文/馬一杰

1 電力二次系統(tǒng)面臨的安全風險

根據(jù)“短板原理”，電力二次系統(tǒng)安全防護中最薄弱的環(huán)節(jié)，直接決定著其總體防護水平。而電力二次系統(tǒng)所面臨的安全風險除了外部網(wǎng)絡風險外，還有因內部管理及使用不善而導致的風險。其中，外部網(wǎng)絡風險主要包括不法分子的惡意攻擊，以及內部員工使用不當而導致的信息泄露、數(shù)據(jù)破壞等風險。常見的安全風險主要來自以下幾個方面：

1.1 安全管理意識差

人的意識與有效管理是確保網(wǎng)絡安全的根本，尤其是對于龐大的智能電網(wǎng)數(shù)據(jù)更是如此。然而，在實際的安全管理過程中，管理人員安全意識薄弱、安全防護措施欠缺，例如口令過于簡單、內部賬號泄露、私密信息共享等，都會為電力二次系統(tǒng)的安全埋下隱患。

1.2 非授權訪問

非授權訪問既是不法分子未經同意便使用網(wǎng)絡資源或是合法用戶通過非授權的方式操作使用網(wǎng)絡等。例如，不法分子借助相關工具，利用系統(tǒng)漏洞獲取目標主機的控制權后，對系統(tǒng)設置或數(shù)據(jù)實施更改，或以置入木馬的形式非法控制操作主機或實施攻擊。

1.3 信息泄露或破壞

由于內部人員使用管理不善，致使業(yè)務數(shù)據(jù)無意或有意被泄露或破壞。主要包括：在傳輸過程中數(shù)據(jù)丟失，存儲介質異常而出現(xiàn)泄露；或不法分子通過非法方式進入獲取數(shù)據(jù)控制權，并對關鍵數(shù)據(jù)實施修改或刪除；或攻擊者通過系統(tǒng)后門或隱蔽通道等漏洞進入系統(tǒng)并實施攻擊。

1.4 配置或操作失誤

對網(wǎng)絡系統(tǒng)的相關配置或設備的功能了解不夠透徹，在日常操作使用及監(jiān)控中過于隨意等，都會為系統(tǒng)的安全威脅帶來可乘之機。另外，電力調度數(shù)據(jù)網(wǎng)的自動化、復雜化以及智能化，使得系統(tǒng)設計功能極易出現(xiàn)配置失誤，而有些失誤日常不易發(fā)現(xiàn)，只有在遇到某種觸發(fā)條件如外網(wǎng)攻擊時才會被察覺。

1.5 系統(tǒng)缺陷及漏洞

電力二次系統(tǒng)涉及計算機技術、信息技術較為復雜，而網(wǎng)絡安全技術及系統(tǒng)的不斷更新，使得電力二次系統(tǒng)無法避免的會存在一些缺陷及不足之處，這也就成為不法分子的攻擊目標。另外，某些無關緊要的設備在設計時因技術人員疏忽，導致留有后門及漏洞，一旦被攻擊者發(fā)現(xiàn)并利用，將會嚴重影響電力企業(yè)的正常運行及調度。

1.6 網(wǎng)絡病毒與木馬

隨著互聯(lián)網(wǎng)技術、信息技術的不斷深入，各種病毒、木馬也隨之猖獗，使得電力二次系統(tǒng)網(wǎng)絡也很難避免會遭受病毒的攻擊。一旦受到病毒及木馬的入侵，將會嚴重影響電網(wǎng)數(shù)據(jù)、涉密設備的安全。

現(xiàn)階段，造成電力二次系統(tǒng)安全風險的原因主要為：

（1）二次系統(tǒng)中網(wǎng)絡安全防護的防火墻及入侵檢測技術落后或存在缺陷，致使被動防護失去作用，系統(tǒng)對入侵行為漏報誤報現(xiàn)象嚴重；

