(華北電力大學(xué) 北京 102206)

一、引言

近年來(lái)，隨著電網(wǎng)工業(yè)控制系統(tǒng)采取分區(qū)分域和縱深防御策略，通過(guò)實(shí)施內(nèi)外網(wǎng)安全隔離、電網(wǎng)生產(chǎn)大區(qū)與管理信息大區(qū)安全隔離等關(guān)鍵安全防護(hù)工程，系統(tǒng)安全防護(hù)體系逐漸得到完善。但是，隨著工業(yè)控制系統(tǒng)和設(shè)備中新的漏洞、后門(mén)等脆弱性信息的發(fā)現(xiàn)和披露，電網(wǎng)工業(yè)控制系統(tǒng)面臨更加隱蔽的、更加曲折的惡意攻擊風(fēng)險(xiǎn)(例如APT)。

為解決現(xiàn)網(wǎng)存在的安全問(wèn)題，開(kāi)展電網(wǎng)工控安全監(jiān)控與防護(hù)技術(shù)深化研究，研發(fā)一套工控安全監(jiān)測(cè)預(yù)警系統(tǒng)。該系統(tǒng)基于工控協(xié)議深度報(bào)文解析，通過(guò)研究若干關(guān)鍵技術(shù)，研發(fā)工控安全監(jiān)測(cè)裝置、安全監(jiān)測(cè)預(yù)警平臺(tái)，構(gòu)建旁路工控安全監(jiān)測(cè)防護(hù)體系，實(shí)現(xiàn)對(duì)電網(wǎng)典型安全問(wèn)題的監(jiān)測(cè)和告警。

工業(yè)互聯(lián)網(wǎng)的發(fā)展、工業(yè)4.0、中國(guó)制造2025以及兩化融合都促使工業(yè)基礎(chǔ)設(shè)施趨于互聯(lián)和開(kāi)放，針對(duì)電網(wǎng)工控系統(tǒng)的安全威脅監(jiān)測(cè)與預(yù)警變得非常必要，這非常符合公司的發(fā)展方向，對(duì)于公司整體產(chǎn)業(yè)發(fā)展會(huì)起到很好的補(bǔ)充和帶動(dòng)作用。

二、研究現(xiàn)狀

電力控制系統(tǒng)涉及面寬，包括調(diào)度自動(dòng)化系統(tǒng)、配網(wǎng)自動(dòng)化系統(tǒng)、計(jì)量自動(dòng)化系統(tǒng)、保信自動(dòng)化系統(tǒng)、設(shè)備在線監(jiān)測(cè)系統(tǒng)等，而設(shè)備類型眾多，包括安全設(shè)備(縱向加密裝置、防火墻、正反向隔離裝置、入侵監(jiān)測(cè)裝置、防病毒裝置、堡壘機(jī)等)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、主機(jī)設(shè)備(服務(wù)器、工作站)和各種類型的控制設(shè)備等，特別是隨著新能源場(chǎng)站的大量接入和工業(yè)控制系統(tǒng)和設(shè)備中新的漏洞、后門(mén)等脆弱性信息的發(fā)現(xiàn)和披露，電網(wǎng)工業(yè)控制系統(tǒng)面臨更加隱蔽的、更加曲折的惡意攻擊風(fēng)險(xiǎn)(例如APT)。

國(guó)外目前針對(duì)電網(wǎng)控制系統(tǒng)安全的研究還是定位在安全測(cè)試床、漏洞挖掘(ICS-CERT)、設(shè)備資產(chǎn)管理和網(wǎng)關(guān)類防護(hù)領(lǐng)域，對(duì)控制系統(tǒng)，特別是電網(wǎng)控制系統(tǒng)深度協(xié)議解析和旁路監(jiān)測(cè)與分析領(lǐng)域剛剛起步。

國(guó)內(nèi)針對(duì)工業(yè)控制系統(tǒng)的研究主要涉及DNP3、MODBUS、OPC等主流工控網(wǎng)絡(luò)通信協(xié)議的安全威脅研究，針對(duì)其存在的安全問(wèn)題，提出相應(yīng)的安全防護(hù)建議，尚無(wú)基于IEC-60870、IEC61850等電網(wǎng)工業(yè)控制系統(tǒng)協(xié)議深度解析方法的安全威脅監(jiān)測(cè)系統(tǒng)落地應(yīng)用。

