发电企业工控系统信息安全研究

中国华能集团公司 信息中心 胡勇

2016年9月

一、《发电厂监控系统安全防护方案》分析

二、发电企业工控系统安全防护思考

三、发电企业工控系统信息安全建设思路

2014年8月，国家发改委公布第14号令《电力监控系统安全防护规定》，自2014年9月1日起施行。原电监会5号令同时废止。

2015年3月，国家能源局发布36号文件《电力监控系统安全防护方案》。

• 电力监控系统安全防护总体方案

• 省级以上调度中心监控系统安全防护方案

• 地县级调度中心监控系统安全防护方案

• 发电厂监控系统安全防护方案

• 变电站监控系统安全防护方案

• 配电监控系统安全防护方案

• 电力监控系统安全防护评估规范

发电厂监控系统安全防护方案目录

本方案适用于火电厂、水电厂、核电站、风电场、光伏电站、燃机电厂等各种类型发电厂。 新增：核电站、风电场、光伏电站、燃机电厂在各分区中业务系统和功能模块描述。

方案中基本原则

安全分区

网 络 专 用

横向隔离

纵向认证 新增：综合防护

方案中纵向边界安全防护

新增： 发电厂生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时，应采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。 发电厂接入电力调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，与调度端实现双向身份认证、数据加密和访问控制。 对于不具备建立调度数据网的小型发电厂可以通过拨号、无线等方式接入相应调度机构的安全接入区，其他发电厂禁止使用远程拨号方式与调度端进行数据通信。

新增：第三方安全边界防护

如果发电厂生产控制大区中的业务系统与厂商、发电集团监测中心或环保、安全等政府部门进行数据传输，其边界防护应采用生产控制大区与管理信息大区之间的安全防护措施。 管理信息大区与外部网络之间应采取防火墙、VPN和租用专线等方式，保证边界与数据传输的安全。 禁止厂商以任何方式远程直接接入发电厂生产控制大区。

方案中新增：综合安全防护

1、入侵检测 2、主机与网络设备加固 3、应用安全控制 4、安全审计 5、专用安全产品的管理 6、备份与容灾 7、恶意代码防范 8、设备选型及漏洞整改

入侵检测

生产控制大区可以统一部署一套网络入侵检测系统，应当合理设置检测规则，检测发现隐藏于流经域间边界正常信息流中的入侵行为、分析潜在威胁、进行安全审计。

主机与网络设备加固

发电厂厂级信息监控系统等关键应用系统的主服务器，以

及网络边界处的通信网关机、Web服务器等，应使用安全加固的操作系统。加固方式包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力以及配置安全的应用程序，其中配置的更改和补丁的安装应经过测试。 非控制区的网络设备与安全设备应进行身份鉴别、访问权限控制、会话控制等安全配置加固。可应用电力调度数字证书，在网络设备和安全设备实现支持HTTPS的纵向安全Web服务，能够对浏览器客户端访问进行身份认证及加密传输。 应当对外部存储器、打印机等外设的使用进行严格管理。 生产控制大区中除安全接入区外，应当禁止选用具有无线通信功能的设备；管理信息大区业务系统使用无线网络传输业务信息时，应当具备接入认证、加密等安全机制。

应用安全控制

发电厂厂级信息监控系统等业务系统应当逐步采用用户数字证书技术，对用户登录应用系统、访问系统资源等操作进行身份认证，提供登录失败处理功能，根据身份与权限进行访问控制，并且对操作行为进行安全审计。 对于发电厂内部远程访问业务系统的情况，应进行会话控制，并采用会话认证、加密与抗抵赖等安全机制。

安全审计

生产控制大区的监控系统应具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。 可以采用安全审计功能，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。

