基于風(fēng)險(xiǎn)分析的火力發(fā)電廠工業(yè)控制系統(tǒng)安全防護(hù)研究

孟 強(qiáng) ，俞榮棟

（1.浙江省能源集團(tuán)有限公司，浙江 杭州 310007；2.浙江浙能技術(shù)研究院有限公司，浙江 杭州 310012；3.浙能工業(yè)信息工程省級(jí)重點(diǎn)企業(yè)研究院，浙江 杭州310012）

0 引言

工業(yè)控制系統(tǒng)是指用于生產(chǎn)、控制、輔助自動(dòng)化過(guò)程的設(shè)備、系統(tǒng)、網(wǎng)絡(luò)及控制器的集合，被廣泛應(yīng)用在電力、石化、汽車(chē)等關(guān)乎國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施中。然而，隨著信息化和工業(yè)化的不斷深入融合，信息技術(shù)在給工業(yè)化進(jìn)程帶來(lái)極大推動(dòng)力的同時(shí)，也將信息系統(tǒng)中存在的安全風(fēng)險(xiǎn)帶入到工業(yè)系統(tǒng)中。根據(jù)美國(guó)計(jì)算機(jī)安全應(yīng)急響應(yīng)中心的數(shù)據(jù)統(tǒng)計(jì)顯示，伊朗“震網(wǎng)”事件之后，針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事件不斷增多[1，3]。

工業(yè)控制系統(tǒng)面對(duì)著脆弱的安全狀況以及日益嚴(yán)重的攻擊威脅。在國(guó)內(nèi)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理工作中存在的諸如對(duì)工業(yè)控制系統(tǒng)安全問(wèn)題認(rèn)識(shí)程度不夠、管理制度不健全、相關(guān)標(biāo)準(zhǔn)規(guī)范缺失、技術(shù)防護(hù)措施不到位、安全防護(hù)和應(yīng)急處置能力不高等問(wèn)題引起了社會(huì)各界的高度重視，甚至提升到了國(guó)家安全戰(zhàn)略的高度。國(guó)家主管部門(mén)在政策層面已積極部署工業(yè)控制系統(tǒng)的安全保障工作[2]。

1 火力發(fā)電廠控制系統(tǒng)面臨的安全風(fēng)險(xiǎn)

從控制系統(tǒng)基本情況和系統(tǒng)安全防護(hù)情況這兩個(gè)維度對(duì)火力發(fā)電廠控制系統(tǒng)現(xiàn)狀進(jìn)行分析，當(dāng)前面臨的安全風(fēng)險(xiǎn)主要包括系統(tǒng)架構(gòu)風(fēng)險(xiǎn)、網(wǎng)絡(luò)通信安全風(fēng)險(xiǎn)、設(shè)備應(yīng)用安全風(fēng)險(xiǎn)、日常管理安全風(fēng)險(xiǎn)等。

1.1 體系架構(gòu)安全風(fēng)險(xiǎn)

體系架構(gòu)的脆弱性直接源自工業(yè)控制系統(tǒng)的基本架構(gòu)?，F(xiàn)代工業(yè)系統(tǒng)所使用的體系架構(gòu)，與20世紀(jì)80年代和90年代使用的架構(gòu)相比，在原則上沒(méi)有太大區(qū)別。不幸的是，控制系統(tǒng)從“孤立”環(huán)境遷移到一個(gè)開(kāi)放的環(huán)境，從串行通信到TCP/IP通信，傳統(tǒng)的體系架構(gòu)開(kāi)始顯示出自己的局限性[3]。作業(yè)工程師利用現(xiàn)成的信息和通信技術(shù)，試圖解決新的安全問(wèn)題，卻沒(méi)有考慮到在一些特殊的情況下，SCADA（Supervisory Control and Data Acquisition）系統(tǒng)與傳統(tǒng)的信息和通信技術(shù)的安全性限制不匹配，常見(jiàn)問(wèn)題如下：

（1）現(xiàn)場(chǎng)網(wǎng)絡(luò)之間的弱分離。由于現(xiàn)場(chǎng)網(wǎng)絡(luò)是整個(gè)體系結(jié)構(gòu)的內(nèi)部部分，通常還沒(méi)有實(shí)時(shí)強(qiáng)分離，目標(biāo)明確的入侵者一旦入侵成功，可以很容易到達(dá)控制網(wǎng)絡(luò)中的任何部分。

