夏 飛

（國網(wǎng)江蘇省電力公司 信息通信分公司，江蘇 南京 210024）

智能電網(wǎng)智能終端工控安全風(fēng)險分析及防護(hù)方案

夏 飛

（國網(wǎng)江蘇省電力公司 信息通信分公司，江蘇 南京 210024）

隨著智能電網(wǎng)和智慧能源城市的建設(shè)，電網(wǎng)企業(yè)將在非傳統(tǒng)區(qū)域部署大量的智能終端，這些智能終端一方面將實(shí)現(xiàn)與電網(wǎng)的靈活互動，另一方面也易于受到外界攻擊，因此智能終端的工控安全風(fēng)險愈發(fā)成為社會和企業(yè)關(guān)注的焦點(diǎn)。文章闡述了智能終端面臨的工控風(fēng)險，并介紹了目前可行的防護(hù)方案。

智能終端；工控安全；安全防護(hù)

智能電網(wǎng)依托在高度集成、友好互動的信息通信網(wǎng)絡(luò)，將海量分布的傳感器，通過復(fù)雜的控制和算法實(shí)現(xiàn)高效決策能力，最終達(dá)到安全、可靠、經(jīng)濟(jì)、高效、友好互動的使用目標(biāo)，其展現(xiàn)的優(yōu)秀性能已被各個國家重視和認(rèn)可。從21世紀(jì)開始，以美國和歐洲國家為代表的不同國家和組織都將智能電網(wǎng)視為未來電網(wǎng)的發(fā)展方向[1]。我國將于2020年初步建成智能電網(wǎng)體系[2]。

2010年6月震網(wǎng)（Stuxnet）病毒首次被探測，通過USB介質(zhì)在隔離的網(wǎng)絡(luò)間傳播，通過攻擊目標(biāo)是西門子SCADA的系統(tǒng)，達(dá)到定向攻擊基礎(chǔ)（能源）設(shè)施的目的。2015年烏克蘭發(fā)生了大規(guī)模停電事故，SCADA系統(tǒng)受到重創(chuàng)，經(jīng)調(diào)查，主要是系統(tǒng)內(nèi)部出現(xiàn)了BlackEnergy惡意軟件的變體BlackEnergyLite等惡意軟件，該惡意代碼經(jīng)電力二次系統(tǒng)進(jìn)行傳播，該事件被認(rèn)為是第一例網(wǎng)絡(luò)攻擊造成的大停電事件[3-4]。本文首先分析智能電網(wǎng)存在的工控安全風(fēng)險，然后詳細(xì)描述了智能電網(wǎng)智能終端的工控安全防護(hù)方案。

1 智能終端工控網(wǎng)絡(luò)安全風(fēng)險分析

1.1 智能電網(wǎng)安全標(biāo)準(zhǔn)缺乏

隨著智能電網(wǎng)規(guī)模的擴(kuò)大，海量終端分布在各地，原有控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)的將呈現(xiàn)融合連接的模式，電力系統(tǒng)結(jié)構(gòu)也會變得日益復(fù)雜，必然考驗(yàn)著電力系統(tǒng)的安全性和可靠性，同時海量終端的連接也將導(dǎo)致不同接口的數(shù)量增加，各個系統(tǒng)之間的數(shù)據(jù)交互也將呈現(xiàn)幾何級數(shù)量增長。傳統(tǒng)的電力系統(tǒng)內(nèi)部安全域劃分，很難適應(yīng)未來電力系統(tǒng)結(jié)構(gòu)的安全防護(hù)需求[5]。

1.2 電力智能終端引入信息安全風(fēng)險

在深入推進(jìn)智能電網(wǎng)建設(shè)同時，海量智能、可編程的設(shè)備將接入電網(wǎng)，通過對電網(wǎng)運(yùn)行的實(shí)時監(jiān)控，可以有效對故障點(diǎn)進(jìn)行定位和故障處理，提升電網(wǎng)系統(tǒng)穩(wěn)定性、可靠性。智能設(shè)備能夠支持遠(yuǎn)程控制，比如遠(yuǎn)程連接、斷開、配置、升級等。在信息技術(shù)發(fā)展帶來便利的同時，安全漏洞也同樣伴隨左右，通過入侵智能設(shè)備，黑客可以對設(shè)備進(jìn)行完全控制，對某些設(shè)備功能進(jìn)行破壞，甚至有可能控制局部電力系統(tǒng)，造成非常嚴(yán)重的后果。因此智能設(shè)備的分布式部署，對信息的安全整體防護(hù)提出了更加嚴(yán)格的要求[6-7]。

