張金山

摘要：工業(yè)控制系統(tǒng)是電力、交通、能源、水利、冶金、航空航天等國(guó)家重要基礎(chǔ)設(shè)施的“大腦”和“中樞神經(jīng)”，而電力工控系統(tǒng)安全直接關(guān)乎國(guó)計(jì)民生，在“新基建”背景下，中國(guó)能源企業(yè)面臨著諸多的機(jī)遇和挑戰(zhàn)。本文分析電力行業(yè)安全現(xiàn)狀與威脅，解析電力系統(tǒng)面臨哪些工控安全風(fēng)險(xiǎn)，評(píng)估受攻擊后可能造成的嚴(yán)重后果，提出電力行業(yè)工控安全建設(shè)方面的建議，可為中國(guó)能源企業(yè)網(wǎng)絡(luò)安全建設(shè)提供依據(jù)和借鑒。

關(guān)鍵詞：工控安全;電力工控安全;安全態(tài)勢(shì)感知;電力安全大數(shù)據(jù);電力安全建設(shè)

Thoughts on the Safety Construction of Electric Power Industrial Control in the Era of "New Infrastructure"

ZHANG Jinshan

（Data Operation and Maintenance Department of China Energy Fusion Smart Technology Co.， Ltd.， Beijing， 100080 China）

Abstract： Industrial control system is the "brain" and "central nerve" of important national infrastructure such as power， transportation， energy， water conservancy， metallurgy， aerospace， etc. The safety of power industrial control system is directly related to the national economy and people's livelihood. Under the background of "New Capital Construction "， Chinese energy enterprises are faced with opportunities and challenges to invest in power market. This paper analyzes the security status and threats of the power industry， analyzes which industrial control security risks the power system faces， evaluates the possible serious consequences after being attacked， and puts forward suggestions on industrial control security construction of the power industry， which can provide basis and reference for network security construction of Chinese energy enterprises.

Key Words： Industrial control safety; Electric power industrial control safety; Security situation awareness; Power safety big data; Electric power safety construction

0 引言

當(dāng)前，隨著云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造技術(shù)加速融合，工業(yè)信息安全形勢(shì)日趨嚴(yán)峻，“十三五”規(guī)劃開(kāi)始，網(wǎng)絡(luò)空間安全已上升至國(guó)家安全戰(zhàn)略，工控網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)安全中的薄弱而又至關(guān)重要部分，全方位感知工控系統(tǒng)的安全態(tài)勢(shì)成為亟待解決的重要問(wèn)題之一。

工業(yè)控制系統(tǒng)是電力、交通、能源、水利、冶金、航空航天等國(guó)家重要基礎(chǔ)設(shè)施的“大腦”和“中樞神經(jīng)”，超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)實(shí)現(xiàn)自動(dòng)化作業(yè)。關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)也是可能遭到重點(diǎn)攻擊的目標(biāo)，這些基礎(chǔ)設(shè)施一旦被攻擊，具有極大的破壞性和殺傷力，尤其是電力系統(tǒng)。

隨著中共中央政治局委員會(huì)在2020年3月4日召開(kāi)的會(huì)議中指出，要加快推進(jìn)國(guó)家規(guī)劃已明確的重大工程和基礎(chǔ)設(shè)施，其中要加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度，“新基建”驟然成為各界關(guān)注的新焦點(diǎn)，新基建的核心在于傳統(tǒng)產(chǎn)業(yè)的數(shù)字化轉(zhuǎn)型，傳統(tǒng)基礎(chǔ)設(shè)施的數(shù)字化改造。

同時(shí)，“新基建”孕育著巨大的發(fā)展空間，如疫情期間遠(yuǎn)程辦公、遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育和線(xiàn)上購(gòu)物等數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)快速發(fā)展，但隨著新型基礎(chǔ)設(shè)施建設(shè)和應(yīng)用的開(kāi)展，潛藏其中的數(shù)據(jù)安全問(wèn)題也衍生出新一輪的網(wǎng)絡(luò)安全挑戰(zhàn)。

1 工控系統(tǒng)典型安全事件

1.1 國(guó)際工控典型安全事件

近年來(lái)，隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)環(huán)境變得更加開(kāi)放與多變，工業(yè)控制系統(tǒng)則相對(duì)變得更加脆弱，工控系統(tǒng)的安全性面臨巨大的挑戰(zhàn)。

