水電站控制系統網絡安全現狀及安全對策

張志華，秦繼偉，郭 江

（水利部機電研究所，天津 301900）

水電站控制系統網絡安全現狀及安全對策

張志華，秦繼偉，郭 江

（水利部機電研究所，天津 301900）

水電站是國家關鍵基礎設施的重要組成部分。隨著以太網技術在水電站控制系統中的應用，以及國家對“兩化”整合的繼續，使水電站控制系統極易遭到來自管理網或互聯網的病毒、木馬以及黑客的攻擊。本文闡述了水電站控制系統網絡安全問題的現狀、存在的風險，提出了水電站控制系統網絡安全對策。

水電站控制系統；網絡安全；安全現狀；解決方案；安全對策

0 引言

目前，我國水電站在數量和裝機規模上均居世界第一，水電站為我國經濟和社會發展做出了積極貢獻，為我國經濟可持續發展提供了強勁的動力，水電站工程已成為國家經濟建設的關鍵基礎設施之一。隨著信息化的推動、物聯網技術的應用以及工業化進程的加速，計算機技術、網絡技術以及物聯網技術應用于水電站控制系統，在為水電站生產帶來極大推動作用的同時，也為水電站的安全運行帶來了極大的安全隱患。

1 背景

隨著工業化、信息化引領的“兩化融合”深入推進，信息化在工業中的角色愈加重要，在帶來智能、方便與高效的同時，也把互聯網的威脅和風險引入到工業控制網絡，專門針對工業控制系統的攻擊和信息竊取問題越加突出，由其引發的安全問題，甚至直接指向國家基礎設施。對工業控制系統的攻擊主要是破壞控制器、通訊設備、篡改工業參數指令或入侵系統破壞生產設備和生產工藝，威脅工業控制系統的物理安全、功能安全和信息安全。目前此類事件已頻繁發生在電力、水利、交通、核能、制造業等領域，給企業造成重大的經濟損失，甚至威脅國家的戰略安全。尤其在2000年之后，對過程控制和數據采集監控系統的攻擊增長了近10倍。特別是2010年爆發的Stuxnet病毒讓全球都明白，一直以來被認為相對安全的工業控制系統網絡已經成為黑客攻擊的目標。

針對越發嚴重的工業控制系統入侵等安全事件，世界各國都在積極研究相應的應對措施。為加強對工控網絡安全工作的指導，我國在2010年發布了《關于加強工業控制系統信息安全管理的通知》，2011年頒布了《工業控制網絡安全風險評估規范》（GB/T26333-2010），2014年頒布了《工業控制系統信息安全：評估規范》（GB/T30976.1—2014）和《工業控制系統信息安全：驗收規范》（GB/T30976.2—2014）。2014年2月習近平總書記在中央網絡安全和信息化領導小組第一次會議并發表的重要講話：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。2015年頒發了《中華人民共和國網絡安全法（草案）》，這標志著我國實現了網絡安全立法頂層設計。

2 水電站控制系統網絡安全現狀

水電站控制系統在最初發展的幾十年里是完全獨立的，與管理系統是隔離的。但是隨著水電行業對實現管理與控制的一體化需求的增加，水電站控制系統和管理信息系統逐步實現了網絡化集成，管理信息網絡與生產控制網絡之間實現了數據交換，導致水電站控制系統不再是一個獨立運行的系統，而要與管理系統甚至互聯網進行互通、互聯。因此，水電站控制系統與其他工業控制系統一樣面臨著五大嚴重威脅：①工控設備本身的后門，包括進口設備和國產設備；②工控設備的高危漏洞，有協議漏洞和硬件漏洞等；③APT高級持續性攻擊，其攻擊手段、范圍、強度都達到了前所未見的高度強度；④工業病毒；⑤無線技術和無線產品的廣泛應用，所帶來的一些風險。

由于水電站控制系統的自身特點，在設計開發時，大部分未將系統防護、數據保密等安全指標納入其中，而且控制系統網絡中大量使用TCP/IP技術，直接與互聯網連接，其防護措施薄弱（如TCP/IP協議缺陷、工業應用漏洞等），導致攻擊者很容易通過互聯網間接入侵工業控制系統。雖然現有的一些水電站控制系統的網絡中，已經有部署傳統的防火墻產品，在工作站上也有安裝殺毒軟件產品。但是，傳統的防火墻在保護OPC服務器時，由于不支持OPC協議的動態端口開放，不得不允許OPC客戶端和OPC服務器之間大范圍內的任意端口號的TCP連接，防火墻提供的安全保障被降至最低。而反病毒軟件，通常因得不到及時更新，導致失去了對主流病毒、惡意代碼的防護能力。并且水電站控制系統的漏洞，不能得到及時的修復，大量漏洞長期存在。因此，水電站的控制系統極易遭到來自管理網或互聯網的病毒、木馬以及黑客的攻擊。

