0 引言

    隨著工業(yè)4.0的推進(jìn)，原本相對(duì)安全的工業(yè)設(shè)備開(kāi)始暴露在網(wǎng)絡(luò)環(huán)境下，使得設(shè)備的通信系統(tǒng)的安全面臨新的挑戰(zhàn)，并暴露出很多安全漏洞，特別是以電力行業(yè)為首的能源行業(yè)，成了“重災(zāi)區(qū)”。本文主要研究了電力監(jiān)控系統(tǒng)的通信安全問(wèn)題，分析了當(dāng)前電力監(jiān)控系統(tǒng)安全防護(hù)方案及其不足，最后提出了一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的新方法。

1 電力監(jiān)控系統(tǒng)通信安全問(wèn)題

    在電力監(jiān)控系統(tǒng)中，目前常用的協(xié)議有IEC-61850系列協(xié)議，包括MMS、GOOSE、SV等，以及IEC60870-5系列協(xié)議，包括IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-104等。IEC-61850系列協(xié)議主要應(yīng)用在智能變電站，IEC60870-5系列協(xié)議主要應(yīng)用在配網(wǎng)自動(dòng)化。

    由于以上工控協(xié)議在設(shè)計(jì)之初，專注于功能、性能、可靠性的實(shí)現(xiàn)，以滿足工業(yè)生產(chǎn)的基本需求，而忽視了對(duì)信息安全需求的考慮，導(dǎo)致以上工控協(xié)議普遍存在如表1所示的安全隱患。

2 當(dāng)前電力監(jiān)控系統(tǒng)安全防護(hù)方案

    2014年，國(guó)家發(fā)改委發(fā)布《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（發(fā)改委2014年第14號(hào)令）。

    2015年，國(guó)家能源局下發(fā)《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》（國(guó)能安全〔2015〕36號(hào)）。

    發(fā)改委2014年第14號(hào)令與國(guó)能安全〔2015〕36號(hào)文，共同構(gòu)成了當(dāng)前電力監(jiān)控系統(tǒng)的安全防護(hù)指導(dǎo)方案。

2.1 發(fā)改委14號(hào)令與能源局36號(hào)文概述

    發(fā)改委14號(hào)令可以理解為原電監(jiān)會(huì)5號(hào)令的“升級(jí)”版本。

    2004年原電監(jiān)會(huì)發(fā)布第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》（以下簡(jiǎn)稱“5號(hào)令”），并隨后陸續(xù)下發(fā)了相關(guān)配套文件。5號(hào)令的核心是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”十六字方針，其主要內(nèi)容為：合理劃分安全分區(qū)，擴(kuò)充完善電力調(diào)度專用數(shù)據(jù)網(wǎng)，采取必要的安全防護(hù)技術(shù)和防護(hù)設(shè)備，剝離非生產(chǎn)性業(yè)務(wù)，實(shí)現(xiàn)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的物理隔離。

    發(fā)改委14號(hào)令相比5號(hào)令，在技術(shù)方面的主要增強(qiáng)體現(xiàn)在：一是針對(duì)配電網(wǎng)、分布式電源廣泛使用無(wú)線公網(wǎng)進(jìn)行數(shù)據(jù)通信的實(shí)際情況，提出了在生產(chǎn)控制大區(qū)內(nèi)設(shè)置“安全接入?yún)^(qū)”的理念，并明確了相關(guān)的技術(shù)規(guī)定和要求；二是從設(shè)備選型及配置、漏洞及風(fēng)險(xiǎn)整改等方面提出了相關(guān)的要求，使電力監(jiān)控系統(tǒng)安全防護(hù)體系從重點(diǎn)強(qiáng)化“邊界防護(hù)”向“縱深防御”發(fā)展。

