0 引言

工業(yè)控制系統(tǒng)廣泛應(yīng)用于電力、水力、石化等工業(yè)領(lǐng)域。其中,超過80%的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分^[1-2]。隨著工業(yè)控制和基礎(chǔ)設(shè)施智能化迅速發(fā)展,信息技術(shù)被廣泛應(yīng)用到工業(yè)領(lǐng)域,工業(yè)控制系統(tǒng)越來越開放、多變,使得傳統(tǒng)相對封閉的工業(yè)控制系統(tǒng)面臨新的網(wǎng)絡(luò)安全威脅。從20l0年的“震網(wǎng)病毒”、2014年的Havex病毒、2015和2016年的烏克蘭停電等幾起重大安全攻擊事件可以看出,目前針對工控系統(tǒng)的攻擊不再需要復(fù)雜攻擊手段、完整還原業(yè)務(wù)系統(tǒng)運行狀態(tài),就能直接影響工控系統(tǒng)的正常運行,攻擊成本在降低,而攻擊所帶來的影響卻進(jìn)一步加重。

電力工業(yè)控制系統(tǒng)支撐發(fā)、輸、變、配、用以及調(diào)度等各環(huán)節(jié),一旦遭受破壞,可能影響國家和社會安全。國家、電力企業(yè)對電力工控系統(tǒng)安全問題高度重視,并提出相關(guān)配套技術(shù)文件,為全行業(yè)建立電力工控系統(tǒng)安全防護(hù)體系提供政策保障。國內(nèi)學(xué)者也對電力工控系統(tǒng)安全積極展開研究,但研究工作剛剛起步,而且大部分研究是將公共信息網(wǎng)絡(luò)安全理論和安全技術(shù)直接應(yīng)用到對電力工業(yè)控制系統(tǒng)的安全保護(hù)中^[3-4],目前已有的相關(guān)安全技術(shù)不足以應(yīng)對日新月異的攻擊手段。

 1 電力工業(yè)控制系統(tǒng)安全特點及風(fēng)險分析

1.1 電力工業(yè)控制系統(tǒng)安全的特點

與傳統(tǒng)信息系統(tǒng)的安全相比,電力工業(yè)控制系統(tǒng)的安全主要具有以下特點。

1）安全要求不同。工業(yè)控制系統(tǒng)的首要原則是保障業(yè)務(wù)連續(xù)性^[5],生產(chǎn)過程中任何的中斷都不能被允許,而傳統(tǒng)信息系統(tǒng)在運行過程中的中斷或重啟能夠被容忍。因此,在考慮電力工控系統(tǒng)安全時要優(yōu)先保證可用性。

2）通信規(guī)約安全性不同。傳統(tǒng)信息系統(tǒng)采用統(tǒng)一的TCP/IP協(xié)議和HTTP等標(biāo)準(zhǔn)協(xié)議;工控系統(tǒng)有大量專用和私有協(xié)議,適用于多種應(yīng)用需求,其在設(shè)計之初并未考慮足夠的安全需求,存在嚴(yán)重的安全漏洞。

3）智能終端安全性差。智能電網(wǎng)業(yè)務(wù)系統(tǒng)使用大量嵌入式終端設(shè)備,在使電網(wǎng)更加網(wǎng)絡(luò)化、智能化、多功能的同時,也帶來了更多的安全風(fēng)險。研究表明大部分智能終端設(shè)備存在大量安全隱患和安全漏洞,如大量終端設(shè)備中存在命令注入、硬編碼等漏洞,相關(guān)終端設(shè)備的固件同時還存在廠商植入的后門。一旦遭受攻擊,將導(dǎo)致電力設(shè)備故障,后果不堪設(shè)想。

4）安全危害程度嚴(yán)重。傳統(tǒng)信息系統(tǒng)攻擊主要影響虛擬資產(chǎn),而針對電力工控系統(tǒng)的攻擊可能直接破壞物理設(shè)備,例如利用緩沖區(qū)溢出執(zhí)行非法授權(quán)指令,從而對工業(yè)現(xiàn)場設(shè)備下發(fā)非法控制指令（例如修改運行參數(shù)、關(guān)閉閥門開關(guān)等）,極易引起工業(yè)現(xiàn)場生產(chǎn)設(shè)備的突然中斷,導(dǎo)致重大安全事故。

與其他工控系統(tǒng)相比,電力工控系統(tǒng)還具有規(guī)模大、距離遠(yuǎn)、覆蓋范圍廣、交叉感染性強的特點。電力工控系統(tǒng)網(wǎng)絡(luò)范圍覆蓋全國,從邏輯架構(gòu)上劃分發(fā)電、輸電、變電、配電、用電、調(diào)度6個環(huán)節(jié),各環(huán)節(jié)緊密關(guān)聯(lián),一個環(huán)節(jié)出現(xiàn)安全問題,可能造成其他環(huán)節(jié)的連鎖反應(yīng),對故障范圍控制、系統(tǒng)自愈能力、實時響應(yīng)及災(zāi)備等要求更高,安全頂層設(shè)計的難度更大。

