丁 澤 濤

(雅礱江流域水電開(kāi)發(fā)有限公司，四川 成都 610051)

0 前 言

目前，國(guó)內(nèi)水電站智能化建設(shè)基本都采用了IEC61850標(biāo)準(zhǔn)進(jìn)行統(tǒng)一建模，在IEC61850標(biāo)準(zhǔn)中，將智能水電站系統(tǒng)從現(xiàn)地控制單元到監(jiān)控系統(tǒng)上位機(jī)依次劃分為站控層、間隔層、過(guò)程層3個(gè)層面。其中，站控層采用基于TCP/IP的MMS協(xié)議，實(shí)現(xiàn)對(duì)間隔層、過(guò)程層的信息數(shù)字化統(tǒng)一建模和管控。間隔層、過(guò)程層采用 GOOSE、SV規(guī)約，在以太網(wǎng)上直接通信。過(guò)程層(設(shè)備層)基于IEC61850標(biāo)準(zhǔn)的水電站普遍采用以太網(wǎng)交換技術(shù)，具體表現(xiàn)為廣泛采用電子互感器及合并單元，配置智能化一次設(shè)備，自動(dòng)完成信息采集、測(cè)量、控制、保護(hù)、計(jì)量、檢測(cè)等功能，這也是智能水電站區(qū)別于傳統(tǒng)電站的關(guān)鍵[1]。

1 安全問(wèn)題與隱患

目前，基于IEC61850標(biāo)準(zhǔn)的智能水電站在電力監(jiān)控系統(tǒng)安全防護(hù)方面主要存在以下問(wèn)題與隱患。

1.1 安全問(wèn)題

(1)傳統(tǒng)功能的防火墻不能有效解決安全Ⅰ區(qū)與Ⅱ之間的邏輯隔離問(wèn)題[2]，實(shí)時(shí)區(qū)與非實(shí)時(shí)區(qū)訪問(wèn)控制策略設(shè)置的不合適，也為后續(xù)工作開(kāi)展帶來(lái)了諸多問(wèn)題。

(2)水電站使用的傳輸協(xié)議主要是IEC61850，包括MMS、GOOSE、SV等協(xié)議。這些協(xié)議存在缺少鑒別控制指令是否來(lái)自合法用戶的機(jī)制，服務(wù)請(qǐng)求向任意訪問(wèn)者開(kāi)放，魯棒性差，難以抵抗惡意報(bào)文攻擊等問(wèn)題。

(3)水電站全線主機(jī)、交換機(jī)網(wǎng)絡(luò)訪問(wèn)接入控制缺乏技術(shù)手段與管理措施。外來(lái)網(wǎng)絡(luò)設(shè)備接入站內(nèi)操作沒(méi)有進(jìn)行安全檢查，容易將病毒、木馬等惡意代碼引入站內(nèi)系統(tǒng)。

(4)水電站運(yùn)維現(xiàn)場(chǎng)系統(tǒng)的有序性還需進(jìn)一步提高和加強(qiáng)，關(guān)鍵步驟和操作缺少監(jiān)護(hù)的情況依然存在。對(duì)于接入各層網(wǎng)絡(luò)進(jìn)行運(yùn)維調(diào)試操作的設(shè)備尚沒(méi)有規(guī)范的管控手段，對(duì)運(yùn)維人員的操作過(guò)程沒(méi)有記錄、審計(jì)，不能發(fā)現(xiàn)越權(quán)訪問(wèn)、異常操作等行為。

(5)水電站在各層缺少流量監(jiān)測(cè)審計(jì)措施，對(duì)異常流量不能監(jiān)測(cè)，無(wú)法識(shí)別工控協(xié)議MMS、GOOSE、SV等以及深度解析，無(wú)法監(jiān)測(cè)到利用這些協(xié)議漏洞進(jìn)行攻擊的病毒、木馬等惡意攻擊程序以及誤操作、違規(guī)操作等篡改數(shù)據(jù)的攻擊。

