高俊彥 曾 麟 鄭曉鐘 陳志民/國網(wǎng)廈門供電公司

關(guān)于如何進一步強化電力自動化安全防護措施探討

高俊彥 曾 麟 鄭曉鐘 陳志民/國網(wǎng)廈門供電公司

隨著電網(wǎng)智能化程度的不斷提升，電力系統(tǒng)對網(wǎng)絡的依賴程度也越來越高，本文探討在做好國網(wǎng)“十六字”安全防護總體策略的同時，對現(xiàn)有電力系統(tǒng)安全防護體系進一步強化，以保障電網(wǎng)安全運行。

電力系統(tǒng)；網(wǎng)絡設備；安全防護

引言

當前國網(wǎng)電力系統(tǒng)已經(jīng)進入”電力流、信息流、業(yè)務流“高度融合的智能電網(wǎng)階段，隨著電網(wǎng)調(diào)度控制系統(tǒng)功能不斷豐富、調(diào)度數(shù)據(jù)網(wǎng)覆蓋范圍的擴展以及對相關(guān)應用的用戶數(shù)量的增長，使得電力監(jiān)控系統(tǒng)信息安全威脅來源愈發(fā)多元化。當前國際上已經(jīng)出現(xiàn)針對電網(wǎng)系統(tǒng)從地市級乃至國家級網(wǎng)絡攻擊案例。因此在圍繞2002年國家 “863”項目由“國家電網(wǎng)調(diào)度中心安全防護體系研究及示范”提出了我國電力系統(tǒng)信息安全防護總體策略的十六字方針：“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”。本文探討在全面落實十六字安全方針的基礎上，在地市局電力企業(yè)層面如何進一步強化電網(wǎng)監(jiān)控系統(tǒng)信息安全，使之成為電力生產(chǎn)網(wǎng)絡重大保電項目的一個重要保障。

一、當前電力系統(tǒng)所面臨的網(wǎng)絡安全風險

目前針對電力系統(tǒng)信息安全主要攻擊網(wǎng)絡途徑有：

1.遠程非法突破網(wǎng)絡邊界，利用通用網(wǎng)絡服務進入內(nèi)部網(wǎng)絡和系統(tǒng)；

2.繞過過建筑物、機房等基礎設施的物理安全防護，直接接觸內(nèi)部網(wǎng)絡或主機，從內(nèi)部網(wǎng)絡設備的端口和串口，主機設備的USB接口、串口和光驅(qū)進入系統(tǒng)；

3.越過建筑物、機房等基礎設施的物理安全防護，直接接觸內(nèi)部網(wǎng)絡或主機的輸入輸出設備，冒用合法用戶或超越自身用戶權(quán)限（軟件安裝、程序運行、配置變更、應用操作）。

二、如何加強電力系統(tǒng)安全防護

（一）在保障數(shù)據(jù)可靠方面

地市級電網(wǎng)調(diào)控作為調(diào)度數(shù)據(jù)網(wǎng)的接入層，縱向向上可達省調(diào)監(jiān)控中心向下則鄰接各個220kV變電站乃至110kV、35kV變電站，數(shù)據(jù)傳輸?shù)谋Ｃ苄酝ㄟ^縱向加密裝置對業(yè)務流進行非對稱加解密處理，其算法使用國密局為電力專用的sxx06算法，使得傳輸?shù)臉I(yè)務流具有”看不懂、改不了“的特性。但縱向加密系統(tǒng)就像個向下扣在桌上玻璃杯，四周嚴密但下方與桌面的接縫卻存在一定的空隙。這個縫隙正是分布在各地區(qū)的無人值守變電站和電廠，這些地方由于無人值守的機制，導致現(xiàn)場人員、管控手段的缺乏，往往會成為安全防護的突破口。因此有必要在縱向加密之外，在變電站的站控層級進行小區(qū)域的業(yè)務過濾和安全判斷，例如首先可以通過網(wǎng)管軟件對各站之間網(wǎng)絡端口流量進行監(jiān)測對發(fā)現(xiàn)的流量異常行為及時排查，其次可以采用在核心變電站場站安裝網(wǎng)絡風險監(jiān)測裝置對遠動機、保護裝置間網(wǎng)絡通訊進行監(jiān)測、監(jiān)測異常u盤插入等行為，并通過調(diào)度數(shù)據(jù)網(wǎng)絡將異常數(shù)據(jù)上傳到內(nèi)網(wǎng)安全監(jiān)視平臺，對危害行為提前感知。

（二）在減少危害方面

除了在大區(qū)之間正反向隔離裝置、安全區(qū)防火墻過濾、服務器、工程作業(yè)機終端補丁加固等傳統(tǒng)做法外，還應根據(jù)地理分布范圍、人員使用情況、使用重要性等進行劃分，實現(xiàn)小區(qū)域的安全防護；例如：