（2）系統(tǒng)間數(shù)據(jù)交換的加密及安全認證機制不健全，缺乏入侵檢測等預警機制；

（3）病毒庫更新不及時，致使各個廠區(qū)、站端以及工控機房管理存在難度；

（4）安全防護目標、防護策略及安全防護體系不夠完善，所有安全防護措施都建立在被動防護的基礎上；

（5）各分區(qū)間數(shù)據(jù)雙向交互，而數(shù)據(jù)交互缺乏統(tǒng)一性及規(guī)范性，致使對系統(tǒng)及數(shù)據(jù)的安全防護不夠統(tǒng)一，動態(tài)及應急管理難度大。

2 電力二次系統(tǒng)安全風險評估

2.1 安全風險評估的內容

2.1.1 準備階段

首先，安全評估工作的前期準備主要包括：安全評估內容的確定、安全評估方案與評估計劃的制定、人員教育培訓以及安全評估工具的準備等。其次，安全評估工作內容的確定，主要有物理環(huán)境、系統(tǒng)運維管理、基礎設施網(wǎng)絡、主機管理系統(tǒng)以及業(yè)務處理系統(tǒng)等，其中以電力二次系統(tǒng)安全防護的有效落實為評估重點，主要加強對系統(tǒng)內部橫向、上下級單位縱向認證，以及無線網(wǎng)絡、VPN等接入方式的防護。另外，安全評估工具應通過充分測試，具有較高的安全性及可靠性。

2.1.2 評估階段

首先，安全評估小組進入現(xiàn)場，對風險數(shù)據(jù)進行搜集。評估現(xiàn)場的工作重點為是否有效落實電監(jiān)會5號令相關內容，包括安全區(qū)劃分、縱橫向邊界防護、專用網(wǎng)絡以及撥號安全防護等，并且還要加強對現(xiàn)場基礎設施網(wǎng)絡、業(yè)務處理系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、辦公設備終端以及相關防御措施等內部的安全防護；其次，安全評估方法主要包括咨詢顧問調研訪談、日志審計、系統(tǒng)漏洞掃描、自動化數(shù)據(jù)采集、白客滲透測試等。由于二次系統(tǒng)的安全可靠對于電力的正常供應極為關鍵，因此，原則上對與電力生產有關的業(yè)務處理系統(tǒng)不實施自動化檢測，通常以備用系統(tǒng)或設備，通過咨詢顧問調研訪談或手工審計進行安全風險評估。

2.1.3 分析階段

經過以上環(huán)節(jié)對采集的安全風險數(shù)據(jù)予以整理分析，從而對電力二次系統(tǒng)可能面臨的安全威脅、潛在風險以及風險的級別進行確定，并結合安全風險分析結論，提出合理的風險規(guī)避對策與意見，最后給出風險評估報告。

2.2 安全風險評估的方向

2.2.1 風險因素

智能電網(wǎng)的規(guī)?；l(fā)展，為可再生能源電力系統(tǒng)接入以及需求側信息交互平臺的建設提供了可能，但與此同時，也加大了電網(wǎng)安全監(jiān)控的難度及深度，提高了二次系統(tǒng)結構的復雜性。因此，必須加強對二次設備、信息技術以及人員這三個方面風險因素的評價，尤其是在發(fā)生安全事故時這些風險因素所造成的影響、后果及作用形式，提升二次系統(tǒng)安全風險評估的全面性。

2.2.2 數(shù)據(jù)獲取

安全風險評估必須以高質量、完備的數(shù)據(jù)為基礎，然而，當前對于數(shù)據(jù)的統(tǒng)計往往存在格式不統(tǒng)一、種類不齊全，而專家知識又存在一定的不確定性與模糊性。因此，安全風險評估必須要加強對二次系統(tǒng)監(jiān)控與記錄管理的統(tǒng)一性，并對安全事故樣本不斷積累，對相關數(shù)據(jù)及專家經驗予以整理；另外，還要不斷加大因數(shù)據(jù)不足或信息缺失時風險評估的研究力度。