(6)工控主機(jī)存在問(wèn)題。工業(yè)系統(tǒng)在設(shè)計(jì)之初更多地考慮生產(chǎn)運(yùn)行的可行性，在安裝了應(yīng)用系統(tǒng)后，很少對(duì)底層操作系統(tǒng)進(jìn)行安全的配置，包括未開(kāi)啟審核策略、密碼策略、訪問(wèn)控制限定等。此外，為保證控制系統(tǒng)的運(yùn)行穩(wěn)定性，通常不會(huì)對(duì)操作系統(tǒng)進(jìn)行補(bǔ)丁升級(jí)，甚至有些早期購(gòu)買的控制系統(tǒng)早已過(guò)了許可認(rèn)證期。更為嚴(yán)重的情況是，為了保證工控系統(tǒng)應(yīng)用軟件的可用性，廠商在系統(tǒng)出廠時(shí)及出廠后甚至都不允許安裝殺毒軟件。即使安裝了殺毒軟件，病毒庫(kù)的更新在工業(yè)控制離線運(yùn)行環(huán)境下也難以實(shí)現(xiàn)。同時(shí)，隨意使用U盤、移動(dòng)硬盤、手機(jī)等移動(dòng)存儲(chǔ)介質(zhì)現(xiàn)象，有可能將傳染病毒、木馬等威脅因素帶入生產(chǎn)系統(tǒng)。后期在安全防護(hù)問(wèn)題整改中，雖然安裝了防病毒軟件，但由于軟件安裝不全面或者安裝后無(wú)法及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)，一旦出現(xiàn)問(wèn)題，往往無(wú)法及時(shí)準(zhǔn)確定位問(wèn)題的起因、影響范圍及可能采取的針對(duì)性措施。

1.2 安全隱患

(1)截獲。非法獲取電站與其他系統(tǒng)之間傳輸?shù)男畔⒒蛘叻欠ǐ@取電站網(wǎng)絡(luò)中存儲(chǔ)的信息。

(2)中斷。使水電站內(nèi)部或與其他系統(tǒng)之間的通信中斷，使調(diào)度主站無(wú)法了解水電站的運(yùn)行工況，主站的控制命令也無(wú)法正確執(zhí)行。

(3)篡改。更改水電站與其他系統(tǒng)之間傳輸?shù)男畔⒒蛘咚娬緝?nèi)遙控命令、修改定值命令等，使調(diào)度主站獲得錯(cuò)誤的運(yùn)行工況，造成水電站內(nèi)事故。

(4)惡意程序。這些程序包括特洛伊木馬、計(jì)算機(jī)蠕蟲、勒索病毒、邏輯炸彈等計(jì)算機(jī)病毒，對(duì)水電站系統(tǒng)運(yùn)行的正確性、實(shí)時(shí)性和可靠性造成極大威脅，最嚴(yán)重時(shí)可能使系統(tǒng)癱瘓。

(5)非法授權(quán)。非法用戶得到授權(quán)后可以直接接入和訪問(wèn)集控中心或上級(jí)電力調(diào)度中心，對(duì)電網(wǎng)系統(tǒng)造成威脅。

2 對(duì)策及分析

針對(duì)當(dāng)前存在問(wèn)題及隱患，在推進(jìn)智能化建設(shè)的過(guò)程中，我們可以從法規(guī)依從、安全架構(gòu)、風(fēng)險(xiǎn)評(píng)估、邊界防護(hù)、終端接入管控、監(jiān)測(cè)審計(jì)、工業(yè)主機(jī)防護(hù)、安全運(yùn)維審計(jì)、統(tǒng)一安全管理等方面開(kāi)展相關(guān)工作。

2.1 法規(guī)依從

電力監(jiān)控系統(tǒng)開(kāi)展網(wǎng)絡(luò)安全防護(hù)工作主要依從以下標(biāo)準(zhǔn)規(guī)范：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》；GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》；GB/T 25070—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》；GB/T 37138—2019《電力信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》；能源局36號(hào)文附件1《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》；能源局36號(hào)文附件5《水電站電力監(jiān)控系統(tǒng)安全防護(hù)方案》；能源局317號(hào)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》；能源局318號(hào)《電力行業(yè)信息安全等級(jí)保護(hù)管理辦法》；《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》；《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》；《電力監(jiān)控系統(tǒng)安全防護(hù)整體方案》等。

2.2 安全架構(gòu)

依據(jù)能源局36號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》的總體框架和基本原則以及附件5《水電站監(jiān)控系統(tǒng)安全防護(hù)方案》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的有關(guān)規(guī)定，進(jìn)行了如下安全架構(gòu)設(shè)計(jì)(見(jiàn)圖1)。

圖1 安全架構(gòu)設(shè)計(jì)

2.3 風(fēng)險(xiǎn)評(píng)估

通過(guò)風(fēng)險(xiǎn)評(píng)估服務(wù)(借助脆弱性掃描系統(tǒng))對(duì)水電站電力監(jiān)控系統(tǒng)所涉及的資產(chǎn)(系統(tǒng)、硬件、軟件、網(wǎng)絡(luò)、漏洞以及安全配置)進(jìn)行識(shí)別、梳理、分析、記錄，及時(shí)了解網(wǎng)絡(luò)的安全配置、安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)，為接下來(lái)的安全防護(hù)工作提供必要的依據(jù)。

