高俊彥 曾 麟 鄭曉鐘 陳志民/國網(wǎng)廈門供電公司

關(guān)于如何進(jìn)一步強(qiáng)化電力自動化安全防護(hù)措施探討

高俊彥 曾 麟 鄭曉鐘 陳志民/國網(wǎng)廈門供電公司

隨著電網(wǎng)智能化程度的不斷提升，電力系統(tǒng)對網(wǎng)絡(luò)的依賴程度也越來越高，本文探討在做好國網(wǎng)“十六字”安全防護(hù)總體策略的同時，對現(xiàn)有電力系統(tǒng)安全防護(hù)體系進(jìn)一步強(qiáng)化，以保障電網(wǎng)安全運(yùn)行。

電力系統(tǒng)；網(wǎng)絡(luò)設(shè)備；安全防護(hù)

引言

當(dāng)前國網(wǎng)電力系統(tǒng)已經(jīng)進(jìn)入”電力流、信息流、業(yè)務(wù)流“高度融合的智能電網(wǎng)階段，隨著電網(wǎng)調(diào)度控制系統(tǒng)功能不斷豐富、調(diào)度數(shù)據(jù)網(wǎng)覆蓋范圍的擴(kuò)展以及對相關(guān)應(yīng)用的用戶數(shù)量的增長，使得電力監(jiān)控系統(tǒng)信息安全威脅來源愈發(fā)多元化。當(dāng)前國際上已經(jīng)出現(xiàn)針對電網(wǎng)系統(tǒng)從地市級乃至國家級網(wǎng)絡(luò)攻擊案例。因此在圍繞2002年國家 “863”項(xiàng)目由“國家電網(wǎng)調(diào)度中心安全防護(hù)體系研究及示范”提出了我國電力系統(tǒng)信息安全防護(hù)總體策略的十六字方針：“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。本文探討在全面落實(shí)十六字安全方針的基礎(chǔ)上，在地市局電力企業(yè)層面如何進(jìn)一步強(qiáng)化電網(wǎng)監(jiān)控系統(tǒng)信息安全，使之成為電力生產(chǎn)網(wǎng)絡(luò)重大保電項(xiàng)目的一個重要保障。

一、當(dāng)前電力系統(tǒng)所面臨的網(wǎng)絡(luò)安全風(fēng)險

目前針對電力系統(tǒng)信息安全主要攻擊網(wǎng)絡(luò)途徑有：

1.遠(yuǎn)程非法突破網(wǎng)絡(luò)邊界，利用通用網(wǎng)絡(luò)服務(wù)進(jìn)入內(nèi)部網(wǎng)絡(luò)和系統(tǒng)；

2.繞過過建筑物、機(jī)房等基礎(chǔ)設(shè)施的物理安全防護(hù)，直接接觸內(nèi)部網(wǎng)絡(luò)或主機(jī)，從內(nèi)部網(wǎng)絡(luò)設(shè)備的端口和串口，主機(jī)設(shè)備的USB接口、串口和光驅(qū)進(jìn)入系統(tǒng)；

3.越過建筑物、機(jī)房等基礎(chǔ)設(shè)施的物理安全防護(hù)，直接接觸內(nèi)部網(wǎng)絡(luò)或主機(jī)的輸入輸出設(shè)備，冒用合法用戶或超越自身用戶權(quán)限（軟件安裝、程序運(yùn)行、配置變更、應(yīng)用操作）。

二、如何加強(qiáng)電力系統(tǒng)安全防護(hù)

