温暖万家——城市换热站工控网络安全建设方案

安全建设背景

城市换热站（District Heating and Cooling，简称DHC）是一种可以回收、储存和利用余热的能源装备，通常由多个换热器和控制系统组成。它负责将高温热能转换为适合用户使用的低温热能，并将这些热能分配到各个用户家中。各地热力公司负责整个供热系统的运营和管理，而换热站则是供热系统中的一个重要组成部分，热力公司通过调度中心来实现对数百个分散的换热站的管理和调度。

热力公司调度中心需要实时关注其下辖换热站现场设备运行情况和接收仪表采集的数据，热力调度中心服务器通过Modbus协议并利用运营商网络与换热站的PLC进行数据传输，然而运营商网络边界出口处通常未采取有效边界隔离措施，一旦换热站内网络感染病毒或遭受攻击，将导致调度分中心SCADA系统瘫痪，数据丢失，影响调度分中心服务器及数百座换热站的现场设备运行。

换热站节点上的PLC等工业设备在设计之初偏重于考虑业务功能，对安全性的考虑不充分，如Modbus协议采用明文方式传输，且没有访问控制措施，企业使用PLC设备时，往往采用缺省配置，漏洞补丁程序更新频率几近于零，存在许多安全隐患，同时由于PLC设备与运营商网络直接相连，换热站的网络出口未采取有效的边界隔离措施，一旦换热站遭受网络攻击，存在横向感染其他换热站的风险。下图为我国某城市换热站在用PLC控制系统的漏洞说明：

图1 某市换热站PLC存在安全漏洞

典型网络结构

热力公司通常具有一个调度中心和数百个换热站，调度中心与换热站通过4大运营商网络（联通、移动、电信、广电）进行数据的实时通讯。调度中心与换热站属于大型分布式网络系统，每一个换热站是一个分布式节点。在调度中心部署有服务器、汇聚交换机、生产网核心交换机、IT防火墙、路由器等设备；在节点上部署电机、水泵、仪表、PLC、光电转换器等设备。

如下图所示，调度中心实时监测下属换热站现场设备的运行状态并采集换热站业务监控数据，中心与节点间使用Modbus TCP协议传输数据，利用运营商网络进行通信。

图2 换热站通用网络拓扑图

工控方案设计

本次将采用威努特自研的物联网安全接入网关和统一安全管理平台进行安全防护建设，物联网安全接入网关采用串联透明模式部署，串接在换热站PLC和光电转换器之间；统一安全管理平台旁路部署在调度中心的交换机上，对数百个换热站上的物联网安全接入网关做集中管理。

物联网安全接入网关部署在无人值守的换热站上，换热站数量众多，产品必须具备高效部署，远程运维管理的能力，实现以下效果：

快速上线：在产品首次部署时，只需要通过命令行配置管理ip地址，后续即可远程运维；
集中管理：数百个物联网安全接入网关可在统一安全管理平台上进行集中管理和策略下发，并具备SSH登录能力，不需要长途跋涉到换热站上，即可完成配置运维；
远程维护：当产品发生故障时，可远程控制设备重启或恢复出厂设置，使设备恢复到正常工作状态。

图3 管理中心与物联网安全接入网关部署示意图

风险防控措施

边界防护：

调度中心与换热站

调度中心与换热站之间通过运营商网络直接相连，中心与节点之间、节点与节点之间缺少访问控制。为解决这一问题，安全设备需要具备ACL访问控制和IP/MAC绑定功能。通过绑定节点上的PLC与调度中心的唯一通信关系，设定两端源/目的IP与端口，禁止其他所有通信，确保通信关系可信和安全。同时，只有合法设备才被允许接入节点网络，通过配置IP地址和MAC地址绑定关系，保障节点上的设备接入安全。

图4 横向风险控制说明图示

通过威努特物联网安全接入网关仅允许换热站与调度中心通信，换热站之间无法通讯，非法设备接入后无法通讯，保障纵向流量正常，横向流量风险把控效果。

指令检测：

通信链路上的工控协议合法性

调度中心与换热站之间通过Modbus TCP协议进行数据交换，中心向节点下发的控制指令可能遭到篡改。因此，安全设备需要具备工业协议深度解析的能力，支持Modbus协议的深度解析，可达到值域级细粒度的访问控制，并支持工业协议白名单自学习。同时，对于利用Modbus协议构造的畸形报文，物联网安全接入网关可检测工业协议报文格式规约是否异常，并根据策略进行告警或阻断。

图5 Modbus协议的深度解析管控示例图

PLC预警：

换热站PLC断线告警

换热站节点数量较多，且都处于无人值守状态。PLC设备存在网口意外掉落、人为将网口线缆拔出进行现场调试后未恢复连接等问题。因此，部署在PLC前端的安全设备需具备PLC网口拔出后及时向热力调度中心告警的能力，第一时间提醒运维人员定位换热站中的非法操作。

图6 实时PLC监测及告警说明图

DDoS防护：

防止数百个节点沦为DDoS攻击的跳板

换热站节点数量众多，如果沦为肉鸡，将严重危及调度中心网络的安全。因此，物联网安全接入网关需要具备异常扫描防护和拒绝服务攻击防护能力，有效防止换热站节点上的资产暴露，减少攻击者可入侵的暴露面，并防止从公网发起拒绝服务攻击或从换热站指向调度中心的攻击。

图7 DDoS流量清洗说明图

传输加密：

解决公网线路数据传输不安全风险

换热站仪表等设备的业务监控数据通过运营商网络传输至调度中心，走公网线路天然存在数据泄露的风险。因此，物联网安全接入网关需要采用IPsec VPN对业务监控数据进行加密，并融入基于3DES、AES128、AES192等多种加密算法的数字签名、密钥协商、数据加密和完整性保护等安全机制，确保业务数据在公网线路上传输的安全性。

图8 传输加密过程图

统一管理：

安全管理中心统一管理提高能效

随着热力公司对工控信息安全的投入，使得企业工控网络中的安全设备迅速增加，亟需一套安全管理设备对控制网络中的边界访问控制设备等安全产品进行集中管理，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等，降低运维成本、提高事件响应效率。

结语

物联网安全接入网关在换热站场景的创新应用，已为我国华南地区多家热力公司的工控网络安全提供了有力保障。通过有效的边界防护、协议合法性检测、PLC断线告警、DDoS攻击防护以及传输加密等措施，确保了换热站与调度中心之间的数据传输安全可靠。统一安全管理平台的引入，进一步提高了安全设备的管理效率和整体运营能效。在未来，随着工控网络安全需求的不断增长，物联网安全接入网关将发挥更加重要的作用，为热力安全供应提供坚实保障，保障换热站为千万家庭持续供暖。

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121