電力二次系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與安全加固要點(diǎn)

文/馬一杰

1 電力二次系統(tǒng)面臨的安全風(fēng)險(xiǎn)

根據(jù)“短板原理”，電力二次系統(tǒng)安全防護(hù)中最薄弱的環(huán)節(jié)，直接決定著其總體防護(hù)水平。而電力二次系統(tǒng)所面臨的安全風(fēng)險(xiǎn)除了外部網(wǎng)絡(luò)風(fēng)險(xiǎn)外，還有因內(nèi)部管理及使用不善而導(dǎo)致的風(fēng)險(xiǎn)。其中，外部網(wǎng)絡(luò)風(fēng)險(xiǎn)主要包括不法分子的惡意攻擊，以及內(nèi)部員工使用不當(dāng)而導(dǎo)致的信息泄露、數(shù)據(jù)破壞等風(fēng)險(xiǎn)。常見(jiàn)的安全風(fēng)險(xiǎn)主要來(lái)自以下幾個(gè)方面：

1.1 安全管理意識(shí)差

人的意識(shí)與有效管理是確保網(wǎng)絡(luò)安全的根本，尤其是對(duì)于龐大的智能電網(wǎng)數(shù)據(jù)更是如此。然而，在實(shí)際的安全管理過(guò)程中，管理人員安全意識(shí)薄弱、安全防護(hù)措施欠缺，例如口令過(guò)于簡(jiǎn)單、內(nèi)部賬號(hào)泄露、私密信息共享等，都會(huì)為電力二次系統(tǒng)的安全埋下隱患。

1.2 非授權(quán)訪問(wèn)

非授權(quán)訪問(wèn)既是不法分子未經(jīng)同意便使用網(wǎng)絡(luò)資源或是合法用戶通過(guò)非授權(quán)的方式操作使用網(wǎng)絡(luò)等。例如，不法分子借助相關(guān)工具，利用系統(tǒng)漏洞獲取目標(biāo)主機(jī)的控制權(quán)后，對(duì)系統(tǒng)設(shè)置或數(shù)據(jù)實(shí)施更改，或以置入木馬的形式非法控制操作主機(jī)或?qū)嵤┕簟?/p>

1.3 信息泄露或破壞

由于內(nèi)部人員使用管理不善，致使業(yè)務(wù)數(shù)據(jù)無(wú)意或有意被泄露或破壞。主要包括：在傳輸過(guò)程中數(shù)據(jù)丟失，存儲(chǔ)介質(zhì)異常而出現(xiàn)泄露；或不法分子通過(guò)非法方式進(jìn)入獲取數(shù)據(jù)控制權(quán)，并對(duì)關(guān)鍵數(shù)據(jù)實(shí)施修改或刪除；或攻擊者通過(guò)系統(tǒng)后門或隱蔽通道等漏洞進(jìn)入系統(tǒng)并實(shí)施攻擊。

1.4 配置或操作失誤

對(duì)網(wǎng)絡(luò)系統(tǒng)的相關(guān)配置或設(shè)備的功能了解不夠透徹，在日常操作使用及監(jiān)控中過(guò)于隨意等，都會(huì)為系統(tǒng)的安全威脅帶來(lái)可乘之機(jī)。另外，電力調(diào)度數(shù)據(jù)網(wǎng)的自動(dòng)化、復(fù)雜化以及智能化，使得系統(tǒng)設(shè)計(jì)功能極易出現(xiàn)配置失誤，而有些失誤日常不易發(fā)現(xiàn)，只有在遇到某種觸發(fā)條件如外網(wǎng)攻擊時(shí)才會(huì)被察覺(jué)。

1.5 系統(tǒng)缺陷及漏洞

電力二次系統(tǒng)涉及計(jì)算機(jī)技術(shù)、信息技術(shù)較為復(fù)雜，而網(wǎng)絡(luò)安全技術(shù)及系統(tǒng)的不斷更新，使得電力二次系統(tǒng)無(wú)法避免的會(huì)存在一些缺陷及不足之處，這也就成為不法分子的攻擊目標(biāo)。另外，某些無(wú)關(guān)緊要的設(shè)備在設(shè)計(jì)時(shí)因技術(shù)人員疏忽，導(dǎo)致留有后門及漏洞，一旦被攻擊者發(fā)現(xiàn)并利用，將會(huì)嚴(yán)重影響電力企業(yè)的正常運(yùn)行及調(diào)度。

