浅谈电力行业网络安全与防护
3月7日,委内瑞拉发生迄今为止最大规模停电事件,让这个身处危机之中的国家雪上加霜。千里之堤溃于蚁穴,切莫忽视任何不安全因素的存在。电力基础设施薄弱,设备维护不到位,技术人员水平低下,工业控制系统防护不足,都是影响电厂稳定工作的巨大隐患,尤其电能关系着人们生活、生产、医疗等方方面面,一旦出现问题将会带来不可估量的损失。
古里水电站、变电站以及输配电线路可能存在的安全问题有:
1 水电站方面
-
基础设施、设备老化,维护不足;
-
所采用的Win系统存在漏洞、弱密码,加固不足;
-
ABB系统已发现的高危漏洞,防护不足:
CNVD-2014-02852 ABB AC800M报文缓冲区溢出漏洞
CNVD-2014-02853 ABB AC800M报文异常取值拒绝服务漏洞
ICSA-10-097-01 ABB NETCADOPS帮助系统漏洞
-
厂内工业控制协议安全防护不足,易受攻击;
-
没有对生产网络流量进行监控和审计,无法及时发现攻击行为;
-
没有采取有力的技术和管理措施对移动U盘和光盘使用有效控制;
-
委内瑞拉政府电力部门运维监管不到位;
-
对安全事件的应急处置工作重视不足,应急预案针对性、可操作性不足。
2变电站方面:
-
各端变电站人员技术水平低下;
-
电磁防护不足;
3 输配电方面:
-
基础设施安全保障不到位,导致主线路火灾发生时难以控制;
-
主线路没有容灾配置,损坏后难以重构;
-
水电站无配电措施,停机后黑启动十分危险。
电力是国家的支柱能源和经济命脉,其安全稳定运行不仅关系到国家的经济发展,而且维系国家安全。随着电网规模的逐渐扩大,安全事故的影响范围越来越大,安全问题越来越突出,电力网络安全运行已经成为全球的研究热点。题主并不是电力行业网络安全专家,只是因项目需要接触到了一些电力行业安全方面的知识,借着学习后的总结分享出来,每个人在不同时机看的东西不一样,欢迎指正~
现代电网需要采用精妙而复杂的手段来平衡社会对电力的需求和发电厂的产能。电网由各个部分协同运行,通过输电线路输送电流,使不同电机发出的交流电保持相位同步,并确保所有设备不会出现过载。电网中的任何一个部分都可能被黑客盯上----电力的MIS系统、电力营销系统、电能电量计费系统、SAP系统、电力ISP业务、经营财务系统、人力资源系统等,可以说目前的电力资源的整合已经完全依赖计算机信息系统来管理了。因此在加强信息系统自身的稳定性同时,也要防范利用网络系统漏洞进行攻击、通过电子邮件进行攻击解密攻击、后门软件攻击、拒绝服务攻击等网络上带来诸多安全问题。
电网网络中容易出问题的环节
发电厂:进入电网的电流,只要频率符合其要求数值,在进入电网时与电网其他部分的节奏完全同步即可。病毒可以向发电机发出指令,诱使它们输出的电流与电网其余部分的电流差半拍。这可以比作高速行驶的汽车突然挂了倒档,必然会使变速箱报废,同样,发电机也会变成冒着烟的一堆废铜烂铁。
变电站:发电站发出的电具有很高的电压,因为电压越高,在输电过程中因电阻发热造成的损耗就越少。第一次压降是在变电站进行的。许多老式变电站使用的拨号的调制解调器,操作人员通过拨号进入系统,从而进行维护操作,但病毒也可利用这些装置潜入系统,篡改关键设置。黑客早在很久前就发明了拨号程序,可以拨打一部交换机系统内的所有电话号码,并记下调制解调器对呼叫有回应的号码。调制解调器在回应时通常会发出一条独有的信息,这条信息很可能会暴露断路器的功能。此后黑客可以改动设备配置,使系统在遇到某些本来会导致断路器立刻跳闸以保护设备的危险情况时毫无反应,这将造成事故和不可挽回的损失。
控制站:作为电网的神经中枢,控制站监视着整个电网的一举一动。当电力需求上升时,价格也随之上升,这时便可能通知电厂开足马力,供应更多电能。控制站的运行中心没有接入互联网,但其业务中心接入互联网。而病毒可以潜入业务端,利用业务端与运行端之间的连接来入侵关键的控制系统。
配电所:配电所是电流进入家庭或单位前的最后一站,它有时需要把来自不同电站的电力汇合起来,通过数十条乃至数百条较小的线路发送出去。新式配电所多装备有无线通信设备,通过无线电信号或Wi-Fi来通信。黑客可以在配电所外拦截信息,并模拟合法指令进行破坏活动。
信息连接:控制站必须实时掌握整个发电、供电流程中的所有最新信息,为技术人员作出明智决策提供参考。黑客在潜入数以千计的普通电脑,并操纵它们形成一个任凭驱使的“僵尸网络”后,便可指挥电脑发出信息破坏网络通信。而控制室的操作人员接收到的也许是早已过时的信息,并根据它来作决策,这类似根据10秒钟以前的路况来驾驶汽车一样,不仅丢失了信息的时效性,且已身处危险之中。
电网的安全防护
