水電站控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀及安全對策

張志華，秦繼偉，郭 江

（水利部機電研究所，天津 301900）

水電站控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀及安全對策

張志華，秦繼偉，郭 江

（水利部機電研究所，天津 301900）

水電站是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。隨著以太網(wǎng)技術(shù)在水電站控制系統(tǒng)中的應(yīng)用，以及國家對“兩化”整合的繼續(xù)，使水電站控制系統(tǒng)極易遭到來自管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬以及黑客的攻擊。本文闡述了水電站控制系統(tǒng)網(wǎng)絡(luò)安全問題的現(xiàn)狀、存在的風(fēng)險，提出了水電站控制系統(tǒng)網(wǎng)絡(luò)安全對策。

水電站控制系統(tǒng)；網(wǎng)絡(luò)安全；安全現(xiàn)狀；解決方案；安全對策

0 引言

目前，我國水電站在數(shù)量和裝機規(guī)模上均居世界第一，水電站為我國經(jīng)濟和社會發(fā)展做出了積極貢獻，為我國經(jīng)濟可持續(xù)發(fā)展提供了強勁的動力，水電站工程已成為國家經(jīng)濟建設(shè)的關(guān)鍵基礎(chǔ)設(shè)施之一。隨著信息化的推動、物聯(lián)網(wǎng)技術(shù)的應(yīng)用以及工業(yè)化進程的加速，計算機技術(shù)、網(wǎng)絡(luò)技術(shù)以及物聯(lián)網(wǎng)技術(shù)應(yīng)用于水電站控制系統(tǒng)，在為水電站生產(chǎn)帶來極大推動作用的同時，也為水電站的安全運行帶來了極大的安全隱患。

1 背景

隨著工業(yè)化、信息化引領(lǐng)的“兩化融合”深入推進，信息化在工業(yè)中的角色愈加重要，在帶來智能、方便與高效的同時，也把互聯(lián)網(wǎng)的威脅和風(fēng)險引入到工業(yè)控制網(wǎng)絡(luò)，專門針對工業(yè)控制系統(tǒng)的攻擊和信息竊取問題越加突出，由其引發(fā)的安全問題，甚至直接指向國家基礎(chǔ)設(shè)施。對工業(yè)控制系統(tǒng)的攻擊主要是破壞控制器、通訊設(shè)備、篡改工業(yè)參數(shù)指令或入侵系統(tǒng)破壞生產(chǎn)設(shè)備和生產(chǎn)工藝，威脅工業(yè)控制系統(tǒng)的物理安全、功能安全和信息安全。目前此類事件已頻繁發(fā)生在電力、水利、交通、核能、制造業(yè)等領(lǐng)域，給企業(yè)造成重大的經(jīng)濟損失，甚至威脅國家的戰(zhàn)略安全。尤其在2000年之后，對過程控制和數(shù)據(jù)采集監(jiān)控系統(tǒng)的攻擊增長了近10倍。特別是2010年爆發(fā)的Stuxnet病毒讓全球都明白，一直以來被認(rèn)為相對安全的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)已經(jīng)成為黑客攻擊的目標(biāo)。

針對越發(fā)嚴(yán)重的工業(yè)控制系統(tǒng)入侵等安全事件，世界各國都在積極研究相應(yīng)的應(yīng)對措施。為加強對工控網(wǎng)絡(luò)安全工作的指導(dǎo)，我國在2010年發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，2011年頒布了《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》（GB/T26333-2010），2014年頒布了《工業(yè)控制系統(tǒng)信息安全：評估規(guī)范》（GB/T30976.1—2014）和《工業(yè)控制系統(tǒng)信息安全：驗收規(guī)范》（GB/T30976.2—2014）。2014年2月習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議并發(fā)表的重要講話：“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”。2015年頒發(fā)了《中華人民共和國網(wǎng)絡(luò)安全法（草案）》，這標(biāo)志著我國實現(xiàn)了網(wǎng)絡(luò)安全立法頂層設(shè)計。