1.3 電網(wǎng)環(huán)境復(fù)雜化，攻擊手段智能化

智能電網(wǎng)的深入推進(jìn)，智能終端設(shè)備對網(wǎng)絡(luò)接入環(huán)境，網(wǎng)絡(luò)性能提出更高要求，隨之而來的是黑客對網(wǎng)絡(luò)攻擊也會大幅增加；無線技術(shù)（如WiFi，4G/3G/2G）為智能電網(wǎng)生產(chǎn)、管理、運(yùn)行等帶來網(wǎng)絡(luò)接入便利性同時，由于無線信號覆蓋范圍廣，基于無線網(wǎng)絡(luò)的安全比傳統(tǒng)有線網(wǎng)絡(luò)安全要求也會更高；目前，電力公司通過無線虛擬專網(wǎng)（通過使用移動、電信、聯(lián)通等無線公網(wǎng)）來傳輸重要數(shù)據(jù)，在一定條件下，也可能對智能電網(wǎng)安全性造成潛在威脅。預(yù)計在將來網(wǎng)絡(luò)的攻擊會呈現(xiàn)規(guī)?；徒M織化，攻擊手段也會多樣靈活，勢必會給電力網(wǎng)絡(luò)安全帶來新的考驗(yàn)。

1.4 用戶側(cè)的安全威脅

在“兩化”融合的深入推進(jìn)下，用戶和電網(wǎng)之間會實(shí)現(xiàn)信息友好雙向互動。依托AMI系統(tǒng)，用戶側(cè)的智能終端及設(shè)備（比如智能電器、插拔式電動車等）將與電力系統(tǒng)實(shí)現(xiàn)直連，這些連接模式勢必會為用戶帶來不可知的安全隱患：用戶與電力公司的信息交互通過公網(wǎng)進(jìn)行傳輸，傳輸通過公網(wǎng)進(jìn)行，不可避免地會帶來信息安全隱患；家用智能設(shè)備充分也暴露在電力系統(tǒng)中，容易受到不法分子的攻擊。除此之外智能電網(wǎng)的信息安全問題還涉及其他因素，如心懷不滿的員工、工業(yè)間諜和恐怖分子發(fā)動的攻擊，而且還必須涉及因用戶錯誤、設(shè)備故障和自然災(zāi)害引起的對信息基礎(chǔ)設(shè)施的無意破壞。智能電網(wǎng)天然的復(fù)雜性和脆弱性，會使不法分子通過一定的手段進(jìn)入到電力網(wǎng)絡(luò)內(nèi)部，控制電力生產(chǎn)系統(tǒng)，破壞電力負(fù)荷條件，極端情況下會造成電網(wǎng)癱瘓。

1.5 工業(yè)控制系統(tǒng)漏洞多

在智能電網(wǎng)的發(fā)展下，SCADA系統(tǒng)用于電力的調(diào)度和支持，物聯(lián)網(wǎng)網(wǎng)的融合發(fā)展，工業(yè)控制系統(tǒng)存在較多的漏洞。工業(yè)控制系統(tǒng)的漏洞類型如圖1所示。

