1　前言

工業(yè)控制系統(tǒng)主要包括集散控制系統(tǒng)（DCS）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）和可編程控制器（PLC）等，已廣泛應(yīng)用于國內(nèi)重大的基礎(chǔ)設(shè)施中，在工廠運(yùn)行中發(fā)揮著巨大的作用。隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速，越來越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來極大推動(dòng)作用的同時(shí)，也帶來了工控系統(tǒng)的安全問題，如系統(tǒng)終端平臺(tái)安全防護(hù)弱點(diǎn)、系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問題、私有協(xié)議的安全問題，以及隱藏的后門和未知漏洞、TCP/IP自身的安全問題、用戶權(quán)限控制的接入、網(wǎng)絡(luò)安全邊界防護(hù)以及內(nèi)部非法人員、密鑰管理等各種網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)和漏洞。

2　電力監(jiān)控系統(tǒng)安全概述

2.1　工業(yè)控制系統(tǒng)安全概述

近十年來，隨著信息技術(shù)的迅猛發(fā)展，信息化在企業(yè)中的應(yīng)用飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，使得工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)，ICS網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的聯(lián)系越來越緊密。另一方面，傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，設(shè)計(jì)上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱，甚至幾乎沒有隔離功能，因此隨著工廠控制系統(tǒng)的開放，其安全隱患問題日益嚴(yán)峻，系統(tǒng)中任意一點(diǎn)受到攻擊都有可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓。

全球頻發(fā)的工業(yè)控制系統(tǒng)安全事故讓越來越多的人們開始注意到工業(yè)控制系統(tǒng)安全的必要性。工業(yè)控制系統(tǒng)的故障可能導(dǎo)致大規(guī)模的生產(chǎn)中斷甚至危及人們的生命安全。例如：制造業(yè)的工業(yè)控制系統(tǒng)遭到攻擊導(dǎo)致物資停產(chǎn)，可能會(huì)在短期內(nèi)引起物資的價(jià)格上漲；電力工控系統(tǒng)遭受攻擊可直接導(dǎo)致整個(gè)片區(qū)的電力供應(yīng)中斷；石油和天然氣管道遭到惡意攻擊，甚至?xí)鸨ǎ{到人們的生命安全。

2.2　電力監(jiān)控系統(tǒng)安全現(xiàn)狀

電力監(jiān)控系統(tǒng)工控安全的脆弱性是指工控系統(tǒng)在防護(hù)措施中和在缺少防護(hù)措施時(shí)系統(tǒng)所具有的弱點(diǎn)，而工控系統(tǒng)內(nèi)部的脆弱性問題是導(dǎo)致系統(tǒng)易受攻擊的主要因素，脆弱性問題的根源可概括為以下幾個(gè)方面：

（1）網(wǎng)絡(luò)結(jié)構(gòu)：無法保證外網(wǎng)接入安全，保證對主機(jī)和應(yīng)用系統(tǒng)資源的合法使用和用戶身份的合法性。通常電廠會(huì)在DCS系統(tǒng)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)立一個(gè)DMZ區(qū)，使連接盡可能最小化。

（2）區(qū)域邊界：現(xiàn)場控制層與監(jiān)控層之間存在安全威脅互侵。缺乏邊界保護(hù)，容易受到信息網(wǎng)絡(luò)和相鄰系統(tǒng)的安全影響。

（3）通信網(wǎng)絡(luò)：按照《國家電網(wǎng)公司關(guān)于加快推進(jìn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)的通知》的要求，在電力生產(chǎn)系統(tǒng)I區(qū)和II區(qū)中部署網(wǎng)絡(luò)安全監(jiān)測裝置，對電氣網(wǎng)中的服務(wù)器、工作站網(wǎng)絡(luò)設(shè)備安全防護(hù)等監(jiān)測進(jìn)行數(shù)據(jù)采集和分析，但未對發(fā)電監(jiān)控系統(tǒng)進(jìn)行監(jiān)控，無法及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的各種違規(guī)以及入侵攻擊行為，無法溯源入侵的未知設(shè)備、非法應(yīng)用和軟件。