2 水電站控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

水電站控制系統(tǒng)在最初發(fā)展的幾十年里是完全獨立的，與管理系統(tǒng)是隔離的。但是隨著水電行業(yè)對實現(xiàn)管理與控制的一體化需求的增加，水電站控制系統(tǒng)和管理信息系統(tǒng)逐步實現(xiàn)了網(wǎng)絡(luò)化集成，管理信息網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)之間實現(xiàn)了數(shù)據(jù)交換，導(dǎo)致水電站控制系統(tǒng)不再是一個獨立運行的系統(tǒng)，而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進行互通、互聯(lián)。因此，水電站控制系統(tǒng)與其他工業(yè)控制系統(tǒng)一樣面臨著五大嚴(yán)重威脅：①工控設(shè)備本身的后門，包括進口設(shè)備和國產(chǎn)設(shè)備；②工控設(shè)備的高危漏洞，有協(xié)議漏洞和硬件漏洞等；③APT高級持續(xù)性攻擊，其攻擊手段、范圍、強度都達到了前所未見的高度強度；④工業(yè)病毒；⑤無線技術(shù)和無線產(chǎn)品的廣泛應(yīng)用，所帶來的一些風(fēng)險。

由于水電站控制系統(tǒng)的自身特點，在設(shè)計開發(fā)時，大部分未將系統(tǒng)防護、數(shù)據(jù)保密等安全指標(biāo)納入其中，而且控制系統(tǒng)網(wǎng)絡(luò)中大量使用TCP/IP技術(shù)，直接與互聯(lián)網(wǎng)連接，其防護措施薄弱（如TCP/IP協(xié)議缺陷、工業(yè)應(yīng)用漏洞等），導(dǎo)致攻擊者很容易通過互聯(lián)網(wǎng)間接入侵工業(yè)控制系統(tǒng)。雖然現(xiàn)有的一些水電站控制系統(tǒng)的網(wǎng)絡(luò)中，已經(jīng)有部署傳統(tǒng)的防火墻產(chǎn)品，在工作站上也有安裝殺毒軟件產(chǎn)品。但是，傳統(tǒng)的防火墻在保護OPC服務(wù)器時，由于不支持OPC協(xié)議的動態(tài)端口開放，不得不允許OPC客戶端和OPC服務(wù)器之間大范圍內(nèi)的任意端口號的TCP連接，防火墻提供的安全保障被降至最低。而反病毒軟件，通常因得不到及時更新，導(dǎo)致失去了對主流病毒、惡意代碼的防護能力。并且水電站控制系統(tǒng)的漏洞，不能得到及時的修復(fù)，大量漏洞長期存在。因此，水電站的控制系統(tǒng)極易遭到來自管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬以及黑客的攻擊。

目前水電站控制系統(tǒng)通用控制設(shè)備主要采用西門子、GE、施耐德等公司產(chǎn)品，這些通用控制器所具有的漏洞也極易成為惡意攻擊的突破口，給水電站控制系統(tǒng)安全帶來極大隱患。2011年全球獨立安全檢測機構(gòu)NSSLabs的一項報告稱，西門子的一個工業(yè)控制系統(tǒng)存在新的漏洞，該漏洞易受黑客攻擊，西門子總公司的官方聲明稱，此次被指存在漏洞的產(chǎn)品型號為SIMATICS7-1200。2015年施耐德電氣公司開始發(fā)布固件補丁處理影響該公司莫迪康（Modicon）M340可編程邏輯控制器（PLC）產(chǎn)品的高嚴(yán)重性漏洞，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）和施耐德電氣公司發(fā)布的報告顯示：該漏洞是一個緩沖區(qū)溢出漏洞（CVE-2015-7937），影響莫迪康M340系列產(chǎn)品。當(dāng)訪問使用了受影響的施耐德PLC的web服務(wù)器時，用戶會被要求在彈出的一個安全對話框中填入用戶名和口令，該域沒能正確處理輸入數(shù)據(jù)，當(dāng)填入一個較長隨機密碼，會導(dǎo)致設(shè)備崩潰。2015年EireannLeverett的安全研究人員在通用電氣（GE）MultiLinkML800系列的交換機上發(fā)現(xiàn)了2個高危漏洞，攻擊者可利用該漏洞在未經(jīng)授權(quán)的情況下破解網(wǎng)絡(luò)流量和發(fā)動DOS攻擊。

