智能变电站电力监控系统工控安全解决方案

一.安全问题与隐患

       目前，国内外智能变电站系统基本都采用了IEC61850规约统一建模，在IEC61850规约中，将智能变电站系统从工作站到变电站依次划分为站控层、间隔层、过程层三个层面。其中，站控层采用 TCP/IP的MMS协议实现对间隔层主要是实现了信息数字化统一建模和管控。间隔层、过程层采用 GOOSE、SV规约，在以太网上直接通信。过程层（设备层）基于IEC61850标准的变电站普遍采用交换以太网技术，主要是电子互感器及合并单元，配置智能化一次设备，自动完成信息采集、测量、控制、保护、计量、检测等功能，也是智能变电站区别于普通变电站的关键。目前，智能变电站主要存在以下问题与隐患：

1、安全问题：

       1)安全I区与II区之间部署的传统防火墙不能有效防护I区与II区的逻辑隔离问题；

       2)变电站使用的传输协议主要是IEC61850家族，包括MMS、GOOSE、SV等协议。这些协议缺少鉴别控制指令是否来自合法用户的机制，服务请求向任意访问者开放，健壮性差，难以抵抗恶意报文攻击等问题；

       3)变电站全线主机、交换机网络访问接入控制缺乏技术手段与管理措施。外来网络设备接入站内操作没有进行安全检查，容易将病毒、木马等恶意代码引入站内系统；

       4)变电站运维现场系统运维无序，缺乏操作监护。对于接入各层网络进行运维调试操作的设备尚没有规范的管控手段，对运维人员的操作过程没有记录、审计，不能发现越权访问、异常操作等行为；

       5)变电站在各层缺少流量监测审计措施，对异常流量不能监测，无法识别工控协议MMS、GOOSE、SV等协议以及深度解析，无法监测到利用这些协议漏洞进行攻击的病毒、木马等恶意攻击程序以及误操作、违规操作等篡改数据的攻击；

       6)工业主机问题，工业系统在设计之初更多的考虑生产的可行性，在安装了应用系统后，很少对底层操作系统进行安全的配置，包括未开启审核策略、密码策略、访问控制限定等。此外，为保证控制系统的运行稳定性，通常不会对操作系统进行补丁升级，甚至有些早期购买的控制系统已过保。除此之外，为了保证工控应用软件的可用性，许多工业系统操作站（尤以国外系统为主）不允许安装杀毒软件。即使安装了杀毒软件，病毒库的更新在工业控制环境下也难以实现。同时，随意使用U盘、移动硬盘、手机等移动存储介质现象，有可能将传染病毒、木马等威胁因素带入生产系统。加上防病毒软件的安装不全面或者即使安装后也不及时更新防恶意代码软件版本和恶意代码库，出现问题后无法及时准确定位产生问题的原因、影响范围及追究责任。

2、安全隐患：

       1)截获。非法获取变电站与其他系统之间传输的信息或者非法获取变电站网络中存储的信息；

       2)中断。使变电站内部或与其他系统之间的通信中断，使调度主站无法了解变电站的运行工况，主站的控制命令也无法正确执行；

       3)篡改。更改变电站与其他系统之间传输的信息或者变电站内遥控命令、修改定值命令等，使调度主站获得错误的运行工况，或造成变电站内事故；

       4)恶意程序。包括计算机蠕虫、木马、逻辑炸弹等计算机病毒，严重影响变电站系统运行的正确性、实时性和可靠性，并可能使系统瘫痪。

       5)非法授权。非法用户得到授权后可以直接接入和访问国家电力调度中心，对国家造成威胁。

二、.解决方案

1、设计依据

       能源局36号文附件1《电力监控系统安全防护总体方案》和附件5《变电站电力监控系统安全防护方案》；

     《电力行业信息系统安全等级保护基本要求》（征求意见稿）；

       能源局317号《电力行业网络与信息安全管理办法》；

       能源局318号《电力行业信息安全等级保护管理办法》；

     《信息安全技术网络安全等级保护基本要求》（GB/T 22239—2019）。

2、安全架构设计

       依据36号文《电力监控系统安全防护总体方案》的总体框架和基本原则以及附件5《变电站监控系统安全防护方案》、《信息安全技术 网络安全等级保护基本要求》的有关要求，进行了如下安全架构设计。

3、风险评估

       通过风险评估服务（借助脆弱性扫描系统）对变电站电力监控系统所涉及的资产（系统、硬件、软件、网络、漏洞以及安全配置）进行识别、梳理、分析、记录，及时了解网络的安全配置、安全漏洞，客观评估网络风险等级，为接下来的安全防护工作提供必要的依据。

