張智慧 牛喜民 趙鳳偉

（1.華能濟(jì)寧高新區(qū)熱電有限公司，山東濟(jì)寧272000；2.華能新疆能源開發(fā)有限公司塔什店發(fā)電廠，新疆巴音郭楞841000；3.北京鎧撒信息技術(shù)有限公司，北京101199）

0 引言

電力系統(tǒng)業(yè)務(wù)復(fù)雜、網(wǎng)絡(luò)連接復(fù)雜、相關(guān)運(yùn)維人員復(fù)雜，如何有效應(yīng)對(duì)APT攻擊？筆者認(rèn)為應(yīng)該從電力系統(tǒng)安全架構(gòu)設(shè)計(jì)入手，建立安全有彈性的符合等保體系的安全架構(gòu)，加強(qiáng)企業(yè)安全策略，從項(xiàng)目建設(shè)階段到系統(tǒng)運(yùn)維階段全生命周期地做好網(wǎng)絡(luò)信息安全保障。如何建立有效的電力系統(tǒng)安全架構(gòu)？

1 打造基礎(chǔ)設(shè)施安全、應(yīng)用安全、數(shù)據(jù)安全、業(yè)務(wù)安全的層級(jí)架構(gòu)基礎(chǔ)

圍繞以PKI/CA為中心的基于證書的安全認(rèn)證、通信機(jī)制，實(shí)現(xiàn)等保二級(jí)的審計(jì)系統(tǒng)、等保三級(jí)的強(qiáng)制訪問控制以及等保四級(jí)的可信任計(jì)算，通過安全架構(gòu)真正實(shí)現(xiàn)企業(yè)的安全層層支撐，最終滿足企業(yè)的業(yè)務(wù)目標(biāo)需求。通過安全加密算法和安全通信協(xié)議與Hash真正實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性、不可否認(rèn)性。

1.1 基礎(chǔ)設(shè)施安全

電力監(jiān)控系統(tǒng)的整體基礎(chǔ)設(shè)施的安全防御策略是縱向認(rèn)證、橫向隔離、網(wǎng)絡(luò)專用、安全分區(qū)。電力二次系統(tǒng)應(yīng)該提供保密性、完整性、可靠性等安全服務(wù)，確保生產(chǎn)大區(qū)準(zhǔn)確無誤地運(yùn)轉(zhuǎn)。電力系統(tǒng)的獨(dú)特要求有別于其他行業(yè)，相對(duì)于業(yè)務(wù)安全性，IT基礎(chǔ)設(shè)施的可靠性、可用性、連續(xù)性的要求更為重要。

1.2 應(yīng)用安全

通過應(yīng)用層的訪問控制、內(nèi)容過濾、惡意代碼防范等控制措施對(duì)應(yīng)用層的攻擊滲透進(jìn)行安全防護(hù)，應(yīng)用層業(yè)務(wù)復(fù)雜、組件繁多，相應(yīng)安全漏洞更多、更嚴(yán)重，電力行業(yè)的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)都是被入侵的對(duì)象，很多漏洞是源代碼漏洞，通過簡(jiǎn)單漏洞掃描很難發(fā)現(xiàn)，只有通過人工代碼審計(jì)才能發(fā)現(xiàn)真正的威脅。

1.3 數(shù)據(jù)安全

通過安全協(xié)議和算法對(duì)數(shù)據(jù)進(jìn)行安全加密，與Hash真正實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性、不可否認(rèn)性。PKI/CA體系的建設(shè)與應(yīng)用為電力系統(tǒng)的數(shù)據(jù)安全保障提供了必要的支撐。各種數(shù)字證書如加密證書、簽名證書都該提供自身的安全職能，在不影響系統(tǒng)性能的前提下，最大限度地提高安全性、可靠性。為了防止發(fā)生故障或?yàn)?zāi)難而帶來數(shù)據(jù)損壞，丟失各種備份策略應(yīng)該被定義、執(zhí)行和測(cè)量，如cold site（冷站）、warm site（暖站）、hot site（熱站）等。

