水電廠工控系統(tǒng)安全防護(hù)的設(shè)計(jì)與實(shí)現(xiàn)

劉晶晶

四川省紫坪鋪開發(fā)有限責(zé)任公司 四川成都 610000

1 電力系統(tǒng)的安全防護(hù)技術(shù)

1.1 縱向認(rèn)證

采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。因此在水電廠生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處部署電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制，同時(shí)具有安全過濾功能，實(shí)現(xiàn)對(duì)數(shù)據(jù)通信應(yīng)用層協(xié)議及報(bào)文的處理功能[1]。

1.2 橫向隔離

（1）生產(chǎn)控制大區(qū)與管理信息大區(qū)之間。通常水電廠的兩大網(wǎng)絡(luò)之間沒有直接的物理連接，可不加防護(hù)裝置，如以后相連則必須設(shè)置經(jīng)國家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離。（2）控制區(qū)（安全 I 區(qū)）與非控制區(qū)（安全 II 區(qū)）之間。安全 I 區(qū)是整個(gè)工控系統(tǒng)的防護(hù)重點(diǎn)，盡管水電廠安全I(xiàn) 區(qū)和安全 II 區(qū)之間通常已經(jīng)部署了傳統(tǒng)防火墻，但難以對(duì) IEC104規(guī)約進(jìn)行精確防護(hù)，需要進(jìn)行升級(jí)并部署工業(yè)防火墻，實(shí)現(xiàn)對(duì)工業(yè)協(xié)議數(shù)據(jù)深度過濾，防范各種非法操作和數(shù)據(jù)，保障工控系統(tǒng)安全。（3）監(jiān)控區(qū)和現(xiàn)場(chǎng)控制區(qū)之間。由于 PLC 控制器的安全防護(hù)級(jí)別要高于上位機(jī)的安全防護(hù)，因此在集中監(jiān)控區(qū)上位機(jī)和現(xiàn)地控制區(qū)下位機(jī)之間部署智能保護(hù)裝置，允許上位機(jī)通過特定的工控協(xié)議與下位機(jī)進(jìn)行交互，同時(shí)對(duì)上下位機(jī)之間傳輸?shù)膱?bào)文內(nèi)容做深度檢查，識(shí)別正常的操作行為并生成白名單，發(fā)現(xiàn)其用戶節(jié)點(diǎn)的行為不符合白名單中的行為特征，對(duì)此行為進(jìn)行阻斷或告警。

2 水電廠工控系統(tǒng)安全現(xiàn)狀

主機(jī)安全風(fēng)險(xiǎn)。生產(chǎn)控制大區(qū)的服務(wù)器/網(wǎng)絡(luò)設(shè)備等存在弱口令，用戶權(quán)限設(shè)置不合理，存在默認(rèn)賬號(hào)，空閑端口未關(guān)閉，系統(tǒng)軟件、操作系統(tǒng)漏洞升級(jí)困難，缺少必要的應(yīng)用安全控制策略，對(duì)用戶登錄應(yīng)用系統(tǒng)，訪問系統(tǒng)資源等操作進(jìn)行身份認(rèn)證、訪問控制和安全審計(jì)。

應(yīng)用安全風(fēng)險(xiǎn)。水電廠工控系統(tǒng)普遍缺乏網(wǎng)絡(luò)準(zhǔn)入和控制機(jī)制，上位機(jī)與下位機(jī)通信缺乏身份鑒別和認(rèn)證機(jī)制，只要能夠從協(xié)議層面跟下位機(jī)建立連接，即可以對(duì)下位機(jī)進(jìn)行修改，普遍缺乏限制系統(tǒng)最高權(quán)限的限制，高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄漏，同時(shí)也缺乏事后追查的有效工具，讓責(zé)任劃分和威脅追蹤變得更加困難[2]。

3 系統(tǒng)總體設(shè)計(jì)

