解決方案
概述
2010年在伊朗爆發的震網病毒事件對工業企業的敲響警鐘,使工業企業從專網等于信息安全的安全理念中警醒。電網作為國家重要的基礎設施,電網的安全關乎整個國家的運行,是國家最基礎的安全保護對象。
電力調度中心承擔著對電廠發電機機組運行狀態的監控、調控和對廠站運行狀態的監控和調控的功能,是整個電力系統的控制中心。伴隨著信息技術在電力系統中的大規模應用,信息流已經承載了大量的遙感、遙測、遙調和遙信的業務信息,從而為能量流提供了基礎的通信信道的作用。對于信息流的采集、傳輸、分析和處理也構成了整個調度系統的中心內容。
變電站作為調度中心的重要調度對象和重要的監測對象,已經逐步實現了智能化的改造,基于IEC 61850的智能化無人站已經成為變電站重要的形態。變電站作為重要的電力樞紐,對于變電站的安全防護已經成為保障電力供應的一個重要方面。二次系統安全防護中,對于變電站與主站之間的通信路徑,已經通過縱向加密認證的方式來保障傳輸過程的安全安全問題,但是,從變電站整個安全建設的角度,建立起一套有效的安全防護體系。
方案中主要從平臺加固、通信防護、集中監控三個方面來構建智能變電站的安全體系。
智能變電站面臨的安全威脅
|
威脅條目 |
脆弱性分析 |
風險影響/后果 |
|||
|
編號 |
威脅類型 |
威脅客體 |
相關脆弱性 |
利用難易程度 |
風險影響/后果 |
|
TE-01-S |
假冒 |
全部客體 |
網絡通信脆弱性 |
中 |
不經認證的假冒指令可直接控制合并單元與智能終端,造成一次設備損壞。 |
|
平臺軟件脆弱性 |
中 |
||||
|
TE-02-T |
篡改 |
全部客體 |
網絡通信脆弱性 |
高 |
狀態信息和控制指令的完整性無法得到保障,錯誤的狀態信息和控制指令可能導致人員誤操作以及站內RTU執行錯誤指令。 |
|
TE-03-R |
抵賴 |
全部客體 |
平臺軟件脆弱性 |
中 |
狀態信息和控制指令的來源無法溯源,影響故障原因排查。 |
|
網絡通信脆弱性 |
中 |
||||
|
網絡監控和日志脆弱性 |
低 |
||||
|
TE-04-I |
信息泄漏 |
全部客體 |
平臺軟件脆弱性 |
高 |
傳輸數據遭到泄露,內部應用、網絡結構遭到暴露。 |
|
網絡通信脆弱性 |
高 |
||||
|
TE-05-D |
拒絕服務 |
全部客體 |
平臺軟件脆弱性 |
中 |
設備無法正常提供服務,造成智能變電站部分功能的散失。 |
|
平臺配置脆弱性 |
高 |
||||
|
惡意軟件保護脆弱性 |
高 |
||||
|
TE-06-E |
權限提升 |
變電站監控系統 |
平臺軟件脆弱性 |
中 |
跨權限執行非法指令,繞過就地五防系統非法執行指令。 |
|
惡意軟件保護脆弱性 |
高 |
||||
智能變電站防護體系設計
3.1 安全防護體系總體架構
智能變電站二次系統的防護目標是抵御黑客、病毒、惡意代碼等通過各種形式對變電站二次系統發起的惡意破壞和攻擊,以及其它非法操作,防止變電站二次系統癱瘓和失控,并由此導致的變電站一次系統事故。安全防護體系將平臺加固、通信防護、集中監控這四個部分組成。
3.2 平臺加固
平臺是指支撐智能變電站系統所有功能的軟硬件設備的集合,平臺加固主要從硬件安全、軟件安全、配置安全和惡意軟件防護四個方面進行安全加固。
平臺硬件安全加固措施
- 對智能變電站的關鍵基礎設施采取冗余備份,避免單點故障。
- 對關鍵基礎實施加強物理防護,禁止USB、光驅等外接設備。
- 增強智能變電站設備的抗無線電和電磁脈沖干擾能力。
平臺軟件安全加固措施
- 關閉系統中不必要的應用和服務。
- 對用戶登錄本地操作系統、訪問系統資源等操作進行身份認證,根據用戶的身份與權限進行訪問控制,并且要對用戶的操作行為進行安全審計。
- 開啟設備的安全防護功能,降低緩沖區溢出等攻擊發生的概率。
- 通過代碼審計手段發現智能變電站關鍵應用在軟件設計上的缺陷,比如在執行操作指令時對輸入的數據包缺乏有效檢測問題;軟件配置和設計上認證和訪問控制措施不足問題等。
