（南京南瑞繼保電氣有限公司 江蘇 211102）

海外電力工控系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)比較多，美國歐洲等地都會從不同角度來闡述對電網(wǎng)監(jiān)控網(wǎng)絡(luò)安全的要求和主張，國內(nèi)廠商在應(yīng)對海外市場的時候往往需求碎片化，難成體系。

本文對海外電力監(jiān)控網(wǎng)絡(luò)安全的主要標(biāo)準(zhǔn)進行了梳理和解析，并結(jié)合國內(nèi)經(jīng)驗，提煉網(wǎng)絡(luò)安全的本質(zhì)需求，從系統(tǒng)結(jié)構(gòu)、設(shè)備本身、行為監(jiān)測、信任機制、應(yīng)急和管理等方面，探討說明適用海外的網(wǎng)絡(luò)安全解決方案。

1 海外安全規(guī)范

海外和電力監(jiān)控相關(guān)的網(wǎng)絡(luò)安全規(guī)范主要由北美和歐洲主導(dǎo)，來自IEC、ISO、IEEE 等標(biāo)準(zhǔn)機構(gòu)和政府法規(guī)，其中有北美的IEEE-1686、NERC-CIP、NIST-7628，歐洲的IEC-62351、IEC-62443[1]。

規(guī)范可以大致分為三類：

（1）權(quán)威標(biāo)準(zhǔn)類：已經(jīng)成為業(yè)界重要參考的IEC和IEEE標(biāo)準(zhǔn)，如IEC-62351、IEC-62443、IEEE-1686。

（2）強制執(zhí)行類：NERC-CIP是北美電力可靠性委員會的文件，具備強制效力。

（3）技術(shù)指導(dǎo)類：NIST-7628是美國國家標(biāo)準(zhǔn)研究院官方的技術(shù)指導(dǎo)文件，沒有強制效力。

1.1 IEC-62351

IEC-62351標(biāo)準(zhǔn)是IEC T57為電力系統(tǒng)安全運行針對有關(guān)通信協(xié)議（IEC-60870-5、IEC-60870-6、IEC-61850、IEC-61970、IEC-61968系列和DNP 3）而開發(fā)的數(shù)據(jù)和通信安全標(biāo)準(zhǔn)[2]，目標(biāo)是基于公共網(wǎng)絡(luò)體系構(gòu)建加密認證機制，為電力通信提供“端對端”的安全保障能力，包括站內(nèi)的過程層節(jié)點通信、站控層節(jié)點通信和主子站通信。

IEC-62351的核心內(nèi)容有四個部分，IEC-62351-3 基于傳輸層安全協(xié)議TLS 提供基于TCP/IP的身份認證、機密性、完整性，IEC-62351-4 提供MMS的安全規(guī)范，IEC-62351-5 提供IEC60870-5的安全規(guī)范，IEC-62351-6 提供GOOSE/SV的安全規(guī)范。IEC-62351對電力監(jiān)控常見通信規(guī)約的安全映射關(guān)系如圖1所示。

圖1 IEC-62351對通信規(guī)約的安全關(guān)系

電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)攻擊很大部分來自對通信傳輸協(xié)議的竊聽、偽裝、重放等，而IEC-62351 提供的核心防護機制就是通信的身份認證和傳輸加密。

1.2 IEC-62443

IEC-62443是IEC TC65在制定“工業(yè)過程測量、控制和自動化”的標(biāo)準(zhǔn)過程中同步制定的“系統(tǒng)及網(wǎng)絡(luò)信息安全”的標(biāo)準(zhǔn)[3]。IEC-62443 主要是描述在工控產(chǎn)品開發(fā)、系統(tǒng)集成、實施和運維等全生命周期環(huán)節(jié)中如何去實現(xiàn)網(wǎng)絡(luò)安全，并通過 要網(wǎng)絡(luò)安全保證等級SAL 全模型來評價相關(guān)角色的網(wǎng)絡(luò)安全能力。

IEC-62443中定義的設(shè)備供應(yīng)商、系統(tǒng)集成商、業(yè)主的角色以及在全生命周期中的安全交付關(guān)系如圖2所示。

圖2 全生命周期中各角色的安全交付關(guān)系

1.3 IEEE-1686

IEEE-1686標(biāo)準(zhǔn)是針對IED設(shè)備的，目標(biāo)是建立在電力行業(yè)中對IED設(shè)備的安全要求和安全特征基線。標(biāo)準(zhǔn)主要內(nèi)容是定義了IED設(shè)備中網(wǎng)絡(luò)安全的功能和特性，包括設(shè)備訪問控制、配置、固件修訂、安全審計、告警機制以及IED 之間的通信加密等。

