0 引言

    隨著工業4.0的推進，原本相對安全的工業設備開始暴露在網絡環境下，使得設備的通信系統的安全面臨新的挑戰，并暴露出很多安全漏洞，特別是以電力行業為首的能源行業，成了“重災區”。本文主要研究了電力監控系統的通信安全問題，分析了當前電力監控系統安全防護方案及其不足，最后提出了一種基于可信網絡連接結合工控協議白名單的新方法。

1 電力監控系統通信安全問題

    在電力監控系統中，目前常用的協議有IEC-61850系列協議，包括MMS、GOOSE、SV等，以及IEC60870-5系列協議，包括IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-104等。IEC-61850系列協議主要應用在智能變電站，IEC60870-5系列協議主要應用在配網自動化。

    由于以上工控協議在設計之初，專注于功能、性能、可靠性的實現，以滿足工業生產的基本需求，而忽視了對信息安全需求的考慮，導致以上工控協議普遍存在如表1所示的安全隱患。

2 當前電力監控系統安全防護方案

    2014年，國家發改委發布《電力監控系統安全防護規定》（發改委2014年第14號令）。

    2015年，國家能源局下發《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》（國能安全〔2015〕36號）。

    發改委2014年第14號令與國能安全〔2015〕36號文，共同構成了當前電力監控系統的安全防護指導方案。

2.1 發改委14號令與能源局36號文概述

    發改委14號令可以理解為原電監會5號令的“升級”版本。

    2004年原電監會發布第5號令《電力二次系統安全防護規定》（以下簡稱“5號令”），并隨后陸續下發了相關配套文件。5號令的核心是“安全分區、網絡專用、橫向隔離、縱向認證”十六字方針，其主要內容為：合理劃分安全分區，擴充完善電力調度專用數據網，采取必要的安全防護技術和防護設備，剝離非生產性業務，實現電力調度數據網絡與其他網絡的物理隔離。

    發改委14號令相比5號令，在技術方面的主要增強體現在：一是針對配電網、分布式電源廣泛使用無線公網進行數據通信的實際情況，提出了在生產控制大區內設置“安全接入區”的理念，并明確了相關的技術規定和要求；二是從設備選型及配置、漏洞及風險整改等方面提出了相關的要求，使電力監控系統安全防護體系從重點強化“邊界防護”向“縱深防御”發展。

    能源局36號文則是發改委14號令的配套文件，將發改委14號令的要求具體細化，明確給出了對發電廠、省級以上調度中心、地級調度中心、變電站、配電的電力監控系統的安全防護要求。電力監控系統安全防護總體架構如圖1所示。

2.2 當前防護方案解決通信安全問題的不足

    發改委14號令與能源局36號文對電力監控系統網絡層的安全防護要求，主要涉及單向安全隔離、縱向加密認證、防火墻、網絡審計、入侵檢測，其中單向安全隔離、縱向加密認證屬于邊界防護措施。本文重點討論電力監控系統內部通信安全問題，所以，下面分析防火墻、網絡審計、入侵檢測能否解決前文提到的通信安全問題。

2.2.1 防火墻

    防火墻的核心功能是基于IP地址、端口對網絡會話進行過濾?；贗P地址對訪問者身份進行限制，一定程度上緩解了前文提到的協議缺乏認證的問題，但是IP地址是容易被偽冒的。另外，防火墻對于協議缺乏授權、缺乏加密是無能為力的。

2.2.2 網絡審計

    網絡審計設備通常通過旁路部署方式對網絡會話行為進行檢測和記錄。網絡審計設備同樣是基于IP地址記錄訪問對象，所以面臨防火墻同樣的問題，無法解決協議缺乏認證的問題，同時網絡審計設備對于協議缺乏加密是無能為力的。網絡審計設備通過對網絡會話行為的記錄，提供了事后審計的能力，能夠對越權操作行為形成一定的威懾，一定程度上緩解協議缺乏授權的問題。

