的,涉及人員相對廣泛,跟每臺機(jī)組均有聯(lián)系。因此,一旦隔離屏障被攻破,故障將是全廠性的,事故危害面相對較大。
4.2 DCS信息安全認(rèn)證和測試驗收問題
火電廠在推廣應(yīng)用DCS的30年歷史中,從一開始就適時提出了供編制招標(biāo)技術(shù)規(guī)范書參考的典型技術(shù)規(guī)范書,進(jìn)而逐步形成了標(biāo)準(zhǔn), 明確規(guī)定了功能規(guī)范、性能指標(biāo)以及驗收測試等一系列要求。隨后又根據(jù)發(fā)展適時增加了對電磁兼容性和功能安全等級認(rèn)證的要求。當(dāng)前,為確保得到信息安全的DCS產(chǎn)品,歷史經(jīng)驗可以借鑒。
作者認(rèn)為,宜首先對控制系統(tǒng)供應(yīng)側(cè)開展阿基里斯認(rèn)證(Achilles Communications Certification,簡稱ACC)作為當(dāng)前提高DCS信息安全的突破口。
眾所周知,ACC已得到全球前十大自動化公司中八個公司的確認(rèn),并對其產(chǎn)品進(jìn)行認(rèn)證;工業(yè)領(lǐng)域眾多全球企業(yè)巨頭,均已對其產(chǎn)品供應(yīng)商提供的產(chǎn)品強(qiáng)制要求必須通過ACC認(rèn)證。目前,ACC事實上已成為國際上公認(rèn)的行業(yè)標(biāo)準(zhǔn)。國內(nèi)參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認(rèn)證。至于國產(chǎn)主流DCS廠家,他們大多也看到了ACC認(rèn)證是進(jìn)入國際市場的門檻,也嗅到了國內(nèi)市場未來的傾向,都在積極為達(dá)到ACC一級認(rèn)證而努力(緊迫性程度明顯與行業(yè)客戶對ACC認(rèn)證緊迫性要求有關(guān))。此外,我國也已建立了進(jìn)行測試認(rèn)證的合格機(jī)構(gòu),具備了國內(nèi)就地認(rèn)證的條件。
根據(jù)調(diào)查判斷,如果我們電力行業(yè)側(cè)開始編制技術(shù)規(guī)范書將ACC一級認(rèn)證納入要求,相信在行政推動和市場促進(jìn)雙重動力下,國產(chǎn)主流DCS在一年多時間內(nèi)通過ACC一級認(rèn)證是可以做到的。
除ACC認(rèn)證外,如前所述,當(dāng)前還急需編制招標(biāo)用火電廠信息安全技術(shù)規(guī)范和驗收測試標(biāo)準(zhǔn),使用戶在采購時對其信息安全的保障有據(jù)可依。
從源頭抓起,取得經(jīng)驗,必將有利于在運DCS信息安全工作,少走彎路。
5 結(jié)語
與早期自下而上逐步推廣應(yīng)用DCS不同,加強(qiáng)工控信息安全工作是由上而下發(fā)動,一下子就轟轟烈烈展開了,這使電力行業(yè)有點措手不及。但是,“軍令”如山,必須快步跟上,轟轟烈烈,同時也要少走彎路。迅速制定正確的信息安全工作策略,才能把各種力量凝聚在一個正確方向上,協(xié)同戰(zhàn)斗,確保火電廠控制系統(tǒng)信息安全工作健康向前發(fā)展。
作者簡介:侯子良(1935-),男,上海人,教授級高級工程師,主要從事電廠熱工自動化行業(yè)管理、規(guī)劃設(shè)計研究等方面工作。
摘自《自動化博覽》2017年7月刊