正文 

当前位置: 首页 > java > java教程

火力发电厂工控系统网络安全解决方案-对比分析

西子湖畔的蜗牛 西子湖畔的蜗牛     2022-08-31     791

关键词:

发电厂网络概述

火电厂网络架构中涉及的系统主要包括:火电机组分散控制系统DCS、火电机组辅机控制系统DCS\PLC、火电厂级信息监控系统、调速系统和自动发电控制功能AGC、励磁系统和自动电压控制功能AVC、梯级调度监控系统、网控系统、继电保护、故障录波、电能量采集装置、电力市场报价终端等系统。

电力行业在安全方面是考虑地比较早的,形成了“安全分区、网络专用、横向隔离、纵向认证”的总体原则。

区域一般分为:生产控制大区(控制区+非控制区),管理信息大区。
也有情况下,电厂会将区域分为4个区:实时控制区(安全I区)、非控制生产区(安全II区)、生产管理区(安全III区)、管理信息区(安全IV区)。
《电力二次系统安全防护总体方案》将火电厂的网络拓扑绘制如下:
这里写图片描述

安全现状

火电厂在主控和辅控系统中,仍然以国外设备为主,主要有 艾默生、ABB、西门子、施耐德等品牌,国产品牌也有一些机组的应用,主要以国电智深、和利时、新华为主。

火力发电厂工控系统存在以下安全隐患:

  1. MIS与厂级SIS网络互联,控制网络面临来自上层信息网的潜在威胁。
  2. 监控层各现场车间与 SIS 层通讯多采用 OPC 协议,按照《电力二次系统安全防护总体方案》要求,需要配置防火墙做逻辑隔离,然而目前很多电厂采用的防火墙不支持OPC协议的动态端口机制,安全策略无法配置,导致防火墙形同虚设。
  3. 控制网络内部的操作系统大多采用Windows操作系统,长期不更新导致存在大量漏洞,也无相关人员维护。
  4. 厂内对第三方集成商或者内部仪表工程师的笔记本电脑、U盘的接入没有相应的技术措施和管理措施。可能导致病毒由此进入系统中。
  5. 一些控制设备存在较严重的漏洞,一旦被攻击者发现,就有可能被其利用,在未授权的情况下访问或破坏控制系统。
  6. 出现系统故障后,不清楚网络状况, 不能判断是否有网络入侵行为 、病毒、业务访问异常等问题, 不能定位安全问题 。

相关标准规范

  • 《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)
  • 《GB/T 22239-2008信息安全等级保护基本要求》
  • 《电力二次系统安全防护总体方案》(电监安全[2006]34号)

各厂商解决方案

匡恩

针对火力发电工控系统安全现状,匡恩网络做了深入调查和研究,提供了全生命周期的安全解决方案。
这里写图片描述
匡恩网络结合火电站运营的真实需求和潜在需求而总结的成果,经过实践证明,该解决方案能为火力发电行业工控系统提供完整的安全防御体系。
1. 目标系统的威胁管理,帮助客户了解网络整体安全威胁和风险,提供全网安全防护建议,进而帮助用户构建合理有效的工控系统,对火力发电行业工控系统网络进行安全检查、漏洞分析和风险评估。
2. 目标系统的监控审计,通过特定的安全策略,快速识别出火力发电行业工控系统网络非法操作、异常事件、外部攻击,并实时发出报警。
3. 目标系统的智能保护,帮助用户有效提高工控网络整体安全系数,保证生产的安全有序进行,降低工控网络攻击带来的各种损失。对工控专有协议进行深度分析,层层拆解数据包、深入剖析数据包结构与内容,确保数据包的合法性,从而实现工控网络的深度防护。
4. 目标系统的数采隔离,对数采系统所采集的数据进行深度分析,确保数据合法性,一旦发现非法行为,将进行记录隔离
5. 模拟火力发电行业工控系统,通过不断的在系统上进行深入的漏洞挖掘、攻击研究,提供工控网络安全标准制定的仿真分析环境、标准草案的离线验证环境、事故和漏洞根源分析试验环境、保护及补偿性措施验证环境,完成攻击效果展示及安全防护方案验证。
6. 工控安全服务培训为火力发电行业提供各类工控网络安全相关的教育培训服务。培训范围包括:工控网络知识、信息安全知识、工控网络安全知识、工控网络安全问题解决对策和工控网络、安全前沿研究成果。