1.6 網(wǎng)絡(luò)病毒與木馬

隨著互聯(lián)網(wǎng)技術(shù)、信息技術(shù)的不斷深入，各種病毒、木馬也隨之猖獗，使得電力二次系統(tǒng)網(wǎng)絡(luò)也很難避免會(huì)遭受病毒的攻擊。一旦受到病毒及木馬的入侵，將會(huì)嚴(yán)重影響電網(wǎng)數(shù)據(jù)、涉密設(shè)備的安全。

現(xiàn)階段，造成電力二次系統(tǒng)安全風(fēng)險(xiǎn)的原因主要為：

（1）二次系統(tǒng)中網(wǎng)絡(luò)安全防護(hù)的防火墻及入侵檢測(cè)技術(shù)落后或存在缺陷，致使被動(dòng)防護(hù)失去作用，系統(tǒng)對(duì)入侵行為漏報(bào)誤報(bào)現(xiàn)象嚴(yán)重；

（2）系統(tǒng)間數(shù)據(jù)交換的加密及安全認(rèn)證機(jī)制不健全，缺乏入侵檢測(cè)等預(yù)警機(jī)制；

（3）病毒庫(kù)更新不及時(shí)，致使各個(gè)廠區(qū)、站端以及工控機(jī)房管理存在難度；

（4）安全防護(hù)目標(biāo)、防護(hù)策略及安全防護(hù)體系不夠完善，所有安全防護(hù)措施都建立在被動(dòng)防護(hù)的基礎(chǔ)上；

（5）各分區(qū)間數(shù)據(jù)雙向交互，而數(shù)據(jù)交互缺乏統(tǒng)一性及規(guī)范性，致使對(duì)系統(tǒng)及數(shù)據(jù)的安全防護(hù)不夠統(tǒng)一，動(dòng)態(tài)及應(yīng)急管理難度大。

2 電力二次系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

2.1 安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容

2.1.1 準(zhǔn)備階段

首先，安全評(píng)估工作的前期準(zhǔn)備主要包括：安全評(píng)估內(nèi)容的確定、安全評(píng)估方案與評(píng)估計(jì)劃的制定、人員教育培訓(xùn)以及安全評(píng)估工具的準(zhǔn)備等。其次，安全評(píng)估工作內(nèi)容的確定，主要有物理環(huán)境、系統(tǒng)運(yùn)維管理、基礎(chǔ)設(shè)施網(wǎng)絡(luò)、主機(jī)管理系統(tǒng)以及業(yè)務(wù)處理系統(tǒng)等，其中以電力二次系統(tǒng)安全防護(hù)的有效落實(shí)為評(píng)估重點(diǎn)，主要加強(qiáng)對(duì)系統(tǒng)內(nèi)部橫向、上下級(jí)單位縱向認(rèn)證，以及無(wú)線網(wǎng)絡(luò)、VPN等接入方式的防護(hù)。另外，安全評(píng)估工具應(yīng)通過(guò)充分測(cè)試，具有較高的安全性及可靠性。

2.1.2 評(píng)估階段

首先，安全評(píng)估小組進(jìn)入現(xiàn)場(chǎng)，對(duì)風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行搜集。評(píng)估現(xiàn)場(chǎng)的工作重點(diǎn)為是否有效落實(shí)電監(jiān)會(huì)5號(hào)令相關(guān)內(nèi)容，包括安全區(qū)劃分、縱橫向邊界防護(hù)、專用網(wǎng)絡(luò)以及撥號(hào)安全防護(hù)等，并且還要加強(qiáng)對(duì)現(xiàn)場(chǎng)基礎(chǔ)設(shè)施網(wǎng)絡(luò)、業(yè)務(wù)處理系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、辦公設(shè)備終端以及相關(guān)防御措施等內(nèi)部的安全防護(hù)；其次，安全評(píng)估方法主要包括咨詢顧問(wèn)調(diào)研訪談、日志審計(jì)、系統(tǒng)漏洞掃描、自動(dòng)化數(shù)據(jù)采集、白客滲透測(cè)試等。由于二次系統(tǒng)的安全可靠對(duì)于電力的正常供應(yīng)極為關(guān)鍵，因此，原則上對(duì)與電力生產(chǎn)有關(guān)的業(yè)務(wù)處理系統(tǒng)不實(shí)施自動(dòng)化檢測(cè)，通常以備用系統(tǒng)或設(shè)備，通過(guò)咨詢顧問(wèn)調(diào)研訪談或手工審計(jì)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。

