張富川 吳金宇 陳剛 江澤銘 曾初陽

（中國南方電網(wǎng)電力調(diào)度控制中心 廣東省廣州市 510623）

目前，由于電力監(jiān)控系統(tǒng)趨于智能化的快速發(fā)展，對電力生產(chǎn)現(xiàn)場設(shè)備之間的信息交互提出了更高的要求。同時，以工業(yè)以太網(wǎng)為代表的網(wǎng)絡(luò)技術(shù)也被廣泛應(yīng)用到電力監(jiān)控系統(tǒng)中。為此，電力監(jiān)控系統(tǒng)的搭建不再是簡單的系統(tǒng)集成而已，而是朝著網(wǎng)絡(luò)化、智能化方向的全方位演變。在智能集成和智能電網(wǎng)兩大網(wǎng)絡(luò)化趨勢的背景下，電力企業(yè)工控系統(tǒng)的集成化、網(wǎng)絡(luò)化和智能化已成為主導(dǎo)趨勢。隨著電力監(jiān)控系統(tǒng)的被攻擊技術(shù)和手段的不斷更新和強勢，電力監(jiān)控系統(tǒng)的惡意軟件和安全事件層出不窮。所以電網(wǎng)公司的電力監(jiān)控系統(tǒng)也正面臨越來越多的網(wǎng)絡(luò)安全的威脅，如病毒和敵對勢力的入侵。因此，本文對電力監(jiān)控系統(tǒng)安全接入?yún)^(qū)的訪問認(rèn)證和訪問控制機制進(jìn)行了分析，構(gòu)建了電力監(jiān)控系統(tǒng)的安全接入?yún)^(qū)域認(rèn)證和訪問控制系統(tǒng)，以有效地提高安全化、網(wǎng)絡(luò)化、智能化生產(chǎn)和管理效率，并為有害攻擊者添加了新的攻擊手段。

1 現(xiàn)狀分析

1.1 通信協(xié)議缺乏可靠的安全機制

目前，電力監(jiān)控系統(tǒng)中使用的通信協(xié)議主要有IEC 60870-5-101/103/104 等協(xié)議。但是這些電力控制通信協(xié)議通常只重視通信的實時性和可用性，而安全性缺乏可靠的控制機制，如身份驗證和訪問、加密、授權(quán)等，尤其是電力監(jiān)控系統(tǒng)中的無線通信協(xié)議更容易受到第三方的攔截和欺騙攻擊。

1.2 網(wǎng)絡(luò)完整性缺乏控制

在電力監(jiān)控系統(tǒng)的日常生產(chǎn)、運行和維護(hù)中為了方便工作，筆記本、手機、iPad 等設(shè)備往往未經(jīng)授權(quán)就接入生產(chǎn)網(wǎng)絡(luò)。由于缺乏網(wǎng)絡(luò)接入技術(shù)，無法對接入設(shè)備進(jìn)行未經(jīng)授權(quán)的控制，這對生產(chǎn)系統(tǒng)的安全構(gòu)成了巨大的潛在風(fēng)險。

1.3 系統(tǒng)網(wǎng)絡(luò)缺乏監(jiān)控手段

目前電力監(jiān)控系統(tǒng)中沒有安裝相應(yīng)的病毒檢測、殺毒軟件，無法及時發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒威脅；同時，它無法感知內(nèi)部行為，例如故障和非法操作，并且缺乏必要的技術(shù)手段，因此很難識別和跟蹤安全問題。

1.4 系統(tǒng)主機存在潛在的安全風(fēng)險

生產(chǎn)環(huán)境中的大多數(shù)工作站都使用Windows 操作系統(tǒng)。運行期間操作系統(tǒng)不會自動更新，操作系統(tǒng)在使用過程中繼續(xù)暴露出一些漏洞，使工作站和服務(wù)器處于風(fēng)險之中；一些遠(yuǎn)程服務(wù)和操作系統(tǒng)端口是開放的，這些功能在聯(lián)機后通常不會被屏蔽。因此，基本安全配置薄弱的工作站系統(tǒng)尤其容易受到攻擊。同時，也存在隨意使用U 盤、移動硬盤、手機等移動存儲的現(xiàn)象，將傳染性病毒等威脅因素帶入生產(chǎn)系統(tǒng)。

