高一搏
重庆大唐国际石柱发电有限责任公司,重庆石柱, 409106
摘要:本文依托电站网络安全升级改造工程,从电站生产大区网络安全系统的分析、构建、配置等方面进行了详细论述,为电站网络安全体系搭建提供了可行性依据和参考方案,确保了生产大区内部网络安全,避免受恶意代码和病毒攻击造成的危害。
0 引言
电站生产大区承担着生产发电的重要任务。电站作为能源企业,在保证民生和国家经济增长中起着十分重要的作用。本文以重庆大唐国际石柱发电有限责任公司DCS及SIS系统网络安全系统升级改造为例,详细阐释了电站生产大区网络安全系统构建与研究过程。
1.系统现状
重庆大唐国际石柱发电有限责任公司于2012年投入了基于openPlant实时数据库的全厂SIS系统。目前SIS系统中,已涵盖了2台机组主、辅控制系统网络的现场数据。各生产实时数据及历史数据,均被保存在SIS系统双核心数据库服务器IBM 3650服务器中,SIS系统除了对全厂生产管理工作起着重要的作用,还承担着向集团公司的相关部门提供生产实时数据的任务,SIS系统已连续运行7年。石柱电厂DCS是由杭州和利时生产的MACSV6.5.2 SM系列产品,于2013-2014年陆续完成组态,调试。
目前DCS系统完成了系统加固和病毒库的定期升级,但通过网络安全等级测评,仍有以下几个突出问题:(1)网络设备日志审计功能不完善。(2)未配置日志服务器。(3)未提供专用日志查询分析工具。(4)未对系统运行日志等进行分析。按照中国大唐集团公司《燃煤火力发电厂技术监控规程第11部分:工控系统网络信息安全防护》(Q/CDT 101 11 003.11—2019)4.3.6安全审计部分规定,DCS系统和SIS系统应实施部署“网络审计”和“日志审计”系统。
另外SIS系统存在问题:(1)磁盘阵列故障无法使用;(2)双机无法自动切换,一台故障后,需人为切换到另一台。SIS系统是全厂实时数据汇聚中心,需进行改造磁盘和双机冗余改造,保证硬件设备及软件稳定运行。
2.SIS系统存在的问题及解决方案
2.1 SIS系统问题分析
SIS系统的核心服务器网络结构,采用了双数据库服务器加载磁盘阵列的形式。存在以下问题:
问题1:磁盘阵列故障无法使用。
问题2:从系统安全性理论的角度,SIS系统的核心服务器采用双数据库服务器加载磁盘阵列的方式,是不尽合理的。根据最新的SIS系统设计规范标准,要求双核心服务器配置加载双机软件的结构方式。
问题3:双数据库服务器加载磁盘阵列的方式,全厂实时数据储存在磁盘阵列,当磁盘阵列出故障无法保证数据完整性。
2.2 SIS系统网络安全升级改造解决方案
采用服双核心服务器配置加载双机软件的模式,架构起SIS系统的核心服务器系统。完成服务器间控制指令和备份数据的高速交互,从而实现两台核心服务器间“热备”运行的冗余方式。
为了提高数据存储速率,以及数据存储的安全性,在采用服务器双机软件集群管理的模式下,由两台核心服务器共同来管理。这样,当某一台服务器出现故障后,另一台服务器可以自动“无缝”接管数据资源,从而保证数据的唯一性和连续性。
3.网络安全系统构建
3.1方案设计
a)在两台机组DCS系统、辅控DCS系统主交换机A网与B网旁路各部署1套工业网络审计系统。
b)在SIS系统核心交换机接入1套工业日志审计系统;在两台机组DCS系统、辅控DCS系统主交换机接入1套工业日志采集器。
c)在辅控三层交换机处部署1套工业网络设备管理软件。
3.2 网络拓扑结构
安全二区(SIS系统)和安全一区(DCS系统)间通过工业防火墙或单向隔离器进行隔离,安全二区和管理信息大区间通过隔离器进行隔离,从而保证网络传输的安全性。
3.3网络安全设备分析和防护原则
3.3.1 网络审计系统
1号机组DCS、2号机组DCS、辅控DCS主交换机侧配备网络审计系统,需能够对该安全一区所有网络端口间的传输数据实时进行流量审计和工控协议解析,实时监测网络攻击、违规操作、非法设备接入等异常行为,及时发现隐藏在正常流量中的异常数据包。在控制系统侧采集数据,并确保系统的兼容稳定性。
3.3.2 日志审计系统
SIS系统、1号机组DCS、2号机组DCS、辅控DCS侧,配备具备日志审计功能的系统,能够对DCS系统内的所有工程师站、操作员站、历史站、交换机、防火墙、接口机等设备的操作系统、数据库、业务应用的重要操作进行记录、分析,及时发现各种违规行为以及病毒、黑客的攻击行为。日志审计功能应包括对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。并保留至少6个月的日志数据。
3.3.3 安全专网交换机
安全专网管理机应部署在安全二区内,具备实时监测工控系统的主机、网络设备、安全设备运行状态和日志采集,进行集中化的性能状态监控、日志分析及安全事件的集中展示的功能。安全专网管理机可管理范围包括控制域和非控制域操作员站、工程师站、实时数据库、历史数据库、网络设备、安全设备等,需兼容所有信息安防信息并提供运维平台,对各接口数据进行分类、融合。
3.3.4 系统校时
通过485通迅将GPS网络与审计系统网络连接,保证信息安全设备校时的准确性,确保信息安全设备、SIS系统与DCS系统的时钟一致,且对时网络的拓扑结构和策略协议不能违反网络安全和DCS等保测评要求。
3.3.5安全网闸
安全网闸应为具有访问控制功能的硬件设备,并可以实现逻辑隔离、报文过滤、访问控制等功能,应为带有多种控制功能的专用硬件,适用于仅单向传输的网络环境。在电路上切断网络之间的链路层连接,并能够在网络间进行应用数据交换的网络安全设备。通过切断由外部发起的连接,保护内部网络,同时应具备内部访问日志记录查询的功能。
3.3.6网络安全设备设置
a)修改默认管理账户及口令;口令必须满足至少11位,数字、字母、特殊字符两种以上混排,无规律的方式
b)配置交换机远程管理方式,启用HTTPS、SSH的管理方式,禁用其他远程管理方式;
c)启用日志记录功能;
d)设置时钟服务器地址,建立通迅;
e)配置用户超时参数,5分钟空闲超时退出;
f)启用用户口令加密功能;
g)配置IP+MAC地址绑定;
h)手动关闭空闲端口;
i)在接入端口上绑定接入终端的MAC地址;
4.结束语
对电站生产大区网络安全系统的构建和改造,是系统化的研究改造过程,从可研分析、方案设计、项目搭建到结束测评,每个步骤都应有计划、有措施的开展,在了解网络发展方向和标准制度的同时,要切实保证改造中无差别、无死角。只有这样,在面临西方世界的信息封锁和黑客攻击的时候,才能保证计算机网络安全防护体系发生作用,系统可控在控。
参考文献:
[1]洪江.发电厂计算机网络安全防护体系的构建和分析[J].江西电力,2004(6) :17.