1.2 電力工業(yè)控制系統(tǒng)的安全風(fēng)險

分析工控系統(tǒng)歷史安全事件,電力工控系統(tǒng)存在的安全風(fēng)險主要源于以下幾方面。

1）工控通信協(xié)議缺乏安全設(shè)計。專用工控通信協(xié)議在設(shè)計階段僅強調(diào)通信實時性與可用性,普遍欠缺安全機制,很可能會造成工控協(xié)議漏洞,例如表1列出部分工控通信協(xié)議在設(shè)計階段存在的安全漏洞^[6],這些漏洞很有可能受到攻擊者的利用;再如控制中心同站控系統(tǒng)之間主要采用IEC60870-5-101/104規(guī)約進(jìn)行通信,但104規(guī)約欠缺加密與認(rèn)證等安全機制,且一直采用固定的2404端口,存在被竊聽、替換的安全風(fēng)險^[7]。

表1 工控通信協(xié)議在設(shè)計階段存在的安全漏洞Tab.1 Several vulnerabilities in the design of industrial communication protocol

2）長期“帶病”作業(yè)。工控系統(tǒng)安全威脅的根本原因是普遍存在的漏洞和后門。截止2016年底,公開發(fā)布的工控系統(tǒng)漏洞數(shù)量累計已超過900多個。據(jù)統(tǒng)計^[8],2010年以前工控系統(tǒng)漏洞數(shù)量相對較少（每年新增至多5個）,2010年以后快速增長,2011年公開的工控系統(tǒng)漏洞多達(dá)200個,此后幾年均超過100多個,并且這些漏洞普遍存在于當(dāng)前應(yīng)用廣泛的主流工控產(chǎn)品中。鑒于電力工控系統(tǒng)持續(xù)性業(yè)務(wù)要求、工控協(xié)議種類繁多、設(shè)備使用周期長以及系統(tǒng)補丁兼容性差、發(fā)布周期長等現(xiàn)實問題,發(fā)現(xiàn)安全漏洞后,無法及時處理威脅嚴(yán)重的漏洞,安裝安全補丁,電力工控設(shè)備長期處于“帶病”作業(yè)狀態(tài)。例如施耐德ConneXium系列工業(yè)防火墻產(chǎn)品的Web管理接口被某安全公司檢測出緩沖區(qū)溢出漏洞,攻擊者能夠利用該漏洞在目標(biāo)設(shè)備中遠(yuǎn)程執(zhí)行任意代碼,并干擾正常的網(wǎng)絡(luò)通信。然而,據(jù)安全公司透露的信息,施耐德目前已開發(fā)出能夠修復(fù)該漏洞的更新補丁,但是廠商目前由于種種原因還未能向用戶推送這個修復(fù)補丁^[8]。

3）安全審計功能欠缺。來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作是電力工控系統(tǒng)面臨的主要安全風(fēng)險之一。據(jù)統(tǒng)計^[9],對企業(yè)造成的嚴(yán)重攻擊事件中,有70%來自企業(yè)的內(nèi)部人員。部分工控系統(tǒng)不具備安全審計功能、或安全審計功能不完善、或因性能原因安全審計功能不開啟導(dǎo)致工控系統(tǒng)違規(guī)操作缺乏有效的監(jiān)控、管理和審計,給工控系統(tǒng)埋下極大的安全隱患。

4）安全管理機制亟待完善。缺失或不夠完善的安全管理成為導(dǎo)致電力工業(yè)控制系統(tǒng)安全風(fēng)險的一個重要因素：①終端、計算機接口等接入限定不夠明確,不同版本、安全要求、通信要求的設(shè)備直接或間接互聯(lián),導(dǎo)致工控系統(tǒng)內(nèi)部感染、快速傳播病毒幾率倍增;②缺乏安全機制實施方面的管理機制,缺少針對工控系統(tǒng)不間斷操作或者災(zāi)難恢復(fù)機制,導(dǎo)致工業(yè)現(xiàn)場容易留下安全隱患;③電力工控系統(tǒng)的運行維護(hù)嚴(yán)重依賴廠商人員,現(xiàn)場操作與維護(hù)人員安全意識淺薄,無意或故意的錯誤操作都有可能給變電站/電網(wǎng)運行帶來致命災(zāi)難。

5）高級可持續(xù)性威脅（Advanced Persistent Threat,APT）攻擊等新型攻擊手段層出不窮。APT主要利用最新的0-day漏洞,與工控系統(tǒng)的正常業(yè)務(wù)過程進(jìn)行貼合,采用多種攻擊技術(shù)或組合攻擊模式達(dá)到其目的,其攻擊過程緩慢,具有針對性、持續(xù)性、隱蔽性。一旦進(jìn)入目標(biāo)系統(tǒng)后,為了達(dá)到有效的攻擊,會持續(xù)尋找攻擊的宿主目標(biāo)。現(xiàn)有的技術(shù)手段很難有效發(fā)現(xiàn)APT攻擊,在工業(yè)現(xiàn)場普遍缺乏安全防護(hù)手段的情況下,利用0-day漏洞的這類新型攻擊正成為電力工控系統(tǒng)安全防護(hù)的新挑戰(zhàn)。

