“新基建“时代下的电力工控安全建设思考

张金山

摘要：工业控制系统是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”，而电力工控系统安全直接关乎国计民生，在“新基建”背景下，中国能源企业面临着诸多的机遇和挑战。本文分析电力行业安全现状与威胁，解析电力系统面临哪些工控安全风险，评估受攻击后可能造成的严重后果，提出电力行业工控安全建设方面的建议，可为中国能源企业网络安全建设提供依据和借鉴。

关键词：工控安全;电力工控安全;安全态势感知;电力安全大数据;电力安全建设

Thoughts on the Safety Construction of Electric Power Industrial Control in the Era of "New Infrastructure"

ZHANG Jinshan

（Data Operation and Maintenance Department of China Energy Fusion Smart Technology Co.， Ltd.， Beijing， 100080 China）

Abstract： Industrial control system is the "brain" and "central nerve" of important national infrastructure such as power， transportation， energy， water conservancy， metallurgy， aerospace， etc. The safety of power industrial control system is directly related to the national economy and people's livelihood. Under the background of "New Capital Construction "， Chinese energy enterprises are faced with opportunities and challenges to invest in power market. This paper analyzes the security status and threats of the power industry， analyzes which industrial control security risks the power system faces， evaluates the possible serious consequences after being attacked， and puts forward suggestions on industrial control security construction of the power industry， which can provide basis and reference for network security construction of Chinese energy enterprises.

Key Words： Industrial control safety; Electric power industrial control safety; Security situation awareness; Power safety big data; Electric power safety construction

0 引言

當前，随着云计算、大数据、人工智能等新一代信息技术与制造技术加速融合，工业信息安全形势日趋严峻，“十三五”规划开始，网络空间安全已上升至国家安全战略，工控网络安全作为网络安全中的薄弱而又至关重要部分，全方位感知工控系统的安全态势成为亟待解决的重要问题之一。

工业控制系统是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”，超过80%的涉及国计民生的关键基础设施依靠工业控制系统实现自动化作业。关键基础设施的工业控制系统也是可能遭到重点攻击的目标，这些基础设施一旦被攻击，具有极大的破坏性和杀伤力，尤其是电力系统。

随着中共中央政治局委员会在2020年3月4日召开的会议中指出，要加快推进国家规划已明确的重大工程和基础设施，其中要加快5G网络、数据中心等新型基础设施建设进度，“新基建”骤然成为各界关注的新焦点，新基建的核心在于传统产业的数字化转型，传统基础设施的数字化改造。

同时，“新基建”孕育着巨大的发展空间，如疫情期间远程办公、远程医疗、远程教育和线上购物等数字经济产业快速发展，但随着新型基础设施建设和应用的开展，潜藏其中的数据安全问题也衍生出新一轮的网络安全挑战。

1 工控系统典型安全事件

1.1 国际工控典型安全事件

近年来，随着工业控制系统网络和物联网环境变得更加开放与多变，工业控制系统则相对变得更加脆弱，工控系统的安全性面临巨大的挑战。

1.1.1 "震网"病毒袭击伊朗核设施

2009年上半年，“震网Stuxnet”病毒渗入伊朗核设施网络，改变数千台离心机发动机的运转速度。这种突然的改变发动机转速会对离心机造成无法修复的伤害，从而达到破坏伊朗核研究的目的，也导致伊朗原子能机构的负责人迫于压力辞职。外界猜测是某西方大国的网络情报机构，通过“震网病毒”实施的一次工控APT攻击，“震网”病毒使伊朗的核计划延迟了至少2年^[1]。

1.1.2 委内瑞拉大规模停电事件

2019年3月7日下午5时，包括首都加拉加斯在内的委内瑞拉全国发生大规模停电。这是委内瑞拉自2012年以來持续时间最长、影响范围最广的停电，超过一半地区数日内多次完全停电。此次电力系统的崩溃没有任何预兆，多数地区的供水和通信网络也相应受到了严重影响。而到了7月22日，委内瑞拉再次发生大规模停电，此次停电的主要原因是提供全国六成以上电力的古里水电站计算机系统中枢遭受到了网络攻击^[2]。

