0 引言

    隨著工業(yè)4.0的推進，原本相對安全的工業(yè)設(shè)備開始暴露在網(wǎng)絡(luò)環(huán)境下，使得設(shè)備的通信系統(tǒng)的安全面臨新的挑戰(zhàn)，并暴露出很多安全漏洞，特別是以電力行業(yè)為首的能源行業(yè)，成了“重災(zāi)區(qū)”。本文主要研究了電力監(jiān)控系統(tǒng)的通信安全問題，分析了當前電力監(jiān)控系統(tǒng)安全防護方案及其不足，最后提出了一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的新方法。

1 電力監(jiān)控系統(tǒng)通信安全問題

    在電力監(jiān)控系統(tǒng)中，目前常用的協(xié)議有IEC-61850系列協(xié)議，包括MMS、GOOSE、SV等，以及IEC60870-5系列協(xié)議，包括IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-104等。IEC-61850系列協(xié)議主要應(yīng)用在智能變電站，IEC60870-5系列協(xié)議主要應(yīng)用在配網(wǎng)自動化。

    由于以上工控協(xié)議在設(shè)計之初，專注于功能、性能、可靠性的實現(xiàn)，以滿足工業(yè)生產(chǎn)的基本需求，而忽視了對信息安全需求的考慮，導(dǎo)致以上工控協(xié)議普遍存在如表1所示的安全隱患。

2 當前電力監(jiān)控系統(tǒng)安全防護方案

    2014年，國家發(fā)改委發(fā)布《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委2014年第14號令）。

    2015年，國家能源局下發(fā)《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》（國能安全〔2015〕36號）。

    發(fā)改委2014年第14號令與國能安全〔2015〕36號文，共同構(gòu)成了當前電力監(jiān)控系統(tǒng)的安全防護指導(dǎo)方案。

2.1 發(fā)改委14號令與能源局36號文概述

    發(fā)改委14號令可以理解為原電監(jiān)會5號令的“升級”版本。

    2004年原電監(jiān)會發(fā)布第5號令《電力二次系統(tǒng)安全防護規(guī)定》（以下簡稱“5號令”），并隨后陸續(xù)下發(fā)了相關(guān)配套文件。5號令的核心是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”十六字方針，其主要內(nèi)容為：合理劃分安全分區(qū)，擴充完善電力調(diào)度專用數(shù)據(jù)網(wǎng)，采取必要的安全防護技術(shù)和防護設(shè)備，剝離非生產(chǎn)性業(yè)務(wù)，實現(xiàn)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的物理隔離。

    發(fā)改委14號令相比5號令，在技術(shù)方面的主要增強體現(xiàn)在：一是針對配電網(wǎng)、分布式電源廣泛使用無線公網(wǎng)進行數(shù)據(jù)通信的實際情況，提出了在生產(chǎn)控制大區(qū)內(nèi)設(shè)置“安全接入?yún)^(qū)”的理念，并明確了相關(guān)的技術(shù)規(guī)定和要求；二是從設(shè)備選型及配置、漏洞及風險整改等方面提出了相關(guān)的要求，使電力監(jiān)控系統(tǒng)安全防護體系從重點強化“邊界防護”向“縱深防御”發(fā)展。

    能源局36號文則是發(fā)改委14號令的配套文件，將發(fā)改委14號令的要求具體細化，明確給出了對發(fā)電廠、省級以上調(diào)度中心、地級調(diào)度中心、變電站、配電的電力監(jiān)控系統(tǒng)的安全防護要求。電力監(jiān)控系統(tǒng)安全防護總體架構(gòu)如圖1所示。

2.2 當前防護方案解決通信安全問題的不足

    發(fā)改委14號令與能源局36號文對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)層的安全防護要求，主要涉及單向安全隔離、縱向加密認證、防火墻、網(wǎng)絡(luò)審計、入侵檢測，其中單向安全隔離、縱向加密認證屬于邊界防護措施。本文重點討論電力監(jiān)控系統(tǒng)內(nèi)部通信安全問題，所以，下面分析防火墻、網(wǎng)絡(luò)審計、入侵檢測能否解決前文提到的通信安全問題。

