(五凌电力有限公司 湖南长沙 410000)
摘要:本文针对水电厂工控安全存在的工控系统存在核心软硬件产品自主可控水平低下,现有防护技术不足,内部安全隐患突出,面向业务的工控安全监测与攻击溯源能力不足,无法准确感知工控攻击威胁等问题进行分析和讨论,分析水电厂工控系统面临的安全隐患并提出相关的解决方案和建议。
关键词:电力行业,工控安全,水电厂、关键基础设施
1.绪论
新技术的发展和应用,全球工业发展进入新的发展进程,“智能化、自动化、物联网”成为了新的发展关键词,为了在未来的竞争中占据主导地位,美国提出了“工业互联网”、德国提出“工业4.0计划”,我国提出了“中国制造2025”战略,而在这一轮新的工业化发展浪潮中,工业控制系统扮演了越来越重要的角色。
随着工业化与信息化进程的不断融合,大量的网络信息技术应用到了工业控制领域。目前超过80%的设计国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已经国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。
近几年,随着工控网络安全事件曝光增多,社会各界对工控网络安全问题的关注热度持续上升,工控终端与传统终端相比,主要实现实时的自动化生产控制操作,设计之初主要考虑功能的可用性与实时性,信息安全措施设计较少,随着黑客技术的不断升级,对工控系统的攻击力度也在提升,形势将日益严峻、工控系统的价值必然会吸引越来越多的外在攻击与渗透。
2.水电厂工控安全威胁分析
水力发电站普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段,在网络信息安全防护方面具有一定的特殊性:一是其防护的攻击主体特殊,与以谋财、牟利为目的的网络诈骗、网络入侵等传统网络攻击所不同,产业入侵者不会是一般意义上的“黑客”,攻击者具备一定的电力系统工程背景, 对电力监控系统软件及电力业务流程都非常了解, 其发动的针对电力系统的攻击具有很高的技术含量,而且也很可能是恐怖组织甚至是敌对国家力量支撑的组织;二是遭受攻击破坏后果严重,水力发电站关键设施一旦遭受攻击,会直接威胁到国民经济的发展和社会安定。三是智能终端设备的安全风险,随着新技术的使用,发电、变电、输电、配电、用电以及综合调度管理等环节都涉及到大量的智能终端设备的控制与管理,在带来便利的同时也为工控系统带来了新的挑战,风险日益突出。
3.未来面临的安全挑战
为实现数据精益化管理,电力监控系统开始通过专用协议大规模互联并通过专用网交互。虽然方便了行业的交流,带来了更高的效益,但是也为攻击者提供了更多的攻击渠道。无线专网、电力线载波等新型接入方式的大量应用,将终端设备深入到用户侧的非可控环境中,未来电力系统将进入用户侧的方方面面,而终端的智能化和互联互通的迫切需求,给传统的隔离式的电力系统提出了新的挑战。
3.1对电力工控系统的攻击向定制化、组织化、长期化转变。
图3-1面向电力行业的网络战攻击分布图
“震网”、“火焰”以及乌克兰事件表明,网络攻击已成为新型武器,敌对势力利用网络攻击成功破坏电力等国家关键基础设施已成为现实,在如此形势下,电力工控系统安全防护形势尤其严峻。
从外部的互联网络到管理信息大区之间是电力工控系统的第一道防线。第一道防线主要设置有网络安全隔离装置,防护来自互联网的病毒,后门程序,离线攻击等。管理信息大区内部的信息内网和信息外网之间是电力工控系统的第二道防线。信息内外网之间设有网络安全隔离装置,主要防范来自信息外网的专用病毒,社工攻击,硬件入侵等。在生产控制大区和管理信息大区之间又设有电力工控系统的第三道防线。有正向隔离装置和反向隔离装置,用来防护生产控制大区免受专用病毒、电磁脉冲、硬件入侵等不同的威胁。针对这三道防线的攻击,部分可以完全防护,但是如APT(Advanced Persistent Threat,高级持续性威胁)攻击,专用病毒等最新的攻击手段目前尚无明确的防护措施。除了来自外部组织攻击之外,多数时候电力工控系统的安全威胁主要来自于系统操作人员的运维管理,以及系统的设计,硬件设备的采购。
