丁 泽 涛
(雅砻江流域水电开发有限公司,四川 成都 610051)
目前,国内水电站智能化建设基本都采用了IEC61850标准进行统一建模,在IEC61850标准中,将智能水电站系统从现地控制单元到监控系统上位机依次划分为站控层、间隔层、过程层3个层面。其中,站控层采用基于TCP/IP的MMS协议,实现对间隔层、过程层的信息数字化统一建模和管控。间隔层、过程层采用 GOOSE、SV规约,在以太网上直接通信。过程层(设备层)基于IEC61850标准的水电站普遍采用以太网交换技术,具体表现为广泛采用电子互感器及合并单元,配置智能化一次设备,自动完成信息采集、测量、控制、保护、计量、检测等功能,这也是智能水电站区别于传统电站的关键[1]。
目前,基于IEC61850标准的智能水电站在电力监控系统安全防护方面主要存在以下问题与隐患。
(1)传统功能的防火墙不能有效解决安全Ⅰ区与Ⅱ之间的逻辑隔离问题[2],实时区与非实时区访问控制策略设置的不合适,也为后续工作开展带来了诸多问题。
(2)水电站使用的传输协议主要是IEC61850,包括MMS、GOOSE、SV等协议。这些协议存在缺少鉴别控制指令是否来自合法用户的机制,服务请求向任意访问者开放,鲁棒性差,难以抵抗恶意报文攻击等问题。
(3)水电站全线主机、交换机网络访问接入控制缺乏技术手段与管理措施。外来网络设备接入站内操作没有进行安全检查,容易将病毒、木马等恶意代码引入站内系统。
(4)水电站运维现场系统的有序性还需进一步提高和加强,关键步骤和操作缺少监护的情况依然存在。对于接入各层网络进行运维调试操作的设备尚没有规范的管控手段,对运维人员的操作过程没有记录、审计,不能发现越权访问、异常操作等行为。
(5)水电站在各层缺少流量监测审计措施,对异常流量不能监测,无法识别工控协议MMS、GOOSE、SV等以及深度解析,无法监测到利用这些协议漏洞进行攻击的病毒、木马等恶意攻击程序以及误操作、违规操作等篡改数据的攻击。
(6)工控主机存在问题。工业系统在设计之初更多地考虑生产运行的可行性,在安装了应用系统后,很少对底层操作系统进行安全的配置,包括未开启审核策略、密码策略、访问控制限定等。此外,为保证控制系统的运行稳定性,通常不会对操作系统进行补丁升级,甚至有些早期购买的控制系统早已过了许可认证期。更为严重的情况是,为了保证工控系统应用软件的可用性,厂商在系统出厂时及出厂后甚至都不允许安装杀毒软件。即使安装了杀毒软件,病毒库的更新在工业控制离线运行环境下也难以实现。同时,随意使用U盘、移动硬盘、手机等移动存储介质现象,有可能将传染病毒、木马等威胁因素带入生产系统。后期在安全防护问题整改中,虽然安装了防病毒软件,但由于软件安装不全面或者安装后无法及时更新防恶意代码软件版本和恶意代码库,一旦出现问题,往往无法及时准确定位问题的起因、影响范围及可能采取的针对性措施。
(1)截获。非法获取电站与其他系统之间传输的信息或者非法获取电站网络中存储的信息。
(2)中断。使水电站内部或与其他系统之间的通信中断,使调度主站无法了解水电站的运行工况,主站的控制命令也无法正确执行。
(3)篡改。更改水电站与其他系统之间传输的信息或者水电站内遥控命令、修改定值命令等,使调度主站获得错误的运行工况,造成水电站内事故。
(4)恶意程序。这些程序包括特洛伊木马、计算机蠕虫、勒索病毒、逻辑炸弹等计算机病毒,对水电站系统运行的正确性、实时性和可靠性造成极大威胁,最严重时可能使系统瘫痪。
(5)非法授权。非法用户得到授权后可以直接接入和访问集控中心或上级电力调度中心,对电网系统造成威胁。
针对当前存在问题及隐患,在推进智能化建设的过程中,我们可以从法规依从、安全架构、风险评估、边界防护、终端接入管控、监测审计、工业主机防护、安全运维审计、统一安全管理等方面开展相关工作。
电力监控系统开展网络安全防护工作主要依从以下标准规范:《中华人民共和国网络安全法》;GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》;GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》;GB/T 37138—2019《电力信息系统安全等级保护实施指南》;能源局36号文附件1《电力监控系统安全防护总体方案》;能源局36号文附件5《水电站电力监控系统安全防护方案》;能源局317号《电力行业网络与信息安全管理办法》;能源局318号《电力行业信息安全等级保护管理办法》;《电力行业信息系统安全等级保护基本要求》;《电力监控系统安全防护规定》;《电力监控系统安全防护整体方案》等。
依据能源局36号文《电力监控系统安全防护总体方案》的总体框架和基本原则以及附件5《水电站监控系统安全防护方案》《信息安全技术网络安全等级保护基本要求》的有关规定,进行了如下安全架构设计(见图1)。
图1 安全架构设计