       同时，网络运营者定期对全网的操作系统、数据库、网络设备、工控系统等进行全面漏洞评估和安全基线检查，及时了解网络的薄弱环节，并有针对性进行预防与加固。

4、边界防护设计

       在实时控制I区与非实时控制II区，部署工业防火墙或者将传统防火墙替换成工业防护墙，实现对I区与II区之间的逻辑隔离。

解决问题：

       基于IP、端口以及工业协议（如IEC-104、MMS、GOOSE等）和工业黑名单规则库的访问控制策略，解决不同区之间的逻辑隔离与违规访问问题；

       基于白名单自学习功能，形成白名单基线安全模型，解决不同区之间的误操作、违规操作以及病毒、木马等恶意代码攻击问题；

       基于工控协议识别与深度解析功能，解决针对利用工控协议脆弱性进行攻击的问题；

       基于网络攻击库，针对网络DDOS（如ICMP-FLOOD、UDP-FLOOD）的攻击进行安全防护。

5、终端接入管控设计

       在实时控制区与非控制区分别部署1台网络接入控制设备，实现对终端接入管控。

解决问题：

       利用网络准入技术实现对外来设备接入内部网络进行管控，解决因外来设备的违规接入导致的IP冲突、病毒木马入侵等问题，提升管理水平。

6、监测审计设计

       在实时控制区和非实时控制区部署工控网络监测设计设备，通过对交换机进行镜像设置，工控网络审计设备旁路被动式采集全流量，对安全I区和II区的工控流量进行分析，识别出工控协议（如MMS、GOOSE、SV等）以及深度解析这些协议（如解析功能码、寄存器地址、寄存器地址范围、寄存器的指令读写控制、参数阈值等内容）。利用机器自学习人工智能技术，对工控流量中的合法行为进行学习，形成白名单安全基线模型，实时发现匿藏在工控流量中的威胁，如病毒、木马、恶意攻击以及违规操作、误操作等行为，记录、审计，为事后追溯、定位提供有力的证据，并帮助维护人员快速定位事故点，缩短系统恢复时间。

解决问题：

       变电站在各层缺少流量监测审计措施，对异常流量不能监测，无法识别工控协议MMS、GOOSE、SV等协议以及深度解析，无法监测到利用这些协议漏洞进行攻击的病毒、木马等恶意攻击程序以及误操作、违规操作等篡改数据的攻击问题。

7、工业主机防护设计

       在变电站全线的工业主机（包括监控主机、五防站、故障滤波等）部署工控主机防护系统，实现对工业主机的恶意代码防护。

解决问题：

       利用机器自学习功能，对工业主机的服务、进程、端口进行学习形成白名单基线模型，对不在基线模型中的病毒、木马等恶意攻击代码进行阻断、运行，同时对USB口进行管控，实现对工业主机的安全防护。解决多数工业主机操作系统为WindowsXP、2003、2008等系统，这些系统进行打补丁不现实，安全配置弱，部署杀毒软件与工业应用软件兼容性较差、冲突、病毒库不更新等问题。

8、安全运维审计设计

       在非控制区部署堡垒机1台，进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计，违规操作、非法访问等行为的有效监督，为事后追溯提供依据。

解决问题：

       变电站运维现场系统运维无序，缺乏操作监护。对于接入各层网络进行运维调试操作的设备尚没有规范的管控手段，对运维人员的操作过程没有记录、审计，不能发现越权访问、异常操作等行为的问题。

9、统一安全管理设计

       在安全II区部署1套工控安全管理平台，主要是实时监测变电站电力监控系统的计算机网络及安全设备运行状态，及时发现非法外联、外部入侵等安全事件并告警，收集变电站原有网络设备、安全设备等的日志信息。通过监测变电站电力监控系统网络的通信流量与安全事件，从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等，为变电站电力监控系统网络当前的状态以及未来可能受到的攻击做出态势评估与预测，为专业人员提供可靠、有效的决策依据，最大程度上降低变电站电力监控系统可能遭受的风险和损失，提升变电站网络安全防护整体水平。

三. 客户收益

      全面提升变电站网络安全防护管理的合规性，符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求；

      全面提升变电站生产网络的整体安全性，确保设备、系统、网络的可靠性、稳定性和安全性，为保障民生保驾护航；

      全面改进变电站业务人员的安全水平和安全意识，提升安全管理水平、工作效率和管理效率。