（2）控制系統(tǒng)的活動(dòng)組件之間缺乏認(rèn)證。由于傳統(tǒng)的現(xiàn)場(chǎng)網(wǎng)絡(luò)總是處于封閉的環(huán)境中，所以沒(méi)有必要對(duì)網(wǎng)絡(luò)上連接的不同元素之間集成身份驗(yàn)證機(jī)制。然而缺乏身份驗(yàn)證意味著體系架構(gòu)的漏洞，該漏洞可以很容易被利用，造成各種形式的損害。

1.2 通信協(xié)議的安全風(fēng)險(xiǎn)

大部分的工業(yè)控制系統(tǒng)協(xié)議，例如Modbus、DNP、101協(xié)議是在很多年以前設(shè)計(jì)的，基于串行連接進(jìn)行網(wǎng)絡(luò)訪問(wèn)。當(dāng)以太網(wǎng)連接成為廣泛使用的本地網(wǎng)絡(luò)的物理連接層時(shí)，工業(yè)控制系統(tǒng)協(xié)議可以基于IP協(xié)議之上實(shí)現(xiàn)。

工業(yè)控制系統(tǒng)協(xié)議缺乏保密和驗(yàn)證機(jī)制，特別缺乏驗(yàn)證一個(gè)主站和從站之間發(fā)送的消息的完整性技術(shù)。此外，工業(yè)控制系統(tǒng)協(xié)議也不包括任何不可抵賴(lài)性和防重放機(jī)制。攻擊者可以利用工業(yè)控制系統(tǒng)的這些安全限制，肆虐工業(yè)控制系統(tǒng)，一些可能發(fā)生的攻擊場(chǎng)景如下：

（1）拒絕服務(wù)攻擊。如攻擊模擬主站、向RTU（Remote Terminal Unit）發(fā)送無(wú)意義的信息、消耗控制網(wǎng)絡(luò)的處理器資源和帶寬資源。

（2）中間人攻擊。缺乏完整性檢查的漏洞使攻擊者可以訪問(wèn)到生產(chǎn)網(wǎng)絡(luò)，修改合法消息或制造假消息，并將它們發(fā)送到從站。

（3）包重放攻擊。重復(fù)發(fā)送合法的工業(yè)SCADA系統(tǒng)消息，并將它們發(fā)送到從站設(shè)備，從而造成設(shè)備損毀、過(guò)程關(guān)閉等破壞。

（4）欺騙攻擊。向控制操作人員發(fā)送欺騙信息，導(dǎo)致操作中心不能正確了解生產(chǎn)控制現(xiàn)場(chǎng)的實(shí)際工況，誘使其執(zhí)行錯(cuò)誤操作。

1.3 設(shè)備應(yīng)用安全風(fēng)險(xiǎn)

設(shè)備應(yīng)用安全風(fēng)險(xiǎn)分為軟件風(fēng)險(xiǎn)和硬件風(fēng)險(xiǎn)兩方面。在工業(yè)控制系統(tǒng)中的一切行為都是由軟件管理的，不太可能保證哪個(gè)軟件完全沒(méi)有漏洞。軟件脆弱性具有潛在威脅，它們使得攻擊者可以完全控制目標(biāo)系統(tǒng)。由于工業(yè)控制系統(tǒng)內(nèi)軟件類(lèi)型的多樣，本文不可能列出工業(yè)控制系統(tǒng)所有典型的軟件脆弱性。典型的確定影響工業(yè)控制系統(tǒng)的漏洞有以下幾種：緩沖區(qū)溢出、SQL注入、格式化字符串、Web應(yīng)用程序漏洞。

常見(jiàn)的硬件安全風(fēng)險(xiǎn)描述如下表1所示。

1.4 管理策略安全風(fēng)險(xiǎn)

一個(gè)體系架構(gòu)健壯的系統(tǒng)，在任何情況下，脆弱性很難被操控。管理策略則是用以規(guī)避系統(tǒng)中已有安全脆弱性的一項(xiàng)重要措施，然而事與愿違的是在工業(yè)系統(tǒng)中與安全防護(hù)事務(wù)相關(guān)的安全策略卻非常弱。一般來(lái)說(shuō)現(xiàn)行策略的核心是從傳統(tǒng)的“信息和通信技術(shù)辦公室”復(fù)制而來(lái)的?？赡艽嬖谙铝泄芾聿呗园踩L(fēng)險(xiǎn)：

（1）很少或不使用補(bǔ)丁策略。安全補(bǔ)丁很重要，特別是在Windows操作系統(tǒng)中。在工業(yè)控制系統(tǒng)中，很少能找到臨時(shí)的補(bǔ)丁軟件，補(bǔ)丁程序可能會(huì)對(duì)軟件產(chǎn)生嚴(yán)重的干擾。出于這個(gè)原因，安全補(bǔ)丁策略在控制網(wǎng)絡(luò)中并不普遍。

