王曉翼

（南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司信息通信分公司，廣州510000）

0 引言

電力系統(tǒng)分為發(fā)電、輸電、變電、配電、用電五個(gè)環(huán)節(jié)，作為電力系統(tǒng)的第一個(gè)環(huán)節(jié)，電廠將熱能、風(fēng)能、水能、核能等不同形式能量轉(zhuǎn)換為電能，是整個(gè)電力系統(tǒng)的基礎(chǔ)和關(guān)鍵。以水電站為例，其從河流高處或其他水庫(kù)內(nèi)引水，利用水的壓力或流蘇沖動(dòng)水輪機(jī)旋轉(zhuǎn)，將重力勢(shì)能和動(dòng)能轉(zhuǎn)變?yōu)闄C(jī)械能，然后水輪機(jī)帶動(dòng)發(fā)電機(jī)旋轉(zhuǎn)，從而將機(jī)械能轉(zhuǎn)變成電能。電廠在發(fā)電輸電過(guò)程中離不開(kāi)工業(yè)控制系統(tǒng)（簡(jiǎn)稱工控系統(tǒng)），工控系統(tǒng)對(duì)能量轉(zhuǎn)換過(guò)程中壓力、溫度、流量、液位、開(kāi)關(guān)、電壓、電流等狀態(tài)和數(shù)據(jù)的采集，根據(jù)電廠設(shè)備狀態(tài)控制現(xiàn)場(chǎng)設(shè)備執(zhí)行動(dòng)作，從而保證電廠發(fā)電和輸電的安全穩(wěn)定。工控系統(tǒng)對(duì)電廠發(fā)電和輸電起著至關(guān)重要的作用。

根據(jù)發(fā)改委14號(hào)令，電力監(jiān)控系統(tǒng)安全防護(hù)應(yīng)堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”原則。由于我國(guó)電力工控系統(tǒng)具備專網(wǎng)專用和網(wǎng)絡(luò)隔離的封閉特性，電力工控系統(tǒng)長(zhǎng)期依賴“物理隔離”和“邊界防護(hù)”為主的安全防護(hù)體系。

隨著智能電網(wǎng)與信息物理技術(shù)的深度融合，電力工控系統(tǒng)面臨著更復(fù)雜的來(lái)自電力系統(tǒng)內(nèi)部和外部的網(wǎng)絡(luò)安全威脅。伊朗核電站震網(wǎng)病毒[1]、烏克蘭電廠BlackEnergy病毒攻擊[2]等一系列針對(duì)電力工控系統(tǒng)的攻擊事件表明，針對(duì)電力工控系統(tǒng)的攻擊呈現(xiàn)攻擊水平高、隱蔽性強(qiáng)、持續(xù)時(shí)間長(zhǎng)、國(guó)家力量涉入等特點(diǎn)，傳統(tǒng)物理隔離和邊界防護(hù)已難以有效阻止網(wǎng)絡(luò)攻擊。針對(duì)電力工控系統(tǒng)的攻擊將直接危害現(xiàn)場(chǎng)發(fā)電設(shè)備運(yùn)行，造成巨大的人員和經(jīng)濟(jì)威脅。

為解決當(dāng)前電廠工控系統(tǒng)安全防護(hù)能力不足的問(wèn)題，本文通過(guò)分析現(xiàn)有電廠工控系統(tǒng)面臨的安全威脅，總結(jié)導(dǎo)致安全威脅的主要原因，針對(duì)現(xiàn)有電力監(jiān)控系統(tǒng)邊界防護(hù)存在的問(wèn)題，提出面向電廠工控系統(tǒng)的主動(dòng)安全縱深防護(hù)體系，以主動(dòng)防護(hù)體系所需的技術(shù)和方法，從而有效應(yīng)對(duì)來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的已知或未知網(wǎng)絡(luò)攻擊。

1 電廠工控系統(tǒng)架構(gòu)