2.2.3 入侵檢測

    入侵檢測設備通常通過旁路部署方式對網絡攻擊行為進行檢測和報警。入侵檢測設備同樣是基于IP地址確定訪問對象，所以面臨防火墻同樣的問題，無法解決協議缺乏認證的問題，同時入侵檢測設備對于協議缺乏加密是無能為力的。目前通常的入侵檢測設備，無法理解電力監控系統中的工控協議，所以無法對工控協議中的越權行為進行檢測；針對電力監控系統開發的入侵檢測設備，能夠對越權操作行為進行實時監測與報警，能夠一定程度上緩解協議缺乏授權的問題。

    綜上所述，當前規范中的方案和技術，未能解決好前文提到的通信安全問題。

3 可信網絡連接結合工控協議白名單解決方案

    當前電力監控系統通信安全問題，其根源在于工控協議設計缺乏信息安全考慮，但這是短期無法改變的。本文嘗試提出一種基于可信網絡連接結合工控協議白名單的新方法，來解決前述問題。

    可信網絡連接(Trusted Network Connection，TNC)是通過對信任鏈的建立，將可信計算平臺的可信性延伸到網絡環境來實現整個網絡可信。可信網絡連接的核心思想是：通過對請求連接的終端平臺的可信性進行驗證，根據其可信性對終端的接入進行控制，來確保網絡連接環境的可信。

3.1 可信網絡連接在電力監控系統的應用

    下面以IEC60870-5-104為例進行說明，其報文格式如圖2。

    啟動字符68H定義了數據流中的起點，ASDU的長度為ASDU的字節數加4個控制字節，根據4個控制字節的取值，可分為三類報文，即：I格式幀（信息傳輸功能報文）、S格式幀（監視功能報文）、U格式幀（未編號的控制功能報文）。幀格式如圖3所示。

    圖4所示的報文表示控制站發送遙控報文。

    如果把報文的06字段的值改成08就表示取消遙控。如果按照當前的防護方案，黑客利用IEC60870-5-104協議缺乏認證的漏洞，將便攜計算機接入電力監控系統網絡后可以直接對控制器發起攻擊，把原本控制站發送的遙控指令取消。

    將可信網絡連接技術應用于電力監控系統，需要進行如下改造：

    (1)將電力監控系統中的設備，都改造為可信計算平臺；

    (2)引入可信證明服務器，對接入電力監控系統網絡的設備進行驗證，只有驗證為可信的設備才允許接入網絡。具體實施時，可以采用802.1x技術實現。

    因為可信計算技術比較成熟，以上技術實現不展開敘述。

    采用了可信網絡連接技術后，非法設備將無法接入電力監控系統網絡，或者說電力監控系統中通信各方都是合法設備，整個電力監控系統處于一個可信任的網絡環境中。所以，可信網絡連接技術能夠較好解決工控協議缺乏認證的問題。對于工控協議缺乏加密的問題，雖然仍然存在，但是由于網絡中的對象都是可信任的，問題得到部分緩解。對于工控協議缺乏授權的問題，同樣由于網絡中的對象都是可信任的，問題得到部分緩解，但是對于管理人員誤操作或者內部人攻擊問題是無效的。所以，下面結合工控協議白名單技術來解決前述問題。

3.2 工控協議白名單在電力監控系統的應用

3.2.1 工控協議白名單的構造

    工控協議白名單是以工控協議的深度解析為基礎，通過對工控協議報文的應用層進行深度解析，獲取電力監控操作的功能碼、寄存器、值域等關鍵字段，結合時間、IP地址、端口等信息，建立電力監控操作的正常行為模型。這個模型包含了報文中所有需要過濾的關鍵字段，通過對所有關鍵字段進行編譯（編譯的目的是加快關鍵字段匹配的速度）后形成的一個列表，這個列表被稱作工控協議白名單。

    工控協議白名單的產生方式分為自學習和手動兩種：自學習方式是通過捕獲網絡上的工控協議報文后進行深度解析并自動生成工控協議白名單；手動方式是通過手動添加規則的方式來生成工控協議白名單。

3.2.2 工控協議白名單的匹配

    白名單的匹配過程是通過捕獲工控協議報文，提取關鍵字段后按照生成白名單的編譯方式進行編譯后去和已知的白名單庫進行匹配。如果命中，證明是合法操作；否則，就可能是管理人員誤操作或者內部人攻擊。