1.5 安全和維護(hù)操作缺乏控制機制

調(diào)查發(fā)現(xiàn)，電力監(jiān)控系統(tǒng)的日常運行維護(hù)主要通過遠(yuǎn)程桌面進(jìn)行，缺乏完善的運行維護(hù)控制機制。未對運行維護(hù)人員的操作過程進(jìn)行記錄和驗證，未發(fā)現(xiàn)擅自進(jìn)入和異常操作。一旦發(fā)生事故，確定問題需要很長時間，無法及時有效地解決，也沒有跟蹤手段。

2 電力監(jiān)控系統(tǒng)介紹

電力監(jiān)控系統(tǒng)是指用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過程的、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等。主要包括如下系統(tǒng)：能量管理系統(tǒng)、配電自動化系統(tǒng)、廣域相量測量系統(tǒng)、調(diào)度生產(chǎn)管理系統(tǒng)、自動化運行管控系統(tǒng)、節(jié)能發(fā)電調(diào)度系統(tǒng)、負(fù)荷預(yù)測系統(tǒng)、在線穩(wěn)控決策系統(tǒng)、綜合防御系統(tǒng)、網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)、電力綜合數(shù)據(jù)網(wǎng)、通信設(shè)備網(wǎng)管系統(tǒng)、通信運行管控系統(tǒng)、通信電源遠(yuǎn)程監(jiān)控系統(tǒng)、統(tǒng)一通信系統(tǒng)、行波測距系統(tǒng)、保護(hù)定值單系統(tǒng)、繼電保護(hù)管理信息系統(tǒng)、故障錄波系統(tǒng)、整定計算系統(tǒng)、電力現(xiàn)貨市場技術(shù)支持系統(tǒng)、調(diào)頻調(diào)峰輔助服務(wù)市場技術(shù)支持系統(tǒng)、網(wǎng)絡(luò)發(fā)令系統(tǒng)、光伏發(fā)電功率預(yù)測系統(tǒng)、風(fēng)電功率預(yù)測系統(tǒng)、火電廠脫硫脫硝及煤耗在線監(jiān)測系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、氣象及環(huán)境監(jiān)測系統(tǒng)、計量自動化系統(tǒng)、電力設(shè)備在線監(jiān)測系統(tǒng)、雷電定位監(jiān)測系統(tǒng)、線路覆冰在線監(jiān)測系統(tǒng)、電能質(zhì)量監(jiān)測系統(tǒng)、變電站視頻及環(huán)境監(jiān)控系統(tǒng)、火電廠監(jiān)控系統(tǒng)、水電廠監(jiān)控系統(tǒng)、核電站監(jiān)控系統(tǒng)、光伏電站監(jiān)控系統(tǒng)、風(fēng)電場監(jiān)控系統(tǒng)、變電站電力監(jiān)控系統(tǒng)等。

根據(jù)系統(tǒng)功能和重要程度不同，在主站、廠站的不同區(qū)域分別有不同專業(yè)的電力監(jiān)控系統(tǒng)或模塊分布。

電力監(jiān)控系統(tǒng)通常采用分級分布式結(jié)構(gòu)設(shè)計，其拓?fù)浣Y(jié)構(gòu)如圖1 所示，主要分為三級分別是：現(xiàn)場設(shè)備級別、網(wǎng)絡(luò)通訊級別和應(yīng)用級別。

圖1：電力聯(lián)網(wǎng)監(jiān)控系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖

2.1 現(xiàn)場設(shè)備級別

現(xiàn)場設(shè)備級別主要連接到網(wǎng)絡(luò)，以收集和測量網(wǎng)絡(luò)的電氣參數(shù)，這也是配電系統(tǒng)建設(shè)所需的基本元件。這些設(shè)備執(zhí)行重要的數(shù)據(jù)采集任務(wù)，并可為用戶提供配備有通信網(wǎng)絡(luò)、儀表、溫濕度控制器、開關(guān)量監(jiān)控模塊和電機保護(hù)的各種電氣儀表。

