燃料智能化係統網絡安全防護及加固的應用實踐分享
燃料智能化係統網絡安全防護及加固的應用實踐分享
前言
火電廠燃料成本占發電總成本的70-80%,燃料管理是火電企業經營的生命線。燃料智能化是通過信息化、自動化、智能化手段,集燃料管理業務、設備運行監控、智能設備於一體的燃料智能化應用,實現了火電廠燃料的全過程管理自動化、智能化。
吳忠熱電燃煤供應完全靠汽車運輸,用煤量較大期間每天大約有150輛大貨車供煤,燃料智能化係統因為控製環節較多,任意一個控製流程和網絡安全出現故障,都影響係統正常運行,燃料智能化係統癱瘓,來煤車輛無法登記、采樣、計量、卸車,會造成廠外大量運煤車輛堵塞的現象,對社會交通和公司生產經營造成較大影響,所以網絡安全防護與運行可靠性尤為重要。
針對係統中網絡安全與可靠性運行中存在風險和隱患,嚴格按照安全分區、網絡專用、橫向隔離的原則和網絡信息安全等保2.0的相關要求,進行網絡安全優化完善與加固,合理安排調試時間、科學編製測試方案,在基本沒有影響燃料係統正常運行的情況下,有效的進行了網絡邊界、工控係統、操作係統與網安設備的安全防護,防止燃料入廠、采製化、稱重計量、接卸等業務中斷,防止燃料智能化係統崩潰或癱瘓,抵禦外部人員對燃料管控係統的攻擊和惡意破壞,保護係統的實時和曆史數據,防控數據被非法修改。
1.原係統中的風險分析
原燃料智能化係統網絡示意圖(如上圖)
由於原係統於2015年招標,係統設計時網絡安全防護不到位,存在如下風險和隱患:
1)控製區與管理區之間沒有安裝隔離網閘,沒有實現網絡隔離。
2)防火牆沒有有效的策略配置、網絡隔離與數據傳輸不安全。
3)係統都沒有安裝殺毒軟件。
4)管控主機單機運行沒有冗餘配置、數據庫沒有做鏡像
5)視頻監控係統與工控係統沒有進行有效隔離
6)沒有安裝稱重防幹擾器,存在數據篡改隱患。
7)口令設置過於簡單、必要的補丁沒有及時升級
8)網絡布線中部分標示缺失,沒有劃分VLAN,交換機、串口服務器配置沒有導出存貯。
9灰渣結算數據沒有傳輸到管理大區。
10)燃料管控數據庫備份沒有實現安全傳輸與異地備份。
2.網絡安全防護及加固
2.1 網絡完善與防護采用主要方法和措施:
1)按相關要求控製區與管理區之間安裝隔離網閘,實現網絡物理隔離,
2)劃分VLAN優化網絡結構,利用VLAN技術將燃料各個區域劃分到不同的虛擬子網中,通過ACL來控製VLAN之間的數據流,使用VLAN之間的ACL可對來自企業內部的入侵提供直接保護。
3)視頻監控係統與工控係統中斷連接,實現物理隔離
4)關閉網絡設備空餘端口、配置訪問可靠性傳輸。
燃料智能化係統網絡拓撲圖(如上圖)
2.2 主機及數據庫加固措施:
燃料智能化的管控主機是關鍵信息設施,也是核心管控設備,根據現場運行情況,對主機服務器進行了冗餘配置,在核心服務器上搭建了數據庫的鏡像服務器,即主服務器、備服務器之間實現數據實時備份已故障切換,實現雙機熱備。
針對燃料數據庫防護做了“數據庫鏡像”技術。“數據庫鏡像”是一種針對數據庫高可用性的基於軟件的解決方案。其維護著一個數據庫的兩個相同的副本,這兩個副本分別放置在不同的SQL Server數據庫實例中。建議使用不同位置的兩台服務器來承載。在同一時刻,其中一台上的數據庫用於客戶端訪問,充當“主體服務器”角色;而另一台則根據鏡像會話的配置和狀態,充當熱備份服務器,即“鏡像服務器角色”,這兩種角色不是絕對的。
優點:增強了數據保護功能、提高了數據庫的可用性、提高了生產數據庫在升級期間的可用性
工作方式:在“數據庫鏡像會話”中,主體服務器和鏡像服務器是相互通信和協作,並雙方互補。主體服務器角色上的數據庫副本為生產數據庫。數據庫鏡像會盡快將主體數據庫中執行的每一項操作(如:插入、更新和刪除等)在鏡像數據庫中進行重新執行。這一過程是通過將活動事務日誌記錄的流發送到鏡像服務器來完成,這可以盡快將日誌記錄按順序應用到鏡像數據庫中。而且數據庫鏡像是在物理日誌記錄級別執行這一“重做”操作的。SQL Server 2008 R2(以下簡稱:SQL08R2)中,為了減少網絡的負載,主體服務器會將事務日誌記錄壓縮後進行發送。
1 高性能模式(異步運行):事務不需要等待鏡像服務器將日誌寫入磁盤便可提交,這樣可最大程度地提高性能。這意味著事務不需要等待鏡像服務器將日誌寫入磁盤便可提交,而此操作允許主體服務器在事務滯後時間最小的條件下運行,但可能會丟失某些數據。
