孟 強 ，俞榮棟

（1.浙江省能源集團有限公司，浙江 杭州 310007；2.浙江浙能技術(shù)研究院有限公司，浙江 杭州 310012；3.浙能工業(yè)信息工程省級重點企業(yè)研究院，浙江 杭州310012）

0 引言

工業(yè)控制系統(tǒng)是指用于生產(chǎn)、控制、輔助自動化過程的設(shè)備、系統(tǒng)、網(wǎng)絡(luò)及控制器的集合，被廣泛應(yīng)用在電力、石化、汽車等關(guān)乎國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施中。然而，隨著信息化和工業(yè)化的不斷深入融合，信息技術(shù)在給工業(yè)化進程帶來極大推動力的同時，也將信息系統(tǒng)中存在的安全風(fēng)險帶入到工業(yè)系統(tǒng)中。根據(jù)美國計算機安全應(yīng)急響應(yīng)中心的數(shù)據(jù)統(tǒng)計顯示，伊朗“震網(wǎng)”事件之后，針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事件不斷增多[1，3]。

工業(yè)控制系統(tǒng)面對著脆弱的安全狀況以及日益嚴(yán)重的攻擊威脅。在國內(nèi)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理工作中存在的諸如對工業(yè)控制系統(tǒng)安全問題認(rèn)識程度不夠、管理制度不健全、相關(guān)標(biāo)準(zhǔn)規(guī)范缺失、技術(shù)防護措施不到位、安全防護和應(yīng)急處置能力不高等問題引起了社會各界的高度重視，甚至提升到了國家安全戰(zhàn)略的高度。國家主管部門在政策層面已積極部署工業(yè)控制系統(tǒng)的安全保障工作[2]。

1 火力發(fā)電廠控制系統(tǒng)面臨的安全風(fēng)險

從控制系統(tǒng)基本情況和系統(tǒng)安全防護情況這兩個維度對火力發(fā)電廠控制系統(tǒng)現(xiàn)狀進行分析，當(dāng)前面臨的安全風(fēng)險主要包括系統(tǒng)架構(gòu)風(fēng)險、網(wǎng)絡(luò)通信安全風(fēng)險、設(shè)備應(yīng)用安全風(fēng)險、日常管理安全風(fēng)險等。

1.1 體系架構(gòu)安全風(fēng)險

體系架構(gòu)的脆弱性直接源自工業(yè)控制系統(tǒng)的基本架構(gòu)。現(xiàn)代工業(yè)系統(tǒng)所使用的體系架構(gòu)，與20世紀(jì)80年代和90年代使用的架構(gòu)相比，在原則上沒有太大區(qū)別。不幸的是，控制系統(tǒng)從“孤立”環(huán)境遷移到一個開放的環(huán)境，從串行通信到TCP/IP通信，傳統(tǒng)的體系架構(gòu)開始顯示出自己的局限性[3]。作業(yè)工程師利用現(xiàn)成的信息和通信技術(shù)，試圖解決新的安全問題，卻沒有考慮到在一些特殊的情況下，SCADA（Supervisory Control and Data Acquisition）系統(tǒng)與傳統(tǒng)的信息和通信技術(shù)的安全性限制不匹配，常見問題如下：

（1）現(xiàn)場網(wǎng)絡(luò)之間的弱分離。由于現(xiàn)場網(wǎng)絡(luò)是整個體系結(jié)構(gòu)的內(nèi)部部分，通常還沒有實時強分離，目標(biāo)明確的入侵者一旦入侵成功，可以很容易到達(dá)控制網(wǎng)絡(luò)中的任何部分。

（2）控制系統(tǒng)的活動組件之間缺乏認(rèn)證。由于傳統(tǒng)的現(xiàn)場網(wǎng)絡(luò)總是處于封閉的環(huán)境中，所以沒有必要對網(wǎng)絡(luò)上連接的不同元素之間集成身份驗證機制。然而缺乏身份驗證意味著體系架構(gòu)的漏洞，該漏洞可以很容易被利用，造成各種形式的損害。

