等保2.0時代電力監控系統安全防護體系建設研究

李政達，楊 繼，姜添元

(中國電子信息產業集團有限公司第六研究所，北京 100083)

0 引言

隨著我國信息技術安全法律體系建設日趨完善，網絡安全等級保護制度同步提出了更全面細致的網絡安全保護要求。2017年6月1日《中華人民共和國網絡安全法》正式實施，網絡安全上升到國家戰略層面，其中第三十一條明確規定：“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”2019年實施的等級保護2.0測評體系更加注重全方位的主動防御、動態防御、精準防控和整體防護，明確了工業控制系統的網絡安全防護要求[1]。

電力監控系統是以計算機和網絡技術為基礎，對電力生產和供電過程進行監視控制的業務系統。電力監控系統作為關鍵信息基礎設施，系統的安全運行不僅關系到發電企業的穩定和發展，而且會直接影響公共利益和安全，以及國民經濟的健康發展。電力監控系統與傳統信息系統相比，其網絡結構更復雜、各層次的組件更多，且大多使用私有協議，這使得電力監控系統的安全保護更加困難。此外，發電企業對網絡安全重視不高，缺乏防護手段，人員安全意識薄弱，使電力監控系統面臨巨大的安全風險。

近年來，國外電力安全事故頻發，例如2015年烏克蘭因惡意軟件破壞發生了大規模停電事件，委內瑞拉近年來因網絡攻擊發生多次全國范圍的大停電。同時勒索事件頻繁發生，嚴重影響了電力監控系統的可用性，巴西電力公司、葡萄牙跨國能源公司、美國電力公司、國內某大型水電廠均曾遭到勒索病毒攻擊，導致數據可用性、業務連續性受到威脅，嚴重影響企業的安全生產。

目前國內的電力監控系統網絡安全防護建設均依據GB/T 36572-2018《電力監控系統網絡安全防護導則》，其規定了電力監控系統網絡安全防護的基本原則、體系架構、防護技術、應急備用措施和安全管理要求。國家發展改革委員會2014年第14號令《電力監控系統安全防護規定》對區域劃分與隔離、網絡通信與認證提出相應的建設要求。國家能源局2015年發布的《電力監控系統安全防護方案》對發電、變電、配電、調度四種不同的電力監控系統做出詳細的安全防護方案指導。目前針對電力監控系統網絡安全建設發布的國標和法規均無安全管理中心的建設要求，也未發布詳細的安全計算環境、安全區域邊界的建設方案。

1 電力監控系統現狀與需求分析

1.1 電力監控系統安全現狀

電力監控系統依據現有指導文件進行建設時往往忽略入侵行為檢測與阻斷、安全漏洞發現與升級、病毒木馬網絡與主機的協同防御等網絡安全基線的建設，因此電力監控系統現有的防護方案在應對黑客發展迅猛的入侵技術時顯得捉襟見肘，尤其是面對有組織的高級持續性威脅(Advanced Persistent Threat，APT)，其特點主要包括：入侵手段多樣化、0day漏洞信息差、病毒木馬隱蔽性不斷提高、針對單一系統持續化攻擊。因此，電力監控系統亟需更全面、標準化可落地、適度超前的安全建設方案，以應對頻發的網絡攻擊。

本文對河南地區20家發電企業的49個電力監控系統進行調研得出：使用2021年新版算分方法的電力行業等級保護測評項目，安全保護等級為第三級的電力監控系統測評結論九成為“中”，而傳統信息系統、云計算系統的測評結論超九成為“良”。在對被調研的電力監控系統進行現場測評時，安全管理中心、安全計算環境、安全區域邊界的測評項中存在關鍵指標不符合的情況，舊的安全體系已經無法滿足等保2.0測評體系的安全要求。

1.2 電力監控系統現有架構

依據國家能源局發布的《電力監控系統安全防護方案》，電力監控系統安全防護的總體原則為“安全分區、網絡專用、橫向隔離、縱向認證”[2]。圖1為現有電力監控系統安全防護總體架構。