目前水電站控制系統通用控制設備主要采用西門子、GE、施耐德等公司產品，這些通用控制器所具有的漏洞也極易成為惡意攻擊的突破口，給水電站控制系統安全帶來極大隱患。2011年全球獨立安全檢測機構NSSLabs的一項報告稱，西門子的一個工業控制系統存在新的漏洞，該漏洞易受黑客攻擊，西門子總公司的官方聲明稱，此次被指存在漏洞的產品型號為SIMATICS7-1200。2015年施耐德電氣公司開始發布固件補丁處理影響該公司莫迪康（Modicon）M340可編程邏輯控制器（PLC）產品的高嚴重性漏洞，工業控制系統網絡應急響應小組（ICS-CERT）和施耐德電氣公司發布的報告顯示：該漏洞是一個緩沖區溢出漏洞（CVE-2015-7937），影響莫迪康M340系列產品。當訪問使用了受影響的施耐德PLC的web服務器時，用戶會被要求在彈出的一個安全對話框中填入用戶名和口令，該域沒能正確處理輸入數據，當填入一個較長隨機密碼，會導致設備崩潰。2015年EireannLeverett的安全研究人員在通用電氣（GE）MultiLinkML800系列的交換機上發現了2個高危漏洞，攻擊者可利用該漏洞在未經授權的情況下破解網絡流量和發動DOS攻擊。

2015年10月份，天津水利電力機電研究所對天津市某水電站控制系統進行了安全測試，主要針對水電站控制系統中的重要的設備勵磁系統、調速系統、監控系統等進行了漏洞挖掘、測試工作（圖1）。共發現15個漏洞，其中包含6個危急漏洞、9個高危漏洞，整體危險等級為危急。監控系統在測試中發現，組態軟件所在PC開放了眾多端口，這些開放的端口很容易被利用進行設備登陸、控制、發起攻擊等。攻擊者利用漏洞非常容易對監控系統進行控制和執行相關操作，控制監控系統下發錯誤操作指令；勵磁系統和閘門控制系統的核心為某國外知名品牌PLC，在測試中發現，發送相關畸形ModbusRTU報文容易導致被測設備產生崩潰，同時協議未進行加密認證容易被攻擊機進行信息竊取和偽造，另外還發現存在內存非法讀寫相關漏洞，攻擊者可以輕易控制PLC。調速系統的核心控制器在測試中發現，發送相關畸形ModbusRTU報文容易導致被測設備產生崩潰，同時協議未進行加密認證容易被攻擊機進行信息竊取和偽造。這些水電站運行的關鍵工控設備都存在不同程度的安全隱患，其中一些嚴重的漏洞在受到攻擊時可能會引起水電站控制系統的系統崩潰，給水電站造成巨大的損失。

圖1

由此看到，水電站控制系統網絡安全面臨著嚴峻的挑戰和風險，亟待研究和開發面向水電站的工控系統網絡安全防護技術和成套產品，對水電站控制系統中的工業控制設備（PLC）、工業控制系統（DCS，SCADA）、工業控制網絡中的安全保護設備（工控防火墻，網關），以及工控軟件進行全面自動化檢測、漏洞挖掘和安全防護，保障水電站控制系統的安全運行，加強和促進水電站的風險管控能力建設。

3 安全對策

水電站控制系統網絡安全與傳統的互聯網安全具有本質區別：①水利行業強調的是安全運行和可靠性，而互聯網安全關注的是機密性和私密性；②防范的優先級別存在差別，水利行業保護的是工控系統本體和它的工作站，而互聯網要保護的是它的服務器和數據庫；③實時性也存在差異，水利的控制系統強調的實時性要高，出現故障反應快，而互聯網往往就允許較大的延時；④互聯網防火墻是黑名單，工業控制系統防范手段往往是黑名單加白名單，兩個網之間的差異，防范手段之間的差異，都不一樣。因此，水電站控制系統網絡安全問題是不同于以往傳統的信息安全問題的新問題，需要采取新的策略應對。識別水電站控制系統存在的風險與隱患，實施相應的安全保障策略是確保水電站控制系統安全運行的有效手段。

圖2 水電站監控系統及防護結構圖

水電站控制系統一般采取分層分布式監控系統，將整個控制系統按控制的性質、復雜的程度和組織結構分為電站控制層和現地控制層。電站監控層通常按監控功能分布設置監控節點，由各節點共同完成對全廠設備的監控和管理。現地層通常按電廠設備的分布設置現地控制單元，并可在脫離電廠控制級的情況下獨立完成對設備的自動監控及現地集中控制。電站控制層一般由一臺或多臺計算機組成，現地控制層主要包括機組LCU、公用LCU、開關站LCU、閘門LCU、視頻監控等現地控制、監測設備。網絡結構一般采用星形網絡結構或環形網絡結構。因此，應根據水電站控制系統網絡的功能和特點，采取整套的防護方案。