1.2 通信協(xié)議的安全風(fēng)險

大部分的工業(yè)控制系統(tǒng)協(xié)議，例如Modbus、DNP、101協(xié)議是在很多年以前設(shè)計的，基于串行連接進行網(wǎng)絡(luò)訪問。當(dāng)以太網(wǎng)連接成為廣泛使用的本地網(wǎng)絡(luò)的物理連接層時，工業(yè)控制系統(tǒng)協(xié)議可以基于IP協(xié)議之上實現(xiàn)。

工業(yè)控制系統(tǒng)協(xié)議缺乏保密和驗證機制，特別缺乏驗證一個主站和從站之間發(fā)送的消息的完整性技術(shù)。此外，工業(yè)控制系統(tǒng)協(xié)議也不包括任何不可抵賴性和防重放機制。攻擊者可以利用工業(yè)控制系統(tǒng)的這些安全限制，肆虐工業(yè)控制系統(tǒng)，一些可能發(fā)生的攻擊場景如下：

（1）拒絕服務(wù)攻擊。如攻擊模擬主站、向RTU（Remote Terminal Unit）發(fā)送無意義的信息、消耗控制網(wǎng)絡(luò)的處理器資源和帶寬資源。

（2）中間人攻擊。缺乏完整性檢查的漏洞使攻擊者可以訪問到生產(chǎn)網(wǎng)絡(luò)，修改合法消息或制造假消息，并將它們發(fā)送到從站。

（3）包重放攻擊。重復(fù)發(fā)送合法的工業(yè)SCADA系統(tǒng)消息，并將它們發(fā)送到從站設(shè)備，從而造成設(shè)備損毀、過程關(guān)閉等破壞。

（4）欺騙攻擊。向控制操作人員發(fā)送欺騙信息，導(dǎo)致操作中心不能正確了解生產(chǎn)控制現(xiàn)場的實際工況，誘使其執(zhí)行錯誤操作。

1.3 設(shè)備應(yīng)用安全風(fēng)險

設(shè)備應(yīng)用安全風(fēng)險分為軟件風(fēng)險和硬件風(fēng)險兩方面。在工業(yè)控制系統(tǒng)中的一切行為都是由軟件管理的，不太可能保證哪個軟件完全沒有漏洞。軟件脆弱性具有潛在威脅，它們使得攻擊者可以完全控制目標(biāo)系統(tǒng)。由于工業(yè)控制系統(tǒng)內(nèi)軟件類型的多樣，本文不可能列出工業(yè)控制系統(tǒng)所有典型的軟件脆弱性。典型的確定影響工業(yè)控制系統(tǒng)的漏洞有以下幾種：緩沖區(qū)溢出、SQL注入、格式化字符串、Web應(yīng)用程序漏洞。

常見的硬件安全風(fēng)險描述如下表1所示。

1.4 管理策略安全風(fēng)險

一個體系架構(gòu)健壯的系統(tǒng)，在任何情況下，脆弱性很難被操控。管理策略則是用以規(guī)避系統(tǒng)中已有安全脆弱性的一項重要措施，然而事與愿違的是在工業(yè)系統(tǒng)中與安全防護事務(wù)相關(guān)的安全策略卻非常弱。一般來說現(xiàn)行策略的核心是從傳統(tǒng)的“信息和通信技術(shù)辦公室”復(fù)制而來的?？赡艽嬖谙铝泄芾聿呗园踩L(fēng)險：

（1）很少或不使用補丁策略。安全補丁很重要，特別是在Windows操作系統(tǒng)中。在工業(yè)控制系統(tǒng)中，很少能找到臨時的補丁軟件，補丁程序可能會對軟件產(chǎn)生嚴(yán)重的干擾。出于這個原因，安全補丁策略在控制網(wǎng)絡(luò)中并不普遍。

