新能源发电行业工控安全建设浅析

剑指工控 · 发表于 2024-4-13 09:56:52

信息安全保卫战，已经从电信、金融、政府等传统安全保护工作扩展到工业自动化领域。特别是能源、轨交、市政等与人民生活息息相关的行业，更加受到重视。电力，人们生产生活中必不可少的资源。大量传统火力发电企业的建立，在满足人们生产、生活用电需要的基础上，也给自然、环境带来了不可逆转的影响。

      新能源，这个被联合国定义为“以新技术和新材料为基础，使传统的可再生能源得到现代化的开发和利用，用取之不尽、周而复始的可再生能源取代资源有限、对环境有污染的化石能源，重点开发太阳能、风能、生物质能、潮汐能、地热能、氢能和核能（原子能）”在我国大量开发利用的太阳能发电、风能发电等正在逐步替代传统火力发电等高耗能企业。

      由于太阳能发电厂、风力发电厂的结构简单、建设周期短、投资少，而且对环境、自然造成的影响小，所以越来越多的太阳能发电厂、风能发电厂正呈现规模化、集团化建设趋势。风力发电、太阳能发电在我国各类电厂的发电总量所占百分比也在日益扩大，如果这些结构类似的风力发电厂、太阳能发电厂受到恶意攻击，同样会给国家、人民的生产生活带来巨大的安全危害。

      “生产安全”是工业企业的最为关心的词语。随着互联网、物联网、虚拟现实、云等一系列高科技手段不断深入,并与工业企业的生产工艺的不断融合，“信息安全”必然成为影响工业企业“生产安全”的重要指标。2017年6月1日《中华人民共和国网络安全法》的正式执行，也表明信息安全已经成为国家安全的组成部分。“信息安全”这个词语在多数工业企业用户的理解上存在很大的误区，多数工业用户认为我的工业网络是封闭的、独立的，所以就是安全的。通过大量事实证明，这类封闭的信息孤岛一样会受到恶意软件有意或者无意的攻击。万物互联，已经成为不可逆转的趋势。在这样的大趋势下如何利用信息安全、功能安全等合理手段抵御来自于外部、内部，主观、客观等一系列的威胁、危害已经成为企业用户的核心思想。

      如何解决或者尽量降低这些风力发电厂、太阳能发电厂给国家输电网络带来的威胁，需要从解决发电企业已经存在的安全问题出发。经过大量的调研走访工作，我们发现发电企业存在着以下风险：

1. 病毒在上位机系统间的传播

      发现了大量的病毒在管理大区PC机及生产控制大区内部操作员站、工程师站等操作主机上传播，经过对病毒传播路径的溯源分析，发现管理网及生产网安全隔离、防护措施不到位，是造成病毒蔓延的原因之一。这些病毒已经影响到电厂的正常生产工作，由此可见电厂安全防护工作需要进一步落实。

2.工控主机操作系统问题

      终端主机没有安装安全防护专用软件也是造成病毒蔓延的原因之二。

      工控主机、数控库服务器常用操作系统通常使用的是微软的Windows系列操作系统。Windows操作系统存在着大量安全漏洞，特别是部分电厂还在使用Windows XP操作系统，该类型操作系统微软已经在2014年4月8日停止更新服务。这些操作系统的使用，直接导致各种类型的病毒或者木马都可以通过这些安全漏洞在操作系统之间传播，对电厂等安全生产工作带来直接影响。

3．其他风险-常用PLC漏洞

      现阶段多风力、太阳能发电厂大量使用国外品牌PLC设备，这些设备自身存在着许多安全漏洞，如Siemens S7300/400 PLC存在权限绕过停机漏洞（CNVD-2016-05901）。

4. 工业协议漏洞

      常用协议如ModbusTCP、西门子的S7、数据采集OPC协议、电网调度IEC104、SCADA系统常用的DNP3协议等，这些协议在设计初期主要是为了保证生产的连续性与稳定性，所以协议设计上在安全性与稳定性之间进行取舍，进而牺牲了安全性。

5. 控制软件自身的安全问题

      电厂中使用的自主研发控制软件或者国外产品的组态软件存在着大量的安全漏洞，如西门子、霍尼韦尔、施耐德等，这些控制软件都已经曝出大量高危安全漏洞。这些控制软件的各类漏洞严重影响电厂的安全生产工作。任何黑客或别有用心人员都可以通过这些漏洞发起对电厂控制系统有针对性的攻击行为。

信息安全问题解决思路

      解决新能源行业的信息安全问题，需要根据新能源控制系统的运行环境相对稳定、控制系统无法直接访问外网、系统更新频率较低等特点，并依据工业和信息化部印发的《工业控制系统信息安全防护指南》中的相关要求，构建“分区分域，主动防御，统一管理，综合防护”的纵深防御体系，实现了电力系统的专机专用，专网专用。保证了只有可信任的设备，才能接入工控网络；只有可信任的消息，才能在工控网络上传输；只有可信任的软件，才允许被执行。

