淺談電力系統網絡安全架構

張智慧 牛喜民 趙鳳偉

（1.華能濟寧高新區熱電有限公司，山東濟寧272000；2.華能新疆能源開發有限公司塔什店發電廠，新疆巴音郭楞841000；3.北京鎧撒信息技術有限公司，北京101199）

0 引言

電力系統業務復雜、網絡連接復雜、相關運維人員復雜，如何有效應對APT攻擊？筆者認為應該從電力系統安全架構設計入手，建立安全有彈性的符合等保體系的安全架構，加強企業安全策略，從項目建設階段到系統運維階段全生命周期地做好網絡信息安全保障。如何建立有效的電力系統安全架構？

1 打造基礎設施安全、應用安全、數據安全、業務安全的層級架構基礎

圍繞以PKI/CA為中心的基于證書的安全認證、通信機制，實現等保二級的審計系統、等保三級的強制訪問控制以及等保四級的可信任計算，通過安全架構真正實現企業的安全層層支撐，最終滿足企業的業務目標需求。通過安全加密算法和安全通信協議與Hash真正實現數據的保密性、完整性、不可否認性。

1.1 基礎設施安全

電力監控系統的整體基礎設施的安全防御策略是縱向認證、橫向隔離、網絡專用、安全分區。電力二次系統應該提供保密性、完整性、可靠性等安全服務，確保生產大區準確無誤地運轉。電力系統的獨特要求有別于其他行業，相對于業務安全性，IT基礎設施的可靠性、可用性、連續性的要求更為重要。

1.2 應用安全

通過應用層的訪問控制、內容過濾、惡意代碼防范等控制措施對應用層的攻擊滲透進行安全防護，應用層業務復雜、組件繁多，相應安全漏洞更多、更嚴重，電力行業的操作系統、數據庫、應用系統都是被入侵的對象，很多漏洞是源代碼漏洞，通過簡單漏洞掃描很難發現，只有通過人工代碼審計才能發現真正的威脅。

1.3 數據安全

通過安全協議和算法對數據進行安全加密，與Hash真正實現數據的保密性、完整性、不可否認性。PKI/CA體系的建設與應用為電力系統的數據安全保障提供了必要的支撐。各種數字證書如加密證書、簽名證書都該提供自身的安全職能，在不影響系統性能的前提下，最大限度地提高安全性、可靠性。為了防止發生故障或災難而帶來數據損壞，丟失各種備份策略應該被定義、執行和測量，如cold site（冷站）、warm site（暖站）、hot site（熱站）等。

1.4 業務安全

通過層層防御的安全體系，最終保障業務目標、業務戰略的安全，實現企業安全治理的終極目標。電力系統的業務目標關系到國家的安全，網絡安全等級保護基本要定級在三級、四級，以凸顯電力系統業務目標的重要性。為了實現這個目標，構建層層防御、縱深防御體系是毋庸置疑的。

2 堅持“進不來、拿不走、看不懂、改不了、跑不掉”的安全原則

真正實現企業的整體安全策略，通過身份鑒別、認證、加密、最小特權、訪問控制、審計等關鍵技術實現企業安全保障體系。

2.1 “進不來”

很多滲透技術例如Hydra的弱口令暴力破解、緩沖區溢出都是所謂的“進不來攻擊”，通過強身份驗證，如多因素身份認證可以提供安全保障。很多電廠的核心機房為了達到網絡安全等級保護三級的要求，設計的門禁系統滿足MAN-TRAP的原則，其雙層門身份鑒別，一旦第二道門驗證失敗、第一道門自動反鎖，真正實現了防止尾隨攻擊的目的。在系統層面，為了防止暴力猜解，限制了遠程用戶的登錄次數，然后進行鎖定，進一步保證了系統的登錄安全。電力系統的“橫向隔離、縱向認證”基本就實現了“進不來”的安全目標。

2.2 “拿不走”

“最小特權”是此技術的關鍵核心。通過漏洞提權是黑客典型的攻擊手段，尤其是工控系統SCADA/DCS自身的系統級別漏洞，能直接提取到系統權限。通過有效的漏洞檢測、安全補丁能有效防治黑客提權。

2.3 “看不懂”

通過安全協議、算法、秘鑰進行安全加密，實現通信的保密性。在電力系統，數據默認通信要強制使用加密的安全通信協議，例如：SSL實現端到端的安全通信，或ESP隧道封裝實現IP層網絡安全。

2.4 “改不了”

通過數字簽名訪問控制保障內容和系統的完整性。著名的勒索病毒就是直接破壞了系統和文件的完整性，造成了嚴重損失。電力調度系統的指令需要在傳輸過程中保證絕對的完整性，保證在工程師站和操作員站準確無誤地執行命令。

2.5 “跑不掉”

審計技術起到了可追溯、事件行為可還原的作用。電力行業很多攻擊行為都是未知的，例如APT攻擊，很難通過單一設備如防火墻、IDS、IPS、防病毒等檢查深度攻擊，只有通過安全審計和大數據分析，才能真正形成態勢感知，加強自身的防御體系，提升防范效果和系統彈性。

3 “威脅影響分析”貫穿信息安全整個生命周期

安全的最終原則是對抗威脅與入侵。要通過威脅影響分析找到威脅的各種來源、動機、機會、方法與手段，并對此做出科學合理的分析，找出電力系統面臨的關鍵威脅并計算評估出威脅產生的影響，以此作為輸入，為企業建立安全級別、安全體系提供決策支持。

