浅谈电力系统网络安全架构

2018-02-17张智慧牛喜民赵凤伟

机电信息 2018年36期

张智慧牛喜民赵凤伟

（1.华能济宁高新区热电有限公司，山东济宁272000；2.华能新疆能源开发有限公司塔什店发电厂，新疆巴音郭楞841000；3.北京铠撒信息技术有限公司，北京101199）

0 引言

电力系统业务复杂、网络连接复杂、相关运维人员复杂，如何有效应对APT攻击？笔者认为应该从电力系统安全架构设计入手，建立安全有弹性的符合等保体系的安全架构，加强企业安全策略，从项目建设阶段到系统运维阶段全生命周期地做好网络信息安全保障。如何建立有效的电力系统安全架构？

1 打造基础设施安全、应用安全、数据安全、业务安全的层级架构基础

围绕以PKI/CA为中心的基于证书的安全认证、通信机制，实现等保二级的审计系统、等保三级的强制访问控制以及等保四级的可信任计算，通过安全架构真正实现企业的安全层层支撑，最终满足企业的业务目标需求。通过安全加密算法和安全通信协议与Hash真正实现数据的保密性、完整性、不可否认性。

1.1 基础设施安全

电力监控系统的整体基础设施的安全防御策略是纵向认证、横向隔离、网络专用、安全分区。电力二次系统应该提供保密性、完整性、可靠性等安全服务，确保生产大区准确无误地运转。电力系统的独特要求有别于其他行业，相对于业务安全性，IT基础设施的可靠性、可用性、连续性的要求更为重要。

1.2 应用安全

通过应用层的访问控制、内容过滤、恶意代码防范等控制措施对应用层的攻击渗透进行安全防护，应用层业务复杂、组件繁多，相应安全漏洞更多、更严重，电力行业的操作系统、数据库、应用系统都是被入侵的对象，很多漏洞是源代码漏洞，通过简单漏洞扫描很难发现，只有通过人工代码审计才能发现真正的威胁。

1.3 数据安全

通过安全协议和算法对数据进行安全加密，与Hash真正实现数据的保密性、完整性、不可否认性。PKI/CA体系的建设与应用为电力系统的数据安全保障提供了必要的支撑。各种数字证书如加密证书、签名证书都该提供自身的安全职能，在不影响系统性能的前提下，最大限度地提高安全性、可靠性。为了防止发生故障或灾难而带来数据损坏，丢失各种备份策略应该被定义、执行和测量，如cold site（冷站）、warm site（暖站）、hot site（热站）等。

1.4 业务安全

通过层层防御的安全体系，最终保障业务目标、业务战略的安全，实现企业安全治理的终极目标。电力系统的业务目标关系到国家的安全，网络安全等级保护基本要定级在三级、四级，以凸显电力系统业务目标的重要性。为了实现这个目标，构建层层防御、纵深防御体系是毋庸置疑的。

2 坚持“进不来、拿不走、看不懂、改不了、跑不掉”的安全原则

真正实现企业的整体安全策略，通过身份鉴别、认证、加密、最小特权、访问控制、审计等关键技术实现企业安全保障体系。

2.1 “进不来”

很多渗透技术例如Hydra的弱口令暴力破解、缓冲区溢出都是所谓的“进不来攻击”，通过强身份验证，如多因素身份认证可以提供安全保障。很多电厂的核心机房为了达到网络安全等级保护三级的要求，设计的门禁系统满足MAN-TRAP的原则，其双层门身份鉴别，一旦第二道门验证失败、第一道门自动反锁，真正实现了防止尾随攻击的目的。在系统层面，为了防止暴力猜解，限制了远程用户的登录次数，然后进行锁定，进一步保证了系统的登录安全。电力系统的“横向隔离、纵向认证”基本就实现了“进不来”的安全目标。

2.2 “拿不走”

“最小特权”是此技术的关键核心。通过漏洞提权是黑客典型的攻击手段，尤其是工控系统SCADA/DCS自身的系统级别漏洞，能直接提取到系统权限。通过有效的漏洞检测、安全补丁能有效防治黑客提权。

2.3 “看不懂”

通过安全协议、算法、秘钥进行安全加密，实现通信的保密性。在电力系统，数据默认通信要强制使用加密的安全通信协议，例如：SSL实现端到端的安全通信，或ESP隧道封装实现IP层网络安全。

2.4 “改不了”

通过数字签名访问控制保障内容和系统的完整性。著名的勒索病毒就是直接破坏了系统和文件的完整性，造成了严重损失。电力调度系统的指令需要在传输过程中保证绝对的完整性，保证在工程师站和操作员站准确无误地执行命令。

2.5 “跑不掉”

审计技术起到了可追溯、事件行为可还原的作用。电力行业很多攻击行为都是未知的，例如APT攻击，很难通过单一设备如防火墙、IDS、IPS、防病毒等检查深度攻击，只有通过安全审计和大数据分析，才能真正形成态势感知，加强自身的防御体系，提升防范效果和系统弹性。

3 “威胁影响分析”贯穿信息安全整个生命周期

安全的最终原则是对抗威胁与入侵。要通过威胁影响分析找到威胁的各种来源、动机、机会、方法与手段，并对此做出科学合理的分析，找出电力系统面临的关键威胁并计算评估出威胁产生的影响，以此作为输入，为企业建立安全级别、安全体系提供决策支持。