通过风险评估服务(借助脆弱性扫描系统)对水电站电力监控系统所涉及的资产(系统、硬件、软件、网络、漏洞以及安全配置)进行识别、梳理、分析、记录,及时了解网络的安全配置、安全漏洞,客观评估网络风险等级,为接下来的安全防护工作提供必要的依据。
同时,网络运营者定期对全网的操作系统、数据库、网络设备、工控系统等进行全面漏洞评估和安全基线检查,及时了解网络的薄弱环节,并有针对性进行预防与加固。
在实时控制Ⅰ区与非实时控制Ⅱ区,部署工业防火墙或者将传统防火墙替换成工业防护墙,实现对Ⅰ区与Ⅱ区之间的逻辑隔离。
边界防护主要解决了以下问题:
基于IP、端口以及工业协议(如IEC-104、MMS、GOOSE等)和工业黑名单规则库的访问控制策略,解决不同区之间的逻辑隔离与违规访问问题;
基于白名单自学习功能,形成白名单基线安全模型,解决不同区之间的误操作、违规操作以及病毒、木马等恶意代码攻击问题;
基于工控协议识别与深度解析功能,解决针对利用工控协议脆弱性进行攻击的问题;
基于网络攻击库,针对网络DDoS(如ICMP-FLOOD、UDP-FLOOD)的攻击进行安全防护。
在实时控制区与非控制区分别部署一台网络接入控制设备,实现对终端接入管控。
利用网络准入技术实现对外来设备接入内部网络进行管控,解决因外来设备的违规接入导致的IP冲突、病毒木马入侵等问题,提升管理水平。
在实时控制区和非实时控制区部署工控网络监测设计设备,通过对交换机进行镜像设置,工控网络审计设备旁路被动式采集全流量,对安全Ⅰ区和Ⅱ区的工控流量进行分析,识别出工控协议(如MMS、GOOSE、SV等)以及深度解析这些协议(如解析功能码、寄存器地址、寄存器地址范围、寄存器的指令读写控制、参数阈值等内容)。利用机器自学人工智能技术,对工控流量中的合法行为进行学习,形成白名单安全基线模型,实时发现匿藏在工控流量中的威胁,如病毒、木马、恶意攻击以及违规操作、误操作等行为,并记录、审计,为事后追溯、定位提供有力的证据,帮助维护人员快速定位事故点,缩短系统恢复时间。
监测审计可以解决水电站在各层缺少流量监测审计措施,对异常流量不能进行监测,无法识别工控协议(MMS、GOOSE、SV等协议)以及深度解析,无法有效监测到利用这些协议漏洞而进行攻击的病毒、木马等恶意攻击程序以及误操作、违规操作等篡改数据的攻击问题。
在水电站全线的工业主机(包括监控主机、五防站、故障滤波等)部署工控主机防护系统中,实现对工业主机的恶意代码防护,即解决:
利用机器自学功能,对工业主机的服务、进程、端口进行学习,形成白名单基线模型,对不在基线模型中的病毒、木马等恶意攻击代码进行阻断、运行,同时对USB口进行管控,实现对工业主机的安全防护;解决多数工业主机为Windows XP、Windows 2003、Windows 2008等操作系统问题,这些系统存在打补丁不现实、安全配置弱、部署杀毒软件与工业应用软件兼容性较差、病毒库无法更新等问题。
在非控制区部署堡垒机一台,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计,实现对运维人员的操作行为审计,对违规操作、非法访问等行为进行有效监督,为事后追溯提供依据。
安全运维审计可解决:水电站运维现场系统运维无序、缺乏操作监护;对于接入各层网络进行运维调试操作的设备尚没有规范的管控手段,对运维人员的操作过程没有记录、审计,不能发现越权访问、异常操作等行为。
随着业务的增多,网络的安全管理成为网络建设的新重点,把各个分离的安全体系统一管理、统一运营,将在很大程度上解决设备繁杂、管理混乱的问题。在安全Ⅰ区或安全Ⅱ区部署统一安全管理中心(平台),可以有效解决上述问题。
在安全Ⅱ区部署一套工业控制和安全管理平台,主要用于实时监控水电站计算机网络和安全设备的运行状态,及时发现非法外部连接、外部入侵等安全事件,并告警,收集水电站原有网络设备、安全设备等日志信息[3]。通过对水电站电力监控系统网络通信流程和安全事件的监测,从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等,为水电站电力监控系统网络当前的状态以及未来可能受到的攻击做出态势评估与预测,为专业人员提供可靠、有效的决策依据,最大程度上降低水电站电力监控系统可能遭受的风险和损失,提升水电站网络安全防护整体水平。
通过上述分析与讨论,对于流域电站智能化建设中的电力监控系统安全防护问题,可以从3个维度上进行更好的改进。
(1)全面提升电站网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及电力监控系统安全防护要求。
(2)全面提升电站生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为保障电力生产保驾护航。
(3)全面提高电站业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效益。