1.1.1 "震網(wǎng)"病毒襲擊伊朗核設(shè)施

2009年上半年，“震網(wǎng)Stuxnet”病毒滲入伊朗核設(shè)施網(wǎng)絡(luò)，改變數(shù)千臺(tái)離心機(jī)發(fā)動(dòng)機(jī)的運(yùn)轉(zhuǎn)速度。這種突然的改變發(fā)動(dòng)機(jī)轉(zhuǎn)速會(huì)對(duì)離心機(jī)造成無(wú)法修復(fù)的傷害，從而達(dá)到破壞伊朗核研究的目的，也導(dǎo)致伊朗原子能機(jī)構(gòu)的負(fù)責(zé)人迫于壓力辭職。外界猜測(cè)是某西方大國(guó)的網(wǎng)絡(luò)情報(bào)機(jī)構(gòu)，通過(guò)“震網(wǎng)病毒”實(shí)施的一次工控APT攻擊，“震網(wǎng)”病毒使伊朗的核計(jì)劃延遲了至少2年^[1]。

1.1.2 委內(nèi)瑞拉大規(guī)模停電事件

2019年3月7日下午5時(shí)，包括首都加拉加斯在內(nèi)的委內(nèi)瑞拉全國(guó)發(fā)生大規(guī)模停電。這是委內(nèi)瑞拉自2012年以來(lái)持續(xù)時(shí)間最長(zhǎng)、影響范圍最廣的停電，超過(guò)一半地區(qū)數(shù)日內(nèi)多次完全停電。此次電力系統(tǒng)的崩潰沒(méi)有任何預(yù)兆，多數(shù)地區(qū)的供水和通信網(wǎng)絡(luò)也相應(yīng)受到了嚴(yán)重影響。而到了7月22日，委內(nèi)瑞拉再次發(fā)生大規(guī)模停電，此次停電的主要原因是提供全國(guó)六成以上電力的古里水電站計(jì)算機(jī)系統(tǒng)中樞遭受到了網(wǎng)絡(luò)攻擊^[2]。

1.2 國(guó)內(nèi)典型工控安全事件

1.2.1 四川二灘水力發(fā)電廠(chǎng)停機(jī)事件

2000年，四川二灘水力發(fā)電廠(chǎng)的兩臺(tái)工控設(shè)備調(diào)速器在實(shí)際運(yùn)行中出現(xiàn)故障，收到一個(gè)異常命令信號(hào)，致使該廠(chǎng)在7秒鐘之內(nèi)甩掉89萬(wàn)千瓦的出力，造成川西電網(wǎng)瞬間缺電80萬(wàn)KW，這個(gè)事故導(dǎo)致四川電網(wǎng)幾近瓦解。事后總結(jié)發(fā)現(xiàn)，電廠(chǎng)存在一些重大設(shè)計(jì)缺陷，其中的最大問(wèn)題是把控制系統(tǒng)和辦公自動(dòng)化系統(tǒng)結(jié)合在一起，異常命令就是由辦公自動(dòng)化系統(tǒng)傳到控制系統(tǒng)，從而引起電網(wǎng)大面積停電。

1.2.2 臺(tái)灣工控產(chǎn)品存在安全漏洞

2019年3月，Ivan Boyko等研究人員報(bào)告了Moxa工控產(chǎn)品的12個(gè)安全漏洞，包括：緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行惡意代碼;跨站請(qǐng)求偽造漏洞，攻擊者可利用該漏洞執(zhí)行未授權(quán)的操作;跨站腳本漏洞，該漏洞源于程序沒(méi)有正確地驗(yàn)證用戶(hù)輸入，遠(yuǎn)程攻擊者可利用該漏洞注入惡意腳本;訪(fǎng)問(wèn)控制錯(cuò)誤漏洞，該漏洞源于程序沒(méi)有正確地驗(yàn)證權(quán)限，攻擊者可利用該漏洞修改配置;安全漏洞，該漏洞源于程序沒(méi)有充分地限制身份驗(yàn)證請(qǐng)求的次數(shù)，攻擊者可通過(guò)實(shí)施暴力破解攻擊利用該漏洞獲取密碼;存在越界讀取漏洞，該漏洞源于程序沒(méi)有正確地驗(yàn)證數(shù)組邊界，攻擊者可利用該漏洞讀取任意地址上的設(shè)備內(nèi)存，進(jìn)而檢索敏感數(shù)據(jù)或造成設(shè)備重啟等12個(gè)漏洞。

2 國(guó)內(nèi)電力工控安全問(wèn)題

2.1 基礎(chǔ)設(shè)備老化嚴(yán)重

發(fā)電廠(chǎng)基礎(chǔ)設(shè)施、控制設(shè)備運(yùn)行時(shí)間較長(zhǎng)，使用過(guò)程也較為封閉，缺乏維護(hù)及更新，導(dǎo)致設(shè)備嚴(yán)重老化。而傳統(tǒng)的工控系統(tǒng)安全偏向于功能安全、設(shè)備硬件安全屬于生產(chǎn)事故或者故障范濤，卻極少關(guān)注信息安全。