 2 國內(nèi)外研究現(xiàn)狀

2.1 工業(yè)控制系統(tǒng)的安全形勢

受近年來各類工控網(wǎng)絡(luò)安全事件的影響,世界各國紛紛加大對國內(nèi)工控安全的投入。

美國政府在多個政策和文件中把工業(yè)控制系統(tǒng)安全保護(hù)作為重要的工作任務(wù)。2008年美國在相關(guān)信息和網(wǎng)絡(luò)安全計劃中,將工業(yè)控制系統(tǒng)列入國家需重點保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施范疇;2009年美國《第44屆總統(tǒng)的保護(hù)網(wǎng)絡(luò)空間安全的報告》明確要求“保護(hù)工業(yè)控制系統(tǒng),特別是SCADA系統(tǒng)的安全”;2015年6月美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布第二版工業(yè)控制系統(tǒng)（ICS）安全指南。2013年4月法國總統(tǒng)府發(fā)布《國防與國家安全白皮書》,重點關(guān)注關(guān)鍵數(shù)字基礎(chǔ)設(shè)施安全;2013年西班牙成立工業(yè)網(wǎng)絡(luò)安全中心（ICC）,并發(fā)布《西班牙工業(yè)網(wǎng)絡(luò)安全路線圖》、《西班牙工業(yè)網(wǎng)絡(luò)安全現(xiàn)狀》等文件,以解決該國關(guān)鍵信息和通信技術(shù)中存在的網(wǎng)絡(luò)安全漏洞;2013年10月歐洲網(wǎng)絡(luò)與信息安全局ENISA發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全白皮書》;2013年以色列國家電力公司發(fā)起一項培訓(xùn)計劃,以提高關(guān)鍵基礎(chǔ)設(shè)施和民用設(shè)備的安全性;2014年3月卡塔爾發(fā)布國家ICS安全標(biāo)準(zhǔn)。

據(jù)普華永道發(fā)布的2016年全球信息安全狀況調(diào)查報告顯示^[10],中國工控系統(tǒng)領(lǐng)域的安全事件呈暴漲趨勢,相比于2015年增長了2 213%。工業(yè)控制系統(tǒng)安全引起我國的高度重視,已提升到國家安全戰(zhàn)略的地步。國家及行業(yè)主管部門一直以來高度重視電力工控系統(tǒng)安全工作：2004年國家電力監(jiān)管委員會發(fā)布5號令《電力二次系統(tǒng)安全防護(hù)規(guī)定》^[11];2011年工信部發(fā)布工信部協(xié)451號《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》^[12];2013電監(jiān)會發(fā)布50號文《電力工控信息安全專項監(jiān)管工作方案》;2014年發(fā)改委發(fā)布第14號令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》^[13];2014、2015年能源局分別頒布《電力行業(yè)信息安全等級保護(hù)管理辦法》及《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》（國能安全〔2015〕36號）;2016年11月年全國人大常委會經(jīng)表決通過《中華人民共和國網(wǎng)絡(luò)安全法》,明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全、建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警與應(yīng)急處置制度等方面;2016年工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,應(yīng)對新時期工控安全形勢,指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作。

目前,國家電網(wǎng)公司已建立了柵格狀縱深電力工控系統(tǒng)安全防護(hù)體系。為了全面貫徹落實國家和行業(yè)網(wǎng)絡(luò)安全要求,在“十三五”期間,國家電網(wǎng)公司擬定了“可管可控、精準(zhǔn)防護(hù)、可視可信、智能防御”的信息安全智能防護(hù)體系,打造下一代智能電網(wǎng)安全主動防御保障體系。

2.2 工業(yè)控制系統(tǒng)的安全技術(shù)演進(jìn)

早期針對工控系統(tǒng)安全技術(shù)的研究主要借鑒傳統(tǒng)信息系統(tǒng)的相關(guān)安全技術(shù),例如防火墻技術(shù)、入侵檢測技術(shù)等,以安全防護(hù)為主,輔以檢測與監(jiān)測技術(shù)。與傳統(tǒng)防火墻相比,工業(yè)防火墻技術(shù)^[14]需要支持專用工業(yè)控制協(xié)議,具有狀態(tài)檢測與狀態(tài)分析功能,并能滿足系統(tǒng)實時性要求。目前主要通過規(guī)則更新來兼容支持DNP3、Profibus、控制中心間通信協(xié)議（Inter Control-Center Communication Protocol,ICCP）等典型工控協(xié)議,或采用類似深度報文檢測技術(shù)^[15]實現(xiàn)對封裝在TCP/IP協(xié)議負(fù)載內(nèi)的工業(yè)協(xié)議進(jìn)行檢測,從而對工業(yè)協(xié)議實現(xiàn)數(shù)據(jù)級深度過濾。

