內容摘要:本文根據火電廠控制系統特點, 指出控制系統資訊安全防護應與互聯網系統資訊安全防護具有不同安全工作策略, 並對當前控制系統供應側和應用側兩個資訊安全戰場的互相協調和促進進行了探討。 最後, 作者還對控制大區和管理大區隔離問題以及DCS資訊安全認證和測試這兩個具體問題提出了一些想法。
關鍵字:火電廠;控制系統;資訊安全;策略
1 我國工業控制系統資訊安全發展態勢
從2011年底起, 國家各部委發佈了一系列關於工業控制系統資訊安全的檔, 把工控資訊安全列為“事關經濟發展、社會穩定和國家安全”的重要戰略,
在國家層面的推動下, 工控資訊安全工作轟轟烈烈展開, 大批行政指令以及標準應運而生;在行政和市場雙重動力的推動下, 安全資訊產業如雨後春筍般發展, 工控資訊安全產業聯盟迅速壯大。 這種形勢下, 我國電力、石化、鋼鐵等各大行業的集團和公司面臨著如何迅速研究工控資訊安全這個新課題, 學習這一系列檔精神和標準, 加強工控資訊安全管理, 研究採取恰當的資訊安全技術措施等, 積極穩妥地把工控資訊安全工作踏踏實實地開展起來這一系列緊迫任務。
但是, 當前面臨的困難是, 從事資訊安全產業的公司大多不太熟悉特點各異的各行業工控系統,
2 從工控系統特點出發正確制定資訊安全發展策略
火電廠控制系統與傳統資訊系統相比, 相對來說, 與外部完全開放的互聯網聯繫極少, 分佈地域有限, 接觸人員較少, 而對即時性、穩定性和可靠性卻要求極高。 這正是我們制定火電廠控制系統資訊安全工作策略的基本出發點。
為了形象起見, 我們以人類抵抗疾病為例。 人要不生病, 一方面要自身強壯, 不斷提高肌體的免疫系統和自修復能力;另一方面, 要盡可能營造一個良好的外部環境(不要忽冷忽熱, 空氣中污染物少, 無彌漫的病菌和病毒)。 人類積累了豐富的經驗, 根據實際情況採取非常適當的保護措施。 例如, 對於一般人來說, 他們改變環境的可行性較差。 因此, 確保自身強壯以及發現病兆及時吃藥修復等是其保護自己的主要手段。 但是, 對於新生兒, 因為自身免疫系統還比較脆弱, 短時間也不可能馬上提高。 剛出生時醫生也有條件將其暫時置於無菌恒溫保護箱中哺養, 以隔絕惡劣的環境。
資訊安全與人類抵抗病十分相似。
對於一般互聯網資訊系統, 分佈地域極廣, 接觸人員多而雜, 因此資訊安全性原則重點, 除了在適當地點採取一些防火牆等隔離措施外, 主要依靠提高自身健壯性, 以及查殺病毒等措施防禦資訊安全。
對於工控系統, 特別是火電廠控制系統, 它與外部互聯網聯繫較少, 分佈地域有限, 接觸人員較少。 因此, 對火電廠應該首先把重點放在為控制系統營造一個良好環境上。 也就是說, 盡可能與充斥病毒和惡意攻擊的源泉隔離, 包括從互聯網進來的外部入侵, 以及企業內外人員從內部的直接感染和入侵。 前者可採取電力行業中證明行之有效的硬體網路單向傳輸裝置(單向物理隔離裝置)等技術手段;後者則主要通過加強目前電廠內比較忽視和薄弱的資訊安全管理措施。
從當前國內外出現的不少工控系統遭受惡意攻擊和植入病毒導致的嚴重事故來看, 幾乎大多數是沒有或者隔離措施非常薄弱經互聯網端侵入, 或者通過企業內外人員從內部直接植入病毒導致。