2.2.1 防火墻

    防火墻的核心功能是基于IP地址、端口對網(wǎng)絡(luò)會話進行過濾?；贗P地址對訪問者身份進行限制，一定程度上緩解了前文提到的協(xié)議缺乏認證的問題，但是IP地址是容易被偽冒的。另外，防火墻對于協(xié)議缺乏授權(quán)、缺乏加密是無能為力的。

2.2.2 網(wǎng)絡(luò)審計

    網(wǎng)絡(luò)審計設(shè)備通常通過旁路部署方式對網(wǎng)絡(luò)會話行為進行檢測和記錄。網(wǎng)絡(luò)審計設(shè)備同樣是基于IP地址記錄訪問對象，所以面臨防火墻同樣的問題，無法解決協(xié)議缺乏認證的問題，同時網(wǎng)絡(luò)審計設(shè)備對于協(xié)議缺乏加密是無能為力的。網(wǎng)絡(luò)審計設(shè)備通過對網(wǎng)絡(luò)會話行為的記錄，提供了事后審計的能力，能夠?qū)υ綑?quán)操作行為形成一定的威懾，一定程度上緩解協(xié)議缺乏授權(quán)的問題。

2.2.3 入侵檢測

    入侵檢測設(shè)備通常通過旁路部署方式對網(wǎng)絡(luò)攻擊行為進行檢測和報警。入侵檢測設(shè)備同樣是基于IP地址確定訪問對象，所以面臨防火墻同樣的問題，無法解決協(xié)議缺乏認證的問題，同時入侵檢測設(shè)備對于協(xié)議缺乏加密是無能為力的。目前通常的入侵檢測設(shè)備，無法理解電力監(jiān)控系統(tǒng)中的工控協(xié)議，所以無法對工控協(xié)議中的越權(quán)行為進行檢測；針對電力監(jiān)控系統(tǒng)開發(fā)的入侵檢測設(shè)備，能夠?qū)υ綑?quán)操作行為進行實時監(jiān)測與報警，能夠一定程度上緩解協(xié)議缺乏授權(quán)的問題。

    綜上所述，當前規(guī)范中的方案和技術(shù)，未能解決好前文提到的通信安全問題。

3 可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單解決方案

    當前電力監(jiān)控系統(tǒng)通信安全問題，其根源在于工控協(xié)議設(shè)計缺乏信息安全考慮，但這是短期無法改變的。本文嘗試提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的新方法，來解決前述問題。

    可信網(wǎng)絡(luò)連接(Trusted Network Connection，TNC)是通過對信任鏈的建立，將可信計算平臺的可信性延伸到網(wǎng)絡(luò)環(huán)境來實現(xiàn)整個網(wǎng)絡(luò)可信。可信網(wǎng)絡(luò)連接的核心思想是：通過對請求連接的終端平臺的可信性進行驗證，根據(jù)其可信性對終端的接入進行控制，來確保網(wǎng)絡(luò)連接環(huán)境的可信。

3.1 可信網(wǎng)絡(luò)連接在電力監(jiān)控系統(tǒng)的應(yīng)用

    下面以IEC60870-5-104為例進行說明，其報文格式如圖2。

    啟動字符68H定義了數(shù)據(jù)流中的起點，ASDU的長度為ASDU的字節(jié)數(shù)加4個控制字節(jié)，根據(jù)4個控制字節(jié)的取值，可分為三類報文，即：I格式幀（信息傳輸功能報文）、S格式幀（監(jiān)視功能報文）、U格式幀（未編號的控制功能報文）。幀格式如圖3所示。

    圖4所示的報文表示控制站發(fā)送遙控報文。

    如果把報文的06字段的值改成08就表示取消遙控。如果按照當前的防護方案，黑客利用IEC60870-5-104協(xié)議缺乏認證的漏洞，將便攜計算機接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)后可以直接對控制器發(fā)起攻擊，把原本控制站發(fā)送的遙控指令取消。