定制化攻击已成为攻击常态。电力工业控制系统由于具有专有通信协议,具有系统与外界隔离,安全等级高等特性,普通网络病毒并不能对电力工控系统造成危害,而电力工控系统蠕虫等专用病毒则针对控制系统的漏洞展开针对性的攻击,针对控制系统的硬件入侵,从芯片层开始对控制系统带来威胁。同时,社工攻击、离线攻击等具有针对性的高科技攻击手段已成为控制系统另一个主要威胁。
3.2面向业务的工控安全监测与攻击溯源能力不足
目前,网络攻击已成为新型武器,敌对势力利用网络攻击成功破坏电力等国家关键基础设施已成为现实,电力工控特种攻击一般针对电力特有的协议和特定的业务逻辑,具有攻击目标明确、操作隐蔽、潜伏时间长等特点,且一般通过集团式甚至是国家级实施攻击。攻击采用的技术先进,病毒扩散以及破坏隐蔽,现有防病毒软件无法进行查杀,由于缺乏对工控系统全局性的安全监测预警能力,导致无法对潜在的风险或隐患进行预测并对攻击事件进行追踪溯源。
3.3现有防护技术不足,工控系统内部安全隐患突出
IEC 60870-5-104协议、IEC 61850通信规约的互操作性可能带来部分不可预期的安全风险。智能设备缺乏鉴别控制命令是否来自合法用户的机制,智能设备所具备的服务向任意访问者开放,生产控制区缺乏实时信息与网络安全监测手段。除此之外,控制系统边界一旦被不法攻击者突破,不管这些威胁是来自外部的攻击者还是来自内部的相关人员,都极有可能造成严重的损失。
图3-2 升压站监控系统潜在安全隐患
3.4新技术的应用,带来大量新形式的风险
机器人、无人机、智能传感设备、可穿戴设备等智能巡检技术在工控现场的深化应用,导致物理隔离更加难以实施,使得工控系统一旦存在漏洞后,将“易攻难防”。这些新技术的应用也导致网络基础环境也随之变化,网络结构复杂化、边界模糊化、威胁形态多样化都将给网络安全防护工作带来严峻挑战。
3.5智能终端漏洞不可控,工控安全威胁向现场侧泛化演进
工控终端与传统终端相比,主要实现实时的智能化生产控制操作,设计之初主要考虑功能的可用性与实时性,信息安全措施设计较少,同时终端设备类型多、数量大(如智能电表)存在漏洞不可控的情况。
3.6新业务发展、新技术应用导致露面增多,现有防护体系无法完全覆盖
随着水电厂建设以及全球能源互联网全面推进,大数据、云计算、物联网、移动互联和软件定义网络、宽带无线等新一代信息通信新技术已成为水电厂关键核心技术,正加速应用到发电各环节,推动了发电创新发展。同时各类新业务的应用也引入新的风险,对传统防护结构带来冲击,给传统防护体系带来严峻挑战:一是以分布式新能源接入为代表的新业务发展,引入了非可控网络接入公司工控主站,威胁系统安全。二是以充电桩为代表的用户侧开放环境下互动业务的发展,引入无线公网接入工控主站,造成原有工控封闭隔离网络边界模糊化。三是机器人、可穿戴设备等智能巡检技术在工控现场的深化应用,导致物理隔离更加难以实施,使得工控系统一旦存在漏洞后,将“易攻难防”。
3.7工控业务连续性强,系统实时在线攻防验证能力不足
工控系统往往处于不间断运行状态,任何系统故障都会造成重大损失,而信息安全漏洞和隐患分析需要绕过系统的安全机制,验证信息安全漏洞和隐患的存在性,直接在电力工控系统上实施风险性较高,目前针对电力工控系统的实时在线仿真及工控协议、代码和固件安全漏洞深度挖掘能力不足导致工控安全漏洞的机理分析、防护技术验证等工作的开展受限。
4.水电厂工控安全综合防护方案
4.1入侵检测
场站端生产控制大区应统一部署网络入侵检测系统,并合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为。分析潜在威胁并进行安全审计。
建议电力生产监控系统的核心交换机以及至调度侧、集控边界上各旁路部署工控入侵检测(工控IDS)装置。通过入侵检测系统检测各类已知攻击,在全盘了解攻击特征后,制作出相应的攻击特征过滤器,并采取离线升级的方式升级攻击特征库,对网络中传输的数据包进行高速匹配,后续可准确、快速地检测到此类攻击,此外,可通过入侵检测系统对上位机以及管理大区流经核心交换机的流量进行检测,监测异常数据流;部署在至调度侧以及集控中心边界的入侵检测系统可以检测流向调度以及集控中心的数据流,发现非法流量。
4.2主机设备与网络设备安全加固
水电厂厂级信息监控系统等关键应用系统的主服务器,以及网络边界处的通信网关机,web服务器等,应当使用安全加固的操作系统。电力监控系统的关键应用的主服务器以及网络设备,应当按照等级保护(一般系统为2级,重要系统为3级)的配置规范进行加固。加固方式包括:安全配置、安全补丁、采用专门软件强化操作系统访问控制能力以及配置安全的应用程序等方式。
