对网络管理者来说，越来越多的电网变电站接入网络既是好事同时也意味着挑战。正面的影响是大量的网络接入极大地提高了电网的效率、响应能力与集成度。负面的影响则是增加了对信息网络进行保护的复杂性，也就意味着接入网络的变电站很容易受到攻击。

面对这一情况，我们需要一个将物理层安全与网络层安全进行整合的全面保护方案，以识别各种各样的漏洞与入侵，同时也要认识到不存在某一种解决方案能够对系统进行百分之百的保护。

电网变电站工控网络需要引入最新的技术对其进行物理层及网络层防护

1　境况是如何改变的

电网变电站曾经是互相孤立的。相对于网络安全而言，以前的变电站优先考虑的是其物理安全性、可靠性与易用性。由于下面所列举（但不限于）的这些原因，变电站互相孤立的境况被彻底地终止了。

·现成商业技术的使用；

·以太网以及基于TCP/IP的网络协议的使用；

·ICE60870-5-04标准以及IEC61850标准的实施；

·DNP3工业协议与Modbus TCP的集成；

·无线接入；

·企业间IT系统的互联；

·公共网络的使用。

由于电网系统在全国范围内进行互联，其发生错误或失效的可能性很高。对电力网络系统进行保护，首先需要的是一个健壮的网络安全策略，防止网络受到拒绝服务（DoS）攻击。

将防止DoS攻击列为最高优先级是因为高压、中压电力网在国家基础设施中具有非常关键的作用，而DoS攻击极有可能造成系统停止服务并造成巨大的经济损失。其他的保护措施包括机密性保护、确保信息完整性以及防止对信息进行未经授权的修改或窃取。

2　五层防护体系

为保障网络安全，网络管理者必须随时评估网络状况与威胁来源，以保证系统与策略是最新且有效的。要做好这样一个循环的评估与检查过程，准确理解“风险”、“威胁”与“弱点”之间的差异是很有帮助的。

·风险：风险是指某事的发生对信息资产造成损害或损失的可能性。

·威胁：威胁是指任何具有潜在能力对信息资产造成破坏的事件（包括自然事件和人为事件）。

·弱点：弱点是指某个可以被用于对信息资产造成损害的薄弱之处。

我们需要一个多层次的网络安全设计来防范或者减轻各种漏洞对系统造成的损害，才能在各种各样的威胁下对电力网进行保护。有以下五个层次的安全防护手段可以对威胁的减轻与防护进行优化。

（1）预防性安全防护：旨在防止事故的发生和减少风险及弱点的类型与数量。其方法包括强密码策略以及防止外部USB设备通过开放的端口进行访问。

（2）网络设计安全防护：减少弱点并将其隔离，则对其进行的攻击不会影响到网络的其他部分。“区域与管道”模型能帮助限制网络区域间的连接数，降低整个网络均受到攻击影响的风险。

（3）主动安全防护：包括能够阻止通信、阻止未允许或不符合预期操作的方法及设备。比如使用加密，针对协议的深度包检测，三层防火墙及反病毒软件。

（4）侦测安全防护：在某一事件发生的过程中对事件活动寄存器进行标注及记录，包括日志文件分析以及入侵检测系统监测。

（5）纠正安全防护：目的是限制破坏进一步扩大，比如配置参数备份策略以及防火墙与反病毒软件的升级。

3　维护网络安全的最佳方式

针对现在的风险类型以及能够保护并降低威胁的安全与网络解决方案的类型，管理者可以设计出性能远超单点防御方案的安全策略。

纵深防御模型是对关键基础设施的多重层叠保护，其综合物理层、网络层、计算机以及设备安全制定政策和执行程序，是防御外部与内部威胁的最好手段。

该模型基于三个概念来确保快速检测、隔离与控制，限制错误或漏洞影响而不管其发生的原因及发生所在位置。

（1）多层防御：如果一层防御被绕过，则还有其他层提供防御保护。

（2）差异层防御：如果攻击者找到了通过第一层防御的办法，也无法通过后续的所有防御，因为其他防御层均与前者有所不同。

（3）特定威胁层防御：特定威胁层防御专为特定风险与弱点设计。这些解决方案针对多种可能威胁电力系统安全的威胁，如恶意软件、愤怒的员工、拒绝服务（DoS）攻击以及信息盗窃等。

通过建立多层安全协议，任何系统失效或漏洞都能够得到遏制并限制其破坏

4　安全集成

作为多层次纵深防御模型的一部分，物理与网络安全应互相结合才能对关键基础设施进行更加强大的保护。物理防护系统包括重要资产上的读卡器，如变压器柜、控制室以及用于访问监控安全摄像头等设备。

系统的网络安全措施应包括以下内容：

（1）企业主干网络与变电站网络之间的路由器与防火墙；

（2）状态检测及深度包检测；

（3）控制网络与通信网络之间进行明晰的区域划分。

当物理层安全与多层次的网络安全相结合，电力网络管理者就获得了一个对物理及网络资产进行监控的互相配合与协调的检测系统。

电力网络，包括变电站以及馈线，越来越成为对黑客具有吸引力的攻击目标。任何由物理层或网络层漏洞造成电力网损失的潜在可能性，无论是否恶意或是由意外引起，都是非常严重的，都为严格的综合网络安全战略提出了最为迫切的任务。

5　提高警惕是关键

从历史的角度来说，对电力网实施上述安全改造看起来似乎无比艰巨。但管理者可以通过遵循几项原则循序渐进完成改造。首先，对确保关键系统的安全设施进行优先安排。其次，营造信息安全的工作氛围。第三，持续对当前的安全状况进行风险评估。最后，不要奢望某一项措施能够解决所有的安全问题，所有的威胁、风险以及受保护目标都各不相同，所以针对其的解决方案也应各不相同。

网络安全威胁会随时间而演变，所以对网络管理者来说，持续对防护系统进行评估的流程非常重要。下面列举的这些问题能够确保一旦当前的电力网系统境况发生改变，管理者能够以最好的方式应对威胁。

（1）我们是否知道网络的拓扑协议与通信类型？

（2）我们是否知道组件的位置以及连接方式，以允许我们在必要时建立有效的安全区？

（3）我们是否在任何新设备接入网络时都对其进行验证并且审查所有文件？

（4）我们多久更换一次网络中的密码？

（5）我们是否已采用最新的更新？

理想状态下，网络管理者应对系统提供百分之一百的防护，但现实却是，百分之百的全面防护是不可能达成的。但无论恶意或意外导致的事故及漏洞是否会发生，受攻击的保护目标都必须受到限制以隔离其对整个系统的影响。

通过建立多层次的安全协议，任何电网系统的故障或漏洞都能够被掌控，并且系统操作也会更加有效，同时对破坏进行限制。最重要的是，电网变电站网络安全的纵深防御保护模型能够确保在任何破坏之下，电网系统的其余部分仍然是安全及高效的。

作者简介

卢川（1985-），男，四川人，理学博士，2007年于北京理工大学获工学学士学位；2015年于中国科学院大学获理学博士学位。现就职于中国软件评测中心，主要研究方向为工业控制系统安全及其测试技术。

摘自《工业控制系统信息安全专刊（第二辑）》