（2）很少或不使用防病毒更新策略。殺毒軟件可能影響SCADA軟件的運(yùn)行，一般只是盡可能保持控制網(wǎng)絡(luò)的隔離。

（3）松散的訪問(wèn)策略。通常訪問(wèn)策略規(guī)劃得很好，但在現(xiàn)場(chǎng)實(shí)現(xiàn)卻很糟。

表1 工業(yè)控制系統(tǒng)常見(jiàn)的安全風(fēng)險(xiǎn)

2 火力發(fā)電廠控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

火電廠控制網(wǎng)絡(luò)架構(gòu)中涉及的控制系統(tǒng)眾多，主要包括：火電機(jī)組分散控制系統(tǒng)（DCS）、火電機(jī)組輔機(jī)控制系統(tǒng)（DCSPLC）、火電廠級(jí)信息監(jiān)控系統(tǒng)、調(diào)速系統(tǒng)和自動(dòng)發(fā)電控制功能AGC、勵(lì)磁系統(tǒng)和自動(dòng)電壓控制功能AVC、梯級(jí)調(diào)度監(jiān)控系統(tǒng)、網(wǎng)控系統(tǒng)、繼電保護(hù)、故障錄波、電能量采集裝置、電力市場(chǎng)報(bào)價(jià)終端等系統(tǒng)?；鹆Πl(fā)電廠控制系統(tǒng)在網(wǎng)絡(luò)安全方面存在如下問(wèn)題。

2.1 安全域結(jié)構(gòu)設(shè)計(jì)不足

電力行業(yè)在安全方面考慮比較早，也頒布實(shí)施了如《電力二次系統(tǒng)安全防護(hù)總體方案》等一系列文件。2015年國(guó)家能源局下發(fā)36號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》指導(dǎo)電力行業(yè)實(shí)施工業(yè)控制系統(tǒng)的安全防護(hù)，該方案首次提出“綜合防護(hù)”，即在廠內(nèi)區(qū)域形成“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的總體原則。區(qū)域一般分為：生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)），管理信息大區(qū)。也有電廠會(huì)將區(qū)域分為4個(gè)區(qū)：實(shí)時(shí)控制區(qū)（安全Ⅰ區(qū)）、非控制生產(chǎn)區(qū)（安全Ⅱ區(qū)）、生產(chǎn)管理區(qū)（安全Ⅲ區(qū)）、管理信息區(qū)（安全Ⅳ區(qū)）。具體拓?fù)淙缦聢D1所示。

圖1 電力二次系統(tǒng)安全防護(hù)總體示意

到目前為止，我國(guó)絕大多數(shù)火電廠已依照本方案實(shí)施防護(hù)工作。然而，不管是“電力二次系統(tǒng)安全防護(hù)”還是“36號(hào)文”，只是將電廠生產(chǎn)控制系統(tǒng)劃分為兩個(gè)安全域：實(shí)時(shí)控制區(qū)及非實(shí)時(shí)控制區(qū)，沒(méi)有考慮實(shí)時(shí)控制區(qū)內(nèi)仍然包含有數(shù)據(jù)交互及業(yè)務(wù)聯(lián)系低耦合的多套業(yè)務(wù)系統(tǒng)，例如DCS主控系統(tǒng)、水煤灰等輔控系統(tǒng)，這些系統(tǒng)通過(guò)雙網(wǎng)口接口機(jī)與電廠 SIS系統(tǒng)（Supervisory Information System）連接。接口機(jī)成為系統(tǒng)間互聯(lián)互通的跳板，因?yàn)槿鄙僭L問(wèn)控制，存在信息探測(cè)、權(quán)限提升等安全隱患。

2.2 設(shè)備國(guó)產(chǎn)化率低、漏洞多

工業(yè)控制系統(tǒng)中的控制設(shè)備和組態(tài)軟件以美國(guó)艾默生、德國(guó)西門(mén)子、法國(guó)施耐德、美國(guó)GE等公司的產(chǎn)品為主，這類(lèi)控制設(shè)備的核心技術(shù)也由國(guó)外廠商掌握，技術(shù)上不能實(shí)現(xiàn)安全可控。部分發(fā)電控制設(shè)備老舊，如很多監(jiān)控主機(jī)中依然運(yùn)行Windows 95、98、XP操作系統(tǒng)。根據(jù)國(guó)家信息安全漏洞庫(kù)（CNNVD）的統(tǒng)計(jì)，艾默生、西門(mén)子、施耐德和GE等公司的多款控制器設(shè)備均爆出大量漏洞。目前在工業(yè)控制系統(tǒng)存在公開(kāi)漏洞的廠商中，西門(mén)子占28%，GE占7%，施耐德占5%，這3個(gè)廠商的公開(kāi)漏洞數(shù)已超過(guò)漏洞總數(shù)的40%。在這些公開(kāi)漏洞中，可引起業(yè)務(wù)中斷的拒絕服務(wù)類(lèi)漏洞占33%，緩沖區(qū)溢出類(lèi)漏洞占20%，信息泄露類(lèi)漏洞占16%，遠(yuǎn)程控制類(lèi)漏洞占8%[4]。