      在生产网络的边界，如生产控制大区与信息管理大区，生产控制大区内的控制区与非控制区，控制区内的不同生产单元间需要部署相应的网络安全隔离产品，保护各不同安全级别的区域与不同生产单元间的网络安全。

      根据生产网络中各类型业务系统相对简单、固定的特点，识别并标记网络内正常的流量信息、主机信息、应用程序信息并加以保护，通过主动方式保护电力系统网络中的各类信息安全。

在生产网络中部署网络流量监控系统、运维操作管理系统、人员信息管理系统等，实现对电力信息网络内各应用系统的综合防护。

      把网络中相关安全防护产品进行统一的管理，进而提高安全管理工作效率，降低安全管理工作的运维成本。

电力网络信息安全解决方案具体意见

      新能源发电企业的网络安全问题需要在生产控制大区内网络边界的保护、网络流量审计、工控主机的漏洞与病毒防护、操作人员的身份认证、操作行为管理、应用软件自身安全性保护、安全防护类产品的统一管理等方面进行以下方面的安全防护建设工作：

工控网络安全隔离

生产控制大区内安全I区与安全II区边界间部署安全隔离设备，如工业防火墙、电力系统专用网闸，将非法人员利用设备漏洞实现网络攻击的路径堵死。

工业防火墙是网络逻辑隔离的安全手段之一，传统的防火墙由于不支持工控协议，无法实现工控网络深度安全防御。利用工控协议深度解析技术对工控协议进行解析，对OPC、Modbus、S7、IEC104等进行深度分析，防止应用层协议被篡改或破坏，为控制网与管理信息网的连接、控制网内部各区域的连接提供安全保障。

网络安全监测与审计

监测与审计是工控内网安全监测审计防护的重要技术措施，通过工控安全监测审计措施可以发现工控网络中的入侵行为、违规操作行为、违规通信协议、违规通信指令并进行实时告警，在工控内网络发生安全事件后，通过工控安全监测审计系统对安全事件进行详细分析、定位、跟踪和取证，短时间内确定安全事件责任人员或安全事件发生源头。

主机安全管控

系统中存在一定数量的主机设备，如工程师站、操作员站等。这些设备往往是工控系统的风险点，病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。通过在主机上安装以“白名单”为保护机制的恶意病毒防护软件，确保只有可信的程序、进程才允许运行，防止已知和未知恶意程序的侵入，进而防止操作系统被恶意破坏。

漏洞扫描与挖掘

根据工业控制系统已知的安全漏洞特征，对SCADA、PLC等多种类型工业控制系统中的控制设备、应用或系统漏洞扫描、识别，检测工业控制系统存在的已知和未知漏洞并生成相应的报告，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而使用户在漏洞全面评估的基础上实现安全自主掌控。

系统资源的访问控制

通过在生产控制大区内部署对工控主机、网络设备、应用软件的访问控制管理系统、人员账号管理系统，实时监控生产控制大区内工控主机、服务器、网络设备、应用软件进行安全管控，对运维和管理人员账号使用情况进行画面监视和记录。当出现问题提供有力证据并可记录问题发生整个过程，解决一切疏忽于管理上的安全事件的发生。

统一安全管理

工控网络中部署一定数量的安全产品后，可通过统一安全管理产品进行集中管理，实现统一配置、全面监控、实时告警等，降低运维成本、提升事件响应效率。

安全管理体系建设

      企业安全建设“三分靠技术，七分靠管理”。在工业控制系统信息安全建设过程中，管理与技术必须同步进行，才能做到真正的安全。安全管理体系建设主要从安全组织架构、安全管理制度、人员安全管理、系统建设管理、系统运维等五方面开展。

小结

      自Wannacry病毒爆发以来，威努特已在能源领域有成功防护案例，实践证明，威努特独有的工控安全“白名单”策略确实可以有效防护“Wannacry病毒”，并受到客户的好评。

      工业控制系统信息安全问题已迫在眉睫，针对新能源电力企业的生产季节性特点，同时结合工业控制系统网络结构和安全需求，提出工业控制系统信息安全的纵深防御策略，将工业系统网络划分为不同的安全区域，在区域之间执行管道通信，从而通过管控区域间管道中的通信内容，实现保证工厂控制网络安全稳定运行的三个目标：通讯可控、区域隔离和报警追踪，进而全方位地保障工业控制系统信息安全。

      威努特致力于为电力、能源企业提供“确定的安全”，深入研究电力生产网络存在的安全风险，确定安全问题出现的根源，针对症结提供基于白名单机制的安全产品，构建符合电力生产特点的工控安全“白环境”。

		自动登录	找回密码
密码			注册哦

新能源发电行业工控安全建设浅析

本帖子中包含更多资源