涉及产品:电力专用单向隔离网闸、数采隔离、工控网络审计系统、工控主机卫士、工业防火墙(智能IAD)、安全监管平台。

威努特

这里写图片描述

  1. 在安全I区所属的一号机组、二号机组、辅助车间控制网与安全II区的SIS系统网络边界部署工业防火墙;
  2. 在安全I区内一号机组、二号机组与共同使用中央空调系统、压缩空气系统、凝结水系统、脱硫公用系统、电气公用系统的公用系统网络边界部署工业防火墙,保证安全I区内一号机组、二号机组控制系统免受来自于公用系统的安全风险;
  3. 在安全I区的操作员站、工程师站、历史服务器上安装工控主机卫士,只允许白名单列表中的程序执行,避免非授权访问,同时实施移动存储介质安全管控,保证主机间数据交换安全;
  4. 在一号、二号机组控制系统交换机上旁路部署监测审计平台,对控制系统进行监控、告警、审计,及时发现安全问题;

  5. 旁路部署统一安全管理平台,实现主辅网安全系统的统一管理和日志汇总分析。 

    涉及产品:工业防火墙、工控主机卫士、监测审计平台、统一安全管理平台、入侵监测系统。

启明星辰

这里写图片描述

  1. 可实现对工程师站、操作员站的USB、光驱、无线等接口进行严格外设控制。
  2. 实现对工控网络设备安全配置进行审计与完善。
  3. 实现了阻断来自管理网的非法行为。实现了对DCS主控和辅控的非法行为的访问控制。尤其是基于OPC的访问控制。
  4. 对所有设备操作的日志进行记录可供日后溯源。

  5. 实时监测针对电力监控系统的攻击入侵行为及异常行为。

    涉及产品:工业防火墙、工控主机卫士、工控流量监测与审计系统、日志审计系统、工控异常检测系统。

以上方案的不足

  1. 由于控制网络面临来自上层信息网的潜在威胁,但以上厂商的方案中没有涉及发电厂信息管理大区的安全防护或防护不足,这与匡恩和威努特欠缺传统信息安全经验也有很大关系。
  2. 威努特和启明的方案中,在SIS层与管理信息大区连通处,缺少支持OPC动态端口特性的强逻辑隔离设备,存在由上而下的攻击路径。
  3. 启明的方案中,对《指南》中提到的“在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。”没有对应防护,建议配置合适的工业防火墙类设备。
  4. 以上厂商,对《指南》中提到的“做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。”没有对应措施,建议配置远程安全评估工具,对网络设备、工业主机进行安全评估、基线配置核查。
  5. 以上厂商,对《指南》中提到的“密切关注重大工控安全漏洞。”没有对应措施,建议配置远程漏扫或本地漏洞,在系统停车或者合适的时机,进行漏洞发现和漏洞管理。
  6. …..

LZ的方案(标准版、土豪版)

且听下回分解

信息安全工程师笔记-工控安全需求分析与安全保护工程

工业控制系统概念及组成工业控制系统简称工控系统(ICS),是由各个控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。工控系统分为离散制造类和过程控制... 查看详情

ids与ips功能分析

...系统以及“防火墙+入侵检测系统”联动防护机制这三种网络安全方案,讨论了其优缺点和未来发展方向。本文主要对比分析了入侵检测系统、入侵防御系统以及“防火墙+入侵检测系统”联动防护机制这三种网络安全方案,讨论... 查看详情

深圳wifi方案公司工控智能网关模块数据传输模组4g插卡路由器与4g手机连外网ping百度数据对比

深圳WiFi方案定制公司工控智能网关模块数据传输模组4G插卡路由器与4G手机连外网ping百度数据对比博晶网络科技路由主板功能:>支持5-12v2A电源输入,可内嵌机箱集成>支持移远EC20/EC200T-LTE模块2G3G4G拨号上网支持全网... 查看详情

工控网络安全学习路线

工业背景对于我国而言,工业控制系统安全所面临的重要问题是自主可控的问题,我国在工控领域对国外设备和技术的依赖程度强。据中国产业信息研究网调查统计结果显示,全国5000多个重要的工业控制系统中,... 查看详情

容器领域的十大监控系统对比(下)

