快捷搜索:  汽车  科技
当前位置: 爱玩科技 > 生活 > 正文

电液控制系统主控阀过滤精度(物理层纯单向工控审计)

小君 248

电液控制系统主控阀过滤精度(物理层纯单向工控审计)在该事故中,首先是由于实施人员对安全技术和DCS系统的认知太过浅薄,未仔细确认IDS设备上的Bypass标识,或者对Bypass功能的原理了解不深,没有考虑到旁路设备Bypass功能可能导致网络成环,影响正常业务运行。安全问题永远都不是纯粹的技术问题,管理与技术相结合,才能达到最好的防护效果。正常情况下,两台机组DCS系统在运行过程中严禁网络互通,互通会导致两台机组之间信号串扰,造成停机事故发生。在本次事故中,以二号机组跳机为例,大致可将全过程总结为四段,#1机组的业务流量通过一号机组DCS交换机的镜像口先到达IDS设备的一个网口,再从同组的另一Bypass网口中流出,而后从二号机组DCS交换机的镜像接口中回注,最终到达#2机组的DCS交换机,引起信号冲突,导致机组跳机。发电机组跳机事故过程图示安全事件解析

引 文

2020年12月,内蒙古某电厂进行DCS系统技术改造工作,实施人员将新增的入侵检测设备(IDS)连接至#1、#2机组DCS交换机,准备接收网络镜像流量展开分析,因误将两台机组的DCS信号接入IDS同一组Bypass网口,令两机组DCS系统直接连通,发生信号冲突,导致两台机组跳机,损失出力57万千瓦。

从该事故看出,旁路部署的审计类设备,也并非完全对控制系统没有任何影响。请看威努特单向审计设备如何从物理层对报文传输方向进行控制,真正做到对控制系统“零影响”。

事故过程还原

正常情况下,两台机组DCS系统在运行过程中严禁网络互通,互通会导致两台机组之间信号串扰,造成停机事故发生。在本次事故中,以二号机组跳机为例,大致可将全过程总结为四段,#1机组的业务流量通过一号机组DCS交换机的镜像口先到达IDS设备的一个网口,再从同组的另一Bypass网口中流出,而后从二号机组DCS交换机的镜像接口中回注,最终到达#2机组的DCS交换机,引起信号冲突,导致机组跳机。

电液控制系统主控阀过滤精度(物理层纯单向工控审计)(1)

发电机组跳机事故过程图示

安全事件解析

安全问题永远都不是纯粹的技术问题,管理与技术相结合,才能达到最好的防护效果。

在该事故中,首先是由于实施人员对安全技术和DCS系统的认知太过浅薄,未仔细确认IDS设备上的Bypass标识,或者对Bypass功能的原理了解不深,没有考虑到旁路设备Bypass功能可能导致网络成环,影响正常业务运行。

其次,在工业控制网络安全防护中,应当选择专业的工控网络安全设备。一些非专业的工控安全厂商,对工业控制网络的原理和应用并不熟悉,在产品的设计阶段没有考虑到工控网络对可靠性、业务连续性、高实时性等的要求,为降低成本,将串联部署的设备硬件不加改动地用在旁路部署的场景下,为事故发生埋下隐患。

说回设备本身的问题,Bypass功能的本意是防止设备故障影响业务连续性,当设备采用串联方式部署时,如果设备意外掉电,一组Bypass网口之间直接打通,可以保障现场业务连续不间断运行。旁路部署的设备,如IDS、工控安全监测与审计、数据库审计、高级威胁检测等,设备意外掉电时也不会影响现场业务,本不应该有Bypass功能,旁路部署的设备会从多台交换机上采集镜像流量,若设备意外掉电切换Bypass,会将本来相互隔离的网络打通,严重影响网络正常运行。

电液控制系统主控阀过滤精度(物理层纯单向工控审计)(2)

旁路设备上的Bypass网口

最后,该事故中更深层次的安全隐患在于,交换机的镜像口既能发送报文,也能接收报文。理想情况下,镜像口只负责将交换机上的全流量转发至安全设备,不接收来自任何设备的流量。但交换机的镜像口往往是通过配置普通接口得来的,并不具备单向传输的能力。如果旁路安全设备本身被攻击者劫持,攻击者通过安全设备将恶意报文从交换机镜像口回注到DCS系统,进而控制或攻击整个工业控制网络,将会对现场业务造成极大的危害。

因此,如何提升旁路安全设备本身的可靠性,是工控网络安全厂商必须思考的一个问题。该电厂事故发生后,威努特内部第一时间分析出其中潜藏的安全隐患,并研发出对工业控制系统真正“零影响”的物理层纯单向审计的工控安全监测与审计系统。

电液控制系统主控阀过滤精度(物理层纯单向工控审计)(3)

威努特物理层纯单向审计设备产品实物图

物理层纯单向审计解决方案

为避免上述事故的再次发生,对旁路审计设备的设计,有基本级和增强级两种解决方案。

基本级解决方案

通过裁剪旁路设备的Bypass功能,在硬件上去掉继电器,可以避免本应相互隔离的系统之间直接连通,可以有效解决因实施人员操作失误或者设备意外故障切换Bypass导致的生产事故,但还无法解决攻击者控制安全设备通过镜像口往工业控制网络注入恶意报文的问题。

电液控制系统主控阀过滤精度(物理层纯单向工控审计)(4)

继电器实物图

增强级解决方案

通过更改逻辑链路层设计,做到流量收发单向,从硬件上杜绝报文回注的可能性。威努特最新研发的物理层纯单向审计的工控安全监测与审计系统,就是采用的增强级解决方案,设备不但没有Bypass,也从网口的收发包上做到了单向传输。该设备从硬件设计上着手,网口接收或者发送的数据线在硬件上断开,保证物理上不能接收数据或者发送数据,实现单向传输的同时,不影响正常的以太网协商,真正做到旁路设备对现场业务网络零影响。

结 语

在攻击手段日益繁多的今天,要解决好网络安全问题,不仅需要在管理上发力,在技术上也需要不断进步。威努特秉承着“专注工控、捍卫安全”的使命,不断创新、不断推出新的产品解决方案,帮助工业用户应对越来越复杂多变的网络攻击,在网络攻防对抗的道路上砥砺前行。

网站首页

返回栏目

猜您喜欢:

相关文章