電廠監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護分析

鐘麗波,周 洋,李 然，馬 煜，劉大泉

(國網(wǎng)沈陽供電公司，遼寧 沈陽 110003)

電廠作為電力系統(tǒng)的重要環(huán)節(jié)，依托分散控制系統(tǒng)、廠級監(jiān)控系統(tǒng)以及眾多工控系統(tǒng)的協(xié)調(diào)控制，有序配合保證電力可靠供應(yīng)，其安全穩(wěn)定運行一直受到廣泛關(guān)注。綜合分析近幾年全球范圍內(nèi)針對電力監(jiān)控系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊[1]，表現(xiàn)出的趨勢是攻擊手段層出不窮，影響范圍不斷增大，利用網(wǎng)絡(luò)攻擊電力監(jiān)控系統(tǒng)、破壞電網(wǎng)安全運行已成為不容忽視的重大威脅。在此背景下，保證電廠監(jiān)控系統(tǒng)的安全成為保證電力供應(yīng)安全的關(guān)鍵。

1 電廠監(jiān)控系統(tǒng)概述

1.1 監(jiān)控系統(tǒng)現(xiàn)狀

伴隨能源綜合消納和有序用電需求不斷提升，除傳統(tǒng)的火電、核電之外，風(fēng)電、光伏及各種新能源電廠陸續(xù)接入電網(wǎng)運行，電力監(jiān)控系統(tǒng)數(shù)據(jù)監(jiān)視和應(yīng)用范圍逐步擴大[2]。在數(shù)字化、智能化全面普及的背景下，各類電廠監(jiān)控系統(tǒng)與其他工控系統(tǒng)、節(jié)點之間的交互通信變得日益頻繁，接入設(shè)備多、邊界分布廣是目前電力監(jiān)控系統(tǒng)的發(fā)展趨勢。各電廠內(nèi)部為提高數(shù)據(jù)采集應(yīng)用水平，部署了復(fù)雜的計算機網(wǎng)絡(luò)系統(tǒng)，系統(tǒng)之間的關(guān)聯(lián)密切，數(shù)據(jù)共享需求迫切，伴生的是電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護難度的不斷提高的問題。

1.2 監(jiān)控系統(tǒng)安全防護技術(shù)體系

當(dāng)前，各電廠依據(jù)類型、容量及地理位置等因素選擇不同的數(shù)據(jù)交互方式，在國家相關(guān)法律、法規(guī)、標準的框架之下采取必要的防護措施建立起網(wǎng)絡(luò)安全防護體系，以保證數(shù)據(jù)傳輸和網(wǎng)絡(luò)通信的安全。

a.基礎(chǔ)安全防護

按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體防護原則[3]，電廠將不同的業(yè)務(wù)系統(tǒng)劃分不同安全區(qū)，在外部公共因特網(wǎng)、管理信息大區(qū)、生產(chǎn)控制大區(qū)的控制區(qū)及非控制區(qū)等橫向邊界，以及電廠監(jiān)控系統(tǒng)與所屬調(diào)度機構(gòu)之間的縱向邊界，部署相應(yīng)安全措施[4]，建立橫向、縱向安全防線，形成核心控制區(qū)安全防護強度的累積效應(yīng)。

b.內(nèi)網(wǎng)安全監(jiān)視

電廠側(cè)通過在生產(chǎn)控制大區(qū)逐步推廣內(nèi)網(wǎng)安全監(jiān)視功能，實時監(jiān)測廠內(nèi)監(jiān)控系統(tǒng)的計算機、網(wǎng)絡(luò)及安全防護設(shè)備運行狀態(tài)，及時發(fā)現(xiàn)非法外聯(lián)、外部入侵等安全事件并進行告警[5]。通過部署網(wǎng)絡(luò)安全監(jiān)測裝置，將生產(chǎn)控制大區(qū)主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全防護設(shè)備納入監(jiān)測范圍，及時發(fā)現(xiàn)人為異常登錄、設(shè)備接入及危險操作等信息，以防范黑客及惡意代碼的攻擊和破壞。

c.防御手段建設(shè)

