1　數字安全概述

    1.1　數字安全現狀

    隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)深入而廣泛的應用，現代計算機應用系統的功能日漸復雜，正在對社會(huì )各行各業(yè)產(chǎn)生巨大深遠的影響；但同時(shí)由于其開(kāi)放性特點(diǎn)，使得安全問(wèn)題越來(lái)越突出。即使對于相對封閉的電廠(chǎng)控制系統，由于可能存在多種第三方接口，外來(lái)未經(jīng)驗證的軟件的意外引入，以及操作系統本身存在的某些漏洞等原因，控制系統的安全管理越來(lái)越備受關(guān)注。除了大家所熟知的病毒、蠕蟲(chóng)和木馬外，威脅控制系統安全的還有：

    （1）惡意軟件，它不同于病毒，可能不會(huì )對系統造成破壞性影響，但會(huì )侵占系統資源，降低系統的運行穩定性。

    （2）未授權的訪(fǎng)問(wèn)或者不適當的安全訪(fǎng)問(wèn)授權機制，導致未驗證的第三方軟件的引入，產(chǎn)生潛在的安全威脅。

    （3）網(wǎng)絡(luò )的不當拓展，隨意接入第三方設備，安全訪(fǎng)問(wèn)策略配置不當，都是系統安全的潛在威脅。

    （4）操作系統或者應用軟件本身的漏洞，這些漏洞會(huì )在使用中逐步被軟件設計者發(fā)現，然后發(fā)布補丁進(jìn)行軟件更新，提升系統安全。

    （5）據有關(guān)統計，70%的安全威脅來(lái)自于外部。由此可見(jiàn)，工控系統的安全環(huán)境整治逐步惡化。2014年能源行業(yè)受到攻擊數占所有行業(yè)第一位^[1]。

    1.2　電廠(chǎng)DCS數字安全認知誤區

    雖然電廠(chǎng)DCS是控制發(fā)電機組安全、經(jīng)濟運行的中樞神經(jīng)，但業(yè)界對DCS數字安全認知是逐步深入的過(guò)程。典型的認知誤區如下：

    DCS已經(jīng)屏蔽了所有USB接口，不會(huì )感染病毒或攻擊；網(wǎng)閘、防火墻布置在DCS和SIS/MIS系統之間，與外界Internet或者辦公網(wǎng)絡(luò )隔離沒(méi)有感染攻擊途徑。

    殊不知即使硬件隔離、單向通訊等措施都無(wú)法保障DCS系統的數字安全，存在潛在風(fēng)險。單元機組DCS與眾多PLC相互通訊，即使PLC主要用于輔助系統，但很多也是實(shí)時(shí)系統，同屬于I區。但DCS與PLC之間沒(méi)有相關(guān)隔離措施，與《電力監控系統安全防護規定》不符。

    其次，由于品牌眾多，各個(gè)PLC廠(chǎng)家在系統架構設計時(shí)對數字安全應對措施和能力不同；PLC往往由集成商分別購買(mǎi)硬件、人機接口軟件整合而成；計算機操作系統補丁無(wú)法及時(shí)更新；人機接口眾多，導致整個(gè)I區安全邊界廣泛；運行維護人員認知參差不齊、措施千差萬(wàn)別，因此PLC是導致DCS潛在數字危險的最薄弱環(huán)節。

    而常見(jiàn)的Modbus、OPC、DNP、101、104等通訊協(xié)議均為考慮數字安全需求，對于病毒、攻擊均為透明，無(wú)法阻止病毒擴散。

    網(wǎng)閘、防火墻僅在DCS與MIS/SIS間起到了一定的防護作用，但本身也具有一定的局限性。而且對DCS側已經(jīng)存在的數字危險如病毒等束手無(wú)策。

    即使屏蔽所有計算機USB接口，在一定程度上降低數字風(fēng)險，但數字危險有很多感染途徑和層次，包含操作系統、數據、通信、應用、運行、管理等多個(gè)層面。

    1.3　有重點(diǎn)、分階段實(shí)施

    理論上說(shuō)，業(yè)主應該全面考慮整個(gè)電廠(chǎng)I區的數字安全，但I區范圍較廣，且實(shí)施數字安全必須要與控制系統原廠(chǎng)商合作，牽扯面較廣，因此切實(shí)可行、性?xún)r(jià)比高的方案是先實(shí)施電廠(chǎng)中樞神經(jīng)DCS的數字安全，然后逐步擴展到I區其它子系統。

    控制系統數字安全應該從兩個(gè)方面考慮，一是技術(shù)手段，采用有效的、穩定的設備和技術(shù)方案來(lái)確保系統的運行正常，而另一方面是人的因素，系統安全的實(shí)現很大程度上也依賴(lài)安全管理制度和人員水平。本文僅從技術(shù)角度來(lái)說(shuō)明數字安全。