圖1 現有電力監控系統安全防護總體框架示意圖

(1)安全分區：將電力監控系統分為生產控制大區和信息管理大區，生產控制大區可分為控制區和非控制區。控制區是電力生產的重要環節，直接實現對電力生產的實時監控。

(2)網絡專用：縱向數據傳輸采用專用網絡，使用虛擬專用網絡(VPN)技術劃分實時子網和非實時子網。

(3)橫向隔離：在生產大區和信息管理大區之間部署物理隔離裝置實現正向、反向隔離。生產大區內部部署帶訪問控制功能的隔離裝置或防火墻實現邏輯隔離。電力監控系統與傳統的數字網絡均是采用單向隔離裝置進行強邏輯隔離。

(4)縱向認證：生產控制大區在不同企業之間的縱向進行數據遠程通信時，采用認證加密、訪問控制技術措施保證數據交互過程中的保密性和完整性。

1.3 現有架構風險

1.3.1 區域邊界與通信網絡風險分析

現有電力監控系統的安全防護架構僅限于區域間的安全隔離與縱向通信網絡的加密傳輸，隔離手段使用傳統防火墻、單向隔離裝置等防護措施，采用白名單方式控制數據進出，使用VPN、縱向加密認證等技術實現生產大區之間的縱向數據傳輸與認證，無法實現協議級的高效解析，數據包內包含的攻擊載荷無法被及時發現。

而且，現有架構在系統區域邊界缺少入侵防范檢測與阻斷手段，未部署集中的網絡流量審計系統，現階段入侵者通常在數據層面構造攻擊負載對系統進行攻擊，但是目前大部分電力監控系統使用的安全設備僅能在數據包地址、端口層面進行限制，無法對數據內容的安全性進行檢測。

1.3.2 計算環境風險分析

由于工業控制軟件普遍較為復雜、兼容性差，導致安裝防入侵軟件會影響生產過程的連續性與可靠性，大部分電力監控系統只注重可用性，忽略了安全性。即便部分企業對工控終端主機安裝了防入侵軟件來實現安全防護，但是防入侵軟件需要定期升級最新的特征庫，電力監控系統在與外界網絡隔離的環境下無法保證特征庫實時更新[3]。

通過分析國內外的電力安全事故，在邊界防護策略設置合理的情況下，對電力監控系統的有效攻擊大多以工控終端為突破口，不規范的數據傳輸方法使系統被植入木馬，導致系統失陷。如果安裝入侵檢測系統則可以很大程度防止此類事件的發生，這樣即便單個設備失陷，風險在內網傳播時也會很快被發現并阻斷。

1.3.3 安全配置風險分析

大多數企業沒有建立安全管理中心或未單獨劃分安全區域，缺乏整體安全系統規劃，部署的安全產品之間存在交互壁壘，無法實現網絡鏈路、網絡設備和計算設備的集中監測，以及對系統配置、安全配置、審計信息的集中管理與監測。現有的安全設備只能執行單點或單一層面保護，防護體系呈扁平化結構，沒有形成統一的安全防護體系，難以做到綜合分析和協同防護[4]。

依據等級保護2.0標準對電力監控系統進行測評時，安全管理、審計管理、集中管控等控制點出現較多不符合項。根據中關村信息安全測評聯盟發布的《網絡安全等級保護測評高風險判定指引》，運行監控措施缺失、安全事件發現處置措施缺失被判定為高風險問題，如果測評過程存在上述問題，會導致測評結果不通過[5]。

1.4 安全建設需求

舊的電力監控系統安全建設體系已無法滿足當前的安全防護需求，加強電力監控系統的安全防護刻不容緩，對電力監控系統的安全建設需要根據系統特點，設計實際可行的安全防護體系方案[6]。電力生產企業比傳統企業更加注重系統的可用性與實時性，所以在進行安全建設時不能影響數據傳輸的高效和準確[7]。

等級保護2.0的安全建設體系有針對性地在工業控制系統擴展中提出了相應的安全防護要求，其“一個中心，三重防護”的防護思想對現有的防護體系更加細化：建立以計算環境安全為基礎，以區域邊界安全、通信網絡安全為保障，以安全管理中心為核心的信息安全整體保障體系，安全防護與安全監測有機結合，形成“1+1＞2”的安全防護模式，構建主動防御體系[8]。