- 使用安全的傳輸協議,比如SSH、SFTP等,禁止使用TELNET、FTP等基于明文的傳輸協議。
平臺配置安全加固措施
- 系統和應用軟件的關鍵補丁要及時安裝,安裝前要進行相關測試。
- 在系統上線時要修改缺省用戶名、密碼等缺省配置。
- 關鍵配置文件要實時備份。
- 關鍵設置的數據要加密存儲。
- 制定合理訪問控制策略,為智能變電站用戶分配合適的訪問權限。
惡意軟件防護措施
- 在智能變電站生產控制大區部署獨立的防惡意代碼系統,避免和管理信息大區共用一套系統。
- 防惡意代碼系統的規則庫要采取離線的手段進行更新。
3.3 通信防護
安全分區
- 《變電站二次系統安全防護方案》中規定,220kV 以上變電站二次系統的生產控制大區應當設置控制區和非控制區,對于不接入省級以上調度中心的 110kV 及以下變電站,其二次系統生產控制大區可不再進行細分,相當于只設置控制區。
邊界防護
- 控制區和非控制區之間要采用國產硬件防火墻、具有訪問控制功能的設備或相當功能的設施實現兩個區域的邏輯隔離、報文過濾、訪問控制等功能,其訪問控制規則應當正確有效。
- 生產控制大區內的不同業務系統間應該采取安全措施限制系統間的直接互通,如VLAN 和訪問控制等安全技術。
- 在間隔層和站控層之間使用專業的工業防火墻,阻止病毒和任何其它的非法訪問。
通信加密與認證
- 通過遠程撥號訪問生產控制大區的遠方訪問用戶要使用數字證書、硬件U-KEY等雙因素認證技術進行登錄和訪問認證,同時確保訪問用戶使用的是經過安全加固的操作系統平臺。
- 智能變電站宜按照IEC 62351要求,采用信息加密、數字簽名、身份認證等安全技術,保障信息通信安全,實現信息通信機密性、完整性、不可否認性和可用性要求。
3.4 集中監控
- 集中監控措施目的主要是在安全事件發生前發現入侵企圖、在安全事件發生中及時定位事件點、在安全事件發生后進行審計追蹤,并能夠對網絡異常流量進行分析。主要安全設施有入侵檢測系統、集中報警平臺。
- 智能變電站系統中的操作行為,應該進行嚴格的業務安全審計,在事故發生后能進行溯源。審計記錄的內容至少應包括事件日期、時間、發起者信息、操作類型、事件描述和操作結果等。
- 應用系統應當提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。
- 運維人員在智能變電站內的操作要通過堡壘機進行記錄。
針對智能變電站安全需求,站控層部署工控審計系統SAS,對站控層下達到間隔層的指令進行記錄。通過內置的規則來判定下發指令是否存在異常違規指令,如發現其中含有異常指令,審計系統會通知管理員進行處理,避免因無法感知異常事件,導致的危害蔓延。
在站控層部署工控入侵檢測系統NIDS對站控層邊界處的網絡流量進行病毒、蠕蟲等攻擊代碼檢測,實時發現攻擊事件并對關鍵操作事件進行告警。
在站控層部署堡壘機SAS-H對運維過程進行有效的監控。只有經過身份確認的運維人員才能進入到變電站系統進行運維,并對其運維行為進行全程記錄。
方案價值
- 對于變電站的安全隱患,通過平臺加固可以有效的降低變電站存在的脆弱性,減少受攻擊面,有效降低變電站的安全風險。
- 對于基于縱深防護的思想,對于變電站內進行分區、分域和通信的加密有效的提升站內通信的安全性,降低由于單點的安全問題所導致的站內整體運行故障,降低變電站的安全風險。
- 通過監控手段可以對運維過程進行有效的監控,大大降低了運維過程所帶來的風險,可以有效的對變電站的異常操作及時進行預警,提升變電站應對安全威脅的能力
方案優勢
變電站的安全防護一直以來都是以邊界防護為主,缺乏站內的安全建設。而針對工控越來越復雜的安全形勢,為了保障變電站的穩定安全按運行,需要從安全的各個層面來考慮變電站的安全建設。本方案對于變電站的面臨的安全威脅進行深度的分析,對已有的電力二次安全防護中對于安全加固和集中控制進行了有效的集成,針對智能變電站的面臨的安全威脅加入了針對變電站內安全進行防護的手段,通過對平臺進行深度加固,對通信過程進行有效控制,通過集中的安全管理,有效的提升變電站整體安全防護的能力。