劉慕嫻，陸力瑜，莫蓓蓓，劉桂華

（廣西電網(wǎng)電力調(diào)度控制中心，南寧 530000）

0 引言

近年來，黑客攻擊工控系統(tǒng)的事件頻繁發(fā)生，并呈現(xiàn)增長趨勢。根據(jù)工業(yè)安全事件信息庫RISI（Repository of Industrial Security Incidents）的統(tǒng)計，截止2019年，全球已經(jīng)發(fā)生了數(shù)百起專門針對工業(yè)控制系統(tǒng)的重大攻擊事件。相關(guān)資料表明，通用軟硬件和通信協(xié)議在數(shù)據(jù)采集監(jiān)控系統(tǒng)和過程控制等方面的應(yīng)用，安全事故的發(fā)生率明顯上升，不利于工業(yè)控制系統(tǒng)的管理。破壞工業(yè)控制系統(tǒng)的方式較多，其中最主要的就是非法入侵系統(tǒng)，該方式不僅涉及網(wǎng)絡(luò)技術(shù)和計算機(jī)領(lǐng)域，還涉及制造業(yè)和電力等行業(yè)，對國家經(jīng)濟(jì)產(chǎn)生不可估量的損失，影響國家信息戰(zhàn)略的安全。

在眾多工業(yè)行業(yè)中，電力行業(yè)的安全穩(wěn)定對國家安全及民眾生活顯尤為重要。為此，國家及相關(guān)部門發(fā)布了一系列的政策要求以規(guī)范電力系統(tǒng)網(wǎng)絡(luò)安全管理工作。2009年發(fā)布的國家電網(wǎng)公司企業(yè)標(biāo)準(zhǔn)Q/GDW 383-2009《智能變電站技術(shù)導(dǎo)則》中第11部分運(yùn)行維護(hù)中提及應(yīng)配置一體化檢驗(yàn)裝置或系統(tǒng)，實(shí)現(xiàn)整間隔檢修及移動檢修的要求，2015年國家能源局發(fā)布的國能安全36號令附件5《變電站監(jiān)控系統(tǒng)安全防護(hù)方案》中第4部分安全部署提及對于已經(jīng)投入運(yùn)行的系統(tǒng)及設(shè)備，應(yīng)當(dāng)按照國家能源局及其派出機(jī)構(gòu)的要求及時進(jìn)行整改，同時應(yīng)當(dāng)加強(qiáng)相關(guān)系統(tǒng)及設(shè)備的運(yùn)行管理和安全防護(hù)的要求。

1 變電站運(yùn)維現(xiàn)狀

隨著外部網(wǎng)絡(luò)攻擊事件頻發(fā)，為保障電力系統(tǒng)安全穩(wěn)定的運(yùn)行，各地電網(wǎng)調(diào)度主站逐步部署了網(wǎng)絡(luò)安全管理平臺，調(diào)度數(shù)據(jù)網(wǎng)主站端設(shè)備也隨之達(dá)到安全加固。各省、市級電力監(jiān)控系統(tǒng)以《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》為標(biāo)準(zhǔn)，以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”為原則，綜合采用了防火墻、入侵檢測、主機(jī)加固、病毒防護(hù)、日志審計、統(tǒng)一管理等多種手段進(jìn)行了全面的安全防護(hù)。但是，變電站監(jiān)控系統(tǒng)設(shè)備檢修作業(yè)時，通常采用廠家運(yùn)維人員自帶的筆記本直接連接站控網(wǎng)絡(luò)層進(jìn)行維護(hù)操作的方式，存在檢修作業(yè)事前無防護(hù)，事中無審計，事后無追蹤等問題，也增加了網(wǎng)絡(luò)結(jié)構(gòu)性安全風(fēng)險，缺乏有效的網(wǎng)絡(luò)安全防護(hù)手段。

檢修運(yùn)維人員進(jìn)入了工業(yè)現(xiàn)場（如變電站）后，跳過了層層設(shè)防的網(wǎng)絡(luò)安全設(shè)備直接將筆記本電腦、移動存儲設(shè)備等通過網(wǎng)絡(luò)端口和USB接口接入現(xiàn)場系統(tǒng)，對設(shè)備進(jìn)行檢修運(yùn)維操作。這種檢修運(yùn)維方式會產(chǎn)生如下一系列管控問題：