電力生產、調度等相關企業亟需根據等級保護2.0指導文件中的安全建設思路進行系統安全防護升級改造，建設更完善的防護體系，以便通過等級保護、風險評估等合規性的安全測評，保障電力監控系統基礎設施持續、穩定、安全運行。

2 安全防護建設

電力監控系統的網絡安全防護采用頂層設計結構。在建立橫向隔離、縱向認證安全防護體系的基礎上，重點在等級保護2.0新增安全防護建設要求上拓展安全防護的新思路，具體體現在構建網絡攻擊主動發現能力，建立可信安全機制，統籌安全、日志、管理信息有效集成，搭建安全管理制度體系，組建專業的安全管理團隊，提升安全防護能力等方面[9]。

2.1 安全架構頂層設計

在現有的系統生產架構上劃分出獨立的網絡區域構建集中管理網。在等級保護2.0體系中提出的安全管理中心概念是為了建立集安全管理、安全監測、安全運維為一體的集中管理平臺，為電力監控系統的安全可靠運行安裝一個“智能大腦”。目前的安全管理中心實踐方案并不是通過單一的設備實現的，而是通過安全監測、日志審計、系統管理等相應的集中管理設備共同建設的，通過設備集合共同實現安全管理中心。

由于電力監控系統網絡結構的特殊性，其各大區的數據流向有嚴格的管控措施，在建立集中管理網時不能打破“安全分區，橫向隔離，網絡專用”的原則。由于是企業內部建設，故無需繼續“縱向認證”，但橫向應當與原有區域之間的安全隔離邊界保持平行，如圖2所示，在原有的系統上層建設集中管理網，集中管理網同樣采用橫向隔離。

生產控制大區的控制區和非控制區分別部署區域安全管理系統，用于各自區域的安全管理、系統管理、日志收集，并將收集到的設備日志與網絡流量發送至集中管理網的信息管理區，通過集中審計設備與安全分析設備，做到對分散在各個設備上的審計數據進行收集匯總和集中分析，并時刻檢測網絡流量中的特征值和各個設備上報的安全信息，做到全網的實時檢測和主動防御。

2.2 區域安全詳細設計

如圖3所示，生產控制大區安全防護架構是圖2整體架構中安全I區的進一步細化設計。該架構圖以火力發電企業生產控制大區為例，生產控制區分為操作網和控制網，操作網用于操作員站、歷史站等設備的接入，實現DCS生產操作、數據采集和處理、監控畫面顯示、故障診斷和報警等功能。控制網用于工程師站、DCS服務器等設備的接入，實現對DCS組態上傳、下載和修改，并對控制站進行配置。

圖2 電力監控系統安全防護新思路整體架構

圖3 典型發電企業生產控制大區安全防護架構

2.2.1 典型生產控制區通信網絡、區域邊界防護

在通信網絡方面，采用全流量采集的方法，通過交換機鏡像口發送流量數據至工控安全流量分析器，通過N-gram算法進行報文切分，然后通過關鍵詞提取算法提取關鍵詞，最后依據提取的關鍵詞進行報文聚類對工控協議報文分類[10]，實現對流量的初步過濾，結合單分類器與集成學習訓練出二層分類模型，從而對工業控制網絡流量進行異常檢測[11]，消除流量數據中的噪聲，防止集中審計系統流量過載。集中審計系統的流量審計模塊通過解析工控網絡流量、深度分析工控協議與系統內置的協議特征庫，實現實時流量監測以及異常活動及時告警。

同時對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測與日志收集，對日志進行持久化存儲，并對安全事件日志進行統計分析。實現在關鍵網絡節點處的檢測，防止并限制從外部或內部發起的網絡攻擊行為，幫助電力生產用戶實時掌握網絡的運行狀況，發現潛在網絡流量安全問題。

2.2.2 典型生產控制區安全計算環境防護

在終端的安全管理方面，工業控制系統對可用性和連續性要求較高。當前采用特征值比對黑名單的終端安全防護產品時容易導致工業軟件與系統內核的交互和一些操作指令被誤判為惡意操作，影響工控系統的高可用性[12]。由于工控主機用途比較單一，運行的軟件固定，對外交互數據格式固定，因此使用白名單的終端安全和可信保護系統應運而生。

