1 前言
我國是世界上最早重視電網監控網絡安全,并且大規模開展防護部署的國家之一。在本世紀初國內電力系統發生了若干影響較大的網絡安全事件,也直接推動了國內電網二次安防體系的建設。經過了近二十年的發展,國內電力監控網絡安全防護的體系從建立到逐步完善,經歷了從單一維度的結構性防護到綜合性防護體系,從被動式查殺到主動性防御等多個發展階段,并伴隨著國家能源互聯網的發展新戰略,目前又開始面臨網絡安全的新課題。
2 安全防護演進的三個階段
全國電力監控二次安防體系的建設始于本世紀初,里程碑是2001年國家電力調度數據網組網技術體制的建立,2002年開始研究開發二次安防的產品和系統。
國內電網監控系統的安全防護體系的建設經歷了三個主要階段:
(1)結構性安全機制的建立;
(2)基于等級保護的業務安全防護體系的建立;
(3)新一代電網監控系統主動防護體系的設計構想。
演進發展階段如圖1所示。
圖1 國內電力監控網絡安全防護的演進階段
2.1 階段一:建立結構性安全防護機制
結構性安全防護機制,以“安全分區-網絡專用-橫向隔離-縱向認證”為主要特征和執行標準。
我們國家電網通信系統原先采用的是X.25分組交換網,到本世紀初,國家選定了基于SDH的IP專網作為電力調度數據網骨干網組網技術標準,并規定電力調度數據網只允許傳輸電力調度生產直接相關的數據,必須與公用信息網絡在物理層面安全隔離,從而提出“結構性安全”的重要概念,成為電力監控系統信息安全體系建設的標準性起點。2002年國家經信委發出30號令《電網和電廠計算機監控系統及調度數據網安全防護規定》對此作出明確規范。2002年國家863研究項目“國家電網調度中心安全防護體系研究及示范”經過3年的研究,首次提出了我國電力系統信息安全防護總體策略:“安全分區、網絡專用、橫向隔離、縱向認證”。2005年國家電監會發布5號令《電力二次系統安全防護規定》及《電力二次系統安全防護總體方案》等相關配套技術文件,成為我國電力監控系統第一階段安全防護體系全面形成的標志。該體系的實施范圍包括省級及以上調度中心、地縣級調度中心、變電站、發電廠、配電及負荷管理環節相關電力監控系統。
2.2 階段二:基于等級保護的業務安全防護體系
2007年國家電監會啟動電力行業信息安全等級保護定級,開始全面推進電力行業等級保護建設工作,并發布了該階段的標志性文件《電力行業信息系統安全等級保護基本要求》。在結構性防護基礎上進一步完善形成了電網監控系統的等級保護體系,由以下五個層面組成:物理安全、網絡安全、主機安全、應用安全、數據安全防護,共包括220個安全要求項,其中168項強于或高于對應級別的國家等級保護基本要求。
對于保護等級為四級的電網調度監控系統,綜合運用調度數字證書和安全標簽技術實現了操作系統與業務應用的強制執行控制(MEC)、強制訪問控制(MAC)等安全防護策略,保障了主體與客體間的全過程安全保護,全面實現了等級保護四級的技術要求。
2.3 階段三:基于可信計算的新一代電力監控主動防護體系
隨著大量新型攻擊方式出現,安全威脅特征庫規模迅速增長,使得以“查殺”為核心的被動安全措施對于實時控制系統安全防護正在失去寶貴的效率,因此需要建立更為高效的主動防御體系。
應用可信計算技術,建立調度控制系統主動免疫機制,提升未知惡意代碼攻擊的免疫能力,實現計算機環境和網絡環境的全程可測可控和安全可信,并通過可信報告將這種信任關系通過網絡連接延伸到整個信息系統,達到系統自身免疫的目的,其核心功能包括:可信引導、完整性度量、強制訪問及執行控制、可信網絡連接。
2014年8月國家發改委發布14號令《電力監控系統安全防護規定》,并且同步修訂了《電力監控系統安全防護總體方案》等配套技術文件,同時隨著國家網絡安全等級保護2.0的發布實施,電網監控新的安全防護方案要求生產控制大區具備控制功能的系統盡量應用可信計算技術實現計算環境和網絡環境安全可信,建立對惡意代碼的免疫能力,應對高級別的復雜網絡攻擊,這標志著我國智能電網調度控制系統信息安全主動防御體系的正式確立。
