電力二次系統安全防護策略及關鍵技術綜述

姚旭 魏東 王鋼

（1、內蒙古工業大學信息工程學院，內蒙古 呼和浩特010080 2、內蒙古電力科學研究院熱控所，內蒙古 呼和浩特010020)

電力二次系統是指由各級電力監控系統、調度數據網絡(SPDnet)、電力數據通信網絡(SPTnet)、各級電網管理信息系統(MIS)、電廠管理信息系統及電力通信系統等構成的復雜系統[1-2]。電力二次系統的安全防護是電力系統安全平穩運行的基本條件，當下因網絡安全問題引發的網絡襲擊而導致供電事故的案列屢見不鮮，例如：2015 年烏克蘭發生停電事故主要原因是電力系統遭受到惡意代碼攻擊導致當地停電的事故。我國近幾年雖然沒有發生由于網絡安全問題導致較大范圍的停電，但電力二次系統的網絡安全問題已然是一個值得關注的問題。本文分析了目前電力二次系統存在的安全風險和目前使用的網絡防護技術和設備，為今后電力二次系統安全防護的研究和發展提供信息資料支持。

1 電力二次系統目前存在的風險

由于電力二次系統在電力系統中處于非常重要的地位，目前電力二次系統存在面臨的安全風險主要包括旁路控制、破壞完整性、違反授權、工作人員管理或操作有誤、信息泄漏、非法使用、攔截、篡改、欺騙、偽裝、拒絕服務、竊聽等[4]；主要由以下原因引起：①電力系統及業務更新，但網絡防護設備和技術并未相應跟上；②目前防御仍以被動防御為主，不能在發生之前檢測并阻止；③加密及認證機制、預警機制、漏洞掃描等技術不完善；④病毒庫更新方式不科學且效率低，缺乏實時性、主動性；⑤安全防護目標、策略和體系不健全，安全管理各項制度政策不完善；⑥分區后的各區之間對數據進行統一管理困難[4]。

2 電力二次系統安全防護總體方案

2.1 電力二次系統安全防護策略

根據2004 國家電力監管委員會第5 號令《電力二次系統安全防護規定》。安全防護原則為“安全分區、網絡專用、橫向隔離、縱向認證”[1]。按照規定進行部署，電力二次系統安全防護方案的整體架構如圖1 所示。

2.2 電力二次系統安全防護主要設備

2.2.1 交換機。電力二次系統安防策略中規定了安全分區的原則，而交換機主要用于各區業務劃分、業務接入以及ACL 訪問控制。交換機一般工作在OSI 模型數據鏈路層上，其中三層交換機，結合了二層交換機和三層路由技術，克服了傳統路由器的不足。在對VLAN 的劃分上有效的保證了網絡效能。2.2.2 路由器。路由器就是根據路由表來轉發分組數據的網絡設備，路由器主要實現數據信息的轉發與交換。路由器的主要功能是轉發數據包和選擇最佳的轉發路徑，此外路由器還具有流量控制、網絡管理和訪問控制等功能。2.2.3 防火墻。防火墻根據特定的規則，允許或限制數據通過。其基本功能在于隔離網絡，硬件防火墻還具有負載均衡、網絡地址轉換、虛擬專用網和身份認證等功能。在上述的規則中，防火墻可以對兩個網絡之間進行流量監控，僅讓那些通過審核的、安全的信息 進入或流出內部網絡等。2.2.4 橫向隔離裝置。橫向隔離裝置主要采用雙機加存儲器的結構，即內部處理機、存儲器和外部處理機。由于內外部處理機和外部處理機不能同時對存儲器進行讀寫操作，這樣內外兩個網絡就相當于是相互隔離的，從而達到物理隔離安全級別。按照數據的通信方向，電力二次系統橫向隔離裝置分為正向型和反向型[1]。2.2.5 縱向加密認證裝置。縱向加密認證裝置指采用認證、加密、訪問控制等技術實現數據的遠方安全傳輸以及縱向邊界安全防護[1]。其實現原理主要基于加密技術和身份認證技術[1]。