（4）終端設(shè)備：生產(chǎn)控制系統(tǒng)和生產(chǎn)監(jiān)控系統(tǒng)的操作終端大部分采用Linux和Windows系列的操作系統(tǒng)，為保證過程控制系統(tǒng)的相對獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，通常現(xiàn)場工程師、操作員等在系統(tǒng)開車后不會(huì)安裝任何補(bǔ)丁，部分終端同時(shí)安裝多種防病毒軟件，上位機(jī)專用編程組態(tài)監(jiān)控軟件與傳統(tǒng)殺毒軟件不兼容、無嚴(yán)格的U盤等移動(dòng)介質(zhì)管控、終端登錄無身份認(rèn)證措施、應(yīng)用軟件存在使用默認(rèn)密碼和用戶口令粘貼于顯眼位置現(xiàn)象、外部設(shè)備管理采取封條方式、未部署安全技術(shù)措施，終端設(shè)備存在被攻擊的可能。

（5）通訊協(xié)議：工業(yè)協(xié)議為了滿足相應(yīng)的數(shù)據(jù)實(shí)時(shí)性和周期性，往往缺乏有效的用戶安全認(rèn)證、數(shù)據(jù)傳輸?shù)募用芙饷艿然拘畔踩侄巍f(xié)議的相關(guān)信息又能通過公開渠道獲取，攻擊者很有可能利用協(xié)議的漏洞對工控網(wǎng)絡(luò)發(fā)起攻擊。企業(yè)的安全網(wǎng)和非安全網(wǎng)的自動(dòng)控制協(xié)議都是基于通用的服務(wù)器、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)運(yùn)行于TCP/IP協(xié)議之上，TCP/IP協(xié)議的誕生主要解決網(wǎng)絡(luò)間的通信問題，而不是立足于安全，隨著TCP/IP的發(fā)展，很多方面都被一些不法分子所利用，暴露出TCP/IP中的不少安全問題。

（6）控制系統(tǒng)：在系統(tǒng)維修或升級檢測過程中，第三方人員的遠(yuǎn)程維護(hù)可能會(huì)導(dǎo)致相關(guān)生產(chǎn)數(shù)據(jù)的信息泄密，對運(yùn)維過程中的誤操作事件缺乏證據(jù)支撐。

（7）管理中心：企業(yè)控制系統(tǒng)設(shè)備復(fù)雜，網(wǎng)絡(luò)設(shè)備、控制設(shè)備、監(jiān)控主機(jī)服務(wù)器等運(yùn)行情況、告警日志等無法統(tǒng)一管理，企業(yè)大多數(shù)維護(hù)人員不具備專業(yè)安全分析能力，運(yùn)維管理人員對電廠設(shè)備狀況了解不夠，一旦生產(chǎn)系統(tǒng)出現(xiàn)故障，維護(hù)人員不清楚網(wǎng)絡(luò)狀況，不能及時(shí)判斷是否有網(wǎng)絡(luò)入侵行為、病毒、業(yè)務(wù)訪問異常等問題，從而延誤生產(chǎn)。

（8）離線測試：電廠工業(yè)控制系統(tǒng)在上線前未進(jìn)行安全性測試，上線后存在大量安全風(fēng)險(xiǎn)漏洞，安全配置薄弱，甚至帶毒工作。

3　電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段

3.1　風(fēng)險(xiǎn)緩解策略制定

風(fēng)險(xiǎn)緩解策略本質(zhì)上是機(jī)構(gòu)對如何處置風(fēng)險(xiǎn)的規(guī)劃。許多機(jī)構(gòu)花費(fèi)了大量預(yù)算和資源用于部署安全控制措施和風(fēng)險(xiǎn)緩解策略。但是，只有與適當(dāng)?shù)娘L(fēng)險(xiǎn)評估過程相結(jié)合，使用威脅建模來構(gòu)建可行風(fēng)險(xiǎn)場景與使用滲透測試對這些場景進(jìn)行驗(yàn)證時(shí)，才能構(gòu)建高效、經(jīng)濟(jì)并且具有針對性的風(fēng)險(xiǎn)緩解策略[1]。因此，在制定風(fēng)險(xiǎn)緩解策略時(shí)，需要考慮以下幾點(diǎn)問題：