微软公司一旦发现其推出的操作系统存在某个安全隐患,通常会发布安全补丁,但对电网而言并非那么简单。电网所用的软硬件都是现成的产品,但电网的相关人员不能仅在问题出现时给有漏洞的软件打个补丁就了事,电网控制系统也不可能每周停机几小时来检修,它必须一直保持运转。面对这样的现实威胁,当然不能坐以待毙,最常见的保护策略就是打造电子安全围墙,即保证网络安全的马奇诺防线。第一道防线是防火墙,所有电子信息进出系统时必须经过防火墙。且每条消息都有一个标题,说明它来自何方,发往哪里,用什么协议来解读信息等。防火墙根据这些资料来判断应该放行或拦截。而操作维护人员的责任之一就是掌握防火墙配置文件,确保防火墙配置得当,防止任何有害信息随意进出,并尝试手动清理病毒可能突破防火墙的途径。
电力网络系统中的安全防护主要包括两方面:一是网络系统中存储和传输的信息数据;二是网络系统中的各类设备。这关系到生产、经营业务的正常运行,同时防止信息数据被非授权访问者的窃取、篡改和破坏。
电力系统网络主要包括各类服务器、路由器及交换机系统。在服务器上有操作系统、数据库系统和其他应用系统。这些系统都或多或少存在"后门"和漏洞,都是安全隐患,一旦被利用并攻击,将带来不可估量的损失。比如网络通讯的TCP/IP协议缺乏相应的安全机制,其中某些协议存在安全漏洞,黑客可以利用这些安全漏洞直接攻击这些设备,修改配置,影响网络的正常运行,或使网络中断,并以这些设备为跳板,继续攻击内部网络资源。对各类操作系统和数据库而言,存在大量已知和未知的漏洞,一些国际上的安全组织已经发布了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。
加强安全防护管理
电力系统在网络信息安全方面应该加强网络信息安全防护管理,防护管理主要表现为(1)密码管理。对不同级别的机密信息设置不同的密码,同时应该避免出现密码相同、密码简单或没有密码的现象。机密信息的密码应该及时更换,不能至始至终使用一个密码,特别是在相关信息管理人员离职之后,及时更换密码。(2)数据管理。在电力系统信息运行过程中,应该对信息的相关数据进行管理,主要是保证数据的完整性,信息工作人员及时对信息进行备份,并且备份信息不能再统一系统中存放,应该分开保存,避免由于病毒的侵害导致信息瘫痪。
建立信息安全体系
在电力系统的信息安全管理过程中,电力系统管理部门应该建立信息安全体系,信息安全体系应该明确信息安全的分工工作,细化工作步骤,要求员工在具体的操作过程中严格按照信息安全体系进行相关的工作。同时,电力系统应该建立专业的信息安全部门,保护网络信息安全,只有建立专业的部门才能对网络信息安全进行实时监督,及时发现网络信息中的安全问题,分析产生问题的原因,采取最佳方式解决问题。电力系统应该对网络信息安全管理人员进行培训,进而提高工作人员的安全意识,工作人员不仅要参加培训,更要合理利用时间学习电力系统网络信息安全方面的知识,为网络信息安全提供保障。
数据传输安全防护
数据传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯。主要是通过文件加密技术和电子签章两种方式。网络上的加密可以分为三层:第一层是数据链路层加密,即将数据在线路传输前后分别对其加密和解密,这样可以减少在传输线路上被窃取的危险;第二层是对传输层的加密,使数据在网络传输期间保持加密状态;第三层使应用层上的加密,让网络应用程序对数据进行加密和解密。通常采用的方式使对这三层进行综合加密,以增强信息的安全性和可靠性。电子签章是对数据的接受者用来证实数据的发送者确实无误的一种方法,他主要通过加密算法和验证协议来实现。
运用防火墙技术
电力系统在防护网络信息安全过程中应该利用防火墙技术,保护网络信息安全。防火墙技术运用的主要作用是拦截网络病毒,阻止网络黑客的入侵。在电力系统中运用防火墙技术一定程度上保护了电力系统中的网络信息安全。电力系统可以利用防火墙技术中的杀毒软件,及时检查网络信息中存在的病毒,能够发现网络信息安全隐患。但在杀毒软件应用过程中,应该注意及时对杀毒软件进行更新,在更新之前对安全信息进行备份,以免由于系统的更新造成信息的丢失或缺失。
加强访问控制管理
访问控制识别并验证用户,将用户限制在已授权的活动和资源范围内,这是访问控制安全机制应该实现的基本功能,访问控制安全机制可以在网络入口处对恶意访问用户进行甄别和过滤,在极大程度上保证了网络访问用户的可靠性。访问控制的实现首先是要考虑对合法用户进行验证,然后对控制策略的选用于管理,最后要对没有非法用户或者是越权操作进行管理,所以,访问控制包括认证、控制策略实现和审计三方面的内容。目前主流的控制技术有可以基于角色的访问控制技术(Role-based Access,RBAC),基于任务的访问控制模型(Task-based Access Control Model,TBAC Model),基于对象的访问控制模型(Object-Based Access Control Model)。
