随着计算机和网络通信技术在电力监控系统中的广泛应用,电力监控系统网络安全问题日益凸显,为了加强电力监控系统的安全管理,防范黑客及恶意代码等对电力监控系统的攻击侵害,保障电力系统的安全稳定运行,中国电力企业联合会根据国家发展改革委员会2014年第14号令《电力监控系统安全防护规定》和国家网络安全等级保护等相关规定制定《电力监控系统网络安全防护导则》(下文简称“防护导则”),该标准于2018年9月17日正式发布,2019年4月1日正式实施。

防护导则由中国电力企业联合会提出,国家能源局、国家电网有限公司、中国南方电网有限责任公司、中国华能集团有限公司、公安部、行业权威科研机构及测评机构、自动化厂商和安全厂商等共同起草,对于电力监控系统全生命周期的安全防护建设具有极强的指导意义和参考价值。

适用范围

“本标准规定了电力监控系统网络安全防护的基本原则、体系框架、防护技术、应急备用措施和安全管理要求。”

——解读:随着计算机技术、网络通信技术、安全防护技术和电力控制技术的快速发展,电力监控系统也面临着更多网络安全威胁,包括一些新型的APT网络攻击。

电力监控系统面临的主要网络威胁

序号

安全威胁

描述

1

黑客入侵

有组织的黑客团体对电力监控系统进行恶意攻击、窃取数据,破坏电力监控系统及电力系统的正常运行

2

旁路控制

非授权者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解

3

完整性破坏

非授权修改电力监控系统配置、程序、控制命令;非授权修改电力市场交易中的敏感数据

4

越权操作

超越已授权限进行非法操作

5

无意或故意行为

无意或有意地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等

6

拦截篡改

拦截或篡改调度数据广域网传输中的控制命令、参数配置、交易报价等敏感数据

7

非法用户

非授权用户使用计算机或网络资源

8

信息泄漏

口令、证书等敏感信息泄密

9

网络欺骗

Web服务欺骗攻击;IP欺骗攻击

10

身份伪装

入侵者伪装合法身份,进入电力监控系统

11

拒绝服务攻击

向电力调度数据网络或通信网关发送大量雪崩数据,造成网络或监控系统瘫痪

12

窃听

黑客在调度数据网或专线上搭线窃听明文传输的敏感信息,为后续攻击做准备

针对电力监控系统面临的网络安全威胁,防护导则基于电力监控系统建立体系不断完善、分区分级重点保护、网络专用多道防线、全面融入安全生产和管控风险保障安全的网络安全防护基本原则,通过安全防护技术、应急备用措施和全面安全管理建立三维立体安全防护体系,三个维度互相支持、互相融合、动态关联,并不断发展进化,形成动态的三维立体结构。以适应电力监控系统安全性、可靠性、实时性、分布性和系统性等特性。

防护导则从安全防护技术、应急备用措施和全面安全管理三个维度描述安全防护体系的立体结构,三个维度互相支持、互相融合、动态关联,并不断发展进化,形成动态的三维立体结构。同时配套使用的GB/T 38318-2019《电力监控系统网络安全评估指南》也着重对该结构体系三个维度的评估实施指导。

电力监控系统网络安全防护体系三维立体结构示意图

“本标准适用于发电、输配电、用电、电网调度等电力生产各环节的电力监控系统安全防护,覆盖其规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等各阶段。”

——解读:防护导则适用电力监控系统生产业务全流程和全生命周期的网络安全防护。既涵盖电力监控系统的发、输、变、配、用和电网调度等各业务环节,同样适用于电力监控系统规划设计到退役报废的整个运行生命周期。电力运营企业、设计院、自动化厂商、安全厂商等和电力监控系统相关的上下游生态链都可以参考防护导则的相关技术要求落实各自的职责。

网络安全防护技术体系核心要点

3.1安全防护技术

安全防护技术包含基础设施安全、体系结构安全、监控系统本体安全、可信安全免疫四个部分。

3.1.1 基础设施安全

基础设施安全对应等级保护标准安全物理环境部分技术要求,又突出行业特点。如:

◇ 基于安全分区的基本原则,生产控制大区机房与管理信息大区机房也应独立设置,设备部署在对应的安全区域,等级保护第四级安全区域应配置第二道门禁;

◇ 生产控制大区所有的密码基础设施,如:纵向加密装置需要通过电力行业相关检测机构(如中国电力科学研究院)的检测认证,结合现场实际情况,密码算法更新至SM2加密算法。

3.1.2 体系结构安全

总体要求-十六字方针是基本防护原则

体系结构安全的基本要求继承了电力行业的“安全分区、网络专用、横向隔离、纵向认证”十六字安全结构传统。2005年《电力二次系统安全防护规定》(电监会5号令)提出“电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全”。十六字基本方针作为电力监控系统防护的基本原则,被相关国家标准和其他行业标准借鉴应用,充分验证其防护能力的有效性和行业适用性。

