蔡蕙敏 周黎輝 吳暢

（貴陽(yáng)宏圖科技有限公司 貴州省貴陽(yáng)市 550002）

1 研究背景

隨著工業(yè)與信息化的融合發(fā)展，工業(yè)與信息技術(shù)進(jìn)入大數(shù)據(jù)、物聯(lián)網(wǎng)及互聯(lián)網(wǎng)+時(shí)代，在萬(wàn)物互聯(lián)的情況下，一些原有的獨(dú)立網(wǎng)絡(luò)的生產(chǎn)系統(tǒng)也暴露出了各種形態(tài)的隱患。電力能源系統(tǒng)作為基礎(chǔ)生產(chǎn)系統(tǒng)，它的正常運(yùn)行是各行各業(yè)各類型生產(chǎn)系統(tǒng)的基礎(chǔ)保障，從而電力生產(chǎn)系統(tǒng)的重要性擺到了重中之重的地位。而當(dāng)前的國(guó)際形式和各國(guó)之前頻發(fā)的網(wǎng)絡(luò)戰(zhàn)、網(wǎng)絡(luò)安全事件無(wú)不警醒我們要把信息安全放到國(guó)家安全的層面去考慮，綜合提高關(guān)鍵信息基礎(chǔ)設(shè)施的保障能力，通過(guò)檢查評(píng)估等多種形式促建、促改、促防。

2 電力能源生產(chǎn)系統(tǒng)安全性的特點(diǎn)

電力工業(yè)具有高度的自動(dòng)化和發(fā)、供、用同時(shí)完成的特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在電力生產(chǎn)中的應(yīng)用，使得我們能更合理有效的生產(chǎn)電、供應(yīng)電，但是我們所依存的電力在生產(chǎn)高效的同時(shí)所存在的開(kāi)放性和共享性，也為惡意攻擊創(chuàng)造了條件。電力系統(tǒng)從自然界到我們的工業(yè)或千家萬(wàn)戶，需要生產(chǎn)電也就是發(fā)電、輸送電、配送電到各個(gè)用戶端，這形成了一個(gè)長(zhǎng)鏈條的運(yùn)行系統(tǒng)，任何一個(gè)環(huán)節(jié)出現(xiàn)安全問(wèn)題就會(huì)影響整個(gè)電網(wǎng)的穩(wěn)定運(yùn)行。電網(wǎng)的信息系統(tǒng)安全出現(xiàn)事故，會(huì)影響電力的正常生產(chǎn)到供應(yīng)，甚至可能導(dǎo)致電網(wǎng)的崩潰和瓦解，給社會(huì)造成重大的經(jīng)濟(jì)損失，擾亂社會(huì)正常秩序，損害國(guó)家安全。電力生產(chǎn)系統(tǒng)分為一次系統(tǒng)和二級(jí)系統(tǒng)，本文所研究的安全能力和防護(hù)主要是針對(duì)二次系統(tǒng)環(huán)境。

3 電力能源生產(chǎn)系統(tǒng)安全性的難點(diǎn)

電力生產(chǎn)系統(tǒng)分為一次系統(tǒng)和二級(jí)系統(tǒng)，本文研究的安全能力和防護(hù)主要是針對(duì)二次系統(tǒng)環(huán)境。二次系統(tǒng)主要分為四個(gè)大區(qū)，大區(qū)分為兩類一類是生產(chǎn)控制大區(qū)主要為一區(qū)生產(chǎn)實(shí)施控制大區(qū)和二區(qū)生產(chǎn)非實(shí)時(shí)控制大區(qū)構(gòu)成；第二類為管理信息大區(qū)，主要有三區(qū)生產(chǎn)管理區(qū)和四區(qū)管理信息區(qū)構(gòu)成。電力系統(tǒng)在各個(gè)環(huán)節(jié)和不同層次具有相應(yīng)的信息與控制系統(tǒng)，對(duì)電能的生產(chǎn)過(guò)程進(jìn)行測(cè)量、調(diào)節(jié)、控制、保護(hù)、通信和調(diào)度，以保證用戶獲得安全、優(yōu)質(zhì)的電能。每一個(gè)環(huán)節(jié)的安全都至關(guān)重要且逐層升級(jí)，因此每一層的保護(hù)強(qiáng)度不同，目的不同，所采取的防護(hù)評(píng)估方法也不盡相同。

