0 引言

    隨著工業(yè)4.0的推進，原本相對安全的工業(yè)設備開始暴露在網絡環(huán)境下，使得設備的通信系統(tǒng)的安全面臨新的挑戰(zhàn)，并暴露出很多安全漏洞，特別是以電力行業(yè)為首的能源行業(yè)，成了“重災區(qū)”。本文主要研究了電力監(jiān)控系統(tǒng)的通信安全問題，分析了當前電力監(jiān)控系統(tǒng)安全防護方案及其不足，最后提出了一種基于可信網絡連接結合工控協(xié)議白名單的新方法。

1 電力監(jiān)控系統(tǒng)通信安全問題

    在電力監(jiān)控系統(tǒng)中，目前常用的協(xié)議有IEC-61850系列協(xié)議，包括MMS、GOOSE、SV等，以及IEC60870-5系列協(xié)議，包括IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-104等。IEC-61850系列協(xié)議主要應用在智能變電站，IEC60870-5系列協(xié)議主要應用在配網自動化。

    由于以上工控協(xié)議在設計之初，專注于功能、性能、可靠性的實現(xiàn)，以滿足工業(yè)生產的基本需求，而忽視了對信息安全需求的考慮，導致以上工控協(xié)議普遍存在如表1所示的安全隱患。

2 當前電力監(jiān)控系統(tǒng)安全防護方案

    2014年，國家發(fā)改委發(fā)布《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委2014年第14號令）。

    2015年，國家能源局下發(fā)《關于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》（國能安全〔2015〕36號）。

    發(fā)改委2014年第14號令與國能安全〔2015〕36號文，共同構成了當前電力監(jiān)控系統(tǒng)的安全防護指導方案。

2.1 發(fā)改委14號令與能源局36號文概述

    發(fā)改委14號令可以理解為原電監(jiān)會5號令的“升級”版本。

    2004年原電監(jiān)會發(fā)布第5號令《電力二次系統(tǒng)安全防護規(guī)定》（以下簡稱“5號令”），并隨后陸續(xù)下發(fā)了相關配套文件。5號令的核心是“安全分區(qū)、網絡專用、橫向隔離、縱向認證”十六字方針，其主要內容為：合理劃分安全分區(qū)，擴充完善電力調度專用數(shù)據(jù)網，采取必要的安全防護技術和防護設備，剝離非生產性業(yè)務，實現(xiàn)電力調度數(shù)據(jù)網絡與其他網絡的物理隔離。

    發(fā)改委14號令相比5號令，在技術方面的主要增強體現(xiàn)在：一是針對配電網、分布式電源廣泛使用無線公網進行數(shù)據(jù)通信的實際情況，提出了在生產控制大區(qū)內設置“安全接入區(qū)”的理念，并明確了相關的技術規(guī)定和要求；二是從設備選型及配置、漏洞及風險整改等方面提出了相關的要求，使電力監(jiān)控系統(tǒng)安全防護體系從重點強化“邊界防護”向“縱深防御”發(fā)展。

    能源局36號文則是發(fā)改委14號令的配套文件，將發(fā)改委14號令的要求具體細化，明確給出了對發(fā)電廠、省級以上調度中心、地級調度中心、變電站、配電的電力監(jiān)控系統(tǒng)的安全防護要求。電力監(jiān)控系統(tǒng)安全防護總體架構如圖1所示。

2.2 當前防護方案解決通信安全問題的不足

    發(fā)改委14號令與能源局36號文對電力監(jiān)控系統(tǒng)網絡層的安全防護要求，主要涉及單向安全隔離、縱向加密認證、防火墻、網絡審計、入侵檢測，其中單向安全隔離、縱向加密認證屬于邊界防護措施。本文重點討論電力監(jiān)控系統(tǒng)內部通信安全問題，所以，下面分析防火墻、網絡審計、入侵檢測能否解決前文提到的通信安全問題。

2.2.1 防火墻

    防火墻的核心功能是基于IP地址、端口對網絡會話進行過濾。基于IP地址對訪問者身份進行限制，一定程度上緩解了前文提到的協(xié)議缺乏認證的問題，但是IP地址是容易被偽冒的。另外，防火墻對于協(xié)議缺乏授權、缺乏加密是無能為力的。

2.2.2 網絡審計

    網絡審計設備通常通過旁路部署方式對網絡會話行為進行檢測和記錄。網絡審計設備同樣是基于IP地址記錄訪問對象，所以面臨防火墻同樣的問題，無法解決協(xié)議缺乏認證的問題，同時網絡審計設備對于協(xié)議缺乏加密是無能為力的。網絡審計設備通過對網絡會話行為的記錄，提供了事后審計的能力，能夠對越權操作行為形成一定的威懾，一定程度上緩解協(xié)議缺乏授權的問題。