由于這些工業(yè)控制系統(tǒng)和設(shè)備大都比較老舊，生產(chǎn)、制造和使用的過(guò)程也較為封閉，使得信息安全問(wèn)題（包含軟件、固件、網(wǎng)絡(luò)等安全問(wèn)題）暴露的幾率極低。

2.2 系統(tǒng)老舊漏洞較多

在電廠(chǎng)所使用的DCS工程師站、DCS操作員站、DCS歷史站、DCS上位機(jī)等服務(wù)器，大量采用windows操作系統(tǒng)，并且由于設(shè)備采購(gòu)較早，一些服務(wù)器還運(yùn)行著windows XP、windows NT、windows server 2008這樣老舊的系統(tǒng)，由于操作系統(tǒng)生產(chǎn)商對(duì)此類(lèi)老舊的操作系統(tǒng)停止了技術(shù)支持，所以這類(lèi)系統(tǒng)上存在著大量的默認(rèn)配置、弱口令及系統(tǒng)漏洞。

2.3 工控漏洞缺少防護(hù)

英特爾、思科、羅克韋爾、西門(mén)子、施耐德和ICS-CERT等工控系統(tǒng)生產(chǎn)廠(chǎng)家、硬件生產(chǎn)廠(chǎng)家、安全研究團(tuán)隊(duì)，在網(wǎng)上發(fā)布許多公開(kāi)的工控風(fēng)險(xiǎn)漏洞。而對(duì)于已公開(kāi)的工控風(fēng)險(xiǎn)漏洞，多數(shù)電廠(chǎng)由于技術(shù)實(shí)力不足以及系統(tǒng)環(huán)境較為封閉，大多補(bǔ)救不當(dāng)或根本沒(méi)有防護(hù)措施，導(dǎo)致工控系統(tǒng)中存在大量嚴(yán)重漏洞。

2.4 已知問(wèn)題難以修復(fù)

即使發(fā)現(xiàn)病毒、木馬或者黑客攻擊，各電廠(chǎng)難以定位病毒或木馬的感染范圍，甚至部分系統(tǒng)沒(méi)有補(bǔ)丁來(lái)修復(fù)漏洞。這些工控系統(tǒng)中存在的安全問(wèn)題就像是一個(gè)個(gè)定時(shí)炸彈一樣，隱藏在系統(tǒng)之中，嚴(yán)重威脅到電力行業(yè)的安全^[3]。

2.5 未知問(wèn)題難以發(fā)現(xiàn)

由于工業(yè)控制中的網(wǎng)絡(luò)流量大多是由工控設(shè)備按照生產(chǎn)工藝自動(dòng)產(chǎn)生，與傳統(tǒng)互聯(lián)網(wǎng)流量有極大的區(qū)別。

因此，傳統(tǒng)安全產(chǎn)品不能有效的識(shí)別工控網(wǎng)絡(luò)流量的特點(diǎn)，導(dǎo)致無(wú)法檢測(cè)到工控網(wǎng)絡(luò)中存在的威脅。使得在工控網(wǎng)絡(luò)中發(fā)生信息安全事件之后，難以還原“第一案發(fā)現(xiàn)場(chǎng)”，從而難以排查故障問(wèn)題和安全問(wèn)題。

3 傳統(tǒng)安全存在缺陷

3.1 傳統(tǒng)特征識(shí)別方式較滯后

當(dāng)前的傳統(tǒng)工控安全產(chǎn)品分析方法，普遍基于系統(tǒng)中的特征庫(kù)匹配已知風(fēng)險(xiǎn)行為。而針對(duì)工控系統(tǒng)的攻擊行為是一個(gè)實(shí)施過(guò)程，并不具備能夠被實(shí)時(shí)檢測(cè)出來(lái)的明顯特征，無(wú)法被實(shí)時(shí)檢測(cè)。

3.2 傳統(tǒng)安全監(jiān)測(cè)缺乏實(shí)時(shí)性

傳統(tǒng)工控安全產(chǎn)品基于被動(dòng)的檢測(cè)方式，只有發(fā)生威脅后，應(yīng)急取證調(diào)查才會(huì)被啟動(dòng)。事實(shí)上威脅已經(jīng)發(fā)生了，因?yàn)闆](méi)有實(shí)時(shí)的威脅追蹤而被無(wú)視。這是由于傳統(tǒng)安全產(chǎn)品缺乏實(shí)時(shí)威脅的分析機(jī)制。

而發(fā)現(xiàn)威脅最有效的手段是對(duì)大數(shù)據(jù)網(wǎng)絡(luò)元數(shù)據(jù)進(jìn)行發(fā)現(xiàn)、分析、溯源，并借助大數(shù)據(jù)關(guān)聯(lián)分析與可視化的分析，在黑客試圖繞過(guò)安全系統(tǒng)、攻擊造成損害之前將其抓獲。

