水电厂工控系统安全防护的设计与实现

2019-11-28刘晶晶

商品与质量 2019年16期

刘晶晶

四川省紫坪铺开发有限责任公司四川成都 610000

1 电力系统的安全防护技术

1.1 纵向认证

采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。因此在水电厂生产控制大区与电力调度数据网的纵向连接处部署电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制，同时具有安全过滤功能，实现对数据通信应用层协议及报文的处理功能[1]。

1.2 横向隔离

（1）生产控制大区与管理信息大区之间。通常水电厂的两大网络之间没有直接的物理连接，可不加防护装置，如以后相连则必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。（2）控制区（安全 I 区）与非控制区（安全 II 区）之间。安全 I 区是整个工控系统的防护重点，尽管水电厂安全I 区和安全 II 区之间通常已经部署了传统防火墙，但难以对 IEC104规约进行精确防护，需要进行升级并部署工业防火墙，实现对工业协议数据深度过滤，防范各种非法操作和数据，保障工控系统安全。（3）监控区和现场控制区之间。由于 PLC 控制器的安全防护级别要高于上位机的安全防护，因此在集中监控区上位机和现地控制区下位机之间部署智能保护装置，允许上位机通过特定的工控协议与下位机进行交互，同时对上下位机之间传输的报文内容做深度检查，识别正常的操作行为并生成白名单，发现其用户节点的行为不符合白名单中的行为特征，对此行为进行阻断或告警。

2 水电厂工控系统安全现状

主机安全风险。生产控制大区的服务器/网络设备等存在弱口令，用户权限设置不合理，存在默认账号，空闲端口未关闭，系统软件、操作系统漏洞升级困难，缺少必要的应用安全控制策略，对用户登录应用系统，访问系统资源等操作进行身份认证、访问控制和安全审计。

应用安全风险。水电厂工控系统普遍缺乏网络准入和控制机制，上位机与下位机通信缺乏身份鉴别和认证机制，只要能够从协议层面跟下位机建立连接，即可以对下位机进行修改，普遍缺乏限制系统最高权限的限制，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄漏，同时也缺乏事后追查的有效工具，让责任划分和威胁追踪变得更加困难[2]。

3 系统总体设计

3.1 全威胁模型

在电力工控系统的攻击过程中，攻击不会以一种方式或者一个步骤得以实现，而是以不同的攻击进程采取不同的攻击方法，且并不是以既定模式展开攻击。本文以攻击树为基础，实现电力工控系统的安全威胁建模。攻击树虽然逻辑结构简单，但其树形结构可以直观准确地描述系统中包含哪些攻击方式和威胁种类，同时攻击树具有很强的扩展性，可以根据逻辑结构按需求增加或删除对系统不足以构成威胁的攻击。安全威胁建模的思想就是基于攻击树模型，把从系统安全风险中分析出来的安全威胁行为作为树的结构形式建立威胁树，表示威胁行为及其攻击步骤之间的逻辑关系。其中每棵威胁树代表攻击者使用的威胁方法，每条路径代表具体的攻击方式。一棵基本的威胁树模型包含根节点、叶节点以及中间节点。根节点表示攻击者对系统威胁的最终目标；叶节点表示威胁可能采取的攻击手段；而中间节点则表示攻击者达到最终目标时所采取的中间步骤。其中根节点的各个子树是可选路径，攻击者可采取不同的攻击进程。

3.2 综合防护

3.2 .1物理和环境安全防护

为保证工控系统的安全可靠运行，降低或阻止人为或自然因素从物理层面对工控系统保密性、完整性、可用性带来的安全威胁，必须从物理安全的角度采取适当的安全控制措施。针对工控系统物理环境缺乏控制及未经授权的人员可以访问重要设备的现状，对于工控系统中无人值守的分布式站点、核心设备区域采取物理防范措施是十分必要的。通过建立配置视频监控措施、电子门禁系统和报警系统，可以防止未经授权的人员进入，并且便于事后审计和追查。应尽量拆除或封闭各类工业主机上不必要的外设接口；确需使用时，可采用工控系统主机审计产品统一管理有外设接口的工控系统主机[3]。

3.2 .2数据安全防护

随着网络技术的发展，工控系统越来越多的采用通用协议和明文方式进行数据传输。为了防止数据在传输过程中发生泄漏或者被非法获取，应采用 SSL 或者密码技术等安全方式保障网络传输数据的机密级、完整性和可用性，实现工控系统网络间数据的安全传输，达到非法用户对重要的数据即使拿得到也看不懂，更用不了的目的。企业在运行过程中应建设完善工控安全事件应急响应预案，定期组织应急演练，不断增强应急能力。