文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.2017.03.004
中文引用格式: 胡朝輝,王方立. 電力監(jiān)控系統(tǒng)通信安全技術(shù)研究[J].電子技術(shù)應(yīng)用,,2017,,43(3):21-24.
英文引用格式: Hu Zhaohui,Wang Fangli. Research on communication security technology of electric power monitoring system[J].Application of Electronic Technique,,2017,,43(3):21-24.
0 引言
隨著工業(yè)4.0的推進(jìn),,原本相對(duì)安全的工業(yè)設(shè)備開(kāi)始暴露在網(wǎng)絡(luò)環(huán)境下,,使得設(shè)備的通信系統(tǒng)的安全面臨新的挑戰(zhàn),并暴露出很多安全漏洞,,特別是以電力行業(yè)為首的能源行業(yè),,成了“重災(zāi)區(qū)”。本文主要研究了電力監(jiān)控系統(tǒng)的通信安全問(wèn)題,,分析了當(dāng)前電力監(jiān)控系統(tǒng)安全防護(hù)方案及其不足,,最后提出了一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的新方法。
1 電力監(jiān)控系統(tǒng)通信安全問(wèn)題
在電力監(jiān)控系統(tǒng)中,,目前常用的協(xié)議有IEC-61850系列協(xié)議,,包括MMS、GOOSE、SV等,,以及IEC60870-5系列協(xié)議,,包括IEC60870-5-101、IEC60870-5-102,、IEC60870-5-103,、IEC60870-104等。IEC-61850系列協(xié)議主要應(yīng)用在智能變電站,,IEC60870-5系列協(xié)議主要應(yīng)用在配網(wǎng)自動(dòng)化,。
由于以上工控協(xié)議在設(shè)計(jì)之初,專注于功能,、性能,、可靠性的實(shí)現(xiàn),以滿足工業(yè)生產(chǎn)的基本需求,,而忽視了對(duì)信息安全需求的考慮,,導(dǎo)致以上工控協(xié)議普遍存在如表1所示的安全隱患。
2 當(dāng)前電力監(jiān)控系統(tǒng)安全防護(hù)方案
2014年,,國(guó)家發(fā)改委發(fā)布《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(發(fā)改委2014年第14號(hào)令),。
2015年,國(guó)家能源局下發(fā)《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》(國(guó)能安全〔2015〕36號(hào)),。
發(fā)改委2014年第14號(hào)令與國(guó)能安全〔2015〕36號(hào)文,,共同構(gòu)成了當(dāng)前電力監(jiān)控系統(tǒng)的安全防護(hù)指導(dǎo)方案。
2.1 發(fā)改委14號(hào)令與能源局36號(hào)文概述
發(fā)改委14號(hào)令可以理解為原電監(jiān)會(huì)5號(hào)令的“升級(jí)”版本,。
2004年原電監(jiān)會(huì)發(fā)布第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》(以下簡(jiǎn)稱“5號(hào)令”),,并隨后陸續(xù)下發(fā)了相關(guān)配套文件。5號(hào)令的核心是“安全分區(qū),、網(wǎng)絡(luò)專用,、橫向隔離、縱向認(rèn)證”十六字方針,,其主要內(nèi)容為:合理劃分安全分區(qū),,擴(kuò)充完善電力調(diào)度專用數(shù)據(jù)網(wǎng),采取必要的安全防護(hù)技術(shù)和防護(hù)設(shè)備,,剝離非生產(chǎn)性業(yè)務(wù),,實(shí)現(xiàn)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的物理隔離。