3.3 安全產(chǎn)品工控防護(hù)能力弱

傳統(tǒng)安全產(chǎn)品現(xiàn)有的控制方法對(duì)于Stuxnet、Havex 等APT 攻擊的檢測(cè)存在漏洞。Stuxnet會(huì)修改電站下層的運(yùn)行參數(shù)，而對(duì)上層的 HMI 瞞報(bào)一個(gè)正常的值。而 Havex 是通過(guò)對(duì)自身的復(fù)制在移動(dòng)介質(zhì)和固定設(shè)備之間進(jìn)行傳播，同時(shí)通過(guò)對(duì)移動(dòng)介質(zhì)的驅(qū)動(dòng)和固定設(shè)備硬盤(pán)的固件進(jìn)行更改來(lái)隱藏自己，傳統(tǒng)安全產(chǎn)品無(wú)法對(duì)工控系統(tǒng)相關(guān)操作進(jìn)行阻斷^[4]。

3.4 缺乏對(duì)運(yùn)維人員操作監(jiān)管

由于國(guó)內(nèi)在技術(shù)方面還存在一定的差距，出于對(duì)質(zhì)量和性能等方面的考慮，工控行業(yè)大量地采用了國(guó)外廠(chǎng)商的設(shè)備，而當(dāng)需要對(duì)這些設(shè)備進(jìn)行維護(hù)時(shí)，通常都需要專(zhuān)業(yè)的技術(shù)人員來(lái)對(duì)其進(jìn)行操作。

而對(duì)廠(chǎng)商運(yùn)維人員的操作缺乏技術(shù)監(jiān)管措施，難以發(fā)現(xiàn)廠(chǎng)商人員所使用的筆記本電腦、移動(dòng)存儲(chǔ)介質(zhì)（如U盤(pán)、移動(dòng)硬盤(pán)）等設(shè)備是否存在病毒，通過(guò)工控網(wǎng)絡(luò)發(fā)出的指令是否存在誤操作、惡意操作等問(wèn)題。

3.5 工控安全事件溯源取證難

傳統(tǒng)工控安全產(chǎn)品對(duì)已發(fā)生的安全事件，不能快速的追蹤、溯源、取證，故無(wú)法實(shí)現(xiàn)事后追溯。主要是由于缺乏對(duì)工控各安全區(qū)域流量的記錄、分析、存儲(chǔ)，導(dǎo)致無(wú)法實(shí)現(xiàn)對(duì)工控環(huán)境的安全威脅、可疑問(wèn)題的感知。

只有還原安全事件發(fā)生過(guò)程，才能了解事件嚴(yán)重程度和影響范圍，進(jìn)而做出正確的響應(yīng)防御措施。

4 傳統(tǒng)安全與工控安全區(qū)別

4.1 工控安全可用性要求更高

工業(yè)控制系統(tǒng)以“可用性”為第一安全需求，而傳統(tǒng)信息系統(tǒng)以“機(jī)密性”為第一安全需求。在信息安全的三個(gè)屬性機(jī)密性、完整性、可用性中，傳統(tǒng)信息系統(tǒng)的優(yōu)先順序是機(jī)密性、完整性、可用性，而工業(yè)控制系統(tǒng)則是可用性、完整性、機(jī)密性。這一差異，導(dǎo)致工業(yè)控制系統(tǒng)中的信息安全產(chǎn)品，必須從軟硬件設(shè)計(jì)上達(dá)到更高的可靠性。

5 電力工控安全建設(shè)思考

縱觀(guān)工控行業(yè)信息安全事件，針對(duì)工業(yè)控制系統(tǒng)的病毒、木馬等攻擊行為近年來(lái)大幅度增長(zhǎng)，這些病毒、木馬長(zhǎng)期潛伏在控制系統(tǒng)及設(shè)備中，當(dāng)收到激活指令時(shí)，輕則引發(fā)整個(gè)控制系統(tǒng)的故障;重則導(dǎo)致惡性安全事故，對(duì)人員、設(shè)備和環(huán)境造成嚴(yán)重的后果。

但是幸運(yùn)的是，國(guó)家已經(jīng)意識(shí)到工控系統(tǒng)網(wǎng)絡(luò)安全的重要性，無(wú)論從國(guó)家政策層面還是企業(yè)實(shí)際落地層面都得到了積極的重視，伴隨著國(guó)家“新基建”、“互聯(lián)網(wǎng)+制造業(yè)”等政策的不斷推進(jìn)落實(shí)，工業(yè)互聯(lián)網(wǎng)的推進(jìn)速度必將不斷加快，電力工控安全任重而道遠(yuǎn)。

5.1 電力安全大數(shù)據(jù)建設(shè)