4 驗證測試

4.1 測試環境

    實驗室仿真環境及組網如圖5所示。仿真環境中的設備情況如表2所示。

4.2 測試結果

4.2.1 不啟用可信網絡連接和工控協議白名單防護

    工業交換機配置為不啟用802.1x，工業防火墻配置為全部允許規則。

    攻擊方式1：從攻擊電腦，直接對PLC發起攻擊

    攻擊步驟：

    (1)將攻擊電腦接入工業交換機，進行網絡掃描，發現PLC的IP地址及其開放的端口TCP 102；

    (2)執行CVE-2016-3949漏洞攻擊腳本，對PLC的TCP 102端口進行攻擊；

    (3)PLC進入故障模式，只有冷啟動可恢復系統。

    攻擊方式2：從客戶機A，模擬發起內部人攻擊

    攻擊步驟：

    (1)從客戶機A上，通過WINCC軟件向PLC下發STOP指令；

    (2)PLC進入停機狀態，只有冷啟動可恢復系統。

4.2.2 啟用可信網絡連接和工控協議白名單防護

    工業交換機配置為啟用802.1x，工業防火墻配置為啟用工控協議白名單防護。

    攻擊方式1：從攻擊電腦，直接對PLC發起攻擊

    攻擊步驟：

    (1)將攻擊電腦接入工業交換機，工業交換機要求攻擊電腦進行身份驗證；

    (2)攻擊電腦由于沒有合法身份，無法驗證通過，無法接入網絡；

    (3)攻擊電腦無法進行網絡掃描，執行CVE-2016-3949漏洞攻擊腳本，PLC不受影響，工作正常。

    攻擊方式2：從客戶機A，模擬發起內部人攻擊

    攻擊步驟：

    (1)從客戶機A上，通過WINCC軟件向PLC下發STOP指令；

    (2)S7 STOP指令在到達工業防火墻時被攔截，PLC不受影響，工作正常，并在統一管理平臺上產生報警。

5 結束語

    本文介紹了當前電力監控系統通信安全存在的問題，分析了當前技術方案的不足，最后嘗試提出一種基于可信網絡連接結合工控協議白名單的技術方案，能夠較好地解決當前電力監控系統的通信安全問題。工業4.0時代，網絡已經在電力行業中被廣泛使用，電力監控系統在設計之初就存在的問題隨之暴露出來，烏克蘭的停電事故折射出目前電力監控系統的脆弱性，解決電力控制系統中的通信安全問題刻不容緩。

參考文獻

[1] 國家電力監管委員會．電力二次系統安全防護規定(電監會5號令)[S]．2004．

[2] 國家電力監管委員會．關于印發電力二次系統安全防護總體方案等安全防護方案的通知(電監安全[2006]34號文)[S]．2006.

[3] 李戰寶，張文貴，潘卓．美國確保工業控制系統安全的做法及對我們的啟示[J]．信息網絡安全，2012，51(8)：51-53．

[4] 王平，靳智超，王浩．EPA工業控制網絡安全測試系統設計與實現[J]．計算機測量控制，2009，17(11)：53-55．

[5] GB/T 20984—2007.信息安全技術信息安全風險評估規范[S].2007.

[6] 陳曉剛，孫可，曹一家.基于復雜網絡理論的大電網結構脆弱性分析[J].電工技術學報，2007，22(10)：138-144.

[7] 楊華飛，李棟華，程明.電力大數據關鍵技術及建設思路的分析和研究[J].電力信息與通信技術，2015，13(1)：7-10.

[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.

[9] 周亮.組態化智能變電站信息系統中若干問題研究[D].合肥：合肥工業大學，2011.

[10] 何群峰.電能表現場校驗智能分析系統[D].杭州：浙江大學，2010.

[11] 鐘粱高.基于可信計算的工業控制系統信息安全解決方案研究[D].大連：大連理工大學，2015.

作者信息:

胡朝輝，王方立

(廣東電網有限責任公司電力科學研究院，廣東 廣州510080)