摘要:智能变电站采用集成可靠的的智能设备,以全站信息数字化、通信平台网络化、信息共享标准化为基本要求,同时可以实现自动控制,智能调节,在线分析决策,协同互动等高级功能。与此同时,智能变电站也带来了不同于传统变电站的新挑战,网络安全风险便是突出的问题之一。本文简单介绍智能变电站的结构,针对几个场景分析网络攻击思路,并从等级保护2.0的角度给出防护要点和网络安全策略。
关键词:智能变电站; 等级保护2.0; 网络安全策略
引言
随着以通信平台网络化为特征的智能变电站大规模建设,网络安全风险加大。这意味着,网络安全防护不同于以往的防护手段,应该得到升级。同时,2019年12月1日正式实施的等级保护2.0强调主动防御,并针对工业控制系统做出了更有针对性的防护要求。
因此,关注智能变电站网络安全威胁,研究适用于新形势下的内部网络安全策略,提升网络系统的可靠性和安全性,刻不容缓。本文在对比传统变电站与智能变电站网络结构后,重点分析站内网络安全现状与对应措施,最后总结了适用于等保2.0的整体网络安全策略。
一、智能变电站的网络结构
智能变电站的概念从创造到现在一直是一个不断发展的过程,就目前而言,它主要有一次设备智能化、二次设备网络化、设备对象模型化的几个特征。在智能变电站中的信息采集、传输、处理、输出过程全部脱离了模拟量,用纯数字化的形式编码存储传输和处理。图1是一张与传统变电站进行对比的结构示意图。
.png)
图1 传统变电站与智能化变电站结构对比图
在智能变电站的模型下,将变电站划分为四层三网络,站控层MMS网络主要使用IEC61850协议实现统一通信、过程层使用了GOOSE通信机制,用于快速传输变电站事件,诸如命令、告警、指示、信息等,过程层还有一个SAV采样值网络,用于将一次设备的模拟量采样值准确实时传输至智能设备。
IEC61850是国际电工委员会(IEC)TC57工作组制定的《变电站通信网络和系统》系列标准,是基于网络通信平台的变电站自动化系统唯一的国际标准。IEC61850规范了数据的命名、数据定义、设备行为、设备的自描述特征和通用配置语言,使不同智能电气设备间的信息共享和互操作成为可能。
二、针对智能变电站的网络攻击手段
在变电站全站智能化的背景下,自然会面临各种各样的网络安全危险,如常规的有外部网络的渗透、病毒和木马的摆渡,另外还有特异化针对IEC61850协议的攻击、来自GOOSE的攻击等。下面从变电站的业务场景角度分析几种最为可能的攻击形式。
1、由于设计、配置错误等从站点建设之初就存在的后门。这类攻击形式极为隐秘,是一种潜伏性能极强的攻击,它有可能是由逻辑自身触发,也有可能接受外部指挥。此类攻击无法在日常运维中被发现,流量分析也基本无效。针对这样的攻击手段理论上最有效的方式是源代码审计,但在实际操作中因厂商对自身软硬件的保护、审计工作量巨大、技术要求过高等原因导致根本行不通。因此,通常可以采取一些手段快速隔离潜在风险的装置,或者切断其爆发所需的外部条件并做好事前事中防护。比如:部署态势感知系统实时监控预测各类通信状态和设备状态风险值、在分区边界做好严格的控制和流量清洗、对部分关键功能的源代码进行审计等。另外在智能化场景下,变电站内各层级间部署适当的隔离措施十分有必要,同时各智能装置的软件防火墙也可以发挥极大作用。
2、利用外部披露的相关漏洞造成的攻击。尽管设备制造部署运行的时候被测评是安全的,但在它的生命周期内依然可能被发现有新漏洞存在,例如针对libIEC61850的安全漏洞在2019年12月就被暴露了5个,其中包括拒绝服务、验证错误和缓冲区溢出类,还有此前已经暴露的针对IEC61850专门的工具集Industroyer,另外在文献[3]中程鹏志等人针对GOOSE攻击做了详细的分析并给出了一种基于ARHEA算法的GOOSE消息防护方法。这证明网络安全防护始终是一个动态的过程。由于网络上披露和传播速度极快,某些漏洞甚至有可以利用的EXP脚本传播,一旦被乘虚而入,将会导致大面积的灾难,所以积极响应是首要的处置原则。变电站一方面需要随时预备专业队伍响应漏洞处置通报,另一方面风险设备的计划下线、整改、测评和并网均需要应急预案和策划的支撑。部分情况下可能还需要外部力量如厂商、测评机构的参与,所以防护这类攻击,需要管理层做出一些详细的部署,如建立专业应急队伍的快速响应机制,在制度上明确各类风险级别的响应时间和消除时间,需要下线整改的,还需规范整套上线操作和审批流程,同时外部机构的联动协作也需要靠战略合作协议、服务合同等来进行约束和规范。