由于現(xiàn)場設(shè)備廠家較多，造成運(yùn)維人員管理難度大增，且存在賬號多人共用、密碼未及時修改、弱口令、臨時賬號未刪除等問題，容易被黑客入侵導(dǎo)致安全事件的發(fā)生；

檢修運(yùn)維過程中，由于缺少物理隔離和擺渡，不同網(wǎng)絡(luò)交叉使用的移動存儲介質(zhì)和運(yùn)維設(shè)備（如U盤，筆記本電腦）容易將惡意代碼帶入到工控系統(tǒng)之中，從而對系統(tǒng)安全性造成嚴(yán)重威脅；

由于缺少安全審計手段，在檢修運(yùn)維人員出現(xiàn)誤操作甚至惡意操作的情況下，存在發(fā)生安全事故的隱患，而在安全事故發(fā)生之后又難以追蹤溯源并定責(zé)；

在檢修運(yùn)維過程中，缺少對運(yùn)維人員訪問權(quán)限進(jìn)行限制，運(yùn)維人員可以隨意訪問其他資產(chǎn)信息，導(dǎo)致核心生產(chǎn)數(shù)據(jù)和配置信息被泄露。

由此可以看出，對電力系統(tǒng)現(xiàn)場檢修運(yùn)維操作進(jìn)行有效的管控是保障工控信息安全不可或缺的一項(xiàng)重要環(huán)節(jié)。針對上述運(yùn)維管控難點(diǎn)，廣西電網(wǎng)公司資助的科技項(xiàng)目曾做了較為前沿的技術(shù)研究，并成功開發(fā)了一套針對變電站運(yùn)維作業(yè)過程管控和審計的變電站電力監(jiān)控系統(tǒng)檢修作業(yè)安全運(yùn)維裝置（項(xiàng)目編號：GXKJXM20190682），并在試點(diǎn)運(yùn)行過程中發(fā)揮了較為出色的效果，在不增加運(yùn)維工作人員較多額外工作量的同時，保障了運(yùn)維過程的安全性。

本文將針對如上風(fēng)險問題通過技術(shù)手段對運(yùn)維人員操作進(jìn)行約束和監(jiān)督。

2 總體策略研究

為了解決變電站現(xiàn)場運(yùn)維的痛點(diǎn)，實(shí)現(xiàn)對外來運(yùn)維人員的操作進(jìn)行管控和審計。本文結(jié)合了GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（以下簡稱“等保2.0”）中安全區(qū)域邊界及安全計算環(huán)境相關(guān)安全要求，有針對性的制定了一套檢修運(yùn)維安全防護(hù)策略，分別從認(rèn)證授權(quán)、惡意代碼防范、訪問控制、操作審計等幾個方面對運(yùn)維操作進(jìn)行全程監(jiān)管。

認(rèn)證授權(quán)：內(nèi)置身份管理模塊，可通過登錄口令、密碼、USBkey、數(shù)字證書、生物技術(shù)等方式實(shí)現(xiàn)對檢修員身份進(jìn)行雙因子驗(yàn)證。同時對檢修運(yùn)維過程中的操作行為進(jìn)行相應(yīng)的管控，避免出現(xiàn)惡意操作導(dǎo)致的安全事故；

安全審計：對檢修運(yùn)維操作過程全程監(jiān)控并錄制操作視頻以供回放，為事后追溯問題時提供最直觀有效的證據(jù)；

惡意代碼防范：對移動介質(zhì)進(jìn)行防病毒處理，由于大多數(shù)工控主機(jī)并未安裝防病毒軟件，因而無法查殺移動介質(zhì)自帶的病毒；

訪問控制：通過對裝置部署安全防護(hù)策略，防止運(yùn)維人員對未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備進(jìn)行訪問，同時，為避免將惡意代碼帶入工控系統(tǒng)，需要對移動介質(zhì)數(shù)據(jù)通過擺渡進(jìn)行操作；

圖1 方法示意圖

基于以上提出的四個維度的安全策略，通過設(shè)計一種便攜式變電站安全調(diào)試裝置并結(jié)合現(xiàn)場檢修運(yùn)維的實(shí)際情況進(jìn)行安全有效地管控，可以大大降低工控系統(tǒng)現(xiàn)場檢修運(yùn)維的風(fēng)險，有效保障工控設(shè)備資產(chǎn)的安全。