傳統(tǒng)的防御手段習(xí)慣在網(wǎng)絡(luò)邊界部署防火墻，對進出網(wǎng)絡(luò)的行為進行內(nèi)容過濾和訪問控制，也有通過入侵檢測裝置和防火墻聯(lián)動的防護策略，但由于防火墻防護能力制約，加上“瞬時攻擊”特點，使得上述2種手段在實際應(yīng)用中的效果不顯著。相對有效的做法是在網(wǎng)絡(luò)邊界串接入侵防御裝置，對某些被明確判斷為攻擊行為，會對網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進行檢測和防御，阻斷深層入侵威脅。

d.網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)由主站系統(tǒng)和采集裝置組成。主站系統(tǒng)部署在各級調(diào)控中心，是具備網(wǎng)絡(luò)安全實時監(jiān)視、日志審計、預(yù)測分析等功能的應(yīng)用系統(tǒng)，采集終端部署在電廠監(jiān)控系統(tǒng)局域網(wǎng)絡(luò)內(nèi)部，對電廠側(cè)網(wǎng)絡(luò)安全數(shù)據(jù)進行采集、分析、處理，并與主站系統(tǒng)通信[6-8]。基于網(wǎng)絡(luò)環(huán)境動態(tài)整體洞悉安全風(fēng)險，以安全大數(shù)據(jù)為基礎(chǔ)全面提升對安全威脅的識別、分析、處置能力。

e.安全免疫技術(shù)

在電廠監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)內(nèi)部逐步推廣應(yīng)用以密碼硬件為核心的可信計算技術(shù)，是實現(xiàn)安全免疫的重要途徑。通過在電廠側(cè)安全Ⅰ區(qū)的服務(wù)器、主機安裝可信軟件基模塊，提供可信度量機制，用于實現(xiàn)計算環(huán)境和網(wǎng)絡(luò)環(huán)境安全免疫，免疫未知惡意代碼，防范有組織、高級別的惡意攻擊[9]，通過靜態(tài)免疫和動態(tài)免疫結(jié)合的方式，保證電力監(jiān)控系統(tǒng)業(yè)務(wù)的安全運行。

f.廠級監(jiān)控管理信息系統(tǒng)安全防護

電廠廠級監(jiān)控管理信息系統(tǒng)對電廠內(nèi)部機組DCS以及外圍PLC控制系統(tǒng)的運行進行優(yōu)化控制管理，有效連接電廠中辦公系統(tǒng)與生產(chǎn)控制系統(tǒng)，這一特性使其安全防護策略選擇成為制約電廠內(nèi)部監(jiān)控管理效果的重要因素[10]。為保證生產(chǎn)控制系統(tǒng)安全，在廠級監(jiān)控管理信息系統(tǒng)與辦公系統(tǒng)之間部署防護隔離器等裝置，保證數(shù)據(jù)單向傳輸，維護廠級監(jiān)控系統(tǒng)安全。

2 網(wǎng)絡(luò)安全存在的突出問題

電廠側(cè)在《電力監(jiān)控系統(tǒng)安全防護規(guī)定》和《電力監(jiān)控系統(tǒng)安全防護總體方案》的框架下，積極采取各類主動、被動防御措施，應(yīng)對愈加嚴峻的網(wǎng)絡(luò)安全形勢。綜合分析電廠側(cè)安全防護管理現(xiàn)狀，仍然存在若干制約整體安全防護水平的突出問題。

