郭獻彬

摘要：抽水蓄能電站作為優(yōu)良的調峰電源在電力系統(tǒng)中的地位愈發(fā)重要，其工業(yè)控制系統(tǒng)（簡稱工控系統(tǒng)）的設計和實現(xiàn)較為復雜，存在的安全缺陷和面臨的安全威脅也比較突出。在等保2.0標準下，抽水蓄能電站工控系統(tǒng)的安全檢測有了更多新的需求?，F(xiàn)通過分析等保2.0對工控安全等級的保護要求，總結了抽水蓄能電站工業(yè)控制系統(tǒng)的安全需求，并提出了抽水蓄能電站工控系統(tǒng)安全檢測的核心技術與方法。

關鍵詞：抽水蓄能電站;工控系統(tǒng);安全檢測;等保2.0

0 引言

抽水蓄能電站作為一種特殊形式的水電站，具備上、下兩個水庫，利用電網(wǎng)低谷負荷時的剩余電力，由下庫抽水到上庫蓄能，在電網(wǎng)高峰負荷時再放水到下庫發(fā)電，以彌補用電高峰時期電力不足的問題[1]。作為調節(jié)電力負荷的重要手段，抽水蓄能電站在電網(wǎng)中承擔了調峰填谷、調頻、調相、事故備用等任務，可有效提升電力效益，保證電力系統(tǒng)平穩(wěn)運行，在整個電力系統(tǒng)中占據(jù)重要地位。

抽水蓄能電站同時擔負發(fā)電和蓄電任務，機組運行包括發(fā)電、發(fā)電調相、抽水、抽水調相、停機5種工況，通過復雜的工控轉換靈活應對負荷的急劇變化[2]。抽水蓄能電站的工業(yè)控制系統(tǒng)需根據(jù)當前用電發(fā)電需求、水文情況等，精確控制不同工況之間的轉換，從而完成發(fā)電抽水的聯(lián)合調度。相較于傳統(tǒng)水庫工控系統(tǒng)，抽水蓄能電站工控系統(tǒng)的控制場景更加復雜，實時性、準確性要求更高。為此，復雜場景下的抽水蓄能電站工控系統(tǒng)在技術實現(xiàn)上也更加復雜，不僅存在更多安全隱患，而且面臨更多安全威脅。一旦抽水蓄能電站工控系統(tǒng)遭受網(wǎng)絡攻擊，就會引發(fā)電站自身安全問題，甚至可能影響整個電力系統(tǒng)的安全。《信息安全技術 網(wǎng)絡安全等級保護要求》（GB/T 22239—2019）[3]（簡稱等保2.0）對工控系統(tǒng)提出了等級保護要求，主動防護能力逐漸受到重視。抽水蓄能電站工控系統(tǒng)的傳統(tǒng)安全檢測技術和方法是否能適應等保2.0的新需求成為人們備受關注的問題。

本文將圍繞等保2.0標準對工控系統(tǒng)安全保護的新要求展開深入分析，總結抽水蓄能電站工控系統(tǒng)的安全檢測需求，討論可行的工控系統(tǒng)安全檢測技術，為等保2.0標準下的抽水蓄能電站工控系統(tǒng)安全檢測提供技術支撐。

1 抽水蓄能電站工控系統(tǒng)

抽水蓄能電站工控系統(tǒng)建設遵循“網(wǎng)絡分區(qū)、專網(wǎng)專用、橫向隔離、縱向認證”原則，采用層次化網(wǎng)絡拓撲結構。抽水蓄能電站上層為調度中心/集控中心，直接接受上層機構下發(fā)的負荷，并將負荷合理分配給電廠。電廠收到集控中心/調度中心的負荷分配值后，按照庫容、各機組的振動區(qū)、運行條件等以最優(yōu)的方式分配給各電站，確定各臺機組所帶的負荷，并通過機組現(xiàn)地控制單元（Local Control Units，LCU）、開關站LCU、閘門LCU等實現(xiàn)自動發(fā)電和抽水，達到負荷合理分配的效果。

2 等保2.0下抽水蓄能電站工控系統(tǒng)的安全檢測要求

為適應信息技術發(fā)展新需求，工控系統(tǒng)、云計算、物聯(lián)網(wǎng)等一批關鍵領域的信息系統(tǒng)被納入等保范疇。工控系統(tǒng)作為國家工業(yè)關鍵信息基礎設施的重要組成部分，直接影響著電力、油氣、水利等關鍵行業(yè)的生產(chǎn)安全，因此其安全問題備受關注，且在等保2.0中有著翔實的描述。

等保2.0分為5個保護等級（第5級略），其對工控系統(tǒng)的等級保護對象包括SCADA系統(tǒng)、DCS、PLC等，對保護對象的安全要求包括兩方面：通用安全要求和擴展安全要求。通用安全要求關注共性化保護需求，擴展安全要求則關注個性化保護需求。安全要求包括技術和管理兩部分。