    將可信網(wǎng)絡(luò)連接技術(shù)應(yīng)用于電力監(jiān)控系統(tǒng)，需要進行如下改造：

    (1)將電力監(jiān)控系統(tǒng)中的設(shè)備，都改造為可信計算平臺；

    (2)引入可信證明服務(wù)器，對接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的設(shè)備進行驗證，只有驗證為可信的設(shè)備才允許接入網(wǎng)絡(luò)。具體實施時，可以采用802.1x技術(shù)實現(xiàn)。

    因為可信計算技術(shù)比較成熟，以上技術(shù)實現(xiàn)不展開敘述。

    采用了可信網(wǎng)絡(luò)連接技術(shù)后，非法設(shè)備將無法接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)，或者說電力監(jiān)控系統(tǒng)中通信各方都是合法設(shè)備，整個電力監(jiān)控系統(tǒng)處于一個可信任的網(wǎng)絡(luò)環(huán)境中。所以，可信網(wǎng)絡(luò)連接技術(shù)能夠較好解決工控協(xié)議缺乏認證的問題。對于工控協(xié)議缺乏加密的問題，雖然仍然存在，但是由于網(wǎng)絡(luò)中的對象都是可信任的，問題得到部分緩解。對于工控協(xié)議缺乏授權(quán)的問題，同樣由于網(wǎng)絡(luò)中的對象都是可信任的，問題得到部分緩解，但是對于管理人員誤操作或者內(nèi)部人攻擊問題是無效的。所以，下面結(jié)合工控協(xié)議白名單技術(shù)來解決前述問題。

3.2 工控協(xié)議白名單在電力監(jiān)控系統(tǒng)的應(yīng)用

3.2.1 工控協(xié)議白名單的構(gòu)造

    工控協(xié)議白名單是以工控協(xié)議的深度解析為基礎(chǔ)，通過對工控協(xié)議報文的應(yīng)用層進行深度解析，獲取電力監(jiān)控操作的功能碼、寄存器、值域等關(guān)鍵字段，結(jié)合時間、IP地址、端口等信息，建立電力監(jiān)控操作的正常行為模型。這個模型包含了報文中所有需要過濾的關(guān)鍵字段，通過對所有關(guān)鍵字段進行編譯（編譯的目的是加快關(guān)鍵字段匹配的速度）后形成的一個列表，這個列表被稱作工控協(xié)議白名單。

    工控協(xié)議白名單的產(chǎn)生方式分為自學習和手動兩種：自學習方式是通過捕獲網(wǎng)絡(luò)上的工控協(xié)議報文后進行深度解析并自動生成工控協(xié)議白名單；手動方式是通過手動添加規(guī)則的方式來生成工控協(xié)議白名單。

3.2.2 工控協(xié)議白名單的匹配

    白名單的匹配過程是通過捕獲工控協(xié)議報文，提取關(guān)鍵字段后按照生成白名單的編譯方式進行編譯后去和已知的白名單庫進行匹配。如果命中，證明是合法操作；否則，就可能是管理人員誤操作或者內(nèi)部人攻擊。

