郭獻彬
摘要:抽水蓄能電站作為優(yōu)良的調峰電源在電力系統(tǒng)中的地位愈發(fā)重要,其工業(yè)控制系統(tǒng)(簡稱工控系統(tǒng))的設計和實現(xiàn)較為復雜,存在的安全缺陷和面臨的安全威脅也比較突出。在等保2.0標準下,抽水蓄能電站工控系統(tǒng)的安全檢測有了更多新的需求?,F(xiàn)通過分析等保2.0對工控安全等級的保護要求,總結了抽水蓄能電站工業(yè)控制系統(tǒng)的安全需求,并提出了抽水蓄能電站工控系統(tǒng)安全檢測的核心技術與方法。
關鍵詞:抽水蓄能電站;工控系統(tǒng);安全檢測;等保2.0
0 引言
抽水蓄能電站作為一種特殊形式的水電站,具備上、下兩個水庫,利用電網(wǎng)低谷負荷時的剩余電力,由下庫抽水到上庫蓄能,在電網(wǎng)高峰負荷時再放水到下庫發(fā)電,以彌補用電高峰時期電力不足的問題[1]。作為調節(jié)電力負荷的重要手段,抽水蓄能電站在電網(wǎng)中承擔了調峰填谷、調頻、調相、事故備用等任務,可有效提升電力效益,保證電力系統(tǒng)平穩(wěn)運行,在整個電力系統(tǒng)中占據(jù)重要地位。
抽水蓄能電站同時擔負發(fā)電和蓄電任務,機組運行包括發(fā)電、發(fā)電調相、抽水、抽水調相、停機5種工況,通過復雜的工控轉換靈活應對負荷的急劇變化[2]。抽水蓄能電站的工業(yè)控制系統(tǒng)需根據(jù)當前用電發(fā)電需求、水文情況等,精確控制不同工況之間的轉換,從而完成發(fā)電抽水的聯(lián)合調度。相較于傳統(tǒng)水庫工控系統(tǒng),抽水蓄能電站工控系統(tǒng)的控制場景更加復雜,實時性、準確性要求更高。為此,復雜場景下的抽水蓄能電站工控系統(tǒng)在技術實現(xiàn)上也更加復雜,不僅存在更多安全隱患,而且面臨更多安全威脅。一旦抽水蓄能電站工控系統(tǒng)遭受網(wǎng)絡攻擊,就會引發(fā)電站自身安全問題,甚至可能影響整個電力系統(tǒng)的安全。《信息安全技術 網(wǎng)絡安全等級保護要求》(GB/T 22239—2019)[3](簡稱等保2.0)對工控系統(tǒng)提出了等級保護要求,主動防護能力逐漸受到重視。抽水蓄能電站工控系統(tǒng)的傳統(tǒng)安全檢測技術和方法是否能適應等保2.0的新需求成為人們備受關注的問題。
本文將圍繞等保2.0標準對工控系統(tǒng)安全保護的新要求展開深入分析,總結抽水蓄能電站工控系統(tǒng)的安全檢測需求,討論可行的工控系統(tǒng)安全檢測技術,為等保2.0標準下的抽水蓄能電站工控系統(tǒng)安全檢測提供技術支撐。
1 抽水蓄能電站工控系統(tǒng)
抽水蓄能電站工控系統(tǒng)建設遵循“網(wǎng)絡分區(qū)、專網(wǎng)專用、橫向隔離、縱向認證”原則,采用層次化網(wǎng)絡拓撲結構。抽水蓄能電站上層為調度中心/集控中心,直接接受上層機構下發(fā)的負荷,并將負荷合理分配給電廠。電廠收到集控中心/調度中心的負荷分配值后,按照庫容、各機組的振動區(qū)、運行條件等以最優(yōu)的方式分配給各電站,確定各臺機組所帶的負荷,并通過機組現(xiàn)地控制單元(Local Control Units,LCU)、開關站LCU、閘門LCU等實現(xiàn)自動發(fā)電和抽水,達到負荷合理分配的效果。
2 等保2.0下抽水蓄能電站工控系統(tǒng)的安全檢測要求
為適應信息技術發(fā)展新需求,工控系統(tǒng)、云計算、物聯(lián)網(wǎng)等一批關鍵領域的信息系統(tǒng)被納入等保范疇。工控系統(tǒng)作為國家工業(yè)關鍵信息基礎設施的重要組成部分,直接影響著電力、油氣、水利等關鍵行業(yè)的生產(chǎn)安全,因此其安全問題備受關注,且在等保2.0中有著翔實的描述。
等保2.0分為5個保護等級(第5級略),其對工控系統(tǒng)的等級保護對象包括SCADA系統(tǒng)、DCS、PLC等,對保護對象的安全要求包括兩方面:通用安全要求和擴展安全要求。通用安全要求關注共性化保護需求,擴展安全要求則關注個性化保護需求。安全要求包括技術和管理兩部分。
