基于风险分析的火力发电厂工业控制系统安全防护研究

孟 强 ，俞荣栋

（1.浙江省能源集团有限公司，浙江 杭州 310007；2.浙江浙能技术研究院有限公司，浙江 杭州 310012；3.浙能工业信息工程省级重点企业研究院，浙江 杭州310012）

0 引言

工业控制系统是指用于生产、控制、辅助自动化过程的设备、系统、网络及控制器的集合，被广泛应用在电力、石化、汽车等关乎国计民生的关键信息基础设施中。然而，随着信息化和工业化的不断深入融合，信息技术在给工业化进程带来极大推动力的同时，也将信息系统中存在的安全风险带入到工业系统中。根据美国计算机安全应急响应中心的数据统计显示，伊朗“震网”事件之后，针对工业控制系统的网络安全事件不断增多[1，3]。

工业控制系统面对着脆弱的安全状况以及日益严重的攻击威胁。在国内，工业控制系统网络安全管理工作中存在的诸如对工业控制系统安全问题认识程度不够、管理制度不健全、相关标准规范缺失、技术防护措施不到位、安全防护和应急处置能力不高等问题引起了社会各界的高度重视，甚至提升到了国家安全战略的高度。国家主管部门在政策层面已积极部署工业控制系统的安全保障工作[2]。

1 火力发电厂控制系统面临的安全风险

从控制系统基本情况和系统安全防护情况这两个维度对火力发电厂控制系统现状进行分析，当前面临的安全风险主要包括系统架构风险、网络通信安全风险、设备应用安全风险、日常管理安全风险等。

1.1 体系架构安全风险

体系架构的脆弱性直接源自工业控制系统的基本架构。现代工业系统所使用的体系架构，与20世纪80年代和90年代使用的架构相比，在原则上没有太大区别。不幸的是，控制系统从“孤立”环境迁移到一个开放的环境，从串行通信到TCP/IP通信，传统的体系架构开始显示出自己的局限性[3]。作业工程师利用现成的信息和通信技术，试图解决新的安全问题，却没有考虑到在一些特殊的情况下，SCADA（Supervisory Control and Data Acquisition）系统与传统的信息和通信技术的安全性限制不匹配，常见问题如下：

（1）现场网络之间的弱分离。由于现场网络是整个体系结构的内部部分，通常还没有实时强分离，目标明确的入侵者一旦入侵成功，可以很容易到达控制网络中的任何部分。

（2）控制系统的活动组件之间缺乏认证。由于传统的现场网络总是处于封闭的环境中，所以没有必要对网络上连接的不同元素之间集成身份验证机制。然而缺乏身份验证意味着体系架构的漏洞，该漏洞可以很容易被利用，造成各种形式的损害。

1.2 通信协议的安全风险

大部分的工业控制系统协议，例如Modbus、DNP、101协议是在很多年以前设计的，基于串行连接进行网络访问。当以太网连接成为广泛使用的本地网络的物理连接层时，工业控制系统协议可以基于IP协议之上实现。

工业控制系统协议缺乏保密和验证机制，特别缺乏验证一个主站和从站之间发送的消息的完整性技术。此外，工业控制系统协议也不包括任何不可抵赖性和防重放机制。攻击者可以利用工业控制系统的这些安全限制，肆虐工业控制系统，一些可能发生的攻击场景如下：

（1）拒绝服务攻击。如攻击模拟主站、向RTU（Remote Terminal Unit）发送无意义的信息、消耗控制网络的处理器资源和带宽资源。

（2）中间人攻击。缺乏完整性检查的漏洞使攻击者可以访问到生产网络，修改合法消息或制造假消息，并将它们发送到从站。

（3）包重放攻击。重复发送合法的工业SCADA系统消息，并将它们发送到从站设备，从而造成设备损毁、过程关闭等破坏。

（4）欺骗攻击。向控制操作人员发送欺骗信息，导致操作中心不能正确了解生产控制现场的实际工况，诱使其执行错误操作。

1.3 设备应用安全风险

设备应用安全风险分为软件风险和硬件风险两方面。在工业控制系统中的一切行为都是由软件管理的，不太可能保证哪个软件完全没有漏洞。软件脆弱性具有潜在威胁，它们使得攻击者可以完全控制目标系统。由于工业控制系统内软件类型的多样，本文不可能列出工业控制系统所有典型的软件脆弱性。典型的确定影响工业控制系统的漏洞有以下几种：缓冲区溢出、SQL注入、格式化字符串、Web应用程序漏洞。

