王曉翼

（南方電網(wǎng)調峰調頻發(fā)電有限公司信息通信分公司，廣州510000）

0 引言

電力系統(tǒng)分為發(fā)電、輸電、變電、配電、用電五個環(huán)節(jié)，作為電力系統(tǒng)的第一個環(huán)節(jié)，電廠將熱能、風能、水能、核能等不同形式能量轉換為電能，是整個電力系統(tǒng)的基礎和關鍵。以水電站為例，其從河流高處或其他水庫內引水，利用水的壓力或流蘇沖動水輪機旋轉，將重力勢能和動能轉變?yōu)闄C械能，然后水輪機帶動發(fā)電機旋轉，從而將機械能轉變成電能。電廠在發(fā)電輸電過程中離不開工業(yè)控制系統(tǒng)（簡稱工控系統(tǒng)），工控系統(tǒng)對能量轉換過程中壓力、溫度、流量、液位、開關、電壓、電流等狀態(tài)和數(shù)據(jù)的采集，根據(jù)電廠設備狀態(tài)控制現(xiàn)場設備執(zhí)行動作，從而保證電廠發(fā)電和輸電的安全穩(wěn)定。工控系統(tǒng)對電廠發(fā)電和輸電起著至關重要的作用。

根據(jù)發(fā)改委14號令，電力監(jiān)控系統(tǒng)安全防護應堅持“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”原則。由于我國電力工控系統(tǒng)具備專網(wǎng)專用和網(wǎng)絡隔離的封閉特性，電力工控系統(tǒng)長期依賴“物理隔離”和“邊界防護”為主的安全防護體系。

隨著智能電網(wǎng)與信息物理技術的深度融合，電力工控系統(tǒng)面臨著更復雜的來自電力系統(tǒng)內部和外部的網(wǎng)絡安全威脅。伊朗核電站震網(wǎng)病毒[1]、烏克蘭電廠BlackEnergy病毒攻擊[2]等一系列針對電力工控系統(tǒng)的攻擊事件表明，針對電力工控系統(tǒng)的攻擊呈現(xiàn)攻擊水平高、隱蔽性強、持續(xù)時間長、國家力量涉入等特點，傳統(tǒng)物理隔離和邊界防護已難以有效阻止網(wǎng)絡攻擊。針對電力工控系統(tǒng)的攻擊將直接危害現(xiàn)場發(fā)電設備運行，造成巨大的人員和經濟威脅。

為解決當前電廠工控系統(tǒng)安全防護能力不足的問題，本文通過分析現(xiàn)有電廠工控系統(tǒng)面臨的安全威脅，總結導致安全威脅的主要原因，針對現(xiàn)有電力監(jiān)控系統(tǒng)邊界防護存在的問題，提出面向電廠工控系統(tǒng)的主動安全縱深防護體系，以主動防護體系所需的技術和方法，從而有效應對來自網(wǎng)絡外部和內部的已知或未知網(wǎng)絡攻擊。

1 電廠工控系統(tǒng)架構

以某水電站為例，電廠整體調度架構由三部分組成（如圖1）：調度中心（中調/總調），集中控制中心和本地監(jiān)控中心。調度任務包括電力調度和水力調度兩部分，其中，調度中心負責整個區(qū)域電力系統(tǒng)的電力和水力調度，可直接對電廠的發(fā)電信息、水庫信息進行采集和調度控制；集中控制中心下轄多個電廠，可實現(xiàn)對多個電廠的統(tǒng)一監(jiān)控，實現(xiàn)遙控、遙調、遙測、遙信和遙視等功能，同時也接受調度中心直接監(jiān)控；本地監(jiān)控站實現(xiàn)對單一電廠或機組的監(jiān)視，并接受調度中心控制指令。

圖1 電力調度組織架構

電廠工控系統(tǒng)安全依賴邊界防護。如圖2所示，電廠、集中控制中心、電力調度中心之間按照“專網(wǎng)專用、縱向加密”原則通過專用網(wǎng)絡連接，通信數(shù)據(jù)通過縱向加密裝置加密之后進行交互。對于電廠、集中控制中心、電力調度中心內部，各部分按照“安全分區(qū)、橫向隔離”原則，將網(wǎng)絡劃分為兩個大區(qū)：生產控制大區(qū)和管理信息大區(qū)。生產控制大區(qū)又可根據(jù)安全I區(qū)（實時控制區(qū)）和安全II區(qū)（非實時控制區(qū)），管理信息大區(qū)根據(jù)各電廠需求一般可分為安全III區(qū)和安全IV區(qū)，為便于描述，圖2中我們將III區(qū)和IV區(qū)合并為一個區(qū)。I區(qū)負責電廠一次設備的實時數(shù)據(jù)采集和設備控制，直接應用發(fā)電能力和生產安全，安全等級最高，II、III、IV區(qū)安全等級依次降低。I區(qū)和II區(qū)之間通過防火墻進行邏輯隔離，II區(qū)和III區(qū)之間通過正反隔離裝置進行物理隔離。通過邊界隔離措施保證數(shù)據(jù)只能從安全等級高的區(qū)域發(fā)送到安全等級低的區(qū)域。