工作站操作系統(tǒng)漏洞，工控系統(tǒng)建成后幾乎不升級操作系統(tǒng)，存在較多漏洞。應(yīng)用軟件漏洞，工控軟件一般和殺毒軟件存在沖突，工控網(wǎng)絡(luò)基本未暗轉(zhuǎn)殺毒軟件，病毒可以存在與工控網(wǎng)絡(luò)，應(yīng)用軟件的漏洞通常較容易識別，一旦系統(tǒng)暴露到公共網(wǎng)絡(luò)，后果不堪設(shè)想。網(wǎng)絡(luò)協(xié)議漏洞，工控網(wǎng)絡(luò)大都基于TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議，而目前的OPC服務(wù)器等關(guān)鍵協(xié)議交換設(shè)備依賴于外國進(jìn)口，而為了工程服務(wù)的需要，廠家通常會預(yù)留后門，一旦爆發(fā)信息戰(zhàn)，主動權(quán)必然在設(shè)備廠商手中。安全管理漏洞，項(xiàng)目建設(shè)中，通常會有不同的人接觸并操作工控設(shè)備，使用不同的外設(shè)設(shè)備如U盤，筆記本連接等，都有可能讓病毒有可乘之機(jī)。病毒防護(hù)設(shè)備漏洞，目前市場上的病毒防護(hù)設(shè)備安全等級參差不齊，這些設(shè)備既是防護(hù)設(shè)備，也是攻擊源頭。網(wǎng)絡(luò)端口使用漏洞，工控設(shè)備在投運(yùn)后，各種控制網(wǎng)絡(luò)端口并不一定都會采用專用元件進(jìn)行密封操作，很可能會有不恰當(dāng)?shù)娜藛T在沒有專門培訓(xùn)的前提下隨意插入外設(shè)設(shè)備，帶來潛在攻擊風(fēng)險。操作行為漏洞，由于現(xiàn)場監(jiān)控工作的枯燥性，現(xiàn)場時常有一些年輕的未經(jīng)過專業(yè)培訓(xùn)的操作員，在夜間值班期間將工作站非法連接公共網(wǎng)絡(luò)，給外部攻擊以可乘之機(jī)。

2 智能電網(wǎng)工控網(wǎng)絡(luò)安全防護(hù)方案

基于第二章的風(fēng)險分析，智能電網(wǎng)更多的風(fēng)險暴露于面向用戶側(cè)和末端的智能終端設(shè)備，包括智能交互終端、電力機(jī)器人、可編程設(shè)備、智能電表、智能電器、插拔式電動車等。用電信息采集系統(tǒng)是智能設(shè)備的典型應(yīng)用，本章節(jié)將結(jié)合用電信息采集系統(tǒng)的安全防護(hù)方案概括智能電網(wǎng)安全防護(hù)方案。

2.1 安全防護(hù)總體架構(gòu)

智能電網(wǎng)信息管理大區(qū)信息系統(tǒng)的安全防護(hù)模型如圖2所示，在信息內(nèi)網(wǎng)中獨(dú)立成域，按照三級防護(hù)原則進(jìn)行安全防護(hù)設(shè)計。

在不同主站系統(tǒng)之間，通過遠(yuǎn)程安全加密通道、身份認(rèn)證、網(wǎng)絡(luò)邊界安全防護(hù)、隔離裝置等安全措施，為應(yīng)用系統(tǒng)提供數(shù)據(jù)源認(rèn)證、抗回放、數(shù)據(jù)加密、數(shù)據(jù)完整性驗(yàn)證等多種可靠的安全防護(hù)，全方面地網(wǎng)絡(luò)安全防護(hù)有效保護(hù)網(wǎng)絡(luò)中可能存在的各種威脅，從而有效保障相關(guān)數(shù)據(jù)的安全性或網(wǎng)絡(luò)誘騙以防止從內(nèi)部網(wǎng)絡(luò)信息等攻擊。

圖1 工控系統(tǒng)漏洞類型圖

圖2 信息管理大區(qū)安全防護(hù)框架

安全防護(hù)體系總體原則：信息內(nèi)網(wǎng)和信息外網(wǎng)之間采用邏輯強(qiáng)隔離設(shè)備進(jìn)行強(qiáng)隔離；信息系統(tǒng)間的遠(yuǎn)程傳輸采用網(wǎng)絡(luò)加密系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩院屯暾?、對終端和用戶身份進(jìn)行嚴(yán)格驗(yàn)證，保證用戶身份的唯一性和真實(shí)性。信息系統(tǒng)通過劃分為邊界、網(wǎng)絡(luò)環(huán)境、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)4個層次進(jìn)行安全防護(hù)設(shè)計，以實(shí)現(xiàn)層層遞進(jìn)，縱深防御。

2.2 智能終端的安全防護(hù)方案

智能終端安全防護(hù)的主要思路為：

（1）在主站系統(tǒng)的內(nèi)部通過部署防病毒中心Server，在PC、服務(wù)器上部署防病毒Client，有效杜絕非法代碼、潛在的病毒威脅和攻擊。