常见的硬件安全风险描述如下表1所示。

1.4 管理策略安全风险

一个体系架构健壮的系统，在任何情况下，脆弱性很难被操控。管理策略则是用以规避系统中已有安全脆弱性的一项重要措施，然而事与愿违的是在工业系统中与安全防护事务相关的安全策略却非常弱。一般来说现行策略的核心是从传统的“信息和通信技术办公室”复制而来的。可能存在下列管理策略安全风险：

（1）很少或不使用补丁策略。安全补丁很重要，特别是在Windows操作系统中。在工业控制系统中，很少能找到临时的补丁软件，补丁程序可能会对软件产生严重的干扰。出于这个原因，安全补丁策略在控制网络中并不普遍。

（2）很少或不使用防病毒更新策略。杀毒软件可能影响SCADA软件的运行，一般只是尽可能保持控制网络的隔离。

（3）松散的访问策略。通常访问策略规划得很好，但在现场实现却很糟。

表1 工业控制系统常见的安全风险

2 火力发电厂控制系统网络安全现状

火电厂控制网络架构中涉及的控制系统众多，主要包括：火电机组分散控制系统（DCS）、火电机组辅机控制系统（DCSPLC）、火电厂级信息监控系统、调速系统和自动发电控制功能AGC、励磁系统和自动电压控制功能AVC、梯级调度监控系统、网控系统、继电保护、故障录波、电能量采集装置、电力市场报价终端等系统。火力发电厂控制系统在网络安全方面存在如下问题。

2.1 安全域结构设计不足

电力行业在安全方面考虑比较早，也颁布实施了如《电力二次系统安全防护总体方案》等一系列文件。2015年国家能源局下发36号文《电力监控系统安全防护总体方案》指导电力行业实施工业控制系统的安全防护，该方案首次提出“综合防护”，即在厂内区域形成“安全分区、网络专用、横向隔离、纵向认证”的总体原则。区域一般分为：生产控制大区（控制区+非控制区），管理信息大区。也有电厂会将区域分为4个区：实时控制区（安全Ⅰ区）、非控制生产区（安全Ⅱ区）、生产管理区（安全Ⅲ区）、管理信息区（安全Ⅳ区）。具体拓扑如下图1所示。

图1 电力二次系统安全防护总体示意

到目前为止，我国绝大多数火电厂已依照本方案实施防护工作。然而，不管是“电力二次系统安全防护”还是“36号文”，只是将电厂生产控制系统划分为两个安全域：实时控制区及非实时控制区，没有考虑实时控制区内仍然包含有数据交互及业务联系低耦合的多套业务系统，例如DCS主控系统、水煤灰等辅控系统，这些系统通过双网口接口机与电厂 SIS系统（Supervisory Information System）连接。接口机成为系统间互联互通的跳板，因为缺少访问控制，存在信息探测、权限提升等安全隐患。

2.2 设备国产化率低、漏洞多

工业控制系统中的控制设备和组态软件以美国艾默生、德国西门子、法国施耐德、美国GE等公司的产品为主，这类控制设备的核心技术也由国外厂商掌握，技术上不能实现安全可控。部分发电控制设备老旧，如很多监控主机中依然运行Windows 95、98、XP操作系统。根据国家信息安全漏洞库（CNNVD）的统计，艾默生、西门子、施耐德和GE等公司的多款控制器设备均爆出大量漏洞。目前在工业控制系统存在公开漏洞的厂商中，西门子占28%，GE占7%，施耐德占5%，这3个厂商的公开漏洞数已超过漏洞总数的40%。在这些公开漏洞中，可引起业务中断的拒绝服务类漏洞占33%，缓冲区溢出类漏洞占20%，信息泄露类漏洞占16%，远程控制类漏洞占8%[4]。

2.3 安全意识薄弱、安全管理欠缺

调研发现，火力发电厂的工业控制系统安全通常由负责工业控制系统运维的设备管理部门与负责安全工作的信息化工作部门共同承担。由于两个部门的工作职责和工作重点各不相同，导致缺乏全职从事工业控制系统安全工作人员。