3 安全運(yùn)維策略方法

3.1 認(rèn)證授權(quán)

在2019年國家正式發(fā)布的等保2.0針對設(shè)備以及計算安全類別第三級中明確要求需要加強(qiáng)對政企內(nèi)部安全的管控，需對用戶身份具有二次鑒別能力。作為變電站運(yùn)維工作開始前的第一道門檻，便攜式變電站安全調(diào)試裝置配備了雙因子身份認(rèn)證模塊，并可設(shè)置賬戶鎖定策略，從而完成了運(yùn)維人員的身份驗(yàn)證并保障了賬戶防破解的能力。

因便攜式變電站安全調(diào)試裝置是通過網(wǎng)口直連到現(xiàn)場的交換機(jī)與被檢修對象進(jìn)行連接通信的，為了防止裝置與同一網(wǎng)絡(luò)內(nèi)存在的其他工控設(shè)備發(fā)生IP地址沖突，需要在配置IP前先做IP地址沖突檢測。進(jìn)行該步驟時，運(yùn)維人員需要先通過檢測后方可保存裝置IP地址，有效防止因IP沖突而導(dǎo)致的系統(tǒng)異常情況發(fā)生。

變電站在進(jìn)行檢修運(yùn)維作業(yè)時，對作業(yè)過程中運(yùn)維人員行為操作的控制非常重要，裝置側(cè)可通過識別當(dāng)前開啟的應(yīng)用進(jìn)程，捕獲應(yīng)用窗口對其進(jìn)行鍵盤記錄和指令審計，并記錄相應(yīng)操作日志信息。內(nèi)置可由廠家自定義導(dǎo)入的高危指令集，且當(dāng)檢測到高危指令時立即阻斷并觸發(fā)審批策略。有效阻止并避免危險、違規(guī)操作，確保運(yùn)維安全。

3.2 惡意代碼防范

惡意代碼是防范是工控系統(tǒng)安全運(yùn)行的根基，等保2.0中明確要求：應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或采用可信計算技術(shù)建立從系統(tǒng)到應(yīng)用的信任鏈，實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中重要程序或文件完整性檢測，并在檢測到破壞后進(jìn)行恢復(fù)。為保障系統(tǒng)的安全性和穩(wěn)定性，便攜式變電站安全調(diào)試裝置基于Linux進(jìn)行開發(fā)。由于工控系統(tǒng)封閉的特殊性，現(xiàn)場的設(shè)備基本都未安裝殺毒軟件，對惡意代碼的防護(hù)能力幾乎為零。運(yùn)維作業(yè)時裝置側(cè)將成為惡意代碼入侵的一條高危路徑，因此，裝置側(cè)的惡意代碼防范能力將成為保障目標(biāo)系統(tǒng)安全性的關(guān)鍵一環(huán)。

便攜式變電站安全調(diào)試裝置內(nèi)置惡意代碼庫，可基于惡意代碼特征進(jìn)行檢查。每次運(yùn)維作業(yè)開始前，裝置側(cè)需要對自身系統(tǒng)關(guān)鍵位置進(jìn)行惡意代碼檢查，同時可自定義其余檢查路徑，保障裝置自身安全性。其操作也將記錄進(jìn)系統(tǒng)操作日志，避免運(yùn)維人員隨意恢復(fù)被隔離文件，增加系統(tǒng)風(fēng)險。

在現(xiàn)場運(yùn)維過程中，運(yùn)維人員通常會用到U盤等外接存儲設(shè)備。裝置側(cè)對每次接入的存儲設(shè)備進(jìn)行惡意代碼檢查，檢查通過后方可允許運(yùn)維人員對存儲設(shè)備進(jìn)行讀取操作，以保障運(yùn)維作業(yè)處于安全的環(huán)境之中。