1.4 業(yè)務(wù)安全

通過層層防御的安全體系，最終保障業(yè)務(wù)目標(biāo)、業(yè)務(wù)戰(zhàn)略的安全，實(shí)現(xiàn)企業(yè)安全治理的終極目標(biāo)。電力系統(tǒng)的業(yè)務(wù)目標(biāo)關(guān)系到國(guó)家的安全，網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要定級(jí)在三級(jí)、四級(jí)，以凸顯電力系統(tǒng)業(yè)務(wù)目標(biāo)的重要性。為了實(shí)現(xiàn)這個(gè)目標(biāo)，構(gòu)建層層防御、縱深防御體系是毋庸置疑的。

2 堅(jiān)持“進(jìn)不來、拿不走、看不懂、改不了、跑不掉”的安全原則

真正實(shí)現(xiàn)企業(yè)的整體安全策略，通過身份鑒別、認(rèn)證、加密、最小特權(quán)、訪問控制、審計(jì)等關(guān)鍵技術(shù)實(shí)現(xiàn)企業(yè)安全保障體系。

2.1 “進(jìn)不來”

很多滲透技術(shù)例如Hydra的弱口令暴力破解、緩沖區(qū)溢出都是所謂的“進(jìn)不來攻擊”，通過強(qiáng)身份驗(yàn)證，如多因素身份認(rèn)證可以提供安全保障。很多電廠的核心機(jī)房為了達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)的要求，設(shè)計(jì)的門禁系統(tǒng)滿足MAN-TRAP的原則，其雙層門身份鑒別，一旦第二道門驗(yàn)證失敗、第一道門自動(dòng)反鎖，真正實(shí)現(xiàn)了防止尾隨攻擊的目的。在系統(tǒng)層面，為了防止暴力猜解，限制了遠(yuǎn)程用戶的登錄次數(shù)，然后進(jìn)行鎖定，進(jìn)一步保證了系統(tǒng)的登錄安全。電力系統(tǒng)的“橫向隔離、縱向認(rèn)證”基本就實(shí)現(xiàn)了“進(jìn)不來”的安全目標(biāo)。

2.2 “拿不走”

“最小特權(quán)”是此技術(shù)的關(guān)鍵核心。通過漏洞提權(quán)是黑客典型的攻擊手段，尤其是工控系統(tǒng)SCADA/DCS自身的系統(tǒng)級(jí)別漏洞，能直接提取到系統(tǒng)權(quán)限。通過有效的漏洞檢測(cè)、安全補(bǔ)丁能有效防治黑客提權(quán)。

2.3 “看不懂”

通過安全協(xié)議、算法、秘鑰進(jìn)行安全加密，實(shí)現(xiàn)通信的保密性。在電力系統(tǒng)，數(shù)據(jù)默認(rèn)通信要強(qiáng)制使用加密的安全通信協(xié)議，例如：SSL實(shí)現(xiàn)端到端的安全通信，或ESP隧道封裝實(shí)現(xiàn)IP層網(wǎng)絡(luò)安全。

2.4 “改不了”

通過數(shù)字簽名訪問控制保障內(nèi)容和系統(tǒng)的完整性。著名的勒索病毒就是直接破壞了系統(tǒng)和文件的完整性，造成了嚴(yán)重?fù)p失。電力調(diào)度系統(tǒng)的指令需要在傳輸過程中保證絕對(duì)的完整性，保證在工程師站和操作員站準(zhǔn)確無誤地執(zhí)行命令。

2.5 “跑不掉”

審計(jì)技術(shù)起到了可追溯、事件行為可還原的作用。電力行業(yè)很多攻擊行為都是未知的，例如APT攻擊，很難通過單一設(shè)備如防火墻、IDS、IPS、防病毒等檢查深度攻擊，只有通過安全審計(jì)和大數(shù)據(jù)分析，才能真正形成態(tài)勢(shì)感知，加強(qiáng)自身的防御體系，提升防范效果和系統(tǒng)彈性。

3 “威脅影響分析”貫穿信息安全整個(gè)生命周期

安全的最終原則是對(duì)抗威脅與入侵。要通過威脅影響分析找到威脅的各種來源、動(dòng)機(jī)、機(jī)會(huì)、方法與手段，并對(duì)此做出科學(xué)合理的分析，找出電力系統(tǒng)面臨的關(guān)鍵威脅并計(jì)算評(píng)估出威脅產(chǎn)生的影響，以此作為輸入，為企業(yè)建立安全級(jí)別、安全體系提供決策支持。

