淺談電力系統(tǒng)網(wǎng)絡安全架構(gòu)

張智慧 牛喜民 趙鳳偉

（1.華能濟寧高新區(qū)熱電有限公司，山東濟寧272000；2.華能新疆能源開發(fā)有限公司塔什店發(fā)電廠，新疆巴音郭楞841000；3.北京鎧撒信息技術(shù)有限公司，北京101199）

0 引言

電力系統(tǒng)業(yè)務復雜、網(wǎng)絡連接復雜、相關(guān)運維人員復雜，如何有效應對APT攻擊？筆者認為應該從電力系統(tǒng)安全架構(gòu)設計入手，建立安全有彈性的符合等保體系的安全架構(gòu)，加強企業(yè)安全策略，從項目建設階段到系統(tǒng)運維階段全生命周期地做好網(wǎng)絡信息安全保障。如何建立有效的電力系統(tǒng)安全架構(gòu)？

1 打造基礎設施安全、應用安全、數(shù)據(jù)安全、業(yè)務安全的層級架構(gòu)基礎

圍繞以PKI/CA為中心的基于證書的安全認證、通信機制，實現(xiàn)等保二級的審計系統(tǒng)、等保三級的強制訪問控制以及等保四級的可信任計算，通過安全架構(gòu)真正實現(xiàn)企業(yè)的安全層層支撐，最終滿足企業(yè)的業(yè)務目標需求。通過安全加密算法和安全通信協(xié)議與Hash真正實現(xiàn)數(shù)據(jù)的保密性、完整性、不可否認性。

1.1 基礎設施安全

電力監(jiān)控系統(tǒng)的整體基礎設施的安全防御策略是縱向認證、橫向隔離、網(wǎng)絡專用、安全分區(qū)。電力二次系統(tǒng)應該提供保密性、完整性、可靠性等安全服務，確保生產(chǎn)大區(qū)準確無誤地運轉(zhuǎn)。電力系統(tǒng)的獨特要求有別于其他行業(yè)，相對于業(yè)務安全性，IT基礎設施的可靠性、可用性、連續(xù)性的要求更為重要。

1.2 應用安全

通過應用層的訪問控制、內(nèi)容過濾、惡意代碼防范等控制措施對應用層的攻擊滲透進行安全防護，應用層業(yè)務復雜、組件繁多，相應安全漏洞更多、更嚴重，電力行業(yè)的操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)都是被入侵的對象，很多漏洞是源代碼漏洞，通過簡單漏洞掃描很難發(fā)現(xiàn)，只有通過人工代碼審計才能發(fā)現(xiàn)真正的威脅。

1.3 數(shù)據(jù)安全

通過安全協(xié)議和算法對數(shù)據(jù)進行安全加密，與Hash真正實現(xiàn)數(shù)據(jù)的保密性、完整性、不可否認性。PKI/CA體系的建設與應用為電力系統(tǒng)的數(shù)據(jù)安全保障提供了必要的支撐。各種數(shù)字證書如加密證書、簽名證書都該提供自身的安全職能，在不影響系統(tǒng)性能的前提下，最大限度地提高安全性、可靠性。為了防止發(fā)生故障或災難而帶來數(shù)據(jù)損壞，丟失各種備份策略應該被定義、執(zhí)行和測量，如cold site（冷站）、warm site（暖站）、hot site（熱站）等。

1.4 業(yè)務安全

通過層層防御的安全體系，最終保障業(yè)務目標、業(yè)務戰(zhàn)略的安全，實現(xiàn)企業(yè)安全治理的終極目標。電力系統(tǒng)的業(yè)務目標關(guān)系到國家的安全，網(wǎng)絡安全等級保護基本要定級在三級、四級，以凸顯電力系統(tǒng)業(yè)務目標的重要性。為了實現(xiàn)這個目標，構(gòu)建層層防御、縱深防御體系是毋庸置疑的。

2 堅持“進不來、拿不走、看不懂、改不了、跑不掉”的安全原則

真正實現(xiàn)企業(yè)的整體安全策略，通過身份鑒別、認證、加密、最小特權(quán)、訪問控制、審計等關(guān)鍵技術(shù)實現(xiàn)企業(yè)安全保障體系。

2.1 “進不來”

很多滲透技術(shù)例如Hydra的弱口令暴力破解、緩沖區(qū)溢出都是所謂的“進不來攻擊”，通過強身份驗證，如多因素身份認證可以提供安全保障。很多電廠的核心機房為了達到網(wǎng)絡安全等級保護三級的要求，設計的門禁系統(tǒng)滿足MAN-TRAP的原則，其雙層門身份鑒別，一旦第二道門驗證失敗、第一道門自動反鎖，真正實現(xiàn)了防止尾隨攻擊的目的。在系統(tǒng)層面，為了防止暴力猜解，限制了遠程用戶的登錄次數(shù)，然后進行鎖定，進一步保證了系統(tǒng)的登錄安全。電力系統(tǒng)的“橫向隔離、縱向認證”基本就實現(xiàn)了“進不來”的安全目標。