（一）在保障數(shù)據(jù)可靠方面

地市級電網(wǎng)調(diào)控作為調(diào)度數(shù)據(jù)網(wǎng)的接入層，縱向向上可達(dá)省調(diào)監(jiān)控中心向下則鄰接各個220kV變電站乃至110kV、35kV變電站，數(shù)據(jù)傳輸?shù)谋Ｃ苄酝ㄟ^縱向加密裝置對業(yè)務(wù)流進(jìn)行非對稱加解密處理，其算法使用國密局為電力專用的sxx06算法，使得傳輸?shù)臉I(yè)務(wù)流具有”看不懂、改不了“的特性。但縱向加密系統(tǒng)就像個向下扣在桌上玻璃杯，四周嚴(yán)密但下方與桌面的接縫卻存在一定的空隙。這個縫隙正是分布在各地區(qū)的無人值守變電站和電廠，這些地方由于無人值守的機(jī)制，導(dǎo)致現(xiàn)場人員、管控手段的缺乏，往往會成為安全防護(hù)的突破口。因此有必要在縱向加密之外，在變電站的站控層級進(jìn)行小區(qū)域的業(yè)務(wù)過濾和安全判斷，例如首先可以通過網(wǎng)管軟件對各站之間網(wǎng)絡(luò)端口流量進(jìn)行監(jiān)測對發(fā)現(xiàn)的流量異常行為及時排查，其次可以采用在核心變電站場站安裝網(wǎng)絡(luò)風(fēng)險監(jiān)測裝置對遠(yuǎn)動機(jī)、保護(hù)裝置間網(wǎng)絡(luò)通訊進(jìn)行監(jiān)測、監(jiān)測異常u盤插入等行為，并通過調(diào)度數(shù)據(jù)網(wǎng)絡(luò)將異常數(shù)據(jù)上傳到內(nèi)網(wǎng)安全監(jiān)視平臺，對危害行為提前感知。

（二）在減少危害方面

除了在大區(qū)之間正反向隔離裝置、安全區(qū)防火墻過濾、服務(wù)器、工程作業(yè)機(jī)終端補(bǔ)丁加固等傳統(tǒng)做法外，還應(yīng)根據(jù)地理分布范圍、人員使用情況、使用重要性等進(jìn)行劃分，實(shí)現(xiàn)小區(qū)域的安全防護(hù)；例如：

1.在調(diào)控主站與其外延伸到各運(yùn)維中心的交換機(jī)之間架設(shè)防火墻，防御外來安全管控較薄弱區(qū)域可能攻擊；

2.在大樓內(nèi)部不同部門間交換機(jī)上啟用軟件防火墻策略限定指定端口，以限制局部區(qū)域的病毒傳播；

3.對接入硬件mac地址進(jìn)行限定等手段限制危害擴(kuò)展；

4.針對變電站數(shù)量多，安全防護(hù)設(shè)備難以全面部署的情況，啟用軟防火墻策略過濾的手段以彌補(bǔ)硬件數(shù)量不足的缺口。

5.在window系統(tǒng)設(shè)備上不僅應(yīng)安裝必要安防軟件，更為重要的是考慮到軟件系統(tǒng)自身系統(tǒng)缺陷也可能成為薄弱點(diǎn)，如在每次升級前，使用離線測試機(jī)監(jiān)測對生產(chǎn)業(yè)務(wù)系統(tǒng)的影響；正式升級時，對業(yè)務(wù)系統(tǒng)設(shè)備升級分批次分時段進(jìn)行，以避免出現(xiàn)系統(tǒng)業(yè)務(wù)或終端全面癱瘓的安全事故。

（三）組建安全信任體系

近年來大量新型攻擊方式不斷涌現(xiàn)，“震網(wǎng)”“火焰”以及“BlackEnergy”等一批惡意代碼均為電力系統(tǒng)量身定制，擴(kuò)散及破壞非常隱蔽，能突破傳統(tǒng)的以隔離為主的安全防護(hù)體系。隨著安全威脅代碼庫規(guī)模的迅速增長，使得電網(wǎng)企業(yè)以往主要依賴定期升級病毒庫的查殺手段存在滯后性，面對數(shù)量規(guī)模數(shù)萬級、快速增長的病毒木馬和新出現(xiàn)的未知惡意代碼時拙荊見肘。

在“攔不住、查不清”的情況下，面臨被攻進(jìn)來怎么辦的情況？這時通過“計(jì)算＋保護(hù)”的雙計(jì)算體系，建立可信的計(jì)算環(huán)境，將調(diào)度數(shù)字證書和安全標(biāo)簽技術(shù)融入SCADA控制的各個環(huán)節(jié)，形成自動識別“自我”和“非我”程序的安全免疫機(jī)制。將成為未來電網(wǎng)安全防護(hù)重點(diǎn)發(fā)展的方向，目前主要可信計(jì)算包括以下六個方面：

1.基于白名單的靜態(tài)可信度量.