針對傳統(tǒng)信息系統(tǒng)的入侵檢測技術(shù)研究較為成熟,由于工控系統(tǒng)實用性要求,不能直接將傳統(tǒng)入侵檢測技術(shù)應(yīng)用于工控系統(tǒng)。目前,研究人員主要基于支持向量機、神經(jīng)網(wǎng)絡(luò)、模式識別等對工控系統(tǒng)入侵檢測技術(shù)展開研究,并根據(jù)檢測對象分為基于流量的入侵檢測、基于協(xié)議的入侵檢測、基于狀態(tài)設(shè)備的入侵檢測^[16]。目前基于協(xié)議的工控系統(tǒng)入侵檢測技術(shù)需要針對某種特定工控協(xié)議格式進(jìn)行大量研究,無法進(jìn)行擴展,缺乏普遍性。

目前,針對工控協(xié)議的安全研究成為工控安全的核心研究內(nèi)容。工控協(xié)議安全技術(shù)包括工控協(xié)議解析及脆弱性分析。工控協(xié)議解析方面,研究人員主要基于網(wǎng)絡(luò)流量的協(xié)議逆向分析和基于執(zhí)行軌跡的協(xié)議逆向分析技術(shù)開展深入研究^[17],其中基于網(wǎng)絡(luò)流量的協(xié)議逆向分析與平臺無關(guān),實現(xiàn)簡單,但對樣本的數(shù)量和多樣性要求很高,協(xié)議狀態(tài)機復(fù)原難,準(zhǔn)確性較低;基于執(zhí)行軌跡的協(xié)議逆向分析協(xié)議狀態(tài)機復(fù)原準(zhǔn)確,準(zhǔn)確性較高,但是依賴協(xié)議實體的運行環(huán)境,效率低,耗時長。協(xié)議的脆弱性分析技術(shù)主要包括模糊測試技術(shù)和程序分析技術(shù),模糊測試技術(shù)準(zhǔn)確性較高,覆蓋率低;程序分析技術(shù)具有高覆蓋率,但準(zhǔn)確性較低,漏洞需要人工再次確認(rèn)。

 3 電力工業(yè)控制系統(tǒng)安全防護(hù)體系

在深入分析典型工控安全事件、調(diào)研電力工控系統(tǒng)的相關(guān)安全技術(shù)的基礎(chǔ)上,本文從安全檢測、安全監(jiān)測、安全防護(hù)3方面歸納總結(jié)了一套針對電力工業(yè)控制系統(tǒng)的安全防護(hù)體系（見圖1）。

圖1 電力工業(yè)控制系統(tǒng)的安全防護(hù)體系Fig.1 Security protection architecture of power industry control system

3.1 安全檢測

從漏洞檢測、惡意代碼檢測、惡意行為檢測、APT檢測等方面建立安全的檢測能力,及時發(fā)現(xiàn)電力工控系統(tǒng)的異常情況。

1）漏洞檢測。針對智能電網(wǎng)工控系統(tǒng)中的現(xiàn)場測控設(shè)備、網(wǎng)絡(luò)設(shè)備、計算機設(shè)備、安全設(shè)備、工控通信協(xié)議等,結(jié)合污點傳播分析、符號執(zhí)行、動態(tài)二進(jìn)制分析、軟件逆向工程、滲透測試等技術(shù)手段實現(xiàn)漏洞檢測與挖掘。結(jié)合來自國家專業(yè)機構(gòu)、安全廠商、CS-CERT、CVE等國內(nèi)外知名機構(gòu)發(fā)布的漏洞信息,形成電力工控系統(tǒng)漏洞庫核心資源。設(shè)置專門的補丁管理人員,針對上述漏洞及時完成補丁的制作與發(fā)布,嚴(yán)格管理補丁安裝。

2）惡意代碼檢測。惡意代碼是電力工控系統(tǒng)的主要威脅之一。隨著安全技術(shù)的發(fā)展,工控系統(tǒng)攻擊者逐漸將攻擊對象轉(zhuǎn)移至底層系統(tǒng),從而逃避檢測,例如Rootkit木馬能夠入侵PLC系統(tǒng)中的底層組件^[18]。因此,生產(chǎn)控制大區(qū)內(nèi)主站端和重要的廠站端、企業(yè)管理信息大區(qū)內(nèi)分別部署一套惡意代碼檢測與防護(hù)系統(tǒng),對關(guān)鍵工控設(shè)備、底層組件、臨時接入設(shè)備、遠(yuǎn)控協(xié)議等實施多層次的惡意代碼掃描檢測,及時更新惡意代碼特征碼,查看查殺記錄,采取防范惡意代碼措施。

3）惡意行為檢測。搜集智能電網(wǎng)工控系統(tǒng)已知的惡意行為,形成業(yè)務(wù)安全威脅樣本庫,并提取相關(guān)特征。基于惡意行為動態(tài)審計等技術(shù)手段,及時發(fā)現(xiàn)工控系統(tǒng)中組態(tài)軟件、應(yīng)用軟件、現(xiàn)場測控終端、移動終端等的惡意行為,并提供實時告警和攔截,生成審計報告。

4）APT檢測。針對APT安全威脅行為的檢測,需要針對整個電力工控系統(tǒng)中的站控系統(tǒng)、關(guān)鍵監(jiān)測設(shè)備、現(xiàn)場終端、安全設(shè)備、工控協(xié)議等進(jìn)行持續(xù)的數(shù)據(jù)采集與監(jiān)測,結(jié)合行為模式、白名單分析等對異常行為進(jìn)行多層次分析,盡快識別APT惡意行為并采取相應(yīng)的安全防范措施。

