《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 電力監(jiān)控系統(tǒng)通信安全技術(shù)研究
電力監(jiān)控系統(tǒng)通信安全技術(shù)研究
2017年電子技術(shù)應(yīng)用第3期
胡朝輝,,王方立
廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院,廣東 廣州510080
摘要: 電力行業(yè)是關(guān)系到國(guó)計(jì)民生的重要行業(yè),,而電力監(jiān)控系統(tǒng)的安全關(guān)系到電力生產(chǎn)的安全。隨著工業(yè)4.0的到來(lái),,電力監(jiān)控系統(tǒng)的安全正面臨前所未有的考驗(yàn),。介紹了當(dāng)前電力監(jiān)控系統(tǒng)通信安全存在的問(wèn)題,分析了當(dāng)前解決方案的不足,,最后提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的技術(shù)方案,。
中圖分類號(hào): TN915.08
文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.2017.03.004
中文引用格式: 胡朝輝,王方立. 電力監(jiān)控系統(tǒng)通信安全技術(shù)研究[J].電子技術(shù)應(yīng)用,,2017,,43(3):21-24.
英文引用格式: Hu Zhaohui,Wang Fangli. Research on communication security technology of electric power monitoring system[J].Application of Electronic Technique,,2017,,43(3):21-24.
Research on communication security technology of electric power monitoring system
Hu Zhaohui,Wang Fangli
Electric Power Research Institute of Guangdong Power Grid Co.,,LTD,,Guangzhou 510080,China
Abstract: Power industry is an important industry related to national interest and people's livelihood, and the security of electric power monitoring system is related to the safety of power production. With the arrival of Industry 4.0, the security of electric power monitoring system is under unprecedented test. First, it describes the typical communication security problems in power monitoring system, second, it analyses the weakness of the current solution. At the end of this paper, we propose a new solution based on trusted network connection and industrial communication whitelisting.
Key words : electric power monitoring system,;communication security,;trusted network connection;industrial communication whitelisting

0 引言

    隨著工業(yè)4.0的推進(jìn),,原本相對(duì)安全的工業(yè)設(shè)備開(kāi)始暴露在網(wǎng)絡(luò)環(huán)境下,,使得設(shè)備的通信系統(tǒng)的安全面臨新的挑戰(zhàn),并暴露出很多安全漏洞,,特別是以電力行業(yè)為首的能源行業(yè),,成了“重災(zāi)區(qū)”。本文主要研究了電力監(jiān)控系統(tǒng)通信安全問(wèn)題,,分析了當(dāng)前電力監(jiān)控系統(tǒng)安全防護(hù)方案及其不足,,最后提出了一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的新方法。

1 電力監(jiān)控系統(tǒng)通信安全問(wèn)題

    在電力監(jiān)控系統(tǒng)中,,目前常用的協(xié)議有IEC-61850系列協(xié)議,,包括MMS、GOOSE、SV等,,以及IEC60870-5系列協(xié)議,,包括IEC60870-5-101、IEC60870-5-102,、IEC60870-5-103,、IEC60870-104等。IEC-61850系列協(xié)議主要應(yīng)用在智能變電站,,IEC60870-5系列協(xié)議主要應(yīng)用在配網(wǎng)自動(dòng)化,。

    由于以上工控協(xié)議在設(shè)計(jì)之初,專注于功能,、性能,、可靠性的實(shí)現(xiàn),以滿足工業(yè)生產(chǎn)的基本需求,,而忽視了對(duì)信息安全需求的考慮,,導(dǎo)致以上工控協(xié)議普遍存在如表1所示的安全隱患。

zs1-b1.gif

2 當(dāng)前電力監(jiān)控系統(tǒng)安全防護(hù)方案

    2014年,,國(guó)家發(fā)改委發(fā)布《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(發(fā)改委2014年第14號(hào)令),。

    2015年,國(guó)家能源局下發(fā)《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》(國(guó)能安全〔2015〕36號(hào)),。

    發(fā)改委2014年第14號(hào)令與國(guó)能安全〔2015〕36號(hào)文,,共同構(gòu)成了當(dāng)前電力監(jiān)控系統(tǒng)的安全防護(hù)指導(dǎo)方案。