专用安全产品的管理

安全防护工作中涉及使用横向单向安全隔离装置、纵向加密认证装置、防火墙、入侵检测系统等专用安全产品的，应当按照国家有关要求做好保密工作，禁止关键技术和设备的扩散。

备用与容灾

应当定期对关键业务的数据与系统进行备份，并实现历史归档数据的异地保存。 关键主机设备、网络设备或关键部件应当进行相应的冗余配置。控制区的业务应采用冗余方式。

恶意代码防范

应当及时更新特征码，查看查杀记录。恶意代码更新文件的安装应经过测试。 禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。

一、《发电厂监控系统安全防护方案》分析

二、发电企业工控系统信息安全防护思考

三、发电企业工控系统信息安全建设思路

电力工控系统核心设备和技术 依赖国外的形势怠整解决

电力工控系统存在大量漏洞

电力工控系统设备使用周期长、 补丁管理困难、严重漏洞难以及时解决

电力工控系统其他常见问题

某发电厂#2机组工业控制设备统计表

专业：热工专业

系统名称 厂商名称 型号 CPU型号及版本号 PLC数量

#2机组DCS 上海FOXBORO I/A SERIES 50 系列 CP60 1

#2机组脱硝控制系统 上海新华 XDC-800 XDPS2.0/R05+ 1

一期干除灰控制系统 施耐德Modicon Quantum 140 140 CPU 434 12A

2

CPU11302

一期捞渣机控制系统 施耐德Modicon Quantum 140 140 CPU 434 12A

2

CPU11302

一期吹灰控制系统 欧姆龙 C200H C200H 2

一期脱硫控制系统 南京科远 NT-6000 NT-6000-V4 2

一期化学水处理控制系统 国电智深 EDPF-NT EDPF-NT 1

一、二期制氢站控制系统 GE SERIES 90-30 GE SERIES 90-30 2

专业：电气专业

系统名称 厂商名称 型号 CPU型号及版本号 PLC数量

#1、#2机滤网控制系统 欧姆龙 CPM1A-20CDR-A-V1 OMRON 1

#1、#2炉碎渣机电动机 西门子 SIMATIC S7-200 CPU 212 2

#2炉捞渣机 施耐德 TWIDO TWDLCAA24DRF 1

#2炉电除尘振打 施耐德 BMXAMIO410 2

工业控制系统技术由专用性向通用性演进 工控系统伴随着IT技术的发展而发展，且大量采用IT通用软硬件，如

PC、操作系统、数据库系统、以太网、TCP/IP协议等；

工业控制系统由封闭性向开放性演进： 互联网、物联网技术的发展，工业化与信息化的深度融合，使工控

系统不再是一个独立的系统，由封闭性向开发性演讲。

工业控制系统由硬系统向软系统演进： 工业控制系统由机械化、电气化、电子化、软件智能化方向不断演

进。即工业控制系统不断的由硬系统向软系统在演进。

工业控制系统的演进过程

总之，工业控制系统不断向信息化、智能化方向演进！

工控系统面临的威胁

威胁的根本原因： 两化融合 生产网与管理网的连接 TCP/IP协议的普及

工业控制系统技术上的脆弱性 工业控制系统在设计的过程中专注于系统的可用性问题，对工业控制

系统的安全性考虑不足。

考虑工业控制系统兼容性的问题，工控系统无法及时安装系统补丁，

无法有效使用杀毒软件。

工控系统的安全防护落后于IT系统，使得IT系统的安全问题延伸到工

控系统，并得以放大。

以太网从管理网到生产网一网到底，使入侵行为在逻辑上畅通无阻。

同时把保密数据暴露在脆弱的工控系统当中。 总之，工控系统先天安全技术措施的不足，和后

天安全技术措施的滞后，导致工控系统相当脆弱！

工业控制系统管理上的脆弱性分析

工业控制系统安全不仅是一个技术问题，更是一个管

理问题，需要完善的工业控制系统安全政策、标准、

制度和安全意识来支撑。