2.3 安全意識(shí)薄弱、安全管理欠缺

調(diào)研發(fā)現(xiàn)，火力發(fā)電廠的工業(yè)控制系統(tǒng)安全通常由負(fù)責(zé)工業(yè)控制系統(tǒng)運(yùn)維的設(shè)備管理部門(mén)與負(fù)責(zé)安全工作的信息化工作部門(mén)共同承擔(dān)。由于兩個(gè)部門(mén)的工作職責(zé)和工作重點(diǎn)各不相同，導(dǎo)致缺乏全職從事工業(yè)控制系統(tǒng)安全工作人員。

仍有很大一部分發(fā)電廠工業(yè)控制系統(tǒng)作業(yè)人員抱有“物理隔離的獨(dú)立工業(yè)控制系統(tǒng)就是絕對(duì)安全”，“只要部署了防火墻設(shè)備，就不存在網(wǎng)絡(luò)安全問(wèn)題”等錯(cuò)誤認(rèn)識(shí)。人員安全意識(shí)的不足可能會(huì)造成管理的疏忽或政策落實(shí)的不到位，影響到發(fā)電廠工業(yè)控制系統(tǒng)本身的安全。

此外，一些電廠僅有生產(chǎn)車(chē)間停電、發(fā)生生產(chǎn)安全事故的應(yīng)急預(yù)案，缺少針對(duì)服務(wù)器軟硬件故障、感染惡意代碼、工業(yè)控制網(wǎng)絡(luò)中斷等方面的工業(yè)控制系統(tǒng)應(yīng)急預(yù)案。一旦發(fā)生網(wǎng)絡(luò)安全事件，將對(duì)生產(chǎn)業(yè)務(wù)活動(dòng)造成嚴(yán)重影響[5]。

3 構(gòu)建火力發(fā)電廠控制系統(tǒng)網(wǎng)絡(luò)安全保障體系

發(fā)電廠工業(yè)控制系統(tǒng)安全建設(shè)是一個(gè)包含技術(shù)和管理的系統(tǒng)性建設(shè)工程，其建設(shè)過(guò)程需要對(duì)人員、資金、軟硬件設(shè)備等進(jìn)行規(guī)劃設(shè)計(jì)，實(shí)現(xiàn)工業(yè)控制系統(tǒng)的功能安全與信息安全的全方位融合。在加強(qiáng)電廠控制系統(tǒng)安全防護(hù)的同時(shí)，還需要加強(qiáng)安全意識(shí)培訓(xùn)，改善安全管理制度。

3.1 建立工業(yè)控制系統(tǒng)安全評(píng)估機(jī)制

要建立工業(yè)控制系統(tǒng)正式上線前的安全評(píng)估機(jī)制。工業(yè)控制系統(tǒng)的安全評(píng)估，是對(duì)工業(yè)企業(yè)工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等全生命周期各階段開(kāi)展的安全防護(hù)能力綜合評(píng)估。組織內(nèi)部專(zhuān)家或聘請(qǐng)專(zhuān)業(yè)機(jī)構(gòu)定期對(duì)電廠內(nèi)工業(yè)控制系統(tǒng)進(jìn)行安全評(píng)估，發(fā)現(xiàn)潛在的安全漏洞、隱患、風(fēng)險(xiǎn)和問(wèn)題并及時(shí)組織整改。與傳統(tǒng)信息安全相比，工業(yè)控制系統(tǒng)具有運(yùn)行實(shí)時(shí)性要求高、系統(tǒng)升級(jí)難度大等特點(diǎn)，因此開(kāi)展工業(yè)控制系統(tǒng)等保測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估要更加謹(jǐn)慎，確保將對(duì)工業(yè)控制系統(tǒng)的影響降到最低[3]。

從風(fēng)險(xiǎn)評(píng)估入手，使用符合工業(yè)控制系統(tǒng)特點(diǎn)的理論、方法和工具，準(zhǔn)確發(fā)現(xiàn)工業(yè)控制系統(tǒng)存在的主要問(wèn)題和潛在風(fēng)險(xiǎn)，才能更好指導(dǎo)工業(yè)控制系統(tǒng)的安全防護(hù)和建立滿足生產(chǎn)需要的工業(yè)控制信息安全防御體系。