    能源局36號(hào)文則是發(fā)改委14號(hào)令的配套文件，將發(fā)改委14號(hào)令的要求具體細(xì)化，明確給出了對(duì)發(fā)電廠、省級(jí)以上調(diào)度中心、地級(jí)調(diào)度中心、變電站、配電的電力監(jiān)控系統(tǒng)的安全防護(hù)要求。電力監(jiān)控系統(tǒng)安全防護(hù)總體架構(gòu)如圖1所示。

2.2 當(dāng)前防護(hù)方案解決通信安全問(wèn)題的不足

    發(fā)改委14號(hào)令與能源局36號(hào)文對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)層的安全防護(hù)要求，主要涉及單向安全隔離、縱向加密認(rèn)證、防火墻、網(wǎng)絡(luò)審計(jì)、入侵檢測(cè)，其中單向安全隔離、縱向加密認(rèn)證屬于邊界防護(hù)措施。本文重點(diǎn)討論電力監(jiān)控系統(tǒng)內(nèi)部通信安全問(wèn)題，所以，下面分析防火墻、網(wǎng)絡(luò)審計(jì)、入侵檢測(cè)能否解決前文提到的通信安全問(wèn)題。

2.2.1 防火墻

    防火墻的核心功能是基于IP地址、端口對(duì)網(wǎng)絡(luò)會(huì)話進(jìn)行過(guò)濾?；贗P地址對(duì)訪問(wèn)者身份進(jìn)行限制，一定程度上緩解了前文提到的協(xié)議缺乏認(rèn)證的問(wèn)題，但是IP地址是容易被偽冒的。另外，防火墻對(duì)于協(xié)議缺乏授權(quán)、缺乏加密是無(wú)能為力的。

2.2.2 網(wǎng)絡(luò)審計(jì)

    網(wǎng)絡(luò)審計(jì)設(shè)備通常通過(guò)旁路部署方式對(duì)網(wǎng)絡(luò)會(huì)話行為進(jìn)行檢測(cè)和記錄。網(wǎng)絡(luò)審計(jì)設(shè)備同樣是基于IP地址記錄訪問(wèn)對(duì)象，所以面臨防火墻同樣的問(wèn)題，無(wú)法解決協(xié)議缺乏認(rèn)證的問(wèn)題，同時(shí)網(wǎng)絡(luò)審計(jì)設(shè)備對(duì)于協(xié)議缺乏加密是無(wú)能為力的。網(wǎng)絡(luò)審計(jì)設(shè)備通過(guò)對(duì)網(wǎng)絡(luò)會(huì)話行為的記錄，提供了事后審計(jì)的能力，能夠?qū)υ綑?quán)操作行為形成一定的威懾，一定程度上緩解協(xié)議缺乏授權(quán)的問(wèn)題。

2.2.3 入侵檢測(cè)

    入侵檢測(cè)設(shè)備通常通過(guò)旁路部署方式對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和報(bào)警。入侵檢測(cè)設(shè)備同樣是基于IP地址確定訪問(wèn)對(duì)象，所以面臨防火墻同樣的問(wèn)題，無(wú)法解決協(xié)議缺乏認(rèn)證的問(wèn)題，同時(shí)入侵檢測(cè)設(shè)備對(duì)于協(xié)議缺乏加密是無(wú)能為力的。目前通常的入侵檢測(cè)設(shè)備，無(wú)法理解電力監(jiān)控系統(tǒng)中的工控協(xié)議，所以無(wú)法對(duì)工控協(xié)議中的越權(quán)行為進(jìn)行檢測(cè)；針對(duì)電力監(jiān)控系統(tǒng)開(kāi)發(fā)的入侵檢測(cè)設(shè)備，能夠?qū)υ綑?quán)操作行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)與報(bào)警，能夠一定程度上緩解協(xié)議缺乏授權(quán)的問(wèn)題。

    綜上所述，當(dāng)前規(guī)范中的方案和技術(shù)，未能解決好前文提到的通信安全問(wèn)題。

3 可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單解決方案

    當(dāng)前電力監(jiān)控系統(tǒng)通信安全問(wèn)題，其根源在于工控協(xié)議設(shè)計(jì)缺乏信息安全考慮，但這是短期無(wú)法改變的。本文嘗試提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的新方法，來(lái)解決前述問(wèn)題。