分区分级-网络分区、安全分级,加强重点防护

网络分区:电力监控系统的网络分区在电力行业已经是约定俗成,同样也符合网络安全等级保护工业控制系统安全扩展要求中安全通信网络的网络架构技术要求。在电力监控系统中关于简化安全区的设置,要遵循就高不就低的原则,同时生产控制大区的纵向互联应与相同安全区互联,避免不同安全区的纵向交叉互联。针对目前新能源发电厂(如风电和光伏电站)中安全区I和安全区II通过一台通信服务器(部署在安全区I)与集控中心或者调度进行通信的业务场景,应做好安全区I和安全区II的隔离措施(如:增加工业防火墙)。

安全分级:遵循国家信息安全等级保护要求,对电力监控系统进行安全定级,并采取相应的保护措施。等级保护定级参考主要是看影响,根据当被保护的对象遭受破坏、丧失功能等影响后对国家安全、社会秩序、公共利益以及公民、法人和其他合法权益的侵害程度来定级。电力监控系统的现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素(管理信息大区)宜单独定级。对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分多个定级对象。电力监控系统的安全等级保护定级可以参考国能安全36号文中的定级标准。

加强重点防护:通过业务分区和安全分级梳理重点防护的安全对象,对重要业务系统加强防护,包括横向隔离、纵向认证和综合防护。同时需要关注安全接入区的设置和防护架构。设置安全接入区的技术场景为如果生产控制大区内个别业务系统或其功能模块(或子系统)需使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信,其安全防护水平低于生产控制大区内其他系统时,应设立安全接入区,典型的业务系统或功能模块包括配电网自动化系统的前置采集模块(终端)、负荷控制管理系统、某些分布式电源控制系统等,安全接入区的典型安全防护框架结构如下图所示。

安全接入区的典型安全防护框架结构示意图

网络专用-重点关注生产控制大区与其他通信网络的网络隔离

网络专用主要关注网络安全隔离、子网划分情况和生产控制大区数据通信七层协议的安全措施。电力调度数据网是典型的与生产控制大区相连接的专用网络。

电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现安全隔离;同时划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区,禁止存在生产控制大区与其他网络直连、无逻辑隔离措施或共用网络设备的情况;另外生产控制大区数据通信的七层协议均应采用相应安全措施,具体到安全措施如:禁止采用默认路由,按照业务需求划分VLAN,关闭网络边界OSPF路由功能,采用符合要求的虚拟专网、加密隧道技术;使用符合国家要求的加密算法,使用调度数字证书实现安全认证等。

横向隔离-建立横向通信多道防线

电力监控系统应在外部公共因特网、管理信息大区、生产控制大区的控制区及非控制区等横向边界部署相应安全措施,形成电力监控系统横向从外到内四道安全防线,实现核心控制区安全防护强度的累积效应。

电力监控系统横向四道安全防线

横向四道防线中根据防护强度要求从技术实现角度可划分为单向隔离和逻辑隔离

单向隔离技术的应用场景为生产控制大区与管理信息大区的数据通信、安全接入区与生产控制大区中其他部分的联接处。简单理解从数据通信源为生产控制大区需要部署正向安全隔离设施实现数据的单向传输,反之部署反向安全隔离装置。装置必须为通过国家有关机构安全检查认证的电力专用横向横向单向隔离装置。

备注说明:在发电厂生产控制大区中脱硫脱硝等业务系统需要与地方环保等部门进行数据传输时,其边界也应该采用单向隔离强度的防护措施。

逻辑隔离技术的应用场景为生产控制大区内部的安全区之间的数据通信、管理信息大区和外部公共因特网之间的数据通信以及同一安全区内部不同系统之间的数据通信。生产控制大区内部的安全区之间的逻辑隔离措施可以选用工控专用防火墙,实现网络层的访问控制以及工业控制协议规约检查和过滤。管理信息大区和外部公共因特网以及管理信息大区内部的逻辑隔离措施可以选用下一代防火墙,实现网络层的访问控制、应用级检查、入侵防御以及对威胁情报的检测。

纵向认证、数字证书-建立纵向通信多道防线

电力监控系统应在国调、网调、省调、地调、县调间,以及各级调度机构与其直调的发电厂、变电站之间的纵向边界,部署相应安全措施,形成电力监控系统纵向从下到上四道安全防线,实现高安全等级控制区安全防护强度的累积效应。纵向数据交互时,应保证数据完整性和保密性,纵向加密认证装置隧道配置策略应细化至业务IP地址、通信端口,隧道和策略应为密通,且隧道为OPEN状态。生产控制大区的重要业务系统应该逐步实现加密认证机制。

