电厂工控系统信息安全常见问题分析与研究

电厂工控系统信息安全常见问题分析与研究

发表时间：2018-11-12T09:40:34.337Z 来源：《电力设备》2018年第20期作者：余程1 崔科杰2 [导读] 摘要：本文收集了目前电厂工控系统存在的信息安全常见问题，并对相关问题进行了归纳和分析，从技术与专业管理方面提出了行之有效的整改措施，对类似的工控系统信息安全防护体系的建立，具有普遍的借鉴意义。

（浙江浙能兰溪发电有限责任公司设备部浙江兰溪 321100）

摘要：本文收集了目前电厂工控系统存在的信息安全常见问题，并对相关问题进行了归纳和分析，从技术与专业管理方面提出了行之有效的整改措施，对类似的工控系统信息安全防护体系的建立，具有普遍的借鉴意义。

关键词：工控系统；信息安全；电力二次系统；防护体系

Abstract：In this paper，the common problems of information security in power plant industrial control system are collected，and the related problems are summarized and analyzed. The effective rectification measures are put forward from the aspects of technical and professional management. It is of universal reference significance for the establishment of the security protection system in similar industrial control system.

Keywords：industry control system；information security；electric secondary system；protection system 引言

随着计算机技术、通讯技术、自动控制技术飞速发展，工控系统已广泛应用于电力、化工、机械制造、医药等工业生产领域，作为工业基础设施的重要组成部分，工控系统得到了迅猛发展。在为工业生产带来极大推动作用的同时，也带来了诸如木马、病毒、网络攻击等安全问题。近年来多次发生了针对电力工控系统的网络病毒，给国家造成了巨大的经济损失和安全隐患，其中比较著名的有：2010年爆发的震网病毒S t u x n e t，导致了伊朗核电站推迟发电两年[1-3]；2015年12月爆发的BlackEnergy，被用于攻击乌克兰电网的。2017年互联网爆发了WannaCry勒索病毒，已经导致100 多个国家和地区的数万台电脑遭感染、中石油2 万多加油站断网，此病毒不仅仅针对个人电脑，同时也更多的针对政府机构、工业计算机等，由于此类计算机疏于管理、系统疏于升级，更容易被黑客攻克。

1 电厂信息安全防护体系及现状

为了便于电力系统生产经营管理，电厂工控系统与SIS厂级监控系统、MIS管理信息系统等外部管理系统数据实现了互联，这给电力系统提供了很好的管理软件，促进了大数据等应用技术的发展，同时也带来了网络病毒风险。

电力企业按照国家近年来制定的《电力二次系统安全防护规定》、《电力行业信息系统安全等级保护基本要求》、《电力二次系统安全防护总体方案》等规范标准为指导，由物理安全、网络安全、主机安全、应用安全、数据安全等环节构建了电厂信息安全防护体系[4]。遵循“安全分区、网络专用、横向隔离、纵向认证”的安全防护原则，基本构建了类似于图1的网络架构。电厂内部网络架构划分为生产控制大区和管理信息大区。生产控制大区分为控制区（安全区Ⅰ）和非控制区（安全区Ⅱ），信息管理大区分为生产管理区（安全区Ⅲ）和管理信息区（安全区Ⅳ）。不同安全区确定不同安全防护要求，其中安全区Ⅰ安全等级最高，安全区Ⅱ次之，其余依次类推。工控系统作为最主要生产控制系统，位于安全I区，它的信息安全直接关系着整个电厂的生产安全。

图1 电厂安全防护总体架构示意图

2 电厂工控系统信息安全常见问题及分析

2.1 物理安全问题

物理安全问题往往容易被人忽视，多个小的异常事件引起事故事件的发生。物理安全问题主要体现在以下几方面内容：部分机房的物理环境不符合要求、电缆敷设不规范、管理不规范等。如管理大区和生产大区网络设备未有效划分物理区域，在标识不明情况下，检修过程中往往会引入错误的网络；DCS工程师站内无视频监控，操作人员无记录；网线不合理穿行，临时敷设，导致柜门无法关闭；安全Ⅳ区和Ⅱ区在同一机柜，且设备没有标识；工程师室空调运转不正常；机房未安装门禁，无关人员随便出入，无出入人员记录等。物理安全体现了很多细节工作，物理安全漏洞不仅会造成设备损害，更容易导致维护人员出错。