（2）在主站系統(tǒng)邊界部署兩套防火墻，實(shí)現(xiàn)邊界的安全隔離和安全策略防護(hù)。

（3）在服務(wù)器上部署安全增強(qiáng)系統(tǒng)以增強(qiáng)其安全性，保證相關(guān)數(shù)據(jù)安全。

（4）在系統(tǒng)內(nèi)部部署一套安全審計系統(tǒng)，對相關(guān)服務(wù)器和終端的運(yùn)行、操作、維護(hù)等行為進(jìn)行長期有限監(jiān)控，及時發(fā)現(xiàn)異常操作。

（5）部署基于工控系統(tǒng)網(wǎng)絡(luò)的監(jiān)測審計平臺，對網(wǎng)絡(luò)中的工控協(xié)議數(shù)據(jù)進(jìn)行跟蹤審計，及時發(fā)現(xiàn)協(xié)議的篡改，協(xié)議攻擊等行為。

（6）IDS系統(tǒng)與主站系統(tǒng)的核心交換機(jī)直連，通過旁路的方式及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的可疑流量。

（7）漏洞掃描系統(tǒng)部署在核心交換機(jī)上，實(shí)現(xiàn)定期地對設(shè)備終端、服務(wù)器可能存在的漏洞進(jìn)行掃描整理，及時打補(bǔ)丁完善。

（8）在各主站系統(tǒng)處部署兩臺高速主機(jī)密碼機(jī)，在專變終端、集中器和用戶電能表處部署安全模塊，實(shí)現(xiàn)應(yīng)用層數(shù)據(jù)完整性、機(jī)密性、可用性和可靠性保護(hù)。

2.2.1 邊界防護(hù)

邊界安全防護(hù)關(guān)注如何對進(jìn)出該邊界的數(shù)據(jù)流進(jìn)行有效的檢測和控制。如圖3所示，智能電網(wǎng)網(wǎng)絡(luò)邊界歸為信息外網(wǎng)第三方邊界、信息內(nèi)網(wǎng)第三方邊界、信息內(nèi)外網(wǎng)第三方邊界、信息內(nèi)網(wǎng)縱向上下級單位邊界及橫向域間邊界5類。電力用戶用電信息采集系統(tǒng)部署在信息內(nèi)網(wǎng)，其邊界可劃分成信息內(nèi)網(wǎng)第三方邊界、信息內(nèi)外網(wǎng)邊界、信息內(nèi)網(wǎng)縱向上下級單位邊界及橫向域間邊界4類。

2.2.2 網(wǎng)絡(luò)環(huán)境安全防護(hù)

網(wǎng)絡(luò)環(huán)境安全防護(hù)面向智能電網(wǎng)整體支撐性網(wǎng)絡(luò)，以及為各安全域提供網(wǎng)絡(luò)支撐平臺的網(wǎng)絡(luò)環(huán)境設(shè)施，網(wǎng)絡(luò)環(huán)境具體包括網(wǎng)絡(luò)中提供連接的路由、交換設(shè)備以及安全防護(hù)體系建設(shè)所引入的安全設(shè)備、網(wǎng)絡(luò)基礎(chǔ)服務(wù)設(shè)施。關(guān)鍵的網(wǎng)絡(luò)和安全設(shè)備實(shí)現(xiàn)自主可控替代，網(wǎng)絡(luò)的鏈路通訊實(shí)現(xiàn)數(shù)據(jù)的加密處理。

2.2.3 主機(jī)系統(tǒng)安全防護(hù)

主機(jī)系統(tǒng)安全防護(hù)包括對服務(wù)器及桌面終端的安全防護(hù)，服務(wù)器包括業(yè)務(wù)應(yīng)用服務(wù)器、網(wǎng)絡(luò)服務(wù)器、Web服務(wù)器、文件與通信等；桌面終端包括作為終端用戶工作站的臺式機(jī)與筆記本計算機(jī)。

主機(jī)系統(tǒng)的防護(hù)主要包含及時修復(fù)操作系統(tǒng)補(bǔ)丁，安裝殺毒軟件并保持病毒庫的更新，關(guān)閉不必要的服務(wù)，設(shè)置密碼策略，賬戶鎖定策略，開啟系統(tǒng)的日志審計等。