2.3 等級保護業務安全防護體系

2019 年5 月10 日發布了《信息安全技術 網絡安全等級保護基本要求》，等級保護2.0[3]詳細規定了各級別對于網絡防護的基本要求以及擴展要求。電力二次系統一般定位為第3 級或第4 級的安全要求。本文按照第4 級要求進行分析。2.3.1 安全物理環境：主要是對機房場地建設和機房內部物理設備的防護要求，還提出了對出入機房人員的控制以及其他物理突發事件的應急設備布置。電力二次系統涉及到的硬件設備存放地點都需要滿足以上要求。2.3.2 安全通信網絡：通信網絡設備及使用性能可以滿足其業務需求；在通信傳輸上面采用更安全的密碼技術[5]。在密碼算法方面，加大國產密碼算法商密、普密、核密的算法研究。2.3.3 安全區域邊界：電力二次系統安全分區的邊界防護以及整個系統與外網的邊界防護，目前主要采用主被動結合的方式來對系統網絡進行防護。可以采用入侵檢測以及入侵防御系統來對邊界進行監控和阻止惡意代碼攻擊等。2.3.4 安全計算環境：主要是對系統內的數據以及工作流程來防范惡意代碼攻擊，文獻[6]主要對等保2.0 下的安全計算環境中可信技術的主動防御安全方面進行了闡述。提出了在計算運行時實時動態的進行防控，及時識別異常情況，干預任何產生問題行為，目的是平穩有序的完成所有的系統任務[6]。主機安全免疫可信方案通過對系統的數據及流程進行分析找出置信區間，采用系統設定值對超出置信區間數值的任務作出響應，予以排查和阻止[6]。2.3.5 安全管理中心：實現安全機制統一集中管理，目前大部分采用安全態勢感知平臺、堡壘機等。2.3.6 安全管理制度：嚴格建立相應的制度，建立相應職位的責任條例。2.3.7 安全管理機構：完善部門機構，實現相互監督，制約管理。2.3.8 安全管理人員：對員工離職、入職的管理除了人事上的變動，更加注意系統內的使用，及時維護在職人員的權限、角色，匹配相應工作任務的功能。2.3.9 安全建設管理：對電力二次系統內使用的電力相關或無關的系統及設備進行定級和備案，采購設備嚴格按照相關規定執行。2.3.10 安全運維管理：對電力設備及系統后期的運維和管理。此部分還包括了應急預案以及變更管理等。

圖1 電力二次系統安全防護方案

3 安全防護防御技術研究現狀

3.1 被動防御技術

在傳統的網絡安全防御技術中，通常采用被動防御技術，主要通過分析以往系統產生的威脅來預先設計相關規則，對已有的攻擊進行防御[7]。常用的被動防御技術有防火墻技術、身份認證技術、訪問控制技術、入侵檢測技術等。

3.2 主動防御技術

隨著現代網絡技術的不斷發展，被動防御策略已經不能滿足對網絡安全的研究。主動防御主要任務就是在入侵行為發生之前或發生時，能夠及時精準預警并采取相應的阻止措施[8]。為了更好的保證電力二次系統的網絡安全，目前的防御手段采用主被動防御技術相結合。3.2.1 蜜罐技術。蜜罐系統是一個包含漏洞的誘騙系統[8]。蜜罐模擬真實系統，誘騙攻擊者攻擊，同時拖延攻擊者對真正目標攻擊，轉移了攻擊目標。文獻[8]中介紹了目前使用蜜罐技術的一些產品，如Specter 是一種商業化的低交互蜜罐。文獻[8]還提到了蜜網技術，該技術主要使用在蜜網工程（是最為著名的公開蜜罐項目）中，這個技術目前主要用于研究。3.2.2 入侵防御技術。入侵防御技術，主要功能是主動監視網絡內的系統的各種活動，主動檢測存在的攻擊行為，如若發生攻擊行為及時采取相應的阻斷措施[8]。IPS 部署在內外網交界處以提高電力二次系統的主動安全防御能力。這樣使電力二次系統內外網交互的安全防護程度得到有力保障。3.2.3 漏洞掃描技術。漏洞掃描是指基于漏洞數據庫，通過掃描等手段進行檢測，發現可利用的漏洞的一種安全檢測行為。可以使用漏洞掃描工具，根據長期對漏洞分析形成的漏洞庫進行匹配檢測[8]。

結束語

對電力二次系統網絡安全防護，需同時從軟件、硬件、網絡、基礎裝置等角度進行，才能夠抵擋現在網絡環境快速發展帶來的隱患。本文分析了目前常用的防御策略及技術。目前已經將完全被動防御逐步改善為主被動相結合的防御方式，應積極發展主動防御技術，同時也要大力研究仿真技術。結合等保2.0 按照規定要求從物理環境、計算環境到人員管理等把握好每一個細節，提升電力信息系統的安全防護等級，更有效的防止因錯誤、防護不當或防御能力不強導致電力系統癱瘓、故障的事故。