當然, 我們不能忽視提高控制系統自身健壯性的各種努力和措施, 以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。 但是, 開展這方面工作, 特別是在已經投運的控制系統上進行這方面工作要特別慎重, 這不僅因為這些工作代價較高, 而且在當前資訊安全產業中不少公司還不太熟悉相關行業工控系統特點, 有些產品在工控系統中應用尚不成熟,而火電廠控制系統廠家對自身產品資訊安全狀態研究剛剛開始,或者由於種種原因沒有介入和積極配合的情況下風險較高。這不是聳人聽聞,實踐已經發生,有的電廠為此已經付出了DCS停擺,機組誤跳的事故代價。
3 火電廠控制系統供應側和應用側兩個資訊安全戰場的不同策略及相互協調
火電廠控制系統,主要是DCS,不僅是保證功能安全的基礎,也是提高自身健壯性,確保資訊安全的關鍵,它包括供應側和應用側兩個資訊安全戰場。
在DCS供應側提高自身健壯性,並通過驗收測收,確保系統資訊安全有許多明顯的優點。它可以非常協調地融入資訊安全性原則,可以離線進行危險性較大的滲透性測試,發現的漏洞對應用其控制系統的電廠具有一定的通用性等。此外,DCS供應側在提高資訊安全方面積累的經驗和措施,培養起來的隊伍,也將有助於現有電廠DCS的測試評估,以及安全加固等直接升級服務或配合服務。
與資訊安全產業的公司提供服務擴大了公司的市場不同,DCS供應側提高其資訊安全水準增加了DCS成本。因此,為了推動DCS供應側提高資訊安全水準,除了目前已經在發揮作用的行政手段外,我們還必須加強市場手段的動力。為此,當前我們電力行業應儘快從資訊安全角度著手制定DCS准入標準,制定火電廠DCS資訊安全技術標準和接受度測試標準,以及招標用典型技術規範書等。
火電廠DCS應用側,是當前最緊迫面臨現實資訊安全風險,而且範圍極廣的戰場,必須迅速有步驟地點面結合提高資訊安全,降低風險。具體意見如下:
3.1應迅速全面開展下列三方面工作
(1)全面核查DCS與SIS及互聯網間是否真正貫徹落實了發改委2014年14號令和國家能源局2015年36號文附件中關於配置單向物理隔離的規定,沒有加裝必須儘快配置,已配置的要檢查是否符合要求。
(2)迅速按照《工業控制系統資訊安全防護指南》加強內部安全管理,杜絕內部和外部人員非法接近操作、介入或在現場匯流排及其它接入系統上偷掛攻擊設備等,並適度開展一些風險較小的安全測評項目。
上述兩項工作,在已投運系統上實施難度較低,實施風險相對較低,但是卻能起到抵禦當前大部分潛在病毒侵襲和惡意攻擊的風險。
(3)通過試點,逐步開展對已運DCS進行較為深入的安全測評,適度增加資訊安全技術措施,待取得經驗後,再組織力量全面推廣,把我國火電廠控制系統資訊安全提高到一個新的水準。為了提高這項工作的總體效益,建議針對國內火電廠應用的各種型號的DCS品牌出發,各大電力集團互相協調,統籌規劃,選擇十個左右試點電廠,由應用單位上級領導組織,國家級或重點的測評機構、實驗室技術指導,相關DCS供應商、優秀資訊安全產品生產商以及電廠負責DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經驗,包括
他們已經開展的資訊安全測評和資訊安全加強措施,減少不必要的某些現場直接工作帶來的較大風險。也有利於當前複合人才缺乏的情況下,確保工控系統技術和工控系統資訊安全技術無縫融合,防止發生故障而影響安全生產(目前已經有電廠在測試和加入安全措施導致
DCS故障而停機的事件)。
4 DCS資訊安全若干具體問題的建議
4.1關於控制大區和管理大區隔離的問題
根據國家發改委2014年14號令頒發的《電力監控系統安全防護規定》,以及國家能源局36號文附件《電力監控系統安全防護總體方案》的要求:
(1)生產拉制大區和管理資訊大區之間通信應當部署專用橫向單向安全隔離裝置,是橫向防護的關鍵設備。
(2)生產控制大區內的控制區與非控制區之間應當採取具有訪問功能的設施,實現邏輯隔離。
2016年修訂的電力行業標準《火電廠廠級監控資訊系統技術條件》(DL/T 924-2016)對隔離問題做了新的補充規定:
(1)當MIS網路不與互聯網連接時,宜採用SIS與MIS共用同一網路,在生產控制系統與SIS之間安裝硬體的網路單向傳輸裝置(單向物理隔離裝置)。
(2)當MIS網路與互聯網連接時,宜採用SIS網路獨立於MIS網路,並加裝硬體的網路單向傳輸裝置(單向物理隔離裝置),而在生產控制系統與SIS之間安裝硬體防火牆隔離。
根椐當前嚴峻的網路安全形勢,應當重新思考單向物理隔離裝置這個行之有效的關鍵安全措施的設置點問題。建議無論是剛才提到的哪一種情況,單向物理隔離裝置均應設置在生產控制系統(DCS)與SIS之間,理由是:
(1)生產控制系統(DCS)對電廠人身設備危害和社會影響極大,而且危險事件瞬間爆發。因此,一定要把防控惡意操作、網路攻擊和傳播病毒的區域限制在盡可能小的範圍內,這樣可以最大限度提高電廠控制系統應對網路危害的能力。
(2)SIS是全廠性的,涉及人員相對廣泛,跟每台機組均有聯繫。因此,一旦隔離屏障被攻破,故障將是全廠性的,事故危害面相對較大。
4.2DCS資訊安全認證和測試驗收問題
火電廠在推廣應用DCS的30年歷史中,從一開始就適時提出了供編制招標技術規範書參考的典型技術規範書,進而逐步形成了標準, 明確規定了功能規範、性能指標以及接受度測試等一系列要求。隨後又根據發展適時增加了對電磁相容性和功能安全等級認證的要求。當前,為確保得到資訊安全的DCS產品,歷史經驗可以借鑒。
作者認為,宜首先對控制系統供應側開展阿基裡斯認證(Achilles Communications Certification,簡稱ACC)作為當前提高DCS資訊安全的突破口。
眾所周知,ACC已得到全球前十大自動化公司中八個公司的確認,並對其產品進行認證;工業領域眾多全球企業巨頭,均已對其產品供應商提供的產品強制要求必須通過ACC認證。目前,ACC事實上已成為國際上公認的行業標準。國內參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認證。至於國產主流DCS廠家,他們大多也看到了ACC認證是進入國際市場的門檻,也嗅到了國內市場未來的傾向,都在積極為達到ACC一級認證而努力(緊迫性程度明顯與行業客戶對ACC認證緊迫性要求有關)。此外,我國也已建立了進行測試認證的合格機構,具備了國內就地認證的條件。
根據調查判斷,如果我們電力行業側開始編制技術規範書將ACC一級認證納入要求,相信在行政推動和市場促進雙重動力下,國產主流DCS在一年多時間內通過ACC一級認證是可以做到的。
除ACC認證外,如前所述,當前還急需編制招標用火電廠資訊安全技術規範和接受度測試標準,使用戶在採購時對其資訊安全的保障有據可依。
從源頭抓起,取得經驗,必將有利於在運DCS資訊安全工作,少走彎路。
5 結語
與早期自下而上逐步推廣應用DCS不同,加強工控資訊安全工作是由上而下發動,一下子就轟轟烈烈展開了,這使電力行業有點措手不及。但是,“軍令”如山,必須快步跟上,轟轟烈烈,同時也要少走彎路。迅速制定正確的資訊安全工作策略,才能把各種力量凝聚在一個正確方向上,協同戰鬥,確保火電廠控制系統資訊安全工作健康向前發展。