三、研究創(chuàng)新點(diǎn)

1.針對(duì)電網(wǎng)工控系統(tǒng)典型應(yīng)用場(chǎng)景和存在的安全問(wèn)題，研究基于電網(wǎng)工控協(xié)議深度解析的安全威脅檢測(cè)方法，自主研發(fā)電網(wǎng)工控系統(tǒng)安全威脅現(xiàn)場(chǎng)監(jiān)測(cè)裝置和電網(wǎng)工控系統(tǒng)安全威脅監(jiān)測(cè)平臺(tái)，建立基于旁路監(jiān)測(cè)的分布式安全威脅監(jiān)測(cè)體系。

對(duì)電網(wǎng)工業(yè)控制系統(tǒng)典型通信協(xié)議IEC60870、IEC61850的完整性、機(jī)密性控制機(jī)制的設(shè)計(jì)缺陷，提出了協(xié)議報(bào)文解析和異常報(bào)文檢測(cè)模型和算法。針對(duì)電網(wǎng)工控系統(tǒng)發(fā)送非法控制命令、非授權(quán)修改系統(tǒng)配置、程序、控制命令和敏感數(shù)據(jù)、利用授權(quán)身份或設(shè)備進(jìn)行非授權(quán)操作、攔截或篡改傳輸中的命令、參數(shù)及敏感數(shù)據(jù)、偽裝身份入侵、發(fā)送雪崩數(shù)據(jù)，造成網(wǎng)絡(luò)或系統(tǒng)癱瘓、竊聽(tīng)明文傳輸?shù)拿舾行畔?、非法接入?1類典型安全威脅提出了檢測(cè)方法，研究出非法使用、明文監(jiān)測(cè)、拒絕服務(wù)、違反授權(quán)、惡意代碼、旁路控制、準(zhǔn)入監(jiān)測(cè)、欺騙偽裝、完整性破壞、篡改報(bào)文、非法竊聽(tīng)11種告警事件。

2.深度分析網(wǎng)絡(luò)流量、系統(tǒng)狀態(tài)等監(jiān)測(cè)信息，提出基于規(guī)則自學(xué)習(xí)、動(dòng)態(tài)閾值分析的安全威脅預(yù)警方法，動(dòng)態(tài)配置安全基線和策略，實(shí)現(xiàn)11種典型安全威脅及潛在安全風(fēng)險(xiǎn)的準(zhǔn)確識(shí)別與預(yù)測(cè)。

基于對(duì)電網(wǎng)典型工控網(wǎng)絡(luò)流量圖分析、連接狀態(tài)分析、頻率分析、協(xié)議分析，結(jié)合端口分析、地址分析和數(shù)據(jù)閾值分析，基于異常流量監(jiān)測(cè)算法和異常協(xié)議解析算法，結(jié)合工控設(shè)備狀態(tài)分析，過(guò)濾功能狀態(tài)異常事件，研究提出典型威脅事件告警規(guī)則，構(gòu)建規(guī)則庫(kù)和監(jiān)測(cè)策略庫(kù)，采用多級(jí)模式匹配算法和閾值動(dòng)態(tài)調(diào)整算法，實(shí)現(xiàn)告警規(guī)則的自學(xué)習(xí)機(jī)制。

結(jié)合行為分析、基線分析，構(gòu)建安全工控網(wǎng)絡(luò)安全基線庫(kù)和威脅預(yù)警規(guī)則庫(kù)，采用安全基線人工調(diào)整機(jī)制實(shí)現(xiàn)基線的動(dòng)態(tài)調(diào)整，由監(jiān)測(cè)平臺(tái)數(shù)據(jù)處理中心和預(yù)警中心挖掘分析實(shí)時(shí)工控網(wǎng)絡(luò)流量和設(shè)備狀態(tài)信息,實(shí)現(xiàn)了電網(wǎng)工控網(wǎng)絡(luò)典型安全威脅的準(zhǔn)確辨識(shí)和電網(wǎng)工控網(wǎng)絡(luò)全域安全風(fēng)險(xiǎn)的監(jiān)測(cè)和預(yù)警。

