郭献彬
摘要:抽水蓄能电站作为优良的调峰电源在电力系统中的地位愈发重要,其工业控制系统(简称工控系统)的设计和实现较为复杂,存在的安全缺陷和面临的安全威胁也比较突出。在等保2.0标准下,抽水蓄能电站工控系统的安全检测有了更多新的需求。现通过分析等保2.0对工控安全等级的保护要求,总结了抽水蓄能电站工业控制系统的安全需求,并提出了抽水蓄能电站工控系统安全检测的核心技术与方法。
关键词:抽水蓄能电站;工控系统;安全检测;等保2.0
0 引言
抽水蓄能电站作为一种特殊形式的水电站,具备上、下两个水库,利用电网低谷负荷时的剩余电力,由下库抽水到上库蓄能,在电网高峰负荷时再放水到下库发电,以弥补用电高峰时期电力不足的问题[1]。作为调节电力负荷的重要手段,抽水蓄能电站在电网中承担了调峰填谷、调频、调相、事故备用等任务,可有效提升电力效益,保证电力系统平稳运行,在整个电力系统中占据重要地位。
抽水蓄能电站同时担负发电和蓄电任务,机组运行包括发电、发电调相、抽水、抽水调相、停机5种工况,通过复杂的工控转换灵活应对负荷的急剧变化[2]。抽水蓄能电站的工业控制系统需根据当前用电发电需求、水文情况等,精确控制不同工况之间的转换,从而完成发电抽水的联合调度。相较于传统水库工控系统,抽水蓄能电站工控系统的控制场景更加复杂,实时性、准确性要求更高。为此,复杂场景下的抽水蓄能电站工控系统在技术实现上也更加复杂,不仅存在更多安全隐患,而且面临更多安全威胁。一旦抽水蓄能电站工控系统遭受网络攻击,就会引发电站自身安全问题,甚至可能影响整个电力系统的安全。《信息安全技术 网络安全等级保护要求》(GB/T 22239—2019)[3](简称等保2.0)对工控系统提出了等级保护要求,主动防护能力逐渐受到重视。抽水蓄能电站工控系统的传统安全检测技术和方法是否能适应等保2.0的新需求成为人们备受关注的问题。
本文将围绕等保2.0标准对工控系统安全保护的新要求展开深入分析,总结抽水蓄能电站工控系统的安全检测需求,讨论可行的工控系统安全检测技术,为等保2.0标准下的抽水蓄能电站工控系统安全检测提供技术支撑。
1 抽水蓄能电站工控系统
抽水蓄能电站工控系统建设遵循“网络分区、专网专用、横向隔离、纵向认证”原则,采用层次化网络拓扑结构。抽水蓄能电站上层为调度中心/集控中心,直接接受上层机构下发的负荷,并将负荷合理分配给电厂。电厂收到集控中心/调度中心的负荷分配值后,按照库容、各机组的振动区、运行条件等以最优的方式分配给各电站,确定各台机组所带的负荷,并通过机组现地控制单元(Local Control Units,LCU)、開关站LCU、闸门LCU等实现自动发电和抽水,达到负荷合理分配的效果。
2 等保2.0下抽水蓄能电站工控系统的安全检测要求
为适应信息技术发展新需求,工控系统、云计算、物联网等一批关键领域的信息系统被纳入等保范畴。工控系统作为国家工业关键信息基础设施的重要组成部分,直接影响着电力、油气、水利等关键行业的生产安全,因此其安全问题备受关注,且在等保2.0中有着翔实的描述。
等保2.0分为5个保护等级(第5级略),其对工控系统的等级保护对象包括SCADA系统、DCS、PLC等,对保护对象的安全要求包括两方面:通用安全要求和扩展安全要求。通用安全要求关注共性化保护需求,扩展安全要求则关注个性化保护需求。安全要求包括技术和管理两部分。
工业控制系统需要同时满足通用安全要求和扩展安全要求。通用安全要求涵盖了安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构/中心、安全管理人员、安全建设及运维等。扩展安全要求同样涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理等,但加入了工控系统特有的安全要求。随着保护等级的提高,每项技术要求均增加了新的安全需求。本文主要关注与技术相关的等保要求。
通用安全要求和扩展安全要求的划分,涵盖了传统物理安全、主机安全、网络安全、应用安全和数据安全等内容。其中,安全物理环境对应物理安全,安全通信网络和边界防护则为网络安全,包括网络安全架构、通信安全、边界防护、访问控制、入侵防范、可信验证等。安全计算环境覆盖主机安全、应用安全和数据安全。主机和应用安全关注身份鉴别、访问控制、入侵防范、恶意代码、可信验证等。数据安全则关注数据完整性、机密性和数据备份等安全需求。
根据等保2.0相关内容,抽水蓄能电站工控系统安全检测应重点关注以下4个方面:(1)物理安全,检测工控系统所处物理环境是否安全、灾备系统是否完善;(2)主机安全,监控服务器、控制设备及对应系统、软件、固件等是否满足安全要求,安全防护措施是否有效;(3)网络安全,由安全通信网络和安全边界防护构建的网络是否满足安全需求,是否可抵御不同类型的网络攻击;(4)数据安全,数据是否存在被泄露和篡改风险以及数据被篡改后是否可以被用于发动攻击,导致电力调度错误。可见,安全检测、数据防护、风险评估等已纳入等级保护要求并加以实施,等级保护将静态安全需求转变为动态安全需求,并在被动防护中引入主动防护机制。