（1）研究并對提出的每個(gè)風(fēng)險(xiǎn)緩解解決方案的成本進(jìn)行預(yù)估；

（2）從最關(guān)鍵且最易于暴露的資產(chǎn)開始，將緩解成本與潛在入侵所導(dǎo)致的影響或成本進(jìn)行比較；

（3）根據(jù)已知數(shù)據(jù)，通過以下參考條件制定緩解策略：

· 總體預(yù)算；

· 最關(guān)鍵且最容易暴露的資產(chǎn)；

· 入侵產(chǎn)生的總體成本或影響；

· 入侵的成功率；

· 風(fēng)險(xiǎn)緩解的成本是否會(huì)超過風(fēng)險(xiǎn)帶來的損失。

（4）根據(jù)預(yù)算和策略部署風(fēng)險(xiǎn)緩解方案由于風(fēng)險(xiǎn)并不可能完全被緩解，所以用戶必須確定哪種水平的風(fēng)險(xiǎn)是可以接受的，以及同緩解風(fēng)險(xiǎn)所需的成本相比，需要將風(fēng)險(xiǎn)降低到什么水平才可以接受。

3.2　防護(hù)方案主要依據(jù)

解決電力監(jiān)控系統(tǒng)信息化和工業(yè)化進(jìn)程帶來的安全風(fēng)險(xiǎn)，結(jié)合電力行業(yè)的實(shí)際安全需求，參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）和《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國能安全〔2015〕36號(hào)），實(shí)現(xiàn)事前預(yù)警、事中防范和事后取證等安全能力。

3.3　電力監(jiān)控系統(tǒng)安全防護(hù)主要內(nèi)容

對于電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)，應(yīng)當(dāng)以適度安全為核心，重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)系統(tǒng)。整個(gè)安全保障體系各部分有機(jī)結(jié)合，相互支撐，形成整體的等級化的安全保障體系，同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障水電控制系統(tǒng)整體的安全。

3.3.1　加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控體系建設(shè)

通過在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署工控安全審計(jì)、工業(yè)入侵檢測系統(tǒng)和日志審計(jì)系統(tǒng)，對網(wǎng)絡(luò)流量進(jìn)行安全審計(jì)、檢測，識(shí)別、審計(jì)、記錄生產(chǎn)控制系統(tǒng)的操作行為和異常網(wǎng)絡(luò)行為、網(wǎng)絡(luò)設(shè)備日志，便于事后進(jìn)行取證和定責(zé)。提供整個(gè)控制網(wǎng)絡(luò)的總體運(yùn)行情況，自動(dòng)識(shí)別網(wǎng)絡(luò)設(shè)備，顯示網(wǎng)絡(luò)設(shè)備當(dāng)前狀態(tài)，進(jìn)行網(wǎng)絡(luò)性能綜合分析，針對工業(yè)控制系統(tǒng)重要的網(wǎng)絡(luò)節(jié)點(diǎn)或區(qū)域，監(jiān)測所有通過的數(shù)據(jù)包，并對數(shù)據(jù)包進(jìn)行深度解析，實(shí)現(xiàn)控制行為合規(guī)性檢查，針對異常或非法操作數(shù)據(jù)包，分析是否有外界入侵或人員誤操作，并對所有異常情況進(jìn)行審計(jì)、發(fā)出報(bào)警，提醒現(xiàn)場安全運(yùn)維人員去處置。工控安全審計(jì)系統(tǒng)不僅可輔助安全運(yùn)維人員發(fā)現(xiàn)、分析與處置安全事件，可以與串行部署的安全防護(hù)類設(shè)備配合使用，為實(shí)時(shí)修正安全保護(hù)類設(shè)備的安全策略提供數(shù)據(jù)支撐。還可以提供最全面的安全事件數(shù)據(jù)，支撐階段性全網(wǎng)安全風(fēng)險(xiǎn)分析與評估，為安全事件追溯提供證據(jù)。

3.3.2　加強(qiáng)區(qū)域邊界安全建設(shè)

采用針對工控系統(tǒng)的專業(yè)數(shù)據(jù)隔離防護(hù)產(chǎn)品來進(jìn)行邊界防護(hù)，能夠深度解析工業(yè)通信協(xié)議，并且對于利用工控協(xié)議漏洞、工控系統(tǒng)漏洞進(jìn)行滲透攻擊的行為進(jìn)行實(shí)時(shí)攔截和告警，避免因傳統(tǒng)防火墻防護(hù)不足導(dǎo)致的工控異常操作和數(shù)據(jù)被惡意篡改等攻擊行為。