作者簡介:侯子良(1935-),男,上海人,教授級高級工程師,主要從事電廠熱工自動化行業管理、規劃設計研究等方面工作。
摘自《自動化博覽》2017年7月刊
轉載請注明出處
3 火電廠控制系統供應側和應用側兩個資訊安全戰場的不同策略及相互協調
火電廠控制系統,主要是DCS,不僅是保證功能安全的基礎,也是提高自身健壯性,確保資訊安全的關鍵,它包括供應側和應用側兩個資訊安全戰場。
在DCS供應側提高自身健壯性,並通過驗收測收,確保系統資訊安全有許多明顯的優點。它可以非常協調地融入資訊安全性原則,可以離線進行危險性較大的滲透性測試,發現的漏洞對應用其控制系統的電廠具有一定的通用性等。此外,DCS供應側在提高資訊安全方面積累的經驗和措施,培養起來的隊伍,也將有助於現有電廠DCS的測試評估,以及安全加固等直接升級服務或配合服務。
與資訊安全產業的公司提供服務擴大了公司的市場不同,DCS供應側提高其資訊安全水準增加了DCS成本。因此,為了推動DCS供應側提高資訊安全水準,除了目前已經在發揮作用的行政手段外,我們還必須加強市場手段的動力。為此,當前我們電力行業應儘快從資訊安全角度著手制定DCS准入標準,制定火電廠DCS資訊安全技術標準和接受度測試標準,以及招標用典型技術規範書等。
火電廠DCS應用側,是當前最緊迫面臨現實資訊安全風險,而且範圍極廣的戰場,必須迅速有步驟地點面結合提高資訊安全,降低風險。具體意見如下:
3.1應迅速全面開展下列三方面工作
(1)全面核查DCS與SIS及互聯網間是否真正貫徹落實了發改委2014年14號令和國家能源局2015年36號文附件中關於配置單向物理隔離的規定,沒有加裝必須儘快配置,已配置的要檢查是否符合要求。
(2)迅速按照《工業控制系統資訊安全防護指南》加強內部安全管理,杜絕內部和外部人員非法接近操作、介入或在現場匯流排及其它接入系統上偷掛攻擊設備等,並適度開展一些風險較小的安全測評項目。
上述兩項工作,在已投運系統上實施難度較低,實施風險相對較低,但是卻能起到抵禦當前大部分潛在病毒侵襲和惡意攻擊的風險。
(3)通過試點,逐步開展對已運DCS進行較為深入的安全測評,適度增加資訊安全技術措施,待取得經驗後,再組織力量全面推廣,把我國火電廠控制系統資訊安全提高到一個新的水準。為了提高這項工作的總體效益,建議針對國內火電廠應用的各種型號的DCS品牌出發,各大電力集團互相協調,統籌規劃,選擇十個左右試點電廠,由應用單位上級領導組織,國家級或重點的測評機構、實驗室技術指導,相關DCS供應商、優秀資訊安全產品生產商以及電廠負責DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經驗,包括
他們已經開展的資訊安全測評和資訊安全加強措施,減少不必要的某些現場直接工作帶來的較大風險。也有利於當前複合人才缺乏的情況下,確保工控系統技術和工控系統資訊安全技術無縫融合,防止發生故障而影響安全生產(目前已經有電廠在測試和加入安全措施導致
DCS故障而停機的事件)。
4 DCS資訊安全若干具體問題的建議
4.1關於控制大區和管理大區隔離的問題
根據國家發改委2014年14號令頒發的《電力監控系統安全防護規定》,以及國家能源局36號文附件《電力監控系統安全防護總體方案》的要求:
(1)生產拉制大區和管理資訊大區之間通信應當部署專用橫向單向安全隔離裝置,是橫向防護的關鍵設備。
(2)生產控制大區內的控制區與非控制區之間應當採取具有訪問功能的設施,實現邏輯隔離。
