1　前言

工业控制系统主要包括集散控制系统（DCS）、数据采集与监视控制系统（SCADA）和可编程控制器（PLC）等，已广泛应用于国内重大的基础设施中，在工厂运行中发挥着巨大的作用。随着信息化的推动和工业化进程的加速，越来越多的计算机和网络技术应用于工业控制系统，在为工业生产带来极大推动作用的同时，也带来了工控系统的安全问题，如系统终端平台安全防护弱点、系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题，以及隐藏的后门和未知漏洞、TCP/IP自身的安全问题、用户权限控制的接入、网络安全边界防护以及内部非法人员、密钥管理等各种网络安全的风险和漏洞。

2　电力监控系统安全概述

2.1　工业控制系统安全概述

近十年来，随着信息技术的迅猛发展，信息化在企业中的应用飞速发展，互联网技术的出现，使得工业控制网络中大量采用通用TCP/IP技术，ICS网络和企业管理网的联系越来越紧密。另一方面，传统工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。企业管理网与工业控制网的防护功能都很弱，甚至几乎没有隔离功能，因此随着工厂控制系统的开放，其安全隐患问题日益严峻，系统中任意一点受到攻击都有可能导致整个系统的瘫痪。

全球频发的工业控制系统安全事故让越来越多的人们开始注意到工业控制系统安全的必要性。工业控制系统的故障可能导致大规模的生产中断甚至危及人们的生命安全。例如：制造业的工业控制系统遭到攻击导致物资停产，可能会在短期内引起物资的价格上涨；电力工控系统遭受攻击可直接导致整个片区的电力供应中断；石油和天然气管道遭到恶意攻击，甚至会引起爆炸，威胁到人们的生命安全。

2.2　电力监控系统安全现状

电力监控系统工控安全的脆弱性是指工控系统在防护措施中和在缺少防护措施时系统所具有的弱点，而工控系统内部的脆弱性问题是导致系统易受攻击的主要因素，脆弱性问题的根源可概括为以下几个方面：

（1）网络结构：无法保证外网接入安全，保证对主机和应用系统资源的合法使用和用户身份的合法性。通常电厂会在DCS系统网络和外部网络之间设立一个DMZ区，使连接尽可能最小化。

（2）区域边界：现场控制层与监控层之间存在安全威胁互侵。缺乏边界保护，容易受到信息网络和相邻系统的安全影响。

（3）通信网络：按照《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》的要求，在电力生产系统I区和II区中部署网络安全监测装置，对电气网中的服务器、工作站网络设备安全防护等监测进行数据采集和分析，但未对发电监控系统进行监控，无法及时发现网络中的各种违规以及入侵攻击行为，无法溯源入侵的未知设备、非法应用和软件。

（4）终端设备：生产控制系统和生产监控系统的操作终端大部分采用Linux和Windows系列的操作系统，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师、操作员等在系统开车后不会安装任何补丁，部分终端同时安装多种防病毒软件，上位机专用编程组态监控软件与传统杀毒软件不兼容、无严格的U盘等移动介质管控、终端登录无身份认证措施、应用软件存在使用默认密码和用户口令粘贴于显眼位置现象、外部设备管理采取封条方式、未部署安全技术措施，终端设备存在被攻击的可能。

（5）通讯协议：工业协议为了满足相应的数据实时性和周期性，往往缺乏有效的用户安全认证、数据传输的加密解密等基本信息安全手段。协议的相关信息又能通过公开渠道获取，攻击者很有可能利用协议的漏洞对工控网络发起攻击。企业的安全网和非安全网的自动控制协议都是基于通用的服务器、操作系统和数据库系统运行于TCP/IP协议之上，TCP/IP协议的诞生主要解决网络间的通信问题，而不是立足于安全，随着TCP/IP的发展，很多方面都被一些不法分子所利用，暴露出TCP/IP中的不少安全问题。

（6）控制系统：在系统维修或升级检测过程中，第三方人员的远程维护可能会导致相关生产数据的信息泄密，对运维过程中的误操作事件缺乏证据支撑。

（7）管理中心：企业控制系统设备复杂，网络设备、控制设备、监控主机服务器等运行情况、告警日志等无法统一管理，企业大多数维护人员不具备专业安全分析能力，运维管理人员对电厂设备状况了解不够，一旦生产系统出现故障，维护人员不清楚网络状况，不能及时判断是否有网络入侵行为、病毒、业务访问异常等问题，从而延误生产。