3.1 全威脅模型

在電力工控系統(tǒng)的攻擊過程中，攻擊不會(huì)以一種方式或者一個(gè)步驟得以實(shí)現(xiàn)，而是以不同的攻擊進(jìn)程采取不同的攻擊方法，且并不是以既定模式展開攻擊。本文以攻擊樹為基礎(chǔ)，實(shí)現(xiàn)電力工控系統(tǒng)的安全威脅建模。攻擊樹雖然邏輯結(jié)構(gòu)簡(jiǎn)單，但其樹形結(jié)構(gòu)可以直觀準(zhǔn)確地描述系統(tǒng)中包含哪些攻擊方式和威脅種類，同時(shí)攻擊樹具有很強(qiáng)的擴(kuò)展性，可以根據(jù)邏輯結(jié)構(gòu)按需求增加或刪除對(duì)系統(tǒng)不足以構(gòu)成威脅的攻擊。安全威脅建模的思想就是基于攻擊樹模型，把從系統(tǒng)安全風(fēng)險(xiǎn)中分析出來的安全威脅行為作為樹的結(jié)構(gòu)形式建立威脅樹，表示威脅行為及其攻擊步驟之間的邏輯關(guān)系。其中每棵威脅樹代表攻擊者使用的威脅方法，每條路徑代表具體的攻擊方式。一棵基本的威脅樹模型包含根節(jié)點(diǎn)、葉節(jié)點(diǎn)以及中間節(jié)點(diǎn)。根節(jié)點(diǎn)表示攻擊者對(duì)系統(tǒng)威脅的最終目標(biāo)；葉節(jié)點(diǎn)表示威脅可能采取的攻擊手段；而中間節(jié)點(diǎn)則表示攻擊者達(dá)到最終目標(biāo)時(shí)所采取的中間步驟。其中根節(jié)點(diǎn)的各個(gè)子樹是可選路徑，攻擊者可采取不同的攻擊進(jìn)程。

3.2 綜合防護(hù)

3.2 .1物理和環(huán)境安全防護(hù)

為保證工控系統(tǒng)的安全可靠運(yùn)行，降低或阻止人為或自然因素從物理層面對(duì)工控系統(tǒng)保密性、完整性、可用性帶來的安全威脅，必須從物理安全的角度采取適當(dāng)?shù)陌踩刂拼胧ａ槍?duì)工控系統(tǒng)物理環(huán)境缺乏控制及未經(jīng)授權(quán)的人員可以訪問重要設(shè)備的現(xiàn)狀，對(duì)于工控系統(tǒng)中無人值守的分布式站點(diǎn)、核心設(shè)備區(qū)域采取物理防范措施是十分必要的。通過建立配置視頻監(jiān)控措施、電子門禁系統(tǒng)和報(bào)警系統(tǒng)，可以防止未經(jīng)授權(quán)的人員進(jìn)入，并且便于事后審計(jì)和追查。應(yīng)盡量拆除或封閉各類工業(yè)主機(jī)上不必要的外設(shè)接口；確需使用時(shí)，可采用工控系統(tǒng)主機(jī)審計(jì)產(chǎn)品統(tǒng)一管理有外設(shè)接口的工控系統(tǒng)主機(jī)[3]。

3.2 .2數(shù)據(jù)安全防護(hù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，工控系統(tǒng)越來越多的采用通用協(xié)議和明文方式進(jìn)行數(shù)據(jù)傳輸。為了防止數(shù)據(jù)在傳輸過程中發(fā)生泄漏或者被非法獲取，應(yīng)采用 SSL 或者密碼技術(shù)等安全方式保障網(wǎng)絡(luò)傳輸數(shù)據(jù)的機(jī)密級(jí)、完整性和可用性，實(shí)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)間數(shù)據(jù)的安全傳輸，達(dá)到非法用戶對(duì)重要的數(shù)據(jù)即使拿得到也看不懂，更用不了的目的。企業(yè)在運(yùn)行過程中應(yīng)建設(shè)完善工控安全事件應(yīng)急響應(yīng)預(yù)案，定期組織應(yīng)急演練，不斷增強(qiáng)應(yīng)急能力。

3.2 .3網(wǎng)絡(luò)安全防護(hù)

工控系統(tǒng)要對(duì)設(shè)備按照功能、區(qū)域等合理劃分安全域，使數(shù)據(jù)交互只能通過安全域邊界進(jìn)行，并通過工業(yè)防火墻、安全網(wǎng)閘等設(shè)備對(duì)工控系統(tǒng)的安全邊界進(jìn)行防護(hù)。在不同網(wǎng)絡(luò)邊界間，可以通過部署防火墻的方式，實(shí)現(xiàn)網(wǎng)絡(luò)訪問的安全控制，阻斷不合法的網(wǎng)絡(luò)訪問。

4 結(jié)語

經(jīng)過上述步驟可構(gòu)建具有很好擴(kuò)展性的威脅建模，操作也很方便，若發(fā)現(xiàn)一種新的攻擊方式，只要在該攻擊節(jié)點(diǎn)的隸屬父節(jié)點(diǎn)下加一個(gè)代表新攻擊方式的子節(jié)點(diǎn)即可。