（2）很少或不使用防病毒更新策略。殺毒軟件可能影響SCADA軟件的運行，一般只是盡可能保持控制網(wǎng)絡(luò)的隔離。

（3）松散的訪問策略。通常訪問策略規(guī)劃得很好，但在現(xiàn)場實現(xiàn)卻很糟。

表1 工業(yè)控制系統(tǒng)常見的安全風(fēng)險

2 火力發(fā)電廠控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

火電廠控制網(wǎng)絡(luò)架構(gòu)中涉及的控制系統(tǒng)眾多，主要包括：火電機組分散控制系統(tǒng)（DCS）、火電機組輔機控制系統(tǒng)（DCSPLC）、火電廠級信息監(jiān)控系統(tǒng)、調(diào)速系統(tǒng)和自動發(fā)電控制功能AGC、勵磁系統(tǒng)和自動電壓控制功能AVC、梯級調(diào)度監(jiān)控系統(tǒng)、網(wǎng)控系統(tǒng)、繼電保護、故障錄波、電能量采集裝置、電力市場報價終端等系統(tǒng)?；鹆Πl(fā)電廠控制系統(tǒng)在網(wǎng)絡(luò)安全方面存在如下問題。

2.1 安全域結(jié)構(gòu)設(shè)計不足

電力行業(yè)在安全方面考慮比較早，也頒布實施了如《電力二次系統(tǒng)安全防護總體方案》等一系列文件。2015年國家能源局下發(fā)36號文《電力監(jiān)控系統(tǒng)安全防護總體方案》指導(dǎo)電力行業(yè)實施工業(yè)控制系統(tǒng)的安全防護，該方案首次提出“綜合防護”，即在廠內(nèi)區(qū)域形成“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體原則。區(qū)域一般分為：生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)），管理信息大區(qū)。也有電廠會將區(qū)域分為4個區(qū)：實時控制區(qū)（安全Ⅰ區(qū)）、非控制生產(chǎn)區(qū)（安全Ⅱ區(qū)）、生產(chǎn)管理區(qū)（安全Ⅲ區(qū)）、管理信息區(qū)（安全Ⅳ區(qū)）。具體拓?fù)淙缦聢D1所示。

圖1 電力二次系統(tǒng)安全防護總體示意

到目前為止，我國絕大多數(shù)火電廠已依照本方案實施防護工作。然而，不管是“電力二次系統(tǒng)安全防護”還是“36號文”，只是將電廠生產(chǎn)控制系統(tǒng)劃分為兩個安全域：實時控制區(qū)及非實時控制區(qū)，沒有考慮實時控制區(qū)內(nèi)仍然包含有數(shù)據(jù)交互及業(yè)務(wù)聯(lián)系低耦合的多套業(yè)務(wù)系統(tǒng)，例如DCS主控系統(tǒng)、水煤灰等輔控系統(tǒng)，這些系統(tǒng)通過雙網(wǎng)口接口機與電廠 SIS系統(tǒng)（Supervisory Information System）連接。接口機成為系統(tǒng)間互聯(lián)互通的跳板，因為缺少訪問控制，存在信息探測、權(quán)限提升等安全隱患。

2.2 設(shè)備國產(chǎn)化率低、漏洞多

工業(yè)控制系統(tǒng)中的控制設(shè)備和組態(tài)軟件以美國艾默生、德國西門子、法國施耐德、美國GE等公司的產(chǎn)品為主，這類控制設(shè)備的核心技術(shù)也由國外廠商掌握，技術(shù)上不能實現(xiàn)安全可控。部分發(fā)電控制設(shè)備老舊，如很多監(jiān)控主機中依然運行Windows 95、98、XP操作系統(tǒng)。根據(jù)國家信息安全漏洞庫（CNNVD）的統(tǒng)計，艾默生、西門子、施耐德和GE等公司的多款控制器設(shè)備均爆出大量漏洞。目前在工業(yè)控制系統(tǒng)存在公開漏洞的廠商中，西門子占28%，GE占7%，施耐德占5%，這3個廠商的公開漏洞數(shù)已超過漏洞總數(shù)的40%。在這些公開漏洞中，可引起業(yè)務(wù)中斷的拒絕服務(wù)類漏洞占33%，緩沖區(qū)溢出類漏洞占20%，信息泄露類漏洞占16%，遠(yuǎn)程控制類漏洞占8%[4]。

