智能電網(wǎng)智能終端工控安全風險分析及防護方案

夏 飛

（國網(wǎng)江蘇省電力公司 信息通信分公司，江蘇 南京 210024）

智能電網(wǎng)智能終端工控安全風險分析及防護方案

夏 飛

（國網(wǎng)江蘇省電力公司 信息通信分公司，江蘇 南京 210024）

隨著智能電網(wǎng)和智慧能源城市的建設，電網(wǎng)企業(yè)將在非傳統(tǒng)區(qū)域部署大量的智能終端，這些智能終端一方面將實現(xiàn)與電網(wǎng)的靈活互動，另一方面也易于受到外界攻擊，因此智能終端的工控安全風險愈發(fā)成為社會和企業(yè)關注的焦點。文章闡述了智能終端面臨的工控風險，并介紹了目前可行的防護方案。

智能終端；工控安全；安全防護

智能電網(wǎng)依托在高度集成、友好互動的信息通信網(wǎng)絡，將海量分布的傳感器，通過復雜的控制和算法實現(xiàn)高效決策能力，最終達到安全、可靠、經(jīng)濟、高效、友好互動的使用目標，其展現(xiàn)的優(yōu)秀性能已被各個國家重視和認可。從21世紀開始，以美國和歐洲國家為代表的不同國家和組織都將智能電網(wǎng)視為未來電網(wǎng)的發(fā)展方向[1]。我國將于2020年初步建成智能電網(wǎng)體系[2]。

2010年6月震網(wǎng)（Stuxnet）病毒首次被探測，通過USB介質(zhì)在隔離的網(wǎng)絡間傳播，通過攻擊目標是西門子SCADA的系統(tǒng)，達到定向攻擊基礎（能源）設施的目的。2015年烏克蘭發(fā)生了大規(guī)模停電事故，SCADA系統(tǒng)受到重創(chuàng)，經(jīng)調(diào)查，主要是系統(tǒng)內(nèi)部出現(xiàn)了BlackEnergy惡意軟件的變體BlackEnergyLite等惡意軟件，該惡意代碼經(jīng)電力二次系統(tǒng)進行傳播，該事件被認為是第一例網(wǎng)絡攻擊造成的大停電事件[3-4]。本文首先分析智能電網(wǎng)存在的工控安全風險，然后詳細描述了智能電網(wǎng)智能終端的工控安全防護方案。

1 智能終端工控網(wǎng)絡安全風險分析

1.1 智能電網(wǎng)安全標準缺乏

隨著智能電網(wǎng)規(guī)模的擴大，海量終端分布在各地，原有控制網(wǎng)絡與互聯(lián)網(wǎng)的將呈現(xiàn)融合連接的模式，電力系統(tǒng)結(jié)構也會變得日益復雜，必然考驗著電力系統(tǒng)的安全性和可靠性，同時海量終端的連接也將導致不同接口的數(shù)量增加，各個系統(tǒng)之間的數(shù)據(jù)交互也將呈現(xiàn)幾何級數(shù)量增長。傳統(tǒng)的電力系統(tǒng)內(nèi)部安全域劃分，很難適應未來電力系統(tǒng)結(jié)構的安全防護需求[5]。

1.2 電力智能終端引入信息安全風險

在深入推進智能電網(wǎng)建設同時，海量智能、可編程的設備將接入電網(wǎng)，通過對電網(wǎng)運行的實時監(jiān)控，可以有效對故障點進行定位和故障處理，提升電網(wǎng)系統(tǒng)穩(wěn)定性、可靠性。智能設備能夠支持遠程控制，比如遠程連接、斷開、配置、升級等。在信息技術發(fā)展帶來便利的同時，安全漏洞也同樣伴隨左右，通過入侵智能設備，黑客可以對設備進行完全控制，對某些設備功能進行破壞，甚至有可能控制局部電力系統(tǒng)，造成非常嚴重的后果。因此智能設備的分布式部署，對信息的安全整體防護提出了更加嚴格的要求[6-7]。