3.3 訪問控制

因變電站運(yùn)維作業(yè)的特殊性，對運(yùn)維時間有非常嚴(yán)格的要求。為了有效管控運(yùn)維人員對目標(biāo)系統(tǒng)的接入權(quán)限，管理員可根據(jù)任務(wù)實(shí)際情況在裝置側(cè)設(shè)定該次任務(wù)的開始時間和結(jié)束時間，防止運(yùn)維人員在非計劃運(yùn)維時間內(nèi)接入目標(biāo)系統(tǒng)進(jìn)行作業(yè)而導(dǎo)致安全事故的發(fā)生。

裝置側(cè)集成了防火墻功能，默認(rèn)禁止未授權(quán)的網(wǎng)絡(luò)服務(wù)訪問。管理員可在裝置側(cè)根據(jù)訪問控制策略自定義設(shè)置訪問控制規(guī)則，默認(rèn)情況下除了控制規(guī)則內(nèi)允許的通信外，其余受控接口均拒絕所有通信。每次檢修任務(wù)開始前，管理員以最小化訪問控制規(guī)則的原則，根據(jù)該次任務(wù)的實(shí)際需求設(shè)置訪問控制規(guī)則，訪問控制規(guī)則包括檢修對象IP地址、端口、傳輸協(xié)議。比如管理員設(shè)置了該次任務(wù)的目標(biāo)IP為192.168.1.2，端口為21，則運(yùn)維人員無法通過裝置側(cè)訪問其余IP的設(shè)備和端口，可以有效保障其余資產(chǎn)信息的安全。

3.4 操作審計

根據(jù)等保2.0中安全審計一節(jié)的要求，需要對重要的用戶行為和重要安全事件進(jìn)行審計，審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型等。裝置側(cè)對檢修運(yùn)維作業(yè)全過程事件信息、操作記錄、安全報警信息等內(nèi)容進(jìn)行完整記錄，并將記錄文件有效地進(jìn)行歸檔保存，方便事后進(jìn)行問題追溯。同時還支持按照事件開始和結(jié)束的時間范圍以及事件名稱進(jìn)行相關(guān)查詢并可將查詢結(jié)果導(dǎo)出。

事后對任務(wù)的審計手段中，除了日志和事件信息外，視頻是最直觀的取證方式。裝置側(cè)后臺通過全程錄像的方式靜默記錄運(yùn)維人員對目標(biāo)系統(tǒng)的全部操作，生成的視頻錄像將與操作日志和事件信息等內(nèi)容進(jìn)行關(guān)聯(lián)，審計人員可通過檢索的方式進(jìn)行事件定位，方便審計人員對運(yùn)維操作進(jìn)行回溯追蹤的同時節(jié)約大量觀看視頻的時間，以提高工作效率。

4 應(yīng)用部署

考慮到變電站點(diǎn)多面廣的現(xiàn)狀，裝置通過采用便攜式三防筆記本的設(shè)計，可以應(yīng)對各種復(fù)雜的現(xiàn)場環(huán)境，并滿足一臺設(shè)備支撐多個站點(diǎn)檢修運(yùn)維工作的需求。業(yè)務(wù)的大致流程可以分為如下4步：①管理員配置任務(wù)授權(quán)規(guī)則；②廠家運(yùn)維人員申領(lǐng)裝置并帶至現(xiàn)場；③現(xiàn)場檢修運(yùn)維作業(yè)；④結(jié)束任務(wù)返還裝置。

圖2 業(yè)務(wù)流程示意圖

現(xiàn)場部署操作簡單，只需將裝置側(cè)通過網(wǎng)線連接至現(xiàn)場交換機(jī)，通過任一身份鑒別方式+密碼的方式登錄到任務(wù)界面即可開始檢修運(yùn)維作業(yè)。

圖3 現(xiàn)場部署示意圖

5 結(jié)語

隨著科技的不斷發(fā)展，國家和各級主管部門對電力監(jiān)控系統(tǒng)的安全性要求也越來越高。變電站作為國內(nèi)最重要的基礎(chǔ)設(shè)施之一，其安全性不言而喻。本文通過對目前變電站運(yùn)維現(xiàn)狀所碰到的痛點(diǎn)進(jìn)行了詳細(xì)分析，并且針對上述痛點(diǎn)提出了安全運(yùn)維的策略及方法，為電力部門運(yùn)維管理人員面對運(yùn)維人員在現(xiàn)場檢修運(yùn)維作業(yè)管控難的問題提供了一套有效可行的方案。