電廠工業控制安全防護技術和方法

王曉翼

（南方電網調峰調頻發電有限公司信息通信分公司，廣州510000）

0 引言

電力系統分為發電、輸電、變電、配電、用電五個環節，作為電力系統的第一個環節，電廠將熱能、風能、水能、核能等不同形式能量轉換為電能，是整個電力系統的基礎和關鍵。以水電站為例，其從河流高處或其他水庫內引水，利用水的壓力或流蘇沖動水輪機旋轉，將重力勢能和動能轉變為機械能，然后水輪機帶動發電機旋轉，從而將機械能轉變成電能。電廠在發電輸電過程中離不開工業控制系統（簡稱工控系統），工控系統對能量轉換過程中壓力、溫度、流量、液位、開關、電壓、電流等狀態和數據的采集，根據電廠設備狀態控制現場設備執行動作，從而保證電廠發電和輸電的安全穩定。工控系統對電廠發電和輸電起著至關重要的作用。

根據發改委14號令，電力監控系統安全防護應堅持“安全分區、網絡專用、橫向隔離、縱向認證”原則。由于我國電力工控系統具備專網專用和網絡隔離的封閉特性，電力工控系統長期依賴“物理隔離”和“邊界防護”為主的安全防護體系。

隨著智能電網與信息物理技術的深度融合，電力工控系統面臨著更復雜的來自電力系統內部和外部的網絡安全威脅。伊朗核電站震網病毒[1]、烏克蘭電廠BlackEnergy病毒攻擊[2]等一系列針對電力工控系統的攻擊事件表明，針對電力工控系統的攻擊呈現攻擊水平高、隱蔽性強、持續時間長、國家力量涉入等特點，傳統物理隔離和邊界防護已難以有效阻止網絡攻擊。針對電力工控系統的攻擊將直接危害現場發電設備運行，造成巨大的人員和經濟威脅。

為解決當前電廠工控系統安全防護能力不足的問題，本文通過分析現有電廠工控系統面臨的安全威脅，總結導致安全威脅的主要原因，針對現有電力監控系統邊界防護存在的問題，提出面向電廠工控系統的主動安全縱深防護體系，以主動防護體系所需的技術和方法，從而有效應對來自網絡外部和內部的已知或未知網絡攻擊。

1 電廠工控系統架構

以某水電站為例，電廠整體調度架構由三部分組成（如圖1）：調度中心（中調/總調），集中控制中心和本地監控中心。調度任務包括電力調度和水力調度兩部分，其中，調度中心負責整個區域電力系統的電力和水力調度，可直接對電廠的發電信息、水庫信息進行采集和調度控制；集中控制中心下轄多個電廠，可實現對多個電廠的統一監控，實現遙控、遙調、遙測、遙信和遙視等功能，同時也接受調度中心直接監控；本地監控站實現對單一電廠或機組的監視，并接受調度中心控制指令。

圖1 電力調度組織架構

電廠工控系統安全依賴邊界防護。如圖2所示，電廠、集中控制中心、電力調度中心之間按照“專網專用、縱向加密”原則通過專用網絡連接，通信數據通過縱向加密裝置加密之后進行交互。對于電廠、集中控制中心、電力調度中心內部，各部分按照“安全分區、橫向隔離”原則，將網絡劃分為兩個大區：生產控制大區和管理信息大區。生產控制大區又可根據安全I區（實時控制區）和安全II區（非實時控制區），管理信息大區根據各電廠需求一般可分為安全III區和安全IV區，為便于描述，圖2中我們將III區和IV區合并為一個區。I區負責電廠一次設備的實時數據采集和設備控制，直接應用發電能力和生產安全，安全等級最高，II、III、IV區安全等級依次降低。I區和II區之間通過防火墻進行邏輯隔離，II區和III區之間通過正反隔離裝置進行物理隔離。通過邊界隔離措施保證數據只能從安全等級高的區域發送到安全等級低的區域。