2.2.3 評估模型

電力二次系統(tǒng)的實質是提升一次系統(tǒng)的安全，重點在于加固一次系統(tǒng)的薄弱環(huán)節(jié)，為一次系統(tǒng)的功能提供更為全面的保障。因此，二次系統(tǒng)的風險評估應建立在一次系統(tǒng)的基礎上，并從二次系統(tǒng)所發(fā)揮的作用及作用失效后對一次系統(tǒng)產生的影響為切入點，構建全面的以二次系統(tǒng)功能為基礎的安全風險評估體系與模型。

圖1

2.2.4 風險應用

安全風險評估的最終目的是發(fā)現(xiàn)系統(tǒng)存在的漏洞及薄弱點，并對薄弱點可能為系統(tǒng)造成的后果實施評估，進而提供有效的風險應對措施及改進策略，降低發(fā)生風險的可能，例如對設備的檢修、系統(tǒng)漏洞修復以及應急預案的制定等。

3 電力二次系統(tǒng)安全加固要點

當前電力二次系統(tǒng)的安全加固重點是網(wǎng)絡系統(tǒng)及相關控制系統(tǒng)，關鍵在于提高邊界防護、網(wǎng)絡防護、主機防護以及內部安全防護能力。

3.1 邊界防護加固

3.1.1 橫向邊界防護

電力二次系統(tǒng)最重要的防護加固技術是通過隔離安全區(qū)橫向網(wǎng)絡邊界來實現(xiàn)，通過安全隔離設備有效隔離安全區(qū)，來提高生產控制區(qū)與管理信息區(qū)的安全防護水平。

一方面，在信息通信過程中，為防止病毒及不法分子滲透和攻擊電力網(wǎng)絡，應嚴格按照數(shù)據(jù)單向傳輸?shù)目刂茩C制，使用具有ALC訪問控制功能的隔離設備將非控制區(qū)與控制區(qū)進行邏輯隔離，隔離設備應具備狀態(tài)檢測、數(shù)據(jù)過濾以及地址轉換等功能口，并能控制數(shù)據(jù)的傳輸方向、地址及端口等。通常，控制區(qū)與非控制區(qū)間可建立連接，但非控制區(qū)系統(tǒng)不允許對控制區(qū)進行訪問，若必須進行訪問時，必須嚴格控制訪問的協(xié)議、訪問地址及訪問端口。另一方面，在生產控制大區(qū)與管理信息大區(qū)的網(wǎng)絡邊界安裝專業(yè)的安全隔離設備，通過數(shù)據(jù)“安全島”及截斷TCP連接技術，達到安全隔離設備的數(shù)據(jù)單向傳輸及網(wǎng)絡邊界的高強度隔離的目標。該種隔離設備分為正向型及反向型兩種，正向型主要實現(xiàn)管理信息大區(qū)向生產控制大區(qū)數(shù)據(jù)的單向傳輸，反向型主要實現(xiàn)生產控制大區(qū)與管理信息大區(qū)間的數(shù)據(jù)傳輸，當反向型隔離設備收到來自管理信息大區(qū)的數(shù)據(jù)傳輸時，會首先對數(shù)據(jù)進行簽名認證、編碼轉換，然后對數(shù)據(jù)進行檢查處理并發(fā)送至生產控制大區(qū)的各系統(tǒng)。

3.1.2 縱向邊界防護

在網(wǎng)絡縱向邊界，在路由器和交換機間部署縱向加密認證裝置或硬件防火墻，可以有效防止來自外界的網(wǎng)絡攻擊、病毒入侵及惡意代碼，同時可及時發(fā)現(xiàn)未知異常流量及不法分子的惡意攻擊等安全威脅。此外，在關鍵位置部署智能入侵檢測系統(tǒng)（IPS），能夠有效監(jiān)測網(wǎng)絡與服務器的異常，及時發(fā)現(xiàn)網(wǎng)絡邊界及內部網(wǎng)絡的異常情況，并通過主動防御與響應，向安全人員發(fā)出報警，便于及時作出處理。如圖1所示。