水電站控制系統網絡安全防護整體方案應包含工控設備的漏洞挖掘及檢測、工控設備的智能防護、控制網絡的安全監測審計和整個系統的安全監管（防護結構如圖2所示）。

（1）漏洞挖掘及檢測

首先應對控制系統中的關鍵設備如機組LCU、公用LCU、工控機及組態軟件、閘門LCU等進行漏洞挖掘檢測，發現系統中存在的潛在漏洞，并且有效地進行根源分析，減少零日漏洞等一系列的系統風險。兼容性測試：利用一組測試案例序列，在一定的網絡環境下，對被測進行黑盒測試，通過比較IUT的實際輸出與預期輸出的異同，判定IUT是否與協議描述相一致，如對功能碼（合法/不合法）的響應；穩定性測試：通過隨機數據輸入（以Fuzz方式）到測試對象上，檢測是否會出現宕機，程序回應異常等現象；漏洞掃描及驗證：基于漏洞特征庫對已知漏洞的掃描和驗證；攻擊測試：利用各種攻擊測試用例進行測試；風暴測試：大并發狀態下檢測設備性能上限。根據漏洞挖掘檢測結果，建立控制系統網絡安全漏洞庫，確定控制系統防護方案。

（2）智能防護

根據控制系統網絡防護要求對工控設備如機組LCU、閘門LCU、開關站LCU等配置邊界保護、區域保護、終端保護等智能防護終端。智能防護終端內置可更新的專業工業控制安全漏洞，覆蓋所有主流廠商產品，全力確保已知漏洞防護的準確性和安全性，結合水電站控制系統網絡安全漏洞庫，通過多種安全策略，深度剖析工業控制網絡專有協議數據包，確保數據內容的合法性，快速識別出系統中的非法操作。對APT攻擊、異常控制行為和非法數據包進行告警和阻斷，實現控制系統的深度安全防護。

（3）安全監測審計

監測審計終端采用旁路接入方式控制網絡，對網絡進行安全監視。通過特定的安全策略，快速識別出網絡中存在的非法操作、異常事件、外部攻擊并實時告警。自動收集數據并提取特征，生成適應當前控制網絡環境的安全規則。對網絡數據、事件進行實時監視，實時掌握控制系統網絡運行狀況。對控制系統網絡中存在的活動提供行為審計、內容審計，生成完整記錄便于事件追溯。

（4）系統安全監管

安全監管平臺用于統一管理、監測、保護控制系統網絡安全。安全監管平臺與多臺智能保護終端、監測審計終端組成一整套保護監測系統。安全監管平臺控制管理防護終端和審計終端，對防護終端和審計終端部署安全規則，監控防護終端和審計終端所在網絡的通信流量與安全事件，對控制系統網絡內的安全威脅進行分析，提供包括行為審計、事件追蹤、威脅分析、日志管理、設備管理、安全性分區等多項功能。對保護終端和審計終端所產生的安全事件和平臺系統事件進行行為關聯性追蹤，找到引起當前結果事件的源頭，為分析從源頭事件到結果事件的整個過程提供依據。

4 結語

隨著以太網技術在工業控制網絡的應用，以及國家對“兩化”整合的繼續推進，未來的水電站控制系統將會融合更多的先進的信息安全技術，如可信計算、云安全等，水電站控制系統網絡安全成為關系政治穩定、經濟發展的重要因素。2014年2月27日，中央網絡安全和信息化領導小組成立，習近平總書記在第一次會議上發表了重要講話，指出“沒有網絡安全就沒有國家安全”，彰顯出我國加強網絡安全保障的決心。因此，需不斷加強對水電站控制系統的整體安全部署，完善和提供整體的水電站控制系統網絡安全解決方案。

[1]郭 嫻.互聯網+時代下工業控制系統網絡安全[J].自動化博覽，2015(7).

[2]高 洋,彭 勇，謝 豐．美國工控安全保障管理的啟示[J].中國信息安全，2012(3).

[3]張淑英.網絡安全事件關聯分析與態勢評測技術研究[D].長春：吉林大學，2012.

[4]張云貴，趙 華，王麗娜.基于工業控制模型的非參數CUSUM入侵監測方法[J].東南大學學報，2012,42(S1).

[5]王孝良，崔保紅，李思其.關于工控系統信息安全的思考與建議[J].信息網絡安全，2012(8).

[6]劉 威，李 冬，孫 波.工業控制系統安全分析[J].信息網絡安全，2012(8).

[7]熊 琦，彭 勇，戴忠華,等.工業控制系統的安全風險評估[J].中國信息安全，2012(3).

[8]PoulsenK.SlammerwormcrashedOhionukeplantnetwork [EB/OL].SecurityFocus(2003-08-19).

[9]ByresJ，LoweJ.TheMythsandFactsbehindCyberSecurity RisksforIndustrialControlSystems[C]//Proc.OfVDE Congress，Berlin，2004.

TV736

B

1672-5387（2017）05-0064-04

10.13599/j.cnki.11-5130.2017.05.016

2016-07-04

張志華（1979-），男，工程師，從事水電廠自動化研究工作。