2 電廠工控系統面臨的安全威脅及分析

2.1 安全威脅

雖然電廠工控系統采用較為嚴格的邊界防護措施，但其仍然面臨來自多方面的安全威脅，主要包括漏洞、APT攻擊、供應鏈風險等。

（1）漏洞

漏洞是發起網絡攻擊的主要原因之一。電廠工控系統能夠被攻擊的一個重要原因是其工控網絡或工控系統本身存在可被利用的漏洞。

從漏洞生命周期角度分析，電廠工控系統漏洞可分為0-Day漏洞、1-Day漏洞和N-Day漏洞（歷史漏洞）。0-Day漏洞可利用程度和危害性最高，剩余兩種的漏洞可利用性依次降低。區別于傳統網絡安全，電廠工控系統由于其封閉性和7×24小時生產需求，系統/設備往往更新遲緩，導致工控系統可能長時間存在可利用的1-Day或N-Day漏洞，存在較大安全隱患。

圖2 電廠拓撲分區及邊界防護

從工控系統組成角度，工控系統是IT（Information Technology）和OT（Operational Technology）的結合，電廠工控系統既包含傳統的網絡協議、軟件、操作系統，也包含專門的工控協議、設備、SCADA系統等，因此，電廠工控系統漏洞包含了傳統漏洞和工控漏洞。傳統漏洞包括典型的網絡協議漏洞、數據庫漏洞、應用軟件漏洞、操作系統漏洞等。傳統漏洞可能導致拒絕服務、信息泄露、提權等問題，尤其數據庫漏洞還可能導致電廠關鍵生產數據泄露。工控漏洞涉及工控協議、組態軟件、設備固件、軟件供應鏈以及配置管理等。工控協議漏洞主要是由于電廠常用的工控協議（如IEC104、IEC103、IEC61850、DNP3等）自身或編碼實現過程中存在安全問題導致；組態軟件和工控設備固件漏洞產生原因類似，面臨更新遲緩難以快速修復的問題；軟件供應鏈主要是由于工控軟件、固件設計和實現過程中采用了存在漏洞的第三方庫；配置管理漏洞則是由于管理不嚴或人員技術水平有限導致工控設備及安防設備可能存在配置錯誤，使得攻擊者可以利用配置錯誤繞過安全防護或驗證。

（2）APT攻擊

APT攻擊是電力系統面臨的主要安全威脅之一。電廠工控系統與外界隔離，傳統攻擊手段難以奏效，而電廠作為工業關鍵信息基礎設施，具有很高價值，往往會成為APT組織攻擊的首選對象。APT攻擊利用社會工程學首先進入外網，從外網通過U盤擺渡等方式進入電廠內部網絡，再通過網絡探測、橫向移動等方法對具體目標實施攻擊。工控設備中的漏洞、預置后門及精心構造的工控病毒往往成為APT組織實施攻擊的主要方法。

（3）供應鏈風險

供應鏈風險主要源于電廠工控設備缺乏自主可控，如中大型PLC依然被西門子、羅克韋爾、施耐德等國外廠商控制，導致電廠核心工控設備受制于人。美國對華為芯片的限制反映了核心設備和技術上被卡脖子帶來的巨大風險。電廠供應鏈風險主要表現在兩方面：一方面，國外設備對電廠為黑盒，電廠無法獲取其設計和源碼，導致設備可能存在的漏洞、后門難以被發現；另一方面，對國外設備的過度依賴，容易被國外在設備和技術上“卡脖子”，一旦受到限制將造成短時內無設備可用的問題。

2.2 安全威脅分析

加強網絡安全技能和管理、推動自主可控設備研發可一定程度解決管理漏洞及供應鏈安全問題。然而，自主可控并不等于安全，安全防護仍是電廠工控系統的亟待解決的問題。

傳統邊界防護、被動防護已難以應對當前電廠面臨的安全威脅，通過有限漏洞掃描、防火墻、入侵檢測等非核心業務的漏洞掃描、白名單過濾和旁路監聽等機制僅能一定程度上應對一般網絡攻擊，對于基于0-Day攻擊、APT攻擊等仍難以有效應對。同時，針對發現的安全威脅，如系統漏洞，由于補救措施可能對生產業務產生影響，很難快速、有效地部署應對措施。同時，由于電廠工控系統與實際發電業務直接相關，對工控系統的實時性、穩定性提出很高的要求，通信時延過高或者通信數據丟失可能對發電廠造成難以估計的影響。因此，很難在現有的電廠工控系統上部署復雜的安全防護系統。