（8）离线测试：电厂工业控制系统在上线前未进行安全性测试，上线后存在大量安全风险漏洞，安全配置薄弱，甚至带毒工作。

3　电力监控系统网络安全防护手段

3.1　风险缓解策略制定

风险缓解策略本质上是机构对如何处置风险的规划。许多机构花费了大量预算和资源用于部署安全控制措施和风险缓解策略。但是，只有与适当的风险评估过程相结合，使用威胁建模来构建可行风险场景与使用渗透测试对这些场景进行验证时，才能构建高效、经济并且具有针对性的风险缓解策略[1]。因此，在制定风险缓解策略时，需要考虑以下几点问题：

（1）研究并对提出的每个风险缓解解决方案的成本进行预估；

（2）从最关键且最易于暴露的资产开始，将缓解成本与潜在入侵所导致的影响或成本进行比较；

（3）根据已知数据，通过以下参考条件制定缓解策略：

· 总体预算；

· 最关键且最容易暴露的资产；

· 入侵产生的总体成本或影响；

· 入侵的成功率；

· 风险缓解的成本是否会超过风险带来的损失。

（4）根据预算和策略部署风险缓解方案由于风险并不可能完全被缓解，所以用户必须确定哪种水平的风险是可以接受的，以及同缓解风险所需的成本相比，需要将风险降低到什么水平才可以接受。

3.2　防护方案主要依据

解决电力监控系统信息化和工业化进程带来的安全风险，结合电力行业的实际安全需求，参考《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）和《电力监控系统安全防护总体方案》（国能安全〔2015〕36号），实现事前预警、事中防范和事后取证等安全能力。

3.3　电力监控系统安全防护主要内容

对于电力监控系统网络安全建设，应当以适度安全为核心，重点保护为原则，从业务的角度出发，重点保护重要的业务系统。整个安全保障体系各部分有机结合，相互支撑，形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障水电控制系统整体的安全。

3.3.1　加强网络安全监控体系建设

通过在电力监控系统网络关键节点部署工控安全审计、工业入侵检测系统和日志审计系统，对网络流量进行安全审计、检测，识别、审计、记录生产控制系统的操作行为和异常网络行为、网络设备日志，便于事后进行取证和定责。提供整个控制网络的总体运行情况，自动识别网络设备，显示网络设备当前状态，进行网络性能综合分析，针对工业控制系统重要的网络节点或区域，监测所有通过的数据包，并对数据包进行深度解析，实现控制行为合规性检查，针对异常或非法操作数据包，分析是否有外界入侵或人员误操作，并对所有异常情况进行审计、发出报警，提醒现场安全运维人员去处置。工控安全审计系统不仅可辅助安全运维人员发现、分析与处置安全事件，可以与串行部署的安全防护类设备配合使用，为实时修正安全保护类设备的安全策略提供数据支撑。还可以提供最全面的安全事件数据，支撑阶段性全网安全风险分析与评估，为安全事件追溯提供证据。

3.3.2　加强区域边界安全建设

采用针对工控系统的专业数据隔离防护产品来进行边界防护，能够深度解析工业通信协议，并且对于利用工控协议漏洞、工控系统漏洞进行渗透攻击的行为进行实时拦截和告警，避免因传统防火墙防护不足导致的工控异常操作和数据被恶意篡改等攻击行为。

3.3.3　加强计算环境安全建设

计算环境安全主要体现在恶意代码防护、入侵检测、系统漏洞、安全审计、外设管理、剩余信息保护几个层次。基于工业控制系统本身的安全特点，可以采用白名单技术，保证软件和应用程序正常运行，对其进行充分的代码审计、安全监测和分析，结合完整性检查方法，当发现程序被修改后，会阻止该程序的运行，从而阻止病毒的扩散；实时监控USB端口、网络端口状况，提供自定义外设管理，严格控制非授权外设接入，提供完备的操作日志，当泄密事故发生后，可以从操作日志中追溯到泄密文件、设备、日期等关键信息，从而为事后问责提供有力依据。

