智能变电站控制网络安全防御体系构建

木链科技企业号2022-01-26 16:46
本文章内容来自企业自主发布
基于智能变电站网络安全风险分析,本文将分析其安全防护的需求并进一步引出智能变电站防御体系的构建方案。

根据国家电网公司《智能变电站技术导则》,智能变电站是采用先进的传感器、信息、通信、控制、智能等技术,以一次设备参量数字化和标准化、规范化信息平台为基础,实现变电站实时全景检测、自动运行控制、与站外系统协同互动等功能;达到提高变电可靠性、优化资产利用率、减少人工干预、支撑电网安全运行等目标的变电站。其内涵为可靠、经济、兼容、自主、互动、协同,并具有一次设备智能化、信息交换标准化、系统高度集成化、运行控制自动化、保护控制协同化、分析决策在线化等技术特征。在进行智能变电站控制网络的设计时,最初主要考虑的是确保网络的性能最优,对于网络安全性方面的设计则较为欠缺。

基于智能变电站网络安全风险分析,本文将分析其安全防护的需求并进一步引出智能变电站防御体系的构建方案。

一、安全风险

智能变电站控制网络是电力调度控制网络的重要组成部分,是我国能源安全的关键基础,一旦发生安全事故可能带来极大的经济损失与社会影响。2015年底乌克兰电网遭黑客攻击事件表明,智能变电站控制网络已成为国外势力研究打击敌方国家能源与经济的关注点之一,也暴露出完全物理隔离的智能变电站控制网络并非绝对的安全,攻击者可通过摆渡式间接攻击手法突破物理隔离,对智能变电站控制网络的安全构成严重威胁。

目前的智能变电站控制网络依据 IEC 61850 标准进行建设,主要分为五个部分,即站控层、间隔层和过程层,以及站控层与间隔层、间隔层与过程层之间的通信网络。其中,站控层主要包括监控系统、操作员工作站及远动机等终端设备。间隔层主要包括测控装置和保护装置等终端设备。过程层主要包括智能终端和合并单元等终端设备。站控层与间隔层之间的网络主要为基于 TCP/IP 协议的 MMS 协议网络。间隔层与过程层之间的网络主要为基于 GOOSE/SMV 协议的网络。

智能变电站不同的层次结构,其主要的安全问题也有各自的特点:

1、 站控层终端设备的常见安全问题

智能变电站控制网络中的站控层监控主机以及操作员工作站等终端,常见的是Windows操作系统。

(1) 身份鉴别:

①操作系统与数据库管理系统未开启定期更改密码策略,未设置口令长度策略,未设置密码为字母数字或特殊字符混合策略;

②未对操作系统启用登录失败处理功能,未限制同一用户连续失败登录次数。

(2) 访问控制

①未重命名管理员账户,未修改默认账户口令;

②未删除多余账户,未禁用 guest 账户;

③未启用访问控制功能,无法依据安全策略控制用户对资源的访问。

(3) 入侵防范

①变电站控制网络无法检测到对重要服务器进行的入侵行为(包括记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间等,并在发生严重入侵事件时提供报警);

②没有遵循操作系统最小安装原则,在操作系统中安装了不必要的组件和应用程序,没有通过设置升级服务器等方式更新系统补丁;

(4) 资源控制

①未对终端设备接入方式与网络地址范围进行限定;

②未在安全策略中启用超时锁定;

③未根据需要对用户对系统资源的最大或最小使用限度进行限制;

④未禁用 USB 接口,未关闭或移除光驱设备。

2、间隔层与过程层终端设备常见安全问题

间隔层的主要设备有测控装置、保护装置、录波器和报文记录分析仪;过程层的主要设备智能终端和合并单元(互感器)。

(1) 软件安全

①设备开启 FTP 服务,配置不当允许匿名登录,获取敏感文件。

(2) 通信安全

①设备采用 Telnet 登录方式,Telnet 为明文传输协议,有可能导致非授权的嗅探,影响网络数据安全;

②未启用身份鉴别措施,可导致通过 Telnet 方式直连登陆系统进行任意操作,造成系统配置修改、设备重启、信息读取等后果。

(3) 渗透防范

①通过分析网络中传输的 Telnet 协议数据可获取主站、通讯、子站中所有明文传输数据,获得访问控制权限;

②通过FTP任意用户登陆,可读入智能设备配置信息;