3.3.3　加強(qiáng)計(jì)算環(huán)境安全建設(shè)

計(jì)算環(huán)境安全主要體現(xiàn)在惡意代碼防護(hù)、入侵檢測、系統(tǒng)漏洞、安全審計(jì)、外設(shè)管理、剩余信息保護(hù)幾個(gè)層次。基于工業(yè)控制系統(tǒng)本身的安全特點(diǎn)，可以采用白名單技術(shù)，保證軟件和應(yīng)用程序正常運(yùn)行，對其進(jìn)行充分的代碼審計(jì)、安全監(jiān)測和分析，結(jié)合完整性檢查方法，當(dāng)發(fā)現(xiàn)程序被修改后，會(huì)阻止該程序的運(yùn)行，從而阻止病毒的擴(kuò)散；實(shí)時(shí)監(jiān)控USB端口、網(wǎng)絡(luò)端口狀況，提供自定義外設(shè)管理，嚴(yán)格控制非授權(quán)外設(shè)接入，提供完備的操作日志，當(dāng)泄密事故發(fā)生后，可以從操作日志中追溯到泄密文件、設(shè)備、日期等關(guān)鍵信息，從而為事后問責(zé)提供有力依據(jù)。

此外，工控安全事件的發(fā)生，或多或少都利用了工業(yè)控制系統(tǒng)的“漏洞”，進(jìn)而攻陷了整個(gè)工業(yè)控制系統(tǒng)。對于這些重要的基礎(chǔ)工業(yè)設(shè)施，如何在黑客攻擊之前幫助客戶發(fā)現(xiàn)漏洞，成為急需解決的問題。因此，需通過部署工控漏洞掃描系統(tǒng)，在工業(yè)控制系統(tǒng)受到攻擊之前為客戶提供專業(yè)、有效的漏洞分析和修補(bǔ)建議，防患于未然。

3.3.4　構(gòu)建縱深防御體系

在系統(tǒng)建設(shè)中事前身份不確定、授權(quán)不清晰，事中操作不透明、過程不可控，事后結(jié)果無法審計(jì)、責(zé)任不明確，導(dǎo)致客戶業(yè)務(wù)及運(yùn)維服務(wù)面臨安全風(fēng)險(xiǎn)。因此，需在電力監(jiān)控系統(tǒng)中部署運(yùn)維審計(jì)系統(tǒng)，實(shí)現(xiàn)對服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的操作監(jiān)控，實(shí)現(xiàn)賬號(hào)集中管理、高強(qiáng)度認(rèn)證加固、細(xì)粒度訪問授權(quán)控制、加密和圖形操作協(xié)議的審計(jì)等功能，讓內(nèi)部人員、第三方人員的操作處于可管、可控、可見、可審的狀態(tài)下，規(guī)范運(yùn)維的操作步驟，避免了誤操作和非授權(quán)操作帶來的隱患。

在原有安全防御措施的基礎(chǔ)上，部署集中安全管理平臺(tái)，對現(xiàn)場的工控防護(hù)設(shè)備和軟件進(jìn)行集中管理，提供統(tǒng)一的策略配置接口，總覽各設(shè)備和軟件的運(yùn)行狀態(tài)、事件記錄和威脅日志等關(guān)鍵信息。各安全防護(hù)設(shè)備和軟件由集中管理裝置統(tǒng)一控制、配置和管理，統(tǒng)一部署安全策略，并監(jiān)測工控網(wǎng)絡(luò)的通信流量與安全事件，對工控網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行分析，消除安全孤島，從整體視角進(jìn)行安全事件分析、安全攻擊溯源等，重點(diǎn)解決安全防護(hù)設(shè)備各自運(yùn)維而導(dǎo)致的信息不暢和事件處置效率低下等問題。

3.3.5　加強(qiáng)安全管理體系建設(shè)