4 案例分析

4.1 系統(tǒng)基本情況

4.1.1 管理信息系統(tǒng)

ERP 系統(tǒng)：

某發(fā)電有限公司ERP 系統(tǒng)主要完成的業(yè)務(wù)功能有：合同管理、申請(qǐng)基礎(chǔ)設(shè)施、會(huì)計(jì)規(guī)則、財(cái)務(wù)管理、人力資源、全面預(yù)算管理、項(xiàng)目合同管理、文檔管理、燃料管理、項(xiàng)目管理、生產(chǎn)管理等。

4.1.2 生產(chǎn)控制信息系統(tǒng)基本情況

DCS 系統(tǒng)：

DCS 系統(tǒng)采用上海自動(dòng)化儀表股份有限公司SupMAX800-v2k控制系統(tǒng)，DCS 系統(tǒng)對(duì)生產(chǎn)全過(guò)程進(jìn)行集中監(jiān)視和控制，為保證機(jī)組安全停機(jī)，設(shè)置了機(jī)組緊急停機(jī)時(shí)必要的后備硬手操設(shè)備。

4.2 檢查情況匯總

4.2.1 管理信息系統(tǒng)

4.2.1.1 ERP 系統(tǒng)

（1）安全問(wèn)題風(fēng)險(xiǎn)評(píng)估：

通過(guò)對(duì)關(guān)聯(lián)資產(chǎn)的產(chǎn)生危害的程度來(lái)分析判定風(fēng)險(xiǎn)等級(jí)，風(fēng)險(xiǎn)分為高中低三級(jí)以下以列表形式給出風(fēng)險(xiǎn)分析情況。

其中最大安全危害（損失）結(jié)果應(yīng)結(jié)合安全問(wèn)題所影響業(yè)務(wù)的重要程度、相關(guān)系統(tǒng)組件的重要程度、安全問(wèn)題嚴(yán)重程度以及安全事件影響范圍等進(jìn)行綜合分析。（詳見(jiàn)表1）

表1：管理信息系統(tǒng)安全問(wèn)題風(fēng)險(xiǎn)分析表

（2）主要安全問(wèn)題：

1.信息機(jī)房有供熱水管穿頂而下，熱水管如果發(fā)生爆裂會(huì)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器及相關(guān)設(shè)備造成損壞。

2.信息機(jī)房無(wú)防盜報(bào)警系統(tǒng),機(jī)房設(shè)備會(huì)有非授權(quán)訪問(wèn)或被盜竊的風(fēng)險(xiǎn)。

3.機(jī)房有火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，但滅火物質(zhì)不適合機(jī)房。缺少自動(dòng)滅火功能，當(dāng)機(jī)房管理人員脫崗事存在機(jī)房服務(wù)器，能發(fā)生滅火不及時(shí)火情蔓延升級(jí)。

4.機(jī)房無(wú)水敏感檢測(cè)儀表和報(bào)警系統(tǒng),當(dāng)發(fā)生水滲透事故時(shí)，不能及時(shí)發(fā)現(xiàn)情況，不能把損失降到最低。