2 電廠工控系統(tǒng)面臨的安全威脅及分析

2.1 安全威脅

雖然電廠工控系統(tǒng)采用較為嚴格的邊界防護措施，但其仍然面臨來自多方面的安全威脅，主要包括漏洞、APT攻擊、供應鏈風險等。

（1）漏洞

漏洞是發(fā)起網(wǎng)絡攻擊的主要原因之一。電廠工控系統(tǒng)能夠被攻擊的一個重要原因是其工控網(wǎng)絡或工控系統(tǒng)本身存在可被利用的漏洞。

從漏洞生命周期角度分析，電廠工控系統(tǒng)漏洞可分為0-Day漏洞、1-Day漏洞和N-Day漏洞（歷史漏洞）。0-Day漏洞可利用程度和危害性最高，剩余兩種的漏洞可利用性依次降低。區(qū)別于傳統(tǒng)網(wǎng)絡安全，電廠工控系統(tǒng)由于其封閉性和7×24小時生產需求，系統(tǒng)/設備往往更新遲緩，導致工控系統(tǒng)可能長時間存在可利用的1-Day或N-Day漏洞，存在較大安全隱患。

圖2 電廠拓撲分區(qū)及邊界防護

從工控系統(tǒng)組成角度，工控系統(tǒng)是IT（Information Technology）和OT（Operational Technology）的結合，電廠工控系統(tǒng)既包含傳統(tǒng)的網(wǎng)絡協(xié)議、軟件、操作系統(tǒng)，也包含專門的工控協(xié)議、設備、SCADA系統(tǒng)等，因此，電廠工控系統(tǒng)漏洞包含了傳統(tǒng)漏洞和工控漏洞。傳統(tǒng)漏洞包括典型的網(wǎng)絡協(xié)議漏洞、數(shù)據(jù)庫漏洞、應用軟件漏洞、操作系統(tǒng)漏洞等。傳統(tǒng)漏洞可能導致拒絕服務、信息泄露、提權等問題，尤其數(shù)據(jù)庫漏洞還可能導致電廠關鍵生產數(shù)據(jù)泄露。工控漏洞涉及工控協(xié)議、組態(tài)軟件、設備固件、軟件供應鏈以及配置管理等。工控協(xié)議漏洞主要是由于電廠常用的工控協(xié)議（如IEC104、IEC103、IEC61850、DNP3等）自身或編碼實現(xiàn)過程中存在安全問題導致；組態(tài)軟件和工控設備固件漏洞產生原因類似，面臨更新遲緩難以快速修復的問題；軟件供應鏈主要是由于工控軟件、固件設計和實現(xiàn)過程中采用了存在漏洞的第三方庫；配置管理漏洞則是由于管理不嚴或人員技術水平有限導致工控設備及安防設備可能存在配置錯誤，使得攻擊者可以利用配置錯誤繞過安全防護或驗證。

（2）APT攻擊

APT攻擊是電力系統(tǒng)面臨的主要安全威脅之一。電廠工控系統(tǒng)與外界隔離，傳統(tǒng)攻擊手段難以奏效，而電廠作為工業(yè)關鍵信息基礎設施，具有很高價值，往往會成為APT組織攻擊的首選對象。APT攻擊利用社會工程學首先進入外網(wǎng)，從外網(wǎng)通過U盤擺渡等方式進入電廠內部網(wǎng)絡，再通過網(wǎng)絡探測、橫向移動等方法對具體目標實施攻擊。工控設備中的漏洞、預置后門及精心構造的工控病毒往往成為APT組織實施攻擊的主要方法。

（3）供應鏈風險

供應鏈風險主要源于電廠工控設備缺乏自主可控，如中大型PLC依然被西門子、羅克韋爾、施耐德等國外廠商控制，導致電廠核心工控設備受制于人。美國對華為芯片的限制反映了核心設備和技術上被卡脖子帶來的巨大風險。電廠供應鏈風險主要表現(xiàn)在兩方面：一方面，國外設備對電廠為黑盒，電廠無法獲取其設計和源碼，導致設備可能存在的漏洞、后門難以被發(fā)現(xiàn)；另一方面，對國外設備的過度依賴，容易被國外在設備和技術上“卡脖子”，一旦受到限制將造成短時內無設備可用的問題。

2.2 安全威脅分析

加強網(wǎng)絡安全技能和管理、推動自主可控設備研發(fā)可一定程度解決管理漏洞及供應鏈安全問題。然而，自主可控并不等于安全，安全防護仍是電廠工控系統(tǒng)的亟待解決的問題。