工業(yè)控制系統(tǒng)需要同時滿足通用安全要求和擴展安全要求。通用安全要求涵蓋了安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理制度、安全管理機構/中心、安全管理人員、安全建設及運維等。擴展安全要求同樣涵蓋安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全建設管理等,但加入了工控系統(tǒng)特有的安全要求。隨著保護等級的提高,每項技術要求均增加了新的安全需求。本文主要關注與技術相關的等保要求。
通用安全要求和擴展安全要求的劃分,涵蓋了傳統(tǒng)物理安全、主機安全、網(wǎng)絡安全、應用安全和數(shù)據(jù)安全等內容。其中,安全物理環(huán)境對應物理安全,安全通信網(wǎng)絡和邊界防護則為網(wǎng)絡安全,包括網(wǎng)絡安全架構、通信安全、邊界防護、訪問控制、入侵防范、可信驗證等。安全計算環(huán)境覆蓋主機安全、應用安全和數(shù)據(jù)安全。主機和應用安全關注身份鑒別、訪問控制、入侵防范、惡意代碼、可信驗證等。數(shù)據(jù)安全則關注數(shù)據(jù)完整性、機密性和數(shù)據(jù)備份等安全需求。
根據(jù)等保2.0相關內容,抽水蓄能電站工控系統(tǒng)安全檢測應重點關注以下4個方面:(1)物理安全,檢測工控系統(tǒng)所處物理環(huán)境是否安全、災備系統(tǒng)是否完善;(2)主機安全,監(jiān)控服務器、控制設備及對應系統(tǒng)、軟件、固件等是否滿足安全要求,安全防護措施是否有效;(3)網(wǎng)絡安全,由安全通信網(wǎng)絡和安全邊界防護構建的網(wǎng)絡是否滿足安全需求,是否可抵御不同類型的網(wǎng)絡攻擊;(4)數(shù)據(jù)安全,數(shù)據(jù)是否存在被泄露和篡改風險以及數(shù)據(jù)被篡改后是否可以被用于發(fā)動攻擊,導致電力調度錯誤。可見,安全檢測、數(shù)據(jù)防護、風險評估等已納入等級保護要求并加以實施,等級保護將靜態(tài)安全需求轉變?yōu)閯討B(tài)安全需求,并在被動防護中引入主動防護機制。
3 抽水蓄能電站工控系統(tǒng)的安全檢測技術
南方電網(wǎng)調峰調頻發(fā)電有限公司針對新安全形勢下電力工控系統(tǒng)安全檢測與等保2.0需求,積極探索主動安全檢測技術,主動挖掘和發(fā)現(xiàn)工控系統(tǒng)中存在的未知安全威脅。抽水蓄能電站工控系統(tǒng)安全檢測技術主要圍繞物理安全、主機安全、網(wǎng)絡安全、數(shù)據(jù)安全及安全檢測仿真平臺構建等方面展開研究。
3.1? ? 物理安全檢測技術
物理安全檢測主要根據(jù)安全物理環(huán)境要求展開,主要包括:(1)工控系統(tǒng)所處物理位置的抗震、防風、防雨、防水、防潮、防火、防靜電等能力和安全措施檢查;(2)工控系統(tǒng)物理訪問控制能力檢測;(3)工控系統(tǒng)防盜、防破壞等能力檢測;(4)工控系統(tǒng)電力供應、電磁防護等能力檢測。物理安全檢測多為合規(guī)性檢測,可通過多種傳感器、專業(yè)安全檢測儀器等周期性或實時展開。
3.2? ? 主機安全檢測技術
主機安全檢測主要對抽水蓄能電站工控系統(tǒng)中的集中監(jiān)控服務器、數(shù)據(jù)存儲服務器、LCU操作站、LCU工程師站、控制設備及運行于其上的操作系統(tǒng)、固件、應用軟件等展開安全檢測。由于部分設備與運行于其上的應用緊密耦合,這里將應用安全與主機安全一起討論。面向主機的安全檢測技術包括:
(1)設備識別:由于工控設備和系統(tǒng)在網(wǎng)絡中具有相應的特定屬性(即指紋),可首先通過主機存活性探測查看主機是否正常運行,然后基于指紋識別技術探測具體的工控設備或系統(tǒng)。其中,系統(tǒng)/工控設備指紋獲取[4]是設備識別研究的重點。
(2)漏洞掃描:針對抽水蓄能電站內工控系統(tǒng)及設備的已知漏洞展開檢測。漏洞掃描一般會建立電站工控系統(tǒng)漏洞庫,并保證定時更新漏洞庫,再基于漏洞庫進行定期漏洞掃描及驗證,從而有效檢測系統(tǒng)存在的安全漏洞。
