安全跟我学|智慧电厂与常规电厂网络安全防护体系比较

邵旻 赵亮宇 侯伟珍
智慧电厂是将云计算、大数据、物联网、移动互联、人工智能等现代计算机、信息技术与传统发电技术进行深度融合应用,实现IT和OT(运营技术)的融合。云计算、物联网、移动互联等先进IT技术的加入,给电厂监控系统和信息系统网络安全带来新的风险与挑战。

本文来自微信公众号“网络安全和信息化”,作者:山东电力工程咨询院有限公司邵旻、赵亮宇、侯伟珍。

在国家提出加快数字化发展、建设数字中国的大环境下,发电领域也在不断探索和加速数字化、智慧化建设进程,各电力集团纷纷开展智慧电厂建设试点与示范。智慧电厂的特点是建设企业数据中心,整合监控信息系统(SIS)、管理信息系统(MIS)、视频监视、门禁管理、周界防范等电厂传统的信息系统,实现各系统间信息共享,同时应用“云、大、物、移、智”等先进技术,实现从感知识别、建模分析、决策优化到控制执行的数据优化闭环,打通底层数据到上层应用的实时通道,消除数据孤岛。

智慧电厂系统承载了全厂的数据和业务,关系电厂生产、经营、设备、物资、安健环等各个环节,为保障电厂业务生产安全、建设好智慧电厂系统的网络安全防护提供了基础支撑。

1.png

传统发电厂网络安全防护体系

电力监控系统安全防护主要遵循国家能源局发布的《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》。发电厂电力监控系统安全防护依据《电力监控系统安全防护总体方案》及《发电厂监控系统信息安全防护技术规范》(DL/T 2202—2020),以“安全分区、网络专用、横向隔离、纵向认证、综合防护”为基本原则,重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全。

1.安全分区

发电厂安全分区按业务功能划分为生产控制大区和管理信息大区,生产控制大区又划分为控制区(安全区I)和非控制区(安全区II)。对于火电厂来说,机组及辅助车间控制系统、厂级SIS的监控功能,以及保护、测控与调度发电厂电气设备与发电机的电气二次系统属于控制区;厂级SIS的优化功能、电能量采集装置、电力市场报价终端、故障录波装置及信息管理终端等属于非控制区;厂级SIS的管理功能、报价辅助决策系统、视频监视系统、视频会议系统、门禁管理系统、检修管理系统和MIS等属于管理信息大区。

2.网络专用

发电厂端的电力调度数据网应在专用通道上,使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离,并划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。

3.横向隔离

生产控制大区与管理信息大区之间部署经国家指定部门检测认证的电力专用横向单向安全隔离装置。控制区与非控制区之间采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者与之相当功能的设备,以实现逻辑隔离。同一安全分区内的各系统之间,根据需要可采取一定强度的逻辑访问控制措施,如防火墙、VLAN等。在安全接入区与生产控制大区其他部分的连接处,设置经国家指定部门检测认证的电力专用横向安全隔离装置(包括正向隔离装置和反向隔离装置)。管理信息大区与外部网络之间采取防火墙、VPN和租用专线等方式,保障边界与数据传输的安全。

4.纵向认证

火电厂生产控制大区与调度数据网的纵向连接处设置经过国家指定部门检测认证的电力专用纵向加密认证装置,以实现双向身份认证、数据加密和访问控制。

5.综合防护

结合网络安全等级保护制度相关要求,火电厂应建设一套完整的从上位机、网络设备、恶意代码防范、应用安全控制、审计到备份及容灾等多个层面的综合性网络安全防护体系。该体系主要包括入侵检测、主机与网络设备加固、用户数字证书身份认证、可信验证、安全审计、防恶意代码、数据完整性校验、数据加密、关键业务数据定期备份、关键设备或部件冗余配置、专用安全产品的保密管理等安全措施。

智慧电厂网络安全防护体系

智慧电厂是将云计算、大数据、物联网、移动互联、人工智能等现代计算机、信息技术与传统发电技术进行深度融合应用,实现IT和OT(运营技术)的融合。云计算、物联网、移动互联等先进IT技术的加入,给电厂监控系统和信息系统网络安全带来新的风险与挑战。

1.基本原则

智慧电厂系统的网络安全防护基本原则与传统发电厂相同,须遵循“安全分区、网络专用、横向隔离、纵向认证、综合防护”的总体原则,重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全。

2.与传统发电厂网络安全防护的主要区别

智慧电厂系统与传统发电厂的网络安全防护的区别,主要是两者在网络结构、应用的信息技术、建设的应用功能等内容的不同,主要体现在以下六个方面。

(1)安全分区

安全分区变化主要是由电厂网络结构变化引起的。常规电厂全厂自动化系统及其计算机网络为“DCS→SIS→MIS”三层网络结构。智慧电厂提出“ICS→IMS”两层网络结构,取消了SIS网络层,SIS的功能拆分在ICS和IMS中进行建设。ICS属于生产控制大区中的控制区(安全区I),IMS属于管理信息大区,生产控制大区中的非控制区(安全区II)不再存在。

ICS与IMS两层网络之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,只允许ICS侧向IMS侧发起连接并发送数据,不允许IMS侧向ICS侧回传数据。

(2)平台安全

一体化管控平台是智慧电厂中集采集、分析、存储、计算、管理、展示和决策于一体的数据和运算平台,具有融合硬件资源、规范基础编码、集成汇聚数据、统筹算力支持、集中部署应用、统一展示输出、集中运维保障的作用。因此,确保其安全可靠至关重要。