以某水電站為例，電廠整體調(diào)度架構(gòu)由三部分組成（如圖1）：調(diào)度中心（中調(diào)/總調(diào)），集中控制中心和本地監(jiān)控中心。調(diào)度任務(wù)包括電力調(diào)度和水力調(diào)度兩部分，其中，調(diào)度中心負(fù)責(zé)整個(gè)區(qū)域電力系統(tǒng)的電力和水力調(diào)度，可直接對(duì)電廠的發(fā)電信息、水庫(kù)信息進(jìn)行采集和調(diào)度控制；集中控制中心下轄多個(gè)電廠，可實(shí)現(xiàn)對(duì)多個(gè)電廠的統(tǒng)一監(jiān)控，實(shí)現(xiàn)遙控、遙調(diào)、遙測(cè)、遙信和遙視等功能，同時(shí)也接受調(diào)度中心直接監(jiān)控；本地監(jiān)控站實(shí)現(xiàn)對(duì)單一電廠或機(jī)組的監(jiān)視，并接受調(diào)度中心控制指令。

圖1 電力調(diào)度組織架構(gòu)

電廠工控系統(tǒng)安全依賴邊界防護(hù)。如圖2所示，電廠、集中控制中心、電力調(diào)度中心之間按照“專網(wǎng)專用、縱向加密”原則通過(guò)專用網(wǎng)絡(luò)連接，通信數(shù)據(jù)通過(guò)縱向加密裝置加密之后進(jìn)行交互。對(duì)于電廠、集中控制中心、電力調(diào)度中心內(nèi)部，各部分按照“安全分區(qū)、橫向隔離”原則，將網(wǎng)絡(luò)劃分為兩個(gè)大區(qū)：生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)又可根據(jù)安全I(xiàn)區(qū)（實(shí)時(shí)控制區(qū)）和安全I(xiàn)I區(qū)（非實(shí)時(shí)控制區(qū)），管理信息大區(qū)根據(jù)各電廠需求一般可分為安全I(xiàn)II區(qū)和安全I(xiàn)V區(qū)，為便于描述，圖2中我們將III區(qū)和IV區(qū)合并為一個(gè)區(qū)。I區(qū)負(fù)責(zé)電廠一次設(shè)備的實(shí)時(shí)數(shù)據(jù)采集和設(shè)備控制，直接應(yīng)用發(fā)電能力和生產(chǎn)安全，安全等級(jí)最高，II、III、IV區(qū)安全等級(jí)依次降低。I區(qū)和II區(qū)之間通過(guò)防火墻進(jìn)行邏輯隔離，II區(qū)和III區(qū)之間通過(guò)正反隔離裝置進(jìn)行物理隔離。通過(guò)邊界隔離措施保證數(shù)據(jù)只能從安全等級(jí)高的區(qū)域發(fā)送到安全等級(jí)低的區(qū)域。

2 電廠工控系統(tǒng)面臨的安全威脅及分析

2.1 安全威脅

雖然電廠工控系統(tǒng)采用較為嚴(yán)格的邊界防護(hù)措施，但其仍然面臨來(lái)自多方面的安全威脅，主要包括漏洞、APT攻擊、供應(yīng)鏈風(fēng)險(xiǎn)等。

（1）漏洞

漏洞是發(fā)起網(wǎng)絡(luò)攻擊的主要原因之一。電廠工控系統(tǒng)能夠被攻擊的一個(gè)重要原因是其工控網(wǎng)絡(luò)或工控系統(tǒng)本身存在可被利用的漏洞。

從漏洞生命周期角度分析，電廠工控系統(tǒng)漏洞可分為0-Day漏洞、1-Day漏洞和N-Day漏洞（歷史漏洞）。0-Day漏洞可利用程度和危害性最高，剩余兩種的漏洞可利用性依次降低。區(qū)別于傳統(tǒng)網(wǎng)絡(luò)安全，電廠工控系統(tǒng)由于其封閉性和7×24小時(shí)生產(chǎn)需求，系統(tǒng)/設(shè)備往往更新遲緩，導(dǎo)致工控系統(tǒng)可能長(zhǎng)時(shí)間存在可利用的1-Day或N-Day漏洞，存在較大安全隱患。

圖2 電廠拓?fù)浞謪^(qū)及邊界防護(hù)