3.2 安全監(jiān)測

建立對電力工控系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流量、通信協(xié)議、外部交互等多層次的綜合監(jiān)測,全面掌握智能電網(wǎng)工控系統(tǒng)安全狀況。

1）運行狀態(tài)監(jiān)測。實現(xiàn)資產(chǎn)的分組管理,對電力工控系統(tǒng)的關(guān)鍵控制設(shè)備、現(xiàn)場設(shè)備的運行狀態(tài)、軟硬件配置變更、設(shè)備資源占用情況、各關(guān)鍵控制模塊的狀態(tài)等進(jìn)行監(jiān)測。當(dāng)系統(tǒng)發(fā)現(xiàn)監(jiān)控的某些狀態(tài)達(dá)到峰值,采取措施進(jìn)行降級處理,避免系統(tǒng)在高負(fù)荷下運行發(fā)生故障或崩潰。

2）網(wǎng)絡(luò)流量監(jiān)測。對電力工控系統(tǒng)內(nèi)網(wǎng)絡(luò)流量進(jìn)行實時監(jiān)測,通過采集、識別、存儲與診斷,能夠通過異常的網(wǎng)絡(luò)流量識別發(fā)現(xiàn)非法外聯(lián),異常的網(wǎng)絡(luò)應(yīng)用和通信行為,對異常網(wǎng)絡(luò)流量進(jìn)行實時報警,從而發(fā)現(xiàn)工控內(nèi)網(wǎng)中存在的安全隱患。通過深入的分析加以甄別判定,全面掌握內(nèi)網(wǎng)主機、設(shè)備工作運行狀態(tài)。

3）工控通信協(xié)議監(jiān)測。對常用的電力工控通信協(xié)議通信過程及狀態(tài)的監(jiān)測,從協(xié)議攻擊、協(xié)議可信性、異常數(shù)據(jù)包、數(shù)據(jù)重放、協(xié)議可用性、協(xié)議類型等方面監(jiān)測電力工控通信協(xié)議的安全,監(jiān)控并統(tǒng)計數(shù)據(jù)傳輸?shù)某晒εc失敗,根據(jù)不同的協(xié)議類型和用戶進(jìn)行流量統(tǒng)計,并提供常見電力工控協(xié)議和所監(jiān)控協(xié)議的詳細(xì)信息,針對工控協(xié)議的異常進(jìn)行實時
告警。

4）外部交互監(jiān)測。生產(chǎn)控制大區(qū)應(yīng)當(dāng)逐步推廣內(nèi)網(wǎng)安全監(jiān)測功能,收集邊界處的安全設(shè)備和網(wǎng)絡(luò)設(shè)備的日志信息,利用網(wǎng)絡(luò)流量分析技術(shù)監(jiān)測電力監(jiān)控系統(tǒng)與外部系統(tǒng)的交互行為與數(shù)據(jù),及時發(fā)現(xiàn)非法外聯(lián)、外部入侵等安全事件并告警。

3.3 安全防護(hù)

從主機/終端、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等方面提高電力工控系統(tǒng)的安全防護(hù)能力,提升對各類威脅的發(fā)現(xiàn)與防御能力。

1）主機/終端防護(hù)。生產(chǎn)控制大區(qū)站控系統(tǒng)、現(xiàn)場終端、企業(yè)管理信息大區(qū)移動終端等操作系統(tǒng)應(yīng)當(dāng)通過安全配置、安全補丁等方式進(jìn)行安全加固,采用專用軟件強化操作系統(tǒng)訪問控制能力以及配置安全的應(yīng)用程序。對于電力工控系統(tǒng)中的關(guān)鍵控制系統(tǒng)軟件升級、補丁安裝前進(jìn)行安全評估和驗證,避免補丁引入新漏洞。

2）網(wǎng)絡(luò)防護(hù)。由于目前電力工控系統(tǒng)中采用的工控設(shè)備廠商眾多,工控協(xié)議私有,需要基于動態(tài)二進(jìn)制分析、軟件逆向工程技術(shù)來深度解析工控協(xié)議,并部署專用工業(yè)防火墻,有效攔截病毒及其他非法訪問,保護(hù)關(guān)鍵控制器件。在編制工業(yè)防火墻規(guī)則時,只允許專用工控協(xié)議通過,攔截來自操作站的非法訪問。在生產(chǎn)控制大區(qū)內(nèi)統(tǒng)一部署工控專用網(wǎng)絡(luò)入侵檢測（Intrusion Detection Systems,IDS）系統(tǒng),合理設(shè)置檢測規(guī)則,及時捕獲網(wǎng)絡(luò)異常行為,分析潛在威脅,進(jìn)行安全審計。

