火电厂DCS系统安全防护实践_古栖铭.pdf
蜗牛文库
-高品质阅读,高比例分成-
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
火电厂
DCS
系统安全
防护
实践
古栖铭
火电厂 系统安全防护实践古栖铭,杨军(贵州西电电力股份有限公司黔北发电厂,贵州 金沙 )摘要:火电企业工控安全专业基础薄弱,工控信息安全和网络安全存在诸多问题,因此加强电力监控系统安全防护刻不容缓。介绍某火电厂 系统安全防护实施情况、实施具体操作以及实施过程中遇到的问题,对后续相关工作安排有一定的借鉴意义。关键词:系统;病毒;安全防护中图分类号:,(,):,:;收稿日期:作者简 介:古 栖 铭(),从 事 热 控 工 程 技 术 工 作;杨 军(),从事热控专业管理工作。引言火电企业工控安全事关经济发展、社会稳定和国家安全。近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。随着网络安全相关政策、法规的出台,各级单位、部门对网络及工控安全逐渐重视。由于火电厂工控安全专业基础薄弱,工控信息安全和网络安全存在的问题较多,因此加强电力监控系统安全防护,抵御黑客及恶意代码对发电厂监控系统的恶意破坏和攻击,防止系统瘫痪和失控引发事故刻不容缓。但对 系统进行安全防护属于比较专业的操作,火电企业因工控安全专业人士严重缺乏,自行开展安全防护不太现实,为保障安全,基本上须借助专业公司来实施。项目内容 基本情况某电厂台 系统在 年至 年相继投用,期间分别进行过局部主控单元、控制系统升级,目前各机组情况如下:、机组为 系统,系统平台为 ;机组为和利时 系统,系统平台为 ;机组为和利时 系统,系统平台为 。年一些场、站在网络安全上出现了不安全事件,上级单位组织对各厂、站进行了网络安全专项检查,另外该厂 系统等保测评报告和公安部门网安科现场检查也提出了一些整改要求。针对这一系列的问题制定了整改计划,特别是生产控制大区 系统存在的问题较多,系统主机未安装杀毒软件和高危漏洞补丁;操作系统未打补丁,存在使用已停服的 、操作系统情况,工程师站存在缺省账户情况,工程师站、操作员站主机未进行加固,不符合等级保护要求;接口外部封签已实施封闭,但未从策略上禁用 接口,未关闭高危端口等;一些相对简单的项目自行进行了整改,但由于涉及操作系统 系统软件的一些操作的整改难度较大、专业型较强,无法自行开展,因此申报了 年技改项目号号机组 系统安全防护。该项目因需要在控制系统主机上进行相关操作,在机组运行期间无法开展,且考虑到实施过程中可能的其他不可控因素,故选择在机组检修或有计划停运一周以上的机会开展。到 年月,已经 完 成 大 部 分 工 作,剩 余 的 工 作 在 条 件 具 备 时开展。电工技术系统解决方案 项目内容 系统安全防护项目主要包含 系统、系统主机安装工业防病毒软件,安装最新系统高危漏洞补丁,进行主机加固操作,实现主机安全防护、阻止恶意代码的执行和扩散、移动存储管理、主机监控管理、基线管理等功能。()工控机安装高危漏洞补丁。、工控机操作系统安装最新官方高危漏洞补丁,打补丁后 、及和利时控制系统稳定、可靠运行。()主机安全防护。、工控机安装系统安全防护软件后可进行操作系统完整性检查。完整性检查内容包括注册表保护、配置文件保护、防止操作系统被恶意软件破环等。()阻止恶意代码的执行和扩散。在工业主机上采用在离线环境已充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。安装系统安全防护软件后,通过主副卡的“白名单”管理机制,主卡统一管理,副卡阻止“白名单”外的程序及病毒、木马、蠕虫等恶意代码的执行,进而有效避免系统感染震网病毒、等工控恶意代码。()移动存储管理。工控机策略禁止使用 移动存储设备对 工控机进行数据交换,在信息安全源头解决病毒、木马、蠕虫等恶意代码的入侵及传播。()主机监控管理。、工控机安装系统安全防护软件后,可对白名单外的恶意代码、违规操作进行告警及记录;对人员未授权安装软件进行告警;支持注册表、配置文件和操作系统文件破坏告警。()基线管理。、工控机安装系统安全防护软件后,可针对工作站、服务器等设备进行基线配置管理,包括账户策略、审核策略、安全选项、安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭 账户、开启系统和账户审核、关闭默认共享、开启 攻击防护、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。()账户管理。重命名 ,禁止重命名 、等字符,删除多余、过期的帐户,禁用 账户;启用系统密码复杂度策略,密码长度至少 位;禁止匿名账号枚举 账号;为操作系统管理员和数据库系统管理员分配不同的管理账户;对不同管理账户按照权限划分最小化权限范围;禁止使用超级管理员账户登录系统进行业务操作。服务器(实时历史报警)的重要数据访问控制。()身份鉴别。组态软件增加密码复杂度检测功能;用户口令以加密方式存储,且满足由数字、字母、特殊字符中两种以上无规律混排;账户()口令的长度要求至少为 位;系统配置文件涉及操作系统、数据库管理系统等的用户口令时采用加密方式进行加密处理;超级管理员账户()登录超过 无任何操作,应自动退出登录状态;重命名默认帐户(),禁止重命名为 、等字符,修改其默认口令;禁止匿名用户登录;用户登录失败超过设定次数后进行锁定;用户口令周期修改,用户口令过期提醒,限制口令最大和最小有效期;系统不显示上次登录用户名;对口令的修改进行重复度验证,防止任何用户重复使用同批口令。