1.在調(diào)控主站與其外延伸到各運維中心的交換機之間架設防火墻，防御外來安全管控較薄弱區(qū)域可能攻擊；

2.在大樓內(nèi)部不同部門間交換機上啟用軟件防火墻策略限定指定端口，以限制局部區(qū)域的病毒傳播；

3.對接入硬件mac地址進行限定等手段限制危害擴展；

4.針對變電站數(shù)量多，安全防護設備難以全面部署的情況，啟用軟防火墻策略過濾的手段以彌補硬件數(shù)量不足的缺口。

5.在window系統(tǒng)設備上不僅應安裝必要安防軟件，更為重要的是考慮到軟件系統(tǒng)自身系統(tǒng)缺陷也可能成為薄弱點，如在每次升級前，使用離線測試機監(jiān)測對生產(chǎn)業(yè)務系統(tǒng)的影響；正式升級時，對業(yè)務系統(tǒng)設備升級分批次分時段進行，以避免出現(xiàn)系統(tǒng)業(yè)務或終端全面癱瘓的安全事故。

（三）組建安全信任體系

近年來大量新型攻擊方式不斷涌現(xiàn)，“震網(wǎng)”“火焰”以及“BlackEnergy”等一批惡意代碼均為電力系統(tǒng)量身定制，擴散及破壞非常隱蔽，能突破傳統(tǒng)的以隔離為主的安全防護體系。隨著安全威脅代碼庫規(guī)模的迅速增長，使得電網(wǎng)企業(yè)以往主要依賴定期升級病毒庫的查殺手段存在滯后性，面對數(shù)量規(guī)模數(shù)萬級、快速增長的病毒木馬和新出現(xiàn)的未知惡意代碼時拙荊見肘。

在“攔不住、查不清”的情況下，面臨被攻進來怎么辦的情況？這時通過“計算＋保護”的雙計算體系，建立可信的計算環(huán)境，將調(diào)度數(shù)字證書和安全標簽技術(shù)融入SCADA控制的各個環(huán)節(jié)，形成自動識別“自我”和“非我”程序的安全免疫機制。將成為未來電網(wǎng)安全防護重點發(fā)展的方向，目前主要可信計算包括以下六個方面：

1.基于白名單的靜態(tài)可信度量.

通過白名單機制對系統(tǒng)中所有裝載的可執(zhí)行文件代碼（例如，EXE、DLL、COM等）進行控制； 在程序加載前先進入驗證過程：程序有簽名時，對可執(zhí)行文件、動態(tài)庫、內(nèi)核模塊文件進行驗簽，通過白名單驗證軟件的完整性、來源和檢測情況；沒有簽名時，對可執(zhí)行文件、動態(tài)庫、內(nèi)核模塊文件進行摘要計算，通過白名單驗證軟件的完整性；

2.軟件版本管理.

由電力調(diào)度數(shù)字證書系統(tǒng)根證書依次派生出開發(fā)證書、檢測證書、可信管理中心平臺證書和管理員身份驗證證書；針對軟件開發(fā)、檢測、管理員登錄、策略模板等環(huán)節(jié)進行驗簽和身份鑒別；

3.可信網(wǎng)絡連接.

當客戶端A業(yè)務訪問請求客戶端B時，需要先建立雙向認證的可信連接，通過認證后，允許建立業(yè)務連接。

4.動態(tài)度量.

對運行狀態(tài)中的內(nèi)核關(guān)鍵數(shù)據(jù)及進程狀態(tài)進程度量。其中，度量對象包括操作系統(tǒng)內(nèi)核的代碼段、只讀數(shù)據(jù)段、關(guān)鍵跳轉(zhuǎn)表和應用層的進程代碼段。除了為可信證明機制提供支撐外，內(nèi)核度量功能主要服務于可信軟件基的自身保護機制，應用度量功能主要服務于訪問控制機制。

5.強制執(zhí)行控制.

目標是對特定代碼的執(zhí)行進行限制，阻止其被惡意侵入的進程或誤操作啟動。即，要求指定程序/動態(tài)庫不能在指定方式以外的情況下執(zhí)行/加載?？尚庞嬎惆踩K將系統(tǒng)公有庫及基本應用劃分為公有域，同時，將不同應用劃分為不同的私有域集合；默認情況下，公有域不能執(zhí)行私有域中的代碼，私有域間也不允許互相調(diào)用；

6.系統(tǒng)配置管理.

依據(jù)智能電網(wǎng)調(diào)度控制系統(tǒng)中的“執(zhí)行、立法、監(jiān)督”三權(quán)分立原則以及最小特權(quán)和權(quán)值分離原則，將系統(tǒng)的超級管理員特權(quán)劃分為系統(tǒng)管理員、安全管理員以及審計管理員。

三、結(jié)語

網(wǎng)絡病毒危險源是隨著計算機技術(shù)的發(fā)展不斷演變的，因此電網(wǎng)企業(yè)網(wǎng)絡安防工作始終在路上。只有在不斷細化現(xiàn)有安全措施的情況下，不斷強化人為操作的信任、軟件自身操作行為再判斷這兩個方面的工作，才能以不變應萬變，提升系統(tǒng)自身免疫力。

[1]鄧建成.變電運維工作的安全風險分析與管理實踐[J].經(jīng)營管理者.2013(30):96-96.