1.2 国内典型工控安全事件

1.2.1 四川二滩水力发电厂停机事件

2000年，四川二滩水力发电厂的两台工控设备调速器在实际运行中出现故障，收到一个异常命令信号，致使该厂在7秒钟之内甩掉89万千瓦的出力，造成川西电网瞬间缺电80万KW，这个事故导致四川电网几近瓦解。事后总结发现，电厂存在一些重大设计缺陷，其中的最大问题是把控制系统和办公自动化系统结合在一起，异常命令就是由办公自动化系统传到控制系统，从而引起电网大面积停电。

1.2.2 台湾工控产品存在安全漏洞

2019年3月，Ivan Boyko等研究人员报告了Moxa工控产品的12个安全漏洞，包括：缓冲区溢出漏洞，远程攻击者可利用该漏洞执行恶意代码;跨站请求伪造漏洞，攻击者可利用该漏洞执行未授权的操作;跨站脚本漏洞，该漏洞源于程序没有正确地验证用户输入，远程攻击者可利用该漏洞注入恶意脚本;访问控制错误漏洞，该漏洞源于程序没有正确地验证权限，攻击者可利用该漏洞修改配置;安全漏洞，该漏洞源于程序没有充分地限制身份验证请求的次数，攻击者可通过实施暴力破解攻击利用该漏洞获取密码;存在越界读取漏洞，该漏洞源于程序没有正确地验证数组边界，攻击者可利用该漏洞读取任意地址上的设备内存，进而检索敏感数据或造成设备重启等12个漏洞。

2 国内电力工控安全问题

2.1 基础设备老化严重

发电厂基础设施、控制设备运行时间较长，使用过程也较为封闭，缺乏维护及更新，导致设备严重老化。而传统的工控系统安全偏向于功能安全、设备硬件安全属于生产事故或者故障范涛，却极少关注信息安全。

由于这些工业控制系统和设备大都比较老旧，生产、制造和使用的过程也较为封闭，使得信息安全问题（包含软件、固件、网络等安全问题）暴露的几率极低。

2.2 系统老旧漏洞较多

在电厂所使用的DCS工程师站、DCS操作员站、DCS历史站、DCS上位机等服务器，大量采用windows操作系统，并且由于设备采购较早，一些服务器还运行着windows XP、windows NT、windows server 2008这样老旧的系统，由于操作系统生产商对此类老旧的操作系统停止了技术支持，所以这类系统上存在着大量的默认配置、弱口令及系统漏洞。

2.3 工控漏洞缺少防护

英特尔、思科、罗克韦尔、西门子、施耐德和ICS-CERT等工控系统生产厂家、硬件生产厂家、安全研究团队，在网上发布许多公开的工控风险漏洞。而对于已公开的工控风险漏洞，多数电厂由于技术实力不足以及系统环境较为封闭，大多补救不当或根本没有防护措施，导致工控系统中存在大量严重漏洞。

2.4 已知问题难以修复

即使发现病毒、木马或者黑客攻击，各电厂难以定位病毒或木马的感染范围，甚至部分系统没有补丁来修复漏洞。这些工控系统中存在的安全问题就像是一个个定时炸弹一样，隐藏在系统之中，严重威胁到电力行业的安全^[3]。

2.5 未知问题难以发现

由于工业控制中的网络流量大多是由工控设备按照生产工艺自动产生，与传统互联网流量有极大的区别。

因此，传统安全产品不能有效的识别工控网络流量的特点，导致无法检测到工控网络中存在的威胁。使得在工控网络中发生信息安全事件之后，难以还原“第一案发现场”，从而难以排查故障问题和安全问题。

3 传统安全存在缺陷

3.1 传统特征识别方式较滞后

当前的传统工控安全产品分析方法，普遍基于系统中的特征库匹配已知风险行为。而针对工控系统的攻击行为是一个实施过程，并不具备能够被实时检测出来的明显特征，无法被实时检测。

3.2 传统安全监测缺乏实时性

传统工控安全产品基于被动的检测方式，只有发生威胁后，应急取证调查才会被启动。事实上威胁已经发生了，因为没有实时的威胁追踪而被无视。这是由于传统安全产品缺乏实时威胁的分析机制。

而发现威胁最有效的手段是对大数据网络元数据进行发现、分析、溯源，并借助大数据关联分析与可视化的分析，在黑客试图绕过安全系统、攻击造成损害之前将其抓获。

3.3 安全产品工控防护能力弱

传统安全产品现有的控制方法对于Stuxnet、Havex 等APT 攻击的检测存在漏洞。Stuxnet会修改电站下层的运行参数，而对上层的 HMI 瞒报一个正常的值。而 Havex 是通过对自身的复制在移动介质和固定设备之间进行传播，同时通过对移动介质的驱动和固定设备硬盘的固件进行更改来隐藏自己，传统安全产品无法对工控系统相关操作进行阻断^[4]。