3）數(shù)據(jù)防護(hù)。電力工控系統(tǒng)中的數(shù)據(jù)安全主要包括數(shù)據(jù)本身安全和數(shù)據(jù)防護(hù)的安全,分別從加密算法和備份恢復(fù)2方面展開數(shù)據(jù)安全防護(hù)：一方面,生產(chǎn)控制大區(qū)內(nèi)部通信、生產(chǎn)控制大區(qū)與企業(yè)管理信息大區(qū)間的通信應(yīng)當(dāng)綜合對稱、非對稱加密算法保證數(shù)據(jù)傳輸過程中的機密性與完整性;另一方面,通過信息存儲的方式保證數(shù)據(jù)的安全（例如磁盤陣列、云存儲等）,冗余配置關(guān)鍵主機設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件,對于電力調(diào)度自動化系統(tǒng)等,應(yīng)當(dāng)逐步實現(xiàn)實時數(shù)據(jù)、電力監(jiān)控系統(tǒng)、實時調(diào)度業(yè)務(wù)3個層面的備用,形成分布式備用調(diào)度體系,保障重要業(yè)務(wù)數(shù)據(jù)的安全性。

4）應(yīng)用防護(hù)。應(yīng)用安全是信息系統(tǒng)整體防御中的重要組成部分^[19]。為了提高電力工控系統(tǒng)的安全性,應(yīng)當(dāng)采用數(shù)字證書、安全標(biāo)簽實現(xiàn)應(yīng)用運行過程中的安全授權(quán)和強制執(zhí)行控制及強制訪問控制。基于公鑰技術(shù)的數(shù)字證書能夠為電力工控系統(tǒng)中的關(guān)鍵應(yīng)用、關(guān)鍵設(shè)備提供高強度的身份認(rèn)證,保障數(shù)據(jù)傳輸?shù)陌踩浴?/span>

 4 電力工業(yè)控制系統(tǒng)安全技術(shù)研究契機

隨著智能電網(wǎng)建設(shè)的深入推進(jìn),電力工控系統(tǒng)的安全正面臨著新的挑戰(zhàn)。工業(yè)控制系統(tǒng)信息安全問題具有一定的復(fù)雜性,僅依賴于單一的安全技術(shù)和解決方案無法實現(xiàn)系統(tǒng)整體安全。未來提升電力工控系統(tǒng)的安全性,必須綜合多種安全技術(shù),分層分域地部署各種安全防護(hù)措施,以提升電力工控系統(tǒng)的整體安全防御能力。鑒于目前針對電力工控系統(tǒng)安全的關(guān)鍵技術(shù)的相關(guān)研究仍有很多空白之處,現(xiàn)將一些有價值的相關(guān)技術(shù)研究問題予以展望。

4.1 基于大數(shù)據(jù)的態(tài)勢感知

針對工控系統(tǒng)的安全防護(hù)已逐步向縱深防護(hù)方向發(fā)展,其核心技術(shù)之一是態(tài)勢感知技術(shù)。基于大數(shù)據(jù)的態(tài)勢感知技術(shù)通過針對電力工業(yè)控制系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流量、通信協(xié)議、外部交互等方面建立多層次、持續(xù)化的數(shù)據(jù)采集與監(jiān)測,全面掌握電力工控系統(tǒng)安全狀況數(shù)據(jù),基于海量數(shù)據(jù)的融合關(guān)聯(lián)分析與惡意行為檢測算法,識別高風(fēng)險行為集群,全面獲得潛在威脅的整個過程和整體背景,使得這些海量監(jiān)測數(shù)據(jù)能夠成為上層安全決策的有效資源。另外,基于大數(shù)據(jù)的態(tài)勢感知技術(shù)能夠更準(zhǔn)確地檢測惡意攻擊,將在電力工控系統(tǒng)中的APT攻擊安全檢測與防御方面扮演重要角色。

4.2 可信計算

可信計算是電力工控系統(tǒng)主動防御的重要技術(shù)手段之一,主要基于密碼技術(shù)建立可信根、安全存儲和信任鏈,采用軟硬件協(xié)同設(shè)計構(gòu)建的平臺安全體系,是一種計算與防護(hù)并存的新型計算模式。與傳統(tǒng)的安全防護(hù)相比,基于可信計算技術(shù)的安全防護(hù)在安全機制、防護(hù)強度和防護(hù)層次方面都有明顯優(yōu)勢,可以防范軟件層后門、硬件層后門、密碼破解、火焰病毒、震網(wǎng)病毒、未知木馬等方式攻擊。例如：嵌入式可信計算密碼技術(shù)研究能夠提供程序防篡改、惡意代碼免疫、應(yīng)用級版本固化、身份識別、數(shù)據(jù)保護(hù)等安全保障。

4.3 擬態(tài)安全防御

我國科學(xué)家提出的“擬態(tài)安全防御”技術(shù)是革命性的主動防御技術(shù)之一,是突破信息物理雙網(wǎng)融合網(wǎng)絡(luò)空間安全防御的有效途徑。該技術(shù)在主動和被動觸發(fā)條件下,通過在運行平臺、運行環(huán)境、應(yīng)用軟件、網(wǎng)絡(luò)、數(shù)據(jù)5個層面引入異構(gòu)化、動態(tài)化和隨機化等機制,例如采用動態(tài)路由^[20]、動態(tài)IP^[21-24]、地址空間隨機化^[25]、代碼隨機化^[26]、數(shù)據(jù)隨機化^[27]等,從而破壞攻擊手段對被攻擊目標(biāo)的環(huán)境依賴,大幅提升攻擊難度和攻擊成本,從主動防御的技術(shù)角度出發(fā),增強系統(tǒng)的安全性。基于擬態(tài)安全技術(shù)原理研發(fā)的系統(tǒng),并不能消除漏洞和后門,而是讓系統(tǒng)本身處于動態(tài)性異構(gòu)冗余空間中不斷變化,使攻擊者很難利用漏洞和后門實施攻擊。

