劉晶晶

四川省紫坪鋪開發(fā)有限責任公司 四川成都 610000

1 電力系統(tǒng)的安全防護技術

1.1 縱向認證

采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。因此在水電廠生產控制大區(qū)與電力調度數據網的縱向連接處部署電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現雙向身份認證、數據加密和訪問控制，同時具有安全過濾功能，實現對數據通信應用層協(xié)議及報文的處理功能[1]。

1.2 橫向隔離

（1）生產控制大區(qū)與管理信息大區(qū)之間。通常水電廠的兩大網絡之間沒有直接的物理連接，可不加防護裝置，如以后相連則必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應當接近或達到物理隔離。（2）控制區(qū)（安全 I 區(qū)）與非控制區(qū)（安全 II 區(qū)）之間。安全 I 區(qū)是整個工控系統(tǒng)的防護重點，盡管水電廠安全I 區(qū)和安全 II 區(qū)之間通常已經部署了傳統(tǒng)防火墻，但難以對 IEC104規(guī)約進行精確防護，需要進行升級并部署工業(yè)防火墻，實現對工業(yè)協(xié)議數據深度過濾，防范各種非法操作和數據，保障工控系統(tǒng)安全。（3）監(jiān)控區(qū)和現場控制區(qū)之間。由于 PLC 控制器的安全防護級別要高于上位機的安全防護，因此在集中監(jiān)控區(qū)上位機和現地控制區(qū)下位機之間部署智能保護裝置，允許上位機通過特定的工控協(xié)議與下位機進行交互，同時對上下位機之間傳輸的報文內容做深度檢查，識別正常的操作行為并生成白名單，發(fā)現其用戶節(jié)點的行為不符合白名單中的行為特征，對此行為進行阻斷或告警。

2 水電廠工控系統(tǒng)安全現狀

主機安全風險。生產控制大區(qū)的服務器/網絡設備等存在弱口令，用戶權限設置不合理，存在默認賬號，空閑端口未關閉，系統(tǒng)軟件、操作系統(tǒng)漏洞升級困難，缺少必要的應用安全控制策略，對用戶登錄應用系統(tǒng)，訪問系統(tǒng)資源等操作進行身份認證、訪問控制和安全審計。

應用安全風險。水電廠工控系統(tǒng)普遍缺乏網絡準入和控制機制，上位機與下位機通信缺乏身份鑒別和認證機制，只要能夠從協(xié)議層面跟下位機建立連接，即可以對下位機進行修改，普遍缺乏限制系統(tǒng)最高權限的限制，高權限賬號往往掌握著數據庫和業(yè)務系統(tǒng)的命脈，任何一個操作都可能導致數據的修改和泄漏，同時也缺乏事后追查的有效工具，讓責任劃分和威脅追蹤變得更加困難[2]。

3 系統(tǒng)總體設計

3.1 全威脅模型

在電力工控系統(tǒng)的攻擊過程中，攻擊不會以一種方式或者一個步驟得以實現，而是以不同的攻擊進程采取不同的攻擊方法，且并不是以既定模式展開攻擊。本文以攻擊樹為基礎，實現電力工控系統(tǒng)的安全威脅建模。攻擊樹雖然邏輯結構簡單，但其樹形結構可以直觀準確地描述系統(tǒng)中包含哪些攻擊方式和威脅種類，同時攻擊樹具有很強的擴展性，可以根據邏輯結構按需求增加或刪除對系統(tǒng)不足以構成威脅的攻擊。安全威脅建模的思想就是基于攻擊樹模型，把從系統(tǒng)安全風險中分析出來的安全威脅行為作為樹的結構形式建立威脅樹，表示威脅行為及其攻擊步驟之間的邏輯關系。其中每棵威脅樹代表攻擊者使用的威脅方法，每條路徑代表具體的攻擊方式。一棵基本的威脅樹模型包含根節(jié)點、葉節(jié)點以及中間節(jié)點。根節(jié)點表示攻擊者對系統(tǒng)威脅的最終目標；葉節(jié)點表示威脅可能采取的攻擊手段；而中間節(jié)點則表示攻擊者達到最終目標時所采取的中間步驟。其中根節(jié)點的各個子樹是可選路徑，攻擊者可采取不同的攻擊進程。

3.2 綜合防護

3.2 .1物理和環(huán)境安全防護

為保證工控系統(tǒng)的安全可靠運行，降低或阻止人為或自然因素從物理層面對工控系統(tǒng)保密性、完整性、可用性帶來的安全威脅，必須從物理安全的角度采取適當的安全控制措施。針對工控系統(tǒng)物理環(huán)境缺乏控制及未經授權的人員可以訪問重要設備的現狀，對于工控系統(tǒng)中無人值守的分布式站點、核心設備區(qū)域采取物理防范措施是十分必要的。通過建立配置視頻監(jiān)控措施、電子門禁系統(tǒng)和報警系統(tǒng)，可以防止未經授權的人員進入，并且便于事后審計和追查。應盡量拆除或封閉各類工業(yè)主機上不必要的外設接口；確需使用時，可采用工控系統(tǒng)主機審計產品統(tǒng)一管理有外設接口的工控系統(tǒng)主機[3]。

3.2 .2數據安全防護

隨著網絡技術的發(fā)展，工控系統(tǒng)越來越多的采用通用協(xié)議和明文方式進行數據傳輸。為了防止數據在傳輸過程中發(fā)生泄漏或者被非法獲取，應采用 SSL 或者密碼技術等安全方式保障網絡傳輸數據的機密級、完整性和可用性，實現工控系統(tǒng)網絡間數據的安全傳輸，達到非法用戶對重要的數據即使拿得到也看不懂，更用不了的目的。企業(yè)在運行過程中應建設完善工控安全事件應急響應預案，定期組織應急演練，不斷增強應急能力。

3.2 .3網絡安全防護

工控系統(tǒng)要對設備按照功能、區(qū)域等合理劃分安全域，使數據交互只能通過安全域邊界進行，并通過工業(yè)防火墻、安全網閘等設備對工控系統(tǒng)的安全邊界進行防護。在不同網絡邊界間，可以通過部署防火墻的方式，實現網絡訪問的安全控制，阻斷不合法的網絡訪問。

4 結語

經過上述步驟可構建具有很好擴展性的威脅建模，操作也很方便，若發(fā)現一種新的攻擊方式，只要在該攻擊節(jié)點的隸屬父節(jié)點下加一個代表新攻擊方式的子節(jié)點即可。