终端病毒的防护
来自网络威胁还有很重要的一点是病毒的危害。病毒本身就是计算机程序,但是它确用来破坏和干扰计算机系统或网络的正常使用,通过编写所谓的恶意代码,来控制或者偷窥计算机资源或使其整个网络瘫痪。计算机病毒可谓是防不胜防,总结了病毒的传播途径主要是通过以下几种方式1通过光盘、软盘传播2通过移动存储介质传播3通过网络传播。所以我们通过安装防病毒软件symantec并跟新最新的病毒库,实时监控病毒,一经发现马上处理。
运用防护检测技术
区域隔离:通过工控防火墙能够过滤两个区域网络间的通信。这样意味着网络故障会被控制在最初发生的区域内,而不会影响到其它部分;
深度检查:面向应用层对特有的工业通讯协议进行内容深度检查,告别病毒库升级缺陷;
通信管控:通信规则是可以通过中央管理平台进行在线组态和测试的;
主机安全防护:安装了主机安全防护系统的电脑在面对自身与外界的安全威胁有了更深的防护级别,深度执行白名单数据库的数据运行;
数据及日志审计:完善的安全审计平台,对网络运行日志、操作系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为;
实时报警:所有部署的防火墙都能由管理平台统一进行实时监控,任何非法的(没有被组态允许的)访问,都会在管理平台产生实时报警信息,从而故障问题会在原始发生区域被迅速的发现和解决。
电力行业在安全方面是考虑地比较早的,形成了“安全分区、网络专用、横向隔离、纵向认证”的总体原则
《电力二次系统安全防护总体方案》
《电力二次系统安全防护总体方案》将电厂的网络拓扑绘制如下:
原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区Ⅰ)和非控制区(又称安全区Ⅱ)。
生产控制大区的安全区划分
(1)控制区(安全区Ⅰ)
控制区中的业务系统或功能模块(或子系统)的典型特征为;是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动控制系统等,其主要使用者为调度员和运行操作人员,数据传输实时性为毫秒级或秒级,其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频(或低压)自动减负荷系统、负荷管理系统等,这类系统对数据传输的实时性要求为毫秒级或秒级,其中负荷管理系统为分钟级。
(2)非控制区(安全区Ⅱ)
非控制区中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或功能模块联系紧密。典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等,其主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非控制区的数据采集频度是分钟级或小时级,其数据通信使用电力调度数据网的非实时子网。
管理信息大区的安全区划分
管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合。电力企业可根据具体情况划分安全区,但不应影响生产控制大区的安全。
根据《电力二次系统安全防护总体方案》对各大区的防护要求:
生产控制大区内部安全防护要求
(1)禁止生产控制大区内部的E-Mail 服务,禁止控制区内通用的WEB 服务。
(2)允许非控制区内部业务系统采用B/S 结构,但仅限于业务系统内部使用。允许提供纵向安全WEB 服务,可以采用经过安全加固且支持HTTPS 的安全WEB 服务器和WEB 浏览工作站。
(3)生产控制大区重要业务(如SCADA/AGC、电力市场交易等)的远程通信必须采用加密认证机制,对已有系统应逐步改造。
(4)生产控制大区内的业务系统间应该采取VLAN 和访问控制等安全措施,限制系统间的直接互通。
(5)生产控制大区的拨号访问服务,服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统,并采取加密、认证和访问控制等安全防护措施。
(6)生产控制大区边界上可以部署入侵检测系统IDS。
(7)生产控制大区应部署安全审计措施,把安全审计与安全区网络管理系统、综合告警系统、IDS 管理系统、敏感业务服务器登录认证和授权、应用访问权限相结合。