a.設(shè)備本體安全水平不高

部分早期投運的電廠在本體安全方面問題突出。一是生產(chǎn)控制大區(qū)主機未采用安全加固的操作系統(tǒng)，或系統(tǒng)、數(shù)據(jù)庫存在高危漏洞未及時進行補丁更新；二是關(guān)鍵主機設(shè)備、網(wǎng)絡(luò)設(shè)備等空閑的物理端口未關(guān)閉，系統(tǒng)存在違規(guī)服務(wù)及端口開放情況；三是生產(chǎn)控制大區(qū)關(guān)鍵設(shè)備軟、硬件版本落后，升級改造不及時，無法納入實時監(jiān)測范圍，難以適應(yīng)網(wǎng)絡(luò)安全形勢的動態(tài)變化。

b.安全防護體系建設(shè)不足

一是電廠與所屬集團、設(shè)備廠商等遠程監(jiān)視中心進行數(shù)據(jù)傳輸時，未設(shè)立專用的轉(zhuǎn)發(fā)服務(wù)器，缺少必要的安全防護措施；二是生產(chǎn)控制大區(qū)內(nèi)部除安全接入?yún)^(qū)外違規(guī)使用無安全防護措施的無線通信設(shè)備；三是傳輸邊界安全防護缺失，如風(fēng)(光)功率預(yù)測等服務(wù)器非法連接外部網(wǎng)絡(luò)，管理信息大區(qū)與調(diào)度機構(gòu)之間直連等；四是新能源場站就地采集終端與站控系統(tǒng)之間的通信未進行有效防護。

c.網(wǎng)絡(luò)安全風(fēng)險管控不嚴

部分電廠未建立明確的管理機構(gòu)、制度，未配備專職網(wǎng)絡(luò)安全管理人員，導(dǎo)致網(wǎng)絡(luò)安全責(zé)任泛化，在設(shè)備運行維護、防護體系建設(shè)、入網(wǎng)安全管控、作業(yè)現(xiàn)場風(fēng)險防范等方面管理不到位，防護水平參差不齊。部分電廠未配置專用調(diào)試設(shè)備和存儲介質(zhì)，未定期開展等級保護測評及安全評估，在設(shè)備運行維護、隱患排查治理和全過程安全管理等方面難以滿足網(wǎng)絡(luò)安全防護要求。

3 網(wǎng)絡(luò)安全典型案例分析

在梳理電廠監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全存在的突出問題基礎(chǔ)上，本文例舉各地網(wǎng)絡(luò)安全管理平臺監(jiān)測到的幾個告警信息，作為典型案例進行針對性分析。

a.私自接入外設(shè)

案例1：某風(fēng)電場Ⅰ區(qū)風(fēng)機監(jiān)控工作站接入設(shè)備類型“無線網(wǎng)卡”，設(shè)備名稱“MT7601U”，設(shè)備廠商“MTK”。經(jīng)查為運行值班人員從工作站拷貝數(shù)據(jù)時，誤將360隨身WiFi當(dāng)做安全U盤接入工作站，觸發(fā)監(jiān)測裝置告警。

案例2：某220 kV電廠Ⅱ區(qū)后臺監(jiān)控工作站接入設(shè)備類型“手機”，設(shè)備名稱“K20 Pro”，設(shè)備廠商“MI”。經(jīng)查為廠商調(diào)試人員將手機接入工作站進行充電，觸發(fā)監(jiān)測裝置告警。

案例分析：產(chǎn)生違規(guī)接入手機/無線網(wǎng)卡的行為，最根本的原因是部分電廠管理人員和外部作業(yè)人員對于網(wǎng)絡(luò)安全要求貫徹落實不到位，網(wǎng)絡(luò)安全意識淡薄，對自身行為可能產(chǎn)生的危害性認識不足，同時也暴露出作業(yè)現(xiàn)場安全風(fēng)險管控不足的突出問題。

b.設(shè)備超期服役

案例1：某電廠Ⅰ區(qū)從隨機地址(* .* .53.18)向隨機地址(* .* .202.6)發(fā)起ICMP異常訪問，被縱向加密裝置攔截告警。經(jīng)查該電廠縱向加密裝置由于超期運行及版本問題，偶發(fā)性出現(xiàn)數(shù)據(jù)包解密異常，導(dǎo)致產(chǎn)生隨機地址訪問。