3 抽水蓄能电站工控系统的安全检测技术
南方电网调峰调频发电有限公司针对新安全形势下电力工控系统安全检测与等保2.0需求,积极探索主动安全检测技术,主动挖掘和发现工控系统中存在的未知安全威胁。抽水蓄能电站工控系统安全检测技术主要围绕物理安全、主机安全、网络安全、数据安全及安全检测仿真平台构建等方面展开研究。
3.1 物理安全检测技术
物理安全检测主要根据安全物理环境要求展开,主要包括:(1)工控系统所处物理位置的抗震、防风、防雨、防水、防潮、防火、防静电等能力和安全措施检查;(2)工控系统物理访问控制能力检测;(3)工控系统防盗、防破坏等能力检测;(4)工控系统电力供应、电磁防护等能力检测。物理安全检测多为合规性检测,可通过多种传感器、专业安全检测仪器等周期性或实时展开。
3.2 主机安全检测技术
主机安全检测主要对抽水蓄能电站工控系统中的集中监控服务器、数据存储服务器、LCU操作站、LCU工程师站、控制设备及运行于其上的操作系统、固件、应用软件等展开安全检测。由于部分设备与运行于其上的应用紧密耦合,这里将应用安全与主机安全一起讨论。面向主机的安全检测技术包括:
(1)设备识别:由于工控设备和系统在网络中具有相应的特定属性(即指纹),可首先通过主机存活性探测查看主机是否正常运行,然后基于指纹识别技术探测具体的工控设备或系统。其中,系统/工控设备指纹获取[4]是设备识别研究的重点。
(2)漏洞扫描:针对抽水蓄能电站内工控系统及设备的已知漏洞展开检测。漏洞扫描一般会建立电站工控系统漏洞库,并保证定时更新漏洞库,再基于漏洞库进行定期漏洞扫描及验证,从而有效检测系统存在的安全漏洞。
(3)漏洞挖掘:针对抽水蓄能电站内工控系统及设备可能存在的未知漏洞展开检测。电站关键设备在入网使用前需进行严格的漏洞挖掘检测,减少0-day漏洞等带来的安全风险。漏洞挖掘测试一般基于模糊测试技术,构建异常数据包作为输入,通过对比实际输出与预期输出差异或查看被测目标是否产生宕机、异常等行为,判断被测目标是否存在漏洞。
(4)漏洞修复检测:指操作系统、设备固件、应用软件通过打补丁方式修复漏洞后,对修复后的系统、固件、软件进行安全检测。一方面验证漏洞是否被消除,另一方面对已修复的系统或软件做进一步功能、性能和漏洞挖掘测试,避免在漏洞修复过程中相关功能、性能受影响,或由于代码修改引入新漏洞。
3.3 网络安全检测技术
网络安全检测一方面检测网络拓扑区域划分和边界防护措施是否满足等级保护要求,另一方面通过动态方式对抽水蓄能电站工控系统的安全防护能力进行检测。除传统入侵检测技术外,渗透测试也是非常有效的网络安全检测方法。
滲透测试技术从攻击者角度对工控系统发起渗透攻击,以发现系统中存在的安全问题。安全检测人员可通过渗透测试技术对工控系统的安全网络架构、访问控制、边界防护、入侵防范、可信验证等安全防护能力和检测能力进行有效验证。但抽水蓄能电站工控系统直接关系着电力生产和水库调度,很难直接实施渗透测试,因而构建工控系统安全检测仿真平台成为必然需求。
3.4 数据安全检测技术
除传统的数据机密性、完整性检测外,抽水蓄能电站还面临数据注入攻击的安全威胁,攻击者通过对电站或某一LCU机组数据采集结果的篡改,影响电力调度或电厂内部的工况转换。目前,针对虚假数据注入攻击检测的方法主要包括传统的主成分分析法、基于卡尔曼滤波的检测方法、基于人工智能的检测方法等。
3.5 安全检测仿真平台构建技术
工控系统安全检测仿真平台构建可采用实物、虚实结合、虚拟化3种方式。实物方式完全按照真实场景1:1复现工控场景,可准确还原工控系统受攻击时的真实情况,但造价昂贵,可扩展性和灵活性差;虚拟化方式采用软件仿真形式构建虚拟设备复现工控场景,该方式造价低、场景构建灵活,但由于虚拟工控设备无法完全模拟其真实功能,检测结果难以真实反映工控系统安全情况;虚实结合方式将虚拟通用设备与真实工控设备相结合,兼具了实物方式和虚拟方式的优势,因此南方电网调峰调频发电有限公司基于虚实结合方式构建安全检测仿真平台,将待检测设备、系统部署于仿真平台上,继而在平台上实施漏洞挖掘、渗透测试、数据注入攻击等检测技术,从而验证电站工控系统安全措施的有效性,主动发现设备、系统存在的安全问题。
4 结语
本文围绕抽水蓄能电站工控系统安全检测需求,对工控系统在等保2.0中的安全等级保护要求进行分析,基于分析结果总结出适合抽水蓄能电站工控系统安全检测的技术,为其适应等保2.0标准提供技术支撑。
[参考文献]
[1] 黄杨梁,邵霞.自动电压控制在抽水蓄能电站应用研究[J].水电与抽水蓄能,2016,2(2):78-82.
[2] 高建伟,何晓亮,马依文.抽水蓄能电站工控系统安全防护探讨[J].水电站机电技术,2017,40(9):63-66.
[3] 信息安全技术 网络安全等级保护基本要求:GB/T 22239—2019[S].
[4] 李沁园,孙歆,戴桦,等.工业控制系统设备指纹识别技术[J].网络空间安全,2017,8(1):60-65.