非控制区的网络设备与安全设备应当进行身份鉴别,访问权限控制,会话控制等安全配置加固。可以应用电力调度数字证书,在网络设备和安全设备实现支持https的纵向安全web服务,能够对浏览器访问进行身份认证以及加密传输。应当对外部存储器,打印机等外设的使用进行严格管理。
4.3应用安全控制
水电厂厂级信息监控系统等业务系统应当逐步采用用户数字证书技术,对用户登录应用系统,访问系统资源等操作进行身份认证,提供登录失败处理功能,根据身份与权限进行访问控制,并且对操作行为进行安全审计。对于水电厂内部远程访问业务系统的情况,应当进行会话控制,采用认证、加密与抗抵赖等安全机制。
电力监控系统的中的各个业务系统应当采用数字证书进行登录,对各个用户的权限进行明确区分,不同的角色分配不同的权限,不同的权限访问不同资源。
对于在线运行的业务系统,可以在检修或者系统版本更新时,进行升级改造。对于新上线的系统可在系统开发时期,提出以上需求。
4.4安全审计
生产控制大区的监控系统应当具备安全审计功能,能够对操作系统、数据库、业务应用的重要操作进行记录、分析,及时发现各种违规行为以及病毒和黑客攻击行为。对于远程用户登录到本地系统中的操作行为,应当进行严格审计。可以采用安全审计功能,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行收集、自动分析。
运维审计:当用户对电力监控系统中的各个操作系统,数据库,系统业务应用,网络设备进行操作时,应当能够进行这些行为的记录。
日志审计:对监控系统中的网络设备运行日志,操作系统日志,数据库访问日志,业务系统日志通过收集后进行分析。
工业安全审计系统通过分析网络中的操作以及从各网络设备,操作系统,数据库,业务系统传输过来的日志发现网络中不合规操作,并进行记录。
4.5数据备份
定期对关键业务的数据进行备份,并实现历史归档数据的异地保存,关键主机设备,网络设备或者关键部件应当进行冗余配置。控制区的业务系统(应用)应当采用冗余方式。
建议将水电厂监控系统历史站的数据通过存储介质(磁盘阵列)定期(按照月,季度,或者年)进行保存,重要生产需要保存在水电厂所在地之外的地点,建议备份至上级单位的信息管理部门。电力监控系统的关键设备需进行冗余配置,其中包括历史站,操作员站,工程师站,以及通讯主机,网络链路等。
4.6恶意代码防范
建议电力监控系统系统的上位机(工程师站,操作员站,以及外设等设备)配置统一的终端安全管理软件,在生产控制大区内部署一套恶意代码管理服务器,通过该服务器向所有的终端安全管理软件推送恶意代码的特征规则。如图所示:
在应用方式上,更新特征码,查看查杀记录,恶意代码更新文件的安装应当经过测试。禁止生产控制大区与管理信息大区共用一套恶意代码管理服务器。
4.7内网安全监视
生产控制大区应当逐步推广内网安全监视功能,实时监测电力监控系统的计算机网络及安全设备运行状态,及时发现非法外联、外部入侵等安全事件并告警。
建议在完成以上安全防护方案后,进行内网安全监视平台的建设,通过已部署的安全设备以及软件,进行安全事件的关联分析,结合实际的业务逻辑以及安全模型,综合分析电力监控系统的中产生的各种事件,对整体的安全态势给出实时的预测。实现电力监控系统安全态势感知。
5.总结
安全的攻防是一个动态博弈的过程,正所谓“魔高一尺,道高一丈”,随着攻击手段和技术的更新,工控安全尤其是水电行业的在威胁防御深度和广度也是不断在拓展和延伸的,本文仅在现有的技术框架下探讨了水电厂的工控安全,但在未来,安全防控的发展方向也一定向智能化、主动防御的方向演进。虽然目前在工控安全领域还面临着这样和那样的问题,但随着工控核心部件的自主可控水平提高,国内对工控安全研究的不断深入和成熟,管理体制机制完善,我们由理由相信未来水电行业的工业控制系统将会更加智能,更加可靠,更加安全。
论文作者:吴宇飞,邓烜,邹志
论文发表刊物:《电力设备》2018年第29期
论文发表时间:2019/3/27
标签:工控论文; 系统论文; 电力论文; 水电厂论文; 监控系统论文; 网络论文; 大区论文; 《电力设备》2018年第29期论文;