3.4 缺乏对运维人员操作监管

由于国内在技术方面还存在一定的差距，出于对质量和性能等方面的考虑，工控行业大量地采用了国外厂商的设备，而当需要对这些设备进行维护时，通常都需要专业的技术人员来对其进行操作。

而对厂商运维人员的操作缺乏技术监管措施，难以发现厂商人员所使用的笔记本电脑、移动存储介质（如U盘、移动硬盘）等设备是否存在病毒，通过工控网络发出的指令是否存在误操作、恶意操作等问题。

3.5 工控安全事件溯源取证难

传统工控安全产品对已发生的安全事件，不能快速的追踪、溯源、取证，故无法实现事后追溯。主要是由于缺乏对工控各安全区域流量的记录、分析、存储，导致无法实现对工控环境的安全威胁、可疑问题的感知。

只有还原安全事件发生过程，才能了解事件严重程度和影响范围，进而做出正确的响应防御措施。

4 传统安全与工控安全区别

4.1 工控安全可用性要求更高

工业控制系统以“可用性”为第一安全需求，而传统信息系统以“机密性”为第一安全需求。在信息安全的三个属性机密性、完整性、可用性中，传统信息系统的优先顺序是机密性、完整性、可用性，而工业控制系统则是可用性、完整性、机密性。这一差异，导致工业控制系统中的信息安全产品，必须从软硬件设计上达到更高的可靠性。

5 电力工控安全建设思考

纵观工控行业信息安全事件，针对工业控制系统的病毒、木马等攻击行为近年来大幅度增长，这些病毒、木马长期潜伏在控制系统及设备中，当收到激活指令时，轻则引发整个控制系统的故障;重则导致恶性安全事故，对人员、设备和环境造成严重的后果。

但是幸运的是，国家已经意识到工控系统网络安全的重要性，无论从国家政策层面还是企业实际落地层面都得到了积极的重视，伴随着国家“新基建”、“互联网+制造业”等政策的不断推进落实，工业互联网的推进速度必将不断加快，电力工控安全任重而道远。

5.1 电力安全大数据建设

利用“新基建5G大发展”信息通信等优势，加快5G网络、数据中心等新型基础设施建设，在能源数据汇聚、转换、消纳过程中的枢纽作用，打造出数据广泛汇聚、资源融通共享、服务优质高效、技术安全可靠的“电力安全大数据”平台，为电力企业以及地方经济发展，提供高质量的能源支撑体系。

还可以利用泛“电力安全大数据平台”覆盖全产业链关联的优势，可以将影响扩展到供应链、产业布局等方面。通过“电力安全大数据平台”支持智慧能源多维度评估评价，评价结果更具价值;基于数学模型、神经网络、人工智能、区块链技术等泛能源大数据，可以为国家、地方政府、能源企业用户，在管理、诊断、预测、应急、优化、战略等方面提供智慧解决方案。

5.2 电力安全态势感知建设

对于电力工控企业来说，加强所有区域的安全分析与感知才是重点，所以持续的监测分析是安全保障工作对的根本，那么电力工控企业的安全防护可以从两个方面努力：

5.2.1 借助全流量分析技术，形成了从“异常发现-实时分析-追溯取证”的安全防护策略

（1）目标：电力行业工控信息安全是一个进攻与防御不断演化的过程，对待不断发展的攻击手段，要立足于电力行的现状，对目标设备或区域提供多维防护和完整的分析策略。（2）分析：通过对实时控制区（安全I区）、非控制生产区（安全II区）、生产管理区（安全III区）、管理信息区（安全IV区）网络全流量的分析，在每一个区域及环节做到全流量分析。（3）思路：建立一套“事前预判、事中防控、事后取证分析”的安全防护模型形成立体防护手段，有效避免类似“震网事件”的发生，做到安全的可控。

5.2.2 借助安全态势感知平台，汇总各安全区域流量，分析哪些安全区域存在网络威胁

通过对业务的全流量监控，检测攻击事件，还原被攻击场景进行详细描述，对业务影响进行有效评估，不仅需要对入侵行为进行识别，甚至需要追溯入侵链路，看清一步一步入侵的全过程，做到自动化的入侵取证，实现安全的可管。

