火電行業工控系統信息安全關鍵技術研究

張東華

（安徽華電蕪湖發電有限公司，安徽 蕪湖 241080）

0 引 言

電力企業是國家的重大關鍵信息基礎設施。電力系統安全運行對整個國家的經濟發展、社會穩定、人民生活水平的提高都具有重要影響。隨著兩化融合進程的深入，越來越多的信息技術運用于工業場景，與工業控制技術相融合，推動了工業企業轉型升級；同時，也逐步打破了工業控制系統的“孤島”模式，導致蠕蟲、病毒、木馬、黑客攻擊等威脅向工業生產系統滲透[1]。在全球范圍內，針對電力系統的攻擊事件逐年增加，有的甚至影響到國家安全，如烏克蘭電網事件、委內瑞拉大停電事件等。近年來，國家及電力行業在引進消化、應用自主、部分國產等方面采取了一系列的措施，但是由于信息技術基礎薄弱，核心控制設備、基礎應用軟件等工控系統主要部件依然大量采用國外產品，存在核心技術受制于人的安全隱患[2]。加強信息技術應用創新在關鍵信息基礎設施上的應用已經勢在必行。

1 火電行業工控安全現狀與威脅分析

1.1 火電行業工控信息安全發展現狀

在我國，電力行業是較早推進工控信息系統安全管理的行業。早在2005年，原電監會就制定了《電力二次系統安全防護規定》（電監5號令），次年又制定了配套的《電力二次系統安全防護總體方案》（電監34號令），用以指導和規范電力企業進行電力二次系統的安全防護工作。

2014年，國家發改委發布了《電力監控系統安全防護規定》（第14號令），同時宣布電監5號令就此廢止。2015年，國家能源局根據14號令的要求，制定了《電力監控系統安全防護總體方案》（國能36號文），方案確定了電力監控系統安全防護體系的總體框架，提出了省級以上調度中心、地（縣）級調度中心、發電廠、變電站、配電等的電力監控系統安全防護方案及電力監控系統安全防護評估規范[3-4]。同時，結合等保的相關要求，逐步形成了較為完善的電力系統安全防護體系，即在原有的“安全分區、網絡專用、橫向隔離、縱向認證”的基礎上增加了“綜合防護”的要求。

1.2 火電行業工控系統安全威脅分析

火電行業在控制系統安全防護方面是一名先行者，但是火電工控系統安全威脅及脆弱性依然在一些方面表現的較為嚴峻，火電安全防護工作一刻也不能放松。

（1）終端安全防護不足

火電企業現場主機多采用微軟Windows操作系統，由于現場條件限制無法定期更新操作系統及應用軟件補丁，導致現場主機存在大量安全漏洞[5]。另外，傳統殺毒軟件在工控系統中的局限性，也導致工業主機缺乏對已知、未知威脅的有效防護。

（2）邊界安全防護不足

火電生產控制大區內部各個控制域之間、生產控制大區與第三方數據網之間缺乏有效的訪問控制措施，傳統的IT防護設備不能識別工控協議，不能甄別出應用側帶來的安全風險。

（3）國產設備占有率不足

火電企業雖然進行過一系列的國產化舉措，但由于我國信息技術發展的滯后性，電力監控系統中國外設備依然占據主導地位；另外，現有的電力安全防護設備多采用非自主架構，缺乏具有自主產權的國產設備進行替代。加之缺乏專業的測評、測試工具，可能存在著難以預料的風險[6]。

（4）自身安全風險認識不足

缺乏有效的風險評估、網絡監測的設備和專業的信息安全人才，無法定期開展風險評估工作，無法識別、監測現階段工控系統中面臨的問題，并提出針對性的解決方案。

2 火電行業工控系統關鍵防護技術

2.1 火電行業工控系統風險評估技術

火電行業依據國能36號文要求，需要對電力監控系統總體防護水平進行安全評估。安全評估貫穿于電力監控系統的規劃、設計、實施、運維和廢棄整個階段。

風險評估本質上是對工業控制系統所可能受到的各種外界威脅或資源缺失等情況的提前預估判定，使其信息安全標準可以得到有效衡量，突出系統中所存在的弱點和威脅程度，并根據具體信息明確其危機風險，再制定針對性的解決方案，以此確保工業控制系統能夠平穩高效的運行[7]。

由于工控系統和傳統IT信息系統存在較大的差異性。火電工控系統在進行風險評估的時候，不能完全照搬傳統信息安全風險評估標準GB/T20984，一定要找到適合火電工控系統實際的風險評估方法和工具，確保安全。

2.2 火電行業工控系統各層次關鍵防護技術

火電行業工控系統各層次關鍵防護技術研究主要以火電行業工控系統、工業環境、技術要求等特殊性為基礎，研究分析適合火電工控系統安全防護的適用性技術，同時加強規范管理、完善安全策略、增強控制系統的信息安全功能[8]。

