“水电厂工控系统常规网络安全防护,目前总体思路是,以电厂工控系统为重点,以技术体系和管理体系为支撑,构筑信息安全的三道防线,实现我们的三个目标。以日常巡检、日志审计为主,态势感知是希望通过实时的去了解我们电力工控的情况,目前对于我们水电厂来说处于正在实施的阶段。”三峡电厂副总工程师谢秋华在2018年智慧电厂论坛(第二期)上,以《智慧电厂的工控系统信息安全》为题演讲时表示。北极星电力网全程对会议进行直播,如需了解更多的会议直播,请联系微信号:13693626116
谢秋华:各位领导,大家下午好!下面跟大家分享的是智慧电厂的工控系统信息安全”这个专题。一方面我从事工控系统10多年的工作体会,另一方面,也是因为去年开始三峡正在开展一个关于电力监控系统可信平台的研究,这个方面我们主动的引进安全防护的理念和技术,下面我就三个方面进行介绍。
直播地址:2018年智慧电厂(第二期)
第一,关于水电长工控安全防护现状。一讲现状都会讲到安全防护形势它的严峻性,比如乌克兰事件,但是我这边是从从业人员的角度来讲,我们所在的行业安全事关国家安全,他的网络信息安全受到各方面高度的关注,体现具体工作就是防护要求的多主体、多样化,我下面列举的就是,包括网信办、工信部、发改委、能源据、公安部,包括国家密码管理局,从几年前国家密码管理局给我们任务,在电力安全监控中要用国产密码。防护要求的多主体、多样化,导致我们工作中就有很多问题,我们其实是同一套系统,但是在不同的管理主体的眼中有不同的名字,比如我们可以叫电力监控系统,可以叫工控系统,在公安部我们叫某某信息系统,对这些名字不同部门来检查有不同的检查重点,同样的网络安全工作有着不同的总结报告。
举个例子,我所在的三峡电厂,2013年的时候就有公安部,原来的电监会,就是能源据、工信部、国资委,四部委进行联合的检查,2015年我们三峡工程总体竣工验收过程中专门有一个网络安全验收的指向,应该说当时是所有的主管部门,国内叫得上名来的所有的检测机构全部到场,在验收会上当时讨论确定说,我们这个检查按什么标准来检查的时候,最开始的时候大家讲电信,我们就用电力监控系统安全防控的相关规定和总体方案来做检查,但是公安部不同意,所以等保相关一系列的协调都用上了,这样我觉得对于我这个从业人员讲其实有时候工作量大大增加。
这里列举了大概有2页的法律法规和指导性文件,从法律到条例、到一些通知、到规范,非常多。我列举了那么多,并不是说我还很了解这些东西,我也不敢说特别特别了解,但是对于我们从业人员来讲,其实我们不希望有那么多的相关规定、规范这些工作,因为我就这么几套系统,对于网络安全工作来讲应该说其实就那么一些要求,这些指导文件多了以后对下面的从业人员来讲,我怎么去了解吃透这些文件,这立面的要求怎么样把它有机结合起来,这样对我们要做好电厂的网络安全防护工作到底要有哪些防护手段,要做到心中有数的话都是比较难的题目。
所以下面我讲到第二部分内容,就是水电厂工控系统常规网络安全防护,所谓常规就是一些必须的,目前所有的电厂都已经投用了,一些比较成熟的手段,同时我对安全防护的重难点也做了总结。
对于常规网络安全防护来讲,主要目前是公安部《等级保护管理办法》,发改委和能源的《电力监控系统安全防护总体方案》,我们最早出台的《电力监控系统安全防护规定》指导意义还是很强的,总早的16字仿真,安全分区、网络管理、横向隔离、纵向认证,要求是好执行的。《信息安全等级保护管理办法》要求很具体,但是最大的问题就是说,很多要求是关于信息系统的对我们工控系统有些不适应的地方,没有考虑到主动去适应我们这么一个形势,就是说我们电力工控的情况,电力工控不管怎么讲网络安全很重要,首先还是保证电力工控的安全性,这样才行,所以我们目前基本上这方面的指导还是都用上了,公安部43号文、发改委14号令、能源局36号文、43号文等,工信部的工控系统的一系列安全防护的规范也都出来了,工信部的安全防护工作其实滞后于我们电力行业的,所以很多办法是脱胎于我们电力行业的相关办法,如果他到时候一出台可能不可避免的又有一些检查要求按照这个来,目前我们按照这个来做,包括我现在思考的,就是说要将相关的一些要求,融会贯通,形成一套我能满足你所有要求的一些必要的防护手段。