傳統(tǒng)邊界防護、被動防護已難以應對當前電廠面臨的安全威脅，通過有限漏洞掃描、防火墻、入侵檢測等非核心業(yè)務的漏洞掃描、白名單過濾和旁路監(jiān)聽等機制僅能一定程度上應對一般網(wǎng)絡攻擊，對于基于0-Day攻擊、APT攻擊等仍難以有效應對。同時，針對發(fā)現(xiàn)的安全威脅，如系統(tǒng)漏洞，由于補救措施可能對生產業(yè)務產生影響，很難快速、有效地部署應對措施。同時，由于電廠工控系統(tǒng)與實際發(fā)電業(yè)務直接相關，對工控系統(tǒng)的實時性、穩(wěn)定性提出很高的要求，通信時延過高或者通信數(shù)據(jù)丟失可能對發(fā)電廠造成難以估計的影響。因此，很難在現(xiàn)有的電廠工控系統(tǒng)上部署復雜的安全防護系統(tǒng)。

3 電廠工控系統(tǒng)主動防護技術

電廠工控系統(tǒng)亟需新的安全防護體系，從被動防御到主動防御是電廠工控系統(tǒng)安全發(fā)展趨勢。通過主動防護對安全威脅做到“提前發(fā)現(xiàn)、實時監(jiān)測、及時處理、精確溯源、準確預警”，同時為電廠工控系統(tǒng)提供“安全環(huán)境”。為達到以上目標，電廠可綜合攻擊測試技術、態(tài)勢感知技術和可信計算技術，建立完善的一體化主動防護體系（如圖3所示）。

圖3 電廠工控系統(tǒng)安全防護技術

攻擊測試技術通過模擬攻擊者攻擊行為測試電廠工控系統(tǒng)中存在的潛在安全問題。由于攻擊測試需要對工控系統(tǒng)展開實際攻擊操作，無法在真實電廠工控系統(tǒng)上實施，因此，構建靈活、逼真的電廠工控系統(tǒng)安全測試平臺成為攻擊測試的基礎。安全測試平臺通過復現(xiàn)電廠工控場景，為攻擊測試提供逼真的仿真環(huán)境，支撐工控系統(tǒng)的安全威脅發(fā)現(xiàn)、安全防護能力評估和驗證。基于安全測試平臺，可通過漏洞挖掘技術[4-5]發(fā)現(xiàn)未知安全漏洞，結合漏洞利用技術[6]探索對基于未知漏洞的攻擊，從而有效發(fā)現(xiàn)和評估工控系統(tǒng)中協(xié)議、應用、設備可能的安全問題。同時，基于電廠工控網(wǎng)絡拓撲、未知漏洞、已知漏洞信息，基于漏洞間可利用關系可構建攻擊圖[7]，實現(xiàn)針對某一目標的潛在攻擊路徑預測，并基于滲透測試技術驗證攻擊路徑的真實性，從而發(fā)現(xiàn)工控網(wǎng)絡中存在的安全問題。

態(tài)勢感知[8]對引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行捕獲、分析，并預測安全發(fā)展趨勢和應對措施。威脅誘捕技術通過部署電廠工控系統(tǒng)蜜罐（如Conpot[9]）偽裝真實的電力工控系統(tǒng)吸引攻擊者攻擊，捕獲并分析其攻擊行為。通過威脅誘捕可發(fā)現(xiàn)針對電廠工控系統(tǒng)的潛在的網(wǎng)絡攻擊，甚至0-Day漏洞，這些捕獲的信息可用于支撐態(tài)勢感知。態(tài)勢感知還通過實時監(jiān)測技術監(jiān)測電廠工控系統(tǒng)的流量、行為等狀態(tài)，利用基于機器學習的異常檢測方法[10]分析發(fā)現(xiàn)可能存在攻擊，并對攻擊進行追蹤溯源和反制。同時，態(tài)勢感知還可基于歷史數(shù)據(jù)、安全事件等，結合當前工控系統(tǒng)狀態(tài)預測未來安全趨勢，并針對可能安全威脅的做好應對措施。目前，態(tài)勢感知平臺已經在電力行業(yè)展開實際部署和應用。

可信計算[11]以國產密碼為基礎，通過基于可信芯片的可信根構建信任鏈，從信任根開始，將信任鏈擴展到硬件平臺、操作系統(tǒng)、應用、網(wǎng)絡，最終構建形成整個可信的電廠工控系統(tǒng)?？尚庞嬎銥殡姀S工控系統(tǒng)構建可信運行環(huán)境，只有受信任的對象才可在該環(huán)境下運行，從而保證了即使攻擊者進入電力工控系統(tǒng)，也無法運行惡意代碼、病毒實施攻擊。目前，基于可信計算的電力信息安全免疫系統(tǒng)已開展了規(guī)?；膽谩?/p>

攻擊測試和態(tài)勢感知通過主動方式發(fā)現(xiàn)潛在的安全威脅，可信計算則通過主動方式構建安全計算環(huán)境，通過三者結合實現(xiàn)對外部安全威脅應對和內生安全能力的提升。

4 結語

本文針對電廠工控系統(tǒng)現(xiàn)有安全防護體系和技術難以有效應對當前多樣、復雜的網(wǎng)絡安全威脅的問題，通過分析當前主要安全威脅和防護能力不足，提出融合攻擊測試、態(tài)勢感知和可信計算的主動防護技術，建立完善的外部安全防護機制和內生安全防護能力，從而有效應對當前及未來復雜的電廠工控安全威脅。