2 高安全模式(同步運行):當會話開始時,鏡像服務器使鏡像數據庫盡快與主體數據庫同步。一旦同步了數據庫,事務將在雙方提交,這會延長事務滯後時間。
數據庫鏡像工作原理(如上圖)
3 鏡像服務器搭建。
數據庫鏡像搭建效果圖(如上圖)
2.3 防止數據篡改及加固
(1)加裝稱重防幹擾器
為防止不法分子對地磅稱重幹擾,影響計量稱重的準確性,損害公司利益,防止燃料實時數據被非法篡改,保證燃料運煤車輛和燃料智能化係統的正常有序運行,積極采取主動防禦手段,安裝了稱重監測防幹擾器。稱重過程中,如有非法遙控的信號將會被自動攔截並發出報警信息。
稱重防幹擾器(如上圖)
(2)防止非法入侵修改數據的加固措施
燃料管控服務器上關閉了默認的網絡共享並刪除管理員Administrator係統賬戶,配置係統審核策略,指定需要的審核權限。服務器使用強密碼口令並關閉遠程桌麵服務、無效啟動項、USB接口。
針對數據庫的防惡意修改數據:
·避免使用空密碼和弱口令
操作係統和數據庫係統管理用戶身份鑒別信息應具有不易被冒用的特點,口令應有複雜度要求並定期更換。對用戶的屬性進行安全檢查,包括空密碼、密碼更新時間等。修改目前所有賬號的口令,確保口令達到至少12位長度,包括數字、字母、符號混排,無規律的方式。打開SQL Server Management Studio管理界麵,在左側展開“登錄名”,對 SA和其它登錄名逐一右鍵點擊查看屬性,勾選“強製實施密碼策略”。
·取消guest對master和tempdb之外的數據訪問權限
打SQL Server管理界麵,在左側展開除了master和tempdb之外的所有數據庫>>安全性>>用戶,刪除guest賬戶。
·啟用日誌審計功能
審計範圍應覆蓋到服務器和重要客戶端上的每個操作係統用戶和數據庫用戶。數據庫應配置日誌功能,對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP 地址。
1、在“SQL Server管理器”->右鍵單擊服務器->單擊“屬性”->“安全性”,選擇每個登錄的“審核級別”為“失敗和成功的登錄”。
2、詢問數據庫管理員,是否采取第三方工具或其他措施增強SQL Server的日誌功能,如果有則查看這些工具記錄的審計記錄是否符合等級保護的安全審計要求。
2.4數據安全傳輸及異地備份
原係統由生產區向管理區傳輸數據,通過防火牆采用雙網卡,傳輸方式為IP/TCP模式,存在安全隱患。係統加固後生產控製大區的燃料數據通過網閘安全傳輸到管理大區。
1)安裝單向隔離網閘,配置訪問策略,使生產區與管理區保持獨立,實現物理。
單向隔離網閘(如上圖)
2)搭建基於隔離網閘的數據、文件傳輸方式(TCP、UDP)的接口程序,滿足應用中數據傳輸。
數據發送與接口(如上圖)
3)生產控製區燃料數據庫導出及異地備份
生產控製區燃料實時及曆史數據庫,采用每月進行數據庫全備份導出,應用基於隔離網閘的文件傳輸方式UDP的接口程序,將生產大區的燃料數據傳輸到管理大區信息機房進行異地備份,保障了燃料數據的安全存儲。
2.5其他安全防護措施
1)安裝殺毒軟件:工控係統上安裝時要測試殺毒軟件與控製程序的兼容性,按要求建立白名單。
2)設置複雜口令
3)固廢數據稱重計量自動上傳到管理大區,便於管理人員進行WEB查詢統計。
4)燃料區域所有重要地點都安裝視頻監控
5)升級采樣機控製程序,屏蔽礦點屏幕顯示信息,減少和自動記錄人為幹預采樣次數。
6)準確輸入車輛基礎數據,測量準確車廂的拉筋距離,調好測控定位裝置。
7)采樣機工作室安裝手機屏蔽器、錄音電話。
3.實施應用
3.1 係統測試
在燃料智能化係統正常運行的情況,既要保證燃料係統穩定運行,保證實時數據準確可靠,不發生丟失現象。也是燃料智能化係統網絡安全防護及加固的應用實踐的主要環節。
在不影響或最小影響燃料采製化和卸車的情況下,充分利用每天中午和下午最後兩輛煤車進行現場測試,係統測試中需要燃料現場操作人員和進煤車輛實際測試,為此精心編製係統測試方案。
分項測試示意圖(如上圖)
(1)分別進行入廠刷卡、汽車衡的自動稱量、自動采樣係統、自動製樣、智能氣力傳輸、自動存查係統、入廠煤化驗數據自動傳輸分項進行現場測試。
