1.刘杲培 2.王子豪
1. 南京南瑞继保电气有限公司 211102 2. 国电科学技术研究院有限公司沈阳分公司 110000
摘要:随着我国电力行业的快速发展,二次安全防护技术也得到了较好的应用,同时在当前我国工控领域中也取得了较好成效。但由于这项技术本身就比较复杂,同时我国工业控制系统对于这项技术的使用也有较多要求,使得这套技术在实际应用中还具有较多的提升空间。本文先阐述了电力二次安全防护技术的相关内容,接着分析了我国工业控制系统的安全现状,并结合我国工控领域的实际情况,从多个角度探索了电力二次安全防护技术的具体应用流程与细节内容,最后还全面探讨了保证这项技术发挥作用的策略。
关键词:安全防护;工业控制;电力技术;数据流监管
在当前我国工业体系的发展过程中,各类新的元素也开始得到较好应用,使得我国工业控制模块也变得更加复杂。在这种情况下,我国很多工业控制系统也面临较为显著的安全威胁,给工业体系造成了非常显著的影响。基于这种问题,我国很多企业都已经开始重视工控系统的安全防护,同时也有较多企业在这个过程中充分引入了电力二次安全防护技术,取得了较为显著的成效。但需要注意的是,这项技术在工控领域中使用还存在较多的问题,部分企业对于这项技术的使用也不熟练,无法充分发挥这套技术的价值,有必要在后续时间里进行深入全面的探索。
一、电力二次安全防护技术的相关概述
(一)电力二次安全防护技术的内容
电力二次安全防护技术的内容主要分为四个部分,即安全分区、网络专用区、横向隔离区和纵向认证区。目前我国在这项技术发展方面已经累积了较多的经验,同时在横向隔离区和纵向认证区两个模块中也有了较多的设计技巧,使得这套技术能够在工控系统领域中取得较好应用。
(二)电力二次安全防护技术应用的意义
立足于工控系统来看,这套技术的应用具有着较为显著的战略意义。一方面,工控系统的安全性与稳定性直接关系着企业生产活动的综合收益,而电力二次安全防护技术的应用也可以强化整个系统的安全性,具有较好的应用成效。另一方面,这套技术在工控系统中的应用也能够促使整个系统内部技术的更新,并引入一些智能化与自动化模块,使得我国工控系统可以实现创新升级发展。
二、我国工业控制系统安全现状分析
结合当前我国工业控制系统的基本现状来看,整个体系的内部技术已经得到了较好的更迭。但是我国工业控制系统的安全水平还不容乐观。当前我国社会环境中发生了很多针对于工业控制系统的攻击事件,同时也引发了一些安全事故。工业控制系统直接关系着企业的生产活动,因此这些安全事故也会给工厂企业直接带来经济损失。之所以出现这种情况,主要是因为我国大部分工厂企业的内部设备与系统都比较独立,具有较强的封闭性。这种模式虽然能够较好规避外界访问,但也容易造成重大安全事故。不仅如此,我国很多工厂企业在引入自动化技术的时候,也没有贯彻严格完善的区域监控模块,导致单一区域的安全问题无法得到及时的控制,这些情况都说明了我国工业控制系统的安全防护现状还不容乐观,整体上仍然存在较多的不安全因素,需要在后续时间里充分引起重视,并做好针对性的处理。
三、电力二次安全防护技术在工业控制系统中的具体应用
(一)工程信息安全标准的确定
在全面引入电力二次防护技术的时候,应该先确定工程信息安全标准。在这个过程中,常用的标准主要有国际层面的IEC62443标准和我国的《工业控制系统安全》系列标准。国际标准立足于数据保密性、受限数据流等多个层面深层次展示了工控系统的区域特征以及细化结构,可以作为系统布设的重要参考。而国内标准则结合我国实际国情和工业信息安全现状,立足于“区域/管道”的安全策略,实现了区域数据出口的规范化运作,同时也能够针对各类数据流进行深入监控,从而保证工控系统中各项数据的安全性。对于工业技术人员,则应该结合实际情况细化工程信息安全标准的具体内容。
