智能變電站安全運維策略研究

劉慕嫻，陸力瑜，莫蓓蓓，劉桂華

（廣西電網(wǎng)電力調(diào)度控制中心，南寧 530000）

0 引言

近年來，黑客攻擊工控系統(tǒng)的事件頻繁發(fā)生，并呈現(xiàn)增長趨勢。根據(jù)工業(yè)安全事件信息庫RISI（Repository of Industrial Security Incidents）的統(tǒng)計，截止2019年，全球已經(jīng)發(fā)生了數(shù)百起專門針對工業(yè)控制系統(tǒng)的重大攻擊事件。相關資料表明，通用軟硬件和通信協(xié)議在數(shù)據(jù)采集監(jiān)控系統(tǒng)和過程控制等方面的應用，安全事故的發(fā)生率明顯上升，不利于工業(yè)控制系統(tǒng)的管理。破壞工業(yè)控制系統(tǒng)的方式較多，其中最主要的就是非法入侵系統(tǒng)，該方式不僅涉及網(wǎng)絡技術和計算機領域，還涉及制造業(yè)和電力等行業(yè)，對國家經(jīng)濟產(chǎn)生不可估量的損失，影響國家信息戰(zhàn)略的安全。

在眾多工業(yè)行業(yè)中，電力行業(yè)的安全穩(wěn)定對國家安全及民眾生活顯尤為重要。為此，國家及相關部門發(fā)布了一系列的政策要求以規(guī)范電力系統(tǒng)網(wǎng)絡安全管理工作。2009年發(fā)布的國家電網(wǎng)公司企業(yè)標準Q/GDW 383-2009《智能變電站技術導則》中第11部分運行維護中提及應配置一體化檢驗裝置或系統(tǒng)，實現(xiàn)整間隔檢修及移動檢修的要求，2015年國家能源局發(fā)布的國能安全36號令附件5《變電站監(jiān)控系統(tǒng)安全防護方案》中第4部分安全部署提及對于已經(jīng)投入運行的系統(tǒng)及設備，應當按照國家能源局及其派出機構(gòu)的要求及時進行整改，同時應當加強相關系統(tǒng)及設備的運行管理和安全防護的要求。

1 變電站運維現(xiàn)狀

隨著外部網(wǎng)絡攻擊事件頻發(fā)，為保障電力系統(tǒng)安全穩(wěn)定的運行，各地電網(wǎng)調(diào)度主站逐步部署了網(wǎng)絡安全管理平臺，調(diào)度數(shù)據(jù)網(wǎng)主站端設備也隨之達到安全加固。各省、市級電力監(jiān)控系統(tǒng)以《電力監(jiān)控系統(tǒng)安全防護總體方案》為標準，以“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”為原則，綜合采用了防火墻、入侵檢測、主機加固、病毒防護、日志審計、統(tǒng)一管理等多種手段進行了全面的安全防護。但是，變電站監(jiān)控系統(tǒng)設備檢修作業(yè)時，通常采用廠家運維人員自帶的筆記本直接連接站控網(wǎng)絡層進行維護操作的方式，存在檢修作業(yè)事前無防護，事中無審計，事后無追蹤等問題，也增加了網(wǎng)絡結(jié)構(gòu)性安全風險，缺乏有效的網(wǎng)絡安全防護手段。

檢修運維人員進入了工業(yè)現(xiàn)場（如變電站）后，跳過了層層設防的網(wǎng)絡安全設備直接將筆記本電腦、移動存儲設備等通過網(wǎng)絡端口和USB接口接入現(xiàn)場系統(tǒng)，對設備進行檢修運維操作。這種檢修運維方式會產(chǎn)生如下一系列管控問題：

由于現(xiàn)場設備廠家較多，造成運維人員管理難度大增，且存在賬號多人共用、密碼未及時修改、弱口令、臨時賬號未刪除等問題，容易被黑客入侵導致安全事件的發(fā)生；

檢修運維過程中，由于缺少物理隔離和擺渡，不同網(wǎng)絡交叉使用的移動存儲介質(zhì)和運維設備（如U盤，筆記本電腦）容易將惡意代碼帶入到工控系統(tǒng)之中，從而對系統(tǒng)安全性造成嚴重威脅；

由于缺少安全審計手段，在檢修運維人員出現(xiàn)誤操作甚至惡意操作的情況下，存在發(fā)生安全事故的隱患，而在安全事故發(fā)生之后又難以追蹤溯源并定責；