3.1 威脅來源分析

威脅源被定義為任何可能危害電力網絡系統的環境或事件，常見的威脅源有自然、人或者環境。電力網絡系統根據自身的地理位置和重要性可能會面對不同的威脅源，在分析威脅源時，要考慮電力網絡系統及其所處環境所有潛在的威脅源。自然因素是難以預見的危險源，如雷電、地震、洪水、大風等，都可能導致電力網絡系統的通信中斷；人為威脅主要是由人激發或者引發的事件，例如非故意的行為（疏忽或錯誤）或者故意行為（黑客、恐怖分子、工業間諜甚至于被解雇或辭退的員工）帶來的破壞等；環境的威脅主要來源于長時間的設備故障、液體泄漏等。雖然有的事件發生的概率很小，但一旦發生威脅很大，如水管爆裂這種威脅可能很快淹掉機房。

3.2 威脅動機和行為分析

攻擊的動機和資源使得人成為了潛在的危險威脅源之一。在所有的威脅里面，人的威脅是最為復雜的。目前怎樣識別這些人為的威脅呢？審查系統的破壞歷史、安全違規報告、事故報告或者在信息收集過程中與系統管理員、技術人員面談等，這些方法不僅可以識別電力網絡系統的威脅源，也可能是系統的脆弱性所在。

4 電力系統的威脅影響分析與安全保障體系

電力系統最核心的安全問題在生產大區控制區，如DCS/SCADA/PLC等系統的安全至關重要，一旦這些系統出故障或者被入侵，將會給企業帶來不可挽回的損失。

4.1 電力網絡系統的現狀

電力系統的很多設備都存在安全漏洞：有的設備還在用Windows XP系統，本身的漏洞比較多；廠商停止了系統的升級支持；除了操作系統本身之外，還有一些通信協議，例如ModleBus、OPC等，在黑客看來，這是一種透明的協議，無論是在握手的過程中還是在協商的過程中，都可以輕松地進行中間人攻擊，因此黑客經常會攻擊這些操作系統和通信協議。

電力網絡系統要求“橫向隔離、縱向認證”，控制區和管理信息大區之間是物理隔離，不能直接連接，但有時廠商的設備里會加入遠程無線模塊，方便工程師或廠商人員進行遠程維護，這些設備在我們的控制一區、二區植入了很多安全隱患，黑客也有可能操縱這些無線模塊惡意地下發指令或者篡改我們的指令，直接威脅到電力系統生產大區的安全運行。

4.2 電力網絡系統具體面臨的威脅影響

（1）APT攻擊是黑客組織最喜歡的攻擊方式，黑客對電力系統運維人員的安全意識進行踩點，他會知道你打開郵件、附件的方式，然后肆意地捆綁惡意代碼，他們還有可能購買一些零碎的漏洞來攻擊電力系統的設備，這些遠程控制都是通過加密通道來防止電力系統的IDS、IPS進行實時檢測。面對這種APT攻擊，我們很難有效地建立防御體系，無論從運維人員的防范意識還是從系統本身的安全或者技術架構都是很難抵抗的。

（2）來自內部人員的威脅是所有工控系統面臨的最大威脅之一，這些威脅可能是有意也可能是無意（誤操作）引起的，伊朗的核設施就是被工作人員通過U盤感染了惡意代碼，攻擊了工控系統。這種威脅防不勝防，檢測難度高。

（3）設備本身的故障。我們知道很多的廠商在設備出廠時會植入一些后門程序，美國國家安全局的爆料已經證實了這一點，在暗網里很多這種漏洞都可以進行買賣，所以廠商的設備容易被廠商自己所控制。第二種就是設備本身故障，因為對內部黑盒子的這種方式很難從安全的角度進行運維，缺乏認證、授權、審計模塊，也就是說，設備系統本身的設計就是不安全的，這種情況會導致安全故障的發生，我們的應急預案在這方面需要加強。

（4）除以上威脅之外，還有來自于惡意代碼主要包括病毒、木馬、蠕蟲、腳本的移動代碼攻擊。電力系統中惡意代碼的植入是很普遍的，因為系統和協議本身存在很多安全漏洞。同時系統是物理隔離的，防病毒軟件不能及時升級，導致惡意代碼長期存在于系統中，很難被發現，這會導致系統受控，或者成為傀儡僵尸，去攻擊別的系統。去年出現的勒索病毒就是利用微軟的永恒之藍漏洞進行滲透攻擊，不僅能加密服務器上的文件，甚至于導致了很多工控系統出現癱瘓。所以，在電力系統中防范惡意代碼的攻擊應該被放在重中之重的位置。

4.3 電力系統網絡信息安全的保障防范措施

針對以上電力網絡系統面臨的威脅，我們傳統的防御模式，無論是防火墻作為邊界安全，還是內部的IDS、IPS作為有效的補充，都難以對抗這種APT攻擊和內部人員的威脅攻擊。作為重要的能源行業，安全對電力系統至關重要。我們要從戰略層面上加強管理體系的建設；在戰術層面制定相應的安全標準，比如等級保護，真正能實現三到四級的安全保護；在運維層，要制定相應的安全基線、操作系統基線、各種協議的基線、服務器基線等等；同時，還要加強管理人員和運維人員的安全意識培養，比如文件共享、最小特權、職責分離、輪崗、強制度假等，這些能有效防止社會工程學攻擊，減少內部人員因為誤操作帶來的極大的安全風險。

5 結語

安全源自未雨綢繆，保障貴在風雨同舟。只有合理地分析企業安全架構，了解安全支撐體系，并堅持科學合理的安全原則方針，才能建立完善的安全架構。通過識別、分析、評估安全威脅，企業才能建立針對電力行業和滿足企業自身需求的安全策略、安全基線，才能真正完成企業的安全目標。