【摘要】: 本文从火电厂控制系统特点出发,指出控制系统信息安全防护与互联网系统信息防护应具有不同安全工作策略,并对当前控制系统供应侧和应用侧两个信息安全战场互相协调和促进进行了探讨。最后,作者还对控制大区和管理大区隔离问题以及DCS信息安全认证和测试这二个具体问题提出了一些想法。抛砖引玉,希望引起思考和讨论。
【关键词】:火电厂 控制系统 信息安全 策略
一、我国工业控制系统信息安全发展态势
从2011年底起,国家各部委发布了一系列关于工业控制系统信息安全的文件,把工控信息安全列为事关经济发展、社会稳定和国家安全的重要战略,受到国家层面的打开CPEM了解更多高度重视。
在国家层面的推动下,工控信息安全工作轰轰烈烈展开,大批行政指令以及标准应运而生;行政和市场双重动力的推动下,安全信息产业如雨后春笋般发展,工控信息安全产业联盟迅速壮大。这种形势下,我国电力、石化、钢铁等各大行业的集团和公司面临着如何迅速研究工控信息安全这个新课题,高效踏实贯彻这一系列文件精神和标准,加强工控信息安全管理,研究采取恰当的信息安全技术措施等一系列新任务。
但是,当前面临的困难是,从事安全信息产业的公司大多不太熟悉特点各异的各行业工控系统,有时还不免把工控系统视作一个互联网信息系统去思考和防护;而从事工控系统应用行业的人们大多还来不及了解信息安全技术,主导制订本行业的相关标准和本行业控制系统信息安全的工作策略,并推动两支力量的紧密配合。这正是当前面临的困境和作者力图要跟同仁们一起学习和探讨的问题。
二、 从工控系统特点出发正确制订信息安全发展策略
火电厂控制系统跟传统信息系统相比,相对来说,与外部完全开放的互联网联系较少,分布地域有限,接触人员较少,而对实时性、稳定性和可靠性却要求极高。这正是我们制订火电厂控制系统信息安全工作策略的基本出发点。
为了形象起见,我们以人类抵抗疾病和死亡为例。人要不生病,一方面要自身强壮,不断提高肌体的自修复能力和免疫系统;另一方面,要尽可能营造一个良好环境(外部环境不要忽冷忽热,空气中污染物少,无弥漫的病菌和病毒)。人们根据实际情况采取适当的保护措施。例如,对于一般人来说,他们改变环境的可行性较差。因此,确保自身强壮以及发现病兆及时吃药修复等成了主要手段。但是,对于新生儿,因为自身免疫系统还比较脆弱,短时间也不可能马上提高。因此,刚出生时医生常常将其暂时置于无菌恒温保护箱中哺养。
信息安全跟人类抵抗病十分相似。
对于一般互联网信息系统,分布地域极广,接触人员多而杂,因此信息安全策略重点,除了在适当地点采取一些防火墙等隔离措施外,主要提高自身健壮性,以及查杀病毒等措施。
对于工控系统,特别是火电厂控制系统,它与外部互联网联系较少,分布地域有限,接触人员较少。因此,对火电厂可以也应该首先把重点放在为控制系统营造一个良好环境上。也就是说,尽可能与充斥病毒和恶意攻击的源泉隔离,包括从互联网进来的外部风险入侵,以及企业内外人员从内部的直接风险入侵。前者可采取电力行业中证明行之有效的硬件网络单向传输装置(单向物理隔离装置)等技术手段;后者则主要通过加强目前电厂内比较忽视和薄弱的信息安全管理措施。火电厂控制系统采取这种信息安全策略可以达到事半功倍的效果。
从当前国内外出现的不少工控系统遭受恶意攻击和植入病毒导致的严重事故来看,几乎大多数是没有或者隔离措施非常薄弱经互联网端侵入,或者通过企业内外人员从内部直接植入病毒导致的事实也证明了这个观点。