目前总体思路就是,以我们的生产控制系统,对于我们电厂来说一些工控系统为重点,以技术体系和管理体系为支撑,构筑信息安全的三道防线,实现我们的三个目标。这边边界防护,我们16字仿真立面的应该是实施比较成熟的,纵深防御是电监会的5号令向34号文转变的时候我们增加了综合防御,第三道防线态势感知和应急响应,应该是目前正在实施的,因为以往我们其实主要还是以日常巡检、日志审计为主,态势感知是希望通过实时的去了解我们电力工控的情况,目前对于我们水电厂来说处于正在实施的阶段。
第二部分安全防护里面我讲几个我们实施过程中的重难点。
第一,人员的技术能力。人员技术能力方面我觉得体现在两方面,一方面,刚刚讲的,那么多的法律法规,我们相关的人员如何去理解这些相关的法律法规、指导性文件和标准规范,落实到具体防护措施,就是做什么。其实从事10多年的安全防控工作,有两种态度,有一种态度就是说,一说要什么我就做,但是做了这个东西它有没有起到真正的防护作用,第二个,你上这些安防设备以后有没有影响,没有做评估,这是比较激进的态度。一种是比较保守的态度,我上这个系统首先要确保这些设备是不是影响我本身的运行的。一种这个防护措施应该适当,但是也足够,基于这么一个考虑。
2,技术能力把握的问题。就是要熟悉计算机信息技术,根据网络安全状况实时加护设备,最早对于计算机比较细节的不是很清楚的,这两方面没有融合,这个也是需要加强的,相当于我整个怎么做。
3,就是涉及到针对这些法律法规,要上这些硬件的手段,我们怎么样去配备适当和足够的安全防护设备,我要掌握这些防护设备的性能和特征,一个是效果评估。因为像最早开始的时候,有很多安全装置对我们来说这是一个黑匣子似的,他就说我这个是什么什么功能,具体怎么配置都不清楚。近年来有很多检查也好,包括我们的监督部门也好,他们工作做的更细致、更具体了,所以会逐渐发现,有些安全防护设备上了只是说上了,它的配置有可能都不是正确的,并没有起到真正的安全防护作用,这个情况也是有的。还有安全防护设备,本身就违背了我们安全防护的理念,举个例子,有些防护设备用的是那些应用和技术,本来我们控制是不允许的,像这种情况都屡见不鲜。
所以我们的一些做法,第一个,在组织层面要做好顶层设计,因为光靠生产单位的某些个人的能力,是没有办法做到融会贯通的,所以我们基本上在公司层面,深入学习、领悟相关的法规指导性文件,融会贯通。这个工作我们做了有几年,但是觉得这个方案要想一下子做好其实难度也挺大,包括去年开始,因为我们三峡有一个项目,我们也希望通过这个项目的实施将我们常规的安全防护手段和一些先进的安全防护理念结合起来以后形成一个比较完善的水电厂安全防护顶层设计方案。这是我们想今年能够结题的一个项目。
第二,在技术方面,组织编制,像《主机设备加固手册》指导性文件,这些工作从电厂开始就做一些尝试,后来到我们公司层面,最近其实南网他们也下发了一个跟我们类似的包括组织架构的病毒查杀的指导文件,这个非常有用,因为在现场要非常非常了解你的计算机相关技术、了解每一个端口有哪些漏洞,这些是不太可能的,只有通过这些细致的文件,可以照章实施,通过这些细致的手段才能够真正的把网络安全做到实处,也便于分布层级的技术人员能力的提高。加强安全防护设备的要求,确保安全防护设备的有效性。有些安全防护设备配置都不是很正确,都没有去做管理,《网络安全法》里面对设备供货商也有要求,这个也是我们今后要加强的。要加强对我们从事信息安全相关人员的培训,提高全员的安全意识与防护能力,我们第一方面理解相关的标准规范和熟悉信息系统技术两方面,对我们信息系统的从业人员做一个提高。
