(華北電力大學 北京 102206)

一、引言

近年來，隨著電網(wǎng)工業(yè)控制系統(tǒng)采取分區(qū)分域和縱深防御策略，通過實施內(nèi)外網(wǎng)安全隔離、電網(wǎng)生產(chǎn)大區(qū)與管理信息大區(qū)安全隔離等關(guān)鍵安全防護工程，系統(tǒng)安全防護體系逐漸得到完善。但是，隨著工業(yè)控制系統(tǒng)和設(shè)備中新的漏洞、后門等脆弱性信息的發(fā)現(xiàn)和披露，電網(wǎng)工業(yè)控制系統(tǒng)面臨更加隱蔽的、更加曲折的惡意攻擊風險(例如APT)。

為解決現(xiàn)網(wǎng)存在的安全問題，開展電網(wǎng)工控安全監(jiān)控與防護技術(shù)深化研究，研發(fā)一套工控安全監(jiān)測預警系統(tǒng)。該系統(tǒng)基于工控協(xié)議深度報文解析，通過研究若干關(guān)鍵技術(shù)，研發(fā)工控安全監(jiān)測裝置、安全監(jiān)測預警平臺，構(gòu)建旁路工控安全監(jiān)測防護體系，實現(xiàn)對電網(wǎng)典型安全問題的監(jiān)測和告警。

工業(yè)互聯(lián)網(wǎng)的發(fā)展、工業(yè)4.0、中國制造2025以及兩化融合都促使工業(yè)基礎(chǔ)設(shè)施趨于互聯(lián)和開放，針對電網(wǎng)工控系統(tǒng)的安全威脅監(jiān)測與預警變得非常必要，這非常符合公司的發(fā)展方向，對于公司整體產(chǎn)業(yè)發(fā)展會起到很好的補充和帶動作用。

二、研究現(xiàn)狀

電力控制系統(tǒng)涉及面寬，包括調(diào)度自動化系統(tǒng)、配網(wǎng)自動化系統(tǒng)、計量自動化系統(tǒng)、保信自動化系統(tǒng)、設(shè)備在線監(jiān)測系統(tǒng)等，而設(shè)備類型眾多，包括安全設(shè)備(縱向加密裝置、防火墻、正反向隔離裝置、入侵監(jiān)測裝置、防病毒裝置、堡壘機等)、網(wǎng)絡設(shè)備、數(shù)據(jù)庫、主機設(shè)備(服務器、工作站)和各種類型的控制設(shè)備等，特別是隨著新能源場站的大量接入和工業(yè)控制系統(tǒng)和設(shè)備中新的漏洞、后門等脆弱性信息的發(fā)現(xiàn)和披露，電網(wǎng)工業(yè)控制系統(tǒng)面臨更加隱蔽的、更加曲折的惡意攻擊風險(例如APT)。

國外目前針對電網(wǎng)控制系統(tǒng)安全的研究還是定位在安全測試床、漏洞挖掘(ICS-CERT)、設(shè)備資產(chǎn)管理和網(wǎng)關(guān)類防護領(lǐng)域，對控制系統(tǒng)，特別是電網(wǎng)控制系統(tǒng)深度協(xié)議解析和旁路監(jiān)測與分析領(lǐng)域剛剛起步。

國內(nèi)針對工業(yè)控制系統(tǒng)的研究主要涉及DNP3、MODBUS、OPC等主流工控網(wǎng)絡通信協(xié)議的安全威脅研究，針對其存在的安全問題，提出相應的安全防護建議，尚無基于IEC-60870、IEC61850等電網(wǎng)工業(yè)控制系統(tǒng)協(xié)議深度解析方法的安全威脅監(jiān)測系統(tǒng)落地應用。

三、研究創(chuàng)新點

1.針對電網(wǎng)工控系統(tǒng)典型應用場景和存在的安全問題，研究基于電網(wǎng)工控協(xié)議深度解析的安全威脅檢測方法，自主研發(fā)電網(wǎng)工控系統(tǒng)安全威脅現(xiàn)場監(jiān)測裝置和電網(wǎng)工控系統(tǒng)安全威脅監(jiān)測平臺，建立基于旁路監(jiān)測的分布式安全威脅監(jiān)測體系。

對電網(wǎng)工業(yè)控制系統(tǒng)典型通信協(xié)議IEC60870、IEC61850的完整性、機密性控制機制的設(shè)計缺陷，提出了協(xié)議報文解析和異常報文檢測模型和算法。針對電網(wǎng)工控系統(tǒng)發(fā)送非法控制命令、非授權(quán)修改系統(tǒng)配置、程序、控制命令和敏感數(shù)據(jù)、利用授權(quán)身份或設(shè)備進行非授權(quán)操作、攔截或篡改傳輸中的命令、參數(shù)及敏感數(shù)據(jù)、偽裝身份入侵、發(fā)送雪崩數(shù)據(jù)，造成網(wǎng)絡或系統(tǒng)癱瘓、竊聽明文傳輸?shù)拿舾行畔ⅰ⒎欠ń尤氲?1類典型安全威脅提出了檢測方法，研究出非法使用、明文監(jiān)測、拒絕服務、違反授權(quán)、惡意代碼、旁路控制、準入監(jiān)測、欺騙偽裝、完整性破壞、篡改報文、非法竊聽11種告警事件。