2.2 “拿不走”

“最小特權(quán)”是此技術(shù)的關(guān)鍵核心。通過漏洞提權(quán)是黑客典型的攻擊手段，尤其是工控系統(tǒng)SCADA/DCS自身的系統(tǒng)級別漏洞，能直接提取到系統(tǒng)權(quán)限。通過有效的漏洞檢測、安全補丁能有效防治黑客提權(quán)。

2.3 “看不懂”

通過安全協(xié)議、算法、秘鑰進行安全加密，實現(xiàn)通信的保密性。在電力系統(tǒng)，數(shù)據(jù)默認通信要強制使用加密的安全通信協(xié)議，例如：SSL實現(xiàn)端到端的安全通信，或ESP隧道封裝實現(xiàn)IP層網(wǎng)絡安全。

2.4 “改不了”

通過數(shù)字簽名訪問控制保障內(nèi)容和系統(tǒng)的完整性。著名的勒索病毒就是直接破壞了系統(tǒng)和文件的完整性，造成了嚴重損失。電力調(diào)度系統(tǒng)的指令需要在傳輸過程中保證絕對的完整性，保證在工程師站和操作員站準確無誤地執(zhí)行命令。

2.5 “跑不掉”

審計技術(shù)起到了可追溯、事件行為可還原的作用。電力行業(yè)很多攻擊行為都是未知的，例如APT攻擊，很難通過單一設備如防火墻、IDS、IPS、防病毒等檢查深度攻擊，只有通過安全審計和大數(shù)據(jù)分析，才能真正形成態(tài)勢感知，加強自身的防御體系，提升防范效果和系統(tǒng)彈性。

3 “威脅影響分析”貫穿信息安全整個生命周期

安全的最終原則是對抗威脅與入侵。要通過威脅影響分析找到威脅的各種來源、動機、機會、方法與手段，并對此做出科學合理的分析，找出電力系統(tǒng)面臨的關(guān)鍵威脅并計算評估出威脅產(chǎn)生的影響，以此作為輸入，為企業(yè)建立安全級別、安全體系提供決策支持。

3.1 威脅來源分析

威脅源被定義為任何可能危害電力網(wǎng)絡系統(tǒng)的環(huán)境或事件，常見的威脅源有自然、人或者環(huán)境。電力網(wǎng)絡系統(tǒng)根據(jù)自身的地理位置和重要性可能會面對不同的威脅源，在分析威脅源時，要考慮電力網(wǎng)絡系統(tǒng)及其所處環(huán)境所有潛在的威脅源。自然因素是難以預見的危險源，如雷電、地震、洪水、大風等，都可能導致電力網(wǎng)絡系統(tǒng)的通信中斷；人為威脅主要是由人激發(fā)或者引發(fā)的事件，例如非故意的行為（疏忽或錯誤）或者故意行為（黑客、恐怖分子、工業(yè)間諜甚至于被解雇或辭退的員工）帶來的破壞等；環(huán)境的威脅主要來源于長時間的設備故障、液體泄漏等。雖然有的事件發(fā)生的概率很小，但一旦發(fā)生威脅很大，如水管爆裂這種威脅可能很快淹掉機房。

3.2 威脅動機和行為分析

攻擊的動機和資源使得人成為了潛在的危險威脅源之一。在所有的威脅里面，人的威脅是最為復雜的。目前怎樣識別這些人為的威脅呢？審查系統(tǒng)的破壞歷史、安全違規(guī)報告、事故報告或者在信息收集過程中與系統(tǒng)管理員、技術(shù)人員面談等，這些方法不僅可以識別電力網(wǎng)絡系統(tǒng)的威脅源，也可能是系統(tǒng)的脆弱性所在。

4 電力系統(tǒng)的威脅影響分析與安全保障體系

電力系統(tǒng)最核心的安全問題在生產(chǎn)大區(qū)控制區(qū)，如DCS/SCADA/PLC等系統(tǒng)的安全至關(guān)重要，一旦這些系統(tǒng)出故障或者被入侵，將會給企業(yè)帶來不可挽回的損失。

4.1 電力網(wǎng)絡系統(tǒng)的現(xiàn)狀

電力系統(tǒng)的很多設備都存在安全漏洞：有的設備還在用Windows XP系統(tǒng)，本身的漏洞比較多；廠商停止了系統(tǒng)的升級支持；除了操作系統(tǒng)本身之外，還有一些通信協(xié)議，例如ModleBus、OPC等，在黑客看來，這是一種透明的協(xié)議，無論是在握手的過程中還是在協(xié)商的過程中，都可以輕松地進行中間人攻擊，因此黑客經(jīng)常會攻擊這些操作系統(tǒng)和通信協(xié)議。