3.2 構(gòu)建安全防護(hù)體系

應(yīng)建立具備安全防御能力的技術(shù)體系，實(shí)現(xiàn)“邊界—網(wǎng)絡(luò)—終端”的立體防御。在工業(yè)控制網(wǎng)絡(luò)邊界處，通過(guò)物理隔離或邏輯隔離的方式進(jìn)行防護(hù)。據(jù)統(tǒng)計(jì)數(shù)據(jù)表明，89%的工業(yè)控制系統(tǒng)為實(shí)現(xiàn)準(zhǔn)確的區(qū)域劃分及邊界隔離，針對(duì)發(fā)電廠控制系統(tǒng)基于“區(qū)域”和“管道”模型安全防護(hù)技術(shù)可以有效實(shí)現(xiàn)電廠的工控系統(tǒng)網(wǎng)絡(luò)安全防御。在電廠生產(chǎn)控制大區(qū)中可將控制區(qū)劃分多個(gè)安全域，分別為DCS機(jī)組安全域、水網(wǎng)控制、灰處理控制安全域及煤處理控制安全域。通過(guò)防火墻來(lái)實(shí)現(xiàn)訪問(wèn)控制、地址轉(zhuǎn)換、事件審核和告警等安全功能。工業(yè)控制網(wǎng)絡(luò)內(nèi)部各安全域之間需要可識(shí)別工業(yè)控制協(xié)議數(shù)據(jù)包的工控安全防火墻，對(duì)常用工業(yè)控制協(xié)議和應(yīng)用數(shù)據(jù)內(nèi)容的數(shù)據(jù)包進(jìn)行解析、檢查及過(guò)濾，阻斷非授權(quán)訪問(wèn)或疑似攻擊、病毒、木馬等[6]。

在安全域內(nèi)部實(shí)時(shí)抓取并分析控制網(wǎng)絡(luò)中的報(bào)文數(shù)據(jù)，監(jiān)測(cè)通信行為、控制指令，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常、惡意代碼傳播、網(wǎng)絡(luò)掃描等攻擊行為。在工業(yè)控制系統(tǒng)中的各個(gè)終端上，通過(guò)端口綁定等方式加固終端設(shè)備的防護(hù)能力。例如綁定IP地址或交換機(jī)端口限定對(duì)PLC的訪問(wèn)，工程師站和操作員站中安裝應(yīng)用程序白名單程序，確保主機(jī)運(yùn)行可信程序。

通過(guò)構(gòu)建安全防護(hù)體系，提升系統(tǒng)的安全防御和威脅檢測(cè)能力，降低網(wǎng)絡(luò)安全攻擊帶來(lái)的風(fēng)險(xiǎn)。

3.3 強(qiáng)化管理，落實(shí)培訓(xùn)教育

加強(qiáng)發(fā)電廠工業(yè)控制系統(tǒng)安全監(jiān)督檢查職責(zé)，通過(guò)建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實(shí)工控安全責(zé)任制。同時(shí)，制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r(shí)，應(yīng)立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，并逐級(jí)報(bào)送至屬地省級(jí)工業(yè)和信息化主管部門(mén)，同時(shí)注意保護(hù)現(xiàn)場(chǎng)，以便進(jìn)行調(diào)查取證。同時(shí)，定期對(duì)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂[7、8]。

除了技術(shù)、制度外，人員良好的網(wǎng)絡(luò)安全素質(zhì)是發(fā)電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的重要保證。因此需要定期組織開(kāi)展安全意識(shí)和安全技能培訓(xùn)，加強(qiáng)網(wǎng)絡(luò)安全管理重要性的宣貫。

4 結(jié)語(yǔ)

綜合提高發(fā)電廠工業(yè)控制系統(tǒng)各方面安全防護(hù)能力，將有力保證電廠生產(chǎn)經(jīng)營(yíng)的健康可持續(xù)發(fā)展。本文系統(tǒng)地分析了火力發(fā)電廠工業(yè)控制系統(tǒng)面臨的安全威脅和安全建設(shè)現(xiàn)狀，基于風(fēng)險(xiǎn)分析提出了構(gòu)建發(fā)電廠工業(yè)控制系統(tǒng)安全防護(hù)的思路，并對(duì)涉及的關(guān)鍵技術(shù)及其實(shí)現(xiàn)方式進(jìn)行了詳細(xì)論述；同時(shí)也介紹了關(guān)于工業(yè)控制系統(tǒng)安全保障的管理體系的重要要求。