利用“新基建5G大發(fā)展”信息通信等優(yōu)勢(shì)，加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)，在能源數(shù)據(jù)匯聚、轉(zhuǎn)換、消納過(guò)程中的樞紐作用，打造出數(shù)據(jù)廣泛匯聚、資源融通共享、服務(wù)優(yōu)質(zhì)高效、技術(shù)安全可靠的“電力安全大數(shù)據(jù)”平臺(tái)，為電力企業(yè)以及地方經(jīng)濟(jì)發(fā)展，提供高質(zhì)量的能源支撐體系。

還可以利用泛“電力安全大數(shù)據(jù)平臺(tái)”覆蓋全產(chǎn)業(yè)鏈關(guān)聯(lián)的優(yōu)勢(shì)，可以將影響擴(kuò)展到供應(yīng)鏈、產(chǎn)業(yè)布局等方面。通過(guò)“電力安全大數(shù)據(jù)平臺(tái)”支持智慧能源多維度評(píng)估評(píng)價(jià)，評(píng)價(jià)結(jié)果更具價(jià)值;基于數(shù)學(xué)模型、神經(jīng)網(wǎng)絡(luò)、人工智能、區(qū)塊鏈技術(shù)等泛能源大數(shù)據(jù)，可以為國(guó)家、地方政府、能源企業(yè)用戶(hù)，在管理、診斷、預(yù)測(cè)、應(yīng)急、優(yōu)化、戰(zhàn)略等方面提供智慧解決方案。

5.2 電力安全態(tài)勢(shì)感知建設(shè)

對(duì)于電力工控企業(yè)來(lái)說(shuō)，加強(qiáng)所有區(qū)域的安全分析與感知才是重點(diǎn)，所以持續(xù)的監(jiān)測(cè)分析是安全保障工作對(duì)的根本，那么電力工控企業(yè)的安全防護(hù)可以從兩個(gè)方面努力：

5.2.1 借助全流量分析技術(shù)，形成了從“異常發(fā)現(xiàn)-實(shí)時(shí)分析-追溯取證”的安全防護(hù)策略

（1）目標(biāo)：電力行業(yè)工控信息安全是一個(gè)進(jìn)攻與防御不斷演化的過(guò)程，對(duì)待不斷發(fā)展的攻擊手段，要立足于電力行的現(xiàn)狀，對(duì)目標(biāo)設(shè)備或區(qū)域提供多維防護(hù)和完整的分析策略。（2）分析：通過(guò)對(duì)實(shí)時(shí)控制區(qū)（安全I(xiàn)區(qū)）、非控制生產(chǎn)區(qū)（安全I(xiàn)I區(qū)）、生產(chǎn)管理區(qū)（安全I(xiàn)II區(qū)）、管理信息區(qū)（安全I(xiàn)V區(qū)）網(wǎng)絡(luò)全流量的分析，在每一個(gè)區(qū)域及環(huán)節(jié)做到全流量分析。（3）思路：建立一套“事前預(yù)判、事中防控、事后取證分析”的安全防護(hù)模型形成立體防護(hù)手段，有效避免類(lèi)似“震網(wǎng)事件”的發(fā)生，做到安全的可控。

5.2.2 借助安全態(tài)勢(shì)感知平臺(tái)，匯總各安全區(qū)域流量，分析哪些安全區(qū)域存在網(wǎng)絡(luò)威脅

通過(guò)對(duì)業(yè)務(wù)的全流量監(jiān)控，檢測(cè)攻擊事件，還原被攻擊場(chǎng)景進(jìn)行詳細(xì)描述，對(duì)業(yè)務(wù)影響進(jìn)行有效評(píng)估，不僅需要對(duì)入侵行為進(jìn)行識(shí)別，甚至需要追溯入侵鏈路，看清一步一步入侵的全過(guò)程，做到自動(dòng)化的入侵取證，實(shí)現(xiàn)安全的可管。

5.3 電力安全分析團(tuán)隊(duì)建設(shè)

電力行業(yè)信息安全管理者需要加強(qiáng)工控系統(tǒng)信息安全事件預(yù)警?！袄砬?、看清”工控系統(tǒng)存在的問(wèn)題，而安全保障工作需要加強(qiáng)安全分析團(tuán)隊(duì)的建設(shè)，根據(jù)實(shí)際情況組建安全分析師團(tuán)隊(duì)，實(shí)時(shí)分析生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)）、管理信息大區(qū)的安全威脅情況^[5]，工作職責(zé)如下：

5.3.1 安全需求溝通

安全分析團(tuán)隊(duì)與安全部門(mén)和業(yè)務(wù)部門(mén)需要保持定期交流，目的是要熟悉網(wǎng)絡(luò)架構(gòu)、系統(tǒng)架構(gòu)、業(yè)務(wù)場(chǎng)景、安全隱患及系統(tǒng)運(yùn)行情況等，結(jié)合實(shí)際情況制定工控系統(tǒng)的保障預(yù)案。