2.1.3 分析階段

經(jīng)過(guò)以上環(huán)節(jié)對(duì)采集的安全風(fēng)險(xiǎn)數(shù)據(jù)予以整理分析，從而對(duì)電力二次系統(tǒng)可能面臨的安全威脅、潛在風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)的級(jí)別進(jìn)行確定，并結(jié)合安全風(fēng)險(xiǎn)分析結(jié)論，提出合理的風(fēng)險(xiǎn)規(guī)避對(duì)策與意見(jiàn)，最后給出風(fēng)險(xiǎn)評(píng)估報(bào)告。

2.2 安全風(fēng)險(xiǎn)評(píng)估的方向

2.2.1 風(fēng)險(xiǎn)因素

智能電網(wǎng)的規(guī)模化發(fā)展，為可再生能源電力系統(tǒng)接入以及需求側(cè)信息交互平臺(tái)的建設(shè)提供了可能，但與此同時(shí)，也加大了電網(wǎng)安全監(jiān)控的難度及深度，提高了二次系統(tǒng)結(jié)構(gòu)的復(fù)雜性。因此，必須加強(qiáng)對(duì)二次設(shè)備、信息技術(shù)以及人員這三個(gè)方面風(fēng)險(xiǎn)因素的評(píng)價(jià)，尤其是在發(fā)生安全事故時(shí)這些風(fēng)險(xiǎn)因素所造成的影響、后果及作用形式，提升二次系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的全面性。

2.2.2 數(shù)據(jù)獲取

安全風(fēng)險(xiǎn)評(píng)估必須以高質(zhì)量、完備的數(shù)據(jù)為基礎(chǔ)，然而，當(dāng)前對(duì)于數(shù)據(jù)的統(tǒng)計(jì)往往存在格式不統(tǒng)一、種類不齊全，而專家知識(shí)又存在一定的不確定性與模糊性。因此，安全風(fēng)險(xiǎn)評(píng)估必須要加強(qiáng)對(duì)二次系統(tǒng)監(jiān)控與記錄管理的統(tǒng)一性，并對(duì)安全事故樣本不斷積累，對(duì)相關(guān)數(shù)據(jù)及專家經(jīng)驗(yàn)予以整理；另外，還要不斷加大因數(shù)據(jù)不足或信息缺失時(shí)風(fēng)險(xiǎn)評(píng)估的研究力度。

2.2.3 評(píng)估模型

電力二次系統(tǒng)的實(shí)質(zhì)是提升一次系統(tǒng)的安全，重點(diǎn)在于加固一次系統(tǒng)的薄弱環(huán)節(jié)，為一次系統(tǒng)的功能提供更為全面的保障。因此，二次系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)建立在一次系統(tǒng)的基礎(chǔ)上，并從二次系統(tǒng)所發(fā)揮的作用及作用失效后對(duì)一次系統(tǒng)產(chǎn)生的影響為切入點(diǎn)，構(gòu)建全面的以二次系統(tǒng)功能為基礎(chǔ)的安全風(fēng)險(xiǎn)評(píng)估體系與模型。

圖1

2.2.4 風(fēng)險(xiǎn)應(yīng)用

安全風(fēng)險(xiǎn)評(píng)估的最終目的是發(fā)現(xiàn)系統(tǒng)存在的漏洞及薄弱點(diǎn)，并對(duì)薄弱點(diǎn)可能為系統(tǒng)造成的后果實(shí)施評(píng)估，進(jìn)而提供有效的風(fēng)險(xiǎn)應(yīng)對(duì)措施及改進(jìn)策略，降低發(fā)生風(fēng)險(xiǎn)的可能，例如對(duì)設(shè)備的檢修、系統(tǒng)漏洞修復(fù)以及應(yīng)急預(yù)案的制定等。

3 電力二次系統(tǒng)安全加固要點(diǎn)

當(dāng)前電力二次系統(tǒng)的安全加固重點(diǎn)是網(wǎng)絡(luò)系統(tǒng)及相關(guān)控制系統(tǒng)，關(guān)鍵在于提高邊界防護(hù)、網(wǎng)絡(luò)防護(hù)、主機(jī)防護(hù)以及內(nèi)部安全防護(hù)能力。

3.1 邊界防護(hù)加固

3.1.1 橫向邊界防護(hù)

電力二次系統(tǒng)最重要的防護(hù)加固技術(shù)是通過(guò)隔離安全區(qū)橫向網(wǎng)絡(luò)邊界來(lái)實(shí)現(xiàn)，通過(guò)安全隔離設(shè)備有效隔離安全區(qū)，來(lái)提高生產(chǎn)控制區(qū)與管理信息區(qū)的安全防護(hù)水平。