電力網(wǎng)絡系統(tǒng)要求“橫向隔離、縱向認證”，控制區(qū)和管理信息大區(qū)之間是物理隔離，不能直接連接，但有時廠商的設備里會加入遠程無線模塊，方便工程師或廠商人員進行遠程維護，這些設備在我們的控制一區(qū)、二區(qū)植入了很多安全隱患，黑客也有可能操縱這些無線模塊惡意地下發(fā)指令或者篡改我們的指令，直接威脅到電力系統(tǒng)生產(chǎn)大區(qū)的安全運行。

4.2 電力網(wǎng)絡系統(tǒng)具體面臨的威脅影響

（1）APT攻擊是黑客組織最喜歡的攻擊方式，黑客對電力系統(tǒng)運維人員的安全意識進行踩點，他會知道你打開郵件、附件的方式，然后肆意地捆綁惡意代碼，他們還有可能購買一些零碎的漏洞來攻擊電力系統(tǒng)的設備，這些遠程控制都是通過加密通道來防止電力系統(tǒng)的IDS、IPS進行實時檢測。面對這種APT攻擊，我們很難有效地建立防御體系，無論從運維人員的防范意識還是從系統(tǒng)本身的安全或者技術(shù)架構(gòu)都是很難抵抗的。

（2）來自內(nèi)部人員的威脅是所有工控系統(tǒng)面臨的最大威脅之一，這些威脅可能是有意也可能是無意（誤操作）引起的，伊朗的核設施就是被工作人員通過U盤感染了惡意代碼，攻擊了工控系統(tǒng)。這種威脅防不勝防，檢測難度高。

（3）設備本身的故障。我們知道很多的廠商在設備出廠時會植入一些后門程序，美國國家安全局的爆料已經(jīng)證實了這一點，在暗網(wǎng)里很多這種漏洞都可以進行買賣，所以廠商的設備容易被廠商自己所控制。第二種就是設備本身故障，因為對內(nèi)部黑盒子的這種方式很難從安全的角度進行運維，缺乏認證、授權(quán)、審計模塊，也就是說，設備系統(tǒng)本身的設計就是不安全的，這種情況會導致安全故障的發(fā)生，我們的應急預案在這方面需要加強。

（4）除以上威脅之外，還有來自于惡意代碼主要包括病毒、木馬、蠕蟲、腳本的移動代碼攻擊。電力系統(tǒng)中惡意代碼的植入是很普遍的，因為系統(tǒng)和協(xié)議本身存在很多安全漏洞。同時系統(tǒng)是物理隔離的，防病毒軟件不能及時升級，導致惡意代碼長期存在于系統(tǒng)中，很難被發(fā)現(xiàn)，這會導致系統(tǒng)受控，或者成為傀儡僵尸，去攻擊別的系統(tǒng)。去年出現(xiàn)的勒索病毒就是利用微軟的永恒之藍漏洞進行滲透攻擊，不僅能加密服務器上的文件，甚至于導致了很多工控系統(tǒng)出現(xiàn)癱瘓。所以，在電力系統(tǒng)中防范惡意代碼的攻擊應該被放在重中之重的位置。

4.3 電力系統(tǒng)網(wǎng)絡信息安全的保障防范措施

針對以上電力網(wǎng)絡系統(tǒng)面臨的威脅，我們傳統(tǒng)的防御模式，無論是防火墻作為邊界安全，還是內(nèi)部的IDS、IPS作為有效的補充，都難以對抗這種APT攻擊和內(nèi)部人員的威脅攻擊。作為重要的能源行業(yè)，安全對電力系統(tǒng)至關(guān)重要。我們要從戰(zhàn)略層面上加強管理體系的建設；在戰(zhàn)術(shù)層面制定相應的安全標準，比如等級保護，真正能實現(xiàn)三到四級的安全保護；在運維層，要制定相應的安全基線、操作系統(tǒng)基線、各種協(xié)議的基線、服務器基線等等；同時，還要加強管理人員和運維人員的安全意識培養(yǎng)，比如文件共享、最小特權(quán)、職責分離、輪崗、強制度假等，這些能有效防止社會工程學攻擊，減少內(nèi)部人員因為誤操作帶來的極大的安全風險。

5 結(jié)語

安全源自未雨綢繆，保障貴在風雨同舟。只有合理地分析企業(yè)安全架構(gòu)，了解安全支撐體系，并堅持科學合理的安全原則方針，才能建立完善的安全架構(gòu)。通過識別、分析、評估安全威脅，企業(yè)才能建立針對電力行業(yè)和滿足企業(yè)自身需求的安全策略、安全基線，才能真正完成企業(yè)的安全目標。