③智能设备存在未授权登录访问,通过Telnet访问可直接获取root权限。

综上,智能变电站控制网络目前主要面临网络终端设备、网络边界与网络连接、网络实时监控、关键信息保护和安全管理机制五个方面的安全风险:1.网络终端设备:设备资产不够清晰可控,国外品牌多知识产权不能全部掌握;操作系统和应用软件更新不够及时设备资产的物理保护措施不足。2.网络边界和网络连接:安全边界不够清晰、明确;非必要通信协议的使用,加大了网络被攻击的可能性;网络连接控制不足,存在远程接入风险。3.网络实时监控:对网络中终端设备的接入与变更的实时监控不足;对网络中终端设备间的交互与操作的实时监控不足。4.关键数据保护:业务系统中的关键业务数据保护力度不足;5.安全管理机制:缺乏专门的安全管理组织机构;缺乏专门的安全管理规章制度。

二、防护需求

通过对智能变电站控制网络面临的安全风险进行分析,根据工业控制网络的安全保护目标,得出智能变电站控制网络安全保护的需求主要有以下七点:

(1)建立安全防御体系

由于智能变电站控制网络的安全保护目标与信息网络不同,需要构建针对智能变电站控制网络安全保护要求的安全防御体系,为智能变电站控制网络的安全保护建设工作提供指导。

(2)明确定义网络边界

要保证针对智能变电站控制网络的安全保护机制能够起到应有的效果,一个重要的前提就是对网络边界进行明确的定义,只有这样,才能在准确地描述网络内部的安全问题,并制定合理的保护措施。

(3)终端设备资产进行管控

智能变电站控制网络内所有的终端设备资产清单要完备,要清楚掌握所有终端设备的信息,并对终端设备资产的变更进行严格的管控。

(4)实时监控网络运行的状态

要做到对智能变电站控制网络安全状态的及时感知,及时发现网络中出现的异常情况,就必须做到对网络运行状态的实时监控。

(5)规范关键业务数据访问控制

智能变电站控制网络中传输与存储的数据大多为与智能变电站运行状态有关,这些数据对于智能变电站的安全运行起到至关重要的作用,因而在智能变电站控制网络的安全保护中,需要对这些关键业务数据制定严格的访问控制策略,避免其遭到攻击者的篡改与破坏。

(6)建立完善的安全响应机制

智能变电站控制网络中应建立完善的安全响应机制,当网络中出现设备故障或网络攻击时,能够迅速做出响应,启用备用资源或阻止攻击的进行,消除或降低网络中的异常情况对网络正常运行造成的影响。

(7)建立配套的安全管理机制

在智能变电站控制网络的安全保护中,先进的技术手段固然重要,但更重要的是制定合理的管理制度。建立一套清晰明确的安全管理制度,可以在很大程度上降低智能变电站所面临的安全风险。

三、防御体系

智能变电站控制网络安全保护的目标是保证智能变电站控制网络能够安全稳定运行,防止网络中的关键业务数据被篡改或破坏。智能变电站控制网络安全防御体系设计的主要目的是建立一个具有免疫能力的智能变电站控制网络,即构建一个环境可信、状态可知、运行可控的网络,做到对网络边界、终端设备、网络交互的实时监控,在发现网络中出现的异常行为时及时采取措施予以应对。

1、防御体系模型

根据智能变电站控制网络安全防护的需求,从以下几个方面构建智能变电站控制网络的安全防御体系:

(1)明确网络边界

首先,要明确智能变电站控制网络与其他网络的交互接口,断开所有不必要的连接线路,封闭不必要的 USB、光驱等外设接口,降低攻击者通过横向渗透或摆渡式攻击入侵智能变电站控制网络的可能性。第二,对智能变电站控制网络与外部网络,以及智能变电站控制网络不同区域之间的路由策略进行严格管控,提升攻击者在智能变电站控制网络中向关键业务区域进行渗透的难度。第三,采取更为严格的访问控制机制,对于不同的用户,根据其业务操作的不同,为其分配不同的访问控制权限,确保对关键业务数据的访问符合安全策略要求。

(2)明确设备资产

对于智能变电站控制网络中的设备资产进行全面管理,明确网络中设备资产的数量、类型、拓扑分布,以及各终端设备的具体信息,确保网络中的所有设备资产均真实可信。

(3)明确网络交互

对于智能变电站控制网络中所采用的通信协议进行严格管理,禁用不必要的通信协议。此外,对于网络中终端设备之间的交互行为进行管控,明确网络中所有交互的参与双方、所采用的通信协议以及通信流量的情况等,确保网络交互清晰可信。

(4)实时监测网络运行

对于网络实时的运行情况进行监控,包括网络中的终端设备接入情况以及终端设备之间的交互情况,及时发现网络中出现的可疑终端接入、非法协议、非法连接以及非法操作等异常行为。