在檢修運維過程中，缺少對運維人員訪問權限進行限制，運維人員可以隨意訪問其他資產(chǎn)信息，導致核心生產(chǎn)數(shù)據(jù)和配置信息被泄露。

由此可以看出，對電力系統(tǒng)現(xiàn)場檢修運維操作進行有效的管控是保障工控信息安全不可或缺的一項重要環(huán)節(jié)。針對上述運維管控難點，廣西電網(wǎng)公司資助的科技項目曾做了較為前沿的技術研究，并成功開發(fā)了一套針對變電站運維作業(yè)過程管控和審計的變電站電力監(jiān)控系統(tǒng)檢修作業(yè)安全運維裝置（項目編號：GXKJXM20190682），并在試點運行過程中發(fā)揮了較為出色的效果，在不增加運維工作人員較多額外工作量的同時，保障了運維過程的安全性。

本文將針對如上風險問題通過技術手段對運維人員操作進行約束和監(jiān)督。

2 總體策略研究

為了解決變電站現(xiàn)場運維的痛點，實現(xiàn)對外來運維人員的操作進行管控和審計。本文結(jié)合了GB/T22239-2019《信息安全技術網(wǎng)絡安全等級保護基本要求》（以下簡稱“等保2.0”）中安全區(qū)域邊界及安全計算環(huán)境相關安全要求，有針對性的制定了一套檢修運維安全防護策略，分別從認證授權、惡意代碼防范、訪問控制、操作審計等幾個方面對運維操作進行全程監(jiān)管。

認證授權：內(nèi)置身份管理模塊，可通過登錄口令、密碼、USBkey、數(shù)字證書、生物技術等方式實現(xiàn)對檢修員身份進行雙因子驗證。同時對檢修運維過程中的操作行為進行相應的管控，避免出現(xiàn)惡意操作導致的安全事故；

安全審計：對檢修運維操作過程全程監(jiān)控并錄制操作視頻以供回放，為事后追溯問題時提供最直觀有效的證據(jù)；

惡意代碼防范：對移動介質(zhì)進行防病毒處理，由于大多數(shù)工控主機并未安裝防病毒軟件，因而無法查殺移動介質(zhì)自帶的病毒；

訪問控制：通過對裝置部署安全防護策略，防止運維人員對未經(jīng)授權的網(wǎng)絡設備進行訪問，同時，為避免將惡意代碼帶入工控系統(tǒng)，需要對移動介質(zhì)數(shù)據(jù)通過擺渡進行操作；

圖1 方法示意圖

基于以上提出的四個維度的安全策略，通過設計一種便攜式變電站安全調(diào)試裝置并結(jié)合現(xiàn)場檢修運維的實際情況進行安全有效地管控，可以大大降低工控系統(tǒng)現(xiàn)場檢修運維的風險，有效保障工控設備資產(chǎn)的安全。

3 安全運維策略方法

3.1 認證授權

在2019年國家正式發(fā)布的等保2.0針對設備以及計算安全類別第三級中明確要求需要加強對政企內(nèi)部安全的管控，需對用戶身份具有二次鑒別能力。作為變電站運維工作開始前的第一道門檻，便攜式變電站安全調(diào)試裝置配備了雙因子身份認證模塊，并可設置賬戶鎖定策略，從而完成了運維人員的身份驗證并保障了賬戶防破解的能力。

因便攜式變電站安全調(diào)試裝置是通過網(wǎng)口直連到現(xiàn)場的交換機與被檢修對象進行連接通信的，為了防止裝置與同一網(wǎng)絡內(nèi)存在的其他工控設備發(fā)生IP地址沖突，需要在配置IP前先做IP地址沖突檢測。進行該步驟時，運維人員需要先通過檢測后方可保存裝置IP地址，有效防止因IP沖突而導致的系統(tǒng)異常情況發(fā)生。

變電站在進行檢修運維作業(yè)時，對作業(yè)過程中運維人員行為操作的控制非常重要，裝置側(cè)可通過識別當前開啟的應用進程，捕獲應用窗口對其進行鍵盤記錄和指令審計，并記錄相應操作日志信息。內(nèi)置可由廠家自定義導入的高危指令集，且當檢測到高危指令時立即阻斷并觸發(fā)審批策略。有效阻止并避免危險、違規(guī)操作，確保運維安全。

3.2 惡意代碼防范

惡意代碼是防范是工控系統(tǒng)安全運行的根基，等保2.0中明確要求：應采用免受惡意代碼攻擊的技術措施或采用可信計算技術建立從系統(tǒng)到應用的信任鏈，實現(xiàn)系統(tǒng)運行過程中重要程序或文件完整性檢測，并在檢測到破壞后進行恢復。為保障系統(tǒng)的安全性和穩(wěn)定性，便攜式變電站安全調(diào)試裝置基于Linux進行開發(fā)。由于工控系統(tǒng)封閉的特殊性，現(xiàn)場的設備基本都未安裝殺毒軟件，對惡意代碼的防護能力幾乎為零。運維作業(yè)時裝置側(cè)將成為惡意代碼入侵的一條高危路徑，因此，裝置側(cè)的惡意代碼防范能力將成為保障目標系統(tǒng)安全性的關鍵一環(huán)。