3 安全防護的當前工作
3.1 建設網絡安全監測和態勢感知系統
近兩年,國網和南網均開展了大規模的網絡安全監測和態勢感知系統的技術研究、產品開發和工程部署工作,實現網絡安全監管從調度中心向廠站端的延伸,將數量眾多的變電站和電廠涉網的保護監控網絡的安全狀態納入監管范圍,大大增強了電網對二次監控系統網絡安全的監視和管控能力。
新擴的電網監控安全狀態監測的采集范圍覆蓋到監控主機、保護測控等嵌入式裝置、防火墻隔離等二次安防設備,以及網絡交換機,并將告警信息、突發事件、周期狀態等數據上送到調度側的網絡安全態勢平臺。
部署到廠站端的安全采集裝置工作如圖2所示。
圖2 廠站端安全狀態采集工作示意圖
網絡安全監測和態勢感知系統的整體部署如圖3所示。
圖3 網絡安全監測和態勢感知系統部署圖
3.2 探索研究安全可控的技術路線
安全可控,主要是指自主可控,沒有自主可控,就沒有網絡安全,當前外部封殺中國科技發展意圖明顯,電網電廠等能源工業領域的網絡安全形勢嚴峻,加強網絡安全防護的自主可控能力刻不容緩。
自主可控正是國家電網公司建設安全防護主動性能力的基礎要義。國調中心建立工作組,開展了大量的研究評估工作,在電網調度、變電站等電力生產關鍵環節推動保護監控和網絡安全等核心技術的自主可控研究和產品替代。在關鍵技術領域包括CPU處理器、存儲芯片、網絡控制、FPGA等關鍵基礎芯片,在操作系統、數據庫等基礎軟件組件等方面,集中力量技術攻關,并進行科學規劃,建立基礎技術研究、產業開發、工程應用的迭代生態,確保電力產業鏈、供應鏈的自主安全可靠,構建安全可控的電網生產控制信息技術體系。
3.3 強化安全防護細則的設計和落地
電網作為全國最為龐大的關鍵基礎設施之一,其網絡安全防護涉及到電力生產、電網傳輸、設備制造、系統維護等多個環節和單位,做好安全防護的有序落實必須要規范和標準先行。最近幾年電網在國家網絡安全法和網絡安全等級保護2.0的指導下,開展了大量具體的安全防護規范的研究討論和標準制定工作,表1為近期部分規范的摘要。
表1 近期電網安全防護規范的制定工作摘要
3.4 研究可信計算技術在安全防護上的應用
可信計算技術是網絡安全等級保護2.0的重要內涵,也是電力監控安全防護體系進入第三代的關鍵需求。網絡安全的主動性防御能力主要體現在自主可控、可信計算、態勢感知分析上。傳統的二次安防架構中以邊界防護部署的被動防御為主,對于日益增多且多變的網絡安全未知性攻擊,缺乏對設備底層開始到設備間通信的主動信任的防護體系架構研究,對保護監控等關鍵設備缺少基于可信免疫機制的主動安全設計和實現。
當前的一個重要工作是研究電力保護監控場景下設備的可信主動安全技術,掌握可信架構設計,并研制繼電保護、測控裝置、通信網關機、監控主機等關鍵設備,實現安全啟動、操作系統可信加載、可信程序調用、運行一致性度量、可信安全監測等高安全性的主動防御功能,建立保護監控關鍵設備對未知網絡攻擊的核心防護能力,從而大幅度提高電力保護監控系統的運行安全可靠性。
近期,國網正在開展服務器工作站的可信方案驗證和檢測,計劃在調度端監控系統中首先推行基于可信的監控主機本體安全設計,并在將來向廠站端推廣。
4 安全防護的新形勢新挑戰
4.1 能源互聯網帶來的安全邊界改變
以5G技術為代表的新通信技術正在推動產業互聯網高速發展,而能源互聯網是產業互聯網的最重要應用之一。在能源互聯網時代,能源系統正向碎片化能源時代轉型,并以萬物互聯、高度智能的形態存在,網絡邊界不再像傳統經典結構那樣清晰,智能終端設備急劇增加,在設備的高度互聯和信息多向流動下,網絡安全問題將更加凸顯,任何一個電網設備甚至不起眼的應用端小設備,其安全漏洞都可能導致電網運行的重大安全風險。