    可信網(wǎng)絡(luò)連接(Trusted Network Connection，TNC)是通過(guò)對(duì)信任鏈的建立，將可信計(jì)算平臺(tái)的可信性延伸到網(wǎng)絡(luò)環(huán)境來(lái)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)可信?？尚啪W(wǎng)絡(luò)連接的核心思想是：通過(guò)對(duì)請(qǐng)求連接的終端平臺(tái)的可信性進(jìn)行驗(yàn)證，根據(jù)其可信性對(duì)終端的接入進(jìn)行控制，來(lái)確保網(wǎng)絡(luò)連接環(huán)境的可信。

3.1 可信網(wǎng)絡(luò)連接在電力監(jiān)控系統(tǒng)的應(yīng)用

    下面以IEC60870-5-104為例進(jìn)行說(shuō)明，其報(bào)文格式如圖2。

    啟動(dòng)字符68H定義了數(shù)據(jù)流中的起點(diǎn)，ASDU的長(zhǎng)度為ASDU的字節(jié)數(shù)加4個(gè)控制字節(jié)，根據(jù)4個(gè)控制字節(jié)的取值，可分為三類報(bào)文，即：I格式幀（信息傳輸功能報(bào)文）、S格式幀（監(jiān)視功能報(bào)文）、U格式幀（未編號(hào)的控制功能報(bào)文）。幀格式如圖3所示。

    圖4所示的報(bào)文表示控制站發(fā)送遙控報(bào)文。

    如果把報(bào)文的06字段的值改成08就表示取消遙控。如果按照當(dāng)前的防護(hù)方案，黑客利用IEC60870-5-104協(xié)議缺乏認(rèn)證的漏洞，將便攜計(jì)算機(jī)接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)后可以直接對(duì)控制器發(fā)起攻擊，把原本控制站發(fā)送的遙控指令取消。

    將可信網(wǎng)絡(luò)連接技術(shù)應(yīng)用于電力監(jiān)控系統(tǒng)，需要進(jìn)行如下改造：

    (1)將電力監(jiān)控系統(tǒng)中的設(shè)備，都改造為可信計(jì)算平臺(tái)；

    (2)引入可信證明服務(wù)器，對(duì)接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的設(shè)備進(jìn)行驗(yàn)證，只有驗(yàn)證為可信的設(shè)備才允許接入網(wǎng)絡(luò)。具體實(shí)施時(shí)，可以采用802.1x技術(shù)實(shí)現(xiàn)。

    因?yàn)榭尚庞?jì)算技術(shù)比較成熟，以上技術(shù)實(shí)現(xiàn)不展開(kāi)敘述。

    采用了可信網(wǎng)絡(luò)連接技術(shù)后，非法設(shè)備將無(wú)法接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)，或者說(shuō)電力監(jiān)控系統(tǒng)中通信各方都是合法設(shè)備，整個(gè)電力監(jiān)控系統(tǒng)處于一個(gè)可信任的網(wǎng)絡(luò)環(huán)境中。所以，可信網(wǎng)絡(luò)連接技術(shù)能夠較好解決工控協(xié)議缺乏認(rèn)證的問(wèn)題。對(duì)于工控協(xié)議缺乏加密的問(wèn)題，雖然仍然存在，但是由于網(wǎng)絡(luò)中的對(duì)象都是可信任的，問(wèn)題得到部分緩解。對(duì)于工控協(xié)議缺乏授權(quán)的問(wèn)題，同樣由于網(wǎng)絡(luò)中的對(duì)象都是可信任的，問(wèn)題得到部分緩解，但是對(duì)于管理人員誤操作或者內(nèi)部人攻擊問(wèn)題是無(wú)效的。所以，下面結(jié)合工控協(xié)議白名單技術(shù)來(lái)解決前述問(wèn)題。