依據(jù)國家政策法規(guī)、行業(yè)標(biāo)準(zhǔn)要求和本單位的戰(zhàn)略目標(biāo)，制定工控系統(tǒng)安全方針制度，明確安全建設(shè)目標(biāo)、組織架構(gòu)、責(zé)任人、績效考核標(biāo)準(zhǔn)，并對制度管理、組織管理、人員管理、運(yùn)維管理、建設(shè)管理提出具體的管理流程和工作實(shí)施辦法。

3.3.6　物理機(jī)房環(huán)境建設(shè)

信息網(wǎng)絡(luò)都是以一定的方式運(yùn)行在一些物理設(shè)備之上，保障物理設(shè)備的安全就成為信息網(wǎng)絡(luò)安全的第一道防線。保障構(gòu)成信息網(wǎng)絡(luò)的各種設(shè)備、網(wǎng)絡(luò)線路、供電連接等安全，主要包括設(shè)備的防盜、防電磁泄漏、防電磁干擾等。所有的物理設(shè)備都運(yùn)行在一定的物理環(huán)境之中，環(huán)境安全是物理安全的最基本保障，是整個(gè)安全系統(tǒng)不可缺少和忽視的組成部分。保障信息網(wǎng)絡(luò)所處的環(huán)境安全，主要是對場地和機(jī)房的約束，強(qiáng)調(diào)對于地震、水災(zāi)、火災(zāi)等自然災(zāi)害的預(yù)防措施，包括場地安全、防火、防水、防靜電、防雷擊、電磁防護(hù)、線路安全等。

4　電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)價(jià)值

4.1　安全防護(hù)效果

采用基于構(gòu)建可信主機(jī)系統(tǒng)及可信的網(wǎng)絡(luò)環(huán)境和白名單機(jī)制的安全防護(hù)技術(shù)來設(shè)計(jì)構(gòu)建安全防護(hù)體系，借助工業(yè)控制協(xié)議的深度解析與人工智能學(xué)習(xí)技術(shù)的應(yīng)用，以全面的工業(yè)漏洞庫為支撐，使安全防護(hù)產(chǎn)品更具有基于行為的主動(dòng)防御能力。此外，應(yīng)用基于工業(yè)控制系統(tǒng)的防護(hù)手段，構(gòu)建了以安全可控為目標(biāo)、監(jiān)控審計(jì)為特征，持續(xù)安全運(yùn)營的電力監(jiān)控系統(tǒng)新一代主動(dòng)防御體系，提高了電力監(jiān)控系統(tǒng)整體安全性。安全防護(hù)體系更加貼近電力監(jiān)控控制系統(tǒng)環(huán)境應(yīng)用，安全防護(hù)更加準(zhǔn)確，在保證穩(wěn)定性要求的同時(shí)，效率更強(qiáng)，使用價(jià)值更高。

4.2　安全防護(hù)的示范性和推廣性價(jià)值

防護(hù)方案具有免疫特征的安全防護(hù)體系和機(jī)制、關(guān)鍵技術(shù)不僅可應(yīng)用于水電電力監(jiān)控系統(tǒng)，同時(shí)可應(yīng)用于廣泛部署水電工業(yè)控制系統(tǒng)的工業(yè)企業(yè)與集團(tuán)，有助于提高全行業(yè)工業(yè)控制系統(tǒng)整體的網(wǎng)絡(luò)安全水平。設(shè)計(jì)參照國家等級保護(hù)相關(guān)規(guī)范要求，項(xiàng)目建設(shè)后將滿足企業(yè)等級保護(hù)的技防要求，配合企業(yè)安全管理體系的規(guī)范化建設(shè)，技防配合人防，為工業(yè)企業(yè)工業(yè)控制系統(tǒng)安全保駕護(hù)航。

作者簡介

劉佳其（1995-），四川綿竹人，工程師，學(xué)士，現(xiàn)就職于北京珞安科技有限責(zé)任公司，主要研究方向?yàn)楣I(yè)控制系統(tǒng)安全防護(hù)規(guī)劃和零信任安全架構(gòu)。

參考文獻(xiàn)：

[1] Clint E. Bodungen, Bryan L. Singer, Aaron Shbeeb, Kyle Wilhoit, Stephen Hilt. 黑客大曝光: 工業(yè)控制系統(tǒng)安全[M]. 北京: 機(jī)械工業(yè)出版社, 2017.

摘自《自動(dòng)化博覽》2022年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第八輯）》