通過白名單機(jī)制對系統(tǒng)中所有裝載的可執(zhí)行文件代碼（例如，EXE、DLL、COM等）進(jìn)行控制； 在程序加載前先進(jìn)入驗(yàn)證過程：程序有簽名時，對可執(zhí)行文件、動態(tài)庫、內(nèi)核模塊文件進(jìn)行驗(yàn)簽，通過白名單驗(yàn)證軟件的完整性、來源和檢測情況；沒有簽名時，對可執(zhí)行文件、動態(tài)庫、內(nèi)核模塊文件進(jìn)行摘要計(jì)算，通過白名單驗(yàn)證軟件的完整性；

2.軟件版本管理.

由電力調(diào)度數(shù)字證書系統(tǒng)根證書依次派生出開發(fā)證書、檢測證書、可信管理中心平臺證書和管理員身份驗(yàn)證證書；針對軟件開發(fā)、檢測、管理員登錄、策略模板等環(huán)節(jié)進(jìn)行驗(yàn)簽和身份鑒別；

3.可信網(wǎng)絡(luò)連接.

當(dāng)客戶端A業(yè)務(wù)訪問請求客戶端B時，需要先建立雙向認(rèn)證的可信連接，通過認(rèn)證后，允許建立業(yè)務(wù)連接。

4.動態(tài)度量.

對運(yùn)行狀態(tài)中的內(nèi)核關(guān)鍵數(shù)據(jù)及進(jìn)程狀態(tài)進(jìn)程度量。其中，度量對象包括操作系統(tǒng)內(nèi)核的代碼段、只讀數(shù)據(jù)段、關(guān)鍵跳轉(zhuǎn)表和應(yīng)用層的進(jìn)程代碼段。除了為可信證明機(jī)制提供支撐外，內(nèi)核度量功能主要服務(wù)于可信軟件基的自身保護(hù)機(jī)制，應(yīng)用度量功能主要服務(wù)于訪問控制機(jī)制。

5.強(qiáng)制執(zhí)行控制.

目標(biāo)是對特定代碼的執(zhí)行進(jìn)行限制，阻止其被惡意侵入的進(jìn)程或誤操作啟動。即，要求指定程序/動態(tài)庫不能在指定方式以外的情況下執(zhí)行/加載。可信計(jì)算安全模塊將系統(tǒng)公有庫及基本應(yīng)用劃分為公有域，同時，將不同應(yīng)用劃分為不同的私有域集合；默認(rèn)情況下，公有域不能執(zhí)行私有域中的代碼，私有域間也不允許互相調(diào)用；

6.系統(tǒng)配置管理.

依據(jù)智能電網(wǎng)調(diào)度控制系統(tǒng)中的“執(zhí)行、立法、監(jiān)督”三權(quán)分立原則以及最小特權(quán)和權(quán)值分離原則，將系統(tǒng)的超級管理員特權(quán)劃分為系統(tǒng)管理員、安全管理員以及審計(jì)管理員。

三、結(jié)語

網(wǎng)絡(luò)病毒危險源是隨著計(jì)算機(jī)技術(shù)的發(fā)展不斷演變的，因此電網(wǎng)企業(yè)網(wǎng)絡(luò)安防工作始終在路上。只有在不斷細(xì)化現(xiàn)有安全措施的情況下，不斷強(qiáng)化人為操作的信任、軟件自身操作行為再判斷這兩個方面的工作，才能以不變應(yīng)萬變，提升系統(tǒng)自身免疫力。

[1]鄧建成.變電運(yùn)維工作的安全風(fēng)險分析與管理實(shí)踐[J].經(jīng)營管理者.2013(30):96-96.