從工控系統(tǒng)組成角度，工控系統(tǒng)是IT（Information Technology）和OT（Operational Technology）的結(jié)合，電廠工控系統(tǒng)既包含傳統(tǒng)的網(wǎng)絡(luò)協(xié)議、軟件、操作系統(tǒng)，也包含專門(mén)的工控協(xié)議、設(shè)備、SCADA系統(tǒng)等，因此，電廠工控系統(tǒng)漏洞包含了傳統(tǒng)漏洞和工控漏洞。傳統(tǒng)漏洞包括典型的網(wǎng)絡(luò)協(xié)議漏洞、數(shù)據(jù)庫(kù)漏洞、應(yīng)用軟件漏洞、操作系統(tǒng)漏洞等。傳統(tǒng)漏洞可能導(dǎo)致拒絕服務(wù)、信息泄露、提權(quán)等問(wèn)題，尤其數(shù)據(jù)庫(kù)漏洞還可能導(dǎo)致電廠關(guān)鍵生產(chǎn)數(shù)據(jù)泄露。工控漏洞涉及工控協(xié)議、組態(tài)軟件、設(shè)備固件、軟件供應(yīng)鏈以及配置管理等。工控協(xié)議漏洞主要是由于電廠常用的工控協(xié)議（如IEC104、IEC103、IEC61850、DNP3等）自身或編碼實(shí)現(xiàn)過(guò)程中存在安全問(wèn)題導(dǎo)致；組態(tài)軟件和工控設(shè)備固件漏洞產(chǎn)生原因類似，面臨更新遲緩難以快速修復(fù)的問(wèn)題；軟件供應(yīng)鏈主要是由于工控軟件、固件設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中采用了存在漏洞的第三方庫(kù)；配置管理漏洞則是由于管理不嚴(yán)或人員技術(shù)水平有限導(dǎo)致工控設(shè)備及安防設(shè)備可能存在配置錯(cuò)誤，使得攻擊者可以利用配置錯(cuò)誤繞過(guò)安全防護(hù)或驗(yàn)證。

（2）APT攻擊

APT攻擊是電力系統(tǒng)面臨的主要安全威脅之一。電廠工控系統(tǒng)與外界隔離，傳統(tǒng)攻擊手段難以奏效，而電廠作為工業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施，具有很高價(jià)值，往往會(huì)成為APT組織攻擊的首選對(duì)象。APT攻擊利用社會(huì)工程學(xué)首先進(jìn)入外網(wǎng)，從外網(wǎng)通過(guò)U盤(pán)擺渡等方式進(jìn)入電廠內(nèi)部網(wǎng)絡(luò)，再通過(guò)網(wǎng)絡(luò)探測(cè)、橫向移動(dòng)等方法對(duì)具體目標(biāo)實(shí)施攻擊。工控設(shè)備中的漏洞、預(yù)置后門(mén)及精心構(gòu)造的工控病毒往往成為APT組織實(shí)施攻擊的主要方法。

（3）供應(yīng)鏈風(fēng)險(xiǎn)

供應(yīng)鏈風(fēng)險(xiǎn)主要源于電廠工控設(shè)備缺乏自主可控，如中大型PLC依然被西門(mén)子、羅克韋爾、施耐德等國(guó)外廠商控制，導(dǎo)致電廠核心工控設(shè)備受制于人。美國(guó)對(duì)華為芯片的限制反映了核心設(shè)備和技術(shù)上被卡脖子帶來(lái)的巨大風(fēng)險(xiǎn)。電廠供應(yīng)鏈風(fēng)險(xiǎn)主要表現(xiàn)在兩方面：一方面，國(guó)外設(shè)備對(duì)電廠為黑盒，電廠無(wú)法獲取其設(shè)計(jì)和源碼，導(dǎo)致設(shè)備可能存在的漏洞、后門(mén)難以被發(fā)現(xiàn)；另一方面，對(duì)國(guó)外設(shè)備的過(guò)度依賴，容易被國(guó)外在設(shè)備和技術(shù)上“卡脖子”，一旦受到限制將造成短時(shí)內(nèi)無(wú)設(shè)備可用的問(wèn)題。