終端安全可信保護系統部署在每個終端和服務器上，安全可信保護系統由硬件設備層的可信芯片、操作系統層的可信軟件基、應用層組成，其中應用層由可信安全管理平臺、可信軟件庫組成[13]。可信安全管理平臺統一管理所有接入終端的應用、安全軟件和系統環境。可信終端軟件是安裝在終端操作系統中的安全執行軟件，可信軟件庫為信息系統提供可信軟件，受信任的芯片提供了信任的根源，系統架構圖如圖4所示，其中可信安全管理平臺和可信軟件庫為圖3中工業網絡安全管理平臺的子模塊。

圖4 安全可信計算環境實現思路

可信軟件基利用可信芯片的特性，為應用、系統、硬件設備的運行建立可信的安全計算環境，通過可信連接形成可信體系，實現硬件、操作系統、應用系統的融合。由可信芯片提供可信指令，在操作系統層由可信軟件基構建安全計算環境，實現操作系統層面的身份鑒別、安全審計、訪問控制、入侵防范，在數據層面實現數據的備份、恢復，保證數據的完整性、保密性，同時實現對操作系統的漏洞發現、安全策略配置、惡意代碼檢測、系統補丁升級等安全相關配置的集中管理[14]。

在應用層通過在可信安全管理平臺設置工業控制軟件程序及關聯程序為白名單，對其進行安全分析和安全規則制定。每一個被設置為可信的軟件都有其安全特征值，在軟件使用過程中，都會匹配特征值，一旦攻擊者利用漏洞進行攻擊，可信計算支撐平臺會根據軟件的安全規則進行攔截，有效彌補已知、未知安全漏洞未及時修補造成的安全威脅。

2.3 安全制度建設

技術為網絡安全防護提供支撐，人員是安全防護的實施者與受益者，電力監控系統運營人員普遍存在重視生產安全，忽視網絡安全的情況，網絡安全知識欠缺。國家法律法規、行業監管安全防護要求不斷提高，發電企業亟需組建具有較高專業性的網絡安全運維團隊來提供高效的網絡安全保障服務，需加強以下管理工作：

(1)制定完善的網絡安全制度，包括安全管理制度、安全管理機構、安全管理人員、系統建設管理安全、系統安全運維管理等相關制度體系，使安全運維工作有章可循、有法可依。

(2)實時監控系統警告、預警，制定安全事件報告和處置管理制度，明確不同安全事件的報告、處置和響應流程，規定安全事件的現場處理、事件報告和后期恢復的管理職責等[15]。

(3)做好應急預案框架，明確應急處理流程，定期開展應急預案培訓，并進行應急演練，在演練過程中尋找到安全防護體系的短板，通過“發現-驗證-修補-再驗證”不斷迭代的方式提升安全防護能力。

3 應用效果

該方案以河南某發電企業電力監控系統生產控制區為建設試點，在不改變電力生產控制原有軟硬件架構，并保證電力監控系統能夠正常穩定運行的前提下，該系統在完成安全建設后在等級保護測評、網絡安全風險評估中均取得較好的成績，如表1所示，等級保護測評結論由加固前的“差”(60分以下并存在高等級安全風險)提升為“良”(80分以上且不含高等級安全風險)，其中不符合測評指標均不是高危風險，中低風險不符合項顯著降低。由于主機部署終端安全可信保護系統，加固前滲透測試發現的高風險漏洞均無法再被利用，系統的整體防護水平明顯提高。

表1 系統安全防護建設前后效果比較

4 結論

隨著電力監控系統的智能化程度逐步提高，其網絡安全面臨嚴峻威脅，漏洞挖掘技術的不斷成熟，使電力監控系統中的安全漏洞數量明顯增多，針對電力監控系統的網絡攻擊事件層出不窮。

等級保護2.0時代電力監控系統的安全防護需要在現有的安全防護基礎上，結合等級保護新增安全防護要求項，做好頂層設計，做精底層防護。以“一個中心”為安全建設的核心，以“三重防護”為基本，構建可信主動防御，事后分析、溯源、加固的防御體系，全方位提升電力監控系統網絡安全感知能力和防護能力，維持電力企業穩定、安全的電力生產，保障國民經濟的發展和人民生活的安定。