2016年修訂的電力行業標準《火電廠廠級監控資訊系統技術條件》(DL/T 924-2016)對隔離問題做了新的補充規定:
(1)當MIS網路不與互聯網連接時,宜採用SIS與MIS共用同一網路,在生產控制系統與SIS之間安裝硬體的網路單向傳輸裝置(單向物理隔離裝置)。
(2)當MIS網路與互聯網連接時,宜採用SIS網路獨立於MIS網路,並加裝硬體的網路單向傳輸裝置(單向物理隔離裝置),而在生產控制系統與SIS之間安裝硬體防火牆隔離。
根椐當前嚴峻的網路安全形勢,應當重新思考單向物理隔離裝置這個行之有效的關鍵安全措施的設置點問題。建議無論是剛才提到的哪一種情況,單向物理隔離裝置均應設置在生產控制系統(DCS)與SIS之間,理由是:
(1)生產控制系統(DCS)對電廠人身設備危害和社會影響極大,而且危險事件瞬間爆發。因此,一定要把防控惡意操作、網路攻擊和傳播病毒的區域限制在盡可能小的範圍內,這樣可以最大限度提高電廠控制系統應對網路危害的能力。
(2)SIS是全廠性的,涉及人員相對廣泛,跟每台機組均有聯繫。因此,一旦隔離屏障被攻破,故障將是全廠性的,事故危害面相對較大。
4.2DCS資訊安全認證和測試驗收問題
火電廠在推廣應用DCS的30年歷史中,從一開始就適時提出了供編制招標技術規範書參考的典型技術規範書,進而逐步形成了標準, 明確規定了功能規範、性能指標以及接受度測試等一系列要求。隨後又根據發展適時增加了對電磁相容性和功能安全等級認證的要求。當前,為確保得到資訊安全的DCS產品,歷史經驗可以借鑒。
作者認為,宜首先對控制系統供應側開展阿基裡斯認證(Achilles Communications Certification,簡稱ACC)作為當前提高DCS資訊安全的突破口。
眾所周知,ACC已得到全球前十大自動化公司中八個公司的確認,並對其產品進行認證;工業領域眾多全球企業巨頭,均已對其產品供應商提供的產品強制要求必須通過ACC認證。目前,ACC事實上已成為國際上公認的行業標準。國內參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認證。至於國產主流DCS廠家,他們大多也看到了ACC認證是進入國際市場的門檻,也嗅到了國內市場未來的傾向,都在積極為達到ACC一級認證而努力(緊迫性程度明顯與行業客戶對ACC認證緊迫性要求有關)。此外,我國也已建立了進行測試認證的合格機構,具備了國內就地認證的條件。
根據調查判斷,如果我們電力行業側開始編制技術規範書將ACC一級認證納入要求,相信在行政推動和市場促進雙重動力下,國產主流DCS在一年多時間內通過ACC一級認證是可以做到的。
除ACC認證外,如前所述,當前還急需編制招標用火電廠資訊安全技術規範和接受度測試標準,使用戶在採購時對其資訊安全的保障有據可依。
從源頭抓起,取得經驗,必將有利於在運DCS資訊安全工作,少走彎路。
5 結語
與早期自下而上逐步推廣應用DCS不同,加強工控資訊安全工作是由上而下發動,一下子就轟轟烈烈展開了,這使電力行業有點措手不及。但是,“軍令”如山,必須快步跟上,轟轟烈烈,同時也要少走彎路。迅速制定正確的資訊安全工作策略,才能把各種力量凝聚在一個正確方向上,協同戰鬥,確保火電廠控制系統資訊安全工作健康向前發展。
作者簡介:侯子良(1935-),男,上海人,教授級高級工程師,主要從事電廠熱工自動化行業管理、規劃設計研究等方面工作。
摘自《自動化博覽》2017年7月刊
轉載請注明出處