2.2 安全威脅分析

加強(qiáng)網(wǎng)絡(luò)安全技能和管理、推動(dòng)自主可控設(shè)備研發(fā)可一定程度解決管理漏洞及供應(yīng)鏈安全問(wèn)題。然而，自主可控并不等于安全，安全防護(hù)仍是電廠工控系統(tǒng)的亟待解決的問(wèn)題。

傳統(tǒng)邊界防護(hù)、被動(dòng)防護(hù)已難以應(yīng)對(duì)當(dāng)前電廠面臨的安全威脅，通過(guò)有限漏洞掃描、防火墻、入侵檢測(cè)等非核心業(yè)務(wù)的漏洞掃描、白名單過(guò)濾和旁路監(jiān)聽(tīng)等機(jī)制僅能一定程度上應(yīng)對(duì)一般網(wǎng)絡(luò)攻擊，對(duì)于基于0-Day攻擊、APT攻擊等仍難以有效應(yīng)對(duì)。同時(shí)，針對(duì)發(fā)現(xiàn)的安全威脅，如系統(tǒng)漏洞，由于補(bǔ)救措施可能對(duì)生產(chǎn)業(yè)務(wù)產(chǎn)生影響，很難快速、有效地部署應(yīng)對(duì)措施。同時(shí)，由于電廠工控系統(tǒng)與實(shí)際發(fā)電業(yè)務(wù)直接相關(guān)，對(duì)工控系統(tǒng)的實(shí)時(shí)性、穩(wěn)定性提出很高的要求，通信時(shí)延過(guò)高或者通信數(shù)據(jù)丟失可能對(duì)發(fā)電廠造成難以估計(jì)的影響。因此，很難在現(xiàn)有的電廠工控系統(tǒng)上部署復(fù)雜的安全防護(hù)系統(tǒng)。

3 電廠工控系統(tǒng)主動(dòng)防護(hù)技術(shù)

電廠工控系統(tǒng)亟需新的安全防護(hù)體系，從被動(dòng)防御到主動(dòng)防御是電廠工控系統(tǒng)安全發(fā)展趨勢(shì)。通過(guò)主動(dòng)防護(hù)對(duì)安全威脅做到“提前發(fā)現(xiàn)、實(shí)時(shí)監(jiān)測(cè)、及時(shí)處理、精確溯源、準(zhǔn)確預(yù)警”，同時(shí)為電廠工控系統(tǒng)提供“安全環(huán)境”。為達(dá)到以上目標(biāo)，電廠可綜合攻擊測(cè)試技術(shù)、態(tài)勢(shì)感知技術(shù)和可信計(jì)算技術(shù)，建立完善的一體化主動(dòng)防護(hù)體系（如圖3所示）。

圖3 電廠工控系統(tǒng)安全防護(hù)技術(shù)

攻擊測(cè)試技術(shù)通過(guò)模擬攻擊者攻擊行為測(cè)試電廠工控系統(tǒng)中存在的潛在安全問(wèn)題。由于攻擊測(cè)試需要對(duì)工控系統(tǒng)展開(kāi)實(shí)際攻擊操作，無(wú)法在真實(shí)電廠工控系統(tǒng)上實(shí)施，因此，構(gòu)建靈活、逼真的電廠工控系統(tǒng)安全測(cè)試平臺(tái)成為攻擊測(cè)試的基礎(chǔ)。安全測(cè)試平臺(tái)通過(guò)復(fù)現(xiàn)電廠工控場(chǎng)景，為攻擊測(cè)試提供逼真的仿真環(huán)境，支撐工控系統(tǒng)的安全威脅發(fā)現(xiàn)、安全防護(hù)能力評(píng)估和驗(yàn)證?；诎踩珳y(cè)試平臺(tái)，可通過(guò)漏洞挖掘技術(shù)[4-5]發(fā)現(xiàn)未知安全漏洞，結(jié)合漏洞利用技術(shù)[6]探索對(duì)基于未知漏洞的攻擊，從而有效發(fā)現(xiàn)和評(píng)估工控系統(tǒng)中協(xié)議、應(yīng)用、設(shè)備可能的安全問(wèn)題。同時(shí)，基于電廠工控網(wǎng)絡(luò)拓?fù)洹⑽粗┒?、已知漏洞信息，基于漏洞間可利用關(guān)系可構(gòu)建攻擊圖[7]，實(shí)現(xiàn)針對(duì)某一目標(biāo)的潛在攻擊路徑預(yù)測(cè)，并基于滲透測(cè)試技術(shù)驗(yàn)證攻擊路徑的真實(shí)性，從而發(fā)現(xiàn)工控網(wǎng)絡(luò)中存在的安全問(wèn)題。