工業(yè)控制系統(tǒng)需要同時滿足通用安全要求和擴展安全要求。通用安全要求涵蓋了安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理制度、安全管理機構/中心、安全管理人員、安全建設及運維等。擴展安全要求同樣涵蓋安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全建設管理等，但加入了工控系統(tǒng)特有的安全要求。隨著保護等級的提高，每項技術要求均增加了新的安全需求。本文主要關注與技術相關的等保要求。

通用安全要求和擴展安全要求的劃分，涵蓋了傳統(tǒng)物理安全、主機安全、網(wǎng)絡安全、應用安全和數(shù)據(jù)安全等內容。其中，安全物理環(huán)境對應物理安全，安全通信網(wǎng)絡和邊界防護則為網(wǎng)絡安全，包括網(wǎng)絡安全架構、通信安全、邊界防護、訪問控制、入侵防范、可信驗證等。安全計算環(huán)境覆蓋主機安全、應用安全和數(shù)據(jù)安全。主機和應用安全關注身份鑒別、訪問控制、入侵防范、惡意代碼、可信驗證等。數(shù)據(jù)安全則關注數(shù)據(jù)完整性、機密性和數(shù)據(jù)備份等安全需求。

根據(jù)等保2.0相關內容，抽水蓄能電站工控系統(tǒng)安全檢測應重點關注以下4個方面：（1）物理安全，檢測工控系統(tǒng)所處物理環(huán)境是否安全、災備系統(tǒng)是否完善;（2）主機安全，監(jiān)控服務器、控制設備及對應系統(tǒng)、軟件、固件等是否滿足安全要求，安全防護措施是否有效;（3）網(wǎng)絡安全，由安全通信網(wǎng)絡和安全邊界防護構建的網(wǎng)絡是否滿足安全需求，是否可抵御不同類型的網(wǎng)絡攻擊;（4）數(shù)據(jù)安全，數(shù)據(jù)是否存在被泄露和篡改風險以及數(shù)據(jù)被篡改后是否可以被用于發(fā)動攻擊，導致電力調度錯誤。可見，安全檢測、數(shù)據(jù)防護、風險評估等已納入等級保護要求并加以實施，等級保護將靜態(tài)安全需求轉變?yōu)閯討B(tài)安全需求，并在被動防護中引入主動防護機制。

3 抽水蓄能電站工控系統(tǒng)的安全檢測技術

南方電網(wǎng)調峰調頻發(fā)電有限公司針對新安全形勢下電力工控系統(tǒng)安全檢測與等保2.0需求，積極探索主動安全檢測技術，主動挖掘和發(fā)現(xiàn)工控系統(tǒng)中存在的未知安全威脅。抽水蓄能電站工控系統(tǒng)安全檢測技術主要圍繞物理安全、主機安全、網(wǎng)絡安全、數(shù)據(jù)安全及安全檢測仿真平臺構建等方面展開研究。

3.1? ? 物理安全檢測技術

物理安全檢測主要根據(jù)安全物理環(huán)境要求展開，主要包括：（1）工控系統(tǒng)所處物理位置的抗震、防風、防雨、防水、防潮、防火、防靜電等能力和安全措施檢查;（2）工控系統(tǒng)物理訪問控制能力檢測;（3）工控系統(tǒng)防盜、防破壞等能力檢測;（4）工控系統(tǒng)電力供應、電磁防護等能力檢測。物理安全檢測多為合規(guī)性檢測，可通過多種傳感器、專業(yè)安全檢測儀器等周期性或實時展開。

3.2? ? 主機安全檢測技術

主機安全檢測主要對抽水蓄能電站工控系統(tǒng)中的集中監(jiān)控服務器、數(shù)據(jù)存儲服務器、LCU操作站、LCU工程師站、控制設備及運行于其上的操作系統(tǒng)、固件、應用軟件等展開安全檢測。由于部分設備與運行于其上的應用緊密耦合，這里將應用安全與主機安全一起討論。面向主機的安全檢測技術包括：

（1）設備識別：由于工控設備和系統(tǒng)在網(wǎng)絡中具有相應的特定屬性（即指紋），可首先通過主機存活性探測查看主機是否正常運行，然后基于指紋識別技術探測具體的工控設備或系統(tǒng)。其中，系統(tǒng)/工控設備指紋獲取[4]是設備識別研究的重點。

（2）漏洞掃描：針對抽水蓄能電站內工控系統(tǒng)及設備的已知漏洞展開檢測。漏洞掃描一般會建立電站工控系統(tǒng)漏洞庫，并保證定時更新漏洞庫，再基于漏洞庫進行定期漏洞掃描及驗證，從而有效檢測系統(tǒng)存在的安全漏洞。