同時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者定期對(duì)全網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、工控系統(tǒng)等進(jìn)行全面漏洞評(píng)估和安全基線檢查，及時(shí)了解網(wǎng)絡(luò)的薄弱環(huán)節(jié)，并有針對(duì)性進(jìn)行預(yù)防與加固。

2.4 邊界防護(hù)

在實(shí)時(shí)控制Ⅰ區(qū)與非實(shí)時(shí)控制Ⅱ區(qū)，部署工業(yè)防火墻或者將傳統(tǒng)防火墻替換成工業(yè)防護(hù)墻，實(shí)現(xiàn)對(duì)Ⅰ區(qū)與Ⅱ區(qū)之間的邏輯隔離。

邊界防護(hù)主要解決了以下問(wèn)題：

基于IP、端口以及工業(yè)協(xié)議(如IEC-104、MMS、GOOSE等)和工業(yè)黑名單規(guī)則庫(kù)的訪問(wèn)控制策略，解決不同區(qū)之間的邏輯隔離與違規(guī)訪問(wèn)問(wèn)題；

基于白名單自學(xué)習(xí)功能，形成白名單基線安全模型，解決不同區(qū)之間的誤操作、違規(guī)操作以及病毒、木馬等惡意代碼攻擊問(wèn)題；

基于工控協(xié)議識(shí)別與深度解析功能，解決針對(duì)利用工控協(xié)議脆弱性進(jìn)行攻擊的問(wèn)題；

基于網(wǎng)絡(luò)攻擊庫(kù)，針對(duì)網(wǎng)絡(luò)DDoS(如ICMP-FLOOD、UDP-FLOOD)的攻擊進(jìn)行安全防護(hù)。

2.5 終端接入管控

在實(shí)時(shí)控制區(qū)與非控制區(qū)分別部署一臺(tái)網(wǎng)絡(luò)接入控制設(shè)備，實(shí)現(xiàn)對(duì)終端接入管控。

利用網(wǎng)絡(luò)準(zhǔn)入技術(shù)實(shí)現(xiàn)對(duì)外來(lái)設(shè)備接入內(nèi)部網(wǎng)絡(luò)進(jìn)行管控，解決因外來(lái)設(shè)備的違規(guī)接入導(dǎo)致的IP沖突、病毒木馬入侵等問(wèn)題，提升管理水平。

2.6 監(jiān)測(cè)審計(jì)

在實(shí)時(shí)控制區(qū)和非實(shí)時(shí)控制區(qū)部署工控網(wǎng)絡(luò)監(jiān)測(cè)設(shè)計(jì)設(shè)備，通過(guò)對(duì)交換機(jī)進(jìn)行鏡像設(shè)置，工控網(wǎng)絡(luò)審計(jì)設(shè)備旁路被動(dòng)式采集全流量，對(duì)安全Ⅰ區(qū)和Ⅱ區(qū)的工控流量進(jìn)行分析，識(shí)別出工控協(xié)議(如MMS、GOOSE、SV等)以及深度解析這些協(xié)議(如解析功能碼、寄存器地址、寄存器地址范圍、寄存器的指令讀寫控制、參數(shù)閾值等內(nèi)容)。利用機(jī)器自學(xué)人工智能技術(shù)，對(duì)工控流量中的合法行為進(jìn)行學(xué)習(xí)，形成白名單安全基線模型，實(shí)時(shí)發(fā)現(xiàn)匿藏在工控流量中的威脅，如病毒、木馬、惡意攻擊以及違規(guī)操作、誤操作等行為，并記錄、審計(jì)，為事后追溯、定位提供有力的證據(jù)，幫助維護(hù)人員快速定位事故點(diǎn)，縮短系統(tǒng)恢復(fù)時(shí)間。

監(jiān)測(cè)審計(jì)可以解決水電站在各層缺少流量監(jiān)測(cè)審計(jì)措施，對(duì)異常流量不能進(jìn)行監(jiān)測(cè)，無(wú)法識(shí)別工控協(xié)議(MMS、GOOSE、SV等協(xié)議)以及深度解析，無(wú)法有效監(jiān)測(cè)到利用這些協(xié)議漏洞而進(jìn)行攻擊的病毒、木馬等惡意攻擊程序以及誤操作、違規(guī)操作等篡改數(shù)據(jù)的攻擊問(wèn)題。

2.7 工業(yè)主機(jī)防護(hù)