2.3 安全意識薄弱、安全管理欠缺

調(diào)研發(fā)現(xiàn)，火力發(fā)電廠的工業(yè)控制系統(tǒng)安全通常由負(fù)責(zé)工業(yè)控制系統(tǒng)運維的設(shè)備管理部門與負(fù)責(zé)安全工作的信息化工作部門共同承擔(dān)。由于兩個部門的工作職責(zé)和工作重點各不相同，導(dǎo)致缺乏全職從事工業(yè)控制系統(tǒng)安全工作人員。

仍有很大一部分發(fā)電廠工業(yè)控制系統(tǒng)作業(yè)人員抱有“物理隔離的獨立工業(yè)控制系統(tǒng)就是絕對安全”，“只要部署了防火墻設(shè)備，就不存在網(wǎng)絡(luò)安全問題”等錯誤認(rèn)識。人員安全意識的不足可能會造成管理的疏忽或政策落實的不到位，影響到發(fā)電廠工業(yè)控制系統(tǒng)本身的安全。

此外，一些電廠僅有生產(chǎn)車間停電、發(fā)生生產(chǎn)安全事故的應(yīng)急預(yù)案，缺少針對服務(wù)器軟硬件故障、感染惡意代碼、工業(yè)控制網(wǎng)絡(luò)中斷等方面的工業(yè)控制系統(tǒng)應(yīng)急預(yù)案。一旦發(fā)生網(wǎng)絡(luò)安全事件，將對生產(chǎn)業(yè)務(wù)活動造成嚴(yán)重影響[5]。

3 構(gòu)建火力發(fā)電廠控制系統(tǒng)網(wǎng)絡(luò)安全保障體系

發(fā)電廠工業(yè)控制系統(tǒng)安全建設(shè)是一個包含技術(shù)和管理的系統(tǒng)性建設(shè)工程，其建設(shè)過程需要對人員、資金、軟硬件設(shè)備等進行規(guī)劃設(shè)計，實現(xiàn)工業(yè)控制系統(tǒng)的功能安全與信息安全的全方位融合。在加強電廠控制系統(tǒng)安全防護的同時，還需要加強安全意識培訓(xùn)，改善安全管理制度。

3.1 建立工業(yè)控制系統(tǒng)安全評估機制

要建立工業(yè)控制系統(tǒng)正式上線前的安全評估機制。工業(yè)控制系統(tǒng)的安全評估，是對工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運行、維護等全生命周期各階段開展的安全防護能力綜合評估。組織內(nèi)部專家或聘請專業(yè)機構(gòu)定期對電廠內(nèi)工業(yè)控制系統(tǒng)進行安全評估，發(fā)現(xiàn)潛在的安全漏洞、隱患、風(fēng)險和問題并及時組織整改。與傳統(tǒng)信息安全相比，工業(yè)控制系統(tǒng)具有運行實時性要求高、系統(tǒng)升級難度大等特點，因此開展工業(yè)控制系統(tǒng)等保測評和風(fēng)險評估要更加謹(jǐn)慎，確保將對工業(yè)控制系統(tǒng)的影響降到最低[3]。

從風(fēng)險評估入手，使用符合工業(yè)控制系統(tǒng)特點的理論、方法和工具，準(zhǔn)確發(fā)現(xiàn)工業(yè)控制系統(tǒng)存在的主要問題和潛在風(fēng)險，才能更好指導(dǎo)工業(yè)控制系統(tǒng)的安全防護和建立滿足生產(chǎn)需要的工業(yè)控制信息安全防御體系。