5.防火墻集成了多種功能，且沒(méi)有雙備份冗余，升級(jí)功能即將到期。

6.主機(jī)安全方面，身份鑒別未采用兩種以上組合的身份鑒別技術(shù)。

7.應(yīng)用安全方面，身份鑒別未采用兩種以上組合的身份鑒別技術(shù)。

8.管理安全方面，數(shù)據(jù)備份沒(méi)有采取異地存儲(chǔ)措施。

（3）問(wèn)題處置建議：

1.信息機(jī)房有供熱水管穿頂而下，建議對(duì)熱水管進(jìn)行禁用或?qū)崴苓M(jìn)行改道不經(jīng)過(guò)信息機(jī)房。

2.信息機(jī)房無(wú)防盜報(bào)警系統(tǒng)，應(yīng)盡快請(qǐng)專業(yè)的安防公司安裝防盜報(bào)警系統(tǒng)。

3.信息機(jī)房配備置專業(yè)的機(jī)房自動(dòng)消防系統(tǒng)。

4.盡快購(gòu)新的防火墻，且雙機(jī)冗余。

5.身份鑒別除了采用賬號(hào)識(shí)別，還可采取令牌鑒別加帳號(hào)識(shí)別，采用雙認(rèn)證。

6.對(duì)重要的數(shù)據(jù)采取異地存儲(chǔ)備份措施。

4.2.2 生產(chǎn)控制信息系統(tǒng)

4.2.2.1 安全問(wèn)題風(fēng)險(xiǎn)評(píng)估

其中最大安全危害（損失）結(jié)果應(yīng)結(jié)合安全問(wèn)題所影響業(yè)務(wù)的重要程度、相關(guān)系統(tǒng)組件的重要程度、安全問(wèn)題嚴(yán)重程度以及安全事件影響范圍等進(jìn)行綜合分析。（表略）

4.2.2.2 主要安全問(wèn)題

（1）工程師站屬于生產(chǎn)控制信息系統(tǒng)，并對(duì)現(xiàn)場(chǎng)的生產(chǎn)數(shù)據(jù)采集的分析，屬重要場(chǎng)所，應(yīng)加雙門(mén)禁，但未安裝。

（2）工程師站機(jī)房屬重要場(chǎng)所，但未加裝防盜報(bào)警系統(tǒng)。

（3）工程師站無(wú)水敏感檢測(cè)儀表和報(bào)警系統(tǒng),當(dāng)發(fā)生水滲透事故時(shí)，不能及時(shí)發(fā)現(xiàn)情況，不能把損失降到最低。

（4）DSC 網(wǎng)絡(luò)中無(wú)旁路審計(jì)設(shè)備，無(wú)法檢測(cè)流量異常。

（5）工程師站無(wú)工業(yè)防火墻。

（6）主機(jī)安全方面，身份鑒別未采用兩種以上組合的身份鑒別技術(shù)。

（7）應(yīng)用安全方面，身份鑒別未采用兩種以上組合的身份鑒別技術(shù)。

（8）管理安全方面，數(shù)據(jù)備份沒(méi)有采取異地存儲(chǔ)措施。

4.2.2.3 問(wèn)題處置建議

（1）工程師站應(yīng)安裝雙門(mén)禁。

（2）工程師無(wú)防盜報(bào)警系統(tǒng)，應(yīng)盡快請(qǐng)專業(yè)的安防公司安裝防盜報(bào)警系統(tǒng)。

（3）工程師應(yīng)配置工來(lái)防火墻，且雙機(jī)冗余。

（4）DSC 網(wǎng)絡(luò)中配置旁路審計(jì)設(shè)備。

（5）身份鑒別除了采用賬號(hào)識(shí)別，還可采取令牌鑒別加帳號(hào)識(shí)別，采用雙認(rèn)證。

（6）對(duì)重要的數(shù)據(jù)采取異地存儲(chǔ)備份措施。

5 檢查方法總結(jié)

5.1 網(wǎng)絡(luò)全局檢查

主要采用工業(yè)控制系統(tǒng)指紋掃描、資產(chǎn)發(fā)現(xiàn)的手段和作為驗(yàn)證工控系統(tǒng)防護(hù)能力的主要技術(shù)手段，在檢查的過(guò)程中可能涉及到以下內(nèi)容（包括但不限于）：