發(fā)改委14號(hào)令相比5號(hào)令,,在技術(shù)方面的主要增強(qiáng)體現(xiàn)在:一是針對(duì)配電網(wǎng),、分布式電源廣泛使用無(wú)線公網(wǎng)進(jìn)行數(shù)據(jù)通信的實(shí)際情況,提出了在生產(chǎn)控制大區(qū)內(nèi)設(shè)置“安全接入?yún)^(qū)”的理念,,并明確了相關(guān)的技術(shù)規(guī)定和要求,;二是從設(shè)備選型及配置,、漏洞及風(fēng)險(xiǎn)整改等方面提出了相關(guān)的要求,使電力監(jiān)控系統(tǒng)安全防護(hù)體系從重點(diǎn)強(qiáng)化“邊界防護(hù)”向“縱深防御”發(fā)展,。
能源局36號(hào)文則是發(fā)改委14號(hào)令的配套文件,,將發(fā)改委14號(hào)令的要求具體細(xì)化,明確給出了對(duì)發(fā)電廠,、省級(jí)以上調(diào)度中心,、地級(jí)調(diào)度中心、變電站,、配電的電力監(jiān)控系統(tǒng)的安全防護(hù)要求,。電力監(jiān)控系統(tǒng)安全防護(hù)總體架構(gòu)如圖1所示。
2.2 當(dāng)前防護(hù)方案解決通信安全問(wèn)題的不足
發(fā)改委14號(hào)令與能源局36號(hào)文對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)層的安全防護(hù)要求,,主要涉及單向安全隔離,、縱向加密認(rèn)證、防火墻,、網(wǎng)絡(luò)審計(jì)、入侵檢測(cè),,其中單向安全隔離,、縱向加密認(rèn)證屬于邊界防護(hù)措施。本文重點(diǎn)討論電力監(jiān)控系統(tǒng)內(nèi)部通信安全問(wèn)題,,所以,,下面分析防火墻、網(wǎng)絡(luò)審計(jì),、入侵檢測(cè)能否解決前文提到的通信安全問(wèn)題,。
2.2.1 防火墻
防火墻的核心功能是基于IP地址、端口對(duì)網(wǎng)絡(luò)會(huì)話進(jìn)行過(guò)濾,?;贗P地址對(duì)訪問(wèn)者身份進(jìn)行限制,一定程度上緩解了前文提到的協(xié)議缺乏認(rèn)證的問(wèn)題,,但是IP地址是容易被偽冒的,。另外,防火墻對(duì)于協(xié)議缺乏授權(quán),、缺乏加密是無(wú)能為力的,。
2.2.2 網(wǎng)絡(luò)審計(jì)
網(wǎng)絡(luò)審計(jì)設(shè)備通常通過(guò)旁路部署方式對(duì)網(wǎng)絡(luò)會(huì)話行為進(jìn)行檢測(cè)和記錄。網(wǎng)絡(luò)審計(jì)設(shè)備同樣是基于IP地址記錄訪問(wèn)對(duì)象,,所以面臨防火墻同樣的問(wèn)題,,無(wú)法解決協(xié)議缺乏認(rèn)證的問(wèn)題,同時(shí)網(wǎng)絡(luò)審計(jì)設(shè)備對(duì)于協(xié)議缺乏加密是無(wú)能為力的,。網(wǎng)絡(luò)審計(jì)設(shè)備通過(guò)對(duì)網(wǎng)絡(luò)會(huì)話行為的記錄,,提供了事后審計(jì)的能力,,能夠?qū)υ綑?quán)操作行為形成一定的威懾,一定程度上緩解協(xié)議缺乏授權(quán)的問(wèn)題,。
2.2.3 入侵檢測(cè)
入侵檢測(cè)設(shè)備通常通過(guò)旁路部署方式對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和報(bào)警,。入侵檢測(cè)設(shè)備同樣是基于IP地址確定訪問(wèn)對(duì)象,所以面臨防火墻同樣的問(wèn)題,,無(wú)法解決協(xié)議缺乏認(rèn)證的問(wèn)題,,同時(shí)入侵檢測(cè)設(shè)備對(duì)于協(xié)議缺乏加密是無(wú)能為力的。目前通常的入侵檢測(cè)設(shè)備,,無(wú)法理解電力監(jiān)控系統(tǒng)中的工控協(xié)議,,所以無(wú)法對(duì)工控協(xié)議中的越權(quán)行為進(jìn)行檢測(cè);針對(duì)電力監(jiān)控系統(tǒng)開(kāi)發(fā)的入侵檢測(cè)設(shè)備,,能夠?qū)υ綑?quán)操作行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)與報(bào)警,,能夠一定程度上緩解協(xié)議缺乏授權(quán)的問(wèn)題。