仍有很大一部分发电厂工业控制系统作业人员抱有“物理隔离的独立工业控制系统就是绝对安全”，“只要部署了防火墙设备，就不存在网络安全问题”等错误认识。人员安全意识的不足可能会造成管理的疏忽或政策落实的不到位，影响到发电厂工业控制系统本身的安全。

此外，一些电厂仅有生产车间停电、发生生产安全事故的应急预案，缺少针对服务器软硬件故障、感染恶意代码、工业控制网络中断等方面的工业控制系统应急预案。一旦发生网络安全事件，将对生产业务活动造成严重影响[5]。

3 构建火力发电厂控制系统网络安全保障体系

发电厂工业控制系统安全建设是一个包含技术和管理的系统性建设工程，其建设过程需要对人员、资金、软硬件设备等进行规划设计，实现工业控制系统的功能安全与信息安全的全方位融合。在加强电厂控制系统安全防护的同时，还需要加强安全意识培训，改善安全管理制度。

3.1 建立工业控制系统安全评估机制

要建立工业控制系统正式上线前的安全评估机制。工业控制系统的安全评估，是对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展的安全防护能力综合评估。组织内部专家或聘请专业机构定期对电厂内工业控制系统进行安全评估，发现潜在的安全漏洞、隐患、风险和问题并及时组织整改。与传统信息安全相比，工业控制系统具有运行实时性要求高、系统升级难度大等特点，因此开展工业控制系统等保测评和风险评估要更加谨慎，确保将对工业控制系统的影响降到最低[3]。

从风险评估入手，使用符合工业控制系统特点的理论、方法和工具，准确发现工业控制系统存在的主要问题和潜在风险，才能更好指导工业控制系统的安全防护和建立满足生产需要的工业控制信息安全防御体系。

3.2 构建安全防护体系

应建立具备安全防御能力的技术体系，实现“边界—网络—终端”的立体防御。在工业控制网络边界处，通过物理隔离或逻辑隔离的方式进行防护。据统计数据表明，89%的工业控制系统为实现准确的区域划分及边界隔离，针对发电厂控制系统基于“区域”和“管道”模型安全防护技术可以有效实现电厂的工控系统网络安全防御。在电厂生产控制大区中可将控制区划分多个安全域，分别为DCS机组安全域、水网控制、灰处理控制安全域及煤处理控制安全域。通过防火墙来实现访问控制、地址转换、事件审核和告警等安全功能。工业控制网络内部各安全域之间需要可识别工业控制协议数据包的工控安全防火墙，对常用工业控制协议和应用数据内容的数据包进行解析、检查及过滤，阻断非授权访问或疑似攻击、病毒、木马等[6]。

在安全域内部实时抓取并分析控制网络中的报文数据，监测通信行为、控制指令，及时发现网络流量的异常、恶意代码传播、网络扫描等攻击行为。在工业控制系统中的各个终端上，通过端口绑定等方式加固终端设备的防护能力。例如绑定IP地址或交换机端口限定对PLC的访问，工程师站和操作员站中安装应用程序白名单程序，确保主机运行可信程序。

通过构建安全防护体系，提升系统的安全防御和威胁检测能力，降低网络安全攻击带来的风险。

3.3 强化管理，落实培训教育

加强发电厂工业控制系统安全监督检查职责，通过建立工控安全管理机制、成立信息安全协调小组等方式，明确工控安全管理责任人，落实工控安全责任制。同时，制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证。同时，定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订[7、8]。

除了技术、制度外，人员良好的网络安全素质是发电厂工业控制系统网络安全的重要保证。因此需要定期组织开展安全意识和安全技能培训，加强网络安全管理重要性的宣贯。

4 结语

综合提高发电厂工业控制系统各方面安全防护能力，将有力保证电厂生产经营的健康可持续发展。本文系统地分析了火力发电厂工业控制系统面临的安全威胁和安全建设现状，基于风险分析提出了构建发电厂工业控制系统安全防护的思路，并对涉及的关键技术及其实现方式进行了详细论述；同时也介绍了关于工业控制系统安全保障的管理体系的重要要求。