3.2 工控協(xié)議白名單在電力監(jiān)控系統(tǒng)的應(yīng)用

3.2.1 工控協(xié)議白名單的構(gòu)造

    工控協(xié)議白名單是以工控協(xié)議的深度解析為基礎(chǔ)，通過(guò)對(duì)工控協(xié)議報(bào)文的應(yīng)用層進(jìn)行深度解析，獲取電力監(jiān)控操作的功能碼、寄存器、值域等關(guān)鍵字段，結(jié)合時(shí)間、IP地址、端口等信息，建立電力監(jiān)控操作的正常行為模型。這個(gè)模型包含了報(bào)文中所有需要過(guò)濾的關(guān)鍵字段，通過(guò)對(duì)所有關(guān)鍵字段進(jìn)行編譯（編譯的目的是加快關(guān)鍵字段匹配的速度）后形成的一個(gè)列表，這個(gè)列表被稱作工控協(xié)議白名單。

    工控協(xié)議白名單的產(chǎn)生方式分為自學(xué)習(xí)和手動(dòng)兩種：自學(xué)習(xí)方式是通過(guò)捕獲網(wǎng)絡(luò)上的工控協(xié)議報(bào)文后進(jìn)行深度解析并自動(dòng)生成工控協(xié)議白名單；手動(dòng)方式是通過(guò)手動(dòng)添加規(guī)則的方式來(lái)生成工控協(xié)議白名單。

3.2.2 工控協(xié)議白名單的匹配

    白名單的匹配過(guò)程是通過(guò)捕獲工控協(xié)議報(bào)文，提取關(guān)鍵字段后按照生成白名單的編譯方式進(jìn)行編譯后去和已知的白名單庫(kù)進(jìn)行匹配。如果命中，證明是合法操作；否則，就可能是管理人員誤操作或者內(nèi)部人攻擊。

4 驗(yàn)證測(cè)試

4.1 測(cè)試環(huán)境

    實(shí)驗(yàn)室仿真環(huán)境及組網(wǎng)如圖5所示。仿真環(huán)境中的設(shè)備情況如表2所示。

4.2 測(cè)試結(jié)果

4.2.1 不啟用可信網(wǎng)絡(luò)連接和工控協(xié)議白名單防護(hù)

    工業(yè)交換機(jī)配置為不啟用802.1x，工業(yè)防火墻配置為全部允許規(guī)則。

    攻擊方式1：從攻擊電腦，直接對(duì)PLC發(fā)起攻擊

    攻擊步驟：

    (1)將攻擊電腦接入工業(yè)交換機(jī)，進(jìn)行網(wǎng)絡(luò)掃描，發(fā)現(xiàn)PLC的IP地址及其開(kāi)放的端口TCP 102；

    (2)執(zhí)行CVE-2016-3949漏洞攻擊腳本，對(duì)PLC的TCP 102端口進(jìn)行攻擊；

    (3)PLC進(jìn)入故障模式，只有冷啟動(dòng)可恢復(fù)系統(tǒng)。

    攻擊方式2：從客戶機(jī)A，模擬發(fā)起內(nèi)部人攻擊

    攻擊步驟：

    (1)從客戶機(jī)A上，通過(guò)WINCC軟件向PLC下發(fā)STOP指令；

    (2)PLC進(jìn)入停機(jī)狀態(tài)，只有冷啟動(dòng)可恢復(fù)系統(tǒng)。

4.2.2 啟用可信網(wǎng)絡(luò)連接和工控協(xié)議白名單防護(hù)

