发电厂工控及信息系统安全防护的研究及应用
159
完成单位:华能国际电力股份有限公司长兴电厂
登记编号:ZSCX-D4-J-2-92
登记年份:2020
发布时间:2020-09-21
立项背景:
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,工业控制系统越来越多地采用通用硬件、通用软件和通用协议,以实现系统互联,针对工控的网络攻击事件频发,信息安全数据泄露事件屡见不鲜。面对复杂的网络和信息安全态势,华能长兴电厂开展发电厂工控及信息系统安全防护的研究及应用,在“安全分区、网络专用、横向隔离、纵向认证”原则的基础上,提出了发电厂工控网络安全防护的整体解决方案,基于最小安全域,实现对大型火电机组生产大区、管理大区的纵深防护,全面提升发电企业工控系统风险评估、漏洞发现、隐患防范和安全防护能力。
主要研究内容:
项目以华能长兴电厂2×660MW 燃煤发电机组为研究对象,从发电厂工控网络过程监控层以及实时信息层(SIS)等网络层次以及管理信息网络出发,分析当前发电厂工控网络和管理信息系统存在的安全漏洞与防护薄弱环节,研发和部署针对Ovation 3.5 DCS控制系统的网络安全监测和防护产品,建立发电厂工控网络及信息系统的安全纵深防御体系。
创新亮点:
1.针对华能长兴电厂工控DCS 应用环境,通过对Ovation 3.5 DCS 私有协议的深度解析,建立Ovation DCS 控制系统和其它预定义的应用行为白名单,建立工控系统正常运行情况下的基线模型,研发适用于电厂控制系统的工控威胁感知系统,对于工控环境出现的恶意攻击流量,非法操作流量等的偏差行为进行检测并集成网络告警信息,使用户及时发现工控环境中的安全风险以便采取措施对威胁进行阻断与清除。
2.使用深度检测和沙箱重定向技术,实现高危邮件分析、Web 攻击、账号异常、隐蔽信道检测、TCP 异常会话检测等。对于执行恶意样本发起的网络连接请求或潜伏的木马外联网络通讯,进行有效的拦截与阻断,并能及时更新拦截规则,实现对APT攻击行为的有效防御。
3.依据“安全分区、网络专用、横向隔离、纵向认证”原则,研究发电厂最小安全隔离域和最优安全能力集合的实现方式。在主控和辅控DCS 系统等不同最小安全隔离域采用不同的防护策略,达到各域内的最优安全防护能力,最终实现发电厂全网最优安全功能集合。
实施效果:
项目实施后,部署设备及系统运行情况良好,可靠稳定,能够及时发现网络攻击、检测工控网络异常、为安全事故的调查,提供详实的数据支持、将网络安全可视化,提高了工控网络安全运维效率。
项目是在日趋严峻的工控安全的背景下,发现和分析电厂面临的安全威胁,据此设计适用于电厂的“纵深防御”体系,研制并应用适用于电厂工控系统的网络安全智能防护产品。同时通过项目的实践,编著了《智能电厂控制与管理系统信息安全》和《发电厂监控系统信息安全评估导则》。通过该项目实现了电厂工控网络安全纵深防御体系的建设,为发电厂工控网络和工业信息系统的智能安全防护提出了整体解决方案,为在电厂工控系统网络安全方面做更近一步的探索与研究提供了理论和技术基础。
推广应用:
项目研究的工控及信息系统的网络安全防护技术及研发的安全防护产品在华能长兴电厂已经实施和部署,极大地提高了电厂工控及信息系统网络安全的监控能力,相关安全防护产品在浙江浙能台州第二发电有限责任公司得到了推广应用。
在“HY2019”护网攻防演练中,工业防火墙、工控威胁感知系统、APT 预警系统等安全防护设备正常运行,使工控系统设备、网络运行安全状况“可知、可管、可控、在控”。