電網工控安全與防護技術

(華北電力大學 北京 102206)

一、引言

近年來，隨著電網工業控制系統采取分區分域和縱深防御策略，通過實施內外網安全隔離、電網生產大區與管理信息大區安全隔離等關鍵安全防護工程，系統安全防護體系逐漸得到完善。但是，隨著工業控制系統和設備中新的漏洞、后門等脆弱性信息的發現和披露，電網工業控制系統面臨更加隱蔽的、更加曲折的惡意攻擊風險(例如APT)。

為解決現網存在的安全問題，開展電網工控安全監控與防護技術深化研究，研發一套工控安全監測預警系統。該系統基于工控協議深度報文解析，通過研究若干關鍵技術，研發工控安全監測裝置、安全監測預警平臺，構建旁路工控安全監測防護體系，實現對電網典型安全問題的監測和告警。

工業互聯網的發展、工業4.0、中國制造2025以及兩化融合都促使工業基礎設施趨于互聯和開放，針對電網工控系統的安全威脅監測與預警變得非常必要，這非常符合公司的發展方向，對于公司整體產業發展會起到很好的補充和帶動作用。

二、研究現狀

電力控制系統涉及面寬，包括調度自動化系統、配網自動化系統、計量自動化系統、保信自動化系統、設備在線監測系統等，而設備類型眾多，包括安全設備(縱向加密裝置、防火墻、正反向隔離裝置、入侵監測裝置、防病毒裝置、堡壘機等)、網絡設備、數據庫、主機設備(服務器、工作站)和各種類型的控制設備等，特別是隨著新能源場站的大量接入和工業控制系統和設備中新的漏洞、后門等脆弱性信息的發現和披露，電網工業控制系統面臨更加隱蔽的、更加曲折的惡意攻擊風險(例如APT)。

國外目前針對電網控制系統安全的研究還是定位在安全測試床、漏洞挖掘(ICS-CERT)、設備資產管理和網關類防護領域，對控制系統，特別是電網控制系統深度協議解析和旁路監測與分析領域剛剛起步。

國內針對工業控制系統的研究主要涉及DNP3、MODBUS、OPC等主流工控網絡通信協議的安全威脅研究，針對其存在的安全問題，提出相應的安全防護建議，尚無基于IEC-60870、IEC61850等電網工業控制系統協議深度解析方法的安全威脅監測系統落地應用。

三、研究創新點

1.針對電網工控系統典型應用場景和存在的安全問題，研究基于電網工控協議深度解析的安全威脅檢測方法，自主研發電網工控系統安全威脅現場監測裝置和電網工控系統安全威脅監測平臺，建立基于旁路監測的分布式安全威脅監測體系。

對電網工業控制系統典型通信協議IEC60870、IEC61850的完整性、機密性控制機制的設計缺陷，提出了協議報文解析和異常報文檢測模型和算法。針對電網工控系統發送非法控制命令、非授權修改系統配置、程序、控制命令和敏感數據、利用授權身份或設備進行非授權操作、攔截或篡改傳輸中的命令、參數及敏感數據、偽裝身份入侵、發送雪崩數據，造成網絡或系統癱瘓、竊聽明文傳輸的敏感信息、非法接入等11類典型安全威脅提出了檢測方法，研究出非法使用、明文監測、拒絕服務、違反授權、惡意代碼、旁路控制、準入監測、欺騙偽裝、完整性破壞、篡改報文、非法竊聽11種告警事件。

2.深度分析網絡流量、系統狀態等監測信息，提出基于規則自學習、動態閾值分析的安全威脅預警方法，動態配置安全基線和策略，實現11種典型安全威脅及潛在安全風險的準確識別與預測。

基于對電網典型工控網絡流量圖分析、連接狀態分析、頻率分析、協議分析，結合端口分析、地址分析和數據閾值分析，基于異常流量監測算法和異常協議解析算法，結合工控設備狀態分析，過濾功能狀態異常事件，研究提出典型威脅事件告警規則，構建規則庫和監測策略庫，采用多級模式匹配算法和閾值動態調整算法，實現告警規則的自學習機制。

結合行為分析、基線分析，構建安全工控網絡安全基線庫和威脅預警規則庫，采用安全基線人工調整機制實現基線的動態調整，由監測平臺數據處理中心和預警中心挖掘分析實時工控網絡流量和設備狀態信息,實現了電網工控網絡典型安全威脅的準確辨識和電網工控網絡全域安全風險的監測和預警。

3.通過對異常網絡流量和報文的分析，采用黑白名單和阻斷/隔離技術，實時監測非可信終端的運維操作和可信終端的非授權操作，實現了協議級現場作業安全審計和管控。

充分利用安全威脅監測信息，構建針對非可信運維作業的檢測策略和規則子集，通過實時監測非可信運維終端和可信終端非授權操作，通過前述監測裝置實現對運維作業的實時審計；研究提出了工控網絡運維終端阻斷/隔離技術，在前述安全威脅監測裝置中集成阻斷/隔離功能，實時阻斷非可信運維終端接入和發生異常的可信運維終端，避免安全威脅擴散至當前工控網絡及臨近工控系統，實現了現場作業的實時管控。針對運維作業個性化定制監測、審計策略，僅阻斷非可信運維終端和異常可信終端，建立工控設備與運維終端分級保護策略，不影響工控系統設備運行、數據傳輸和指令傳遞。

四、效益分析

該研究主要客戶是國家電網、南方電網的發電廠、變電站、供電公司(配電自動化系統)，主要用在新能源電站如光伏、風電等的發電廠站、變電站和調控中心端，也可以用在傳統的水電、火電的安全監測與預警方面。

目前新能源電站發展迅猛，僅青海省投運的光伏電站就在300座左右，按照每個廠站最少部署一臺工控安全監測裝置算，就要部署300臺。如果算上風電場，和新能源發展也很迅速的新疆、西藏等省市，光新能源廠站的安全監測的市場容量就至少在1000-2000臺。這還不算對數量更大的傳統火電、水電的監測。如果要使用在全國的供電公司的監測方面，數量同樣非常可觀。

五、總結

本項目通過對面向電力工控系統的數據采集和監控技術研究開展深入研究，可解決目前現階段電力業務中場站非可信接入監測和威脅發現手段缺失難題，有效防護電力工控系統的業務和網絡信息安全。掌握電力工控協議數據采集技術，通過對常見控制協議、私有協議和非標準控制協議的自動解析，實現協議層數據自動采集；掌握電力工控系統攻擊威脅分析和甄別技術，使得監控非可信接入和攻擊威脅成為可能，為電力控制系統安全防護提供實踐指導；掌握電力工控系統數據集成和分析技術，實現非可信接入和威脅監測的自動分析和旁路阻斷，為電力工控系統的攻擊與防護提供平臺基礎。