1.4 NERC-CIP

NERC-CIP是北美電力可靠性委員會NERC對關(guān)鍵基礎(chǔ)設(shè)施的安全保護規(guī)定[4]，主要是針對電網(wǎng)運營的功能實體責(zé)任實體，包括電力資產(chǎn)業(yè)主、電力傳輸運營商、設(shè)備運營商、設(shè)備和系統(tǒng)制造商、系統(tǒng)集成服務(wù)商、電網(wǎng)結(jié)算單位等，標(biāo)準(zhǔn)主要內(nèi)容包括技術(shù)和管理的要求、監(jiān)督執(zhí)行兩個層面，在技術(shù)和管理上，對產(chǎn)品和系統(tǒng)的電子安全邊界的設(shè)計和實現(xiàn)、物理訪問的識別和監(jiān)控、端口信息保護、漏洞的檢查和管理、日志記錄、事件的報告和響應(yīng)機制、備份和恢復(fù)規(guī)劃、變更的管理、脆弱性評估、供應(yīng)鏈管理等，以及人員意識、培訓(xùn)制度、文檔資料，在監(jiān)督執(zhí)行上，明確適用對象、責(zé)任主體、監(jiān)管機構(gòu)、證據(jù)要求、評估流程、違規(guī)程度評價等。

1.5 NIST-7628

NIST-7628是美國國家標(biāo)準(zhǔn)技術(shù)研究院發(fā)布的“智能電網(wǎng)信息安全指南”，報告分析了智能電網(wǎng)的邏輯結(jié)構(gòu)和信息安全需求，并提出了智能電網(wǎng)信息安全防護的策略和架構(gòu)，目的在于協(xié)助電網(wǎng)領(lǐng)域相關(guān)者去識別風(fēng)險、落實網(wǎng)絡(luò)安全要求，電網(wǎng)相關(guān)者可以包括設(shè)備制造商、電網(wǎng)運營商、集成服務(wù)商、監(jiān)管部門、學(xué)術(shù)機構(gòu)、標(biāo)準(zhǔn)組織機構(gòu)等。

標(biāo)準(zhǔn)的主要內(nèi)容為描述智能電網(wǎng)的信息安全戰(zhàn)略和具體任務(wù)，從安全角度定義智能電網(wǎng)的邏輯架構(gòu)和接口，對電網(wǎng)涉及者及其行為進行安全建模，構(gòu)建了“發(fā)電、輸電、配電、用電、營銷、運營、服務(wù)”7個域，以及22個邏輯接口。

2 海外電力工控安全規(guī)范的比較

從上述海外安全規(guī)范可以看到，IEC-62351是技術(shù)規(guī)范，重點通過加密認證的技術(shù)應(yīng)用解決通信兩端的身份認證和數(shù)據(jù)保密問題，并針對性地給出電力系統(tǒng)常用通信規(guī)約的安全規(guī)范，也為監(jiān)控系統(tǒng)的邊界內(nèi)外通信交互提供一種安全防護技術(shù)依據(jù)。IEEE-1686 重點體現(xiàn)了本體安全的思路，包括訪問控制、角色權(quán)限、日志審計及通信接口等技術(shù)，為IED設(shè)備如何實現(xiàn)本體安全提供一個規(guī)范基礎(chǔ)。IEC-62443重點描述了在產(chǎn)品周期各個階段不同角色的安全交付要求，從設(shè)備制造、到系統(tǒng)集成、工程實施、系統(tǒng)運行、直到退役，規(guī)范的主要內(nèi)容是以安全為目標(biāo)的角色行為模型，更多的是管理范疇，對技術(shù)描述不多。NERC-CIP和NIST 有點類似IEC-62443，但是描述的是電網(wǎng)運行安全及其涉及的全部角色，而不僅僅是電網(wǎng)產(chǎn)品的制造集成運行，并且NERC-CIP基于法規(guī)可執(zhí)行性的需要，在提出要求的同時給出了監(jiān)督執(zhí)行的依據(jù)。