当然,我们不能忽视提高控制系统自身健壮性的各种努力和措施,以便万一恶意攻击和病毒侵入的情况下仍能万无一失确保安全。但是,开展这方面工作,特别是在已经投运的控制系统上进行这方面工作要特别慎重,这不仅因为这些工作代价较高,而且在当前信息安全产业中不少公司还不太熟悉相关行业工控系统特点,有些产品在工控系统中应用尚不成熟,而火电厂控制系统厂家对自身产品信息安全状态研究刚刚开始,或者由于种种原因没有介入的情况下风险较高。这不是耸人听闻,实践已经发生,有的电厂为此已经付出了DCS停摆,机组误跳的事故代价。
三、火电厂控制系统供应侧和应用侧两个信息安全战场的不同策略及相关协调
火电厂控制系统,主要是DCS,不仅是保证功能安全的基础,也是提高自身健壮性,确保信息安全的关键。在DCS供应侧提高自身健壮性,并通过验收测收,确保系统信息安全有许多明显的优点。它可以非常协调的融入信息安全策略,可以离线进行危险性较大的渗透性测试等。此外,DCS供应侧在提高信息安全方面积累的经验和措施,培养起来的队伍,也将有助于现有电厂DCS的测试评估,以及安全加固等直接升级服务或指导服务。
跟信息安全产业的公司提供服务扩大了公司的市场不同,DCS供应侧提高其DCS信息安全水平反而增加了DCS成本。因此,为了推动DCS供应侧提高信息安全水平,除了目前已经在发挥作用的行政手段外,我们还必须加强市场手段的动力。为此,当前我们电力行业应尽快从信息安全角度着手制订DCS准入标准,制订火电厂DCS信息安全技术标准和验收测试标准,以及招标用典型技术规范书等。
火电厂DCS应用侧,是当前最紧迫面临现实信息安全风险,而且范围极广的战场,必须迅速有步骤的点面结合提高信息安全降低风险。具体意见如下:
1 . 面上应迅速全面开展下列两方面工作
1)全面核查DCS与SIS及互联网间是否真正贯彻落实了发改委2014年14号令和国家能源局2015年36号文附件中关于配置单向物理隔离的规定,没有加装必须尽快配置,已配置的要检查是否符合要求。
2)迅速按照《工业控制系统信息安全防护指南》加强内部安全管理,杜绝内部和外部人员非法接近操作、介入或在现场总线及其它接入系统上偷挂攻击设备等,并适度开展一些风险较小的安全测评项目。
上述两项工作,在已投运系统上实施难度较低,实施风险相对较低,但是却能起到抵御当前大部分潜在病毒侵袭和恶意攻击的风险。
2.通过试点,逐步开展对已运DCS进行较为深入的安全测评,适度增加信息安全技术措施,待取得经验后,再组织力量全面推广,把我国火电厂控制系统信息安全提高到一个新的水平。为此,建议针对国内火电厂应用的各种型号的DCS品牌出发,各大电力集团互相协调,统筹规划,选择十个左右试点电厂,由应用单位上级领导组织,国家级或重点的测评机构、实验室技术指导,相关DCS供应商、优秀信息安全产品生产商以及电厂负责DCS的工程师一起成立试点小组。这样不仅可以融合DCS厂家的经验,包括他们已经开展的信息安全测评和信息安全加强措施,减少不必要的某些现场直接工作带来的较大风险。也有利于当前复合人才缺乏的情况下,确保工控系统技术和工控系统信息安全技术无缝融合,防止故障发生而影响安全生产(目前已经有电厂在测试和加入安全措施导致DCS故障而停机的事件)。
四、DCS信息安全若干具体问题的建议
1. 关于控制大区和管理大区隔离的问题
根据国家发改委2014年14号令颁发的《电力监控系统安全防护规定》,以及国家能源局36号文附件《电力监控系统安全防护总体方案》的要求:
1)生产拉制大区和管理信息大区之间通信应当部署专用横向单向安全隔离装置,是横向防护的关键设备。
2)生产控制大区内的控制区与非控制区之间应当采取具有访问功能的设施,实现逻辑隔离。
2016年修订颁发的电力行业标准《火电厂厂级监控信息系统技术条件》(DL/T 924-2016)对隔离问题做了新的补充规定:
1)当MIS网络不与互联网连接时,宜采用SIS与MIS共用同一网络,在生产控制系统与SIS之间安装硬件的网络单向传输装置(单向物理隔离装置)。
2)当MIS网络与互联网连接时,宜采用SIS网络独立于MIS网络,并加装硬件的网络单向传输装置(单向物理隔离装置),而在生产控制系统与SIS之间安装硬件防火墙隔离。
根椐当前严峻的网络安全形势,应当重新思考单向物理隔离装置这个行之有效的关键安全措施的设置点问题。经过反复思考,我的建议是不管上面那一种情况,单向物理隔离装置均应设置在生产控制系统(DCS)与SIS之间,理由是:
1)生产控制系统(DCS)对电厂人身设备危害和社会影响极大,而且危险事件瞬间爆发。因此,一定要把防控恶意操作、网络攻击和传播病毒的区域限制在尽可能小的范围内,这样可以最大限度提高电厂控制系统应对网络危害的能力。
2)SIS是全厂性的,涉及人员相对广泛,跟每台机组均有联系。因此,一旦隔离屏障被攻破,故障将是全厂性的,事故危害面相对较大。
2. DCS信息安全认证和测试验收问题
火电厂在推广应用DCS的三十年历史中,从一开始就适时提出了供编制招标技术规范书参考的典型技术规范书,进而逐步形成了标准,明确规定了功能规范、性能指标以及验收测试等一条列要求。隨后又根据发展适时增加了对电磁兼容性和功能安全等级认证的要求。当前,为确保得到信息安全的DCS产品,历史经验可以借鉴。
作者认为,宜首先开展阿基里斯认证(Achilles Communication Certification,简称ACC)作为当前提高DCS信息安全的突破口。
众所周知,ACC已得到全球前十大自动化公司中八个公司的确认,并对其产品进行认证;工业领域众多全球企业巨头,均已对其产品供应商提供的产品强制要求必须通过ACC认证。目前,ACC事实上已成为国际上公认的行业标准。国内参与石化和电厂市场竞争的外国主流DCS大多均已通过了ACC一级认证。至于国产主流DCS厂家,他们大多也看到了ACC认证是进入国际市场的门榼,也嗅到了国内市场未来的倾向,都在积极性和程度不同的为努力达到ACC一级认证而努力(紧迫性程度明显与行业客户对ACC认证紧迫性要求有关)。此外,我国也已建立了进行测试认证的合格机构(电子六所),具备了国内就地认证的条件。
根据调查判断,如果我们电力行业侧开始编制技术规范书将ACC一级认证纳入要求,相信在行政推动和市场促进双重动力下,国产主流DCS在一年多时间内通过ACC一级认证是可以做到的。
除ACC认证外,如前所述,当前还急需编制招标用火电厂信息安全技术规范和验收测试标准,使用户在采购时其信息安全有保证。
从源头抓起,取得经验,必将有利于在运DCS信息安全工作,少走弯路。
五、结束语
与早期自下而上逐步推广应用DCS不同,加强工控信息安全工作是由上而下发动,一下子就轰轰烈烈展开了,这使我们电力行业真有点措手不及。但是,军令如山,必须快步跟上,轰轰烈烈,同时也少 走弯路。
我做了一些调研和学习,但是,当我提笔写这篇文章时,仍感诚惶诚恐,几经仃筆。最后,鼓起勇气写了出来,自知必有诸多不妥之处,但如能起到抛砖引玉作用,也就深感欣慰了,作者在此恳望批评指正。