2.2 网络安全问题

网络安全问题主要包括网络结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。由于工控系统内部单元之间信息是双向数据流，尽管它们之间通信（称为管道）主要采用工控通信规约，但是仍有部分使用通用网络协议，一旦病毒木马突破边界安全设备，潜入其中一个自动化单元区域之后，就能通过网络迅速蔓延，从而造成更大破坏。[5]在实际构建网络过程中，由于热工、电气专业并不精通于网络安全配置，而安全I区、安全II区的设备往往又多为分配给热工、电气专业负责配置，造成了安全I区、安全II区在配置及参数设置上存在很多的安全隐患。下图2为某电厂网络拓扑图，如图所示安全I区内

图2 某电厂网络拓扑图 #1DCS控制系统接口机、#2DCS控制系统接口机与公用系统DCS接口机、辅控系统DCS接口机共用同一核心交换机，同时在核心交换机上未设置逻辑隔离等措施，造成各个工控系统互相连通，当任何一个系统网络中毒时，全厂的DCS工控系统都会通过核心交换机交叉感染。虽然安全I区和安全II区之间配有逻辑隔离的防火墙，但是更多的由于辅控系统计算机疏于管理或者由于部分工控系统违规使用了U盘

等移动介质，首先造成了辅控系统部分计算机中毒，如果存在上述网络结构问题，就会导致全网络中毒。2017年8月15日某电厂因类似情况发生了生产大区、管理大区等信息安全事件，相继DCS和PLC系统部分工控机出现重启或蓝屏现象，给全厂安全运行带来了很大的安全隐患，此次事件所中病毒分别在电厂安全I 区、安全II 区、管理大区发现均有主机感染“变种勒索病毒”，文件信息如下：病毒文件：mssecsvc.exe

MD5：0C694193CEAC8BFB016491FFB534EB7C 该病毒变种样本据确认最早在互联网发现于2017年6月2日，感染后会释放文件：c：\windows\mssecsvc.exe、c：\windows\qeriuwjhrf、c：\windows\tasksche.exe，开启服务并运行，但由于变种版本只会通过TCP：445端口感染其它主机，出现间断性攻击主机蓝屏死机重启，影响生产控制系统运行，释放的加密程序文件tasksche.exe，经分析为文件包压缩异常，无法运行加密程序，变成真正的“勒索病毒”，所以没有导致更严重的生产系统数据加密的问题发生。

网络结构配置的完善与否直接决定了系统的安全性。而一个工业控制系统为了防止病毒等入侵配置大量的检测审计设备也大大增加了设备成本、维护成本，所以多数企业应视系统安全要求，合理配置相关的安全审计等设备，同时应考虑安全设备是否与工控系统相匹配，看似很简单的安全扫描设备也会引起工控系统的崩溃。某电厂在2018年3月全厂停电期间对电力监控系统（工控部分）进行网络安全评估及漏洞扫描，现场使用了绿盟科技和安恒公司的两台漏洞扫描设备，检查范围包括：DCS系统、辅控系统、公用系统、电力调度数据网、NCS、智能燃料系统等。具体操作方式：将工控漏洞扫描设备接入相应工控系统网络端口，对该网络上的所有设备进行扫描。在扫描的过程中，一期机组DCS控制系统电脑和辅控网络均正常，未出现网络异常现象。而二期机组DCS系统电脑和二期脱硫DCS系统电脑均出现了电脑卡顿、响应缓慢等问题。设备接入情况如图3所示：

图3 DCS系统网络示意图电厂一期、二期机组均采用ABB的DCS控制系统，控制操作软件为PGP，但PGP版本不同，其中#1、#2机组PGP版本为4.0-HF1，#3、#4机组及脱硫PGP版本为4.1-SP3-HF2，4.1版本的server主机在本次扫描过程中均出现死机现象，漏洞扫描工作在扫描过程中对主机系统不进行任何的变更，仅进行主机及端口状态进行扫描，采用TCP/IP接入方式。在端口扫描过程中，扫描设备会对各个端口发送数据包，从主机返回的应答情况确定是否存在漏洞，漏洞扫描采用TCP/IP相关网络标准协议，而APMSNetServer.exe进程为ABB公司自主开发的工控环网私有协议，两者在建立通讯连接的握手过程中相互的通讯协议信息无法识别或者存在冲突，导致双方的握手动作重复进行，进程陷入死循环，致使APMSNetServer.exe进程CPU占用率达到99%，消耗了所有计算机系统资源。此案例说明不管是多么简单的安全设备，在进行工控系统接入时都应考虑系统是否匹配，安全设备应谨慎接入作为生产控制用的安全I 区、安全II 区，应通过DCS系统厂家的检测后再接入DCS系统。