工控系统的安全管理，与IT安全管理有许多不同，易用

性是工控系统安全管理考虑的第一要素。

相对信息系统用户来说，工控系统用户安全意识更加

薄弱！

安全管理与安全意识不强！

工业控制系统风险引入的途径

企业网

控制网

现场网络

手持终端

互联网

6.远程运维人员

2.来自企业网攻击

4.现场操作人员

1.来自互联网攻击

5.现场运维人员

ICS

3.工业无线网络

工业控制系统的威胁源 威胁源 可能给工控系统带来的风险 风险等级

内部威胁

操作人员 1.员工有意或无意的错误操作，对工控系统造成的威胁。 2.维护人员携带移动计算机或移动存储设备随意接入工控系统带来的威胁。

非常高

维护人员 非常高

外部威胁

工业间谍 通过互联网，以管理网作为跳板，入侵工控网络，从而获取工控系统中的涉密配方与工艺数据。 低

病毒

工控病毒

针对工业控制系统的特定病毒（如震网、Duqu等），通过管理网或其他移动存储设备，进入工控网络，对工控系统进行破坏。 高

非工控病毒

工控系统大量采用IT技术，病毒很容易被引入工控系统，从而对工控系统的正常运行造成影响。 高

异常行为与流量

病毒、木马、软硬件故障，都可能产生异常行为或异常流量，从而对工控系统造成影响。 中

可用性

系统的可用性

工控系统硬件问题：如CPU、内存、硬盘、端口流量等性能问题；工控系统软件问题：如软件自身Bug、软件配置不当、软件架构缺陷。

中

工控系统（安全）运维管理

资产管理、流程管理、管理制度、组织管理、配置管理

事件

工控系统安全运维管理

静态防护 动态监控

工控系统安全加固

工控系统安全防护 工控系统可用性监控

工控系统安全事件监控

问题 配置 变更 发布

工控系统指令监控

一、《发电厂监控系统安全防护方案》分析

二、发电企业工控系统信息安全防护思考

三、发电企业工控系统信息安全建设思路

• 不能解决所有ICS安全问题

• 但是可以规避最坏情况，追求较高要求，满足基本要求

• 不能消除所有隐患和损失

• 但是可以限制危害的范围和程度,提高保护等级

我们的认识

总体建设思路

•（1）以合规性为重点，结合企业具体需求

•（2）监、控统一，初期以监测优先

•（3）人、管理制度和技术手段三结合

•（4）层次化、边缘化、单纯化、透明化

“单纯化” 打造ICS进程白名单 打造访问控制白名单 目的是还原ICS一个纯净的环境

“透明化” 安全方案对一切工控业务来说，都是透明的。 从客户操作来看，上了安全和没有上安全感觉是一样的 对用户来说，整个ICS运行是透明的

“层次化” 分层分域防护，逐渐细粒度。 最终实现工控指令级的监控。

“边缘化” 所有安全措施对针对ICS不同层次不同设备的边界进行，绝不向ICS注入任何流量。 以边缘设备和边缘系统为ICS安全的最薄弱环节，优先进行和重点考虑

《电力监控系统安全防护评估规范》

《电力行业信息系统安全等级保护基本要求（生产控制类）》

电力监控系统 安全防护

信息安全 等级保护

建议：先评估、后建设

类型 评估项目类别 厂站端系统指标数 （3级、2级）

调度端系统指标数

（3级、2级） 4级

技术

物理安全 15 17 20 网络安全 13 15 15 主机安全 18 18 21 应用安全 17 17 20

数据安全及备份恢复 6 7 7

管理

安全管理制度 8 8 8 安全管理机构 5 8 8 人员安全管理 8 8 8 系统建设管理 8 8 8 系统运维管理 7 8 8

系统总指标数 105 114 123 系统总分值 605 655 700

脆弱性评估表

以保障控制命令真实可信、数据安全传输、行为可审计、安全事件可追溯为重点

在不影

响机组连续生产运行、不改变原有生产网络结构的基础上，重点实现对生产控

制系统网络及应用设备的监测、预警、审计和接入防护等功能

谢 谢 大 家 聆 听 ！