4 驗證測試

4.1 測試環(huán)境

    實驗室仿真環(huán)境及組網(wǎng)如圖5所示。仿真環(huán)境中的設(shè)備情況如表2所示。

4.2 測試結(jié)果

4.2.1 不啟用可信網(wǎng)絡(luò)連接和工控協(xié)議白名單防護

    工業(yè)交換機配置為不啟用802.1x，工業(yè)防火墻配置為全部允許規(guī)則。

    攻擊方式1：從攻擊電腦，直接對PLC發(fā)起攻擊

    攻擊步驟：

    (1)將攻擊電腦接入工業(yè)交換機，進行網(wǎng)絡(luò)掃描，發(fā)現(xiàn)PLC的IP地址及其開放的端口TCP 102；

    (2)執(zhí)行CVE-2016-3949漏洞攻擊腳本，對PLC的TCP 102端口進行攻擊；

    (3)PLC進入故障模式，只有冷啟動可恢復(fù)系統(tǒng)。

    攻擊方式2：從客戶機A，模擬發(fā)起內(nèi)部人攻擊

    攻擊步驟：

    (1)從客戶機A上，通過WINCC軟件向PLC下發(fā)STOP指令；

    (2)PLC進入停機狀態(tài)，只有冷啟動可恢復(fù)系統(tǒng)。

4.2.2 啟用可信網(wǎng)絡(luò)連接和工控協(xié)議白名單防護

    工業(yè)交換機配置為啟用802.1x，工業(yè)防火墻配置為啟用工控協(xié)議白名單防護。

    攻擊方式1：從攻擊電腦，直接對PLC發(fā)起攻擊

    攻擊步驟：

    (1)將攻擊電腦接入工業(yè)交換機，工業(yè)交換機要求攻擊電腦進行身份驗證；

    (2)攻擊電腦由于沒有合法身份，無法驗證通過，無法接入網(wǎng)絡(luò)；

    (3)攻擊電腦無法進行網(wǎng)絡(luò)掃描，執(zhí)行CVE-2016-3949漏洞攻擊腳本，PLC不受影響，工作正常。

    攻擊方式2：從客戶機A，模擬發(fā)起內(nèi)部人攻擊

    攻擊步驟：

    (1)從客戶機A上，通過WINCC軟件向PLC下發(fā)STOP指令；

    (2)S7 STOP指令在到達工業(yè)防火墻時被攔截，PLC不受影響，工作正常，并在統(tǒng)一管理平臺上產(chǎn)生報警。

5 結(jié)束語

    本文介紹了當前電力監(jiān)控系統(tǒng)通信安全存在的問題，分析了當前技術(shù)方案的不足，最后嘗試提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的技術(shù)方案，能夠較好地解決當前電力監(jiān)控系統(tǒng)的通信安全問題。工業(yè)4.0時代，網(wǎng)絡(luò)已經(jīng)在電力行業(yè)中被廣泛使用，電力監(jiān)控系統(tǒng)在設(shè)計之初就存在的問題隨之暴露出來，烏克蘭的停電事故折射出目前電力監(jiān)控系統(tǒng)的脆弱性，解決電力控制系統(tǒng)中的通信安全問題刻不容緩。

參考文獻

[1] 國家電力監(jiān)管委員會．電力二次系統(tǒng)安全防護規(guī)定(電監(jiān)會5號令)[S]．2004．

[2] 國家電力監(jiān)管委員會．關(guān)于印發(fā)電力二次系統(tǒng)安全防護總體方案等安全防護方案的通知(電監(jiān)安全[2006]34號文)[S]．2006.

[3] 李戰(zhàn)寶，張文貴，潘卓．美國確保工業(yè)控制系統(tǒng)安全的做法及對我們的啟示[J]．信息網(wǎng)絡(luò)安全，2012，51(8)：51-53．

[4] 王平，靳智超，王浩．EPA工業(yè)控制網(wǎng)絡(luò)安全測試系統(tǒng)設(shè)計與實現(xiàn)[J]．計算機測量控制，2009，17(11)：53-55．

[5] GB/T 20984—2007.信息安全技術(shù)信息安全風險評估規(guī)范[S].2007.

[6] 陳曉剛，孫可，曹一家.基于復(fù)雜網(wǎng)絡(luò)理論的大電網(wǎng)結(jié)構(gòu)脆弱性分析[J].電工技術(shù)學報，2007，22(10)：138-144.

[7] 楊華飛，李棟華，程明.電力大數(shù)據(jù)關(guān)鍵技術(shù)及建設(shè)思路的分析和研究[J].電力信息與通信技術(shù)，2015，13(1)：7-10.

[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.

[9] 周亮.組態(tài)化智能變電站信息系統(tǒng)中若干問題研究[D].合肥：合肥工業(yè)大學，2011.

[10] 何群峰.電能表現(xiàn)場校驗智能分析系統(tǒng)[D].杭州：浙江大學，2010.

[11] 鐘粱高.基于可信計算的工業(yè)控制系統(tǒng)信息安全解決方案研究[D].大連：大連理工大學，2015.

作者信息:

胡朝輝，王方立

(廣東電網(wǎng)有限責任公司電力科學研究院，廣東 廣州510080)