1.3 電網(wǎng)環(huán)境復雜化，攻擊手段智能化

智能電網(wǎng)的深入推進，智能終端設備對網(wǎng)絡接入環(huán)境，網(wǎng)絡性能提出更高要求，隨之而來的是黑客對網(wǎng)絡攻擊也會大幅增加；無線技術（如WiFi，4G/3G/2G）為智能電網(wǎng)生產(chǎn)、管理、運行等帶來網(wǎng)絡接入便利性同時，由于無線信號覆蓋范圍廣，基于無線網(wǎng)絡的安全比傳統(tǒng)有線網(wǎng)絡安全要求也會更高；目前，電力公司通過無線虛擬專網(wǎng)（通過使用移動、電信、聯(lián)通等無線公網(wǎng)）來傳輸重要數(shù)據(jù)，在一定條件下，也可能對智能電網(wǎng)安全性造成潛在威脅。預計在將來網(wǎng)絡的攻擊會呈現(xiàn)規(guī)模化和組織化，攻擊手段也會多樣靈活，勢必會給電力網(wǎng)絡安全帶來新的考驗。

1.4 用戶側(cè)的安全威脅

在“兩化”融合的深入推進下，用戶和電網(wǎng)之間會實現(xiàn)信息友好雙向互動。依托AMI系統(tǒng)，用戶側(cè)的智能終端及設備（比如智能電器、插拔式電動車等）將與電力系統(tǒng)實現(xiàn)直連，這些連接模式勢必會為用戶帶來不可知的安全隱患：用戶與電力公司的信息交互通過公網(wǎng)進行傳輸，傳輸通過公網(wǎng)進行，不可避免地會帶來信息安全隱患；家用智能設備充分也暴露在電力系統(tǒng)中，容易受到不法分子的攻擊。除此之外智能電網(wǎng)的信息安全問題還涉及其他因素，如心懷不滿的員工、工業(yè)間諜和恐怖分子發(fā)動的攻擊，而且還必須涉及因用戶錯誤、設備故障和自然災害引起的對信息基礎設施的無意破壞。智能電網(wǎng)天然的復雜性和脆弱性，會使不法分子通過一定的手段進入到電力網(wǎng)絡內(nèi)部，控制電力生產(chǎn)系統(tǒng)，破壞電力負荷條件，極端情況下會造成電網(wǎng)癱瘓。

1.5 工業(yè)控制系統(tǒng)漏洞多

在智能電網(wǎng)的發(fā)展下，SCADA系統(tǒng)用于電力的調(diào)度和支持，物聯(lián)網(wǎng)網(wǎng)的融合發(fā)展，工業(yè)控制系統(tǒng)存在較多的漏洞。工業(yè)控制系統(tǒng)的漏洞類型如圖1所示。

工作站操作系統(tǒng)漏洞，工控系統(tǒng)建成后幾乎不升級操作系統(tǒng)，存在較多漏洞。應用軟件漏洞，工控軟件一般和殺毒軟件存在沖突，工控網(wǎng)絡基本未暗轉(zhuǎn)殺毒軟件，病毒可以存在與工控網(wǎng)絡，應用軟件的漏洞通常較容易識別，一旦系統(tǒng)暴露到公共網(wǎng)絡，后果不堪設想。網(wǎng)絡協(xié)議漏洞，工控網(wǎng)絡大都基于TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議，而目前的OPC服務器等關鍵協(xié)議交換設備依賴于外國進口，而為了工程服務的需要，廠家通常會預留后門，一旦爆發(fā)信息戰(zhàn)，主動權必然在設備廠商手中。安全管理漏洞，項目建設中，通常會有不同的人接觸并操作工控設備，使用不同的外設設備如U盤，筆記本連接等，都有可能讓病毒有可乘之機。病毒防護設備漏洞，目前市場上的病毒防護設備安全等級參差不齊，這些設備既是防護設備，也是攻擊源頭。網(wǎng)絡端口使用漏洞，工控設備在投運后，各種控制網(wǎng)絡端口并不一定都會采用專用元件進行密封操作，很可能會有不恰當?shù)娜藛T在沒有專門培訓的前提下隨意插入外設設備，帶來潛在攻擊風險。操作行為漏洞，由于現(xiàn)場監(jiān)控工作的枯燥性，現(xiàn)場時常有一些年輕的未經(jīng)過專業(yè)培訓的操作員，在夜間值班期間將工作站非法連接公共網(wǎng)絡，給外部攻擊以可乘之機。

2 智能電網(wǎng)工控網(wǎng)絡安全防護方案

基于第二章的風險分析，智能電網(wǎng)更多的風險暴露于面向用戶側(cè)和末端的智能終端設備，包括智能交互終端、電力機器人、可編程設備、智能電表、智能電器、插拔式電動車等。用電信息采集系統(tǒng)是智能設備的典型應用，本章節(jié)將結(jié)合用電信息采集系統(tǒng)的安全防護方案概括智能電網(wǎng)安全防護方案。