3.1 威胁来源分析

威胁源被定义为任何可能危害电力网络系统的环境或事件，常见的威胁源有自然、人或者环境。电力网络系统根据自身的地理位置和重要性可能会面对不同的威胁源，在分析威胁源时，要考虑电力网络系统及其所处环境所有潜在的威胁源。自然因素是难以预见的危险源，如雷电、地震、洪水、大风等，都可能导致电力网络系统的通信中断；人为威胁主要是由人激发或者引发的事件，例如非故意的行为（疏忽或错误）或者故意行为（黑客、恐怖分子、工业间谍甚至于被解雇或辞退的员工）带来的破坏等；环境的威胁主要来源于长时间的设备故障、液体泄漏等。虽然有的事件发生的概率很小，但一旦发生威胁很大，如水管爆裂这种威胁可能很快淹掉机房。

3.2 威胁动机和行为分析

攻击的动机和资源使得人成为了潜在的危险威胁源之一。在所有的威胁里面，人的威胁是最为复杂的。目前怎样识别这些人为的威胁呢？审查系统的破坏历史、安全违规报告、事故报告或者在信息收集过程中与系统管理员、技术人员面谈等，这些方法不仅可以识别电力网络系统的威胁源，也可能是系统的脆弱性所在。

4 电力系统的威胁影响分析与安全保障体系

电力系统最核心的安全问题在生产大区控制区，如DCS/SCADA/PLC等系统的安全至关重要，一旦这些系统出故障或者被入侵，将会给企业带来不可挽回的损失。

4.1 电力网络系统的现状

电力系统的很多设备都存在安全漏洞：有的设备还在用Windows XP系统，本身的漏洞比较多；厂商停止了系统的升级支持；除了操作系统本身之外，还有一些通信协议，例如ModleBus、OPC等，在黑客看来，这是一种透明的协议，无论是在握手的过程中还是在协商的过程中，都可以轻松地进行中间人攻击，因此黑客经常会攻击这些操作系统和通信协议。

电力网络系统要求“横向隔离、纵向认证”，控制区和管理信息大区之间是物理隔离，不能直接连接，但有时厂商的设备里会加入远程无线模块，方便工程师或厂商人员进行远程维护，这些设备在我们的控制一区、二区植入了很多安全隐患，黑客也有可能操纵这些无线模块恶意地下发指令或者篡改我们的指令，直接威胁到电力系统生产大区的安全运行。

4.2 电力网络系统具体面临的威胁影响

（1）APT攻击是黑客组织最喜欢的攻击方式，黑客对电力系统运维人员的安全意识进行踩点，他会知道你打开邮件、附件的方式，然后肆意地捆绑恶意代码，他们还有可能购买一些零碎的漏洞来攻击电力系统的设备，这些远程控制都是通过加密通道来防止电力系统的IDS、IPS进行实时检测。面对这种APT攻击，我们很难有效地建立防御体系，无论从运维人员的防范意识还是从系统本身的安全或者技术架构都是很难抵抗的。

（2）来自内部人员的威胁是所有工控系统面临的最大威胁之一，这些威胁可能是有意也可能是无意（误操作）引起的，伊朗的核设施就是被工作人员通过U盘感染了恶意代码，攻击了工控系统。这种威胁防不胜防，检测难度高。

（3）设备本身的故障。我们知道很多的厂商在设备出厂时会植入一些后门程序，美国国家安全局的爆料已经证实了这一点，在暗网里很多这种漏洞都可以进行买卖，所以厂商的设备容易被厂商自己所控制。第二种就是设备本身故障，因为对内部黑盒子的这种方式很难从安全的角度进行运维，缺乏认证、授权、审计模块，也就是说，设备系统本身的设计就是不安全的，这种情况会导致安全故障的发生，我们的应急预案在这方面需要加强。

（4）除以上威胁之外，还有来自于恶意代码主要包括病毒、木马、蠕虫、脚本的移动代码攻击。电力系统中恶意代码的植入是很普遍的，因为系统和协议本身存在很多安全漏洞。同时系统是物理隔离的，防病毒软件不能及时升级，导致恶意代码长期存在于系统中，很难被发现，这会导致系统受控，或者成为傀儡僵尸，去攻击别的系统。去年出现的勒索病毒就是利用微软的永恒之蓝漏洞进行渗透攻击，不仅能加密服务器上的文件，甚至于导致了很多工控系统出现瘫痪。所以，在电力系统中防范恶意代码的攻击应该被放在重中之重的位置。

4.3 电力系统网络信息安全的保障防范措施

针对以上电力网络系统面临的威胁，我们传统的防御模式，无论是防火墙作为边界安全，还是内部的IDS、IPS作为有效的补充，都难以对抗这种APT攻击和内部人员的威胁攻击。作为重要的能源行业，安全对电力系统至关重要。我们要从战略层面上加强管理体系的建设；在战术层面制定相应的安全标准，比如等级保护，真正能实现三到四级的安全保护；在运维层，要制定相应的安全基线、操作系统基线、各种协议的基线、服务器基线等等；同时，还要加强管理人员和运维人员的安全意识培养，比如文件共享、最小特权、职责分离、轮岗、强制度假等，这些能有效防止社会工程学攻击，减少内部人员因为误操作带来的极大的安全风险。