便攜式變電站安全調(diào)試裝置內(nèi)置惡意代碼庫，可基于惡意代碼特征進行檢查。每次運維作業(yè)開始前，裝置側(cè)需要對自身系統(tǒng)關鍵位置進行惡意代碼檢查，同時可自定義其余檢查路徑，保障裝置自身安全性。其操作也將記錄進系統(tǒng)操作日志，避免運維人員隨意恢復被隔離文件，增加系統(tǒng)風險。

在現(xiàn)場運維過程中，運維人員通常會用到U盤等外接存儲設備。裝置側(cè)對每次接入的存儲設備進行惡意代碼檢查，檢查通過后方可允許運維人員對存儲設備進行讀取操作，以保障運維作業(yè)處于安全的環(huán)境之中。

3.3 訪問控制

因變電站運維作業(yè)的特殊性，對運維時間有非常嚴格的要求。為了有效管控運維人員對目標系統(tǒng)的接入權限，管理員可根據(jù)任務實際情況在裝置側(cè)設定該次任務的開始時間和結(jié)束時間，防止運維人員在非計劃運維時間內(nèi)接入目標系統(tǒng)進行作業(yè)而導致安全事故的發(fā)生。

裝置側(cè)集成了防火墻功能，默認禁止未授權的網(wǎng)絡服務訪問。管理員可在裝置側(cè)根據(jù)訪問控制策略自定義設置訪問控制規(guī)則，默認情況下除了控制規(guī)則內(nèi)允許的通信外，其余受控接口均拒絕所有通信。每次檢修任務開始前，管理員以最小化訪問控制規(guī)則的原則，根據(jù)該次任務的實際需求設置訪問控制規(guī)則，訪問控制規(guī)則包括檢修對象IP地址、端口、傳輸協(xié)議。比如管理員設置了該次任務的目標IP為192.168.1.2，端口為21，則運維人員無法通過裝置側(cè)訪問其余IP的設備和端口，可以有效保障其余資產(chǎn)信息的安全。

3.4 操作審計

根據(jù)等保2.0中安全審計一節(jié)的要求，需要對重要的用戶行為和重要安全事件進行審計，審計記錄應包括事件的日期和時間、用戶、事件類型等。裝置側(cè)對檢修運維作業(yè)全過程事件信息、操作記錄、安全報警信息等內(nèi)容進行完整記錄，并將記錄文件有效地進行歸檔保存，方便事后進行問題追溯。同時還支持按照事件開始和結(jié)束的時間范圍以及事件名稱進行相關查詢并可將查詢結(jié)果導出。

事后對任務的審計手段中，除了日志和事件信息外，視頻是最直觀的取證方式。裝置側(cè)后臺通過全程錄像的方式靜默記錄運維人員對目標系統(tǒng)的全部操作，生成的視頻錄像將與操作日志和事件信息等內(nèi)容進行關聯(lián)，審計人員可通過檢索的方式進行事件定位，方便審計人員對運維操作進行回溯追蹤的同時節(jié)約大量觀看視頻的時間，以提高工作效率。

4 應用部署

考慮到變電站點多面廣的現(xiàn)狀，裝置通過采用便攜式三防筆記本的設計，可以應對各種復雜的現(xiàn)場環(huán)境，并滿足一臺設備支撐多個站點檢修運維工作的需求。業(yè)務的大致流程可以分為如下4步：①管理員配置任務授權規(guī)則；②廠家運維人員申領裝置并帶至現(xiàn)場；③現(xiàn)場檢修運維作業(yè)；④結(jié)束任務返還裝置。

圖2 業(yè)務流程示意圖

現(xiàn)場部署操作簡單，只需將裝置側(cè)通過網(wǎng)線連接至現(xiàn)場交換機，通過任一身份鑒別方式+密碼的方式登錄到任務界面即可開始檢修運維作業(yè)。

圖3 現(xiàn)場部署示意圖

5 結(jié)語

隨著科技的不斷發(fā)展，國家和各級主管部門對電力監(jiān)控系統(tǒng)的安全性要求也越來越高。變電站作為國內(nèi)最重要的基礎設施之一，其安全性不言而喻。本文通過對目前變電站運維現(xiàn)狀所碰到的痛點進行了詳細分析，并且針對上述痛點提出了安全運維的策略及方法，為電力部門運維管理人員面對運維人員在現(xiàn)場檢修運維作業(yè)管控難的問題提供了一套有效可行的方案。