电网工控安全与防护技术

(华北电力大学 北京 102206)

一、引言

近年来，随着电网工业控制系统采取分区分域和纵深防御策略，通过实施内外网安全隔离、电网生产大区与管理信息大区安全隔离等关键安全防护工程，系统安全防护体系逐渐得到完善。但是，随着工业控制系统和设备中新的漏洞、后门等脆弱性信息的发现和披露，电网工业控制系统面临更加隐蔽的、更加曲折的恶意攻击风险(例如APT)。

为解决现网存在的安全问题，开展电网工控安全监控与防护技术深化研究，研发一套工控安全监测预警系统。该系统基于工控协议深度报文解析，通过研究若干关键技术，研发工控安全监测装置、安全监测预警平台，构建旁路工控安全监测防护体系，实现对电网典型安全问题的监测和告警。

工业互联网的发展、工业4.0、中国制造2025以及两化融合都促使工业基础设施趋于互联和开放，针对电网工控系统的安全威胁监测与预警变得非常必要，这非常符合公司的发展方向，对于公司整体产业发展会起到很好的补充和带动作用。

二、研究现状

电力控制系统涉及面宽，包括调度自动化系统、配网自动化系统、计量自动化系统、保信自动化系统、设备在线监测系统等，而设备类型众多，包括安全设备(纵向加密装置、防火墙、正反向隔离装置、入侵监测装置、防病毒装置、堡垒机等)、网络设备、数据库、主机设备(服务器、工作站)和各种类型的控制设备等，特别是随着新能源场站的大量接入和工业控制系统和设备中新的漏洞、后门等脆弱性信息的发现和披露，电网工业控制系统面临更加隐蔽的、更加曲折的恶意攻击风险(例如APT)。

国外目前针对电网控制系统安全的研究还是定位在安全测试床、漏洞挖掘(ICS-CERT)、设备资产管理和网关类防护领域，对控制系统，特别是电网控制系统深度协议解析和旁路监测与分析领域刚刚起步。

国内针对工业控制系统的研究主要涉及DNP3、MODBUS、OPC等主流工控网络通信协议的安全威胁研究，针对其存在的安全问题，提出相应的安全防护建议，尚无基于IEC-60870、IEC61850等电网工业控制系统协议深度解析方法的安全威胁监测系统落地应用。

三、研究创新点

1.针对电网工控系统典型应用场景和存在的安全问题，研究基于电网工控协议深度解析的安全威胁检测方法，自主研发电网工控系统安全威胁现场监测装置和电网工控系统安全威胁监测平台，建立基于旁路监测的分布式安全威胁监测体系。

对电网工业控制系统典型通信协议IEC60870、IEC61850的完整性、机密性控制机制的设计缺陷，提出了协议报文解析和异常报文检测模型和算法。针对电网工控系统发送非法控制命令、非授权修改系统配置、程序、控制命令和敏感数据、利用授权身份或设备进行非授权操作、拦截或篡改传输中的命令、参数及敏感数据、伪装身份入侵、发送雪崩数据，造成网络或系统瘫痪、窃听明文传输的敏感信息、非法接入等11类典型安全威胁提出了检测方法，研究出非法使用、明文监测、拒绝服务、违反授权、恶意代码、旁路控制、准入监测、欺骗伪装、完整性破坏、篡改报文、非法窃听11种告警事件。

2.深度分析网络流量、系统状态等监测信息，提出基于规则自学习、动态阈值分析的安全威胁预警方法，动态配置安全基线和策略，实现11种典型安全威胁及潜在安全风险的准确识别与预测。

基于对电网典型工控网络流量图分析、连接状态分析、频率分析、协议分析，结合端口分析、地址分析和数据阈值分析，基于异常流量监测算法和异常协议解析算法，结合工控设备状态分析，过滤功能状态异常事件，研究提出典型威胁事件告警规则，构建规则库和监测策略库，采用多级模式匹配算法和阈值动态调整算法，实现告警规则的自学习机制。

结合行为分析、基线分析，构建安全工控网络安全基线库和威胁预警规则库，采用安全基线人工调整机制实现基线的动态调整，由监测平台数据处理中心和预警中心挖掘分析实时工控网络流量和设备状态信息,实现了电网工控网络典型安全威胁的准确辨识和电网工控网络全域安全风险的监测和预警。

3.通过对异常网络流量和报文的分析，采用黑白名单和阻断/隔离技术，实时监测非可信终端的运维操作和可信终端的非授权操作，实现了协议级现场作业安全审计和管控。

充分利用安全威胁监测信息，构建针对非可信运维作业的检测策略和规则子集，通过实时监测非可信运维终端和可信终端非授权操作，通过前述监测装置实现对运维作业的实时审计；研究提出了工控网络运维终端阻断/隔离技术，在前述安全威胁监测装置中集成阻断/隔离功能，实时阻断非可信运维终端接入和发生异常的可信运维终端，避免安全威胁扩散至当前工控网络及临近工控系统，实现了现场作业的实时管控。针对运维作业个性化定制监测、审计策略，仅阻断非可信运维终端和异常可信终端，建立工控设备与运维终端分级保护策略，不影响工控系统设备运行、数据传输和指令传递。

四、效益分析

该研究主要客户是国家电网、南方电网的发电厂、变电站、供电公司(配电自动化系统)，主要用在新能源电站如光伏、风电等的发电厂站、变电站和调控中心端，也可以用在传统的水电、火电的安全监测与预警方面。

目前新能源电站发展迅猛，仅青海省投运的光伏电站就在300座左右，按照每个厂站最少部署一台工控安全监测装置算，就要部署300台。如果算上风电场，和新能源发展也很迅速的新疆、西藏等省市，光新能源厂站的安全监测的市场容量就至少在1000-2000台。这还不算对数量更大的传统火电、水电的监测。如果要使用在全国的供电公司的监测方面，数量同样非常可观。

五、总结

本项目通过对面向电力工控系统的数据采集和监控技术研究开展深入研究，可解决目前现阶段电力业务中场站非可信接入监测和威胁发现手段缺失难题，有效防护电力工控系统的业务和网络信息安全。掌握电力工控协议数据采集技术，通过对常见控制协议、私有协议和非标准控制协议的自动解析，实现协议层数据自动采集；掌握电力工控系统攻击威胁分析和甄别技术，使得监控非可信接入和攻击威胁成为可能，为电力控制系统安全防护提供实践指导；掌握电力工控系统数据集成和分析技术，实现非可信接入和威胁监测的自动分析和旁路阻断，为电力工控系统的攻击与防护提供平台基础。