火电行业工控系统信息安全关键技术研究

张东华

（安徽华电芜湖发电有限公司，安徽 芜湖 241080）

0 引 言

电力企业是国家的重大关键信息基础设施。电力系统安全运行对整个国家的经济发展、社会稳定、人民生活水平的提高都具有重要影响。随着两化融合进程的深入，越来越多的信息技术运用于工业场景，与工业控制技术相融合，推动了工业企业转型升级；同时，也逐步打破了工业控制系统的“孤岛”模式，导致蠕虫、病毒、木马、黑客攻击等威胁向工业生产系统渗透[1]。在全球范围内，针对电力系统的攻击事件逐年增加，有的甚至影响到国家安全，如乌克兰电网事件、委内瑞拉大停电事件等。近年来，国家及电力行业在引进消化、应用自主、部分国产等方面采取了一系列的措施，但是由于信息技术基础薄弱，核心控制设备、基础应用软件等工控系统主要部件依然大量采用国外产品，存在核心技术受制于人的安全隐患[2]。加强信息技术应用创新在关键信息基础设施上的应用已经势在必行。

1 火电行业工控安全现状与威胁分析

1.1 火电行业工控信息安全发展现状

在我国，电力行业是较早推进工控信息系统安全管理的行业。早在2005年，原电监会就制定了《电力二次系统安全防护规定》（电监5号令），次年又制定了配套的《电力二次系统安全防护总体方案》（电监34号令），用以指导和规范电力企业进行电力二次系统的安全防护工作。

2014年，国家发改委发布了《电力监控系统安全防护规定》（第14号令），同时宣布电监5号令就此废止。2015年，国家能源局根据14号令的要求，制定了《电力监控系统安全防护总体方案》（国能36号文），方案确定了电力监控系统安全防护体系的总体框架，提出了省级以上调度中心、地（县）级调度中心、发电厂、变电站、配电等的电力监控系统安全防护方案及电力监控系统安全防护评估规范[3-4]。同时，结合等保的相关要求，逐步形成了较为完善的电力系统安全防护体系，即在原有的“安全分区、网络专用、横向隔离、纵向认证”的基础上增加了“综合防护”的要求。

1.2 火电行业工控系统安全威胁分析

火电行业在控制系统安全防护方面是一名先行者，但是火电工控系统安全威胁及脆弱性依然在一些方面表现的较为严峻，火电安全防护工作一刻也不能放松。

（1）终端安全防护不足

火电企业现场主机多采用微软Windows操作系统，由于现场条件限制无法定期更新操作系统及应用软件补丁，导致现场主机存在大量安全漏洞[5]。另外，传统杀毒软件在工控系统中的局限性，也导致工业主机缺乏对已知、未知威胁的有效防护。

（2）边界安全防护不足

火电生产控制大区内部各个控制域之间、生产控制大区与第三方数据网之间缺乏有效的访问控制措施，传统的IT防护设备不能识别工控协议，不能甄别出应用侧带来的安全风险。

（3）国产设备占有率不足

火电企业虽然进行过一系列的国产化举措，但由于我国信息技术发展的滞后性，电力监控系统中国外设备依然占据主导地位；另外，现有的电力安全防护设备多采用非自主架构，缺乏具有自主产权的国产设备进行替代。加之缺乏专业的测评、测试工具，可能存在着难以预料的风险[6]。

（4）自身安全风险认识不足

缺乏有效的风险评估、网络监测的设备和专业的信息安全人才，无法定期开展风险评估工作，无法识别、监测现阶段工控系统中面临的问题，并提出针对性的解决方案。

2 火电行业工控系统关键防护技术

2.1 火电行业工控系统风险评估技术

火电行业依据国能36号文要求，需要对电力监控系统总体防护水平进行安全评估。安全评估贯穿于电力监控系统的规划、设计、实施、运维和废弃整个阶段。

风险评估本质上是对工业控制系统所可能受到的各种外界威胁或资源缺失等情况的提前预估判定，使其信息安全标准可以得到有效衡量，突出系统中所存在的弱点和威胁程度，并根据具体信息明确其危机风险，再制定针对性的解决方案，以此确保工业控制系统能够平稳高效的运行[7]。

由于工控系统和传统IT信息系统存在较大的差异性。火电工控系统在进行风险评估的时候，不能完全照搬传统信息安全风险评估标准GB/T20984，一定要找到适合火电工控系统实际的风险评估方法和工具，确保安全。

2.2 火电行业工控系统各层次关键防护技术

火电行业工控系统各层次关键防护技术研究主要以火电行业工控系统、工业环境、技术要求等特殊性为基础，研究分析适合火电工控系统安全防护的适用性技术，同时加强规范管理、完善安全策略、增强控制系统的信息安全功能[8]。

