《火电厂工控系统网络安全风险及防护》由会员分享,可在线阅读,更多相关《火电厂工控系统网络安全风险及防护(6页珍藏版)》请在金锄头文库上搜索。
1、火电厂工控系统网络安全风险及防护摘要:近些年来,我国火电厂工控系统得到了快速的发展,但其网络安全风 险却在不断提高,这是由于随着信息技术的发展,工控系统开始与互联网络相连 接,网络的安全性受到严重威胁。鉴于此,本文对火电厂所存在的网络安全风险 进行分析,并在此基础之上对火电厂的网络安全防护技术进行研究,希望能为我 国火电厂的网络安全提供一些参考建议。关键词:火电厂;工控系统;网络安全;防护技术引言:最开始我国火电厂工控系统的网络是封闭的,是一个相对独立的孤岛 系统,这时工控系统的安全性较高,一般不易受到外界网络的攻击。但是随着信 息技术的发展,工控系统与外界网络的接触正在变得越来越频繁,这就给
2、不法分 子带来了可乘之机,由于工控系统自身存在着漏洞较多,由于原来生产技术人员 对于工控网络安全防护意识较为淡薄,很少对这些漏洞进行修补,使得工控系统 的网络安全风险不断上升。此外,近年来国家各部委相继出台了电力监控系统 安全防护总体方案、电力监控系统安全防护规定、信息安全技术网络安 全等级保护要求等网络安全政策指导文件,国家对于工控网络安全的要求逐年 提高,因此,需要对火电厂工控系统网络安全风险及防护进行详细研究。一、工控系统的网络安全风险从系统本身来看,在多个方面都存在着安全漏洞,这无疑增加了系统本身的 安全风险,本文从以下几个方面来对其存在的安全风险进行探讨。1. 操作系统存在的安全风险
3、目前工控系统的操作系统均使用 windows 操作系统,其相关的软件开发也是 基于该平台进行的。但许多火电厂所使用的 windows 操作系统版本相对较低,甚 至依然在使用已经停止维护更新的操作系统。系统补丁以及漏洞修复不及时,为 不法分子的进攻敞开了大门,也为系统的安全埋下了隐患。2. 应用软件存在的安全风险目前市面上 DCS、PLC 等工控系统品牌繁多,其应用软件五花八门,有的软 件在正常运行过程中必须保持相应的端口服务在开启状态,并给予软件一定的控 制权限,这就为系统的安全留下了隐患。不法分子可以在工控系统应用软件中植 入病毒,从而对工控系统进行攻击,而这种攻击手段是很难进行有效防御的。
4、3. 硬件设备存在的安全风险随着火电厂的发展,厂区内使用了大量的智能设备,但由于设备批次的不同 以及通信技术的不断更新,厂区内的通信协议无法实现统一标准,往往为了兼容 性在接口配置方面预留了以太网接口,这些接口很容易被不法分子利用。此外, 硬件设备在使用过程中,由于技术人员对硬件设备不够熟悉,安全模式并未开启 在与网络连接的过程中许多不必要的端口并没有关闭,这就为非法接入提供可能 甚至不法分子可以在系统完全不设防的状态下直接抵达系统的控制层,导致火电 厂失去对工控系统的控制权限,甚至导致系统的完全瘫痪。4. 移动介质存在的安全风险由于工作需要和维护便利,操作人员时常会使用移动介质对数据进行拷出
5、或 者拷入,操作人员所使用的移动介质,如果在插入系统之前就已经遭受到了计算 机病毒的感染,当移动介质与工控系统连接时,就会把计算机病毒传染进系统从 而对系统造成破坏。因此火电厂工控系统应该禁用移动端口,原则上禁止移动介 质接入工控系统移动介质接入工控系统,特定情况下,如业务需要必须接入时需 履行严格的审批手续,并经过专业查杀工具检查后方可接入。1.网络安全防护技术研究1.加强工控系统的网络安全管理技术针对工控系统安全的重要性,中国国内外在其架构设计与保护技术等领域进 行了大量的探索工作,制定了法律法规,并出台了有关规范,开发了保护技术与 软件产品。在国家制定了各类与工控系统安全有关的综合性规定
6、,并组建了国家 工控系统安全应急工作组(ICS-CERT),还成立了包括爱达荷国家实验室在内的 六个研究工控系统安全的重要试验室,并建立了相对完善的工控系统安全管理制 度与技术标准框架。美国标准和信息技术研究院(NIST)制订和完善的工业控 制系统安全指南(NIST SP800-82),确定了工业自动化控制系统最经典的系统 拓扑架构,指出了典型危险和薄弱点所在,并给出了建议性的措施。欧盟通过强 化各会员国间在信息安全方面的协作,建立互联网安全战略。联邦德国的西门子 和施耐德电气公司提出了信息技术咨询服务、关键安全技术产品销售和整套方案。 国际自动化学会(ISA)和国际电工委员会(IEC)专业面
7、向工控网络安全性发布 了工业过程测量、控制和自动化网络与系统信息安全(ISA/IEC62443)的体 系规范,覆盖了各种相互关联利益方,以达到对工控系统计算机网络的整体安全 保护。工控信息系统网络安全问题在我国也得到了各相关方面的广泛关注在二零一 六年出台了中华人民共和国网络安全法,明确提出要保证重要信息基础设施 运营安全可靠。工业和信息化部颁布了工业控制系统信息安全防护指南,引 导和监督管理工控信息安全防护和保证管理工作。在规范制定工作领域方面,自 从国标工业控制网络安全风险评估规范(GB/T26333-2010)成为中国工控信 息安全应用领域的新国标颁布并制定标准开始,近年针对工控网络安全