(二)工控系统安全防控策略的思路
在使用电力二次防护技术的时候,也应该结合工控系统的实际情况,明确安全防控策略的思路。结合当前我国工业企业的实际情况来看,工业信息系统主要可以划分为三个层面。第一层,经营管理层。这一层的内容主要跟企业的经营业务有直接关系,比如电商系统、客户关系维护系统等。第二层,生产层。这一层内容跟企业内部生产活动有较大关联,比如生产计划安排、设备运行监控、物料内部移动等。第三层,控制层。这一层内容主要跟企业各项控制活动有关,比如实时数据库控制、装置集散控制等。
结合上述内容,我国工控系统安全防控策略的总体思路可以分为四个方面。第一,系统分层。即企业先结合自身实际情况,对内部系统模块进行分层,保证不同模块能够处于对应的安全层级中。第二,层内分域。即企业可以引入自动化技术,结合各个子系统的特点、功能、应用等信息,构建自动化单元区域,实现各个区域的逻辑隔离。第三,单向隔离设计。即企业应该在控制层和生产层之间进行单项安全隔离设计工作。第四,安全防控体系的综合建立。企业在控制层中建成完善的安全防控平台,同时可以通过这个平台进行纵深监控,并贯彻各类主动防护活动,能够较好开展安全审计工作。
(三)工控系统的安全防护框架
结合上述针对于工控系统安全防护策略的分析,并结合我国工控系统的实际情况,可以进行安全防护框架的建设,具体如图1所示。图中防火墙、安全管理、工控网闸等内容都是常用设备或者专业名词,这里不再进行赘述,主要详细阐述区域边界的相关内容。在工控系统中,不同区域相互之间通过防火墙隔离,但数据可以进行双向流通。由于不同区域的安全防护等级不一样,因此在执行数据安全防控策略的时候也应该结合实际情况进行专项的设计。比如工控区域和生产管理区域之间的数据安全防控策略应该设计为单项数据流通,避免工控区域受到生产管理区域的攻击。再比如说,工控区域、远程区域、现场维护区域等各个区域边界的数据流通需要身份认证、数据加密、权限等级控制等各类综合安全防控技术,避免这些区域受到外界攻击。
.png)
(四)单项数据流的监管
单项数据流主要是指工控区域传输到生产管理区域的信息,目前我国大部分企业在这个模块中都使用了工业通信标准OPC模块。这个模块在协议下层区域使用了DCOM/RPC动态端口技术,同时也在PC+Windows架构上运作,因此也就有较多的安全漏洞。基于这种情况,可以考虑引入隔离部件防护的整体模式。这套模式主要引入了双主板结构,单向通信功能主要有单向光等硬件模式实现。双主板中的内网主板处于工作OPC Client状态,而外网主板则提供各类数据服务。通过这种监管模式,就能够较好提高单向数据流的监管成效。
(五)双向数据流的监管
在工控系统中,很多区域相互之间都是双向数据流模式。在这种情况下,如果其中一个自动化单元区域遭受外界攻击,那么就能够通过网络通道迅速蔓延,给整个系统带来非常严重的破坏。在这种情况下,数据监管就可以考虑采取模式匹配、异常检测、协议分析、网络审计等先进技术,进行现代化的综合管理。第一,模式匹配。这项技术主要对比网络攻击特征与相应数据库储存的信息,并进行综合匹配判定,甄别所受到的网络攻击。但这种技术非常依靠数据库信息更新水平,并且对于新型攻击技术的防范效果不好。第二,异常检测。这项技术主要是结合工控系统正常运作的各项参数信息,建立一套完善全面的模型体系。通过监控工控系统运作的实时情况,并对比正常运作模型,就能够及时甄别系统的异常情况,判断是否存在非法入侵行为。第三,协议分析。这项技术主要是通过工控通信协议的相关标准,对于数据报文内容进行分析,甄别存在的未知攻击行为。第四,网络审计。这项技术则结合工控协议异常事件的记录内容,以及网络历史数据等信息,还原工控系统受到外界攻击的运作情况,充分了解攻击全过程,并对工控系统安全防护体系的后续调整提供有价值的建议。