一方面，在信息通信過(guò)程中，為防止病毒及不法分子滲透和攻擊電力網(wǎng)絡(luò)，應(yīng)嚴(yán)格按照數(shù)據(jù)單向傳輸?shù)目刂茩C(jī)制，使用具有ALC訪問(wèn)控制功能的隔離設(shè)備將非控制區(qū)與控制區(qū)進(jìn)行邏輯隔離，隔離設(shè)備應(yīng)具備狀態(tài)檢測(cè)、數(shù)據(jù)過(guò)濾以及地址轉(zhuǎn)換等功能口，并能控制數(shù)據(jù)的傳輸方向、地址及端口等。通常，控制區(qū)與非控制區(qū)間可建立連接，但非控制區(qū)系統(tǒng)不允許對(duì)控制區(qū)進(jìn)行訪問(wèn)，若必須進(jìn)行訪問(wèn)時(shí)，必須嚴(yán)格控制訪問(wèn)的協(xié)議、訪問(wèn)地址及訪問(wèn)端口。另一方面，在生產(chǎn)控制大區(qū)與管理信息大區(qū)的網(wǎng)絡(luò)邊界安裝專業(yè)的安全隔離設(shè)備，通過(guò)數(shù)據(jù)“安全島”及截?cái)郥CP連接技術(shù)，達(dá)到安全隔離設(shè)備的數(shù)據(jù)單向傳輸及網(wǎng)絡(luò)邊界的高強(qiáng)度隔離的目標(biāo)。該種隔離設(shè)備分為正向型及反向型兩種，正向型主要實(shí)現(xiàn)管理信息大區(qū)向生產(chǎn)控制大區(qū)數(shù)據(jù)的單向傳輸，反向型主要實(shí)現(xiàn)生產(chǎn)控制大區(qū)與管理信息大區(qū)間的數(shù)據(jù)傳輸，當(dāng)反向型隔離設(shè)備收到來(lái)自管理信息大區(qū)的數(shù)據(jù)傳輸時(shí)，會(huì)首先對(duì)數(shù)據(jù)進(jìn)行簽名認(rèn)證、編碼轉(zhuǎn)換，然后對(duì)數(shù)據(jù)進(jìn)行檢查處理并發(fā)送至生產(chǎn)控制大區(qū)的各系統(tǒng)。

3.1.2 縱向邊界防護(hù)

在網(wǎng)絡(luò)縱向邊界，在路由器和交換機(jī)間部署縱向加密認(rèn)證裝置或硬件防火墻，可以有效防止來(lái)自外界的網(wǎng)絡(luò)攻擊、病毒入侵及惡意代碼，同時(shí)可及時(shí)發(fā)現(xiàn)未知異常流量及不法分子的惡意攻擊等安全威脅。此外，在關(guān)鍵位置部署智能入侵檢測(cè)系統(tǒng)（IPS），能夠有效監(jiān)測(cè)網(wǎng)絡(luò)與服務(wù)器的異常，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)邊界及內(nèi)部網(wǎng)絡(luò)的異常情況，并通過(guò)主動(dòng)防御與響應(yīng)，向安全人員發(fā)出報(bào)警，便于及時(shí)作出處理。如圖1所示。

3.2 網(wǎng)絡(luò)防護(hù)加固

3.2.1 設(shè)備安全加固

（1）物理安全。按照國(guó)家標(biāo)準(zhǔn)所規(guī)定的安全規(guī)范，提高機(jī)房環(huán)境的安全性與可靠性，通過(guò)完善的措施，做好二次設(shè)備的防竊、防損、防塵及靜電接地，提高設(shè)備的抗電磁干擾、防線路截獲及防電磁信息泄露等能力。

（2）賬號(hào)安全。建立健全用戶管理機(jī)制強(qiáng)化對(duì)賬號(hào)的安全管理，確保設(shè)備安全可控。例如，設(shè)置口令分級(jí)保護(hù)，禁止優(yōu)先級(jí)較低的用戶對(duì)設(shè)備配置進(jìn)行更改，并在經(jīng)密碼驗(yàn)證后方可進(jìn)入優(yōu)先級(jí)較高的模式，失效用戶名進(jìn)行禁用，對(duì)系統(tǒng)賬戶的弱口令進(jìn)行更改，系統(tǒng)口令長(zhǎng)度設(shè)置應(yīng)為超過(guò)8位的復(fù)雜口令，并實(shí)施加密存儲(chǔ)。