綜上所述,,當(dāng)前規(guī)范中的方案和技術(shù),,未能解決好前文提到的通信安全問(wèn)題。
3 可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單解決方案
當(dāng)前電力監(jiān)控系統(tǒng)通信安全問(wèn)題,,其根源在于工控協(xié)議設(shè)計(jì)缺乏信息安全考慮,,但這是短期無(wú)法改變的。本文嘗試提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的新方法,,來(lái)解決前述問(wèn)題,。
可信網(wǎng)絡(luò)連接(Trusted Network Connection,TNC)是通過(guò)對(duì)信任鏈的建立,,將可信計(jì)算平臺(tái)的可信性延伸到網(wǎng)絡(luò)環(huán)境來(lái)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)可信,。可信網(wǎng)絡(luò)連接的核心思想是:通過(guò)對(duì)請(qǐng)求連接的終端平臺(tái)的可信性進(jìn)行驗(yàn)證,,根據(jù)其可信性對(duì)終端的接入進(jìn)行控制,,來(lái)確保網(wǎng)絡(luò)連接環(huán)境的可信。
3.1 可信網(wǎng)絡(luò)連接在電力監(jiān)控系統(tǒng)的應(yīng)用
下面以IEC60870-5-104為例進(jìn)行說(shuō)明,,其報(bào)文格式如圖2,。
啟動(dòng)字符68H定義了數(shù)據(jù)流中的起點(diǎn),ASDU的長(zhǎng)度為ASDU的字節(jié)數(shù)加4個(gè)控制字節(jié),,根據(jù)4個(gè)控制字節(jié)的取值,,可分為三類報(bào)文,即:I格式幀(信息傳輸功能報(bào)文),、S格式幀(監(jiān)視功能報(bào)文),、U格式幀(未編號(hào)的控制功能報(bào)文)。幀格式如圖3所示,。
圖4所示的報(bào)文表示控制站發(fā)送遙控報(bào)文,。
如果把報(bào)文的06字段的值改成08就表示取消遙控,。如果按照當(dāng)前的防護(hù)方案,黑客利用IEC60870-5-104協(xié)議缺乏認(rèn)證的漏洞,,將便攜計(jì)算機(jī)接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)后可以直接對(duì)控制器發(fā)起攻擊,,把原本控制站發(fā)送的遙控指令取消。
將可信網(wǎng)絡(luò)連接技術(shù)應(yīng)用于電力監(jiān)控系統(tǒng),,需要進(jìn)行如下改造:
(1)將電力監(jiān)控系統(tǒng)中的設(shè)備,,都改造為可信計(jì)算平臺(tái);
(2)引入可信證明服務(wù)器,,對(duì)接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的設(shè)備進(jìn)行驗(yàn)證,,只有驗(yàn)證為可信的設(shè)備才允許接入網(wǎng)絡(luò)。具體實(shí)施時(shí),,可以采用802.1x技術(shù)實(shí)現(xiàn),。
因?yàn)榭尚庞?jì)算技術(shù)比較成熟,以上技術(shù)實(shí)現(xiàn)不展開(kāi)敘述,。