2.1 發(fā)改委14號(hào)令與能源局36號(hào)文概述

    發(fā)改委14號(hào)令可以理解為原電監(jiān)會(huì)5號(hào)令的“升級(jí)”版本,。

    2004年原電監(jiān)會(huì)發(fā)布第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》(以下簡(jiǎn)稱“5號(hào)令”),,并隨后陸續(xù)下發(fā)了相關(guān)配套文件。5號(hào)令的核心是“安全分區(qū),、網(wǎng)絡(luò)專用,、橫向隔離、縱向認(rèn)證”十六字方針,,其主要內(nèi)容為:合理劃分安全分區(qū),,擴(kuò)充完善電力調(diào)度專用數(shù)據(jù)網(wǎng),采取必要的安全防護(hù)技術(shù)和防護(hù)設(shè)備,,剝離非生產(chǎn)性業(yè)務(wù),,實(shí)現(xiàn)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的物理隔離。

    發(fā)改委14號(hào)令相比5號(hào)令,,在技術(shù)方面的主要增強(qiáng)體現(xiàn)在:一是針對(duì)配電網(wǎng),、分布式電源廣泛使用無(wú)線公網(wǎng)進(jìn)行數(shù)據(jù)通信的實(shí)際情況,提出了在生產(chǎn)控制大區(qū)內(nèi)設(shè)置“安全接入?yún)^(qū)”的理念,,并明確了相關(guān)的技術(shù)規(guī)定和要求,;二是從設(shè)備選型及配置,、漏洞及風(fēng)險(xiǎn)整改等方面提出了相關(guān)的要求,使電力監(jiān)控系統(tǒng)安全防護(hù)體系從重點(diǎn)強(qiáng)化“邊界防護(hù)”向“縱深防御”發(fā)展,。

    能源局36號(hào)文則是發(fā)改委14號(hào)令的配套文件,,將發(fā)改委14號(hào)令的要求具體細(xì)化,明確給出了對(duì)發(fā)電廠,、省級(jí)以上調(diào)度中心,、地級(jí)調(diào)度中心、變電站,、配電的電力監(jiān)控系統(tǒng)的安全防護(hù)要求,。電力監(jiān)控系統(tǒng)安全防護(hù)總體架構(gòu)如圖1所示。

zs1-t1.gif

2.2 當(dāng)前防護(hù)方案解決通信安全問(wèn)題的不足

    發(fā)改委14號(hào)令與能源局36號(hào)文對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)層的安全防護(hù)要求,,主要涉及單向安全隔離,、縱向加密認(rèn)證、防火墻,、網(wǎng)絡(luò)審計(jì)、入侵檢測(cè),,其中單向安全隔離,、縱向加密認(rèn)證屬于邊界防護(hù)措施。本文重點(diǎn)討論電力監(jiān)控系統(tǒng)內(nèi)部通信安全問(wèn)題,,所以,,下面分析防火墻、網(wǎng)絡(luò)審計(jì),、入侵檢測(cè)能否解決前文提到的通信安全問(wèn)題,。

2.2.1 防火墻

    防火墻的核心功能是基于IP地址、端口對(duì)網(wǎng)絡(luò)會(huì)話進(jìn)行過(guò)濾,?;贗P地址對(duì)訪問(wèn)者身份進(jìn)行限制,一定程度上緩解了前文提到的協(xié)議缺乏認(rèn)證的問(wèn)題,,但是IP地址是容易被偽冒的,。另外,防火墻對(duì)于協(xié)議缺乏授權(quán),、缺乏加密是無(wú)能為力的,。

2.2.2 網(wǎng)絡(luò)審計(jì)

    網(wǎng)絡(luò)審計(jì)設(shè)備通常通過(guò)旁路部署方式對(duì)網(wǎng)絡(luò)會(huì)話行為進(jìn)行檢測(cè)和記錄。網(wǎng)絡(luò)審計(jì)設(shè)備同樣是基于IP地址記錄訪問(wèn)對(duì)象,,所以面臨防火墻同樣的問(wèn)題,,無(wú)法解決協(xié)議缺乏認(rèn)證的問(wèn)題,同時(shí)網(wǎng)絡(luò)審計(jì)設(shè)備對(duì)于協(xié)議缺乏加密是無(wú)能為力的,。網(wǎng)絡(luò)審計(jì)設(shè)備通過(guò)對(duì)網(wǎng)絡(luò)會(huì)話行為的記錄,,提供了事后審計(jì)的能力,,能夠?qū)υ綑?quán)操作行為形成一定的威懾,一定程度上緩解協(xié)議缺乏授權(quán)的問(wèn)題,。

2.2.3 入侵檢測(cè)