    1.4　國際、國內標準及縱深防御

    多家國際組織積極行動(dòng)，目前已經(jīng)制訂了相關(guān)安全標準。其中最有影響力的，就是NERC（北美電力可靠性委員會(huì ) North American Electric Reliability Council）創(chuàng )建的CIP（關(guān)鍵基礎設施保護 Critical Infrastructure Protection）標準和IEC 62443/ISA 99（工業(yè)通訊網(wǎng)絡(luò )-網(wǎng)絡(luò )及系統安全）。ABB有多名專(zhuān)家參與起草制定包括這兩個(gè)標準在內的多個(gè)國際標準。

    《電力監控系統安全防護規定》自2014年9月1日起施行，確定了“安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離、縱向認證”16字方針。2004年12月20日原國家電力監管委員會(huì )發(fā)布的《電力二次系統安全防護規定》（國家電力監管委員會(huì )令第5號）同時(shí)廢止。

    GB/T30976-2014《工業(yè)控制系統信息安全》（2個(gè)部分）于2014年12月2日被批準為推薦性國家標準。

    這些標準詳細描述了工控系統在改善數字安全方面所必需采取的舉措，并提出了縱深防御的理念。而Symphony整體解決方案就是參考以上標準，并基于縱深防御理念防護控制系統安全。整套解決方案包括防病毒、白名單、入侵檢測、漏洞掃描、災難備份及恢復、安全事件管理及記錄等。

    2　Symphony整體解決方案

    Symphony整套安全防護方案由一組安全應用程序和服務(wù)組成，能夠強化和管理Symphony專(zhuān)家控制系統的系統安全，而不會(huì )中斷實(shí)時(shí)生產(chǎn)過(guò)程。從硬件上看，它包含了一臺工作站，作為系統安全管理站，所有的安全功能都運行在此獨立的計算機上，同時(shí)承擔對在同一網(wǎng)絡(luò )上的其它計算機的部署管理工作。從軟件上看，安全應用程序包含了以下功能軟件。

    2.1　病毒防護

    提供了一種非常獨特的方法來(lái)保護Symphony工作站免于遭受病毒、蠕蟲(chóng)和木馬。ABB公司會(huì )定期提供經(jīng)過(guò)驗證的病毒庫，由安全可靠的媒介（比如只讀光盤(pán)）更新至系統安全管理站后，系統安全管理站會(huì )自動(dòng)將其部署到網(wǎng)絡(luò )上的所有其它工作站，完成它們的病毒碼更新。

    （1）確?？蛻?hù)端的安全，有效查殺終端上的各類(lèi)病毒、蠕蟲(chóng)、惡意程序；

    （2）主動(dòng)的病毒防護，防病毒客戶(hù)端根據漏洞可以阻擋未知蠕蟲(chóng)病毒；

    （3）防病毒系統集成了探測清除模塊；

    （4）Windows平臺微軟安全補丁安裝狀態(tài)檢測和報警，并且提供詳細的報表；

    （5）能夠自動(dòng)探測未受防病毒系統保護的計算機；

    （6）病毒爆發(fā)時(shí)的LockDown功能是指當出現中高威脅的病毒爆發(fā)時(shí)，通過(guò)修改防系統安全管理站的一個(gè)策略，并分發(fā)到客戶(hù)端后，客戶(hù)端在實(shí)施Lockdown策略時(shí)，絕對無(wú)法感染病毒、木馬和間諜軟件；

    （7）能夠自動(dòng)探測外來(lái)電腦接入內部網(wǎng)絡(luò )，并向管理員發(fā)出報警；

    （8）對網(wǎng)絡(luò )內的應用服務(wù)進(jìn)行全面防護，包括Unix/Linux服務(wù)器，從而切斷病毒在網(wǎng)絡(luò )內的寄生和傳播；

    （9）通過(guò)分層的防病毒管理服務(wù)器實(shí)現分布式自動(dòng)更新和分層分地域分權管理；

    （10）病毒爆發(fā)響應機制，通過(guò)端口鎖定、文件、文件夾鎖定和通知功能，使得在病毒爆發(fā)阻止和病毒爆發(fā)快速響應方面具有完善有效的技術(shù)手段，并結合完善的技術(shù)服務(wù)體系，確保病毒不會(huì )大規模爆發(fā)。

    2.2　入侵檢測IPS/IDS

    （1）絕大多數人首先會(huì )想到“防火墻”。防火墻得到了廣泛的部署，并被作為多層安全體系結構的第一層防護，它主要是作為一個(gè)訪(fǎng)問(wèn)控制設備，允許特定協(xié)議（例如 HTTP、DNS、SMTP）在一組源地址和目標地址之間傳遞。作為訪(fǎng)問(wèn)策略增強的一個(gè)組成部分，防火墻一般是通過(guò)檢查數據包來(lái)制定流量決策。一般來(lái)說(shuō)，它們并不能檢查數據包的全部?jì)热?，因此，也無(wú)法檢測或攔截嵌入到普通流量中的惡意代碼。需要注意的是，路由器也是通過(guò)數據包過(guò)濾來(lái)實(shí)現防護功能，因此，它提供的也是一種不完善的保護。