5.3 电力安全分析团队建设

电力行业信息安全管理者需要加强工控系统信息安全事件预警。“理清、看清”工控系统存在的问题，而安全保障工作需要加强安全分析团队的建设，根据实际情况组建安全分析师团队，实时分析生产控制大区（控制区+非控制区）、管理信息大区的安全威胁情况^[5]，工作职责如下：

5.3.1 安全需求溝通

安全分析团队与安全部门和业务部门需要保持定期交流，目的是要熟悉网络架构、系统架构、业务场景、安全隐患及系统运行情况等，结合实际情况制定工控系统的保障预案。

5.3.2 业务资产可视化梳理

把实时控制区（安全I区）、非控制生产区（安全II区）、生产管理区（安全III区）、管理信息区（安全IV区）运行的资产梳理清晰，并且要精准识别哪些是核心资产，哪些属于边缘资产，从而重兵防护核心环节。

5.3.3 安全策略可视化梳理

把已经运行的工控安全产品的策略梳理清楚，检查各个安全区域的安全产品是否在有效的运行，并找业务部门确认策略制定的合理程度，把没用的策略删除，减少因安全产品产生的隐患。

5.3.4 访问关系可视化梳理

分别采集安全I、II、III区的网络流量，梳理各安全区域间的访问关系，了解区域之间是否真实有流量，搞清区域间访问关系、交互内容，看清电站的安全洼地，看透当前的安全隐患。

5.3.5 验证安全产品告警

安全分析师借助流量分析工具第一时间对生产控制大区（控制区+非控制区）安全产品的告警事件进行流量回放，验证告警的真实性，并借助工控安全威胁情报确定威胁性质;

5.3.6 主动分析可疑行为

持续主动的分析实时控制区（安全I区）、非控制生产区（安全II区）、生产管理区（安全III区）、管理信息区（安全IV区），各区域关键节点的流量构成和行为，从中找出异常事件，并通过网络流量还原异常事件过程;

5.3.7 持续调整安全策略

网络安全的本质是攻防对抗，安全分析师对工控专有协议进行深度分析，层层拆解数据包、深入剖析数据包结构与内容，确保数据包的合法性，不断调整安全产品的策略规则，从而实现工控网络的深度防护^[6]。

5.3.8 安全威胁分析报告

每日向安全部门上报安全保障工作动态，让安全部门实时了解当前各工控系统和安全区的安全状态。

5.3.9 电力安全运维保障建设

电力工控系统的安全运维是日常保障工控系统安全最重要的一步。因此，一定从技术保障、管理保障和运维保障三方面进行建设：（1）建立安全运维监控中心。在生产控制大区（控制区+非控制区），对控制区的每个工控系统和设备进行运行质量的监控，以帮助电力企业安全管理部门建立安全运维监测中心，同时对生产控制大区（控制区+非控制区）产生的各类安全问题做出快速、准确的定位。（2）建立安全运维告警中心。与业务管理部门梳理安全运行基线，形成工控设备、工控系统、工控安全产品的规则策略，展现生产控制大区（控制区+非控制区）、管理信息大区中的设备、系统运行警事件，帮助运维管理人员快速定位系统故障、排查业务问题。（3）建立安全运维事件响应中心。以电力企业的工作流程模型作为参考为标准，开发图形化、可配置的工作流程管理系统，以任务和工作单传递的方式开展运维管理工作，并通过科学的、符合电力企业运维管理规范的工作流程进行处理，实现智能的记录运维安全事件，从而还原运维事件处理过程中的各个环节。

5.4 电力安全应急响应建设

电力工控信息系统安全应急响应不但是一门复杂的系统学科，也是一门需综合技术、管理和人的技术学科。在技术中，不该单考虑具体的产品和技术，而是要更深入电力行业信息系统体系结构中：（1）管理建设：需建立综合的信息系统安全保障制度、信息化的组织管理体系和相应的岗位职责分配制度，其中信息系统安全保障制度必须严格执行。（2）人员建设：需提高所有使用信息系统人员的安全意识和能力，还有信息系统专业人员的专业技能等。信息系统安全保障作为一种项目性的临时行为，不但要全过程融入工控信息系统的生命周期，更要覆盖工控信息系统的计划组织、开发采购、实施交付、运行维护和废弃的整个生命周期，以形成工控信息系统安全保障能力的长效机制。（3）工作建设：不仅要同步规划、同步建设信息系统安全保障工作与信息化建设工作，还要加强安全工程的建设和监理管理等。