采用了可信網(wǎng)絡(luò)連接技術(shù)后,,非法設(shè)備將無(wú)法接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò),或者說(shuō)電力監(jiān)控系統(tǒng)中通信各方都是合法設(shè)備,,整個(gè)電力監(jiān)控系統(tǒng)處于一個(gè)可信任的網(wǎng)絡(luò)環(huán)境中,。所以,可信網(wǎng)絡(luò)連接技術(shù)能夠較好解決工控協(xié)議缺乏認(rèn)證的問(wèn)題,。對(duì)于工控協(xié)議缺乏加密的問(wèn)題,雖然仍然存在,,但是由于網(wǎng)絡(luò)中的對(duì)象都是可信任的,,問(wèn)題得到部分緩解。對(duì)于工控協(xié)議缺乏授權(quán)的問(wèn)題,,同樣由于網(wǎng)絡(luò)中的對(duì)象都是可信任的,,問(wèn)題得到部分緩解,但是對(duì)于管理人員誤操作或者內(nèi)部人攻擊問(wèn)題是無(wú)效的,。所以,,下面結(jié)合工控協(xié)議白名單技術(shù)來(lái)解決前述問(wèn)題。
3.2 工控協(xié)議白名單在電力監(jiān)控系統(tǒng)的應(yīng)用
3.2.1 工控協(xié)議白名單的構(gòu)造
工控協(xié)議白名單是以工控協(xié)議的深度解析為基礎(chǔ),,通過(guò)對(duì)工控協(xié)議報(bào)文的應(yīng)用層進(jìn)行深度解析,,獲取電力監(jiān)控操作的功能碼、寄存器,、值域等關(guān)鍵字段,,結(jié)合時(shí)間、IP地址,、端口等信息,,建立電力監(jiān)控操作的正常行為模型,。這個(gè)模型包含了報(bào)文中所有需要過(guò)濾的關(guān)鍵字段,通過(guò)對(duì)所有關(guān)鍵字段進(jìn)行編譯(編譯的目的是加快關(guān)鍵字段匹配的速度)后形成的一個(gè)列表,,這個(gè)列表被稱作工控協(xié)議白名單,。
工控協(xié)議白名單的產(chǎn)生方式分為自學(xué)習(xí)和手動(dòng)兩種:自學(xué)習(xí)方式是通過(guò)捕獲網(wǎng)絡(luò)上的工控協(xié)議報(bào)文后進(jìn)行深度解析并自動(dòng)生成工控協(xié)議白名單;手動(dòng)方式是通過(guò)手動(dòng)添加規(guī)則的方式來(lái)生成工控協(xié)議白名單,。
3.2.2 工控協(xié)議白名單的匹配
白名單的匹配過(guò)程是通過(guò)捕獲工控協(xié)議報(bào)文,,提取關(guān)鍵字段后按照生成白名單的編譯方式進(jìn)行編譯后去和已知的白名單庫(kù)進(jìn)行匹配。如果命中,,證明是合法操作,;否則,就可能是管理人員誤操作或者內(nèi)部人攻擊,。
4 驗(yàn)證測(cè)試
4.1 測(cè)試環(huán)境
實(shí)驗(yàn)室仿真環(huán)境及組網(wǎng)如圖5所示,。仿真環(huán)境中的設(shè)備情況如表2所示。
4.2 測(cè)試結(jié)果
4.2.1 不啟用可信網(wǎng)絡(luò)連接和工控協(xié)議白名單防護(hù)
工業(yè)交換機(jī)配置為不啟用802.1x,,工業(yè)防火墻配置為全部允許規(guī)則,。
攻擊方式1:從攻擊電腦,直接對(duì)PLC發(fā)起攻擊
攻擊步驟:
(1)將攻擊電腦接入工業(yè)交換機(jī),,進(jìn)行網(wǎng)絡(luò)掃描,,發(fā)現(xiàn)PLC的IP地址及其開(kāi)放的端口TCP 102;
(2)執(zhí)行CVE-2016-3949漏洞攻擊腳本,,對(duì)PLC的TCP 102端口進(jìn)行攻擊,;
(3)PLC進(jìn)入故障模式,只有冷啟動(dòng)可恢復(fù)系統(tǒng),。
攻擊方式2:從客戶機(jī)A,,模擬發(fā)起內(nèi)部人攻擊
攻擊步驟:
(1)從客戶機(jī)A上,通過(guò)WINCC軟件向PLC下發(fā)STOP指令,;
(2)PLC進(jìn)入停機(jī)狀態(tài),,只有冷啟動(dòng)可恢復(fù)系統(tǒng)。
4.2.2 啟用可信網(wǎng)絡(luò)連接和工控協(xié)議白名單防護(hù)
工業(yè)交換機(jī)配置為啟用802.1x,,工業(yè)防火墻配置為啟用工控協(xié)議白名單防護(hù),。
攻擊方式1:從攻擊電腦,直接對(duì)PLC發(fā)起攻擊
攻擊步驟:
(1)將攻擊電腦接入工業(yè)交換機(jī),,工業(yè)交換機(jī)要求攻擊電腦進(jìn)行身份驗(yàn)證,;
(2)攻擊電腦由于沒(méi)有合法身份,無(wú)法驗(yàn)證通過(guò),,無(wú)法接入網(wǎng)絡(luò),;
(3)攻擊電腦無(wú)法進(jìn)行網(wǎng)絡(luò)掃描,執(zhí)行CVE-2016-3949漏洞攻擊腳本,,PLC不受影響,,工作正常,。
攻擊方式2:從客戶機(jī)A,模擬發(fā)起內(nèi)部人攻擊
攻擊步驟:
(1)從客戶機(jī)A上,,通過(guò)WINCC軟件向PLC下發(fā)STOP指令,;
(2)S7 STOP指令在到達(dá)工業(yè)防火墻時(shí)被攔截,PLC不受影響,,工作正常,,并在統(tǒng)一管理平臺(tái)上產(chǎn)生報(bào)警。
5 結(jié)束語(yǔ)
本文介紹了當(dāng)前電力監(jiān)控系統(tǒng)通信安全存在的問(wèn)題,,分析了當(dāng)前技術(shù)方案的不足,,最后嘗試提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的技術(shù)方案,能夠較好地解決當(dāng)前電力監(jiān)控系統(tǒng)的通信安全問(wèn)題,。工業(yè)4.0時(shí)代,,網(wǎng)絡(luò)已經(jīng)在電力行業(yè)中被廣泛使用,電力監(jiān)控系統(tǒng)在設(shè)計(jì)之初就存在的問(wèn)題隨之暴露出來(lái),,烏克蘭的停電事故折射出目前電力監(jiān)控系統(tǒng)的脆弱性,,解決電力控制系統(tǒng)中的通信安全問(wèn)題刻不容緩。
參考文獻(xiàn)
[1] 國(guó)家電力監(jiān)管委員會(huì).電力二次系統(tǒng)安全防護(hù)規(guī)定(電監(jiān)會(huì)5號(hào)令)[S].2004.
[2] 國(guó)家電力監(jiān)管委員會(huì).關(guān)于印發(fā)電力二次系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案的通知(電監(jiān)安全[2006]34號(hào)文)[S].2006.
[3] 李戰(zhàn)寶,,張文貴,,潘卓.美國(guó)確保工業(yè)控制系統(tǒng)安全的做法及對(duì)我們的啟示[J].信息網(wǎng)絡(luò)安全,2012,,51(8):51-53.
[4] 王平,,靳智超,王浩.EPA工業(yè)控制網(wǎng)絡(luò)安全測(cè)試系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)測(cè)量控制,,2009,,17(11):53-55.
[5] GB/T 20984—2007.信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].2007.
[6] 陳曉剛,孫可,,曹一家.基于復(fù)雜網(wǎng)絡(luò)理論的大電網(wǎng)結(jié)構(gòu)脆弱性分析[J].電工技術(shù)學(xué)報(bào),2007,,22(10):138-144.
[7] 楊華飛,,李棟華,程明.電力大數(shù)據(jù)關(guān)鍵技術(shù)及建設(shè)思路的分析和研究[J].電力信息與通信技術(shù),,2015,,13(1):7-10.
[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.
[9] 周亮.組態(tài)化智能變電站信息系統(tǒng)中若干問(wèn)題研究[D].合肥:合肥工業(yè)大學(xué),2011.
[10] 何群峰.電能表現(xiàn)場(chǎng)校驗(yàn)智能分析系統(tǒng)[D].杭州:浙江大學(xué),,2010.
[11] 鐘粱高.基于可信計(jì)算的工業(yè)控制系統(tǒng)信息安全解決方案研究[D].大連:大連理工大學(xué),,2015.
作者信息:
胡朝輝,王方立
(廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院,,廣東 廣州510080)