2.2.3 入侵檢測

    入侵檢測設備通常通過旁路部署方式對網絡攻擊行為進行檢測和報警。入侵檢測設備同樣是基于IP地址確定訪問對象，所以面臨防火墻同樣的問題，無法解決協(xié)議缺乏認證的問題，同時入侵檢測設備對于協(xié)議缺乏加密是無能為力的。目前通常的入侵檢測設備，無法理解電力監(jiān)控系統(tǒng)中的工控協(xié)議，所以無法對工控協(xié)議中的越權行為進行檢測；針對電力監(jiān)控系統(tǒng)開發(fā)的入侵檢測設備，能夠對越權操作行為進行實時監(jiān)測與報警，能夠一定程度上緩解協(xié)議缺乏授權的問題。

    綜上所述，當前規(guī)范中的方案和技術，未能解決好前文提到的通信安全問題。

3 可信網絡連接結合工控協(xié)議白名單解決方案

    當前電力監(jiān)控系統(tǒng)通信安全問題，其根源在于工控協(xié)議設計缺乏信息安全考慮，但這是短期無法改變的。本文嘗試提出一種基于可信網絡連接結合工控協(xié)議白名單的新方法，來解決前述問題。

    可信網絡連接(Trusted Network Connection，TNC)是通過對信任鏈的建立，將可信計算平臺的可信性延伸到網絡環(huán)境來實現(xiàn)整個網絡可信?？尚啪W絡連接的核心思想是：通過對請求連接的終端平臺的可信性進行驗證，根據(jù)其可信性對終端的接入進行控制，來確保網絡連接環(huán)境的可信。

3.1 可信網絡連接在電力監(jiān)控系統(tǒng)的應用

    下面以IEC60870-5-104為例進行說明，其報文格式如圖2。

    啟動字符68H定義了數(shù)據(jù)流中的起點，ASDU的長度為ASDU的字節(jié)數(shù)加4個控制字節(jié)，根據(jù)4個控制字節(jié)的取值，可分為三類報文，即：I格式幀（信息傳輸功能報文）、S格式幀（監(jiān)視功能報文）、U格式幀（未編號的控制功能報文）。幀格式如圖3所示。

    圖4所示的報文表示控制站發(fā)送遙控報文。

    如果把報文的06字段的值改成08就表示取消遙控。如果按照當前的防護方案，黑客利用IEC60870-5-104協(xié)議缺乏認證的漏洞，將便攜計算機接入電力監(jiān)控系統(tǒng)網絡后可以直接對控制器發(fā)起攻擊，把原本控制站發(fā)送的遙控指令取消。

    將可信網絡連接技術應用于電力監(jiān)控系統(tǒng)，需要進行如下改造：

    (1)將電力監(jiān)控系統(tǒng)中的設備，都改造為可信計算平臺；

    (2)引入可信證明服務器，對接入電力監(jiān)控系統(tǒng)網絡的設備進行驗證，只有驗證為可信的設備才允許接入網絡。具體實施時，可以采用802.1x技術實現(xiàn)。

    因為可信計算技術比較成熟，以上技術實現(xiàn)不展開敘述。

    采用了可信網絡連接技術后，非法設備將無法接入電力監(jiān)控系統(tǒng)網絡，或者說電力監(jiān)控系統(tǒng)中通信各方都是合法設備，整個電力監(jiān)控系統(tǒng)處于一個可信任的網絡環(huán)境中。所以，可信網絡連接技術能夠較好解決工控協(xié)議缺乏認證的問題。對于工控協(xié)議缺乏加密的問題，雖然仍然存在，但是由于網絡中的對象都是可信任的，問題得到部分緩解。對于工控協(xié)議缺乏授權的問題，同樣由于網絡中的對象都是可信任的，問題得到部分緩解，但是對于管理人員誤操作或者內部人攻擊問題是無效的。所以，下面結合工控協(xié)議白名單技術來解決前述問題。

3.2 工控協(xié)議白名單在電力監(jiān)控系統(tǒng)的應用

3.2.1 工控協(xié)議白名單的構造

    工控協(xié)議白名單是以工控協(xié)議的深度解析為基礎，通過對工控協(xié)議報文的應用層進行深度解析，獲取電力監(jiān)控操作的功能碼、寄存器、值域等關鍵字段，結合時間、IP地址、端口等信息，建立電力監(jiān)控操作的正常行為模型。這個模型包含了報文中所有需要過濾的關鍵字段，通過對所有關鍵字段進行編譯（編譯的目的是加快關鍵字段匹配的速度）后形成的一個列表，這個列表被稱作工控協(xié)議白名單。

    工控協(xié)議白名單的產生方式分為自學習和手動兩種：自學習方式是通過捕獲網絡上的工控協(xié)議報文后進行深度解析并自動生成工控協(xié)議白名單；手動方式是通過手動添加規(guī)則的方式來生成工控協(xié)議白名單。