    入侵檢測(cè)設(shè)備通常通過(guò)旁路部署方式對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和報(bào)警,。入侵檢測(cè)設(shè)備同樣是基于IP地址確定訪問(wèn)對(duì)象,所以面臨防火墻同樣的問(wèn)題,,無(wú)法解決協(xié)議缺乏認(rèn)證的問(wèn)題,,同時(shí)入侵檢測(cè)設(shè)備對(duì)于協(xié)議缺乏加密是無(wú)能為力的。目前通常的入侵檢測(cè)設(shè)備,,無(wú)法理解電力監(jiān)控系統(tǒng)中的工控協(xié)議,,所以無(wú)法對(duì)工控協(xié)議中的越權(quán)行為進(jìn)行檢測(cè);針對(duì)電力監(jiān)控系統(tǒng)開(kāi)發(fā)的入侵檢測(cè)設(shè)備,,能夠?qū)υ綑?quán)操作行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)與報(bào)警,,能夠一定程度上緩解協(xié)議缺乏授權(quán)的問(wèn)題。

    綜上所述,,當(dāng)前規(guī)范中的方案和技術(shù),,未能解決好前文提到的通信安全問(wèn)題。

3 可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單解決方案

    當(dāng)前電力監(jiān)控系統(tǒng)通信安全問(wèn)題,,其根源在于工控協(xié)議設(shè)計(jì)缺乏信息安全考慮,,但這是短期無(wú)法改變的。本文嘗試提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的新方法,,來(lái)解決前述問(wèn)題,。

    可信網(wǎng)絡(luò)連接(Trusted Network Connection,TNC)是通過(guò)對(duì)信任鏈的建立,,將可信計(jì)算平臺(tái)的可信性延伸到網(wǎng)絡(luò)環(huán)境來(lái)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)可信,。可信網(wǎng)絡(luò)連接的核心思想是:通過(guò)對(duì)請(qǐng)求連接的終端平臺(tái)的可信性進(jìn)行驗(yàn)證,,根據(jù)其可信性對(duì)終端的接入進(jìn)行控制,,來(lái)確保網(wǎng)絡(luò)連接環(huán)境的可信。

3.1 可信網(wǎng)絡(luò)連接在電力監(jiān)控系統(tǒng)的應(yīng)用

    下面以IEC60870-5-104為例進(jìn)行說(shuō)明,,其報(bào)文格式如圖2,。

zs1-t2.gif

    啟動(dòng)字符68H定義了數(shù)據(jù)流中的起點(diǎn),ASDU的長(zhǎng)度為ASDU的字節(jié)數(shù)加4個(gè)控制字節(jié),,根據(jù)4個(gè)控制字節(jié)的取值,,可分為三類報(bào)文,即:I格式幀(信息傳輸功能報(bào)文),、S格式幀(監(jiān)視功能報(bào)文),、U格式幀(未編號(hào)的控制功能報(bào)文)。幀格式如圖3所示,。

zs1-t3.gif

    圖4所示的報(bào)文表示控制站發(fā)送遙控報(bào)文,。

zs1-t4.gif

    如果把報(bào)文的06字段的值改成08就表示取消遙控,。如果按照當(dāng)前的防護(hù)方案,黑客利用IEC60870-5-104協(xié)議缺乏認(rèn)證的漏洞,,將便攜計(jì)算機(jī)接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)后可以直接對(duì)控制器發(fā)起攻擊,,把原本控制站發(fā)送的遙控指令取消。

    將可信網(wǎng)絡(luò)連接技術(shù)應(yīng)用于電力監(jiān)控系統(tǒng),,需要進(jìn)行如下改造:

    (1)將電力監(jiān)控系統(tǒng)中的設(shè)備,,都改造為可信計(jì)算平臺(tái);

    (2)引入可信證明服務(wù)器,,對(duì)接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的設(shè)備進(jìn)行驗(yàn)證,,只有驗(yàn)證為可信的設(shè)備才允許接入網(wǎng)絡(luò)。具體實(shí)施時(shí),,可以采用802.1x技術(shù)實(shí)現(xiàn),。