    工業(yè)交換機(jī)配置為啟用802.1x，工業(yè)防火墻配置為啟用工控協(xié)議白名單防護(hù)。

    攻擊方式1：從攻擊電腦，直接對(duì)PLC發(fā)起攻擊

    攻擊步驟：

    (1)將攻擊電腦接入工業(yè)交換機(jī)，工業(yè)交換機(jī)要求攻擊電腦進(jìn)行身份驗(yàn)證；

    (2)攻擊電腦由于沒(méi)有合法身份，無(wú)法驗(yàn)證通過(guò)，無(wú)法接入網(wǎng)絡(luò)；

    (3)攻擊電腦無(wú)法進(jìn)行網(wǎng)絡(luò)掃描，執(zhí)行CVE-2016-3949漏洞攻擊腳本，PLC不受影響，工作正常。

    攻擊方式2：從客戶機(jī)A，模擬發(fā)起內(nèi)部人攻擊

    攻擊步驟：

    (1)從客戶機(jī)A上，通過(guò)WINCC軟件向PLC下發(fā)STOP指令；

    (2)S7 STOP指令在到達(dá)工業(yè)防火墻時(shí)被攔截，PLC不受影響，工作正常，并在統(tǒng)一管理平臺(tái)上產(chǎn)生報(bào)警。

5 結(jié)束語(yǔ)

    本文介紹了當(dāng)前電力監(jiān)控系統(tǒng)通信安全存在的問(wèn)題，分析了當(dāng)前技術(shù)方案的不足，最后嘗試提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的技術(shù)方案，能夠較好地解決當(dāng)前電力監(jiān)控系統(tǒng)的通信安全問(wèn)題。工業(yè)4.0時(shí)代，網(wǎng)絡(luò)已經(jīng)在電力行業(yè)中被廣泛使用，電力監(jiān)控系統(tǒng)在設(shè)計(jì)之初就存在的問(wèn)題隨之暴露出來(lái)，烏克蘭的停電事故折射出目前電力監(jiān)控系統(tǒng)的脆弱性，解決電力控制系統(tǒng)中的通信安全問(wèn)題刻不容緩。

參考文獻(xiàn)

[1] 國(guó)家電力監(jiān)管委員會(huì)．電力二次系統(tǒng)安全防護(hù)規(guī)定(電監(jiān)會(huì)5號(hào)令)[S]．2004．

[2] 國(guó)家電力監(jiān)管委員會(huì)．關(guān)于印發(fā)電力二次系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案的通知(電監(jiān)安全[2006]34號(hào)文)[S]．2006.

[3] 李戰(zhàn)寶，張文貴，潘卓．美國(guó)確保工業(yè)控制系統(tǒng)安全的做法及對(duì)我們的啟示[J]．信息網(wǎng)絡(luò)安全，2012，51(8)：51-53．

[4] 王平，靳智超，王浩．EPA工業(yè)控制網(wǎng)絡(luò)安全測(cè)試系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]．計(jì)算機(jī)測(cè)量控制，2009，17(11)：53-55．

[5] GB/T 20984—2007.信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].2007.

[6] 陳曉剛，孫可，曹一家.基于復(fù)雜網(wǎng)絡(luò)理論的大電網(wǎng)結(jié)構(gòu)脆弱性分析[J].電工技術(shù)學(xué)報(bào)，2007，22(10)：138-144.

[7] 楊華飛，李棟華，程明.電力大數(shù)據(jù)關(guān)鍵技術(shù)及建設(shè)思路的分析和研究[J].電力信息與通信技術(shù)，2015，13(1)：7-10.

[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.

[9] 周亮.組態(tài)化智能變電站信息系統(tǒng)中若干問(wèn)題研究[D].合肥：合肥工業(yè)大學(xué)，2011.

[10] 何群峰.電能表現(xiàn)場(chǎng)校驗(yàn)智能分析系統(tǒng)[D].杭州：浙江大學(xué)，2010.

[11] 鐘粱高.基于可信計(jì)算的工業(yè)控制系統(tǒng)信息安全解決方案研究[D].大連：大連理工大學(xué)，2015.

作者信息:

胡朝輝，王方立

(廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院，廣東 廣州510080)