3.1 威脅來源分析

威脅源被定義為任何可能危害電力網(wǎng)絡(luò)系統(tǒng)的環(huán)境或事件，常見的威脅源有自然、人或者環(huán)境。電力網(wǎng)絡(luò)系統(tǒng)根據(jù)自身的地理位置和重要性可能會(huì)面對(duì)不同的威脅源，在分析威脅源時(shí)，要考慮電力網(wǎng)絡(luò)系統(tǒng)及其所處環(huán)境所有潛在的威脅源。自然因素是難以預(yù)見的危險(xiǎn)源，如雷電、地震、洪水、大風(fēng)等，都可能導(dǎo)致電力網(wǎng)絡(luò)系統(tǒng)的通信中斷；人為威脅主要是由人激發(fā)或者引發(fā)的事件，例如非故意的行為（疏忽或錯(cuò)誤）或者故意行為（黑客、恐怖分子、工業(yè)間諜甚至于被解雇或辭退的員工）帶來的破壞等；環(huán)境的威脅主要來源于長(zhǎng)時(shí)間的設(shè)備故障、液體泄漏等。雖然有的事件發(fā)生的概率很小，但一旦發(fā)生威脅很大，如水管爆裂這種威脅可能很快淹掉機(jī)房。

3.2 威脅動(dòng)機(jī)和行為分析

攻擊的動(dòng)機(jī)和資源使得人成為了潛在的危險(xiǎn)威脅源之一。在所有的威脅里面，人的威脅是最為復(fù)雜的。目前怎樣識(shí)別這些人為的威脅呢？審查系統(tǒng)的破壞歷史、安全違規(guī)報(bào)告、事故報(bào)告或者在信息收集過程中與系統(tǒng)管理員、技術(shù)人員面談等，這些方法不僅可以識(shí)別電力網(wǎng)絡(luò)系統(tǒng)的威脅源，也可能是系統(tǒng)的脆弱性所在。

4 電力系統(tǒng)的威脅影響分析與安全保障體系

電力系統(tǒng)最核心的安全問題在生產(chǎn)大區(qū)控制區(qū)，如DCS/SCADA/PLC等系統(tǒng)的安全至關(guān)重要，一旦這些系統(tǒng)出故障或者被入侵，將會(huì)給企業(yè)帶來不可挽回的損失。

4.1 電力網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀

電力系統(tǒng)的很多設(shè)備都存在安全漏洞：有的設(shè)備還在用Windows XP系統(tǒng)，本身的漏洞比較多；廠商停止了系統(tǒng)的升級(jí)支持；除了操作系統(tǒng)本身之外，還有一些通信協(xié)議，例如ModleBus、OPC等，在黑客看來，這是一種透明的協(xié)議，無論是在握手的過程中還是在協(xié)商的過程中，都可以輕松地進(jìn)行中間人攻擊，因此黑客經(jīng)常會(huì)攻擊這些操作系統(tǒng)和通信協(xié)議。

電力網(wǎng)絡(luò)系統(tǒng)要求“橫向隔離、縱向認(rèn)證”，控制區(qū)和管理信息大區(qū)之間是物理隔離，不能直接連接，但有時(shí)廠商的設(shè)備里會(huì)加入遠(yuǎn)程無線模塊，方便工程師或廠商人員進(jìn)行遠(yuǎn)程維護(hù)，這些設(shè)備在我們的控制一區(qū)、二區(qū)植入了很多安全隱患，黑客也有可能操縱這些無線模塊惡意地下發(fā)指令或者篡改我們的指令，直接威脅到電力系統(tǒng)生產(chǎn)大區(qū)的安全運(yùn)行。

4.2 電力網(wǎng)絡(luò)系統(tǒng)具體面臨的威脅影響

（1）APT攻擊是黑客組織最喜歡的攻擊方式，黑客對(duì)電力系統(tǒng)運(yùn)維人員的安全意識(shí)進(jìn)行踩點(diǎn)，他會(huì)知道你打開郵件、附件的方式，然后肆意地捆綁惡意代碼，他們還有可能購買一些零碎的漏洞來攻擊電力系統(tǒng)的設(shè)備，這些遠(yuǎn)程控制都是通過加密通道來防止電力系統(tǒng)的IDS、IPS進(jìn)行實(shí)時(shí)檢測(cè)。面對(duì)這種APT攻擊，我們很難有效地建立防御體系，無論從運(yùn)維人員的防范意識(shí)還是從系統(tǒng)本身的安全或者技術(shù)架構(gòu)都是很難抵抗的。

