配电站电力监控系统工控安全解决方案

一.背景概述

      随着“互联网+电力”的深度耦合发展，电力生产对现场设备之间的信息互通提出了更高的要求，以工业以太网为代表的组网技术不断得到广泛应用，电力系统建设已不再是系统的简单集成，而是向网络化、智能化方向全面拓展。在两化融合、智能电网大趋势的背景下，电力企业工业控制系统的管理控制一体化、网络化、智能化已是大势所趋。

      因此，配电工业控制系统的网络化、智能化在提高生产效率和管理效率的同时，也为恶意攻击者增加了新的攻击途径，针对电力企业配电监控系统的攻击技术和手段不断发展，各种配电监控系统恶意软件以及安全事件层出不穷，使得电力企业配电监控系统面临越来越多的安全威胁和挑战，包括病毒、木马、蠕虫、黑客以及敌对势力等。

电网配电自动化系统介绍

二、.现状分析

1、 电力协议缺安全机制，易被攻击

      配电监控系统中使用的工业通信协议主要有MODBUS、IEC-101/104、DTL645-1997/2007等协议，这些工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性，对安全性普遍考虑不足：比如缺少足够强度的认证、加密、授权等。尤其是工业控制系统中的无线通信协议，更容易遭受第三者的窃听及欺骗性攻击。

2、 缺少网络完整性管控手段

      配电监控系统在日常生产运营和维护中，为了工作的便捷性，经常私自将笔记本、手机、ipad等设备接入到生产网络中，由于缺少网络准入技术，不能对私自接入的设备进行管控，给生产系统带来了很大的安全隐患。

3、电力监控系统网络无监测手段

      目前，在系统中未部署相应的病毒、木马以及黑客攻击的检测设备，无法及时发现网络中存在的病毒、木马以及黑客攻击等威胁；同时，对误操作、违规操作等内部行为也无法感知，缺乏必要的技术手段，出现安全问题难定位、难追溯。

4、 工业主机中存在安全隐患

      生产环境中操作站多数采用Windows操作系统，上线后基本不会对操作系统进行升级，而操作系统在使用期间不断曝出漏洞，导致操作站和服务器暴露在风险中；还开启一些操作系统远程服务、端口，上线后通常不会屏蔽这些功能，从而使得安全基线配置较为薄弱的操作站系统，特别容易遭受攻击。同时还存在随意使用U盘、移动硬盘、手机等移动存储介质现象，有可能将传染病毒、木马等威胁因素带入生产系统。

5、 缺乏安全运维审计机制

      经调研发现，配电监控系统的日常运营和维护过程中，目前主要通过远程桌面方式进行运维，缺乏完善的运维审计机制，对运维人员的操作过程没有记录、审计，不能发现越权访问、异常操作等行为。一旦发生事故，需要大量时间确定问题，不能够及时有效地解决问题，也没有追溯手段。

三、.设计方案

1、设计目标

      （1）满足合规；通过对工控系统的安全建设，满足《网络安全法》、等保2.0要求、以及能源局36号文等有关国家政策对配电站电力监控系统的安全防护要求。

      （2）防御能力；增加工控网络的安全防护能力，能够有效抵御病毒、木马等恶意代码、恶意网络攻击、员工操作等破坏工控系统安全生产的行为。

      （3）安全运维；实现图形化的工控网络的安全运维管理方式，直观展示工业控制网络的运行状态，提高工控网络对安全威胁的反应能力和应对能力。

      （4）安全改进；发现工控网络潜在的安全风险，通过对安全策略的不断改进和实施，持续提升工控网络的抗攻击能力。

      （5）安全感知；提升配电站对威胁的感知能力，全面提升安全生产管理水平，工作效率和管理效率，降低人力投入成本，提升公司的精益化管理水

2、 设计依据

     国家能源局国能安全[2015]36号《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》以及附件6《配电监控系统安全防护方案》；

     《信息安全技术网络安全等级保护定级指南》（GBT 22240-2020）；

      GB/T 22239-2019 《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）；

     《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）

     《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）；

     《信息安全技术网络安全等级保护实施指南》（GB/T 25058-2019）。

3、 设计思路

      针对以上配电监控系统的信息安全现状，我们提出如下设计思路：

      （1）网络专用；建设信息安全系统时，应独立组网，与工业控制系统网络分离，实现专网专用。

      （2）安全分区；根据工业控制系统业务的重要性、功能等因素划分不同安全区，在各安全区之间采取相应的隔离措施；另外也要从综合成本的角度，提出针对不同工控系统特点的保护强度，在不影响整体安全性的前提下，有效控制安全成本。

      （3）“白名单”基线；应从工控系统设备准入、网络、设备、通讯链路、主机进程、应用程序等方面构建白名单安全基线。

      （4）综合审计；建立多方面综合立体审计体系，包括设备接入审计、网络审计、操作审计及安全运维审计等。

      （5）统一管理；通过安全管理平台实时搜集，大数据关联分析，实时动态发现工业控制系统网络中的风险并预警。有效提高信息安全工作效率，降低人员安全维护成本，提升企业整体安全防护水平。