燃料部協調需要安排專人負責指揮測試車輛,協調運煤車輛在入廠刷卡、自動稱量、自動采樣係統各分項項目中實際測試,管控服務器與測試服務器進行切換,以測試新服務器數據庫采集與傳輸的準確性,保障燃料數據的完整性。若存在異常,產生的測試數據須從燃料數據庫清除。
(2)燃料管理部化驗、製樣人員需要增加測試樣,以監測數據庫數據傳輸準確。
(3)技術保障措施:
1)在測試前將原服務器數據備份,將備份數據拷貝至鏡像服務器,並將備份數據還原至鏡像服務器。以上操作保證測試數據與原數據保持一致,並互不幹擾。
開始測試前停止現場(入場、采樣、稱重、出廠、化驗等操作),中間預留半小時時間切換至鏡像服務器。
切換成功後,由一輛車過采樣、稱重。如測試成功,則鏡像服務器在入場、采樣、稱重處沒有問題(此時數據在鏡像服務器中)。此時需要切換回原係統,讓該車輛按正常流程工作。
2)製樣、化驗的測試:
在中午時,現場無煤車操作的時候。切換至鏡像服務,然後進行製樣、化驗功能的測試。此過程,需要用到測試樣來進行測試。需要現場安排對應的測試樣和測試人員配合。
(3)更換工控機調試控製程序。
項目新購兩台工控機安裝控製係統後需要在稱重、采樣、入廠管理現場測試,測試過程中需要更換工控機,以監測其分項係統功能。
3.2 上線應用
係統測試完成後,檢查數據準確、係統可靠運行後,正式進行係統切換運行。
加固主應用圖(如上圖)
4.綜合防護措施
燃料智能化不是一個孤立的係統,它與公司其他信息係統存在著數據交互與網絡邊界安全問題,應納入公司整體信息係統進行總體綜合防護。
網絡安全三分技術七分管理,加強網絡安全隊伍建設、製度建設、技術手段、培訓教育、提高培養網絡安全意識、加強運維管理等全方位安全管理,全麵提升安全防護能力。
1)建立網絡安全管理機構。
網絡安全管理機構與隊伍建設是實現網絡安全重要的組織保障,網絡安全管理機構的健全與否,直接關係到網絡與信息係統的安全,管理機構由管理、安全、係統管理、軟硬件等有關人員組成。
2)技術手段
遵守“安全分區、網絡專用、橫向隔離、縱向認證” 的基本原則,重點強化網絡邊界防護、訪問控製、隔離網閘、入侵檢測、自動備份、日誌審計、主機加固,服務器、操作係統和應用係統軟件的安全、防病毒和數據安全等方麵的工作內容,關閉交換機、路由器上的空閑端口,操作係統遵循最小安裝的原則,建立完善的備份及恢複機製,對燃料區域進行全過程全方位視頻監控,安裝稱重防幹擾器;信息係統軟硬件產品逐步采用國產化產品。
3)管理措施
建立健全安全管理製度,進行規範性管理,定期檢查考核製度的執行情況。安裝手機屏蔽器、錄音電話,防止內外勾結,堵住管理漏洞,發現問題及時處理。設置高強度的密碼並定期更換,妥善保管密碼。對網絡安全檢查中發現的問題進行專題研究討論與整改。
防止非法用戶進入信息機房和各種非法行為的發生,加強關鍵區域的門禁授權管理,門禁卡權限必須經安監部審核,如有工作需要進入關鍵區域須聯係信息運維人員開門並陪同進入,對重要場所關鍵區域安裝網絡視頻監控,燃料區域進行全過程監控,按期對門禁係統後台數據庫進行清理工作。
4)提高網絡安全風險意識
強化網絡安全責任意識、風險意識,落實網絡安全責任,完善和修編了網絡安全防護製度,提高了公司全員網絡安全意識,保障信息係統與網絡的安全穩定運行。
5)加強運維管理
根據現場係統運行情況主要做好如下工作:
實時與曆史數據備份:定期導出燃料管控數據,通過網閘傳輸到管理大區,實現異地備份。控製軟件定期備份;網絡設備係統配置與維護;周期性檢查與檢驗;防毒定期軟件升級;管控服務器、鏡像服務器、信息管理服務器實時監測;定期審核和查看日誌;及時響應並處理缺陷;機房環境與係統可靠性運維;技術資料和圖紙的補充與完善。
網絡安全運維(如上圖)
5.結論
燃料智能化係統網絡安全防護及加固的應用實踐,針對原設計係統的網絡架構、智能管控係統、工控主機、網安設備的係統分析,對燃料智能化係統進行了網絡安全防護、可靠性運行及安全加固措施,對網絡安全進行了有效的防護與加固,並實施了綜合防護措施,提升了網絡、主機、數據的安全防護能力,防止燃料智能化係統崩潰或癱瘓,抵禦外部人員對燃料管控係統的攻擊和惡意破壞,保護係統的實時和曆史數據,防控數據被非法修改。
通過以上創新工作,保障了燃料智能化安全可靠性運行,防止外來幹擾及違反燃料管理事件的發生,為來煤質量、數量監督提供了技術支持,保障了燃料管理安全性,為企業基本經營管理打下堅實基礎。