5.3.2 業(yè)務(wù)資產(chǎn)可視化梳理

把實(shí)時(shí)控制區(qū)（安全I(xiàn)區(qū)）、非控制生產(chǎn)區(qū)（安全I(xiàn)I區(qū)）、生產(chǎn)管理區(qū)（安全I(xiàn)II區(qū)）、管理信息區(qū)（安全I(xiàn)V區(qū)）運(yùn)行的資產(chǎn)梳理清晰，并且要精準(zhǔn)識(shí)別哪些是核心資產(chǎn)，哪些屬于邊緣資產(chǎn)，從而重兵防護(hù)核心環(huán)節(jié)。

5.3.3 安全策略可視化梳理

把已經(jīng)運(yùn)行的工控安全產(chǎn)品的策略梳理清楚，檢查各個(gè)安全區(qū)域的安全產(chǎn)品是否在有效的運(yùn)行，并找業(yè)務(wù)部門(mén)確認(rèn)策略制定的合理程度，把沒(méi)用的策略刪除，減少因安全產(chǎn)品產(chǎn)生的隱患。

5.3.4 訪(fǎng)問(wèn)關(guān)系可視化梳理

分別采集安全I(xiàn)、II、III區(qū)的網(wǎng)絡(luò)流量，梳理各安全區(qū)域間的訪(fǎng)問(wèn)關(guān)系，了解區(qū)域之間是否真實(shí)有流量，搞清區(qū)域間訪(fǎng)問(wèn)關(guān)系、交互內(nèi)容，看清電站的安全洼地，看透當(dāng)前的安全隱患。

5.3.5 驗(yàn)證安全產(chǎn)品告警

安全分析師借助流量分析工具第一時(shí)間對(duì)生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)）安全產(chǎn)品的告警事件進(jìn)行流量回放，驗(yàn)證告警的真實(shí)性，并借助工控安全威脅情報(bào)確定威脅性質(zhì);

5.3.6 主動(dòng)分析可疑行為

持續(xù)主動(dòng)的分析實(shí)時(shí)控制區(qū)（安全I(xiàn)區(qū)）、非控制生產(chǎn)區(qū)（安全I(xiàn)I區(qū)）、生產(chǎn)管理區(qū)（安全I(xiàn)II區(qū)）、管理信息區(qū)（安全I(xiàn)V區(qū)），各區(qū)域關(guān)鍵節(jié)點(diǎn)的流量構(gòu)成和行為，從中找出異常事件，并通過(guò)網(wǎng)絡(luò)流量還原異常事件過(guò)程;

5.3.7 持續(xù)調(diào)整安全策略

網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗，安全分析師對(duì)工控專(zhuān)有協(xié)議進(jìn)行深度分析，層層拆解數(shù)據(jù)包、深入剖析數(shù)據(jù)包結(jié)構(gòu)與內(nèi)容，確保數(shù)據(jù)包的合法性，不斷調(diào)整安全產(chǎn)品的策略規(guī)則，從而實(shí)現(xiàn)工控網(wǎng)絡(luò)的深度防護(hù)^[6]。

5.3.8 安全威脅分析報(bào)告

每日向安全部門(mén)上報(bào)安全保障工作動(dòng)態(tài)，讓安全部門(mén)實(shí)時(shí)了解當(dāng)前各工控系統(tǒng)和安全區(qū)的安全狀態(tài)。

5.3.9 電力安全運(yùn)維保障建設(shè)

電力工控系統(tǒng)的安全運(yùn)維是日常保障工控系統(tǒng)安全最重要的一步。因此，一定從技術(shù)保障、管理保障和運(yùn)維保障三方面進(jìn)行建設(shè)：（1）建立安全運(yùn)維監(jiān)控中心。在生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)），對(duì)控制區(qū)的每個(gè)工控系統(tǒng)和設(shè)備進(jìn)行運(yùn)行質(zhì)量的監(jiān)控，以幫助電力企業(yè)安全管理部門(mén)建立安全運(yùn)維監(jiān)測(cè)中心，同時(shí)對(duì)生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)）產(chǎn)生的各類(lèi)安全問(wèn)題做出快速、準(zhǔn)確的定位。（2）建立安全運(yùn)維告警中心。與業(yè)務(wù)管理部門(mén)梳理安全運(yùn)行基線(xiàn)，形成工控設(shè)備、工控系統(tǒng)、工控安全產(chǎn)品的規(guī)則策略，展現(xiàn)生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)）、管理信息大區(qū)中的設(shè)備、系統(tǒng)運(yùn)行警事件，幫助運(yùn)維管理人員快速定位系統(tǒng)故障、排查業(yè)務(wù)問(wèn)題。（3）建立安全運(yùn)維事件響應(yīng)中心。以電力企業(yè)的工作流程模型作為參考為標(biāo)準(zhǔn)，開(kāi)發(fā)圖形化、可配置的工作流程管理系統(tǒng)，以任務(wù)和工作單傳遞的方式開(kāi)展運(yùn)維管理工作，并通過(guò)科學(xué)的、符合電力企業(yè)運(yùn)維管理規(guī)范的工作流程進(jìn)行處理，實(shí)現(xiàn)智能的記錄運(yùn)維安全事件，從而還原運(yùn)維事件處理過(guò)程中的各個(gè)環(huán)節(jié)。