电力监控系统纵向四道安全防线

防火墙和入侵检测、防病毒和防木马要求

√ 生产控制系统部署防火墙、入侵检测系统以及防恶意代码的产品必须满足相应产品技术规范要求,同时必须保证安全设备策略的有效性;并且生产控制大区需要更新特征库或者病毒库的产品必须离线及时更新,不允许直接通过因特网直接更新;

√由于电力监控系统对实时性的要求较高,高延迟和抖动是不能接受的,且网络相对封闭,所以建议在电力监控系统中部署工控专用的安全产品。目前针对工业控制网络安全防护产品,已经有相应的GB/T、GA以及在研技术要求或检测标准。

工控安全产品标准化情况

拨号认证-加强审计与认证

拨号认证设施应用场景为进行必要的远程维护,仅允许单用户登录,并采取严格监管审计措施,使用安全加固的操作系统、数字证书技术进行登录和访问认证等安全措施。应该禁止直连核心交换机,不使用时关机。

3.1.3 监控系统本体安全

基本要求-安全体系架构中各模块实现本体安全

适用范围:本体安全是电力监控系统安全防护体系中重要的一环。本体安全的相关要求主要适用于新建或新开发的电力监控系统,在运系统具备升级改造条件时可参照执行,不具备升级改造条件的在运系统需要通过健全和落实安全管理制度和安全应急机制、加强安全管控、强化网络隔离等方式降低安全风险。

建设范围:电力监控系统软件的安全、操作系统和基础软件的安全、计算机和网络设备及电力专用监控设备的安全、核心处理器芯片的安全。应采用安全、可控、可靠的软硬件产品,并通过国家有关机构的安全检测认证。

关注电力监控系统各模块组件本体安全和运行安全

系统模块本体安全:针对监控系统本体安全的建设范围而言,各系统模块组件本体安全是保证电力监控系统安全的基础。电力监控系统软件;重要电力监控系统中的操作系统、数据库、中间件等基础软件;计算机和网络设备,以及电力自动化设备、继电保护设备、安全稳定控制设备、智能电子设备(IED)、测控设备等;重要电力监控系统中的核心处理器芯片在设计阶段需要充分考虑安全防护理念和措施,必须通过国家有关机构的安全检测认证和代码安全审计,防止软硬件存在恶意的代码或后门。各设备供应商需要提供相应的检测报告或认证证书。

重要电力监控系统应采用符合国家相关要求的处理器芯片,采用安全可靠的密码算法,真随机数发生器、存储器加密、总线传输加密等安全防护措施。

运行安全:在保证安全体系架构中各模块自身安全性的前提下,使用过程中的安全是对应着技术安全防护技术体系中的应用环节,是建立电力监控系统网络安全的基础。具体包括不局限于以下内容:

√ 软硬件使用时应合理配置,启用身份鉴别、访问控制、安全审计等安全功能和策略;

√ 操作系统和基础软件应仅安装运行需要的组件和应用程序,并及时升级安全补丁,补丁更新前应进行充分的测试,禁止直接通过因特网在线更新;

√ 计算机和网络及监控设备等硬件设备应通过防撕封条或者U口管控软件等工具封闭网络设备和计算机设备的空闲网络端口和其他无用端口,拆除或封闭不必要的移动存储设备接口,仅保留必要的USB端口;

√ 同样在运维过程中应采取专机专用、身份认证和安全审计等安全措施,严禁出现通过互联网直接运维生产控制大区的情况,采用VPN专线、运维堡垒机等措施都是实现运维安全的可选方式。

3.1.4 可信安全免疫

基本要求-监控系统本体安全的根本

适用范围:可信安全免疫是监控系统本体安全的根本核心和补充,可信安全免疫的相关要求主要适用于新建或新开发的电力监控系统,在运系统具备升级改造条件时可参照执行,不具备升级改造条件的在运系统需要通过健全和落实安全管理制度和安全应急机制、加强安全管控、强化网络隔离等方式降低安全风险。

建设范围:强制版本管理、静态安全免疫和动态安全免疫。重要电力监控系统应在有条件时逐步推广应用以密码硬件为核心的可信计算技术,用于实现计算环境和网络环境安全免疫,免疫未知恶意代码,防范有组织的、高级别的恶意攻击。

◇ 全业务流程和生命周期的可信安全

可信安全免疫对应着监控系统本体安全的要求,包括电力监控系统各模块组件本体安全和运行安全。其中电力监控系统各模块组件本体安全对应着强制版本管理,在电力监控系统关键控制软件应该在开发升级后采用数字证书进行签名和送检,通过检测的控制软件程序应由检测机构用其数字证书对其签名,生产控制大区应禁止未包含生产厂商和检测机构签名版本的可执行代码启动运行。