①平台内建性安全。云基础设施作为智慧电厂集中承载核心业务的底层平台,因广泛采用超融合、云计算等技术,其安全防护体系有别于传统服务器使用过多物理硬件进行防御,而是充分基于超融合的技术特点,使用虚拟化安全组件、内建安全能力等搭建云化防御体系。云平台安全建设应从攻击可能发生的路径出发,重点考虑:对访问云平台管理控制台的Web端口的防御体系;对访问云平台所承载业务的防御体系;对超融合底层操作系统的防御机制;兜底数据保护机制。

②平台接入安全。集成零信任技术与云桌面技术建设安全工作平台,为系统访问提供全流程安全准入校验机制与安全访问操作空间,对智慧电厂系统的任何访问与操作,均需经零信任鉴权并代理访问至基于云桌面技术的安全访问操作空间,确保数据不落地。零信任访问控制系统通过服务隐身、动态自适应认证、全周期终端环境检测、动态业务准入、动态访问控制、多源信任评估等核心能力,建立流量身份化、权限智能化、访问控制动态化、运维管理极简化的安全访问机制。云桌面安全防护是在接入层部署虚拟化平台安全防护系统,通过个人盘加密、策略防火墙等,提供平台安全防护和数据安全防护。

(3)无线网络安全

智慧电厂需要建设无线网络来支撑巡检机器人或无人机、智能巡检仪、智能安全帽等智能设备的无线数据通信。智慧电厂网络安全防护体系应考虑针对无线网络的安全防护措施,用以防御针对无线网络的信息截获与监听,利用无线系统漏洞的非法入侵,针对无线网络发起的DoS攻击或针对不完善的身份校验机制发起的爆破攻击等,应从入网设备识别、无线网络准入校验、无线接入设备访问权限管控、流量管控等角度入手,搭建完整的无线网络安全防护体系。

另外,随着5G无线网络在智慧电厂中的推广应用,围绕5G无线网络接入的安全也应加以考虑。大部分5G网络安全能力由5G设备供应商、运营商以及5G技术本身提供。智慧电厂侧需要考虑的主要是5G设备的准入机制、身份校验机制等,与普通无线接入安全基本一致。

(4)物联网安全

物联网是智慧电厂实现智能感知和智能执行的重要手段。智慧电厂网络安全防护体系应考虑针对物联网的安全防护措施,主要从物联网资产管理、物联网设备脆弱性识别、物联网访问控制等方面入手搭建,如下所述。

①基于智慧电厂整体安全防御体系,构建具备联动管理、联动处置的物联网安全防御分支。

②在资产管理方面,应避免传统IT资产与物联网资产的割裂,构建针对IT、OT、IoT混合资产的一体化指纹信息库。

③建立IoT设备的准入管理机制,从合规性维度、业务安全维度等进行准入管理,重点考虑“白名单”管理方式,以保障生产。

④监控感知层设备流量状态,避免对设备及通过设备发起的安全攻击,确保通信链路安全。

⑤建立针对视频监控协议、工控协议的管理或审计能力。

⑥建立针对工控、非工控的整体漏洞攻击特征库,及时挖掘和封堵漏洞。

⑦采用数据签名、时间戳等安全机制,保证数据的完整性和新鲜性,防止针对设备的重放攻击以及对数据的篡改。

⑧针对物联网,可采取轻量级安全认证技术,将身份认证与数据保护融合在一起,提供融身份认证、数据机密性、数据完整性、数据新鲜性于一体的轻量级数据传输协议。

(5)移动互联安全

智慧电厂包含众多移动互联应用。智慧电厂网络安全防护体系应考虑针对移动互联的安全防护措施,主要包括:防御手段兼容各类环境下的移动终端,重点考虑如Android、iOS、国产化终端等;具备诸如应用封装等能够将安全能力直接集成至移动互联应用中的能力;具备完善的身份校验机制,以保障移动接入安全;建立动态访问控制体系,从终端环境、人员身份等方面进行动态管控,以对抗移动端复杂性带来的安全风险;建立厂内应用与个人空间的隔离机制,包括但不限于内容分享控制、数据拷贝控制、截屏防护、应用水印等;增强数据传输、存储及其防泄漏安全措施,加强个人信息保护,在应用传输方面,应具备加密传输能力,避免窃听攻击。

(6)数据安全

智慧电厂力图将传统火电厂中独立、分散的系统整合起来,在各系统的对接过程中,应围绕数据处理活动保护数据安全,搭建基于数据访问流的统一数据安全集成防护体系,结合基于属性的数据主客体访问控制和全链路数据安全风险检测,让智慧电厂系统间的数据能够安全共享。因此,应重点考虑以下方面。

建立以数据资产为中心的管控体系,依托元数据,实现全域数据分级保护;建立统一承载访问控制、脱敏、水印、监审等组件式数据安全能力的平台,解决安全碎片化问题;融合业务和风险属性,在数据访问流动中进行集中监测管控。

结语

智慧电厂建设是电力行业发展的必然趋势,其网络安全防护体系建设,应在传统发电厂网络安全防护体系基础上,结合智慧电厂的网络结构特点、建设内容及新技术应用,采取针对性的安全防护措施,构建满足智慧电厂信息安全、功能安全和物理安全需求的网络安全防护体系,确保智慧电厂安全可靠运行,减少由于网络安全造成的损失。

来源:《网络安全和信息化》杂志

作者:山东电力工程咨询院有限公司邵旻赵亮宇侯伟珍

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论