2.2 網(wǎng)絡(luò)通信級別

網(wǎng)絡(luò)通信級別主要由通信服務(wù)器、接口轉(zhuǎn)換器和總線網(wǎng)絡(luò)組成。這一層是數(shù)據(jù)交換的樞紐。接口轉(zhuǎn)換器提供各種接口，如RS232、RS422、RS485、SPABUS 和以太網(wǎng)。網(wǎng)絡(luò)模式靈活，支持點對點通信、現(xiàn)場總線網(wǎng)絡(luò)、以太網(wǎng)和其他類型的配置網(wǎng)絡(luò)。通信服務(wù)器主要用于直接傳輸優(yōu)于現(xiàn)場工具和工具的各種控制命令、傳輸上位機控制命令；收集、分類和存儲現(xiàn)場工具和返回的數(shù)據(jù)信息，例如電壓/電流、輸入開關(guān)值的狀態(tài)、儀表內(nèi)部參數(shù)的修改或各種控制繼電器的開/關(guān)命令以及其他電氣參數(shù)；絕緣保護(hù)裝置主要是保證上位機的正常運行，避免網(wǎng)絡(luò)中不穩(wěn)定信號造成的干擾，由于現(xiàn)場儀表或其他成套設(shè)備與上位機之間的通信接口不同，接口轉(zhuǎn)換器可以在轉(zhuǎn)換后交換數(shù)據(jù)。

2.3 應(yīng)用級別

應(yīng)用級別主要針對電力監(jiān)控的運營主管，直接面向用戶。該層也是系統(tǒng)的最高部分，主要由電力監(jiān)控系統(tǒng)軟件和必要的硬件設(shè)備組成，如服務(wù)器、打印機、交流不停電系統(tǒng)等。軟件部分具有良好的人機交互界面，通過數(shù)據(jù)傳輸協(xié)議讀取前端服務(wù)器采集的各種實時數(shù)據(jù)，自動通過計算和處理，以圖形、數(shù)字、聲音等的形式反映現(xiàn)場運行狀態(tài)，能夠接受操作員的操作命令，實時發(fā)送和檢測操作的執(zhí)行狀態(tài)，確保電力用戶的正常運行；電能計量管理功能根據(jù)用戶報表格式進(jìn)行設(shè)計。報告中包含的數(shù)據(jù)嚴(yán)格按照各種標(biāo)準(zhǔn)進(jìn)行管理。用戶只需搜索和打印，大大方便了操作，提高了工作效率。

3 安全接入?yún)^(qū)

如果生產(chǎn)控制區(qū)業(yè)務(wù)系統(tǒng)使用外部公共數(shù)據(jù)網(wǎng)絡(luò)的無線通信網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)（VPN）在其終端之間的垂直連接中進(jìn)行通信，則就建立安全接入?yún)^(qū)。當(dāng)安全接入?yún)^(qū)與生產(chǎn)控制區(qū)連接時，必須通過特殊的單向電源絕緣裝置進(jìn)行有效隔離。安全接入?yún)^(qū)和生產(chǎn)控制區(qū)分又為幾個網(wǎng)段，在生產(chǎn)控制區(qū)，除安全接入?yún)^(qū)外，嚴(yán)禁接入任何無線通信功能設(shè)備。其中安全接入?yún)^(qū)拓?fù)浣Y(jié)構(gòu)圖如2 所示。

圖2：安全接入?yún)^(qū)拓?fù)浣Y(jié)構(gòu)圖

4 安全接入?yún)^(qū)認(rèn)證與訪問控制系統(tǒng)架構(gòu)

基于上述電力監(jiān)控系統(tǒng)的信息安全狀況，安全接入?yún)^(qū)認(rèn)證與訪問控制系統(tǒng)架構(gòu)設(shè)計如下：

（1）專用網(wǎng)絡(luò)。在信息安全系統(tǒng)的建設(shè)中，必須連接在一個獨立的網(wǎng)絡(luò)中，并與工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)分離，以實現(xiàn)專用網(wǎng)絡(luò)。