態(tài)勢(shì)感知[8]對(duì)引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行捕獲、分析，并預(yù)測(cè)安全發(fā)展趨勢(shì)和應(yīng)對(duì)措施。威脅誘捕技術(shù)通過(guò)部署電廠工控系統(tǒng)蜜罐（如Conpot[9]）偽裝真實(shí)的電力工控系統(tǒng)吸引攻擊者攻擊，捕獲并分析其攻擊行為。通過(guò)威脅誘捕可發(fā)現(xiàn)針對(duì)電廠工控系統(tǒng)的潛在的網(wǎng)絡(luò)攻擊，甚至0-Day漏洞，這些捕獲的信息可用于支撐態(tài)勢(shì)感知。態(tài)勢(shì)感知還通過(guò)實(shí)時(shí)監(jiān)測(cè)技術(shù)監(jiān)測(cè)電廠工控系統(tǒng)的流量、行為等狀態(tài)，利用基于機(jī)器學(xué)習(xí)的異常檢測(cè)方法[10]分析發(fā)現(xiàn)可能存在攻擊，并對(duì)攻擊進(jìn)行追蹤溯源和反制。同時(shí)，態(tài)勢(shì)感知還可基于歷史數(shù)據(jù)、安全事件等，結(jié)合當(dāng)前工控系統(tǒng)狀態(tài)預(yù)測(cè)未來(lái)安全趨勢(shì)，并針對(duì)可能安全威脅的做好應(yīng)對(duì)措施。目前，態(tài)勢(shì)感知平臺(tái)已經(jīng)在電力行業(yè)展開(kāi)實(shí)際部署和應(yīng)用。

可信計(jì)算[11]以國(guó)產(chǎn)密碼為基礎(chǔ)，通過(guò)基于可信芯片的可信根構(gòu)建信任鏈，從信任根開(kāi)始，將信任鏈擴(kuò)展到硬件平臺(tái)、操作系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)，最終構(gòu)建形成整個(gè)可信的電廠工控系統(tǒng)?？尚庞?jì)算為電廠工控系統(tǒng)構(gòu)建可信運(yùn)行環(huán)境，只有受信任的對(duì)象才可在該環(huán)境下運(yùn)行，從而保證了即使攻擊者進(jìn)入電力工控系統(tǒng)，也無(wú)法運(yùn)行惡意代碼、病毒實(shí)施攻擊。目前，基于可信計(jì)算的電力信息安全免疫系統(tǒng)已開(kāi)展了規(guī)模化的應(yīng)用。

攻擊測(cè)試和態(tài)勢(shì)感知通過(guò)主動(dòng)方式發(fā)現(xiàn)潛在的安全威脅，可信計(jì)算則通過(guò)主動(dòng)方式構(gòu)建安全計(jì)算環(huán)境，通過(guò)三者結(jié)合實(shí)現(xiàn)對(duì)外部安全威脅應(yīng)對(duì)和內(nèi)生安全能力的提升。

4 結(jié)語(yǔ)

本文針對(duì)電廠工控系統(tǒng)現(xiàn)有安全防護(hù)體系和技術(shù)難以有效應(yīng)對(duì)當(dāng)前多樣、復(fù)雜的網(wǎng)絡(luò)安全威脅的問(wèn)題，通過(guò)分析當(dāng)前主要安全威脅和防護(hù)能力不足，提出融合攻擊測(cè)試、態(tài)勢(shì)感知和可信計(jì)算的主動(dòng)防護(hù)技術(shù)，建立完善的外部安全防護(hù)機(jī)制和內(nèi)生安全防護(hù)能力，從而有效應(yīng)對(duì)當(dāng)前及未來(lái)復(fù)雜的電廠工控安全威脅。