2015年10月份，天津水利電力機電研究所對天津市某水電站控制系統(tǒng)進行了安全測試，主要針對水電站控制系統(tǒng)中的重要的設(shè)備勵磁系統(tǒng)、調(diào)速系統(tǒng)、監(jiān)控系統(tǒng)等進行了漏洞挖掘、測試工作（圖1）。共發(fā)現(xiàn)15個漏洞，其中包含6個危急漏洞、9個高危漏洞，整體危險等級為危急。監(jiān)控系統(tǒng)在測試中發(fā)現(xiàn)，組態(tài)軟件所在PC開放了眾多端口，這些開放的端口很容易被利用進行設(shè)備登陸、控制、發(fā)起攻擊等。攻擊者利用漏洞非常容易對監(jiān)控系統(tǒng)進行控制和執(zhí)行相關(guān)操作，控制監(jiān)控系統(tǒng)下發(fā)錯誤操作指令；勵磁系統(tǒng)和閘門控制系統(tǒng)的核心為某國外知名品牌PLC，在測試中發(fā)現(xiàn)，發(fā)送相關(guān)畸形ModbusRTU報文容易導(dǎo)致被測設(shè)備產(chǎn)生崩潰，同時協(xié)議未進行加密認(rèn)證容易被攻擊機進行信息竊取和偽造，另外還發(fā)現(xiàn)存在內(nèi)存非法讀寫相關(guān)漏洞，攻擊者可以輕易控制PLC。調(diào)速系統(tǒng)的核心控制器在測試中發(fā)現(xiàn)，發(fā)送相關(guān)畸形ModbusRTU報文容易導(dǎo)致被測設(shè)備產(chǎn)生崩潰，同時協(xié)議未進行加密認(rèn)證容易被攻擊機進行信息竊取和偽造。這些水電站運行的關(guān)鍵工控設(shè)備都存在不同程度的安全隱患，其中一些嚴(yán)重的漏洞在受到攻擊時可能會引起水電站控制系統(tǒng)的系統(tǒng)崩潰，給水電站造成巨大的損失。

圖1

由此看到，水電站控制系統(tǒng)網(wǎng)絡(luò)安全面臨著嚴(yán)峻的挑戰(zhàn)和風(fēng)險，亟待研究和開發(fā)面向水電站的工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)和成套產(chǎn)品，對水電站控制系統(tǒng)中的工業(yè)控制設(shè)備（PLC）、工業(yè)控制系統(tǒng)（DCS，SCADA）、工業(yè)控制網(wǎng)絡(luò)中的安全保護設(shè)備（工控防火墻，網(wǎng)關(guān)），以及工控軟件進行全面自動化檢測、漏洞挖掘和安全防護，保障水電站控制系統(tǒng)的安全運行，加強和促進水電站的風(fēng)險管控能力建設(shè)。

3 安全對策

水電站控制系統(tǒng)網(wǎng)絡(luò)安全與傳統(tǒng)的互聯(lián)網(wǎng)安全具有本質(zhì)區(qū)別：①水利行業(yè)強調(diào)的是安全運行和可靠性，而互聯(lián)網(wǎng)安全關(guān)注的是機密性和私密性；②防范的優(yōu)先級別存在差別，水利行業(yè)保護的是工控系統(tǒng)本體和它的工作站，而互聯(lián)網(wǎng)要保護的是它的服務(wù)器和數(shù)據(jù)庫；③實時性也存在差異，水利的控制系統(tǒng)強調(diào)的實時性要高，出現(xiàn)故障反應(yīng)快，而互聯(lián)網(wǎng)往往就允許較大的延時；④互聯(lián)網(wǎng)防火墻是黑名單，工業(yè)控制系統(tǒng)防范手段往往是黑名單加白名單，兩個網(wǎng)之間的差異，防范手段之間的差異，都不一樣。因此，水電站控制系統(tǒng)網(wǎng)絡(luò)安全問題是不同于以往傳統(tǒng)的信息安全問題的新問題，需要采取新的策略應(yīng)對。識別水電站控制系統(tǒng)存在的風(fēng)險與隱患，實施相應(yīng)的安全保障策略是確保水電站控制系統(tǒng)安全運行的有效手段。