2.1 安全防護總體架構

智能電網(wǎng)信息管理大區(qū)信息系統(tǒng)的安全防護模型如圖2所示，在信息內(nèi)網(wǎng)中獨立成域，按照三級防護原則進行安全防護設計。

在不同主站系統(tǒng)之間，通過遠程安全加密通道、身份認證、網(wǎng)絡邊界安全防護、隔離裝置等安全措施，為應用系統(tǒng)提供數(shù)據(jù)源認證、抗回放、數(shù)據(jù)加密、數(shù)據(jù)完整性驗證等多種可靠的安全防護，全方面地網(wǎng)絡安全防護有效保護網(wǎng)絡中可能存在的各種威脅，從而有效保障相關數(shù)據(jù)的安全性或網(wǎng)絡誘騙以防止從內(nèi)部網(wǎng)絡信息等攻擊。

圖1 工控系統(tǒng)漏洞類型圖

圖2 信息管理大區(qū)安全防護框架

安全防護體系總體原則：信息內(nèi)網(wǎng)和信息外網(wǎng)之間采用邏輯強隔離設備進行強隔離；信息系統(tǒng)間的遠程傳輸采用網(wǎng)絡加密系統(tǒng)保證遠程數(shù)據(jù)傳輸?shù)陌踩院屯暾?、對終端和用戶身份進行嚴格驗證，保證用戶身份的唯一性和真實性。信息系統(tǒng)通過劃分為邊界、網(wǎng)絡環(huán)境、主機系統(tǒng)、應用系統(tǒng)4個層次進行安全防護設計，以實現(xiàn)層層遞進，縱深防御。

2.2 智能終端的安全防護方案

智能終端安全防護的主要思路為：

（1）在主站系統(tǒng)的內(nèi)部通過部署防病毒中心Server，在PC、服務器上部署防病毒Client，有效杜絕非法代碼、潛在的病毒威脅和攻擊。

（2）在主站系統(tǒng)邊界部署兩套防火墻，實現(xiàn)邊界的安全隔離和安全策略防護。

（3）在服務器上部署安全增強系統(tǒng)以增強其安全性，保證相關數(shù)據(jù)安全。

（4）在系統(tǒng)內(nèi)部部署一套安全審計系統(tǒng)，對相關服務器和終端的運行、操作、維護等行為進行長期有限監(jiān)控，及時發(fā)現(xiàn)異常操作。

（5）部署基于工控系統(tǒng)網(wǎng)絡的監(jiān)測審計平臺，對網(wǎng)絡中的工控協(xié)議數(shù)據(jù)進行跟蹤審計，及時發(fā)現(xiàn)協(xié)議的篡改，協(xié)議攻擊等行為。

（6）IDS系統(tǒng)與主站系統(tǒng)的核心交換機直連，通過旁路的方式及時發(fā)現(xiàn)網(wǎng)絡中存在的可疑流量。

（7）漏洞掃描系統(tǒng)部署在核心交換機上，實現(xiàn)定期地對設備終端、服務器可能存在的漏洞進行掃描整理，及時打補丁完善。

（8）在各主站系統(tǒng)處部署兩臺高速主機密碼機，在專變終端、集中器和用戶電能表處部署安全模塊，實現(xiàn)應用層數(shù)據(jù)完整性、機密性、可用性和可靠性保護。

2.2.1 邊界防護

邊界安全防護關注如何對進出該邊界的數(shù)據(jù)流進行有效的檢測和控制。如圖3所示，智能電網(wǎng)網(wǎng)絡邊界歸為信息外網(wǎng)第三方邊界、信息內(nèi)網(wǎng)第三方邊界、信息內(nèi)外網(wǎng)第三方邊界、信息內(nèi)網(wǎng)縱向上下級單位邊界及橫向域間邊界5類。電力用戶用電信息采集系統(tǒng)部署在信息內(nèi)網(wǎng)，其邊界可劃分成信息內(nèi)網(wǎng)第三方邊界、信息內(nèi)外網(wǎng)邊界、信息內(nèi)網(wǎng)縱向上下級單位邊界及橫向域間邊界4類。

2.2.2 網(wǎng)絡環(huán)境安全防護

網(wǎng)絡環(huán)境安全防護面向智能電網(wǎng)整體支撐性網(wǎng)絡，以及為各安全域提供網(wǎng)絡支撐平臺的網(wǎng)絡環(huán)境設施，網(wǎng)絡環(huán)境具體包括網(wǎng)絡中提供連接的路由、交換設備以及安全防護體系建設所引入的安全設備、網(wǎng)絡基礎服務設施。關鍵的網(wǎng)絡和安全設備實現(xiàn)自主可控替代，網(wǎng)絡的鏈路通訊實現(xiàn)數(shù)據(jù)的加密處理。