（1）工控軟硬件的資產(chǎn)發(fā)現(xiàn)；

（2）已有資產(chǎn)的脆弱性分析；

（3）已有脆弱性的影響的離線驗(yàn)證。

5.2 遠(yuǎn)程檢測(cè)

主要針對(duì)業(yè)務(wù)系統(tǒng)，采用人工安全性檢測(cè)和使用安全掃描工具對(duì)被檢測(cè)對(duì)象進(jìn)行安全漏洞掃描相結(jié)合的檢查方式，全面查找發(fā)現(xiàn)被檢測(cè)目標(biāo)的安全漏洞信息，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行人工核實(shí)，確保不會(huì)由于檢查人員的個(gè)體差異造成誤報(bào)。

5.3 本地檢查

本地檢查主要對(duì)一些需要在現(xiàn)場(chǎng)上機(jī)進(jìn)行實(shí)際檢查與確認(rèn)的信息進(jìn)行核實(shí)，以及對(duì)某些訪談和文檔審核的內(nèi)容進(jìn)行核實(shí)。

檢查人員通過(guò)對(duì)被檢查對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明系統(tǒng)安全的保護(hù)措施有效的一種方法，檢查針對(duì)被查單位情況開(kāi)發(fā)相應(yīng)檢查表和并采用安全檢測(cè)工具檢測(cè)、核實(shí)安全情況。

對(duì)被檢測(cè)系統(tǒng)可通過(guò)技術(shù)手段對(duì)工控系統(tǒng)中關(guān)鍵區(qū)域的惡意訪問(wèn)、病毒傳播、木馬鏈接等隱性高風(fēng)險(xiǎn)進(jìn)行檢查發(fā)現(xiàn)。同時(shí)，可對(duì)被檢測(cè)對(duì)象進(jìn)行異常流量分析，發(fā)現(xiàn)安全隱患。檢查不限于有線網(wǎng)絡(luò)，同時(shí)需要對(duì)本地?zé)o線網(wǎng)絡(luò)的安全進(jìn)行檢查。

5.4 現(xiàn)場(chǎng)安全性檢查

現(xiàn)場(chǎng)安全性檢查包括功能檢查、性能檢查以及滲透測(cè)試，主要針對(duì)被檢測(cè)系統(tǒng)的功能及性能方面進(jìn)行檢查，驗(yàn)證被檢測(cè)系統(tǒng)的功能及性能符合要求；以及從操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)及網(wǎng)絡(luò)設(shè)備等方面可能存在的漏洞及弱點(diǎn)出發(fā)，對(duì)網(wǎng)絡(luò)及系統(tǒng)進(jìn)行滲透性測(cè)試，檢查網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)有效。

現(xiàn)場(chǎng)安全性檢查，要求檢查人員具備一定的網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)，要掌握網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)、現(xiàn)場(chǎng)技術(shù)核查能力，必須對(duì)各種廠家安全設(shè)備、操作系統(tǒng)、開(kāi)發(fā)語(yǔ)言都了解，還要實(shí)時(shí)更新最新安全漏洞發(fā)布情況?？傮w來(lái)說(shuō)現(xiàn)場(chǎng)檢查人員的能力和經(jīng)驗(yàn)會(huì)直接影響本次檢查的質(zhì)量。

5.5 訪談?wù){(diào)研檢查

通過(guò)檢查人員與被檢查對(duì)象的相關(guān)人員進(jìn)行交談和問(wèn)詢，了解系統(tǒng)管理和安全管理方面的一些基本信息，并對(duì)一些檢查內(nèi)容及其文檔審核的內(nèi)容進(jìn)行核實(shí)。通過(guò)檢查表、人員訪談、人工核查、文檔查閱等手段，了解安全管理弱點(diǎn)，對(duì)被檢查企業(yè)的安全管理體系、安全運(yùn)維過(guò)程等方面，對(duì)比《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》要求進(jìn)行檢查。