擬態(tài)安全防御技術(shù)能夠解決電力工控系統(tǒng)現(xiàn)在面臨的最大安全風(fēng)險——不確定性威脅。擬態(tài)安全防御作為新興的主動防御技術(shù),能夠用相對較少的資源開銷實現(xiàn)相對較高的安全防御能力^[28],為電力工控系統(tǒng)防范未知漏洞、后門、木馬、病毒、軟硬件及協(xié)議、網(wǎng)絡(luò)、平臺、數(shù)據(jù)等潛在的安全風(fēng)險開創(chuàng)新途徑。

4.4 量子加密通信

量子加密通信是電力工控系統(tǒng)安全防護(hù)發(fā)展的一個重要方向。量子加密通信技術(shù)是通過發(fā)送方隨機選擇發(fā)送光量子的狀態(tài),接收方隨機選擇對接收光量子的測量方式,協(xié)商共享密鑰實現(xiàn)密鑰分發(fā)的密碼通信解決方案。其安全性基于量子力學(xué)的基本原理：單光子不可再分,不可復(fù)制的特性,確保了竊聽者無法通過竊取和復(fù)制等方式截獲光子狀態(tài);量子測不準(zhǔn)原理則確保竊聽者無法通過測量的方式截獲光子狀態(tài)而不被發(fā)現(xiàn)。

基于經(jīng)典密碼學(xué)的現(xiàn)代保密通信系統(tǒng)在實際應(yīng)用中存在不同程度的安全問題,其安全性基礎(chǔ)是基于某類數(shù)學(xué)問題的復(fù)雜度,原則是可以求解,隨著計算能力的提高,求解速度越來越快。而量子密鑰的隨機性不依賴任何算法,具有絕對的隨機性,不會因為計算能力和數(shù)學(xué)水平的提高而受到威脅,從原理上是不可破解的。未來量子加密通信技術(shù)可應(yīng)用于電力工控設(shè)備間的通信,從而提升電力工控系統(tǒng)的主動安全防護(hù)能力。

 5 結(jié)語

電力工控系統(tǒng)的安全是電網(wǎng)安全穩(wěn)定運行的技術(shù)保障,關(guān)系著國計民生和經(jīng)濟社會發(fā)展,是國家建設(shè)堅強智能電網(wǎng)的核心。本文通過分析典型工控系統(tǒng)安全事件并探討電力工控系統(tǒng)所面臨的安全風(fēng)險,結(jié)合國內(nèi)外已有的研究現(xiàn)狀,從安全檢測、安全監(jiān)測、安全防護(hù)3方面歸納總結(jié)了一套電力工控系統(tǒng)安全防護(hù)體系,并深入分析了未來全面提升電力工控系統(tǒng)安全性的幾項關(guān)鍵研究技術(shù)。電力工控系統(tǒng)安全技術(shù)研究是一個長期過程,隨著新技術(shù)、新形勢的發(fā)展而發(fā)展,與黑客攻擊技術(shù)相對立,互為博弈。目前,電力工控系統(tǒng)的安全研究正處于起步階段,還有廣闊的空間供學(xué)術(shù)界和工業(yè)界的研究人員探索。

(編輯:張京娜)

參考文獻(xiàn)

[1] NIST special publication 800-82. Guide to industrial control systems(ICS) security 800-82. Guide to industrial control systems(ICS) security[S]. 2011.

[2] Cárdenas A A, AMIN S, LIN Z S, et al.Attacks against process control systems: risk assessment, detection, and response[C]// Proceedings of the 6th ACM symposium on information, computer and communications security, ACM, 2011: 355-366.

[3] 廖建容, 段斌, 譚步學(xué), 等. 基于口令的變電站數(shù)據(jù)與通信安全認(rèn)證[J]. 電力系統(tǒng)自動化, 2007, 31(10):71-75. 
LIAO Jian-rong, DUAN Bin, TAN Bu-xue, et al.Authentication of substation automation data and communication security based on password[J]. Automation of Electric Power Systems, 2007, 31(10): 71-75.

[4] 劉念, 張建華, 段斌, 等. 網(wǎng)絡(luò)環(huán)境下變電站自動化通信系統(tǒng)脆弱性評估[J]. 電力系統(tǒng)自動化, 2008,32(8): 28-33. 
LIU Nian, ZHANG Jian-hua, DUAN Bin, et al.Vulnerability assessment for communication system of betwork-based substation automation system[J]. Automation of Electric Power Systems, 2008, 32(8): 28-33.

[5] 李鴻培, 于旸, 忽朝儉, 等. 工業(yè)控制系統(tǒng)及其安全性研究報告[R]. 綠盟科技技術(shù)報告, 2012.