（3）漏洞挖掘：針對抽水蓄能電站內工控系統(tǒng)及設備可能存在的未知漏洞展開檢測。電站關鍵設備在入網(wǎng)使用前需進行嚴格的漏洞挖掘檢測，減少0-day漏洞等帶來的安全風險。漏洞挖掘測試一般基于模糊測試技術，構建異常數(shù)據(jù)包作為輸入，通過對比實際輸出與預期輸出差異或查看被測目標是否產(chǎn)生宕機、異常等行為，判斷被測目標是否存在漏洞。

（4）漏洞修復檢測：指操作系統(tǒng)、設備固件、應用軟件通過打補丁方式修復漏洞后，對修復后的系統(tǒng)、固件、軟件進行安全檢測。一方面驗證漏洞是否被消除，另一方面對已修復的系統(tǒng)或軟件做進一步功能、性能和漏洞挖掘測試，避免在漏洞修復過程中相關功能、性能受影響，或由于代碼修改引入新漏洞。

3.3? ? 網(wǎng)絡安全檢測技術

網(wǎng)絡安全檢測一方面檢測網(wǎng)絡拓撲區(qū)域劃分和邊界防護措施是否滿足等級保護要求，另一方面通過動態(tài)方式對抽水蓄能電站工控系統(tǒng)的安全防護能力進行檢測。除傳統(tǒng)入侵檢測技術外，滲透測試也是非常有效的網(wǎng)絡安全檢測方法。

滲透測試技術從攻擊者角度對工控系統(tǒng)發(fā)起滲透攻擊，以發(fā)現(xiàn)系統(tǒng)中存在的安全問題。安全檢測人員可通過滲透測試技術對工控系統(tǒng)的安全網(wǎng)絡架構、訪問控制、邊界防護、入侵防范、可信驗證等安全防護能力和檢測能力進行有效驗證。但抽水蓄能電站工控系統(tǒng)直接關系著電力生產(chǎn)和水庫調度，很難直接實施滲透測試，因而構建工控系統(tǒng)安全檢測仿真平臺成為必然需求。

3.4? ? 數(shù)據(jù)安全檢測技術

除傳統(tǒng)的數(shù)據(jù)機密性、完整性檢測外，抽水蓄能電站還面臨數(shù)據(jù)注入攻擊的安全威脅，攻擊者通過對電站或某一LCU機組數(shù)據(jù)采集結果的篡改，影響電力調度或電廠內部的工況轉換。目前，針對虛假數(shù)據(jù)注入攻擊檢測的方法主要包括傳統(tǒng)的主成分分析法、基于卡爾曼濾波的檢測方法、基于人工智能的檢測方法等。

3.5? ? 安全檢測仿真平臺構建技術

工控系統(tǒng)安全檢測仿真平臺構建可采用實物、虛實結合、虛擬化3種方式。實物方式完全按照真實場景1：1復現(xiàn)工控場景，可準確還原工控系統(tǒng)受攻擊時的真實情況，但造價昂貴，可擴展性和靈活性差;虛擬化方式采用軟件仿真形式構建虛擬設備復現(xiàn)工控場景，該方式造價低、場景構建靈活，但由于虛擬工控設備無法完全模擬其真實功能，檢測結果難以真實反映工控系統(tǒng)安全情況;虛實結合方式將虛擬通用設備與真實工控設備相結合，兼具了實物方式和虛擬方式的優(yōu)勢，因此南方電網(wǎng)調峰調頻發(fā)電有限公司基于虛實結合方式構建安全檢測仿真平臺，將待檢測設備、系統(tǒng)部署于仿真平臺上，繼而在平臺上實施漏洞挖掘、滲透測試、數(shù)據(jù)注入攻擊等檢測技術，從而驗證電站工控系統(tǒng)安全措施的有效性，主動發(fā)現(xiàn)設備、系統(tǒng)存在的安全問題。

4 結語

本文圍繞抽水蓄能電站工控系統(tǒng)安全檢測需求，對工控系統(tǒng)在等保2.0中的安全等級保護要求進行分析，基于分析結果總結出適合抽水蓄能電站工控系統(tǒng)安全檢測的技術，為其適應等保2.0標準提供技術支撐。

[參考文獻]

[1] 黃楊梁，邵霞.自動電壓控制在抽水蓄能電站應用研究[J].水電與抽水蓄能，2016，2（2）：78-82.

[2] 高建偉，何曉亮，馬依文.抽水蓄能電站工控系統(tǒng)安全防護探討[J].水電站機電技術，2017，40（9）：63-66.

[3] 信息安全技術 網(wǎng)絡安全等級保護基本要求：GB/T 22239—2019[S].

[4] 李沁園，孫歆，戴樺，等.工業(yè)控制系統(tǒng)設備指紋識別技術[J].網(wǎng)絡空間安全，2017，8（1）：60-65.