5.4 電力安全應(yīng)急響應(yīng)建設(shè)

電力工控信息系統(tǒng)安全應(yīng)急響應(yīng)不但是一門(mén)復(fù)雜的系統(tǒng)學(xué)科，也是一門(mén)需綜合技術(shù)、管理和人的技術(shù)學(xué)科。在技術(shù)中，不該單考慮具體的產(chǎn)品和技術(shù)，而是要更深入電力行業(yè)信息系統(tǒng)體系結(jié)構(gòu)中：（1）管理建設(shè)：需建立綜合的信息系統(tǒng)安全保障制度、信息化的組織管理體系和相應(yīng)的崗位職責(zé)分配制度，其中信息系統(tǒng)安全保障制度必須嚴(yán)格執(zhí)行。（2）人員建設(shè)：需提高所有使用信息系統(tǒng)人員的安全意識(shí)和能力，還有信息系統(tǒng)專(zhuān)業(yè)人員的專(zhuān)業(yè)技能等。信息系統(tǒng)安全保障作為一種項(xiàng)目性的臨時(shí)行為，不但要全過(guò)程融入工控信息系統(tǒng)的生命周期，更要覆蓋工控信息系統(tǒng)的計(jì)劃組織、開(kāi)發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄的整個(gè)生命周期，以形成工控信息系統(tǒng)安全保障能力的長(zhǎng)效機(jī)制。（3）工作建設(shè)：不僅要同步規(guī)劃、同步建設(shè)信息系統(tǒng)安全保障工作與信息化建設(shè)工作，還要加強(qiáng)安全工程的建設(shè)和監(jiān)理管理等。

工控信息系統(tǒng)安全保障的根本目的，是通過(guò)保護(hù)信息系統(tǒng)從而保障所支持的工控設(shè)備的安全運(yùn)行，電力工控的安全也意味著國(guó)家安全。

5.5 電力安全風(fēng)險(xiǎn)評(píng)估建設(shè)

安全風(fēng)險(xiǎn)評(píng)估的好處是我們可以針對(duì)不同事件的處理采取相應(yīng)的安全策略并形成合理的方案。工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)該基于成熟的風(fēng)險(xiǎn)評(píng)估方法，并且應(yīng)該特別關(guān)注控制系統(tǒng)的特殊要求，以便根據(jù)控制系統(tǒng)的特點(diǎn)確保系統(tǒng)的正常運(yùn)行。

電力工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估與分析是安全策略制定的依據(jù)，即對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)因素進(jìn)行評(píng)估、分析和報(bào)告。風(fēng)險(xiǎn)評(píng)估包含兩個(gè)方面：

5.5.1 對(duì)資產(chǎn)的安全等級(jí)進(jìn)行評(píng)估

也就是多大的杯子裝多少份量的水，多少價(jià)值的東西應(yīng)投入多大精力進(jìn)行安全保護(hù)。這是制訂適應(yīng)性安全策略的依據(jù)。

根據(jù)工控業(yè)務(wù)資產(chǎn)作用、價(jià)值、存儲(chǔ)的數(shù)據(jù)等方面，進(jìn)行分級(jí)分類(lèi)評(píng)估，標(biāo)記出資產(chǎn)的所有者（如部門(mén)、系統(tǒng)、管理人員等）;并根據(jù)資產(chǎn)承載的系統(tǒng)以及業(yè)務(wù)的敏感程度，進(jìn)行敏感分級(jí)，將分類(lèi)的工控業(yè)務(wù)資產(chǎn)劃分不同的敏感級(jí)別（如公開(kāi)、內(nèi)部、敏感等）。

5.5.2 對(duì)目標(biāo)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估

安全風(fēng)險(xiǎn)可以分為兩個(gè)方面：（1）安全防護(hù)對(duì)象方面：評(píng)估工控系統(tǒng)內(nèi)部的脆弱性與存在的潛在威脅。在實(shí)施過(guò)程中，把信息反饋給策略制定者，便于動(dòng)態(tài)調(diào)整策略，改進(jìn)措施，逐步提高系統(tǒng)的安全性。（2）安全防護(hù)技術(shù)方面：針對(duì)工控系統(tǒng)結(jié)構(gòu)和系統(tǒng)中各安全漏洞、安全威脅而采取相應(yīng)的技術(shù)防護(hù)措施。

