摘要:现代对电力应用极为广泛,不论是在社会生活,还是在社会工作中,电力供应都是极为关键的部分。基于此,本文对好点长网络安全防护策略进行探究,明确火电厂网络安全的重要性,并提出现阶段网络安全防护的部署策略。
关键词:火力发电厂;网络安全;防护策略
2015年12月23日乌克兰电网SCADA受到网络攻击,导致7个11kV及23个35kV变电站停止工作;2017年5月12日勒索病毒攻击全球上百个国家等。网络安全对于现代社会愈发重要,电厂作为电力的主要供应渠道,若是受到网络攻击,所发生的损失也将会是整个区域社会的[1]。基于此,本文对火电厂网络安全防护策略展开探讨。
一、电厂网络安全问题
1、网络风险纠察
在集团护网2019行动中,网安中心组织两次针对集团工控系统安全渗透演练工作。在2月21日至3月6日、5月22日至5月31日,分别对集团从互联网至广域网针对生产业务系统进行渗透演练。共发现了网络安全风险282项,34家单位均具有安全风险,其中电力单位共计有22家。这说明了电力单位网络安全的严峻情况,在电力单位网络安全风险中发现,网络风险进入到电厂的SIS系统;能够执行电厂辅控DCS组态软件编辑;通过广域网中暴露的PLC漏洞进入生产系统;集团互联网出口被突破能够进入到广域网;动力和环境监控系统可对相关设备进行启停控制;热泵供热系统HIMI组态控制;新疆公司广域网防火墙及准能炸药厂质量管理平台的系统控制权限漏洞等。
2、网络安全问题总结
问题集中表现为:管理缺陷。生产控制网络及信息管理网络达成了物理隔离,但存储介质使用不规范、移动设备接入导致恶意代码扩散风险、安监等部门远程接入导致网络入侵风险、控制系统设备采购不合理导致后门风险;安全防护策略不完善。尽管将安全区域划分为Ⅰ区和Ⅱ区,不过存在的双网卡情况,导致可能存在绕过隔离装置风险。其次在隔离装置配置策略上较为不合理,存在绕过安全策略风险。最后是隔离装置在管理中不规范,存在工作人员恶意操作及误操作风险;防护不完善。安全防护装置或者软件的配置中,因为病毒特征库更新缓慢,存在新的攻击手段无法防护的风险。其次是控制器或者上位机版本更新缓慢,存在利用已知漏洞攻击网络的风险。最后是Modbus等工控协议没有认证及加密,存在数据泄露风险。
二、火电厂网络安全防护的策略
图1为火电厂网络安全控制区划分,这里主要对生产控制大区的网络安全防护策略进行研究。
图1火电厂网络安全控制区划
1、主机安全配置
主机是整体网络安全的中点部分,在安全Ⅰ、Ⅱ区个操作站中进行本机部署,根据业务需求确认需要进行保护的主机,现场业务系统离线环境下,进行安装测试并通过之后才能进行部署。主机操作系统的安全目标是,对标识系统中的用户实行身份鉴别,同时根据系统安全策略对用户操作进行控制,预防外来入侵以及用户对计算机中的资源非法访问,同时对系统运行安全进行监督,要保证操作系统的完整及安全[2]。为了实现这些安全目标,就需要实现标识及鉴别、对访问进行控制,信道保护及安全审计等。要做好定期自查,并对报警日志进行检查,灵活应用告警模式,做好策略备份。管理中按照权限进行账户添加,并定期检查操作日志。更新管理中通过DCS厂家获取最新系统补丁包,补丁更新前做好备份工作。自主进行DCS主机安全的管控中,要以国产最高等级安全操作系统为基础,联合定制开发基于SELinux访问控制策略的DCS专用操作系统;其次要实现DSC及OS系统安全紧密绑定,具有从系统平台到应用深层安全自主可控的特征;选择使用国产中标麒麟安全四级操作系统定制最强主动防御策略,系统安全要较之标准更高。
期刊文章分类查询,尽在期刊图书馆DSC主机的可信安全加固中,要按照Windows操作系统基础制定国产可信主机安全监管系统,实现主机安全生产有关的监控、管理及控制;并根据等保合规性检查项进行开发设计,加固要保证能够与系统自检实现灵活配置,满足用户及相关检查的需求;基于可信度量技术白名单管控技术,可进行文件加载执行监测功能,对未知异常具有阻止及抵御的能力。