（1）工控漏洞挖掘与检测技术

工控漏洞挖掘与检测技术主要包含未知漏洞的挖掘和已知漏洞的检测。工控漏洞是工控系统攻防双方关注的焦点。掌握工控系统漏洞挖掘与检测技术，是做好工控系统安全防护的前提[9]。漏洞挖掘是对协议标准、源代码、二进制代码、中间语言代码中IDE漏洞特别是未知漏洞进行主动发现的过程[10]。漏洞检测技术主要针对已知漏洞通过发送测试用例，观察、验证漏洞存在的对应的反应的过程。

（2）白名单快速过滤技术

工控系统网络架构比较固定，资产、通信协议、数据流向等都比较单一、固定；传统的黑名单过滤机制在进行数据交换防护时，需要逐一对比特征库，匹配则拦截；而白名单过滤机制在同样的过程中只需要对比白名单库，匹配则放行。白名单思路是“枚举所有合法事项”，所有非白事项均拒绝或进行处理，相对来说更快捷，更适合对数据延迟要求较高的火电行业[11]。白名单快速过滤流程如图1所示。

图1 白名单快速过滤流程

（3）网络抓包分析技术

工控网络抓包分析技术是从微观上保证工控系统网络安全的技术手段，通过捕获工控网络中传输的数据包并对数据包进行统计和解析，为制定安全策略及进行安全审计提供直接的依据。在抓包分析技术基础上进行工控协议安全分析和工控协议深度解析，可以借助工具进行模糊攻击测试，发现被测协议中可能存在的安全漏洞；也可以利用抓包分析技术进一步解析工控协议，识别数据包中的功能指令，做到更精准的防护。

（4）单向导入技术

单向导入技术的工作原理类似于“二极管”单向导电的特性，采用硬件架构设计使数据仅能从外网主机（非信任端）传输至内网主机（信任端），中间没有任何形式的反馈信号，所有需要“握手”确认的通信协议在信息单向导入系统中都会失去意义，电力系统中的电力专用单向隔离装置就是采用这种技术[12]。

（5）工控威胁监测预警技术

工控威胁监测预警技术通过内置的数学模型，对底层数据采集引擎上报的告警数据、日志进行分析、挖掘和关联，将有关节点的任意类型日志、告警串联起来形成完整的日志链，从而发现异常行为和嫌疑地址，形成对网络安全态势的感知，并且可对未来网络的安全状态进行预测，满足网络空间可管理、可控制、可追溯的实时监控运行需求，其技术架构如图2所示[13]。

图2 工控威胁监测预警技术架构

3 火电行业工控安全关键防护方案

3.1 采用基于“信创”技术的工控安全产品

在过去，我国IT底层标准、架构、产品、生态大多数由国外IT巨头来制定，存在诸多的安全风险。

现阶段，随着我国信息化进程不断深入，信息技术产业获得了较大发展，芯片、集成电路、基础软件等一大批具有自主知识产权产品的研发，提高了我国信息产业的竞争力[14]。

信息技术应用创新，简称“信创”，作为“新基建”的重要内容，也出现了一个现象级的风口。下一步，“信创”技术在各行各业的应用中将逐步展开。火电作为国家重要的关键信息基础设施，理应成为“信创”技术在工控安全领域应用的先行者。目前，国内一些安全厂商发布的“信创”技术工控安全产品，已经在多个行业取得了不错的应用效果。

3.2 落实工控系统安全风险评估工作

工控系统安全风险评估是开展工控安全防护工作的前提。火电工控系统网络架构复杂、设备繁多，多年的生产运行导致很多设备进行过更换、维修，加之运维人员的流动，很多火电企业拿不出符合反映实际工控现场的资产列表、网络拓扑等资料，给安全防护工作带了难题；因此，定期开展工控系统风险评估工作是很有必要的。风险评估结果也是建立工控安全防护策略的有效依据。

3.3 典型火电企业工控系统信息安全防护架构

典型的火电工控系统信息安全防护架构参照国能36号文以及网络安全等级保护2.0相关要求来制定，引入了纵深防御的防护理念，结合了火电工控系统的特殊性，如图3所示。

图3 典型火电企业工控系统信息安全防护架构

整体设计思路延续了“安全分区、网络专用、横向隔离、纵向认证”的防护方针，重点对“综合防护”方面进行细化设计，增加了日志审计、网络行为审计、主机防护、入侵检测、集中管理等模块。同时，为了保证工控系统业务的稳定性，所有工控安全设备单独组网，并遵循“安全分区、网络专用、横向隔离、纵向认证”的组网要求。

4 结 语

安全是发展的前提，发展是安全的保障，安全与发展是一体两翼、驱动之双轮，安全与发展要同步推进[15]。本文在充分了解火电工控系统网络结构和安全现状的基础上，结合火电行业实际情况，对其控制系统信息安全防护关键技术进行了深入研究，并提出了基于“信创”体系的工控安全解决方案。火电行业属于国家重要基础设施，面对依然严峻的工控安全态势，电力企业必须保持清醒头脑，随时准备迎接安全威胁的挑战。