第三,管理制度落地。从事网络安全管理工作十多年,管理制度经历了从无到有、从简单到全面、从单纯的设备维护职责到本单位和外部单位的维护发展过程,开始的时候我们的管理针对计算机系统,最多针对我们的机房有一些管理规定,但是这些规定对网络安全方面存在很多漏洞,所以目前我们的管理制度,就慢慢的需要制定涵概包括从业人员管理、外单位的一些保密类的相关规定,同时我们这个管理制度还要设计一些流程性的可控的东西来保证管理规定的落实。举个例子来讲,像我们外围的法规要求,就是在我们的项目合同中保密合同的签订,对于我们从业人员,对于离职的,可能我们在离职整个流程单中如果你没有把相关的权限消掉,你这个流程走不下去,从流程管控方面就保证我们的管理制度真正的落地。
关于我们网络安全管理的机构,这个方面是有欠缺的,网络安全管理工作都是以兼职为主,刚刚讲说基本上网络安全管理工作就是搞自动化的、搞这个专业的负责网络安全管理工作,目前考虑一点就是我们信息安全的,把管理工作给管起来了。
对策方面,刚刚讲了,第一个,我们的制度体系要全面,要涵概人员管理、资产管理、信息系统建设、安全管理、运维管理、培训教育各个方面,在公司层面和项目单位要建立信息安全的组织机构,配备必须的专职人员,明确兼职人员的职责和规范,我们每个单位都会有一个网络安全领导小组和工作小组。
目前在我们网络安全工作和我们的常规安全工作一同检查与考核,建立网络安全考核细则,因为网络安全工作有很多是需要做到细处的,只有落实到细处以后才能保证真正的没有缺漏。规范设备运维行为。我们对运维单位有一个全生命周期管理的要求,网络安全协议的要求。
第四,移动介质管理。在我们运维过程中不可避免的要使用到的计算机、U盘以及计算机设备、交换机控制的端口,网络是我们电站安全防护中最大的漏洞,我们目前制订了生产专用便携机建设管理的措施,严格规范生产控制区使用的标准,我们横向隔离、纵向认证这个都是虚的,所以我们是通过这种醒目的颜色去区分哪些介质或者哪些设备可以用在生产功能区,同时通过记录的行为可以规范所有的操作都是有据可查的,就是说任何一个移动介质的使用,都可以查记录,对照使用过程是不是规范的。
对我们系统中空闲的网络端口、USB端口,通过两种手段,一种是技术手段,在系统中禁用,或者物理措施,通过端口锁的方式予以封闭。对于一些实在是工作需要开的窗口,我们都有纪录,所以只有通过这种细致的管理行为才能够防范这些安全防护中的难点。
第三部分,介绍一下,因为从去年开始三峡正在进行一个水电站可信平台的研究项目,在这个研究项目里边我们有一些先进的网络安全防护理念和技术的引入,这个所谓的先进,其实也不是说好像有多前沿,这里列举了一个关于工作依据。第一,关于可信的网络产品和服务,包括《网络安全法》,包括我们的《电力监控系统总体方案要求》立面都有关于可信、关于数字证书等一些要求,为什么这些当时有要求我们没有去做呢?其实基于几方面的原因,第一个,他不是强制性的,都是什么逐步推广。
另外一个,我们市场上也缺乏相应的一些产品和技术,所以当时对于我们水电厂这块这方面推动不是很积极的,但是电网这块一直做的比较前面,他们都已经,包括研制、包括应用都已经几年了,我们也是2017年的时候,当时也是因为国家密码管理局对我们有一个试点示范的要求,我们借助这个契机也考虑,既然我们国家电网这么大的公司都敢用,我们水电厂也应该适当率先去研究尝试一些先进的技术,在研究成熟的基础上去用,总比到时候比如说突然一些规定下来了让我们去实施要好得多。
有四方面的尝试:第一,加快态势感知的建设。国家电网中心也有相关的要求,组织完成水电厂工业控制系统内网坚实与安全审计平台建设。第二,逐步推进电力监控系统硬件国产化、操作系统包括数据库、软硬件平台的国产化。第三,改进了我们的单点登录模式,建设基于数字证书的认证平台,实现系统的双因子登录。第四,逐步推广水电厂的可信平台的建设与应用。通过我对前期的我们常规的安全防护手段的总结,包括目前我们正在事实的安全防护手段的研究,我觉得属于把这两者结合起来,我们水电厂监控系统应该可以完全满足相关的法律法规、标准规范对我们电力监控系统安防的要求,我们也是希望通过这个项目的实施包括前期工作的总结,形成我们的设计方案。
下面简单介绍一下这几项工作的进展情况。