（1）工控漏洞挖掘與檢測技術

工控漏洞挖掘與檢測技術主要包含未知漏洞的挖掘和已知漏洞的檢測。工控漏洞是工控系統攻防雙方關注的焦點。掌握工控系統漏洞挖掘與檢測技術，是做好工控系統安全防護的前提[9]。漏洞挖掘是對協議標準、源代碼、二進制代碼、中間語言代碼中IDE漏洞特別是未知漏洞進行主動發現的過程[10]。漏洞檢測技術主要針對已知漏洞通過發送測試用例，觀察、驗證漏洞存在的對應的反應的過程。

（2）白名單快速過濾技術

工控系統網絡架構比較固定，資產、通信協議、數據流向等都比較單一、固定；傳統的黑名單過濾機制在進行數據交換防護時，需要逐一對比特征庫，匹配則攔截；而白名單過濾機制在同樣的過程中只需要對比白名單庫，匹配則放行。白名單思路是“枚舉所有合法事項”，所有非白事項均拒絕或進行處理，相對來說更快捷，更適合對數據延遲要求較高的火電行業[11]。白名單快速過濾流程如圖1所示。

圖1 白名單快速過濾流程

（3）網絡抓包分析技術

工控網絡抓包分析技術是從微觀上保證工控系統網絡安全的技術手段，通過捕獲工控網絡中傳輸的數據包并對數據包進行統計和解析，為制定安全策略及進行安全審計提供直接的依據。在抓包分析技術基礎上進行工控協議安全分析和工控協議深度解析，可以借助工具進行模糊攻擊測試，發現被測協議中可能存在的安全漏洞；也可以利用抓包分析技術進一步解析工控協議，識別數據包中的功能指令，做到更精準的防護。

（4）單向導入技術

單向導入技術的工作原理類似于“二極管”單向導電的特性，采用硬件架構設計使數據僅能從外網主機（非信任端）傳輸至內網主機（信任端），中間沒有任何形式的反饋信號，所有需要“握手”確認的通信協議在信息單向導入系統中都會失去意義，電力系統中的電力專用單向隔離裝置就是采用這種技術[12]。

（5）工控威脅監測預警技術

工控威脅監測預警技術通過內置的數學模型，對底層數據采集引擎上報的告警數據、日志進行分析、挖掘和關聯，將有關節點的任意類型日志、告警串聯起來形成完整的日志鏈，從而發現異常行為和嫌疑地址，形成對網絡安全態勢的感知，并且可對未來網絡的安全狀態進行預測，滿足網絡空間可管理、可控制、可追溯的實時監控運行需求，其技術架構如圖2所示[13]。

圖2 工控威脅監測預警技術架構

3 火電行業工控安全關鍵防護方案

3.1 采用基于“信創”技術的工控安全產品

在過去，我國IT底層標準、架構、產品、生態大多數由國外IT巨頭來制定，存在諸多的安全風險。

現階段，隨著我國信息化進程不斷深入，信息技術產業獲得了較大發展，芯片、集成電路、基礎軟件等一大批具有自主知識產權產品的研發，提高了我國信息產業的競爭力[14]。

信息技術應用創新，簡稱“信創”，作為“新基建”的重要內容，也出現了一個現象級的風口。下一步，“信創”技術在各行各業的應用中將逐步展開。火電作為國家重要的關鍵信息基礎設施，理應成為“信創”技術在工控安全領域應用的先行者。目前，國內一些安全廠商發布的“信創”技術工控安全產品，已經在多個行業取得了不錯的應用效果。

3.2 落實工控系統安全風險評估工作

工控系統安全風險評估是開展工控安全防護工作的前提。火電工控系統網絡架構復雜、設備繁多，多年的生產運行導致很多設備進行過更換、維修，加之運維人員的流動，很多火電企業拿不出符合反映實際工控現場的資產列表、網絡拓撲等資料，給安全防護工作帶了難題；因此，定期開展工控系統風險評估工作是很有必要的。風險評估結果也是建立工控安全防護策略的有效依據。

3.3 典型火電企業工控系統信息安全防護架構

典型的火電工控系統信息安全防護架構參照國能36號文以及網絡安全等級保護2.0相關要求來制定，引入了縱深防御的防護理念，結合了火電工控系統的特殊性，如圖3所示。

圖3 典型火電企業工控系統信息安全防護架構

整體設計思路延續了“安全分區、網絡專用、橫向隔離、縱向認證”的防護方針，重點對“綜合防護”方面進行細化設計，增加了日志審計、網絡行為審計、主機防護、入侵檢測、集中管理等模塊。同時，為了保證工控系統業務的穩定性，所有工控安全設備單獨組網，并遵循“安全分區、網絡專用、橫向隔離、縱向認證”的組網要求。

4 結 語

安全是發展的前提，發展是安全的保障，安全與發展是一體兩翼、驅動之雙輪，安全與發展要同步推進[15]。本文在充分了解火電工控系統網絡結構和安全現狀的基礎上，結合火電行業實際情況，對其控制系統信息安全防護關鍵技術進行了深入研究，并提出了基于“信創”體系的工控安全解決方案。火電行業屬于國家重要基礎設施，面對依然嚴峻的工控安全態勢，電力企業必須保持清醒頭腦，隨時準備迎接安全威脅的挑戰。