3.通過(guò)對(duì)異常網(wǎng)絡(luò)流量和報(bào)文的分析，采用黑白名單和阻斷/隔離技術(shù)，實(shí)時(shí)監(jiān)測(cè)非可信終端的運(yùn)維操作和可信終端的非授權(quán)操作，實(shí)現(xiàn)了協(xié)議級(jí)現(xiàn)場(chǎng)作業(yè)安全審計(jì)和管控。

充分利用安全威脅監(jiān)測(cè)信息，構(gòu)建針對(duì)非可信運(yùn)維作業(yè)的檢測(cè)策略和規(guī)則子集，通過(guò)實(shí)時(shí)監(jiān)測(cè)非可信運(yùn)維終端和可信終端非授權(quán)操作，通過(guò)前述監(jiān)測(cè)裝置實(shí)現(xiàn)對(duì)運(yùn)維作業(yè)的實(shí)時(shí)審計(jì)；研究提出了工控網(wǎng)絡(luò)運(yùn)維終端阻斷/隔離技術(shù)，在前述安全威脅監(jiān)測(cè)裝置中集成阻斷/隔離功能，實(shí)時(shí)阻斷非可信運(yùn)維終端接入和發(fā)生異常的可信運(yùn)維終端，避免安全威脅擴(kuò)散至當(dāng)前工控網(wǎng)絡(luò)及臨近工控系統(tǒng)，實(shí)現(xiàn)了現(xiàn)場(chǎng)作業(yè)的實(shí)時(shí)管控。針對(duì)運(yùn)維作業(yè)個(gè)性化定制監(jiān)測(cè)、審計(jì)策略，僅阻斷非可信運(yùn)維終端和異?？尚沤K端，建立工控設(shè)備與運(yùn)維終端分級(jí)保護(hù)策略，不影響工控系統(tǒng)設(shè)備運(yùn)行、數(shù)據(jù)傳輸和指令傳遞。

四、效益分析

該研究主要客戶是國(guó)家電網(wǎng)、南方電網(wǎng)的發(fā)電廠、變電站、供電公司(配電自動(dòng)化系統(tǒng))，主要用在新能源電站如光伏、風(fēng)電等的發(fā)電廠站、變電站和調(diào)控中心端，也可以用在傳統(tǒng)的水電、火電的安全監(jiān)測(cè)與預(yù)警方面。

目前新能源電站發(fā)展迅猛，僅青海省投運(yùn)的光伏電站就在300座左右，按照每個(gè)廠站最少部署一臺(tái)工控安全監(jiān)測(cè)裝置算，就要部署300臺(tái)。如果算上風(fēng)電場(chǎng)，和新能源發(fā)展也很迅速的新疆、西藏等省市，光新能源廠站的安全監(jiān)測(cè)的市場(chǎng)容量就至少在1000-2000臺(tái)。這還不算對(duì)數(shù)量更大的傳統(tǒng)火電、水電的監(jiān)測(cè)。如果要使用在全國(guó)的供電公司的監(jiān)測(cè)方面，數(shù)量同樣非?？捎^。

五、總結(jié)

本項(xiàng)目通過(guò)對(duì)面向電力工控系統(tǒng)的數(shù)據(jù)采集和監(jiān)控技術(shù)研究開(kāi)展深入研究，可解決目前現(xiàn)階段電力業(yè)務(wù)中場(chǎng)站非可信接入監(jiān)測(cè)和威脅發(fā)現(xiàn)手段缺失難題，有效防護(hù)電力工控系統(tǒng)的業(yè)務(wù)和網(wǎng)絡(luò)信息安全。掌握電力工控協(xié)議數(shù)據(jù)采集技術(shù)，通過(guò)對(duì)常見(jiàn)控制協(xié)議、私有協(xié)議和非標(biāo)準(zhǔn)控制協(xié)議的自動(dòng)解析，實(shí)現(xiàn)協(xié)議層數(shù)據(jù)自動(dòng)采集；掌握電力工控系統(tǒng)攻擊威脅分析和甄別技術(shù)，使得監(jiān)控非可信接入和攻擊威脅成為可能，為電力控制系統(tǒng)安全防護(hù)提供實(shí)踐指導(dǎo)；掌握電力工控系統(tǒng)數(shù)據(jù)集成和分析技術(shù)，實(shí)現(xiàn)非可信接入和威脅監(jiān)測(cè)的自動(dòng)分析和旁路阻斷，為電力工控系統(tǒng)的攻擊與防護(hù)提供平臺(tái)基礎(chǔ)。