2.深度分析網(wǎng)絡流量、系統(tǒng)狀態(tài)等監(jiān)測信息，提出基于規(guī)則自學習、動態(tài)閾值分析的安全威脅預警方法，動態(tài)配置安全基線和策略，實現(xiàn)11種典型安全威脅及潛在安全風險的準確識別與預測。

基于對電網(wǎng)典型工控網(wǎng)絡流量圖分析、連接狀態(tài)分析、頻率分析、協(xié)議分析，結(jié)合端口分析、地址分析和數(shù)據(jù)閾值分析，基于異常流量監(jiān)測算法和異常協(xié)議解析算法，結(jié)合工控設(shè)備狀態(tài)分析，過濾功能狀態(tài)異常事件，研究提出典型威脅事件告警規(guī)則，構(gòu)建規(guī)則庫和監(jiān)測策略庫，采用多級模式匹配算法和閾值動態(tài)調(diào)整算法，實現(xiàn)告警規(guī)則的自學習機制。

結(jié)合行為分析、基線分析，構(gòu)建安全工控網(wǎng)絡安全基線庫和威脅預警規(guī)則庫，采用安全基線人工調(diào)整機制實現(xiàn)基線的動態(tài)調(diào)整，由監(jiān)測平臺數(shù)據(jù)處理中心和預警中心挖掘分析實時工控網(wǎng)絡流量和設(shè)備狀態(tài)信息,實現(xiàn)了電網(wǎng)工控網(wǎng)絡典型安全威脅的準確辨識和電網(wǎng)工控網(wǎng)絡全域安全風險的監(jiān)測和預警。

3.通過對異常網(wǎng)絡流量和報文的分析，采用黑白名單和阻斷/隔離技術(shù)，實時監(jiān)測非可信終端的運維操作和可信終端的非授權(quán)操作，實現(xiàn)了協(xié)議級現(xiàn)場作業(yè)安全審計和管控。

充分利用安全威脅監(jiān)測信息，構(gòu)建針對非可信運維作業(yè)的檢測策略和規(guī)則子集，通過實時監(jiān)測非可信運維終端和可信終端非授權(quán)操作，通過前述監(jiān)測裝置實現(xiàn)對運維作業(yè)的實時審計；研究提出了工控網(wǎng)絡運維終端阻斷/隔離技術(shù)，在前述安全威脅監(jiān)測裝置中集成阻斷/隔離功能，實時阻斷非可信運維終端接入和發(fā)生異常的可信運維終端，避免安全威脅擴散至當前工控網(wǎng)絡及臨近工控系統(tǒng)，實現(xiàn)了現(xiàn)場作業(yè)的實時管控。針對運維作業(yè)個性化定制監(jiān)測、審計策略，僅阻斷非可信運維終端和異?？尚沤K端，建立工控設(shè)備與運維終端分級保護策略，不影響工控系統(tǒng)設(shè)備運行、數(shù)據(jù)傳輸和指令傳遞。

四、效益分析

該研究主要客戶是國家電網(wǎng)、南方電網(wǎng)的發(fā)電廠、變電站、供電公司(配電自動化系統(tǒng))，主要用在新能源電站如光伏、風電等的發(fā)電廠站、變電站和調(diào)控中心端，也可以用在傳統(tǒng)的水電、火電的安全監(jiān)測與預警方面。

目前新能源電站發(fā)展迅猛，僅青海省投運的光伏電站就在300座左右，按照每個廠站最少部署一臺工控安全監(jiān)測裝置算，就要部署300臺。如果算上風電場，和新能源發(fā)展也很迅速的新疆、西藏等省市，光新能源廠站的安全監(jiān)測的市場容量就至少在1000-2000臺。這還不算對數(shù)量更大的傳統(tǒng)火電、水電的監(jiān)測。如果要使用在全國的供電公司的監(jiān)測方面，數(shù)量同樣非?？捎^。

五、總結(jié)

本項目通過對面向電力工控系統(tǒng)的數(shù)據(jù)采集和監(jiān)控技術(shù)研究開展深入研究，可解決目前現(xiàn)階段電力業(yè)務中場站非可信接入監(jiān)測和威脅發(fā)現(xiàn)手段缺失難題，有效防護電力工控系統(tǒng)的業(yè)務和網(wǎng)絡信息安全。掌握電力工控協(xié)議數(shù)據(jù)采集技術(shù)，通過對常見控制協(xié)議、私有協(xié)議和非標準控制協(xié)議的自動解析，實現(xiàn)協(xié)議層數(shù)據(jù)自動采集；掌握電力工控系統(tǒng)攻擊威脅分析和甄別技術(shù)，使得監(jiān)控非可信接入和攻擊威脅成為可能，為電力控制系統(tǒng)安全防護提供實踐指導；掌握電力工控系統(tǒng)數(shù)據(jù)集成和分析技術(shù)，實現(xiàn)非可信接入和威脅監(jiān)測的自動分析和旁路阻斷，為電力工控系統(tǒng)的攻擊與防護提供平臺基礎(chǔ)。