3、运维过程中误操作和错误逻辑。严格说这不属于恶意攻击的范畴,但也有可能导致攻击的结果。智能变电站中已经没有通常意义上物理端子的存在了,只有设备对象化的逻辑虚端子和实端子,而这些都是通过电子化智能化的手段来操作的,虽然可以做到随时监测,但面对上千个端子的情况下,想要梳理清楚不是一件容易的事情。另外程序本身的错误逻辑也有可能导致一次设备的误动作,要想排除这类风险需要高度依赖运维的质量。可以通过以下几种方式防范:一是做好运维人员的技术培训,履行电力安全工作中正确有效的工作监护制度;二是智能化变电站中的数据应用层面做好开发和数据价值挖掘,及时对潜在的风险进行呈现和预警;三是运维质量评价中采用合理的审计表单预防和纠正运维不当的行为;最后运用合规性工具和基线核查工具可以使误操作和错误逻辑的破坏性降至最低。
4、设备变化过程中来自技术人员或外部网络环境中的攻击。在设备运行的生命周期内常常会有各类的软件升级和硬件变更,比如前面说到的漏洞通报的整改就是很典型的软件变更场景。在变更过程中会让设备从一个可信的区域直接或间接接触到外界不可信区域,这个过程中设备可能面临网络攻击,移动介质的恶意代码攻击等复杂的外部环境,另外惯有的信任模式也会导致运维单位对风险变化的不敏感。防范这类攻击需要一系列的组合措施:首先,要严格把关外部人员的资质,使用安全可信的移动介质和电脑等工具,并在升级变更前做好备份和介质接入审批。其次,设备下线整改过程中对外部人员的所需操作采取“申请-审核-批准-监督”的模型做好全过程管理。再次,设备变更完成后再次并网需要进行完整的入网安全测评,全面评估变化后的设备安全风险状态。最后并网运行后及时做好网络流量分析和设备行为分析。
5、来自社会工程学的攻击。社会工程学是一种十分复杂的攻击手段,常见的形式有钓鱼攻击、诱饵计划、伪装攻击等。这是一种针对组织中某些个体的人性弱点和人类本能所进行的攻击,近年来通过社会工程学的手段突破网路安全防护的事件,已经呈现上升甚至泛滥的趋势。针对这类形式的攻击,最有效地方式是定期给全体员工普及网络安全相关知识,使用“案例讲解”的方式教员工识别常见社会工程学攻击手段,同时重要的系统排除单点突破,进行多重防护升级,另外系统权限需要做好最小化授予。这些都可以一定程度上使社会工程学渗透的成果最小化。
三、智能变电站的网络安全策略
等级保护2.0的正式实施日期为2019年12月1日,它包含了《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等一系列国家标准。等级保护2.0主要强调主动防御,并针对工业控制系统做出了更有针对性的防护要求。在实际操作过程中,智能变电站应采取“通用要求”+“工业控制系统扩展要求”进行保护。智能变电站按照“安全分区,网络专用,横向隔离,纵向认证”的原则将网络环境划分为几个区域,比如生产控制大区和管理信息大区,每个区域又有不同的细分,按照等级保护的核心原则对电力信息系统分等级规划建设和使用。通常所说的电力监控系统都是部署在生产控制大区,承担了生产控制实时业务和非实时业务,与电网安全息息相关,比如电力调度数据网、变电站自动化系统、负荷控制系统等。这一类生产业务一般采取了最严格的网络安全防护措施,其等级保护实施流程按照图2开展:
.png)
图2 智能变电站等级保护实施流程
按照定级指南,智能变电站的各类系统有可能被划分为不同的安全防护等级。在针对工业控制系统所列扩展要求中,尤其强调了物理安全、通信网络安全、边界安全、无线安全和计算环境安全。事实上从以往的防护经验上看,物理隔离的边界防护等级一直是重要电力监控系统网络安全防护的重要屏障,在此基础上强化内部单向隔离装置、态势感知技术、无线通信控制技术,共同构成了电力系统安全防护的核心理念。
四、结语
本文从几个实际场景出发,分析了最近几年针对智能变电站的网络攻击常见形式,简要介绍了各类攻击所表现出的特征,并在最后分别给出了针对事前、事中和事后的防范措施。另外等级保护的第二版也在2019年12月1日正式实施,本文从智能变电站的角度思考了等级保护实施的部分问题。最后,网络安全的全面防护始终是技术和管理互相结合和促进的结果,希望本文能为相关理论建设和实际工作开展贡献一些力量。
参考文献:
[1]柳广兴. 变电站GOOSE报文通信安全的研究和实现[D].大连理工大学,2018.
[2]何金栋,王宇,赵志超,李俊娥,谢新志,张锐文,柳玙卿,裘德熙.智能变电站嵌入式终端的网络攻击类型研究及验证[J].中国电力,2020,53(01):81-91.
[3]程鹏志. 智能变电站网络攻击防范研究[D].华北电力大学,2019.
[4]章坚民,张嘉誉,倪明,李康毅,金乃正,杨才明.智能变电站通信网络的广义信源和流量计算模型[J].电力系统自动化,2019,43(13):147-159.