(8)生产控制大区应该统一部署恶意代码防护系统,采取防范恶意代码措施。病毒库、木马库以及IDS 规则库的更新应该离线进行。
电力调度数据网应当采用以下安全防护措施
(1)网络路由防护
按照电力调度管理体系及数据网络技术规范,采用虚拟专网技术,将电力调度数据网分割为逻辑上相对独立的实时子网和非实时子网,分别对应控制业务和非控制生产业务,保证实时业务的封闭性和高等级的网络服务质量。
(2)网络边界防护
应当采用严格的接入控制措施,保证业务系统接入的可信性。经过授权的节点允许接入电力调度数据网,进行广域网通信。数据网络与业务系统边界采用必要的访问控制措施,对通信方式与通信业务类型进行控制;在生产控制大区与电力调度数据网的纵向交接处应当采取相应的安全隔离、加密、认证等防护措施。对于实时控制等重要业务,应该通过纵向加密认证装置或加密认证网关接入调度数据网。
(3)网络设备的安全配置
网络设备的安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF 路由功能、采用安全增强的SNMPv2 及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、封闭空闲的网络端口等。
(4)数据网络安全的分层分区设置
电力调度数据网采用安全分层分区设置的原则。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网(简称骨干网)。省调、地调和县调及省、地直调厂站节点构成省级调度数据网(简称省网)。
县调和配网内部生产控制大区专用节点构成县级专用数据网。县调自动化、配网自动化、负荷管理系统与被控对象之间的数据通信可采用专用数据网络,不具备专网条件的也可采用公用通信网络(不包括因特网),且必须采取安全防护措施。
各层面的数据网络之间应该通过路由限制措施进行安全隔离。当县调或配调内部采用公用通信网时,禁止与调度数据网互联。保证网络故障和安全事件限制在局部区域之内。
企业内部管理信息大区纵向互联采用电力企业数据网或互联网,电力企业数据网为电力企业内网。
横向隔离
横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。
按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面的要求。
严格禁止E-Mail、WEB、Telnet、Rlogin、FTP 等安全风险高的通用网络服务和以B/S 或C/S 方式的数据库访问穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。
控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。
纵向认证
纵向加密认证是电力二次系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。暂时不具备条件的可以采用硬件防火墙或网络设备的访问控制技术临时代替。
纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护,同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外,还应实现对电力系统数据通信应用层协议及报文的处理功能。
对处于外部网络边界的其他通信网关,应进行操作系统的安全加固,对于新上的系统应支持加密认证的功能。
重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置;当调度中心侧已配置纵向加密认证装置时,与其相连的小型厂站侧可以不配备该装置,此时至少实现安全过滤功能。
传统的基于专用通道的数据通信不涉及网络安全问题,新建系统可逐步采用加密等技术保护关键厂站及关键业务。
通过采用一整套的工控系统信息安全解决方案,以建立纵深防御策略为主要思想,确保通讯网络中即使某一点发生网络安全事故,系统也能正常运行,同时,工厂操作人员能够很迅速的找到问题并进行处理,在保证建立立体化防护的同时,使水电厂符合安全要求。
综上,针对电力等基础设施和工业系统,在落实能力导向建设模式构建动态综合防御体系的工作中,必须以保障业务运行的连续性和可靠性要求为基本前提,这就对基础结构安全能力、纵深防御层面安全能力的规划、建设和安全运行提出了更高的要求,对于现网系统,针对各种等可能对业务连续性产生潜在影响的安全动作,需要极为慎重,综合采用合理规划、分区分域、收窄暴露面等方式,有效布防,并通过完备的应急响应预案制定、演训式威胁评估等相关措施,最大限度避免或减少对业务系统可能产生的影响,确保系统业务的弹性恢复能力。