    因?yàn)榭尚庞?jì)算技術(shù)比較成熟,以上技術(shù)實(shí)現(xiàn)不展開(kāi)敘述,。

    采用了可信網(wǎng)絡(luò)連接技術(shù)后,,非法設(shè)備將無(wú)法接入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò),或者說(shuō)電力監(jiān)控系統(tǒng)中通信各方都是合法設(shè)備,,整個(gè)電力監(jiān)控系統(tǒng)處于一個(gè)可信任的網(wǎng)絡(luò)環(huán)境中,。所以,可信網(wǎng)絡(luò)連接技術(shù)能夠較好解決工控協(xié)議缺乏認(rèn)證的問(wèn)題,。對(duì)于工控協(xié)議缺乏加密的問(wèn)題,雖然仍然存在,,但是由于網(wǎng)絡(luò)中的對(duì)象都是可信任的,,問(wèn)題得到部分緩解。對(duì)于工控協(xié)議缺乏授權(quán)的問(wèn)題,,同樣由于網(wǎng)絡(luò)中的對(duì)象都是可信任的,,問(wèn)題得到部分緩解,但是對(duì)于管理人員誤操作或者內(nèi)部人攻擊問(wèn)題是無(wú)效的,。所以,,下面結(jié)合工控協(xié)議白名單技術(shù)來(lái)解決前述問(wèn)題。

3.2 工控協(xié)議白名單在電力監(jiān)控系統(tǒng)的應(yīng)用

3.2.1 工控協(xié)議白名單的構(gòu)造

    工控協(xié)議白名單是以工控協(xié)議的深度解析為基礎(chǔ),,通過(guò)對(duì)工控協(xié)議報(bào)文的應(yīng)用層進(jìn)行深度解析,,獲取電力監(jiān)控操作的功能碼、寄存器,、值域等關(guān)鍵字段,,結(jié)合時(shí)間、IP地址,、端口等信息,,建立電力監(jiān)控操作的正常行為模型,。這個(gè)模型包含了報(bào)文中所有需要過(guò)濾的關(guān)鍵字段,通過(guò)對(duì)所有關(guān)鍵字段進(jìn)行編譯(編譯的目的是加快關(guān)鍵字段匹配的速度)后形成的一個(gè)列表,,這個(gè)列表被稱作工控協(xié)議白名單,。

    工控協(xié)議白名單的產(chǎn)生方式分為自學(xué)習(xí)和手動(dòng)兩種:自學(xué)習(xí)方式是通過(guò)捕獲網(wǎng)絡(luò)上的工控協(xié)議報(bào)文后進(jìn)行深度解析并自動(dòng)生成工控協(xié)議白名單;手動(dòng)方式是通過(guò)手動(dòng)添加規(guī)則的方式來(lái)生成工控協(xié)議白名單,。

3.2.2 工控協(xié)議白名單的匹配

    白名單的匹配過(guò)程是通過(guò)捕獲工控協(xié)議報(bào)文,,提取關(guān)鍵字段后按照生成白名單的編譯方式進(jìn)行編譯后去和已知的白名單庫(kù)進(jìn)行匹配。如果命中,,證明是合法操作,;否則,就可能是管理人員誤操作或者內(nèi)部人攻擊,。

4 驗(yàn)證測(cè)試

4.1 測(cè)試環(huán)境

    實(shí)驗(yàn)室仿真環(huán)境及組網(wǎng)如圖5所示,。仿真環(huán)境中的設(shè)備情況如表2所示。

zs1-t5.gif

zs1-b2.gif

4.2 測(cè)試結(jié)果

4.2.1 不啟用可信網(wǎng)絡(luò)連接和工控協(xié)議白名單防護(hù)

    工業(yè)交換機(jī)配置為不啟用802.1x,,工業(yè)防火墻配置為全部允許規(guī)則,。

    攻擊方式1:從攻擊電腦,直接對(duì)PLC發(fā)起攻擊

    攻擊步驟:

    (1)將攻擊電腦接入工業(yè)交換機(jī),,進(jìn)行網(wǎng)絡(luò)掃描,,發(fā)現(xiàn)PLC的IP地址及其開(kāi)放的端口TCP 102;

    (2)執(zhí)行CVE-2016-3949漏洞攻擊腳本,,對(duì)PLC的TCP 102端口進(jìn)行攻擊,;

    (3)PLC進(jìn)入故障模式,只有冷啟動(dòng)可恢復(fù)系統(tǒng),。

    攻擊方式2:從客戶機(jī)A,,模擬發(fā)起內(nèi)部人攻擊

    攻擊步驟:

    (1)從客戶機(jī)A上,通過(guò)WINCC軟件向PLC下發(fā)STOP指令,;

    (2)PLC進(jìn)入停機(jī)狀態(tài),,只有冷啟動(dòng)可恢復(fù)系統(tǒng)。

4.2.2 啟用可信網(wǎng)絡(luò)連接和工控協(xié)議白名單防護(hù)