3 電廠工控系統主動防護技術

電廠工控系統亟需新的安全防護體系，從被動防御到主動防御是電廠工控系統安全發展趨勢。通過主動防護對安全威脅做到“提前發現、實時監測、及時處理、精確溯源、準確預警”，同時為電廠工控系統提供“安全環境”。為達到以上目標，電廠可綜合攻擊測試技術、態勢感知技術和可信計算技術，建立完善的一體化主動防護體系（如圖3所示）。

圖3 電廠工控系統安全防護技術

攻擊測試技術通過模擬攻擊者攻擊行為測試電廠工控系統中存在的潛在安全問題。由于攻擊測試需要對工控系統展開實際攻擊操作，無法在真實電廠工控系統上實施，因此，構建靈活、逼真的電廠工控系統安全測試平臺成為攻擊測試的基礎。安全測試平臺通過復現電廠工控場景，為攻擊測試提供逼真的仿真環境，支撐工控系統的安全威脅發現、安全防護能力評估和驗證。基于安全測試平臺，可通過漏洞挖掘技術[4-5]發現未知安全漏洞，結合漏洞利用技術[6]探索對基于未知漏洞的攻擊，從而有效發現和評估工控系統中協議、應用、設備可能的安全問題。同時，基于電廠工控網絡拓撲、未知漏洞、已知漏洞信息，基于漏洞間可利用關系可構建攻擊圖[7]，實現針對某一目標的潛在攻擊路徑預測，并基于滲透測試技術驗證攻擊路徑的真實性，從而發現工控網絡中存在的安全問題。

態勢感知[8]對引起網絡態勢發生變化的安全要素進行捕獲、分析，并預測安全發展趨勢和應對措施。威脅誘捕技術通過部署電廠工控系統蜜罐（如Conpot[9]）偽裝真實的電力工控系統吸引攻擊者攻擊，捕獲并分析其攻擊行為。通過威脅誘捕可發現針對電廠工控系統的潛在的網絡攻擊，甚至0-Day漏洞，這些捕獲的信息可用于支撐態勢感知。態勢感知還通過實時監測技術監測電廠工控系統的流量、行為等狀態，利用基于機器學習的異常檢測方法[10]分析發現可能存在攻擊，并對攻擊進行追蹤溯源和反制。同時，態勢感知還可基于歷史數據、安全事件等，結合當前工控系統狀態預測未來安全趨勢，并針對可能安全威脅的做好應對措施。目前，態勢感知平臺已經在電力行業展開實際部署和應用。

可信計算[11]以國產密碼為基礎，通過基于可信芯片的可信根構建信任鏈，從信任根開始，將信任鏈擴展到硬件平臺、操作系統、應用、網絡，最終構建形成整個可信的電廠工控系統。可信計算為電廠工控系統構建可信運行環境，只有受信任的對象才可在該環境下運行，從而保證了即使攻擊者進入電力工控系統，也無法運行惡意代碼、病毒實施攻擊。目前，基于可信計算的電力信息安全免疫系統已開展了規模化的應用。

攻擊測試和態勢感知通過主動方式發現潛在的安全威脅，可信計算則通過主動方式構建安全計算環境，通過三者結合實現對外部安全威脅應對和內生安全能力的提升。

4 結語

本文針對電廠工控系統現有安全防護體系和技術難以有效應對當前多樣、復雜的網絡安全威脅的問題，通過分析當前主要安全威脅和防護能力不足，提出融合攻擊測試、態勢感知和可信計算的主動防護技術，建立完善的外部安全防護機制和內生安全防護能力，從而有效應對當前及未來復雜的電廠工控安全威脅。