2、交换机配置
交换机的主要功能是进行VLAN的划分,对链路层进行分组隔离;其次是在路由基础上进行ACL访问控制列表的配置,从而实现包过滤。交换机要求为网管型,且自身再用户、密码及审计、web管理上安全合乎规范,同时支持端口镜像以及snmpV2、V3。进行交换机的配置中先进性管理ip以及snmp服务器设置;进行报警项及审计项设置;流控、环网;对导出备份机制进行配置。
3、防火墙配置
防火墙主要具有三个模式,静态包过滤以及应用代理及状态检测。静态包过滤是根据数据包的标记实现对数据包的控制,相对数据逻辑简单,较容易实现,不过无法对英曾信息过滤处理,配置相对复杂。应用代理在连接中需要通过防火墙转发,对于数据包检测能力提升,但是效率降低。状态监测主要是对连接进行维护,安全性相对更高,但是对于硬件性能要求相对也较为高,适应性相对良好。防火墙实现控制是在网络连接点上进行一安区全控制点的建立,进而对数据进出进行限制;隔离是将有网络保护需求的网络和不可信任的网络隔离开来,对信息进行掩藏及防护网络风险;记录是对进出的数据进行检查,并对相关信息进行记录。部署使用工控防火墙,在DCS不同业务域之间进行部署。部署完成后要进行线管配置,串行接入系统,选择透明工作模式;先对所有数据包传入进行阻止,需要传入再开放端口;根据业务特征以及优先级进行规则以及策略制定于规则表中的位置;根据业务发生的变化及时实现更新;启用防火墙审计功能,对审计事项进行合理设置;最后对防火墙自身安全进行保护。不过防火墙在管理及配置上难度较大,容易导致安全漏洞出现。同时,其可以进行外部风险防护,但对于内部的防护性较差、且在访问控制上效果有限,对于病毒的防范能力为零。因此防火墙要根据电厂自身安全需要进行配置。
4、单向隔离配置
单向隔离主要包含有内部及外部、中间三个处理单元,其特点在于能够对内外网实现协议隔离及物理隔离,数据文件的无协议摆渡。单向隔离装置进行部署时,选择国家指定认证的电力专用横向单向安全隔离装置,不能在控制大区和信息大区之间直接或间接的连接。配置中先确认内外网的IP及子网掩码和网关;确定访问方向为正向还是反向;进行NAT转换地址的配置,并进行虚拟应用通道的建立;进行访问控制规则以及保温过滤规则配置;反向访问时要进行配套的发送及接收端软件,同时进行秘钥及证书的管理。
5、纵向加密认证配置
纵向加密认证主要由装置及本地管理终端及调度证书服务系统以及管理中心系统构成。在部署中选择国家指定部门检测认证的电力专用纵向加密认证装置。在发电生产监控系统和电力调度数据网之间进行部署。配置中先进行初始化,之后进行本地基本信息、安全隧道、安全策略配置。
6、安全审计及监控系统配置
主要由网络探测引擎以及数据管理中心及审计中心构成,其作用是进行用户操作行为及网络活动记录,并独立进行审查和分析预警,对安全策略变更的效果进行评价和反馈。部署中按照国家规定选择相应产品,尽可能进行上位机信息以及边界信息的采集。配置中先进行交换机镜像端口设置;进行用户管理以及权限划分;进行审计策略及告警策略定义;并进行自学习功能的配置。
结束语
随着现代科技技术的发展,发电厂的运行过程中,不再是单一的电力网络,也应用了信息网络,对发电厂自动化程度提升,同时也提升了电力供应效率,但也因此存在电力安全隐患问题。本文对火电厂网络安全防护策略进行了探讨,能够为相应发电厂提供借鉴。
参考文献
[1]刘海波.水电厂电力监控系统安全防护策略浅析[J].四川水力发电,2018(a02):66-67.
[2]明婧薇.计算机网络信息安全及其防护对策[J].电子技术与软件工程,2019(3):209-209.
论文作者:贺小雨
论文发表刊物:《中国电业》2019年17期
论文发表时间:2019/12/17
标签:网络论文; 策略论文; 风险论文; 系统论文; 网络安全论文; 火电厂论文; 安全防护论文; 《中国电业》2019年17期论文;