（2）來自內(nèi)部人員的威脅是所有工控系統(tǒng)面臨的最大威脅之一，這些威脅可能是有意也可能是無意（誤操作）引起的，伊朗的核設(shè)施就是被工作人員通過U盤感染了惡意代碼，攻擊了工控系統(tǒng)。這種威脅防不勝防，檢測(cè)難度高。

（3）設(shè)備本身的故障。我們知道很多的廠商在設(shè)備出廠時(shí)會(huì)植入一些后門程序，美國(guó)國(guó)家安全局的爆料已經(jīng)證實(shí)了這一點(diǎn)，在暗網(wǎng)里很多這種漏洞都可以進(jìn)行買賣，所以廠商的設(shè)備容易被廠商自己所控制。第二種就是設(shè)備本身故障，因?yàn)閷?duì)內(nèi)部黑盒子的這種方式很難從安全的角度進(jìn)行運(yùn)維，缺乏認(rèn)證、授權(quán)、審計(jì)模塊，也就是說，設(shè)備系統(tǒng)本身的設(shè)計(jì)就是不安全的，這種情況會(huì)導(dǎo)致安全故障的發(fā)生，我們的應(yīng)急預(yù)案在這方面需要加強(qiáng)。

（4）除以上威脅之外，還有來自于惡意代碼主要包括病毒、木馬、蠕蟲、腳本的移動(dòng)代碼攻擊。電力系統(tǒng)中惡意代碼的植入是很普遍的，因?yàn)橄到y(tǒng)和協(xié)議本身存在很多安全漏洞。同時(shí)系統(tǒng)是物理隔離的，防病毒軟件不能及時(shí)升級(jí)，導(dǎo)致惡意代碼長(zhǎng)期存在于系統(tǒng)中，很難被發(fā)現(xiàn)，這會(huì)導(dǎo)致系統(tǒng)受控，或者成為傀儡僵尸，去攻擊別的系統(tǒng)。去年出現(xiàn)的勒索病毒就是利用微軟的永恒之藍(lán)漏洞進(jìn)行滲透攻擊，不僅能加密服務(wù)器上的文件，甚至于導(dǎo)致了很多工控系統(tǒng)出現(xiàn)癱瘓。所以，在電力系統(tǒng)中防范惡意代碼的攻擊應(yīng)該被放在重中之重的位置。

4.3 電力系統(tǒng)網(wǎng)絡(luò)信息安全的保障防范措施

針對(duì)以上電力網(wǎng)絡(luò)系統(tǒng)面臨的威脅，我們傳統(tǒng)的防御模式，無論是防火墻作為邊界安全，還是內(nèi)部的IDS、IPS作為有效的補(bǔ)充，都難以對(duì)抗這種APT攻擊和內(nèi)部人員的威脅攻擊。作為重要的能源行業(yè)，安全對(duì)電力系統(tǒng)至關(guān)重要。我們要從戰(zhàn)略層面上加強(qiáng)管理體系的建設(shè)；在戰(zhàn)術(shù)層面制定相應(yīng)的安全標(biāo)準(zhǔn)，比如等級(jí)保護(hù)，真正能實(shí)現(xiàn)三到四級(jí)的安全保護(hù)；在運(yùn)維層，要制定相應(yīng)的安全基線、操作系統(tǒng)基線、各種協(xié)議的基線、服務(wù)器基線等等；同時(shí)，還要加強(qiáng)管理人員和運(yùn)維人員的安全意識(shí)培養(yǎng)，比如文件共享、最小特權(quán)、職責(zé)分離、輪崗、強(qiáng)制度假等，這些能有效防止社會(huì)工程學(xué)攻擊，減少內(nèi)部人員因?yàn)檎`操作帶來的極大的安全風(fēng)險(xiǎn)。

5 結(jié)語

安全源自未雨綢繆，保障貴在風(fēng)雨同舟。只有合理地分析企業(yè)安全架構(gòu)，了解安全支撐體系，并堅(jiān)持科學(xué)合理的安全原則方針，才能建立完善的安全架構(gòu)。通過識(shí)別、分析、評(píng)估安全威脅，企業(yè)才能建立針對(duì)電力行業(yè)和滿足企業(yè)自身需求的安全策略、安全基線，才能真正完成企業(yè)的安全目標(biāo)。