    工業(yè)交換機(jī)配置為啟用802.1x,,工業(yè)防火墻配置為啟用工控協(xié)議白名單防護(hù),。

    攻擊方式1:從攻擊電腦,直接對(duì)PLC發(fā)起攻擊

    攻擊步驟:

    (1)將攻擊電腦接入工業(yè)交換機(jī),,工業(yè)交換機(jī)要求攻擊電腦進(jìn)行身份驗(yàn)證,;

    (2)攻擊電腦由于沒(méi)有合法身份,無(wú)法驗(yàn)證通過(guò),,無(wú)法接入網(wǎng)絡(luò),;

    (3)攻擊電腦無(wú)法進(jìn)行網(wǎng)絡(luò)掃描,執(zhí)行CVE-2016-3949漏洞攻擊腳本,,PLC不受影響,,工作正常,。

    攻擊方式2:從客戶機(jī)A,模擬發(fā)起內(nèi)部人攻擊

    攻擊步驟:

    (1)從客戶機(jī)A上,,通過(guò)WINCC軟件向PLC下發(fā)STOP指令,;

    (2)S7 STOP指令在到達(dá)工業(yè)防火墻時(shí)被攔截,PLC不受影響,,工作正常,,并在統(tǒng)一管理平臺(tái)上產(chǎn)生報(bào)警。

5 結(jié)束語(yǔ)

    本文介紹了當(dāng)前電力監(jiān)控系統(tǒng)通信安全存在的問(wèn)題,,分析了當(dāng)前技術(shù)方案的不足,,最后嘗試提出一種基于可信網(wǎng)絡(luò)連接結(jié)合工控協(xié)議白名單的技術(shù)方案,能夠較好地解決當(dāng)前電力監(jiān)控系統(tǒng)的通信安全問(wèn)題,。工業(yè)4.0時(shí)代,,網(wǎng)絡(luò)已經(jīng)在電力行業(yè)中被廣泛使用,電力監(jiān)控系統(tǒng)在設(shè)計(jì)之初就存在的問(wèn)題隨之暴露出來(lái),,烏克蘭的停電事故折射出目前電力監(jiān)控系統(tǒng)的脆弱性,,解決電力控制系統(tǒng)中的通信安全問(wèn)題刻不容緩。

參考文獻(xiàn)

[1] 國(guó)家電力監(jiān)管委員會(huì).電力二次系統(tǒng)安全防護(hù)規(guī)定(電監(jiān)會(huì)5號(hào)令)[S].2004.

[2] 國(guó)家電力監(jiān)管委員會(huì).關(guān)于印發(fā)電力二次系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案的通知(電監(jiān)安全[2006]34號(hào)文)[S].2006.

[3] 李戰(zhàn)寶,,張文貴,,潘卓.美國(guó)確保工業(yè)控制系統(tǒng)安全的做法及對(duì)我們的啟示[J].信息網(wǎng)絡(luò)安全,2012,,51(8):51-53.

[4] 王平,,靳智超,王浩.EPA工業(yè)控制網(wǎng)絡(luò)安全測(cè)試系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)測(cè)量控制,,2009,,17(11):53-55.

[5] GB/T 20984—2007.信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].2007.

[6] 陳曉剛,孫可,,曹一家.基于復(fù)雜網(wǎng)絡(luò)理論的大電網(wǎng)結(jié)構(gòu)脆弱性分析[J].電工技術(shù)學(xué)報(bào),2007,,22(10):138-144.

[7] 楊華飛,,李棟華,程明.電力大數(shù)據(jù)關(guān)鍵技術(shù)及建設(shè)思路的分析和研究[J].電力信息與通信技術(shù),,2015,,13(1):7-10.

[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.

[9] 周亮.組態(tài)化智能變電站信息系統(tǒng)中若干問(wèn)題研究[D].合肥:合肥工業(yè)大學(xué),2011.

[10] 何群峰.電能表現(xiàn)場(chǎng)校驗(yàn)智能分析系統(tǒng)[D].杭州:浙江大學(xué),,2010.

[11] 鐘粱高.基于可信計(jì)算的工業(yè)控制系統(tǒng)信息安全解決方案研究[D].大連:大連理工大學(xué),,2015.



作者信息:

胡朝輝,王方立

(廣東電網(wǎng)有限責(zé)任公司電力科學(xué)研究院,,廣東 廣州510080)

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。