静态安全免疫和动态安全免疫相结合保证电力监控系统业务的运行安全。静态安全免疫侧重于静态安全启动机制。操作系统和业务应用、动态库、系统内核模块在启动前对BIOS、操作系统引导程序以及系统内核等核心内容执行静态度量,确保被度量对象未被篡改且不存在未知代码,保证电力监控系统业务运行前的安全可信;动态安全免疫侧重于动态安全防护机制。在业务系统使用阶段对系统进程、数据、代码段、进程间的调用以及业务网络进行动态度量,保证电力监控系统运行过程中的安全可信。

3.2应急备用措施

冗余备用-网络、设备、人员多层面冗余及数据备份恢复

冗余备用和数据备份的目的是为了实现电力监控系统的故障快速恢复,建立坚强智能电网,保证业务的连续性。

地市及以上电网调度控制中心硬件设施、包含调控人员组织结构和人员职责、发电厂和变电站的关键设备应该实现冗余,同时对重要数据进行备份,实现冗余备用。

发电厂和变电站关键设备(控制器、可编程逻辑控制单元、工业以太网交换机、工控主机等)通过双机或双工的方式实现冗余备用,对于特别重要的设备(如现场运行系统及设备关键部位),除自动化控制方式外,应设有现地手工操作控制机构,同时合理设置数据备份方式、频率等策略,并按照策略执行。

应急响应-建立应急响应机制应对安全事件

电力企业应建立电力监控系统的应急机制,制定合理的整体应急预案和针对各系统可行的应急预案,并定期开展协调演练,根据演练情况结合实际情况优化出应急制度和应急预案,保障应急制度和预案的有效性和可行性。

电力监控系统安全防护的核心是保护电网的安全。当生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,应按应急处理预案,立即采取安全应急措施。

√ 报告上级业务主管部门和安全主管部门,必要时可断开生产控制大区与管理信息区之间的横向边界连接;

√ 在紧急情况下可协调断开生产控制大区与下级或上级控制系统之间的纵向边界连接,以防止事态扩大,同时注意保护现场,以便进行调查取证和分析;

√ 上级业务主管部门和安全主管部门也应将安全事件及时通报相关电力企业,形成联合防护机制。

多道防线-构建横向和纵向栅栏式安全防线

电力监控系统横向从外到内四道安全防线,实现核心控制区安全防护强度的累积效应。纵向从下到上四道安全防线,实现高安全等级控制区安全防护强度的累积效应。

在各级电网调度控制中心逐步部署内网安全监视措施,目前国家电网和南方电网都在调度数据网络中分别部署网络安全监测装置和态势感知采集装置以及各类态势感知主站平台等设备,可以实时监测相关横向和纵向防线上的安全告警,一旦发生网络安全事件,能够快速响应、及时处置,实现各防线联合防御。

3.3安全管理

除了采用信息安全技术措施控制电力监控系统的信息安全威胁外,安全管理措施也是必不可少的手段,所谓“三分技术,七分管理”就是这个道理。安全技术措施和安全管理措施可以相互补充,共同构建全面、有效的信息安全保障体系。安全管理部分结合电力业务特点划分四部分重点内容:融入电力安全生产管理体系、全体人员安全管理、全部设备及系统的安全管理和全生命周期安全管理。

◇ 融入电力安全生产管理体系

电力企业作为电力监控系统网络安全的责任主体,应健全电力监控系统安全防护的组织保证体系和安全责任体系。将国家行业主管部门、各级电网调度控制机构、开发制造单位、检测评估单位、规划设计单位等不同组织纳入到安全管理体系建设中,并确认与落实各组织的安全责任体系,真正意义上将网络安全管理融入到安全生产管理体系中。

全体人员安全管理

安全管理的主体在于人,包括电力监控系统安全防护的管理、运行、维护、使用等全体人员。电力企业应遵循安全管理制度要求设置相应的安全岗位,配备安全管理专职并明确岗位职责。落实人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等安全管理的要求。

全部设备及系统的安全管理

安全管理的客体在于电力监控系统,针对电力监控系统的软硬件设备、业务软件、安全防护设备等组成单元,应实现从供应链设备选型安全、设备接入及使用(需要关注设备接入和使用阶段的授权、审核与审批)、建立资产台账以及安全评估检查中后的安全加固过程中等全生命周期和全方位的安全管理。

全生命周期安全管理

电力监控系统系统及设备在规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等全生命周期阶段应采取相应安全管理与评估措施。

电力监控系统全生命周期的安全评估措施

总结语

在电力行业安全防护实践与探索中总结经验结合国家安全防护标准的背景下,防护导则提出的安全防护技术、应急备用措施和全面安全管理三个维度构建的立体安全防护体系将极大提高电力监控系统的安全性,同时对电力主体企业、自动化厂商和安全厂商等电力相关上下游生态链也提出了新的要求和挑战。

声明:本文来自威努特工控安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。