電力能源生產信息系統安全防護能力驗證與評估方法

蔡蕙敏 周黎輝 吳暢

（貴陽宏圖科技有限公司 貴州省貴陽市 550002）

1 研究背景

隨著工業與信息化的融合發展，工業與信息技術進入大數據、物聯網及互聯網+時代，在萬物互聯的情況下，一些原有的獨立網絡的生產系統也暴露出了各種形態的隱患。電力能源系統作為基礎生產系統，它的正常運行是各行各業各類型生產系統的基礎保障，從而電力生產系統的重要性擺到了重中之重的地位。而當前的國際形式和各國之前頻發的網絡戰、網絡安全事件無不警醒我們要把信息安全放到國家安全的層面去考慮，綜合提高關鍵信息基礎設施的保障能力，通過檢查評估等多種形式促建、促改、促防。

2 電力能源生產系統安全性的特點

電力工業具有高度的自動化和發、供、用同時完成的特點。計算機網絡技術在電力生產中的應用，使得我們能更合理有效的生產電、供應電，但是我們所依存的電力在生產高效的同時所存在的開放性和共享性，也為惡意攻擊創造了條件。電力系統從自然界到我們的工業或千家萬戶，需要生產電也就是發電、輸送電、配送電到各個用戶端，這形成了一個長鏈條的運行系統，任何一個環節出現安全問題就會影響整個電網的穩定運行。電網的信息系統安全出現事故，會影響電力的正常生產到供應，甚至可能導致電網的崩潰和瓦解，給社會造成重大的經濟損失，擾亂社會正常秩序，損害國家安全。電力生產系統分為一次系統和二級系統，本文所研究的安全能力和防護主要是針對二次系統環境。

3 電力能源生產系統安全性的難點

電力生產系統分為一次系統和二級系統，本文研究的安全能力和防護主要是針對二次系統環境。二次系統主要分為四個大區，大區分為兩類一類是生產控制大區主要為一區生產實施控制大區和二區生產非實時控制大區構成；第二類為管理信息大區，主要有三區生產管理區和四區管理信息區構成。電力系統在各個環節和不同層次具有相應的信息與控制系統，對電能的生產過程進行測量、調節、控制、保護、通信和調度，以保證用戶獲得安全、優質的電能。每一個環節的安全都至關重要且逐層升級，因此每一層的保護強度不同，目的不同，所采取的防護評估方法也不盡相同。

4 案例分析

4.1 系統基本情況

4.1.1 管理信息系統

ERP 系統：

某發電有限公司ERP 系統主要完成的業務功能有：合同管理、申請基礎設施、會計規則、財務管理、人力資源、全面預算管理、項目合同管理、文檔管理、燃料管理、項目管理、生產管理等。

4.1.2 生產控制信息系統基本情況

DCS 系統：

DCS 系統采用上海自動化儀表股份有限公司SupMAX800-v2k控制系統，DCS 系統對生產全過程進行集中監視和控制，為保證機組安全停機，設置了機組緊急停機時必要的后備硬手操設備。

4.2 檢查情況匯總

4.2.1 管理信息系統

4.2.1.1 ERP 系統

（1）安全問題風險評估：

通過對關聯資產的產生危害的程度來分析判定風險等級，風險分為高中低三級以下以列表形式給出風險分析情況。

其中最大安全危害（損失）結果應結合安全問題所影響業務的重要程度、相關系統組件的重要程度、安全問題嚴重程度以及安全事件影響范圍等進行綜合分析。（詳見表1）

表1：管理信息系統安全問題風險分析表

（2）主要安全問題：

1.信息機房有供熱水管穿頂而下，熱水管如果發生爆裂會對網絡設備、服務器及相關設備造成損壞。

2.信息機房無防盜報警系統,機房設備會有非授權訪問或被盜竊的風險。

3.機房有火災自動消防系統，能夠自動檢測火情、自動報警，但滅火物質不適合機房。缺少自動滅火功能，當機房管理人員脫崗事存在機房服務器，能發生滅火不及時火情蔓延升級。