在智慧能源業態下,由于其架構的開放性、業務應用的多樣性、信息交互的多向性,系統暴露出來的受攻擊界面大大增加,比如將原來安全防護不足的風機等新能源的非電網工控資產納入能源互聯網,導致網絡安全碎片化缺口大大增加,將用電側終端智能化接入電網監控網絡導致安全防護邊界不再清晰,將5G、LoRa、NB-IoT、HPLC等多種通信方式應用到終端連接帶來數據傳輸上的安全問題,大數據分析的基礎云邊端架構帶來新的安全課題,機器人作業和遠程智能化運維帶來通信邊界新的網絡安全問題。
4.2 5G等通信新技術帶來安全新風險
5G網絡技術的終端多樣化、網絡功能虛擬化、網絡切片化、業務邊緣化、網絡開放化以及應用多樣化等特征,使得5G網絡給攻擊者的暴露面大幅度增加,給電力監控應用5G的網絡安全帶來新的風險和挑戰。圖4為5G網絡架構下的安全風險分布。
圖4 5G架構的網絡安全風險分布示意圖
5G網絡在接入層、網絡層以及應用層面臨的安全挑戰可以歸納為4個方面:
(1)如何做好用戶標識的隱私保護。在移動網絡中,需要考慮采用標識匿名的方式防止攻擊者識別出個人用戶,以防攻擊者通過核心網和無線接入網滲透進行流量監測和流量分析。
(2)數據如何做好機密性與完整性保護。需對網絡傳輸、業務服務器處理、數據庫存儲的涉及用戶隱私的數據進行加密,防止敏感信息遭到泄露。
(3)終端的真實性如何保證。為防止攻擊者冒充合法用戶獲取免費的服務,移動網絡需要對每一個接入網絡的終端進行身份驗證,確保終端用戶身份真實可靠。
(4)網絡功能的可用性如何保證。在提升安全能力的同時需要考慮網絡功能與設備性能的要求,確保網絡功能與設備性能不會大幅下降,需要在網絡功能、設備性能與安全需求間保持平衡。
4.3 云計算虛擬化架構帶來新的安全問題
云平臺服務架構已經成為眾多大數據應用的主要依托,電網監控也不例外,但安全問題始終是使用云計算的主要顧慮之一,云計算的多租戶、分布性、對網絡和服務提供者的依賴性,為網絡安全帶來新的挑戰。主要安全風險包括:
(1)虛擬化安全問題:如果物理主機和虛擬網絡受到破壞,那么物理主機和虛擬機之間的交流受到破壞,則可能導致虛擬機逃逸或者共享機制被非法利用等安全問題。
(2)數據集中的安全問題:用戶的數據存儲、處理、網絡傳輸等都集中依靠云計算系統,則會產生如何避免數據丟失損壞、如何避免數據被非法訪問篡改、如何對多租戶應用進行數據隔離、如何避免數據服務被阻塞、如何確保云端退役數據能妥善保管或銷毀等一系列問題。
(3)云平臺可用性問題:用戶的數據和業務流程非常依賴于云平臺服務的連續性,當發生云平臺故障時,如何保證用戶數據和應用的快速恢復也成為問題。
(4)云平臺遭受攻擊的問題:云計算平臺由于其用戶信息資源高度集中,反而容易成為黑客攻擊的目標,由此拒絕服務造成的破壞性將會明顯超過傳統應用環境。
4.4 人工智能帶來新的安全問題
人工智能之所以帶來網絡安全風險,一方面是人工智能技術不夠成熟,包括算法不可解釋性、數據強依賴性等技術局限性;另一方面是人工智能技術在應用中本身就是把雙刃劍,可以增強網絡安全防護能力,也可以擴大網絡攻擊能力。
比如深度學習作為人工智能的關鍵技術,深度學習算法依賴于人工神經網絡,神經網絡在追求準確性的同時,失去的卻是透明度和控制力,在許多情況下,即使是創建深度學習算法的人也很難解釋他們的內部工作原理。人工智能的這些特性可以用來實現網絡對抗性攻擊,也可以用于放大或者增強已經存在的某些類型的網絡攻擊,有報道稱,網絡安全技術和人工智能技術相結合,可以使攻擊面的有效覆蓋范圍較傳統方法提升20倍。
我們更要發揮人工智能在電網監控網絡安全治理中的積極作用,比如可以梳理大量安全監測數據并自動執行安全風險分析,努力準確捕獲異常事件,減少錯誤的安全告警,通過實現電網安全態勢的預測功能來提高安全性等。
作者簡介
湯震宇(1975-),男,江蘇常州人,教授級高級工程師,碩士,現任南京南瑞繼保電氣有限公司網絡安全產品經理,主要研究方向為電力監控通信、網絡安全。
摘自《工業控制系統信息安全專刊(第七輯)》
