威努特工控安全---电力36号文解读连载1-V4

可能是“史上最详细”的36号文解读系列之“发电厂监控系统安全防护方案”详解为保障电力系统安全稳定运行，建立和完善电网、电厂计算机监控系统及调度数据网络的安全防护体系，国家和行业相关部门先后发布了《电网和电厂计算机监控系统及调度数据网络安全防护规定》（中华人民共和国国家经济贸易委员会令第30号）、《电力二次系统安全防护规定》（国家电力监管委员会令第5号）、《电力监控系统安全防护规定》（中华人民共和国国家发展和改革委员会令第14号）、《电力监控系统安全防护总体方案》（国能安全【2015】36号)。其中《电力监控系统安全防护总体方案》（国能安全【2015】36号)作为行业最新的电力系统安全规范文件，以“安全分区、网络专用、横向隔离、纵向认证”为原则，提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案，综合采用防火墙、入侵检测、主机加固、病毒防护、日志审计、统一管理等多种手段，为二次系统的安全稳定运行提供可靠环境。现就安全防护总体方案“发电厂监控系统安全防护方案“部分进行详细解析：电力监控系统安全防护总体原则“安全分区、网络专用、横向隔离、纵向认证”电力二次系统安全防护总体原则—安全分区纵向认证设备或措施正向安全隔离装置反向安全隔离装置纵向认证设备或措施正向安全隔离装置反向安全隔离装置电力二次系统安全防护总体原则——网络专用电力二次系统安全防护总体原则——横向隔离纵向认证设备或措施正向安全隔离装置反向安全隔离装置电力二次系统安全防护总体原则——纵向认证发电厂生产控制大区和管理信息大区整体拓扑生产控制区与管理信息区的横向隔离历史服务器MIS服务器计算和监控服务器操作员站操作员站组态服务器时钟同步服务器打印机打印机OPCServer电力市场报价终端汽轮机DCS控制系统1#DCS系统N#DCS系统操作员站转速测量汽轮机程控柜温度巡检锅炉DCS控制系统操作员站锅炉DCS系统锅炉DCS系统现场程控柜现场程控柜OPCServer故障录波励磁系统&AVC系统补给水设备间操作员站补给水系统补给水系统生活污水泵房雨水泵房励磁程控柜AVC程控柜操作员站励磁控制系统ＡＶＣ控制系统SIS系统SIS系统SIS系统管理信息大区——安全接入区专网前置机专用有线通信网公共通信网生产控制大区——安全接入区专网前置机安全机构环保机构工控双环冗余网光纤工业交换机电量采集纵向认证设备或措施正向安全隔离装置反向安全隔离装置生产控制大区管理信息大区36号文要求（章节4.1.1）发电厂生产控制大区与管理信息大区之间通信应当部署电力专用横向单向隔离装置。生产控制区——安全Ⅰ区&Ⅱ区间的横向隔离解决方案通过在生产控制大区和管理信息大区之间部署专用单向隔离装置，隔离装置分为正向隔离和反向隔离。安全收益保护控制系统安全运行。实现横向逻辑隔离，保护更高安全级别的生产控制区安全。36号文要求（章节4.1.2）安全区Ⅰ与安全区Ⅱ之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设备实现逻辑隔离、报文过滤······解决方案通过部署工业防火墙，实现阻止来自区域之间的越权访问，入侵攻击和非法访问等。安全收益保护控制系统安全运行。实现横向逻辑隔离，将危险源控制在有限范围内。生产控制区——系统间隔离生产控制区——纵向认证36号文要求（章节4.1.3）发电厂内同属安全区Ⅰ的各机组监控系统之间、······根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN等······解决方案在包含主控、辅控的所有业务系统之间部署工控防火墙，智能学习工控操作指令和参数建立网络和通讯“白环境”。安全收益阻止来自区域之间的越权访问，入侵攻击和非法访问等，实现横向逻辑隔离，将危险源控制在区域内。汽轮机DCS控制系统1#DCS系统N#DCS系统操作员站电量采集转速测量汽轮机程控柜温度巡检锅炉DCS控制系统操作员站锅炉DCS系统锅炉DCS系统现场程控柜现场程控柜36号文要求（章节4.2）发电厂生产控制大区与调度端系统通过电力调度数据网进行远程通信时，应当采用认证、加密、访问控制等技术措施······解决方案位于电力控制系统的内部局域网与电力调度数据网络路由之间，为上下级系统之间提供认证与加密服务。安全收益为本地安全区Ⅰ/Ⅱ提供一个网络屏障，实现数据传输的机密性、完整性保护。生产控制区——第三方边界防护综合安全防护——入侵检测36号文要求（章节4.3）如控制区系统与环保、安全等政府部门交互，其边界应采用生产控制大区和管理信息大区之间的安全防护措施。解决方案在控制区的网络边界放置单向隔离装置，利用单向隔离装置实现生产控制网数据单向流入。安全收益安全环保等政府机构，而这些第三方机构不能通过单向隔离装置向生产控制网发送数据。