圖2 水電站監(jiān)控系統(tǒng)及防護結(jié)構(gòu)圖

水電站控制系統(tǒng)一般采取分層分布式監(jiān)控系統(tǒng)，將整個控制系統(tǒng)按控制的性質(zhì)、復(fù)雜的程度和組織結(jié)構(gòu)分為電站控制層和現(xiàn)地控制層。電站監(jiān)控層通常按監(jiān)控功能分布設(shè)置監(jiān)控節(jié)點，由各節(jié)點共同完成對全廠設(shè)備的監(jiān)控和管理?，F(xiàn)地層通常按電廠設(shè)備的分布設(shè)置現(xiàn)地控制單元，并可在脫離電廠控制級的情況下獨立完成對設(shè)備的自動監(jiān)控及現(xiàn)地集中控制。電站控制層一般由一臺或多臺計算機組成，現(xiàn)地控制層主要包括機組LCU、公用LCU、開關(guān)站LCU、閘門LCU、視頻監(jiān)控等現(xiàn)地控制、監(jiān)測設(shè)備。網(wǎng)絡(luò)結(jié)構(gòu)一般采用星形網(wǎng)絡(luò)結(jié)構(gòu)或環(huán)形網(wǎng)絡(luò)結(jié)構(gòu)。因此，應(yīng)根據(jù)水電站控制系統(tǒng)網(wǎng)絡(luò)的功能和特點，采取整套的防護方案。

水電站控制系統(tǒng)網(wǎng)絡(luò)安全防護整體方案應(yīng)包含工控設(shè)備的漏洞挖掘及檢測、工控設(shè)備的智能防護、控制網(wǎng)絡(luò)的安全監(jiān)測審計和整個系統(tǒng)的安全監(jiān)管（防護結(jié)構(gòu)如圖2所示）。

（1）漏洞挖掘及檢測

首先應(yīng)對控制系統(tǒng)中的關(guān)鍵設(shè)備如機組LCU、公用LCU、工控機及組態(tài)軟件、閘門LCU等進行漏洞挖掘檢測，發(fā)現(xiàn)系統(tǒng)中存在的潛在漏洞，并且有效地進行根源分析，減少零日漏洞等一系列的系統(tǒng)風(fēng)險。兼容性測試：利用一組測試案例序列，在一定的網(wǎng)絡(luò)環(huán)境下，對被測進行黑盒測試，通過比較IUT的實際輸出與預(yù)期輸出的異同，判定IUT是否與協(xié)議描述相一致，如對功能碼（合法/不合法）的響應(yīng)；穩(wěn)定性測試：通過隨機數(shù)據(jù)輸入（以Fuzz方式）到測試對象上，檢測是否會出現(xiàn)宕機，程序回應(yīng)異常等現(xiàn)象；漏洞掃描及驗證：基于漏洞特征庫對已知漏洞的掃描和驗證；攻擊測試：利用各種攻擊測試用例進行測試；風(fēng)暴測試：大并發(fā)狀態(tài)下檢測設(shè)備性能上限。根據(jù)漏洞挖掘檢測結(jié)果，建立控制系統(tǒng)網(wǎng)絡(luò)安全漏洞庫，確定控制系統(tǒng)防護方案。

（2）智能防護

根據(jù)控制系統(tǒng)網(wǎng)絡(luò)防護要求對工控設(shè)備如機組LCU、閘門LCU、開關(guān)站LCU等配置邊界保護、區(qū)域保護、終端保護等智能防護終端。智能防護終端內(nèi)置可更新的專業(yè)工業(yè)控制安全漏洞，覆蓋所有主流廠商產(chǎn)品，全力確保已知漏洞防護的準(zhǔn)確性和安全性，結(jié)合水電站控制系統(tǒng)網(wǎng)絡(luò)安全漏洞庫，通過多種安全策略，深度剖析工業(yè)控制網(wǎng)絡(luò)專有協(xié)議數(shù)據(jù)包，確保數(shù)據(jù)內(nèi)容的合法性，快速識別出系統(tǒng)中的非法操作。對APT攻擊、異?？刂菩袨楹头欠〝?shù)據(jù)包進行告警和阻斷，實現(xiàn)控制系統(tǒng)的深度安全防護。