3.2 構(gòu)建安全防護體系

應(yīng)建立具備安全防御能力的技術(shù)體系，實現(xiàn)“邊界—網(wǎng)絡(luò)—終端”的立體防御。在工業(yè)控制網(wǎng)絡(luò)邊界處，通過物理隔離或邏輯隔離的方式進行防護。據(jù)統(tǒng)計數(shù)據(jù)表明，89%的工業(yè)控制系統(tǒng)為實現(xiàn)準(zhǔn)確的區(qū)域劃分及邊界隔離，針對發(fā)電廠控制系統(tǒng)基于“區(qū)域”和“管道”模型安全防護技術(shù)可以有效實現(xiàn)電廠的工控系統(tǒng)網(wǎng)絡(luò)安全防御。在電廠生產(chǎn)控制大區(qū)中可將控制區(qū)劃分多個安全域，分別為DCS機組安全域、水網(wǎng)控制、灰處理控制安全域及煤處理控制安全域。通過防火墻來實現(xiàn)訪問控制、地址轉(zhuǎn)換、事件審核和告警等安全功能。工業(yè)控制網(wǎng)絡(luò)內(nèi)部各安全域之間需要可識別工業(yè)控制協(xié)議數(shù)據(jù)包的工控安全防火墻，對常用工業(yè)控制協(xié)議和應(yīng)用數(shù)據(jù)內(nèi)容的數(shù)據(jù)包進行解析、檢查及過濾，阻斷非授權(quán)訪問或疑似攻擊、病毒、木馬等[6]。

在安全域內(nèi)部實時抓取并分析控制網(wǎng)絡(luò)中的報文數(shù)據(jù)，監(jiān)測通信行為、控制指令，及時發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常、惡意代碼傳播、網(wǎng)絡(luò)掃描等攻擊行為。在工業(yè)控制系統(tǒng)中的各個終端上，通過端口綁定等方式加固終端設(shè)備的防護能力。例如綁定IP地址或交換機端口限定對PLC的訪問，工程師站和操作員站中安裝應(yīng)用程序白名單程序，確保主機運行可信程序。

通過構(gòu)建安全防護體系，提升系統(tǒng)的安全防御和威脅檢測能力，降低網(wǎng)絡(luò)安全攻擊帶來的風(fēng)險。

3.3 強化管理，落實培訓(xùn)教育

加強發(fā)電廠工業(yè)控制系統(tǒng)安全監(jiān)督檢查職責(zé)，通過建立工控安全管理機制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實工控安全責(zé)任制。同時，制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應(yīng)立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送至屬地省級工業(yè)和信息化主管部門，同時注意保護現(xiàn)場，以便進行調(diào)查取證。同時，定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進行演練，必要時對應(yīng)急響應(yīng)預(yù)案進行修訂[7、8]。

除了技術(shù)、制度外，人員良好的網(wǎng)絡(luò)安全素質(zhì)是發(fā)電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的重要保證。因此需要定期組織開展安全意識和安全技能培訓(xùn)，加強網(wǎng)絡(luò)安全管理重要性的宣貫。

4 結(jié)語

綜合提高發(fā)電廠工業(yè)控制系統(tǒng)各方面安全防護能力，將有力保證電廠生產(chǎn)經(jīng)營的健康可持續(xù)發(fā)展。本文系統(tǒng)地分析了火力發(fā)電廠工業(yè)控制系統(tǒng)面臨的安全威脅和安全建設(shè)現(xiàn)狀，基于風(fēng)險分析提出了構(gòu)建發(fā)電廠工業(yè)控制系統(tǒng)安全防護的思路，并對涉及的關(guān)鍵技術(shù)及其實現(xiàn)方式進行了詳細(xì)論述；同時也介紹了關(guān)于工業(yè)控制系統(tǒng)安全保障的管理體系的重要要求。