水電廠工控系統安全防護的設計與實現

劉晶晶

四川省紫坪鋪開發有限責任公司 四川成都 610000

1 電力系統的安全防護技術

1.1 縱向認證

采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。因此在水電廠生產控制大區與電力調度數據網的縱向連接處部署電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現雙向身份認證、數據加密和訪問控制，同時具有安全過濾功能，實現對數據通信應用層協議及報文的處理功能[1]。

1.2 橫向隔離

（1）生產控制大區與管理信息大區之間。通常水電廠的兩大網絡之間沒有直接的物理連接，可不加防護裝置，如以后相連則必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應當接近或達到物理隔離。（2）控制區（安全 I 區）與非控制區（安全 II 區）之間。安全 I 區是整個工控系統的防護重點，盡管水電廠安全I 區和安全 II 區之間通常已經部署了傳統防火墻，但難以對 IEC104規約進行精確防護，需要進行升級并部署工業防火墻，實現對工業協議數據深度過濾，防范各種非法操作和數據，保障工控系統安全。（3）監控區和現場控制區之間。由于 PLC 控制器的安全防護級別要高于上位機的安全防護，因此在集中監控區上位機和現地控制區下位機之間部署智能保護裝置，允許上位機通過特定的工控協議與下位機進行交互，同時對上下位機之間傳輸的報文內容做深度檢查，識別正常的操作行為并生成白名單，發現其用戶節點的行為不符合白名單中的行為特征，對此行為進行阻斷或告警。

2 水電廠工控系統安全現狀

主機安全風險。生產控制大區的服務器/網絡設備等存在弱口令，用戶權限設置不合理，存在默認賬號，空閑端口未關閉，系統軟件、操作系統漏洞升級困難，缺少必要的應用安全控制策略，對用戶登錄應用系統，訪問系統資源等操作進行身份認證、訪問控制和安全審計。

應用安全風險。水電廠工控系統普遍缺乏網絡準入和控制機制，上位機與下位機通信缺乏身份鑒別和認證機制，只要能夠從協議層面跟下位機建立連接，即可以對下位機進行修改，普遍缺乏限制系統最高權限的限制，高權限賬號往往掌握著數據庫和業務系統的命脈，任何一個操作都可能導致數據的修改和泄漏，同時也缺乏事后追查的有效工具，讓責任劃分和威脅追蹤變得更加困難[2]。

3 系統總體設計

3.1 全威脅模型

在電力工控系統的攻擊過程中，攻擊不會以一種方式或者一個步驟得以實現，而是以不同的攻擊進程采取不同的攻擊方法，且并不是以既定模式展開攻擊。本文以攻擊樹為基礎，實現電力工控系統的安全威脅建模。攻擊樹雖然邏輯結構簡單，但其樹形結構可以直觀準確地描述系統中包含哪些攻擊方式和威脅種類，同時攻擊樹具有很強的擴展性，可以根據邏輯結構按需求增加或刪除對系統不足以構成威脅的攻擊。安全威脅建模的思想就是基于攻擊樹模型，把從系統安全風險中分析出來的安全威脅行為作為樹的結構形式建立威脅樹，表示威脅行為及其攻擊步驟之間的邏輯關系。其中每棵威脅樹代表攻擊者使用的威脅方法，每條路徑代表具體的攻擊方式。一棵基本的威脅樹模型包含根節點、葉節點以及中間節點。根節點表示攻擊者對系統威脅的最終目標；葉節點表示威脅可能采取的攻擊手段；而中間節點則表示攻擊者達到最終目標時所采取的中間步驟。其中根節點的各個子樹是可選路徑，攻擊者可采取不同的攻擊進程。

3.2 綜合防護

3.2 .1物理和環境安全防護

為保證工控系統的安全可靠運行，降低或阻止人為或自然因素從物理層面對工控系統保密性、完整性、可用性帶來的安全威脅，必須從物理安全的角度采取適當的安全控制措施。針對工控系統物理環境缺乏控制及未經授權的人員可以訪問重要設備的現狀，對于工控系統中無人值守的分布式站點、核心設備區域采取物理防范措施是十分必要的。通過建立配置視頻監控措施、電子門禁系統和報警系統，可以防止未經授權的人員進入，并且便于事后審計和追查。應盡量拆除或封閉各類工業主機上不必要的外設接口；確需使用時，可采用工控系統主機審計產品統一管理有外設接口的工控系統主機[3]。

3.2 .2數據安全防護

隨著網絡技術的發展，工控系統越來越多的采用通用協議和明文方式進行數據傳輸。為了防止數據在傳輸過程中發生泄漏或者被非法獲取，應采用 SSL 或者密碼技術等安全方式保障網絡傳輸數據的機密級、完整性和可用性，實現工控系統網絡間數據的安全傳輸，達到非法用戶對重要的數據即使拿得到也看不懂，更用不了的目的。企業在運行過程中應建設完善工控安全事件應急響應預案，定期組織應急演練，不斷增強應急能力。

3.2 .3網絡安全防護

工控系統要對設備按照功能、區域等合理劃分安全域，使數據交互只能通過安全域邊界進行，并通過工業防火墻、安全網閘等設備對工控系統的安全邊界進行防護。在不同網絡邊界間，可以通過部署防火墻的方式，實現網絡訪問的安全控制，阻斷不合法的網絡訪問。

4 結語

經過上述步驟可構建具有很好擴展性的威脅建模，操作也很方便，若發現一種新的攻擊方式，只要在該攻擊節點的隸屬父節點下加一個代表新攻擊方式的子節點即可。