案例2：某風(fēng)電場Ⅰ區(qū)主機先后發(fā)生nobody、gdm、root等20個用戶的刪除與新增可疑操作。經(jīng)查為主機探針Agent版本過低存在兼容性問題，幾率性發(fā)生讀取文件失敗，造成Agent誤判斷用戶已被刪除，當(dāng)探針下次檢測到該文件時，程序?qū)Ρ惹按螜z測結(jié)果，從而觸發(fā)新增用戶的告警。

案例分析：設(shè)備超期服役狀態(tài)下，因電源、網(wǎng)卡、芯片等硬件老化問題，會導(dǎo)致安防設(shè)備主要功能失效或異常。部分縱向加密認證裝置固件版本較低，易發(fā)生數(shù)據(jù)解析異常等情況，部分廠商的Agent版本功能存在缺陷，偶發(fā)性上報無效告警信息，干擾運行管理。

c.管理缺位

案例1：某電廠Ⅱ區(qū)電能計量工作站地址相繼發(fā)生對天津電信地址(* .* .222.133)的53端口、廣東深圳電信地址(* .* .234.102)的443端口、北京電信地址(* .* .231.8)的80端口異常訪問，被站內(nèi)縱向加密認證裝置攔截。經(jīng)查為廠商人員在排查站內(nèi)網(wǎng)絡(luò)問題時，擅自將個人筆記本(Windows系統(tǒng))更換為電能計量工作站IP地址后接入站內(nèi)交換機進行調(diào)試，因該筆記本同時運行有微信、360等軟件導(dǎo)致向多個互聯(lián)網(wǎng)地址發(fā)起訪問行為。

案例2：某光伏電站Ⅱ區(qū)功率預(yù)測申報工作站向站內(nèi)私網(wǎng)防火墻地址(* .* .151.76)的80端口發(fā)起異常訪問，被站內(nèi)縱向加密裝置攔截。經(jīng)查為運維人員計劃使用功率預(yù)測工作站訪問站內(nèi)防火墻查看內(nèi)部配置，誤使用相鄰放置的功率預(yù)測申報工作站進行查看，且該主機存在至調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)關(guān)的缺省路由，導(dǎo)致數(shù)據(jù)包被縱向加密裝置攔截。

案例分析：部分電廠缺乏相對專業(yè)的網(wǎng)絡(luò)安全運維力量，設(shè)備配置和維護工作基本依賴廠商或非專業(yè)人員，調(diào)試設(shè)備安裝有殺毒軟件、輸入法等第三方軟件，且默認開啟了自動更新，這些都會導(dǎo)致在日常運行中發(fā)起違規(guī)訪問行為并觸發(fā)告警。

d.安全加固不到位

案例1：某66 kV風(fēng)電場Ⅱ區(qū)故障錄波裝置向廣播地址(* .* .* .255)的137端口發(fā)起異常訪問，被站內(nèi)縱向加密裝置攔截。經(jīng)查為故障錄波裝置加固不到位，未關(guān)閉NETBIOS服務(wù)導(dǎo)致告警。

案例2：某66 kV光伏電站內(nèi)部設(shè)備(* .* .0.1)的67端口通過UDP協(xié)議非法訪問(* .* .255.255)的68端口，被網(wǎng)絡(luò)安全監(jiān)測裝置監(jiān)測告警。經(jīng)查(* .* .0.1)為該站站控層交換機連接的防火墻網(wǎng)口默認IP地址，投入運行后該默認地址未取消，通過UDP協(xié)議發(fā)起廣播服務(wù)。

案例分析：在設(shè)備安裝調(diào)試或檢修過程中，未嚴格按照要求關(guān)閉FTP、DNS、DHCP、NETBIOS等操作系統(tǒng)默認且與具體業(yè)務(wù)無關(guān)的服務(wù)，或者網(wǎng)絡(luò)設(shè)備、安防設(shè)備普遍存在缺省路由、默認地址等情況，極易遺留安全隱患。