在NERC-CIP、IEC-62443、IEC-62351 等標(biāo)準(zhǔn)中均體現(xiàn)了結(jié)構(gòu)安全的思路，包括多道防御，系統(tǒng)邊界防護，安全域劃分，加密認證技術(shù)等，但各個規(guī)范的側(cè)重點還是不同，NIST中有提及到行為監(jiān)測的安全思路，但是總的來講行為安全在規(guī)范中還是比較弱。在NERC-CIP、NIST中有應(yīng)急、快速恢復(fù)的應(yīng)急處置的要求，而在IEC-62443、NERC-CIP、NIST中均有關(guān)于產(chǎn)品研發(fā)的安全管理、集成實施的安全管理等要求。各個電力工控安全規(guī)范均比較具體地描述了某一個或一些方面的安全要求，但對從技術(shù)、到管理、到應(yīng)急處置等全方位的網(wǎng)絡(luò)安全需求，尚缺乏整體的安全防護方案。

3 海外電力工控安全防護方案的探討

海外電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)模糊，監(jiān)控設(shè)備參差不齊，系統(tǒng)網(wǎng)絡(luò)空間幾乎沒有監(jiān)測評估，可信的自我免疫能力非常缺乏、設(shè)計上缺乏安全冗余、安全管理缺乏系統(tǒng)性。

3.1 整體安全方案

參考國內(nèi)對電力系統(tǒng)二次安防有豐富的實踐經(jīng)驗，對于設(shè)備供應(yīng)商和系統(tǒng)集成商，需要在用戶需求和海外電力工控的規(guī)范基礎(chǔ)上，從技術(shù)、設(shè)計、管理等方面梳理出整體解決方案，如圖3所示。

方案中：

（1）安全技術(shù)：包括結(jié)構(gòu)安全、本體安全、行為安全、可信免疫幾個方面；

（2）應(yīng)急處置：應(yīng)急包括緊急備用的設(shè)計和緊急情況下的處置，設(shè)計上考慮關(guān)鍵組件的冗余運行、異地備份，在緊急情況下可以實現(xiàn)層層設(shè)防、主備切換、快速恢復(fù)等有效處置；

（3）安全管理：涉及人、物、集成實施、系統(tǒng)運行等多方面的管理。

方案的所有工作都是持續(xù)的，在時間上是不斷執(zhí)行、不斷檢查、不斷改進和不斷完善的。

圖3 整體安全方案

3.2 安全技術(shù)架構(gòu)

從設(shè)備供應(yīng)和系統(tǒng)集成的角度，需要一個行之有效的安全技術(shù)架構(gòu)，方案從結(jié)構(gòu)安全、本體安全、行為安全、可信免疫四個點來構(gòu)建安全防護。

結(jié)構(gòu)安全首先需要根據(jù)網(wǎng)絡(luò)組成和業(yè)務(wù)性質(zhì)構(gòu)建安全區(qū)，結(jié)構(gòu)安全作為監(jiān)控系統(tǒng)網(wǎng)絡(luò)空間內(nèi)外的邊界性防護，承擔(dān)系統(tǒng)第一道安全防線的責(zé)任，包括系統(tǒng)內(nèi)外邊界及防護設(shè)計、系統(tǒng)內(nèi)部安全區(qū)設(shè)計、安全區(qū)邊界防護措施、調(diào)試維護邊界防護措施等。

本體安全作為系統(tǒng)的設(shè)備防護，是第二道安全防線，負責(zé)IED設(shè)備本體的安全可靠設(shè)計和運行，具有包括監(jiān)控主機、嵌入式裝置、網(wǎng)絡(luò)交換機、安全設(shè)備等。

行為安全是對系統(tǒng)網(wǎng)絡(luò)行為進行監(jiān)測和評估，包括系統(tǒng)運行網(wǎng)絡(luò)過程的連接、流量、通信規(guī)約等安全監(jiān)測、以及系統(tǒng)內(nèi)設(shè)備的運行安全狀態(tài)的監(jiān)測，同時進行系統(tǒng)運行的網(wǎng)絡(luò)安全風(fēng)險實時計算評估，并對運行過程的狀態(tài)變化和安全事件進行審計。