3.2.2 工控協(xié)議白名單的匹配

    白名單的匹配過程是通過捕獲工控協(xié)議報文，提取關鍵字段后按照生成白名單的編譯方式進行編譯后去和已知的白名單庫進行匹配。如果命中，證明是合法操作；否則，就可能是管理人員誤操作或者內部人攻擊。

4 驗證測試

4.1 測試環(huán)境

    實驗室仿真環(huán)境及組網如圖5所示。仿真環(huán)境中的設備情況如表2所示。

4.2 測試結果

4.2.1 不啟用可信網絡連接和工控協(xié)議白名單防護

    工業(yè)交換機配置為不啟用802.1x，工業(yè)防火墻配置為全部允許規(guī)則。

    攻擊方式1：從攻擊電腦，直接對PLC發(fā)起攻擊

    攻擊步驟：

    (1)將攻擊電腦接入工業(yè)交換機，進行網絡掃描，發(fā)現(xiàn)PLC的IP地址及其開放的端口TCP 102；

    (2)執(zhí)行CVE-2016-3949漏洞攻擊腳本，對PLC的TCP 102端口進行攻擊；

    (3)PLC進入故障模式，只有冷啟動可恢復系統(tǒng)。

    攻擊方式2：從客戶機A，模擬發(fā)起內部人攻擊

    攻擊步驟：

    (1)從客戶機A上，通過WINCC軟件向PLC下發(fā)STOP指令；

    (2)PLC進入停機狀態(tài)，只有冷啟動可恢復系統(tǒng)。

4.2.2 啟用可信網絡連接和工控協(xié)議白名單防護

    工業(yè)交換機配置為啟用802.1x，工業(yè)防火墻配置為啟用工控協(xié)議白名單防護。

    攻擊方式1：從攻擊電腦，直接對PLC發(fā)起攻擊

    攻擊步驟：

    (1)將攻擊電腦接入工業(yè)交換機，工業(yè)交換機要求攻擊電腦進行身份驗證；

    (2)攻擊電腦由于沒有合法身份，無法驗證通過，無法接入網絡；

    (3)攻擊電腦無法進行網絡掃描，執(zhí)行CVE-2016-3949漏洞攻擊腳本，PLC不受影響，工作正常。

    攻擊方式2：從客戶機A，模擬發(fā)起內部人攻擊

    攻擊步驟：

    (1)從客戶機A上，通過WINCC軟件向PLC下發(fā)STOP指令；

    (2)S7 STOP指令在到達工業(yè)防火墻時被攔截，PLC不受影響，工作正常，并在統(tǒng)一管理平臺上產生報警。

5 結束語

    本文介紹了當前電力監(jiān)控系統(tǒng)通信安全存在的問題，分析了當前技術方案的不足，最后嘗試提出一種基于可信網絡連接結合工控協(xié)議白名單的技術方案，能夠較好地解決當前電力監(jiān)控系統(tǒng)的通信安全問題。工業(yè)4.0時代，網絡已經在電力行業(yè)中被廣泛使用，電力監(jiān)控系統(tǒng)在設計之初就存在的問題隨之暴露出來，烏克蘭的停電事故折射出目前電力監(jiān)控系統(tǒng)的脆弱性，解決電力控制系統(tǒng)中的通信安全問題刻不容緩。

參考文獻

[1] 國家電力監(jiān)管委員會．電力二次系統(tǒng)安全防護規(guī)定(電監(jiān)會5號令)[S]．2004．

[2] 國家電力監(jiān)管委員會．關于印發(fā)電力二次系統(tǒng)安全防護總體方案等安全防護方案的通知(電監(jiān)安全[2006]34號文)[S]．2006.

[3] 李戰(zhàn)寶，張文貴，潘卓．美國確保工業(yè)控制系統(tǒng)安全的做法及對我們的啟示[J]．信息網絡安全，2012，51(8)：51-53．

[4] 王平，靳智超，王浩．EPA工業(yè)控制網絡安全測試系統(tǒng)設計與實現(xiàn)[J]．計算機測量控制，2009，17(11)：53-55．

[5] GB/T 20984—2007.信息安全技術信息安全風險評估規(guī)范[S].2007.

[6] 陳曉剛，孫可，曹一家.基于復雜網絡理論的大電網結構脆弱性分析[J].電工技術學報，2007，22(10)：138-144.

[7] 楊華飛，李棟華，程明.電力大數(shù)據(jù)關鍵技術及建設思路的分析和研究[J].電力信息與通信技術，2015，13(1)：7-10.

[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.

[9] 周亮.組態(tài)化智能變電站信息系統(tǒng)中若干問題研究[D].合肥：合肥工業(yè)大學，2011.

[10] 何群峰.電能表現(xiàn)場校驗智能分析系統(tǒng)[D].杭州：浙江大學，2010.

[11] 鐘粱高.基于可信計算的工業(yè)控制系統(tǒng)信息安全解決方案研究[D].大連：大連理工大學，2015.

作者信息:

胡朝輝，王方立

(廣東電網有限責任公司電力科學研究院，廣東 廣州510080)