（2）安全分區(qū)。根據(jù)工控系統(tǒng)業(yè)務(wù)的重要性和功能劃分不同的安全區(qū)，并在各安全區(qū)之間采取相應(yīng)的隔離措施；此外，從總體成本的角度來看，還需要根據(jù)不同工控系統(tǒng)的特點提出防護(hù)強度，以便在不影響整體安全的情況下有效控制安全成本。

（3）“白名單”基線。白名單安全基線應(yīng)通過訪問工控制系統(tǒng)設(shè)備、網(wǎng)絡(luò)、通信鏈路、主機進(jìn)程、應(yīng)用程序等方面建立。

（4）全面審計。從設(shè)備接入審計、網(wǎng)絡(luò)審計、運行審計、安全管理和維護(hù)審計等多方面建立全面的立體審計體系。

（5）統(tǒng)一管理。通過實時采集安全管理平臺，分析大數(shù)據(jù)的相關(guān)性，動態(tài)實時發(fā)現(xiàn)工控制系統(tǒng)網(wǎng)絡(luò)中的風(fēng)險并進(jìn)行預(yù)警。有效提高信息安全效率，降低人員安全維護(hù)成本，提高企業(yè)整體安全防護(hù)水平。

綜上所述，電力監(jiān)控系統(tǒng)的安全接入?yún)^(qū)認(rèn)證與訪問控制機制架構(gòu)設(shè)計如圖3 所示。

圖3：安全接入?yún)^(qū)認(rèn)證與訪問控制機制架構(gòu)設(shè)計圖

4.1 風(fēng)險評估

通過風(fēng)險評估服務(wù)，識別、整理、分析和記錄電力監(jiān)控系統(tǒng)中涉及的組件（系統(tǒng)、硬件、軟件、網(wǎng)絡(luò)、漏洞和安全配置），及時了解網(wǎng)絡(luò)安全和漏洞配置，客觀評估網(wǎng)絡(luò)的風(fēng)險水平，為下一階段的安全防護(hù)提供必要的依據(jù)。同時，站內(nèi)運維人員利用網(wǎng)絡(luò)安全掃描工具，定期對整個網(wǎng)絡(luò)的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和工控系統(tǒng)進(jìn)行全面的漏洞評估和基本安全檢查，及早認(rèn)識網(wǎng)絡(luò)薄弱環(huán)節(jié)，有針對性地預(yù)防和加強措施。

4.2 邊界防護(hù)

控制區(qū)I 區(qū)和II 區(qū)的網(wǎng)絡(luò)邊界之間應(yīng)安裝工業(yè)防火墻，以保護(hù)和隔離I 區(qū)和II 區(qū)的邊界。工業(yè)防火墻基于IP、端口和工業(yè)協(xié)議的訪問控制策略基于黑名單行業(yè)規(guī)則，解決不同區(qū)域之間的邏輯隔離和非法訪問問題；基于白名單的自學(xué)習(xí)特性，形成基本的白名單安全模型，解決不同區(qū)域之間的故障、非法操作、病毒、木馬程序等惡意代碼攻擊問題；通過對工控協(xié)議的識別功能和深入分析，解決了基于工控協(xié)議脆弱性的攻擊問題。

4.3 網(wǎng)絡(luò)準(zhǔn)入

在安全I(xiàn)I 區(qū)中，安裝網(wǎng)絡(luò)訪問控制設(shè)備，以控制電力監(jiān)控系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，并將內(nèi)部非法連接到電力監(jiān)控系統(tǒng)的終端設(shè)備（移動式電腦服務(wù)器、無線接入點、網(wǎng)絡(luò)交換機等）進(jìn)行網(wǎng)絡(luò)隔離。利用網(wǎng)絡(luò)準(zhǔn)入技術(shù)控制外部設(shè)備對內(nèi)部網(wǎng)絡(luò)的訪問，解決非法訪問外部設(shè)備引起的IP 沖突問題和病毒等問題，以及非法傳播內(nèi)部設(shè)備，提高管理水平。