4 網(wǎng)絡(luò)安全防護對策

a．提高設(shè)備本體安全水平

推進電廠生產(chǎn)控制大區(qū)老舊主機、網(wǎng)絡(luò)設(shè)備、安全防護設(shè)備升級改造，在軟硬件自主可控的框架下提高關(guān)鍵設(shè)備運行水平。升級改造完成前，組織對現(xiàn)有主機設(shè)備進行安全加固，定期進行漏洞補丁、病毒庫、特征庫離線更新，推進網(wǎng)絡(luò)設(shè)備配置核查，規(guī)范權(quán)限及口令管理，制定嚴密的設(shè)備運行維護制度以保障設(shè)備安全運行。

b．完善安全防護體系建設(shè)

按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體原則健全電廠網(wǎng)絡(luò)安全防護體系，厘清網(wǎng)絡(luò)結(jié)構(gòu)，優(yōu)化防護設(shè)備策略，強化邊界防護能力，通過網(wǎng)絡(luò)安全監(jiān)測裝置等手段擴大監(jiān)測范圍，提高網(wǎng)絡(luò)安全事件實時監(jiān)測能力，部署微型縱向加密認證裝置，強化新能源場站戶外終端就地物理防護，根據(jù)網(wǎng)絡(luò)安全發(fā)展趨勢和設(shè)備運行狀態(tài)，及時更新完善安全防護體系。

c．加強作業(yè)現(xiàn)場風(fēng)險管控

電廠內(nèi)部應(yīng)嚴格履行作業(yè)審批、監(jiān)護制度，執(zhí)行接入/檢修工作流程，涉及站內(nèi)監(jiān)控系統(tǒng)、生產(chǎn)控制大區(qū)設(shè)備等作業(yè)，在“三措”中明確電力監(jiān)控設(shè)備誤碰、誤接入風(fēng)險，將違規(guī)外聯(lián)作為重要危險點進行管控，加強調(diào)試設(shè)備和移動存儲介質(zhì)管理，嚴格管控外部作業(yè)人員施工范圍和作業(yè)權(quán)限，外部人員入場作業(yè)需經(jīng)安全培訓(xùn)合格，并簽訂技術(shù)維護保密協(xié)議和網(wǎng)絡(luò)安全承諾書。

d.建立網(wǎng)絡(luò)安全基線防護

電廠側(cè)通過建立電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運行需求的基線，形成以其為基準進行檢測和度量的風(fēng)險管控手段，為設(shè)備入網(wǎng)、系統(tǒng)驗收、日常維護及安全檢查等工作提供可參照的統(tǒng)一標準。定期分析電力監(jiān)控系統(tǒng)實際現(xiàn)狀和面臨的風(fēng)險來源，結(jié)合網(wǎng)絡(luò)安全基線的標準和要求，按需調(diào)整對應(yīng)的安全策略，協(xié)調(diào)不同設(shè)備的防護能力，綜合構(gòu)成統(tǒng)一的安全基線。

5 結(jié)語

隨著電力系統(tǒng)數(shù)據(jù)交互規(guī)模不斷擴大，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)末端風(fēng)險呈現(xiàn)“點多面廣”的分布趨勢，國家信息安全漏洞共享平臺披露的針對工控系統(tǒng)的安全漏洞數(shù)量日益增多，各電廠需對當(dāng)前嚴峻的網(wǎng)絡(luò)安全形勢保持敏感度，結(jié)合網(wǎng)絡(luò)安全形勢的動態(tài)變化，采取有效的安全防護技術(shù)措施和管理策略，消除安全防護管理工作中的短板，保障監(jiān)控系統(tǒng)和數(shù)據(jù)傳輸?shù)陌踩?/p>