(3)漏洞挖掘:針對抽水蓄能電站內工控系統(tǒng)及設備可能存在的未知漏洞展開檢測。電站關鍵設備在入網(wǎng)使用前需進行嚴格的漏洞挖掘檢測,減少0-day漏洞等帶來的安全風險。漏洞挖掘測試一般基于模糊測試技術,構建異常數(shù)據(jù)包作為輸入,通過對比實際輸出與預期輸出差異或查看被測目標是否產(chǎn)生宕機、異常等行為,判斷被測目標是否存在漏洞。
(4)漏洞修復檢測:指操作系統(tǒng)、設備固件、應用軟件通過打補丁方式修復漏洞后,對修復后的系統(tǒng)、固件、軟件進行安全檢測。一方面驗證漏洞是否被消除,另一方面對已修復的系統(tǒng)或軟件做進一步功能、性能和漏洞挖掘測試,避免在漏洞修復過程中相關功能、性能受影響,或由于代碼修改引入新漏洞。
3.3? ? 網(wǎng)絡安全檢測技術
網(wǎng)絡安全檢測一方面檢測網(wǎng)絡拓撲區(qū)域劃分和邊界防護措施是否滿足等級保護要求,另一方面通過動態(tài)方式對抽水蓄能電站工控系統(tǒng)的安全防護能力進行檢測。除傳統(tǒng)入侵檢測技術外,滲透測試也是非常有效的網(wǎng)絡安全檢測方法。
滲透測試技術從攻擊者角度對工控系統(tǒng)發(fā)起滲透攻擊,以發(fā)現(xiàn)系統(tǒng)中存在的安全問題。安全檢測人員可通過滲透測試技術對工控系統(tǒng)的安全網(wǎng)絡架構、訪問控制、邊界防護、入侵防范、可信驗證等安全防護能力和檢測能力進行有效驗證。但抽水蓄能電站工控系統(tǒng)直接關系著電力生產(chǎn)和水庫調度,很難直接實施滲透測試,因而構建工控系統(tǒng)安全檢測仿真平臺成為必然需求。
3.4? ? 數(shù)據(jù)安全檢測技術
除傳統(tǒng)的數(shù)據(jù)機密性、完整性檢測外,抽水蓄能電站還面臨數(shù)據(jù)注入攻擊的安全威脅,攻擊者通過對電站或某一LCU機組數(shù)據(jù)采集結果的篡改,影響電力調度或電廠內部的工況轉換。目前,針對虛假數(shù)據(jù)注入攻擊檢測的方法主要包括傳統(tǒng)的主成分分析法、基于卡爾曼濾波的檢測方法、基于人工智能的檢測方法等。
3.5? ? 安全檢測仿真平臺構建技術
工控系統(tǒng)安全檢測仿真平臺構建可采用實物、虛實結合、虛擬化3種方式。實物方式完全按照真實場景1:1復現(xiàn)工控場景,可準確還原工控系統(tǒng)受攻擊時的真實情況,但造價昂貴,可擴展性和靈活性差;虛擬化方式采用軟件仿真形式構建虛擬設備復現(xiàn)工控場景,該方式造價低、場景構建靈活,但由于虛擬工控設備無法完全模擬其真實功能,檢測結果難以真實反映工控系統(tǒng)安全情況;虛實結合方式將虛擬通用設備與真實工控設備相結合,兼具了實物方式和虛擬方式的優(yōu)勢,因此南方電網(wǎng)調峰調頻發(fā)電有限公司基于虛實結合方式構建安全檢測仿真平臺,將待檢測設備、系統(tǒng)部署于仿真平臺上,繼而在平臺上實施漏洞挖掘、滲透測試、數(shù)據(jù)注入攻擊等檢測技術,從而驗證電站工控系統(tǒng)安全措施的有效性,主動發(fā)現(xiàn)設備、系統(tǒng)存在的安全問題。
4 結語
本文圍繞抽水蓄能電站工控系統(tǒng)安全檢測需求,對工控系統(tǒng)在等保2.0中的安全等級保護要求進行分析,基于分析結果總結出適合抽水蓄能電站工控系統(tǒng)安全檢測的技術,為其適應等保2.0標準提供技術支撐。
[參考文獻]
[1] 黃楊梁,邵霞.自動電壓控制在抽水蓄能電站應用研究[J].水電與抽水蓄能,2016,2(2):78-82.
[2] 高建偉,何曉亮,馬依文.抽水蓄能電站工控系統(tǒng)安全防護探討[J].水電站機電技術,2017,40(9):63-66.
[3] 信息安全技術 網(wǎng)絡安全等級保護基本要求:GB/T 22239—2019[S].
[4] 李沁園,孫歆,戴樺,等.工業(yè)控制系統(tǒng)設備指紋識別技術[J].網(wǎng)絡空間安全,2017,8(1):60-65.