4、架构设计

基于设计依据和思路，配电监控系统的安全架构设计如下：

      (1)风险评估; 通过风险评估服务对配电自动化系统所涉及的资产（系统、硬件、软件、网络、漏洞以及安全配置）进行识别、梳理、分析、记录，及时了解网络的安全配置、安全漏洞，客观评估网络风险等级，为接下来的安全防护提供必要的依据。同时，网络运营者利用漏扫扫描和基线核查工具定期对全网的操作系统、数据库、网络设备、工控系统等进行全面漏洞评估和安全基线检查，及时了解网络的薄弱环节，并有针对性进行预防与加固。

     (2)边界防护; 在控制大区的I区和II区网络边界之间部署工业防火墙1台，实现对配电站I、II区之间的边界防护与隔离。工业防火墙基于IP、端口以及工业协议（如IEC-104、MMS、GOOSE等）和工业黑名单规则库的访问控制策略，解决不同区之间的逻辑隔离与违规访问问题；基于白名单自学习功能，形成白名单基线安全模型，解决不同区之间的误操作、违规操作以及病毒、木马等恶意代码攻击问题；基于工控协议识别与深度解析功能，解决针对利用工控协议脆弱性进行攻击的问题；基于网络攻击库，针对网络DDOS（如ICMP-FLOOD、UDP-FLOOD）的攻击进行安全防护。

     (3)网络接入; 在安全II区部署1台网络接入管控设备，实现对配电站的终端设备（笔记本、无线AP、交换机等）接入内部网络以及内部设备非法外联进行管控。利用网络准入技术实现对外来设备接入内部网络进行管控，解决因外来设备的违规接入导致的IP冲突、病毒木马入侵等问题，以及内部设备非法外联等行为，提升管理水平。

     (4)监测审计; 在各配电站的I区、II区接入交换机上分别旁路部署1套工控安全监测与审计系统，通过对交换机进行镜像设置，工控安全监测与审计系统进行被动式采集全流量，对站控系统以及紧急停车系统的工控流量进行分析，识别出工控协议（如MODBUS、S7、DNP3、OPC等）以及深度解析这些协议（如解析功能码、寄存器地址、寄存器地址范围、寄存器的指令读写控制、参数阈值等内容）。利用机器自学习人工智能技术，对工控流量中的合法行为进行学习，形成白名单安全基线模型，实时发现匿藏在工控流量中的威胁，如病毒、木马、恶意攻击以及违规操作、误操作等行为，记录、审计，为事后追溯、定位提供有力的证据，并帮助维护人员快速定位事故点，缩短系统恢复时间。

     解决安全I、II区内部工控网络缺少流量监测审计措施，对异常流量不能监测，无法识别工控协议MODBUS、S7、DNP3、OPC等协议以及深度解析，无法监测到利用这些协议漏洞进行攻击的病毒、木马等恶意攻击程序以及误操作、违规操作等篡改数据的攻击问题。

     (5)主机防护; 在配电站监控中心的全线的工业主机（包括操作员站、工程师站、以及SCADA服务器等）部署工控主机防护系统，实现对工业主机的恶意代码防护。

利用机器自学习功能，对工业主机的服务、进程、端口进行学习形成白名单基线模型，对不在基线模型中的病毒、木马等恶意攻击代码进行阻断、运行，同时对USB口进行管控，实现对工业主机的安全防护。解决多数工业主机操作系统为WindowsXP、2003、2008等系统，这些系统进行打补丁不现实，安全配置弱，部署杀毒软件与工业应用软件兼容性较差、冲突、病毒库不更新等问题。

     (6)安全运维; 在配电站的II区部署堡垒机1台，进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员对配电站的设备进行运维时的操作行为审计，违规操作、非法访问等行为有效监督，为事后追溯提供依据。

     解决配电站运维时无监控、审计以及运维效率低等问题。对于接入各层网络进行运维调试操作的设备尚没有规范的管控手段，对运维人员的操作过程没有记录、审计，不能发现越权访问、异常操作等行为的问题。

     (7)统一管理; 在安全II区部署1套工控安全管理平台，主要是实时监测各配电站的工控网络及安全设备运行状态，及时发现非法外联、外部入侵等安全事件并告警，收集变电站原有网络设备、安全设备等的日志信息。通过监测工控系统网络的通信流量与安全事件，从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等，为工控系统网络当前的状态以及未来可能受到的攻击做出态势评估与预测，为专业人员提供可靠、有效的决策依据，最大程度上降低工控系统可能遭受的风险和损失，提升配电站网络安全防护整体水平。

四. 客户收益

      通过风险评估重新定义资产台账，建立工控系统资产，漏洞、威胁清单，理清系统网络拓扑架构，从中发现一些私接AP，HUB、非法外联等问题；

     全面提升调度自动化系统网络安全防护管理的合规性，符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。

     通过安全防护实施，整体提升工控系统安全防护能力，如工业主机恶意代码防范能力，网络通信访问控制能力，接入管控能力；提升整个工控网络实时监测预警能力以及安全运维能力；

     全面改进调度自动化系统业务人员的安全水平和安全意识，提升安全管理水平、工作效率和管理效率。