此外，工控安全事件的发生，或多或少都利用了工业控制系统的“漏洞”，进而攻陷了整个工业控制系统。对于这些重要的基础工业设施，如何在黑客攻击之前帮助客户发现漏洞，成为急需解决的问题。因此，需通过部署工控漏洞扫描系统，在工业控制系统受到攻击之前为客户提供专业、有效的漏洞分析和修补建议，防患于未然。

3.3.4　构建纵深防御体系

在系统建设中事前身份不确定、授权不清晰，事中操作不透明、过程不可控，事后结果无法审计、责任不明确，导致客户业务及运维服务面临安全风险。因此，需在电力监控系统中部署运维审计系统，实现对服务器、网络设备、安全设备的操作监控，实现账号集中管理、高强度认证加固、细粒度访问授权控制、加密和图形操作协议的审计等功能，让内部人员、第三方人员的操作处于可管、可控、可见、可审的状态下，规范运维的操作步骤，避免了误操作和非授权操作带来的隐患。

在原有安全防御措施的基础上，部署集中安全管理平台，对现场的工控防护设备和软件进行集中管理，提供统一的策略配置接口，总览各设备和软件的运行状态、事件记录和威胁日志等关键信息。各安全防护设备和软件由集中管理装置统一控制、配置和管理，统一部署安全策略，并监测工控网络的通信流量与安全事件，对工控网络内的安全威胁进行分析，消除安全孤岛，从整体视角进行安全事件分析、安全攻击溯源等，重点解决安全防护设备各自运维而导致的信息不畅和事件处置效率低下等问题。

3.3.5　加强安全管理体系建设

依据国家政策法规、行业标准要求和本单位的战略目标，制定工控系统安全方针制度，明确安全建设目标、组织架构、责任人、绩效考核标准，并对制度管理、组织管理、人员管理、运维管理、建设管理提出具体的管理流程和工作实施办法。

3.3.6　物理机房环境建设

信息网络都是以一定的方式运行在一些物理设备之上，保障物理设备的安全就成为信息网络安全的第一道防线。保障构成信息网络的各种设备、网络线路、供电连接等安全，主要包括设备的防盗、防电磁泄漏、防电磁干扰等。所有的物理设备都运行在一定的物理环境之中，环境安全是物理安全的最基本保障，是整个安全系统不可缺少和忽视的组成部分。保障信息网络所处的环境安全，主要是对场地和机房的约束，强调对于地震、水灾、火灾等自然灾害的预防措施，包括场地安全、防火、防水、防静电、防雷击、电磁防护、线路安全等。

4　电力监控系统网络安全防护价值

4.1　安全防护效果

采用基于构建可信主机系统及可信的网络环境和白名单机制的安全防护技术来设计构建安全防护体系，借助工业控制协议的深度解析与人工智能学习技术的应用，以全面的工业漏洞库为支撑，使安全防护产品更具有基于行为的主动防御能力。此外，应用基于工业控制系统的防护手段，构建了以安全可控为目标、监控审计为特征，持续安全运营的电力监控系统新一代主动防御体系，提高了电力监控系统整体安全性。安全防护体系更加贴近电力监控控制系统环境应用，安全防护更加准确，在保证稳定性要求的同时，效率更强，使用价值更高。

4.2　安全防护的示范性和推广性价值

防护方案具有免疫特征的安全防护体系和机制、关键技术不仅可应用于水电电力监控系统，同时可应用于广泛部署水电工业控制系统的工业企业与集团，有助于提高全行业工业控制系统整体的网络安全水平。设计参照国家等级保护相关规范要求，项目建设后将满足企业等级保护的技防要求，配合企业安全管理体系的规范化建设，技防配合人防，为工业企业工业控制系统安全保驾护航。

作者简介

刘佳其（1995-），四川绵竹人，工程师，学士，现就职于北京珞安科技有限责任公司，主要研究方向为工业控制系统安全防护规划和零信任安全架构。

参考文献：

[1] Clint E. Bodungen, Bryan L. Singer, Aaron Shbeeb, Kyle Wilhoit, Stephen Hilt. 黑客大曝光: 工业控制系统安全[M]. 北京: 机械工业出版社, 2017.

摘自《自动化博览》2022年1月刊暨《工业控制系统信息安全专刊（第八辑）》