4.4 監(jiān)控審計

在I 區(qū)和II 區(qū)接入交換機上分別旁路部署1 套工控安全監(jiān)控審計系統(tǒng)，采用被動采集整個過程，分析控制系統(tǒng)和緊急停運系統(tǒng)的工控制過程，識別工業(yè)控制協(xié)議并對這些協(xié)議中功能代碼、注冊表地址、注冊表地址范圍、注冊表指令讀寫控制、參數(shù)值等進(jìn)行了深入分析。通過機器學(xué)習(xí)人工智能技術(shù)，為工業(yè)控制過程中的合法行為形成基本的白名單安全模型，發(fā)現(xiàn)潛在隱患并實時記錄和驗證工控制過程中的非法操作和誤操作，為后期監(jiān)控和定位提供確鑿證據(jù)，幫助維護(hù)人員快速定位事故點，縮短系統(tǒng)恢復(fù)時間。解決安全I(xiàn) 和II區(qū)內(nèi)部工控網(wǎng)絡(luò)缺乏流量監(jiān)控和審計措施的問題。

4.5 主機防護(hù)

主機保護(hù)系統(tǒng)實現(xiàn)對工業(yè)主機（包括操作員站、工程站、SCADA 服務(wù)器等）的惡意代碼防護(hù)。利用機器自學(xué)習(xí)功能學(xué)習(xí)工業(yè)主機服務(wù)、進(jìn)程和端口，形成基本白名單模型，攔截基本模型以外的惡意攻擊代碼，控制USB 端口，實現(xiàn)工業(yè)主機安全防護(hù)。修復(fù)大多數(shù)Windows XP、Windows 2003、Windows 7 和其他系統(tǒng)修補程序、薄弱的安全配置、防病毒軟件和工業(yè)應(yīng)用軟件發(fā)行版之間的兼容性差以及無法更新病毒數(shù)據(jù)庫。

4.6 安全操作和維護(hù)

在安全I(xiàn)I 區(qū)部署安全管理平臺和服務(wù)器，用于集中帳戶管理、集中訪問身份認(rèn)證、集中用戶授權(quán)和集中監(jiān)控審計。在電力監(jiān)控系統(tǒng)的運行和維護(hù)過程中，必須控制運行和維護(hù)人員的操作行為，不得進(jìn)行非法操作，必須有效監(jiān)測非法入境和其他行為，為后續(xù)監(jiān)控提供依據(jù)。解決電力監(jiān)控系統(tǒng)運行維護(hù)中存在的無監(jiān)控、無審計、運行效率低、維護(hù)不足等問題。

4.7 統(tǒng)一管理

在安全I(xiàn)I 區(qū)實施一系列工控安全管理平臺，主要用于實時監(jiān)控電力監(jiān)控系統(tǒng)中工控網(wǎng)絡(luò)和安全設(shè)備的運行狀態(tài)，檢測并及時預(yù)警非法傳播、外部入侵等安全事件，收集電力監(jiān)控系統(tǒng)原有網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志信息。監(jiān)控工控系統(tǒng)網(wǎng)絡(luò)的通信過程和安全事件，從全局角度提取安全事件的根本原因，分析安全事件，追蹤安全攻擊的來源。評估和預(yù)測工控系統(tǒng)的網(wǎng)絡(luò)現(xiàn)狀和未來可能的攻擊，為專業(yè)人員提供可靠有效的決策依據(jù)，將工控系統(tǒng)可能存在的風(fēng)險和損失降至最低，并提高電力監(jiān)控網(wǎng)絡(luò)的整體安全保護(hù)水平。

5 結(jié)束語

綜上所述，電力監(jiān)控系統(tǒng)安全接入?yún)^(qū)認(rèn)證與訪問控制按照“安全分區(qū)、專網(wǎng)、水平隔離、垂直認(rèn)證”保護(hù)的一般原則，提高了電力監(jiān)控系統(tǒng)的整體安全防護(hù)能力，確保了電力監(jiān)控系統(tǒng)和重要數(shù)據(jù)的安全。此外，可以快速響應(yīng)電力監(jiān)控系統(tǒng)的安全防護(hù)措施，準(zhǔn)確控制安全異常和安全漏洞，有效減少電力系統(tǒng)安全防護(hù)人員和維護(hù)人員的工作任務(wù)。