對于工控網(wǎng)絡(luò)中的上位機(jī)、操作員站、工程師站等主機(jī)，由于與殺毒軟件存在兼容性問題，可以在該類系統(tǒng)上部署關(guān)鍵文件保護(hù)程序，實(shí)現(xiàn)白名單殺毒方式，保護(hù)關(guān)鍵文件，發(fā)現(xiàn)對關(guān)鍵文件進(jìn)行修改的程序啟動保護(hù)。

2.2.4 應(yīng)用安全防護(hù)

應(yīng)用安全防護(hù)包括對于主站應(yīng)用系統(tǒng)本身的防護(hù)，用戶接口安全防護(hù)、系統(tǒng)間數(shù)據(jù)接口的安全防護(hù)、系統(tǒng)內(nèi)數(shù)據(jù)接口的安全防護(hù)。應(yīng)用安全防護(hù)的目標(biāo)是通過采取身份認(rèn)證、訪問控制等安全措施，保證應(yīng)用系統(tǒng)自身的安全性，以及與其他系統(tǒng)進(jìn)行數(shù)據(jù)交互時所傳輸數(shù)據(jù)的安全性；采取審計措施在安全事件發(fā)生前發(fā)現(xiàn)入侵企圖或在安全事件發(fā)生后進(jìn)行審計追蹤。

3 結(jié)語

本文就智能電網(wǎng)的工控網(wǎng)絡(luò)存在的風(fēng)險和防護(hù)方法進(jìn)行了介紹，由于智能電網(wǎng)特別是智能終端的研究和建設(shè)處于起步階段，智能終端存在較多的薄弱環(huán)節(jié)，物理設(shè)施和網(wǎng)絡(luò)通信體制還處于融合階段，智能終端由于部署在非電網(wǎng)企業(yè)傳統(tǒng)管理區(qū)域往往成為惡意用戶的攻擊首選，因此需要特別注意智能終端的安全防護(hù)。

圖3 智能電網(wǎng)系統(tǒng)邊界示意圖

[1]張文亮，劉壯志，王明俊，等.智能電網(wǎng)的研究進(jìn)展及發(fā)展趨勢[J].電網(wǎng)技術(shù)，2009（13）： 1-11.

[2]馬偉.2020 年初步建成智能電網(wǎng)體系[J].科技中國，2015（7）：32-35.

[3]新華網(wǎng).2020年初步建成智能電網(wǎng)體系[EB/OL].（2016-11-25）[2015-07-17].http：//news.xinhuanet.com/energy/2015-07/17/c_128029351. htm.

[4]曹軍威，萬宇鑫，涂國煜，等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計算機(jī)學(xué)報，2013（1）：143-167.

[5]湯奕，王琦，倪明，等.電力信息物理融合系統(tǒng)中的網(wǎng)絡(luò)攻擊分析[J].電力系統(tǒng)自動化，2016（6）：4.

[6] DEPURU S S S R，Wang L，Devabhaktuni V.Support vector machine based data classification for detection of electricity theft[C]. Power Systems Conference and Exposition, 2011：1-8.

[7]BABU V, NICOL D M.Detection of x86 malware in AMI data payloads[C].2015 IEEE International Conference on Smart Grid Communications, Smart Grid Communication, 2015：617-622.

Risk analysis and protection scheme of industrial control in smart grid terminal

Xia Fei
（Information and Communications Branch of Jiangsu Electric Power Company, Nanjing 210024, China）

With the construction of smart grid and smart energy city, power grid enterprises will deploy a large number of intelligent terminal in non-traditional areas. On one hand, these intelligent terminal will achieve a flexible interaction with the grid, on the other hand, they are vulnerable to outside attacks, therefore, the intelligent terminal industrial security risks increasingly become the focus of attention of society and enterprises. This paper describes the risk of industrial control of the intelligent terminal, and introduces the current feasible protection scheme.

intelligent terminal; industrial control safety; safety protection

夏飛（1981— ），男，江蘇句容，本科，工程師；研究方向：網(wǎng)絡(luò)通信。