可信免疫是融合到系統(tǒng)各個環(huán)節(jié)中的可信因子，可信是系統(tǒng)自身安全的本質(zhì)性設(shè)計，從系統(tǒng)內(nèi)外邊界通信的身份認證和傳輸加密，到系統(tǒng)內(nèi)部設(shè)備之間的可信通信，到設(shè)備內(nèi)部的操作系統(tǒng)啟動和應(yīng)用程序加載的可信，甚至到設(shè)備硬件的可靠搭建，以密碼認證技術(shù)和可信度量為基礎(chǔ)，形成系統(tǒng)逐層逐級的信任傳遞，構(gòu)建出具有自身免疫能力的信任機制[5]。

由此可以形成了“多道防線、行為監(jiān)測、可信鏈”的綜合安全防護技術(shù)支撐，如圖4所示。

圖4 綜合安全防護技術(shù)架構(gòu)圖

該綜合安全防護技術(shù)架構(gòu)可以形成以下效果：

（1）多層次：從系統(tǒng)邊界到行為監(jiān)測、設(shè)備本體的多個層次的安全防護，在變電站監(jiān)控系統(tǒng)范圍內(nèi)層層設(shè)防，形成安全累積效應(yīng)，進一步提高核心防護對象的安全能力；

（2）多維度：從空間上的靜態(tài)部署到時間上的過程監(jiān)測、從通信過程到數(shù)據(jù)傳輸?shù)榷鄠€維度來保障安全；

（3）主動性：從行為監(jiān)測和風(fēng)險評估、可信鏈傳遞來實現(xiàn)主動的風(fēng)險預(yù)警和安全免疫。

3.3 加強行為安全監(jiān)測和風(fēng)險評估

海外電力工控規(guī)范和工程實踐，都普遍缺乏對行為安全的支持，為此需要加強系統(tǒng)網(wǎng)絡(luò)空間行為的實時監(jiān)測和風(fēng)險評估。

方案在監(jiān)控系統(tǒng)的站控層部署安全監(jiān)測設(shè)備，連接監(jiān)控站控層主交換機鏡像口獲取網(wǎng)絡(luò)交換原始數(shù)據(jù)，并連接交換機通過snmp協(xié)議獲取網(wǎng)絡(luò)連接情況，從感知、告警、管控、審計四個方面來實時監(jiān)測網(wǎng)絡(luò)節(jié)點變動、網(wǎng)絡(luò)流量、主機設(shè)備的移動存儲接入、運維調(diào)試過程等情況。部署行為安全的具體功能圖如圖5。

圖5 行為安全功能圖

進一步，可以在網(wǎng)絡(luò)安全監(jiān)測中加入基于網(wǎng)絡(luò)節(jié)點角色定義和行為特征的安全評估模型，從網(wǎng)絡(luò)節(jié)點的設(shè)備角色和系統(tǒng)中節(jié)點設(shè)備之間的業(yè)務(wù)網(wǎng)絡(luò)通信兩個方面，來建立特征定義庫。各節(jié)點角色可以通過解析SCD文件獲取，或者單獨配置，然后監(jiān)測網(wǎng)絡(luò)通信數(shù)據(jù)、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)流量等，通過對各角色通信行為的跟蹤，分析網(wǎng)絡(luò)通訊節(jié)點、通訊鏈路的合法性，對站內(nèi)網(wǎng)絡(luò)通訊狀態(tài)進行分析、核查，實現(xiàn)配置核查、安全審計、網(wǎng)絡(luò)異常告警等功能，如圖6所示。

圖6 基于特征庫的網(wǎng)絡(luò)行為安全

網(wǎng)絡(luò)安全監(jiān)測可以對監(jiān)控網(wǎng)絡(luò)內(nèi)部通信行為進行安全監(jiān)控，及時監(jiān)測非法設(shè)備接入和異常通訊行為，對監(jiān)控系統(tǒng)的長期運行過程的安全監(jiān)測和風(fēng)險評估能起到非常明顯的作用，因此可作為海外電力工控安全解決方案中重點增強的環(huán)節(jié)。

4 結(jié)語

國內(nèi)廠商在進入海外電力工控市場時需要及時理解海外安全規(guī)范的要求，并在推出監(jiān)控產(chǎn)品的同時給出整體安全解決方案，實現(xiàn)業(yè)務(wù)功能的同時支持結(jié)構(gòu)安全、本體安全、行為安全、可信免疫，甚至推出“監(jiān)控+安全”的一體化解決方案，將會對監(jiān)控業(yè)務(wù)的順利開展起到明顯的支撐作用。