8、问题出台 了将近三十种相关规范,已基本覆盖了行业监管部门、工控设备和安全防范产品 提供、工控业主和测试机构等的标准要求。根据中国电力行业特点,二零零五年 原全国能源监督委员会出台了电力二次系统安全防护规则,二零一四年发改 委在此基础上颁布了电力监控系统安全防护规定(国家发改委第 14 号令) 进一步确定了电网监控系统安全保护体系的总体架构,进一步细化了电网监控系 统安全保护总体原则,为中国电力行业的工控安全可靠生产提供了保护基础。2.加强工控系统网络安全防护技术近些年来,工控系统的网络安全防护技术主要围绕着防御展开,包括工业防 火墙、系统入侵检测、系统漏洞扫描、主机加固等技术。2.1工业防火墙
9、的防护技术工业防火墙实质上是对传统防火墙的技术提升,能够进行对工业生产的筛选, 在技术应用层上能够对工业生产进行深入分析,并制定了白名单的筛选准则,提 升了系统的安全性。工业防火墙具有技术简单防御效果好的特点,近些年来受到 了我国工业企业的青睐,随着该技术的不断发展,计算机学习等智能算法开始在 工业防火墙中进行应用。如在白名单规则生成时,还能够利用人工神经网络;在 入侵行为监测层上,增强监测的精度;在性能搭配上,可以通过策略树的搭配方 法,来提升匹配效果。而从中我们可以发现,技术在工业生产防火墙上的运用有 助于提高工业生产防火墙整体的安全性。2.2 入侵检测防护技术入侵检测技术能对系统中的数据
10、信息进行分析和识别,一旦发现系统中存在 异常的数据信息就会及时进行报警。入侵检测技术的应用,是在传统检测的方法 上,与电力企业自身的系统特点相结合,从而对系统的异常行为和异常数据进行 检测。异常行为检测首先需要在系统中建立正常的数据活动模型,然后再将这些 数据与待检测的数据进行比较,从而发现与模型数据特征不相符的异常数据信息 该技术的应用优点是,能快速识别已知的攻击行为且检测准确率较高,但是对新 出现的新型攻击手段入侵检测技术的检测能力较弱。目前检测技术的实现离不开 特征提取技术,该技术能从系统主机中和网络中提取到系统的运行状态,并对提 取到的数据信息进行分析。由此可以看出,特征提取的准确性直
11、接影响着入侵检 测的结果。但在实际检测的过程中,检测结果的准确率一直都很难达到理想状态 错误检测的情况也时有发生。为了提高入侵检测技术的准确性,可以采用主成分 分析法与Fisher分值分析法,来提高特征提取的准确性。同时也可以采用人工 神经网络、隐马尔可夫模型来提高异常数据信息获取的准确率,进而降低入侵检 测的误报率。2.3 漏洞扫描与漏洞挖掘的防护技术漏洞扫描技术是使用扫描软件对系统中的硬件设备、通讯协议以及固件版本 等信息进行自动扫描,并将扫描后的结果与云网络中的数据信息进行匹配,从而 获取系统的漏洞信息。目前大多数工控系统硬件设备都是在收到系统请求时才会 做出相应的响应,所以在进行漏洞扫
12、描时需要给系统发送请求数据包,进而实现 对工控设备数据信息的检测。此外,需要注意的是频繁的漏洞扫描会降低系统的 连续性,所以只能定期对工控系统进行扫描。为了增加工控系统的扫描次数,目 前主要的解决方法是将多种扫描技术融入到系统的正常业务之中,将扫描数据包 与业务数据包进行打包,在完成业务的同时也实现了对系统的扫描,这种方式能 有效地避免对系统运行的影响。漏洞挖掘技术也是对系统进行漏洞检测的一项重 要技术,其主要分为静态分析与动态分析两种。静态分析是对系统中原本存在的 源代码、二进制补丁等信息进行逆向分析从而发现未知的漏洞。动态分析是在工 控系统正常运行时,对控制协议进行解析,从而有效监测到目标
13、的相关情况,根 据目标异常的情况来挖掘未知的漏洞。2.4 安全防护技术目前在我国火电厂所使用的工控系统通常具有高稳定性、可靠性、实时性的 特点,因此电厂轻易不会对现在正在使用的系统进行更新迭代,所以为了保证系 统的安全稳定,就需要对操作站、工程师站进行一定的安全防护,安装正版的杀 毒软件,关闭闲置端口,同时在工控系统中建立“软件白名单”,并严格控制移 动介质的接入,减少病毒感染的几率,为火电厂构建一个安全的系统环境。结束语:对于火电厂工控系统的安全性而言,安全防护技术是其网络安全的 重要保障。从目前的防控状态来看,火电厂除了提高自身的防护技术外,还应采 取虚实结合的技术手段对工控系统的安全性进行测试,对控制系统的风险进行评 估,加强企业技术人员的专业技能,将网络安全风险控制在一定范围之内。参考文献:1.孟强,俞荣栋基于风险分析的火力发电厂工业控制系统安全防护研究J.智 能物联技术,2018,1(01):35-39.2.曾卫东,杨新民,崔逸群火电厂工控系统网络安全风险及防护J.热力发电,2021,50(02):118-124.3.张大松,姜洪朝,吴云峰火电工控系统网络安全防护方案设计J.信息技术与网络安全,2020,39(03):17-22.