在水電站全線的工業(yè)主機(jī)(包括監(jiān)控主機(jī)、五防站、故障濾波等)部署工控主機(jī)防護(hù)系統(tǒng)中，實(shí)現(xiàn)對(duì)工業(yè)主機(jī)的惡意代碼防護(hù)，即解決：

利用機(jī)器自學(xué)功能，對(duì)工業(yè)主機(jī)的服務(wù)、進(jìn)程、端口進(jìn)行學(xué)習(xí)，形成白名單基線模型，對(duì)不在基線模型中的病毒、木馬等惡意攻擊代碼進(jìn)行阻斷、運(yùn)行，同時(shí)對(duì)USB口進(jìn)行管控，實(shí)現(xiàn)對(duì)工業(yè)主機(jī)的安全防護(hù)；解決多數(shù)工業(yè)主機(jī)為Windows XP、Windows 2003、Windows 2008等操作系統(tǒng)問(wèn)題，這些系統(tǒng)存在打補(bǔ)丁不現(xiàn)實(shí)、安全配置弱、部署殺毒軟件與工業(yè)應(yīng)用軟件兼容性較差、病毒庫(kù)無(wú)法更新等問(wèn)題。

2.8 安全運(yùn)維審計(jì)

在非控制區(qū)部署堡壘機(jī)一臺(tái)，進(jìn)行集中賬號(hào)管理、集中登錄認(rèn)證、集中用戶授權(quán)和集中操作審計(jì)，實(shí)現(xiàn)對(duì)運(yùn)維人員的操作行為審計(jì)，對(duì)違規(guī)操作、非法訪問(wèn)等行為進(jìn)行有效監(jiān)督，為事后追溯提供依據(jù)。

安全運(yùn)維審計(jì)可解決：水電站運(yùn)維現(xiàn)場(chǎng)系統(tǒng)運(yùn)維無(wú)序、缺乏操作監(jiān)護(hù)；對(duì)于接入各層網(wǎng)絡(luò)進(jìn)行運(yùn)維調(diào)試操作的設(shè)備尚沒(méi)有規(guī)范的管控手段，對(duì)運(yùn)維人員的操作過(guò)程沒(méi)有記錄、審計(jì)，不能發(fā)現(xiàn)越權(quán)訪問(wèn)、異常操作等行為。

2.9 統(tǒng)一安全管理

隨著業(yè)務(wù)的增多，網(wǎng)絡(luò)的安全管理成為網(wǎng)絡(luò)建設(shè)的新重點(diǎn)，把各個(gè)分離的安全體系統(tǒng)一管理、統(tǒng)一運(yùn)營(yíng)，將在很大程度上解決設(shè)備繁雜、管理混亂的問(wèn)題。在安全Ⅰ區(qū)或安全Ⅱ區(qū)部署統(tǒng)一安全管理中心(平臺(tái))，可以有效解決上述問(wèn)題。

在安全Ⅱ區(qū)部署一套工業(yè)控制和安全管理平臺(tái)，主要用于實(shí)時(shí)監(jiān)控水電站計(jì)算機(jī)網(wǎng)絡(luò)和安全設(shè)備的運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)非法外部連接、外部入侵等安全事件，并告警，收集水電站原有網(wǎng)絡(luò)設(shè)備、安全設(shè)備等日志信息[3]。通過(guò)對(duì)水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)通信流程和安全事件的監(jiān)測(cè)，從整體視角進(jìn)行安全事件分析、安全攻擊溯源、安全事件根因挖掘等，為水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)當(dāng)前的狀態(tài)以及未來(lái)可能受到的攻擊做出態(tài)勢(shì)評(píng)估與預(yù)測(cè)，為專業(yè)人員提供可靠、有效的決策依據(jù)，最大程度上降低水電站電力監(jiān)控系統(tǒng)可能遭受的風(fēng)險(xiǎn)和損失，提升水電站網(wǎng)絡(luò)安全防護(hù)整體水平。

3 結(jié) 論

通過(guò)上述分析與討論，對(duì)于流域電站智能化建設(shè)中的電力監(jiān)控系統(tǒng)安全防護(hù)問(wèn)題，可以從3個(gè)維度上進(jìn)行更好的改進(jìn)。

(1)全面提升電站網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性，符合國(guó)家主管部門、行業(yè)監(jiān)管部門的管理要求以及電力監(jiān)控系統(tǒng)安全防護(hù)要求。

(2)全面提升電站生產(chǎn)網(wǎng)絡(luò)的整體安全性，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性和安全性，為保障電力生產(chǎn)保駕護(hù)航。

(3)全面提高電站業(yè)務(wù)人員的安全水平和安全意識(shí)，提升安全管理水平、工作效率和管理效益。