    （2）雖然說(shuō)基于防火墻和路由器的數據包過(guò)濾是全面數字安全拓撲結構的必要組件，但僅靠它們是遠遠不夠的。

    （3）檢測異常網(wǎng)絡(luò )流量。發(fā)現新的弱點(diǎn)和新的威脅時(shí)，能夠有手段在Internet入口及網(wǎng)絡(luò )邊界阻止這些威脅，實(shí)時(shí)保護內部網(wǎng)絡(luò )的安全。

    （4）深度數據包檢測以及無(wú)延遲特性，可在攻擊到達其目標前搶先將其攔截，可為整個(gè)網(wǎng)絡(luò )環(huán)境提供優(yōu)異的準確性和業(yè)務(wù)關(guān)鍵性能。

    （5）基于完整的攻擊分析方法，并引入了業(yè)界最為全面的網(wǎng)絡(luò )攻擊特征檢測、異常檢測以及拒絕服務(wù)攻擊檢測技術(shù)，除了可以防御已知攻擊，還可以防御未知的蠕蟲(chóng)、攻擊和后門(mén)程序，抵御拒絕服務(wù)攻擊等。

    2.3　白名單

    提供了一種非常獨特的方法來(lái)保護Symphony工作站免于遭受病毒、蠕蟲(chóng)和木馬。它采用在每臺終端工作站的核心層建立應有程序白名單，簡(jiǎn)單高效地阻止任何未授權的可執行程序的運行。如果可執行程序不在白名單列表中，它就不能運行。

    2.4　漏洞掃描和補丁管理

    （1）負責發(fā)現操作系統和網(wǎng)絡(luò )漏洞，提示系統管理人員，經(jīng)確認后進(jìn)行補丁軟件的分發(fā)。

    （2）只要能夠及時(shí)修補網(wǎng)絡(luò )內部的各個(gè)安全漏洞，就能夠在面對任何安全威脅的時(shí)候從容不迫地解決問(wèn)題。而傳統的安全產(chǎn)品（防病毒、防入侵等），只是去抵御安全威脅，卻忽視了資產(chǎn)的重要性和對漏洞的管理。

    2.5　災難備份及恢復

    按照縱深防御理念，對系統定期備份，并定期測試備份的質(zhì)量。Symphony系統有專(zhuān)門(mén)的備份工具，必要時(shí)異地備份。

    2.6　安全事故管理和記錄

    負責規范所有的事件和日志，它們來(lái)自系統內的防火墻、入侵檢測軟件、惡意軟件防護應用、漏洞掃描、網(wǎng)絡(luò )設備、工作站和活動(dòng)目錄。

    3　工程實(shí)施

    Symphony數字安全整體解決方案的實(shí)施，不僅包括以上所述各個(gè)組件的部署，還與用戶(hù)重新審查Symphony系統的安全策略和維護管理措施，主要內容包括：

    （1）審查Symphony網(wǎng)絡(luò )連接情況，確定系統安全的防護邊界，提交審計報告；

    （2）在DCS操作員站、工程師站、歷史站等設備上做必要的設置；

    （3）審查Symphony的授權系統，與用戶(hù)確認這些授權是必要而且合理的；

    （4）部署安全中心組件，與用戶(hù)確認每臺操作站需要運行的程序和功能；

    （5）完善Symphony備份機制，建立異地備份；

    （6）與用戶(hù)討論建立系統安全維護制度；

    （7）將更新的病毒庫，定期以光盤(pán)形式給用戶(hù)發(fā)送安全補丁包。

    4　結語(yǔ)

    工控系統的數字安全是一個(gè)不斷完善的過(guò)程。ABB能夠隨時(shí)根據用戶(hù)需求對控制系統進(jìn)行評估，形成一個(gè)安全行動(dòng)計劃，來(lái)保護用戶(hù)的數字資產(chǎn)。同時(shí)，用戶(hù)加強安全業(yè)務(wù)意識，強化安全制度及執行，也是確保數字資產(chǎn)安全的另一重要方面。


作者簡(jiǎn)介

宋相儒（1978-），男，陜西咸陽(yáng)人。畢業(yè)于華北電力大學(xué)熱工自動(dòng)化專(zhuān)業(yè)?，F為北京ABB貝利工程有限公司業(yè)務(wù)拓展專(zhuān)員，主要研究方向為電廠(chǎng)熱工自動(dòng)化及儀表。