(5)完备安全响应措施

采用设备联动技术,在发现网络中出现攻击行为时,及时通知相关的网络设备采取措施阻断攻击行为的进行。采用冗余备份技术,当网络中的终端设备出现故障时,能够迅速启用备用资源。

智能变电站控制网络安全防御体系模型,基于清晰明确的网络边界,在这一网络边界内,为终端设备及网络交互行为制定明确的监管规则,实时监控网络的终端接入与交互行为,确保网络的环境清晰可信、运行状态明确可知。

2、安全响应机制

安全响应机制是智能变电站控制网络安全防御体系高效运转的措施,能够使管理人员在面对异常情况时可以及时采取措施进行有效应对,确保智能变电站控制网络的安全可靠运行,实现网络的运行可控。下面将从网络可信环境、安全监视机制和安全响应机制三个方面进行说明。

(1)可信环境的建立

智能变电站控制网络安全防御体系也是以清晰明确的网络环境作为其构建的基础,即网络边界清晰明确、终端设备清晰可信、所有交互行为清晰可信。划分清晰的网络边界,首先应明确所有的终端设备、通信协议、交互行为。首先对智能变电站控制网络中接入的终端设备进行统计,明确所有终端设备的具体情况,对所有终端设备的特征信息进行登记管控。此外,对智能变电站控制网络中使用的通信协议进行统计,明确协议的类型、使用的端口号、能够实现的功能等。在明确了智能变电站控制网络中的终端设备与通信协议的情况后,对网络中所有的交互行为进行统计,明确所有交互发起的双方的信息及交互流量情况等。

(2)安全监视机制

网络状态的可知性主要是要确保对网络当前运行情况进行实时监控,及时发现网络中出现的异常事件与攻击行为。网络安全监视机制的建立过程包括协议深度解析机制的建立、网络事件融合机制的建立以及安全事件关联分析:①协议深度解析机制:通过智能变电站控制网络中的网络通信设备(如交换机等)旁路部署流量采集设备,这样当网络中有数据传输时,流量采集设备就可以获取这些数据。协议深度解析机制主要完成两方面的工作,一是从这些协议数据中提取出终端之间建立连接的基本信息,判断该连接是否在可信连接列表中,连接采用的协议是否在可信协议列表中;二是对数据的应用层内容进行解析,从中提取出连接中包含的具体操作,结合连接的基本信息判断该操作是否在可信操作列表中。②网络事件融合机制:在协议深度解析机制建立之后,通过对智能变电站控制网络中的交互数据的内容进行分析,从中提取出可能会对智能变电站控制网络造成威胁的安全事件。③安全事件关联分析:在建立网络事件融合机制并获取网络中发生的安全事件之后,通过对这些安全事件之间的因果关系进行分析,将属于同一个攻击过程的安全事件进行关联。

(3)安全响应机制

智能变电站控制网络安全防御体系的第三步是建立网络安全响应机制,在智能变电站控制网络中,主要采取攻击阻断、冗余热备用和主动防御等措施:①攻击阻断:假设智能变电站控制网络中的值班机正在试图通过Telnet协议对操作员站进行连接,网络安全监测设备在发现这一攻击行为后通知联动控制中心对值班机进行阻断。②冗余热备用:对于需要连续提供服务的设备,可采取冗余备份的响应方式,服务器之间采用“心跳”方法保证主服务器与备用服务器之间的联系,当其中一台设备因为故障或遭到攻击而被迫停止服务时,可自动切换至另一台设备继续提供服务。③主动防御:智能变电站的主动防御机制可以从“蜜网”系统和拟态防御两个方面着手:建立智能变电站工业控制系统的仿真“蜜网”系统,主要用于收集针对智能变电站系统的黑客的攻击信息和行为模式。然后对这些攻击的信息和行为模式进行分析,持续不断地优化对真实智能变电站的防御体系和措施;基于以“不确定性”来对抗网络空间的确定或不确定威胁的思想,逐步构建针对智能变电站控制网络的拟态防御技术,建设多维动态重构机制,实现控制系统网络视在功能不变条件下其内部的非相似余度构造元素始终在作数量、类型、时间、空间等维度上的策略性变化,从而实现对智能变电站控制网络攻击威胁的主动防御。

+1
0

好文章,需要你的鼓励

参与评论
评论千万条,友善第一条
后参与讨论
提交评论0/1000

下一篇

储罐储存的通常都是易燃、易爆、有毒介质,因此确保罐区的安全生产应放在第一位。

2022-01-26

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

推送和解读前沿、有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚焦全球优秀创业者,项目融资率接近97%,领跑行业