2.2.3 主機系統(tǒng)安全防護

主機系統(tǒng)安全防護包括對服務器及桌面終端的安全防護，服務器包括業(yè)務應用服務器、網(wǎng)絡服務器、Web服務器、文件與通信等；桌面終端包括作為終端用戶工作站的臺式機與筆記本計算機。

主機系統(tǒng)的防護主要包含及時修復操作系統(tǒng)補丁，安裝殺毒軟件并保持病毒庫的更新，關閉不必要的服務，設置密碼策略，賬戶鎖定策略，開啟系統(tǒng)的日志審計等。

對于工控網(wǎng)絡中的上位機、操作員站、工程師站等主機，由于與殺毒軟件存在兼容性問題，可以在該類系統(tǒng)上部署關鍵文件保護程序，實現(xiàn)白名單殺毒方式，保護關鍵文件，發(fā)現(xiàn)對關鍵文件進行修改的程序啟動保護。

2.2.4 應用安全防護

應用安全防護包括對于主站應用系統(tǒng)本身的防護，用戶接口安全防護、系統(tǒng)間數(shù)據(jù)接口的安全防護、系統(tǒng)內(nèi)數(shù)據(jù)接口的安全防護。應用安全防護的目標是通過采取身份認證、訪問控制等安全措施，保證應用系統(tǒng)自身的安全性，以及與其他系統(tǒng)進行數(shù)據(jù)交互時所傳輸數(shù)據(jù)的安全性；采取審計措施在安全事件發(fā)生前發(fā)現(xiàn)入侵企圖或在安全事件發(fā)生后進行審計追蹤。

3 結(jié)語

本文就智能電網(wǎng)的工控網(wǎng)絡存在的風險和防護方法進行了介紹，由于智能電網(wǎng)特別是智能終端的研究和建設處于起步階段，智能終端存在較多的薄弱環(huán)節(jié)，物理設施和網(wǎng)絡通信體制還處于融合階段，智能終端由于部署在非電網(wǎng)企業(yè)傳統(tǒng)管理區(qū)域往往成為惡意用戶的攻擊首選，因此需要特別注意智能終端的安全防護。

圖3 智能電網(wǎng)系統(tǒng)邊界示意圖

[1]張文亮，劉壯志，王明俊，等.智能電網(wǎng)的研究進展及發(fā)展趨勢[J].電網(wǎng)技術，2009（13）： 1-11.

[2]馬偉.2020 年初步建成智能電網(wǎng)體系[J].科技中國，2015（7）：32-35.

[3]新華網(wǎng).2020年初步建成智能電網(wǎng)體系[EB/OL].（2016-11-25）[2015-07-17].http：//news.xinhuanet.com/energy/2015-07/17/c_128029351. htm.

[4]曹軍威，萬宇鑫，涂國煜，等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構研究[J].計算機學報，2013（1）：143-167.

[5]湯奕，王琦，倪明，等.電力信息物理融合系統(tǒng)中的網(wǎng)絡攻擊分析[J].電力系統(tǒng)自動化，2016（6）：4.

[6] DEPURU S S S R，Wang L，Devabhaktuni V.Support vector machine based data classification for detection of electricity theft[C]. Power Systems Conference and Exposition, 2011：1-8.

[7]BABU V, NICOL D M.Detection of x86 malware in AMI data payloads[C].2015 IEEE International Conference on Smart Grid Communications, Smart Grid Communication, 2015：617-622.

Risk analysis and protection scheme of industrial control in smart grid terminal

Xia Fei
（Information and Communications Branch of Jiangsu Electric Power Company, Nanjing 210024, China）

With the construction of smart grid and smart energy city, power grid enterprises will deploy a large number of intelligent terminal in non-traditional areas. On one hand, these intelligent terminal will achieve a flexible interaction with the grid, on the other hand, they are vulnerable to outside attacks, therefore, the intelligent terminal industrial security risks increasingly become the focus of attention of society and enterprises. This paper describes the risk of industrial control of the intelligent terminal, and introduces the current feasible protection scheme.

intelligent terminal; industrial control safety; safety protection

夏飛（1981— ），男，江蘇句容，本科，工程師；研究方向：網(wǎng)絡通信。