第一,内网坚实与安全审计平台建设。这个项目我们正在实施中,在全公司有一个统一的平台。这个项目本身就是要实现对监控系统内部所有的计算机、网络设备、安全防护设备的实时检测功能。以往我们最开始的时候我们的监控系统因为是定期的巡检,通过日常的巡检去发现问题,后来我们有一些安全审计的功能,通过我们审计行为发现系统中是否有异常的情况。如果这个系统建设完成的话,是可以实时报警的,就是说异常情况下可以异常报警,我们有24小时值守人员,实时监控。这个项目真正实施起来问题还是挺多的,就是说所有的计算机网络设备、安全防护设备,都应该对这个装置有一个开放的平台,这样我们才能够去掌握这些信息、分析这些信息。这个项目正在事实过程中。
第二,国产化平台的建设。对于水电厂来讲以前监控系统包括我们的硬件设备,服务器等等基本上采用国外的,可靠、稳定,因为目前国内计算机场站式设备相对比较可靠了,我们开始试点实时新一代的系统,全面采用国产的软硬件产被,实现操作系统、关系数据库、网络设备等全面的国产设备。我们选取了一个最小化的水电站监控系统,包括双荣誉配置的操作工作站、数据采集服务器、历史数据服务器、网络交换机以及时钟系统,唯一没有国产化的就是现地PLC。在我们纯国产软硬件环境下的功能、性能测试,验证水电厂监控系统的环全面国产化的可行性,逐步实现新建设、改造项目中的具体影响。我们去年开始取得了大量资料,对国产设备、计算机系统、数据软件都有了全面的落实。
总的来说,这个平台是国产化可行的,但是在这个过程中其实还是反映出不同的问题,第一个,像我们的国产服务器,比如我们一般要求是多屏的,这方面是考虑不足的。操作系统这块,我们国产的操作系统,他们版本的一致性上非常多,我们也是说你真正的去实施发现,光是同一个比如说麒麟,它有天津的麒麟等等不同的版本,而且大版本、小版本,这些版本的不一致,对于我们后期的可信平台造成了很大的困扰。
数据库系统对于我们的接口方面也有许多工作要做,所以这些东西,这个测试平台是非常有必要的,并不是我们想象的计算机嘛,我替换一个国产的就行了,其实还有很多问题,我们比较稳妥的推进这么一个事情。
第三,我们的水电站数字证书。目前我们在水电站也应用了证书,这个只是国调的数字系统在我们纵向加密下的应用。目前我们准备在公司层面基于电网的调度体系颁发水电站的证书,包括个人证书、企业证书、服务器证书、系统证书等,也包括加密的公钥和私钥,我们还需要去验证,因为数字系统我们还处于研发阶段。基本的思路是,我们只离线的提供设备、人员、程序和企业的准入证明。
这个我们准备分散应用在四个防御体系中,在物理安全体系中,我们体现为移动建设的保管和机房系统物理安全体系中体现为移动截至保管与机房门禁系统,所有进入机房的人员和设备均需持有合格的数字证书。没有证书或者证书异常的没有办法运行。在签发体系,体现在我们的管理制度中,所有的数字证书的防御模块都需要通过我们安全管理衷心的数字证书的签发系统进行签发。
最后介绍一下我们的可信平台,我们去年那个项目的核心,因为对于恶意代码攻击我们很多都是防范,我们目前想要建立的就是,采用以国产密码为基础的可信计算平台,在我们硬件层部署密码模块,在内核层就是部署可行性软件机,就是实现基于可信技术的安全免疫机制。这个也是国网在他们的系统中已经有过应用,所以我们基本上在他们的基础之上,在偶然水电厂做一个开发和应用。
这是我们完整的一个可信平台,现在我们所有系统中的工作站都有采用国产的服务器,在国产服务器中他PCI卡加装我们的可信卡,从硬件层开始我们建立一个新的链,在系统层可信接入,动态和静态度量,在最高的应用层我们搭建一个机制,加上我们的证书形成我们完整的可信平台。
总的来说,刚刚也讲过,我们目前的想法就是,全面应用我们的网络安全防控理念和技术,对我们几代监控系统最终的解决方案就是,全面采用国产服务器、操作系统。参加研发一个水电站数字证书,为水电站监控系统的应用、服务器、业务程序等发放数字证书,实现高强度的身份认证。部署内网检测平台,动态感知健康状况。最后根据我们10多年的维护工作经验,将先进技术结合以后形成一套完整的服务方案,就是实现系统的可信计算的建设标准。
以上就是我的介绍。谢谢大家!
(发言为电力头条App根据速记整理,未经本人审核)
直播地址:2018年智慧电厂(第二期)