工控信息系统安全保障的根本目的，是通过保护信息系统从而保障所支持的工控设备的安全运行，电力工控的安全也意味着国家安全。

5.5 电力安全风险评估建设

安全风险评估的好处是我们可以针对不同事件的处理采取相应的安全策略并形成合理的方案。工业控制系统的风险评估应该基于成熟的风险评估方法，并且应该特别关注控制系统的特殊要求，以便根据控制系统的特点确保系统的正常运行。

电力工控系统风险评估与分析是安全策略制定的依据，即对系统的安全风险因素进行评估、分析和报告。风险评估包含两个方面：

5.5.1 对资产的安全等级进行评估

也就是多大的杯子装多少份量的水，多少价值的东西应投入多大精力进行安全保护。这是制订适应性安全策略的依據。

根据工控业务资产作用、价值、存储的数据等方面，进行分级分类评估，标记出资产的所有者（如部门、系统、管理人员等）;并根据资产承载的系统以及业务的敏感程度，进行敏感分级，将分类的工控业务资产划分不同的敏感级别（如公开、内部、敏感等）。

5.5.2 对目标的安全风险进行评估

安全风险可以分为两个方面：（1）安全防护对象方面：评估工控系统内部的脆弱性与存在的潜在威胁。在实施过程中，把信息反馈给策略制定者，便于动态调整策略，改进措施，逐步提高系统的安全性。（2）安全防护技术方面：针对工控系统结构和系统中各安全漏洞、安全威胁而采取相应的技术防护措施。

5.5.3 对业务的定期安全检测与评估

电力工控业务信息安全风险评估是一种长期的安全工作，需要开展定期的安全监测和评估：（1）定期安全监测：针对电力企业的信息安全现状进行分析，其中包括资产识别、威胁识别、脆弱性识别、安全措施识别与确认、风险分析、风险处理等。（2）定期安全评估：信息安全风险评估不但要定期进行，还要做到常态化开展。在风险评估实施过程中，依据自身安全需要，需按照风险评估流程定义划分信息安全风险等级，此外，要重点保护信息资产及威胁脆弱性差异化，并对此进行风险处理，让企业信息安全风险等级降到最低，同时增加信息化建设投资效益比。

5.6 电力红蓝对抗活动建设

在国内网络安全形势愈发严峻、信息安全内控机制逐步精益的情况下，电力企业需要定期组织信息安全“红蓝队对抗”活动，需立足于“红队攻点、定点挖掘;蓝队防面、全面消缺”的定位，通过“以赛促学、以赛促练、以赛促用”，实现以主动攻击促防御稳固、以实战检验促机制完善的目标：（1）通过防“红蓝对抗”活动，发现电力企业工控网络安全存在的深层次问题和隐患;（2）对活动中发现的突出问题进行应急整改，检验各个部门的安全应急能力;（3）加强电力企业各部门与外部单位、公安机关、安全厂商力量的合成作战、协调配合能力;（4）通过不断的在系统上进行深入的漏洞挖掘、攻击研究，从而检验电力工控网络的安全性，确保在国家重要节日期间的信息安全保卫工作万无一失。

总之“红蓝对抗”活动建设是通过攻防对抗，检验电力企业的对安全事件的监测发现、防护响应、应急处置的综合能力。通过对抗让安全部门在复盘、研讨中总结经验教训，“在攻防的对立统一中寻求突破”进而整体提升电力企业的安全保障能力和水平。

参考文献：

[1]本刊采编部.“震网”病毒袭击伊朗核设施[J].信息安全与通信保密，2016（09）：24.

[2]刘迎.委内瑞拉大规模停电事件对我国工业信息安全发展的启示[J].保密科学技术，2019（03）：25-28.

[3]王乐乐. 恶意程序动态行为分析关键技术研究[D].战略支援部队信息工程大学，2020.

[4]李明. 基于DNS请求序列检测APT攻击[D].吉林大学，2020.

[5]王世伟. 工业防火墙软件框架设计及规则自学习方法研究[D].太原科技大学，2018.

[6]李艺. 工业控制网络安全防御体系及关键技术研究[D].华北电力大学（北京），2017.