（3）安全監(jiān)測審計

監(jiān)測審計終端采用旁路接入方式控制網(wǎng)絡(luò)，對網(wǎng)絡(luò)進行安全監(jiān)視。通過特定的安全策略，快速識別出網(wǎng)絡(luò)中存在的非法操作、異常事件、外部攻擊并實時告警。自動收集數(shù)據(jù)并提取特征，生成適應(yīng)當(dāng)前控制網(wǎng)絡(luò)環(huán)境的安全規(guī)則。對網(wǎng)絡(luò)數(shù)據(jù)、事件進行實時監(jiān)視，實時掌握控制系統(tǒng)網(wǎng)絡(luò)運行狀況。對控制系統(tǒng)網(wǎng)絡(luò)中存在的活動提供行為審計、內(nèi)容審計，生成完整記錄便于事件追溯。

（4）系統(tǒng)安全監(jiān)管

安全監(jiān)管平臺用于統(tǒng)一管理、監(jiān)測、保護控制系統(tǒng)網(wǎng)絡(luò)安全。安全監(jiān)管平臺與多臺智能保護終端、監(jiān)測審計終端組成一整套保護監(jiān)測系統(tǒng)。安全監(jiān)管平臺控制管理防護終端和審計終端，對防護終端和審計終端部署安全規(guī)則，監(jiān)控防護終端和審計終端所在網(wǎng)絡(luò)的通信流量與安全事件，對控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的安全威脅進行分析，提供包括行為審計、事件追蹤、威脅分析、日志管理、設(shè)備管理、安全性分區(qū)等多項功能。對保護終端和審計終端所產(chǎn)生的安全事件和平臺系統(tǒng)事件進行行為關(guān)聯(lián)性追蹤，找到引起當(dāng)前結(jié)果事件的源頭，為分析從源頭事件到結(jié)果事件的整個過程提供依據(jù)。

4 結(jié)語

隨著以太網(wǎng)技術(shù)在工業(yè)控制網(wǎng)絡(luò)的應(yīng)用，以及國家對“兩化”整合的繼續(xù)推進，未來的水電站控制系統(tǒng)將會融合更多的先進的信息安全技術(shù)，如可信計算、云安全等，水電站控制系統(tǒng)網(wǎng)絡(luò)安全成為關(guān)系政治穩(wěn)定、經(jīng)濟發(fā)展的重要因素。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書記在第一次會議上發(fā)表了重要講話，指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，彰顯出我國加強網(wǎng)絡(luò)安全保障的決心。因此，需不斷加強對水電站控制系統(tǒng)的整體安全部署，完善和提供整體的水電站控制系統(tǒng)網(wǎng)絡(luò)安全解決方案。

[1]郭 嫻.互聯(lián)網(wǎng)+時代下工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全[J].自動化博覽，2015(7).

[2]高 洋,彭 勇，謝 豐．美國工控安全保障管理的啟示[J].中國信息安全，2012(3).

[3]張淑英.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究[D].長春：吉林大學(xué)，2012.

[4]張云貴，趙 華，王麗娜.基于工業(yè)控制模型的非參數(shù)CUSUM入侵監(jiān)測方法[J].東南大學(xué)學(xué)報，2012,42(S1).

[5]王孝良，崔保紅，李思其.關(guān)于工控系統(tǒng)信息安全的思考與建議[J].信息網(wǎng)絡(luò)安全，2012(8).

[6]劉 威，李 冬，孫 波.工業(yè)控制系統(tǒng)安全分析[J].信息網(wǎng)絡(luò)安全，2012(8).

[7]熊 琦，彭 勇，戴忠華,等.工業(yè)控制系統(tǒng)的安全風(fēng)險評估[J].中國信息安全，2012(3).

[8]PoulsenK.SlammerwormcrashedOhionukeplantnetwork [EB/OL].SecurityFocus(2003-08-19).

[9]ByresJ，LoweJ.TheMythsandFactsbehindCyberSecurity RisksforIndustrialControlSystems[C]//Proc.OfVDE Congress，Berlin，2004.

TV736

B

1672-5387（2017）05-0064-04

10.13599/j.cnki.11-5130.2017.05.016

2016-07-04

張志華（1979-），男，工程師，從事水電廠自動化研究工作。