容器监测环境有多种形态和大小,而监控解决方案的数量之多亦令人望而生畏。在这一系列文章中,我将对容器领域的10个监控解决方案进行全面的分析对比。 上篇文章中,我介绍了此次对比测评的方法架构,并分析了五种... 查看详情

[纵横网络靶场社区]工控蜜罐日志分析(代码片段)

西门子私有通信协议是S7COMM,题目要求分析出日志中针对西门子私有通信协议扫描最多的IP,分析日志文件发现针对S7COMM的扫描日志记录都带有s7字样。所以只需要统计下带有s7字样的每一行中每个记录IP的次数,Pyhotn... 查看详情

上海工业控制-青岛海天炜业intrust可信芯片工控安全平台系统软件

工业控制-青岛海天炜业InTrust可信芯片工控安全平台系统软件  鉴于工业控制系统应用场景的特殊性,通用杀毒软件无法有效对各控制系统(DCS/SCADA/PLC/SIS等)的操作站、工程师站等终端的工控软件进程进行有效识别和查... 查看详情

工控系统的指纹识别技术

...发现ICS系统脆弱性,检测攻击行为等方向。本文主要关注工控安全领域指纹识别技术。指纹识别是什么      查看详情

分布式日志系统graylog、loki及elk的分析和对比

...案,比较主流的是ELKstack和Graylog。常见的分布式日志系统解决方案有经典的ELK和商业的splunk。为什么没有选择上面的两种方案呢,原因主要是如下两种:ELK目前很多公司都在使用,是一种很不错的分布式日志解决方案,但是需要... 查看详情

三大付费版代码审计工具对比分析

...人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺陷,并清晰的展示缺陷触发... 查看详情

androidwi-fi/cellular多网络通道绑定方案对比(代码片段)

...上也有些过很多种方案,这里只是挑选几种方案分析对比下。本质:通过netid与socket绑定的方式来创建多通道(Wi-FiSocket/CellularSocket)方案一& 查看详情

记一次.net某工控自动化控制系统卡死分析(代码片段)

一:背景1.讲故事前段时间遇到了好几起关于窗体程序的进程加载锁引发的程序卡死和线程暴涨问题,这种dump分析难度较大,主要涉及到Windows操作系统和C++的基础知识,所以有必要简单整理和大家分享一下&... 查看详情

云图视频专网安全监测分析系统(vssa)解决方案

650)this.width=650;"src="https://s4.51cto.com/wyfs02/M02/9C/B6/wKioL1l1WzuBLZR5AABQt0GjFkM136.jpg"style="float:none;"title="云图视频专网安全监测分析系统(VSSA)解决方案_公安版v1.2-pdf0000.jpg"alt="wKioL1l1WzuBLZR5AABQt0GjFk 查看详情

嵌入式工控机与普通工控机的区别

嵌入式工控机与普通工控机的区别首先,嵌入式工控机在整个测控系统中所处的位置,往往在前端,嵌入式工控机向上的连接往往是普通工控机,普通工控机的运算能力、软件资源、数据库支持等方面都是嵌入式工控机难以企及... 查看详情

浅谈工业网络架构及安全

...性基础设施行业控制系统的安全稳定运行,研究工业网络安全的关键问题,建立有针对性的安全防护体系已经迫在眉睫。一、工控网络1.工业网络词汇扫盲在开始介绍工控网络之前,先对工控网络中常常出现的工控网... 查看详情

容器领域的十大监控系统对比(上)

...集群主机上安装。在本文中,我将对容器领域的10个监控解决方案进行全面的分析对比。监控解决方案的数量之多令人望而生畏。新的解决方案不断 查看详情

zabbix与乐维监控对比分析——网络功能篇

...限管理、对象管理、告警管理、可视化及图形图表方面的对比分析,接下来我们将对二者网络功能方面进行对比分析。本篇是Zabbix与乐维监控对比专题系列文章的第七篇——网络功能篇,具体包括IP地址管理、网络端口映射发现... 查看详情

基于html5webgl的3d工控裙房系统

前言工业物联网在中国的发展如火如荼,网络基础设施建设,以及工业升级的迫切需要都为工业物联网发展提供了很大的机遇。中国工业物联网企业目前呈现两种发展形式并存状况:一方面是大型通讯、IT企业的布局;一方面是... 查看详情