4.機房無水敏感檢測儀表和報警系統,當發生水滲透事故時，不能及時發現情況，不能把損失降到最低。

5.防火墻集成了多種功能，且沒有雙備份冗余，升級功能即將到期。

6.主機安全方面，身份鑒別未采用兩種以上組合的身份鑒別技術。

7.應用安全方面，身份鑒別未采用兩種以上組合的身份鑒別技術。

8.管理安全方面，數據備份沒有采取異地存儲措施。

（3）問題處置建議：

1.信息機房有供熱水管穿頂而下，建議對熱水管進行禁用或對熱水管進行改道不經過信息機房。

2.信息機房無防盜報警系統，應盡快請專業的安防公司安裝防盜報警系統。

3.信息機房配備置專業的機房自動消防系統。

4.盡快購新的防火墻，且雙機冗余。

5.身份鑒別除了采用賬號識別，還可采取令牌鑒別加帳號識別，采用雙認證。

6.對重要的數據采取異地存儲備份措施。

4.2.2 生產控制信息系統

4.2.2.1 安全問題風險評估

其中最大安全危害（損失）結果應結合安全問題所影響業務的重要程度、相關系統組件的重要程度、安全問題嚴重程度以及安全事件影響范圍等進行綜合分析。（表略）

4.2.2.2 主要安全問題

（1）工程師站屬于生產控制信息系統，并對現場的生產數據采集的分析，屬重要場所，應加雙門禁，但未安裝。

（2）工程師站機房屬重要場所，但未加裝防盜報警系統。

（3）工程師站無水敏感檢測儀表和報警系統,當發生水滲透事故時，不能及時發現情況，不能把損失降到最低。

（4）DSC 網絡中無旁路審計設備，無法檢測流量異常。

（5）工程師站無工業防火墻。

（6）主機安全方面，身份鑒別未采用兩種以上組合的身份鑒別技術。

（7）應用安全方面，身份鑒別未采用兩種以上組合的身份鑒別技術。

（8）管理安全方面，數據備份沒有采取異地存儲措施。

4.2.2.3 問題處置建議

（1）工程師站應安裝雙門禁。

（2）工程師無防盜報警系統，應盡快請專業的安防公司安裝防盜報警系統。

（3）工程師應配置工來防火墻，且雙機冗余。

（4）DSC 網絡中配置旁路審計設備。

（5）身份鑒別除了采用賬號識別，還可采取令牌鑒別加帳號識別，采用雙認證。

（6）對重要的數據采取異地存儲備份措施。

5 檢查方法總結

5.1 網絡全局檢查

主要采用工業控制系統指紋掃描、資產發現的手段和作為驗證工控系統防護能力的主要技術手段，在檢查的過程中可能涉及到以下內容（包括但不限于）：

（1）工控軟硬件的資產發現；

（2）已有資產的脆弱性分析；

（3）已有脆弱性的影響的離線驗證。

5.2 遠程檢測

主要針對業務系統，采用人工安全性檢測和使用安全掃描工具對被檢測對象進行安全漏洞掃描相結合的檢查方式，全面查找發現被檢測目標的安全漏洞信息，并對發現的漏洞進行人工核實，確保不會由于檢查人員的個體差異造成誤報。

5.3 本地檢查

本地檢查主要對一些需要在現場上機進行實際檢查與確認的信息進行核實，以及對某些訪談和文檔審核的內容進行核實。

檢查人員通過對被檢查對象進行觀察、查驗、分析等活動，獲取證據以證明系統安全的保護措施有效的一種方法，檢查針對被查單位情況開發相應檢查表和并采用安全檢測工具檢測、核實安全情況。

對被檢測系統可通過技術手段對工控系統中關鍵區域的惡意訪問、病毒傳播、木馬鏈接等隱性高風險進行檢查發現。同時，可對被檢測對象進行異常流量分析，發現安全隱患。檢查不限于有線網絡，同時需要對本地無線網絡的安全進行檢查。

5.4 現場安全性檢查

現場安全性檢查包括功能檢查、性能檢查以及滲透測試，主要針對被檢測系統的功能及性能方面進行檢查，驗證被檢測系統的功能及性能符合要求；以及從操作系統、數據庫系統、應用系統及網絡設備等方面可能存在的漏洞及弱點出發，對網絡及系統進行滲透性測試，檢查網絡系統的安全防護有效。

現場安全性檢查，要求檢查人員具備一定的網絡安全工作經驗，要掌握網絡安全法規標準、現場技術核查能力，必須對各種廠家安全設備、操作系統、開發語言都了解，還要實時更新最新安全漏洞發布情況。總體來說現場檢查人員的能力和經驗會直接影響本次檢查的質量。

5.5 訪談調研檢查

通過檢查人員與被檢查對象的相關人員進行交談和問詢，了解系統管理和安全管理方面的一些基本信息，并對一些檢查內容及其文檔審核的內容進行核實。通過檢查表、人員訪談、人工核查、文檔查閱等手段，了解安全管理弱點，對被檢查企業的安全管理體系、安全運維過程等方面，對比《工業控制系統信息安全防護指南》要求進行檢查。