()主机配置。禁止用户修改;禁止用户修改计算机名;删除路由默认配置;关闭默认共享、;启用清理虚拟内存页面;工程师站服务器启用带密码的屏幕保护,并将时间设定为 。()软件管理。禁止安装与 系统无关的软件。()网络管理。关闭不必要的系统服务,包括 、传真、等服务;删除游戏、组件;屏蔽与业务无关的网络端口,如 、等。()接入管理。外设管理:禁止使用 、光驱等外设接口;关闭自动播放;禁止使用无线设备;对外部设备的使用及移动代码的执行进行检测和审计记录。访问控制:禁止远程管理;禁止远程访问注册表;限制匿名用户访问权限;关闭可移动存储设备的执行功能;关闭光驱、移动设备的自动播放功能;禁止用户开机自动登录系统。()安全审计。开启操作系统和数据库系统的安全审核功能,并配置日志策略审核,包括策略更改、登录事件、对象访问、进程跟踪、目录服务访问、特权使用、系统事件、账户登录事件、账户管理等。()恶意代码防范。安装基于白名单的防病毒软件 ;为基本的 程序和服务启用数据执行保护。实施过程()登记主机信息。登记内容包括主机型号、操作系统版本、计算机名、地址、硬盘分区及使用情况。()断网。将 软件彻底退出关闭,然后断网。()备份。操作员站 盘做 备份,对工程师站、历史站和通信站做盘和盘备份。()查杀病毒。用杀毒软件进行全盘扫描,先查后杀,确保系统安全。()卸载杀毒软件。病毒查杀完毕,将杀毒软件卸载。()主机加固。安装高危漏洞补丁,增强系统安全;基线管理包括账户策略、审核策略、安全选项、安全策略、安全审计、系统日志等;账号管理,重命名 账户,关闭、删除不用账户,密码复杂度要求,为不同的功能设置不同账户;软件管理,删除不必要软件;网络管理,关闭不必要服务和端口;外设管理,禁止使用 大容量存储设备,禁止使用无线,禁止自动播放;访问控制,禁止远程、限制匿名访问权限;安全审计,配置日志审核策略。系统解决方案电工技术()白名单安装。安装白名单软件,将所有需要的进程添加到白名单软件。()系统恢复。将网络恢复,并确认 软件运行正常。实施中遇到的问题()病毒泛滥。在号机组 系统工程师站、操作员站主机发现大量较为顽固的蠕虫病毒,使用火绒杀毒软件进行杀毒多次后仍不能完全清除,后使用 进行反复查杀才清除。()硬盘故障。号机组 系统历史站主机运行异常缓慢,检查发现硬盘可能有问题,更换该故障硬盘后恢复所有数据,主机运行正常。()系统故障。号机组 操作员站 断电后软件因故障无法运行,使用操作员站 备份恢复系统,重新进行配置、加固操作,运行正常。()软件运行异常。号机组 系统历史站运行进行杀毒、加固操作,安装白名单软件后无法下装,将 系统历史站软件升级至最新版本后下装正常。遗留问题()号、号机组 系统主机未加固。因号、号机组 系统的操作系统为 ,暂不支持开展加固操作,故待系统升级时再实施。()号机组 、系统主机操作系统及软件升级暂未开展。和利时 系统软件版本为 ,不支持 系统。而号机组使用的 版本软件在 基础上有些变化,不符合维护人员的使用习惯,正在联系厂家进行完善,因此号机组 、系统主机的操作系统和 系统软件暂未升级,但已对系统进行加固和安全防护操作,待厂家测试出更稳定的 系统软件版本后再开展操作系统及 系统软件升级,进行加固操作。()系统加固的有些要求不能完全满足规范要求。如因和利时 系统软件运行需要,部分端口需开放给和利时 调用;号、号机组 系统为国电南自美卓的 系统,操作系统登录默认用户名为 、,若修改则会影响软件操作、运行,暂未作修改。()系统加固的各项操作完成后,人员不能直观地看到系统设置的参数,必须是有一定计算机和网络安全基础知识和技能的人员进入主机操作系统查看相关配置选项才能获知。()项目初始策划目的是完成相关整改,保证系统基本安全,然而资金预算有限,没有考虑配置相关的管理平台。项目实施后,不能随时监控系统状态、数据交换情况、系统安全情况,不能及时发现异常情况并进行管控,从而无法做出实时的处置和操作。后续在条件满足时再申请配置管理平台和网络审计系统等设施。结语由于重视程度不够或工控系统信息安全专业人员缺乏,许多企业在工业控制系统安全防护方面的相关工作较为滞后,因此应加强专业人才的培养,定期对从业人员进行网络安全教育、技术培训和技能考核。在开展安全防护相关工作时,因人员经验不足而导致项目初始策划考虑不周全的情况时有发生,希望本文能给有相关需求的专业人士一些借鉴和参考。参考文献 邱意民电力监控系统安全防护规定杭州:浙江人民出版社,马力,祝国邦,陆磊 网络安全等级保护基本要求()标准解读 信息网络安全,():佚名中华人民共和国网络安全法新疆农垦科技,():(上接第 页)浙江电力,():庞乃杰,陈启新,汪小辉,等 智慧园区云平台的研究与应用建筑科技,():吕军,盛万兴,刘日亮,等配电物联网设计与应用高压电技术,():徐玉宁,谢樟 基于多源数据系统融合的台区线损智能检测 大众用电,():刘日亮,刘海涛,夏圣峰,等物联网技术在配电台区中的应用与思考 高电压技术,():王海柱,赵瑞锋,郭文鑫,等 基于物联网平台的低压配电台区数据采集方案电气技术,():,周淦林 配电物联网智能台区解决方案 中国新通信,():徐基前,杨黄河,程鑫基于泛在电力物联网的低压台区全息感知技术 物联网技术,():,电工技术系统解决方案
