關于如何進一步強化電力自動化安全防護措施探討

高俊彥 曾 麟 鄭曉鐘 陳志民/國網廈門供電公司

關于如何進一步強化電力自動化安全防護措施探討

高俊彥 曾 麟 鄭曉鐘 陳志民/國網廈門供電公司

隨著電網智能化程度的不斷提升，電力系統對網絡的依賴程度也越來越高，本文探討在做好國網“十六字”安全防護總體策略的同時，對現有電力系統安全防護體系進一步強化，以保障電網安全運行。

電力系統；網絡設備；安全防護

引言

當前國網電力系統已經進入”電力流、信息流、業務流“高度融合的智能電網階段，隨著電網調度控制系統功能不斷豐富、調度數據網覆蓋范圍的擴展以及對相關應用的用戶數量的增長，使得電力監控系統信息安全威脅來源愈發多元化。當前國際上已經出現針對電網系統從地市級乃至國家級網絡攻擊案例。因此在圍繞2002年國家 “863”項目由“國家電網調度中心安全防護體系研究及示范”提出了我國電力系統信息安全防護總體策略的十六字方針：“安全分區、網絡專用、橫向隔離、縱向認證”。本文探討在全面落實十六字安全方針的基礎上，在地市局電力企業層面如何進一步強化電網監控系統信息安全，使之成為電力生產網絡重大保電項目的一個重要保障。

一、當前電力系統所面臨的網絡安全風險

目前針對電力系統信息安全主要攻擊網絡途徑有：

1.遠程非法突破網絡邊界，利用通用網絡服務進入內部網絡和系統；

2.繞過過建筑物、機房等基礎設施的物理安全防護，直接接觸內部網絡或主機，從內部網絡設備的端口和串口，主機設備的USB接口、串口和光驅進入系統；

3.越過建筑物、機房等基礎設施的物理安全防護，直接接觸內部網絡或主機的輸入輸出設備，冒用合法用戶或超越自身用戶權限（軟件安裝、程序運行、配置變更、應用操作）。

二、如何加強電力系統安全防護

（一）在保障數據可靠方面

地市級電網調控作為調度數據網的接入層，縱向向上可達省調監控中心向下則鄰接各個220kV變電站乃至110kV、35kV變電站，數據傳輸的保密性通過縱向加密裝置對業務流進行非對稱加解密處理，其算法使用國密局為電力專用的sxx06算法，使得傳輸的業務流具有”看不懂、改不了“的特性。但縱向加密系統就像個向下扣在桌上玻璃杯，四周嚴密但下方與桌面的接縫卻存在一定的空隙。這個縫隙正是分布在各地區的無人值守變電站和電廠，這些地方由于無人值守的機制，導致現場人員、管控手段的缺乏，往往會成為安全防護的突破口。因此有必要在縱向加密之外，在變電站的站控層級進行小區域的業務過濾和安全判斷，例如首先可以通過網管軟件對各站之間網絡端口流量進行監測對發現的流量異常行為及時排查，其次可以采用在核心變電站場站安裝網絡風險監測裝置對遠動機、保護裝置間網絡通訊進行監測、監測異常u盤插入等行為，并通過調度數據網絡將異常數據上傳到內網安全監視平臺，對危害行為提前感知。

（二）在減少危害方面

除了在大區之間正反向隔離裝置、安全區防火墻過濾、服務器、工程作業機終端補丁加固等傳統做法外，還應根據地理分布范圍、人員使用情況、使用重要性等進行劃分，實現小區域的安全防護；例如：

1.在調控主站與其外延伸到各運維中心的交換機之間架設防火墻，防御外來安全管控較薄弱區域可能攻擊；

2.在大樓內部不同部門間交換機上啟用軟件防火墻策略限定指定端口，以限制局部區域的病毒傳播；

3.對接入硬件mac地址進行限定等手段限制危害擴展；

4.針對變電站數量多，安全防護設備難以全面部署的情況，啟用軟防火墻策略過濾的手段以彌補硬件數量不足的缺口。

5.在window系統設備上不僅應安裝必要安防軟件，更為重要的是考慮到軟件系統自身系統缺陷也可能成為薄弱點，如在每次升級前，使用離線測試機監測對生產業務系統的影響；正式升級時，對業務系統設備升級分批次分時段進行，以避免出現系統業務或終端全面癱瘓的安全事故。

（三）組建安全信任體系

近年來大量新型攻擊方式不斷涌現，“震網”“火焰”以及“BlackEnergy”等一批惡意代碼均為電力系統量身定制，擴散及破壞非常隱蔽，能突破傳統的以隔離為主的安全防護體系。隨著安全威脅代碼庫規模的迅速增長，使得電網企業以往主要依賴定期升級病毒庫的查殺手段存在滯后性，面對數量規模數萬級、快速增長的病毒木馬和新出現的未知惡意代碼時拙荊見肘。

在“攔不住、查不清”的情況下，面臨被攻進來怎么辦的情況？這時通過“計算＋保護”的雙計算體系，建立可信的計算環境，將調度數字證書和安全標簽技術融入SCADA控制的各個環節，形成自動識別“自我”和“非我”程序的安全免疫機制。將成為未來電網安全防護重點發展的方向，目前主要可信計算包括以下六個方面：

1.基于白名單的靜態可信度量.

通過白名單機制對系統中所有裝載的可執行文件代碼（例如，EXE、DLL、COM等）進行控制； 在程序加載前先進入驗證過程：程序有簽名時，對可執行文件、動態庫、內核模塊文件進行驗簽，通過白名單驗證軟件的完整性、來源和檢測情況；沒有簽名時，對可執行文件、動態庫、內核模塊文件進行摘要計算，通過白名單驗證軟件的完整性；

2.軟件版本管理.

由電力調度數字證書系統根證書依次派生出開發證書、檢測證書、可信管理中心平臺證書和管理員身份驗證證書；針對軟件開發、檢測、管理員登錄、策略模板等環節進行驗簽和身份鑒別；

3.可信網絡連接.

當客戶端A業務訪問請求客戶端B時，需要先建立雙向認證的可信連接，通過認證后，允許建立業務連接。

4.動態度量.

對運行狀態中的內核關鍵數據及進程狀態進程度量。其中，度量對象包括操作系統內核的代碼段、只讀數據段、關鍵跳轉表和應用層的進程代碼段。除了為可信證明機制提供支撐外，內核度量功能主要服務于可信軟件基的自身保護機制，應用度量功能主要服務于訪問控制機制。

5.強制執行控制.

目標是對特定代碼的執行進行限制，阻止其被惡意侵入的進程或誤操作啟動。即，要求指定程序/動態庫不能在指定方式以外的情況下執行/加載。可信計算安全模塊將系統公有庫及基本應用劃分為公有域，同時，將不同應用劃分為不同的私有域集合；默認情況下，公有域不能執行私有域中的代碼，私有域間也不允許互相調用；

6.系統配置管理.

依據智能電網調度控制系統中的“執行、立法、監督”三權分立原則以及最小特權和權值分離原則，將系統的超級管理員特權劃分為系統管理員、安全管理員以及審計管理員。

三、結語

網絡病毒危險源是隨著計算機技術的發展不斷演變的，因此電網企業網絡安防工作始終在路上。只有在不斷細化現有安全措施的情況下，不斷強化人為操作的信任、軟件自身操作行為再判斷這兩個方面的工作，才能以不變應萬變，提升系統自身免疫力。

[1]鄧建成.變電運維工作的安全風險分析與管理實踐[J].經營管理者.2013(30):96-96.