3.2 網(wǎng)絡防護加固

3.2.1 設備安全加固

（1）物理安全。按照國家標準所規(guī)定的安全規(guī)范，提高機房環(huán)境的安全性與可靠性，通過完善的措施，做好二次設備的防竊、防損、防塵及靜電接地，提高設備的抗電磁干擾、防線路截獲及防電磁信息泄露等能力。

（2）賬號安全。建立健全用戶管理機制強化對賬號的安全管理，確保設備安全可控。例如，設置口令分級保護，禁止優(yōu)先級較低的用戶對設備配置進行更改，并在經密碼驗證后方可進入優(yōu)先級較高的模式，失效用戶名進行禁用，對系統(tǒng)賬戶的弱口令進行更改，系統(tǒng)口令長度設置應為超過8位的復雜口令，并實施加密存儲。

（3）配置安全。設備配置文件應定期存儲及備份，并對配置文件的正確性及完備性實施檢查，設備操作系統(tǒng)應定期進行升級，以有效避免系統(tǒng)缺陷而引發(fā)的網(wǎng)絡攻擊。

3.2.2 安全訪問控制和惡意代碼防范

安全訪問控制主要是利用訪問控制列表實現(xiàn)敏感數(shù)據(jù)的安全訪問，對此，可結合實際需求通過VTY類型線路對TΕLNΕT用戶進行限制，或通過啟用SSH并禁用TΕLNΕT的方式登錄設備。此外，還可通過對SNMP實施訪問列表控制，禁止未經授權而通過SNMP訪問設備。

對于路由器及防火墻等智能化較高的設備，可關閉IP源路由，并且將病毒、木馬常用端口以及超過1024的非業(yè)務端口全部關閉，通過啟用TCP保持連接實現(xiàn)對路由器進出TCP連接的監(jiān)控。

3.2.3 審計策略加固

對網(wǎng)絡安全防范，除了要提高網(wǎng)絡安全的預防能力外，還要加強對安全事件的追蹤能力。在出現(xiàn)安全事件前后，可全面記錄用戶上網(wǎng)行為，提高用戶上網(wǎng)追溯能力，為后期追溯攻擊源提供資料。這就需要通過完善的日志記錄與審計，利用Syslog對重要的設備信息進行記錄，為定位故障提供依據(jù)。

3.3 主機加固

能量管理系統(tǒng)（ΕMS）、電力監(jiān)控系統(tǒng)、配電自動化系統(tǒng)等一些關鍵應用系統(tǒng)的主服務器，以及網(wǎng)絡邊界的通信網(wǎng)關、WΕB服務器等，所使用的操作系統(tǒng)應進行安全加固。加固方式主要有：

（1）數(shù)字簽名認證。向系統(tǒng)管理員及用戶發(fā)放數(shù)字認證證書，用戶登錄需建立在操作系統(tǒng)內核級的認證機制下，對于未進行簽名認證的用戶即使獲得登錄權限，也無法訪問被安全內核保護的數(shù)據(jù)。

（2）網(wǎng)絡控制服務。對服務器IP以及網(wǎng)絡服務實施遠程控制訪問，通過網(wǎng)絡控制服務對用戶訪問系統(tǒng)資源進行限制。

（3）登錄服務控制。限制部分登錄服務，對Telnet、FTP、SSH等多種登錄系統(tǒng)的方式進行限制。

（4）入侵響應。通過智能入侵檢測系統(tǒng)，一旦發(fā)現(xiàn)異常操作行為時，應及時對用戶予以阻斷，并向安全管理員報警處理。

4 結語

電力二次系統(tǒng)安全加固的目的是有效防止來自外界對電力系統(tǒng)的各種網(wǎng)絡攻擊及惡意破壞，確保系統(tǒng)的正常服務，保護敏感數(shù)據(jù)信息的傳輸及存儲安全，避免因此而導致的一次系統(tǒng)或二次系統(tǒng)事故，并通過全面立體的安全防護加固措施，提升電力系統(tǒng)的穩(wěn)定性。