[6] MITRE. 公共漏洞和暴露[DB/OL].[2017-10-11]. .

[7] INGRAM DM, SCHAUB P, TAYLOR RR, et al.Performance analysis of IEC 61850 sampled value process bus networks[J]. IEEE Transactions on Industrial Informatics, 2013, 9(3): 1445-1454.

[8] 匡恩網(wǎng)絡(luò). 2016年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢報告[R]. 2016.

[9] 陳莊, 黃勇, 鄒航. 工業(yè)控制系統(tǒng)信息安全審計系統(tǒng)分析與設(shè)計[J]. 計算機科學(xué), 2013, 40(6a): 340-343. 
CHEN Zhuang, HUANG Yong, ZOU Hang.Analysis and design of ICS information security audit system[J].Computer Science, 2013, 40(6a): 340-343.

[10] 普華永道. 2016年全球信息安全狀況調(diào)查報告[DB/OL]. [2017-11-14]. https://www.pwc.com/us/en/cybersecurity/information-security-survey.html.

[11] 國家電力監(jiān)管委員會. 電力二次系統(tǒng)安全防護(hù)規(guī)定(電監(jiān)會5號令)[Z]. 2004.

[12] 工業(yè)和信息化部. 關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知[Z]. 2011.

[13] 國家發(fā)展改革委員會. 電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定(發(fā)改委14號令)[Z]. 2014.

[14] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報(自然科學(xué)版), 2012,52(10): 1396-1408. 
PENG Yong, JIANG Chang-qing, XIE Feng, et al.Industrial control system cybersecurity research[J]. Journal of Tsinghua University(Science and Technology), 2012, 52(10): 1396-1408.

[15] BREMLER-BARR A, HARDCHOL Y, HAY D.Space-time tradeoffs in software-based deep packet inspection[C]// IEEE International Conference on High PERFORMANCE Switching and Routing, 2011: 1-8.

[16] 楊安, 孫利民, 王小山, 等. 工業(yè)控制系統(tǒng)入侵檢測技術(shù)綜述[J]. 計算機研究與發(fā)展, 2016, 53(9):2039-2054. 
YANG An, SUN Li-min, WANG Xiao-shan, et al.Intrusion detection techniques for industrial control systems[J].Journal of Computer Research and Development, 2016, 53(9): 2039-2054.

[17] 潘璠, 吳禮發(fā), 杜有翔, 等. 協(xié)議逆向工程研究進(jìn)展[J]. 計算機應(yīng)用研究, 2011, 28(8): 2801-2806. 
PAN Fan, WU Li-fa, DU You-xiang, et al.Overviews on protocol reverse engineering[J]. Application Research of Computers, 2011, 28(8): 2801-2806.

[18] ABBASI A.Ghost in the PLC: stealth on-the-fly manipulation of programmable logic controllers’ I/O[R]. CTIT Technical Report Series, No.TR-CITI-16-02, 2016.

[19] 張盛杰, 顧昊旻, 李祉岐, 等. 電力工業(yè)控制系統(tǒng)信息安全風(fēng)險分析與應(yīng)對方案[J]. 電力信息與通信技術(shù), 2017, 15(4): 96-102. 
ZHANG Sheng-jie, GU Hao-min, LI Zhi-qi, et al.The Information security risk analysis and response plans in power industry control system[J]. Electric Power Information and Communication Technology, 2017, 15(4): 96-102.

[20] AI-SHAER E, MARRERO W, EI-ATWAY A, et al.Network configuration in a box: towards end-to-end verification of network reach ability and security[C]// In Proceedings of 17th International Conference on Network Communications and Protocol(ICNP’09), 2009: 123-132.

[21] DUNLOP M, GROAT S, URBANSKI W, et al.Mt6d: a moving target ipv6 defense[C]// Military Communications Conference, 2011-Milcom, IEEE, 2011: 1321-1326.

[22] JAFARIAN J H, Al-SHAER E, DUAN Q.Openflow random host mutation: transparent moving target defense using software defined networking[C]// Proceedings of the first workshop on Hot topics in software defined networks, ACM, 2012: 127-132.

[23] JAFARIAN J H, Al-SHAER E, DUAN Q.An effective address mutation approach for disrupting reconnaissance attacks[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(12): 2562-2577.

[24] JAFARIAN J H, Al-SHAER E, DUAN Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]// 2015 IEEE Conference on Computer Communications(INFOCOM), 2015:738-746.

[25] SHACHAM H, PAGE M, PFAFF B, et al.On the effectiveness of address-space randomization[C]// In ACM Conference on Computer and Communications Security(CCS), CCS ’04, New York, USA, 2004: 298-307.

[26] PORTNER J, KERR J, CHU B.Moving target defense against cross-site scripting attacks(Position Paper)[M]// Foundations and Practice of Security, Springer International Publishing, 2014: 85-91.

[27] NGUYEN-TUONG A, EVANS D, KNIGHT J C.et al.Security through redundant data diversity[C]// In IEEE/IFPF International Conference on Dependable Systems and Networks, 2008.