OPCServerOPCServer励磁系统&AVC系统补给水设备间操作员站补给水系统补给水系统生活污水泵房雨水泵房励磁程控柜AVC程控柜操作员站励磁控制系统ＡＶＣ控制系统SIS系统生产控制大区——安全接入区专网前置机安全机构环保机构综合安全防护——主机加固OPCServerOPCServer汽轮机DCS控制系统1#DCS系统N#DCS系统操作员站电量采集转速测量汽轮机程控柜温度巡检锅炉DCS控制系统操作员站锅炉DCS系统锅炉DCS系统现场程控柜现场程控柜OPCServerOPCServer励磁系统&AVC系统补给水设备间操作员站补给水系统补给水系统生活污水泵房雨水泵房励磁程控柜AVC程控柜操作员站励磁控制系统ＡＶＣ控制系统SIS系统SIS系统36号文要求（章节5.1）生产控制大区可以统一部署一套网络入侵检测系统，检测发现入侵行为，分析潜在威胁并审计。解决方案在生产控制区边界处旁路部署工控入侵检测设备，实时监控各种数据报文及来自网络外部或内部的多种攻击行为。安全收益帮助用户在第一时间发现并阻止攻击和恶意破坏行为，形成日志报表，便于用户调查取证。工控入侵检测OPCServer电力市场报价终端汽轮机DCS控制系统1#DCS系统N#DCS系统操作员站转速测量汽轮机程控柜温度巡检锅炉DCS控制系统操作员站锅炉DCS系统锅炉DCS系统现场程控柜现场程控柜SIS系统36号文要求（章节5.2）发电厂SIS系统、Web服务器等应当使用安全加固的操作系统。加固方式包括：安全配置、安全补丁、采用专业的软件强化操作系统访问控制功能。解决方案在上位机及非控制区的服务器上安装操作系统加固的软件，根据策略要求对计算机安全配置等信息进行监控、管理。安全收益实现配置核查，安全基线配置、安全补丁等安全管理和安全运维。对非控制区的设备和应用系统可以逐步采用多因子认证，最终引入PKI技术。主机加固系统综合安全防护——应用安全控制综合安全防护——安全审计36号文要求（章节5.3）发电厂SIS系统应当逐步采用数字证书技术，对用户登录应用系统、访问系统资源等操作进行身份认证，提供登录失败处理功能并对操作系统为进行安全审计。解决方案逐步在非控制网内部署CA系统，实现对用户的身份鉴别，应用访问控制。安全收益根据用户角色与权限进行访问控制。并对操作审计，同时如存在远程访问，应强制采用会话加密、抗抵赖安全措施。OPCServer故障录波励磁系统&AVC系统补给水设备间操作员站补给水系统补给水系统生活污水泵房雨水泵房励磁程控柜AVC程控柜操作员站励磁控制系统ＡＶＣ控制系统SIS系统电量采集CARA36号文要求（章节5.4）生产控制大区的监控系统应当具备安全审计功能，能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑客的攻击行为，对远程登陆应当严格审计。解决方案在区域和边界旁路部署监测与审计的网络探针，收集全网工控设备流量，向监测与审计系统集中汇报。安全收益统一收集网络日志，通过建模分析当前网络安全状态，为管理员提供可视化的操作行为、异常波动、告警信息等。36号文要求（章节5.4）生产控制大区······能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种攻击行为，对远程登陆应当严格审计。解决方案旁路部署网络堡垒机，接管数据库、网络等设备的登录，运维人员、第三方人员统一在堡垒机上操作。旁路部署数据库审计设备，对应用系统的访问进行审计。安全收益通过堡垒机进行权限分配，操作审计。审计数据库活动，进行合规性管理，对风险行为进行告警。专用安全产品——备用与冗余管理信息大区关键业务数据容灾定期对关键业务的数据进行备份，并实现历史归档数据异地保存。关键主机设备，网络设备或关键部件应当进行相应的冗余配置。生产控制大区业务系统冗余控制区尽量减少不必要的应用系统，尽量减少服务应用。为保障系统高可用性，控制区应当采用冗余方式。专用安全产品——生产控制大区恶意代码防范36号文要求（章节5.6）生产控制大区的监控系统应当具备安全审计功能，能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑客的攻击行为，对远程登陆应当严格审计。36号文要求（章节5.7）应当及时更新特征码，查看查杀记录。禁止生产控制大区和管理信息大区公用一套防恶意代码管理服务器。解决方案在控制区应用系统和上位机部署可信安全卫士，自学习建立安全模型和安全基线，监控分析应用程序和人工操作的行为特征，生成白名单。安全收益通过“白名单”阻止所有非法软件的执行，在没有杀毒软件或杀毒软件更新不及时的环境下，病毒、蠕虫、木马等非法程序依然无法执行。专用安全产品——管理信息大区恶意代码防范36号文要求（章节5.7）应当及时更新特征码，查看查杀记录······禁止生产控制大区和管理信息大区公用一套防恶意代码管理服务器。解决方案在管理信息区的终端电脑上部署防病毒软件并实现病毒库和杀毒引擎的及时更新。安全收益综合应用病毒识别规则知识，实现自动判定病毒，达到主动防御的目的。专用安全产品——设备选型及漏洞整改36号文要求（章节5.8）禁止选择国家通报存在漏洞的设备及系统，对已经投入运行的应该及时整改。解决方案通过漏洞扫描和漏洞挖掘系统，对工控系统和工控产品进行漏洞扫描和挖掘，建立安全工控产品采购清单，从源头上控制安全风险。安全收益通过专用安全设备对工控系统和设备进行漏洞扫描及挖掘，建立安全工控产品采购清单。另一方面督促工控厂商修复漏洞。