(六)安全管理平台设计
在上述模块建成以后,就可以进行安全管理平台的设计。这套平台应该进行统一的配置,能够实现工控系统的整体总览和纵深防护。在平台功能方面,主要可以分为五个部分。第一,白名单控制。即针对工控系统应用终端贯彻白名单模式,仅仅允许白名单目录中的主体进行范围通信。一旦发现未知主体的通信申请,防火墙必须要进行拦截处理。第二,实时分析。即平台应该基于工控系统通信协议内容进行全局规划,同时还要制定相对完善的安全防护规则,并对系统运作过程中的各项数据内容进行实时分析。第三,甄别漏洞与风险。平台应该通过系统异常行为,甄别系统存在的安全漏洞和潜在风险,实现系统安全故障的排查与分析,并消除各类潜在的安全风险。第四,可视化运维。平台还要积极引入自动化与智能化模块,并将系统运作过程中的各类安全信息通过动态演示图片等方式,集中展现到运维人员面前,使得后续系统运维工作能够更有效的开展。第五,安全防护事件的跟踪和预警。平台还要针对系统发生的安全防护事件进行跟踪处理,同时还要对这些事件进行等级划分,并结合实际情况选择是否发出预警。
(七)安全防护测试
在整套安全防护平台建设完成以后,还要进行相应的安全防护测试。这主要是因为工控安全防护系统受到现场环境的影响比较显著,因此需要通过现场测试来明确系统抵抗网络攻击的能力,并进行针对性的调整。
四、电力二次安全防护技术在工业控制系统中的应用保障措施
(一)充分提高安全防护的意识
工业企业的高层领导者应该充分提高安全防护意识,同时还要将其纳入到自身企业发展的战略层面上,使得工控安全防护体系能够在内部得到较好的贯彻实施,充分提高电力二次安全防护技术的应用成效。
(二)综合提高系统的自动化与智能化水平
工业企业在使用电力二次安全防护技术的时候,应该积极引入各类先进信息化技术,并依托于此提高系统的自动化与智能化水平。这也需要企业能够及时了解行业前沿技术,并适当倾斜一定的资金,实现系统的技术升级。
(三)积极进行安全防护系统的维护更新
工业企业还要在平时做好安全防护系统的维护更新活动,并结合系统存在的漏洞或者潜在的安全风险,进行专项的调整与改善。通过这种方式,就可以使得工控安全防护系统能够在后续时间里得到较好的应用。
(四)切实提高安全防护人员的素质水平
电力二次安全防护技术本身是比较专业的,需要一大批高素质人才作为支撑。因此我国工业企业还应该通过内部培训和外部招聘的方式,积极提升安全防护人员的专业能力,可以给工控安全防护系统的运作提供较好的人才支撑。
结束语
总体来看,电力二次安全防护技术在当前我国工业控制系统中具有着非常显著的应用成效,可以在后续时间里进行积极的推广。对于各个工业企业来说,应该逐步提高安全防护系统的自动化水平,积极引入现代电力信息化技术,使得安全防护体系具有更好的应用成效。在平时的时候,企业也应该做好安全防护系统的升级维护,避免系统在运作过程中出现各类不必要的故障问题。对于各个电力技术人员来说,在后续也应该加强自身在这方面的知识补充,同时还要积极搜集国内外相关工程实践经验,使得工控体系的安全水平能够得到较好的保障。
参考文献
[1]许冬涛,李桂兰.煤化工行业工业控制系统安全防护技术规范探索[J].现代信息科技,2020,4(12):136-139.
[2]陈世桐.电力行业工业控制系统安全防护技术应用[J].通信电源技术,2020,37(05):119-120.
[3]康荣保,张晓,杜艳霞.工业控制系统信息安全防护技术研究[J].通信技术,2018,51(08):1965-1971.
[4]黄海舫.电力行业工业控制系统安全防护技术应用[J].网络空间安全,2018,9(03):14-18.
[5]李文,姚智雄,王伟.基于故障树分区的工业控制系统安全防护技术研究[J].信息安全与通信保密,2016(09):40-43.