5.5.3 對(duì)業(yè)務(wù)的定期安全檢測(cè)與評(píng)估

電力工控業(yè)務(wù)信息安全風(fēng)險(xiǎn)評(píng)估是一種長(zhǎng)期的安全工作，需要開(kāi)展定期的安全監(jiān)測(cè)和評(píng)估：（1）定期安全監(jiān)測(cè)：針對(duì)電力企業(yè)的信息安全現(xiàn)狀進(jìn)行分析，其中包括資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、安全措施識(shí)別與確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處理等。（2）定期安全評(píng)估：信息安全風(fēng)險(xiǎn)評(píng)估不但要定期進(jìn)行，還要做到常態(tài)化開(kāi)展。在風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中，依據(jù)自身安全需要，需按照風(fēng)險(xiǎn)評(píng)估流程定義劃分信息安全風(fēng)險(xiǎn)等級(jí)，此外，要重點(diǎn)保護(hù)信息資產(chǎn)及威脅脆弱性差異化，并對(duì)此進(jìn)行風(fēng)險(xiǎn)處理，讓企業(yè)信息安全風(fēng)險(xiǎn)等級(jí)降到最低，同時(shí)增加信息化建設(shè)投資效益比。

5.6 電力紅藍(lán)對(duì)抗活動(dòng)建設(shè)

在國(guó)內(nèi)網(wǎng)絡(luò)安全形勢(shì)愈發(fā)嚴(yán)峻、信息安全內(nèi)控機(jī)制逐步精益的情況下，電力企業(yè)需要定期組織信息安全“紅藍(lán)隊(duì)對(duì)抗”活動(dòng)，需立足于“紅隊(duì)攻點(diǎn)、定點(diǎn)挖掘;藍(lán)隊(duì)防面、全面消缺”的定位，通過(guò)“以賽促學(xué)、以賽促練、以賽促用”，實(shí)現(xiàn)以主動(dòng)攻擊促防御穩(wěn)固、以實(shí)戰(zhàn)檢驗(yàn)促機(jī)制完善的目標(biāo)：（1）通過(guò)防“紅藍(lán)對(duì)抗”活動(dòng)，發(fā)現(xiàn)電力企業(yè)工控網(wǎng)絡(luò)安全存在的深層次問(wèn)題和隱患;（2）對(duì)活動(dòng)中發(fā)現(xiàn)的突出問(wèn)題進(jìn)行應(yīng)急整改，檢驗(yàn)各個(gè)部門(mén)的安全應(yīng)急能力;（3）加強(qiáng)電力企業(yè)各部門(mén)與外部單位、公安機(jī)關(guān)、安全廠(chǎng)商力量的合成作戰(zhàn)、協(xié)調(diào)配合能力;（4）通過(guò)不斷的在系統(tǒng)上進(jìn)行深入的漏洞挖掘、攻擊研究，從而檢驗(yàn)電力工控網(wǎng)絡(luò)的安全性，確保在國(guó)家重要節(jié)日期間的信息安全保衛(wèi)工作萬(wàn)無(wú)一失。

總之“紅藍(lán)對(duì)抗”活動(dòng)建設(shè)是通過(guò)攻防對(duì)抗，檢驗(yàn)電力企業(yè)的對(duì)安全事件的監(jiān)測(cè)發(fā)現(xiàn)、防護(hù)響應(yīng)、應(yīng)急處置的綜合能力。通過(guò)對(duì)抗讓安全部門(mén)在復(fù)盤(pán)、研討中總結(jié)經(jīng)驗(yàn)教訓(xùn)，“在攻防的對(duì)立統(tǒng)一中尋求突破”進(jìn)而整體提升電力企業(yè)的安全保障能力和水平。

參考文獻(xiàn)：

[1]本刊采編部.“震網(wǎng)”病毒襲擊伊朗核設(shè)施[J].信息安全與通信保密，2016（09）：24.

[2]劉迎.委內(nèi)瑞拉大規(guī)模停電事件對(duì)我國(guó)工業(yè)信息安全發(fā)展的啟示[J].保密科學(xué)技術(shù)，2019（03）：25-28.

[3]王樂(lè)樂(lè). 惡意程序動(dòng)態(tài)行為分析關(guān)鍵技術(shù)研究[D].戰(zhàn)略支援部隊(duì)信息工程大學(xué)，2020.

[4]李明. 基于DNS請(qǐng)求序列檢測(cè)APT攻擊[D].吉林大學(xué)，2020.

[5]王世偉. 工業(yè)防火墻軟件框架設(shè)計(jì)及規(guī)則自學(xué)習(xí)方法研究[D].太原科技大學(xué)，2018.

[6]李藝. 工業(yè)控制網(wǎng)絡(luò)安全防御體系及關(guān)鍵技術(shù)研究[D].華北電力大學(xué)（北京），2017.