（3）配置安全。設(shè)備配置文件應(yīng)定期存儲(chǔ)及備份，并對(duì)配置文件的正確性及完備性實(shí)施檢查，設(shè)備操作系統(tǒng)應(yīng)定期進(jìn)行升級(jí)，以有效避免系統(tǒng)缺陷而引發(fā)的網(wǎng)絡(luò)攻擊。

3.2.2 安全訪問(wèn)控制和惡意代碼防范

安全訪問(wèn)控制主要是利用訪問(wèn)控制列表實(shí)現(xiàn)敏感數(shù)據(jù)的安全訪問(wèn)，對(duì)此，可結(jié)合實(shí)際需求通過(guò)VTY類型線路對(duì)TΕLNΕT用戶進(jìn)行限制，或通過(guò)啟用SSH并禁用TΕLNΕT的方式登錄設(shè)備。此外，還可通過(guò)對(duì)SNMP實(shí)施訪問(wèn)列表控制，禁止未經(jīng)授權(quán)而通過(guò)SNMP訪問(wèn)設(shè)備。

對(duì)于路由器及防火墻等智能化較高的設(shè)備，可關(guān)閉IP源路由，并且將病毒、木馬常用端口以及超過(guò)1024的非業(yè)務(wù)端口全部關(guān)閉，通過(guò)啟用TCP保持連接實(shí)現(xiàn)對(duì)路由器進(jìn)出TCP連接的監(jiān)控。

3.2.3 審計(jì)策略加固

對(duì)網(wǎng)絡(luò)安全防范，除了要提高網(wǎng)絡(luò)安全的預(yù)防能力外，還要加強(qiáng)對(duì)安全事件的追蹤能力。在出現(xiàn)安全事件前后，可全面記錄用戶上網(wǎng)行為，提高用戶上網(wǎng)追溯能力，為后期追溯攻擊源提供資料。這就需要通過(guò)完善的日志記錄與審計(jì)，利用Syslog對(duì)重要的設(shè)備信息進(jìn)行記錄，為定位故障提供依據(jù)。

3.3 主機(jī)加固

能量管理系統(tǒng)（ΕMS）、電力監(jiān)控系統(tǒng)、配電自動(dòng)化系統(tǒng)等一些關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器，以及網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)、WΕB服務(wù)器等，所使用的操作系統(tǒng)應(yīng)進(jìn)行安全加固。加固方式主要有：

（1）數(shù)字簽名認(rèn)證。向系統(tǒng)管理員及用戶發(fā)放數(shù)字認(rèn)證證書(shū)，用戶登錄需建立在操作系統(tǒng)內(nèi)核級(jí)的認(rèn)證機(jī)制下，對(duì)于未進(jìn)行簽名認(rèn)證的用戶即使獲得登錄權(quán)限，也無(wú)法訪問(wèn)被安全內(nèi)核保護(hù)的數(shù)據(jù)。

（2）網(wǎng)絡(luò)控制服務(wù)。對(duì)服務(wù)器IP以及網(wǎng)絡(luò)服務(wù)實(shí)施遠(yuǎn)程控制訪問(wèn)，通過(guò)網(wǎng)絡(luò)控制服務(wù)對(duì)用戶訪問(wèn)系統(tǒng)資源進(jìn)行限制。

（3）登錄服務(wù)控制。限制部分登錄服務(wù)，對(duì)Telnet、FTP、SSH等多種登錄系統(tǒng)的方式進(jìn)行限制。

（4）入侵響應(yīng)。通過(guò)智能入侵檢測(cè)系統(tǒng)，一旦發(fā)現(xiàn)異常操作行為時(shí)，應(yīng)及時(shí)對(duì)用戶予以阻斷，并向安全管理員報(bào)警處理。

4 結(jié)語(yǔ)

電力二次系統(tǒng)安全加固的目的是有效防止來(lái)自外界對(duì)電力系統(tǒng)的各種網(wǎng)絡(luò)攻擊及惡意破壞，確保系統(tǒng)的正常服務(wù)，保護(hù)敏感數(shù)據(jù)信息的傳輸及存儲(chǔ)安全，避免因此而導(dǎo)致的一次系統(tǒng)或二次系統(tǒng)事故，并通過(guò)全面立體的安全防護(hù)加固措施，提升電力系統(tǒng)的穩(wěn)定性。