欢迎您访问工业控制系统信息安全产业联盟平台网站!
官方微信
用户名:
密码:
登录 注册
国内电力监控网络安全的演进发展和新挑战

点击数:3297 发布时间:2021-01-26 17:57

本文系统性地介绍了国内电力监控系统网络安全防护的起源和历史演进发展过程,并说明了当前电力系统网络安全防护工作的开展情况。同时结合能源互联网的发展思路,分析了智慧能源场景下,关于能源互联边界、5G新通信技术、云计算虚拟化架构,以及人工智能等带来的网络安全新的风险和挑战。
1 前言
我国是世界上最早重视电网监控网络安全,并且大规模开展防护部署的国家之一。在本世纪初国内电力系统发生了若干影响较大的网络安全事件,也直接推动了国内电网二次安防体系的建设。经过了近二十年的发展,国内电力监控网络安全防护的体系从建立到逐步完善,经历了从单一维度的结构性防护到综合性防护体系,从被动式查杀到主动性防御等多个发展阶段,并伴随着国家能源互联网的发展新战略,目前又开始面临网络安全的新课题。
2 安全防护演进的三个阶段
全国电力监控二次安防体系的建设始于本世纪初,里程碑是2001年国家电力调度数据网组网技术体制的建立,2002年开始研究开发二次安防的产品和系统。
国内电网监控系统的安全防护体系的建设经历了三个主要阶段:
(1)结构性安全机制的建立;
(2)基于等级保护的业务安全防护体系的建立;

(3)新一代电网监控系统主动防护体系的设计构想。

演进发展阶段如图1所示。

图1 国内电力监控网络安全防护的演进阶段

2.1 阶段一:建立结构性安全防护机制
结构性安全防护机制,以“安全分区-网络专用-横向隔离-纵向认证”为主要特征和执行标准。
我们国家电网通信系统原先采用的是X.25分组交换网,到本世纪初,国家选定了基于SDH的IP专网作为电力调度数据网骨干网组网技术标准,并规定电力调度数据网只允许传输电力调度生产直接相关的数据,必须与公用信息网络在物理层面安全隔离,从而提出“结构性安全”的重要概念,成为电力监控系统信息安全体系建设的标准性起点。2002年国家经信委发出30号令《电网和电厂计算机监控系统及调度数据网安全防护规定》对此作出明确规范。2002年国家863研究项目“国家电网调度中心安全防护体系研究及示范”经过3年的研究,首次提出了我国电力系统信息安全防护总体策略:“安全分区、网络专用、横向隔离、纵向认证”。2005年国家电监会发布5号令《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关配套技术文件,成为我国电力监控系统第一阶段安全防护体系全面形成的标志。该体系的实施范围包括省级及以上调度中心、地县级调度中心、变电站、发电厂、配电及负荷管理环节相关电力监控系统。
2.2 阶段二:基于等级保护的业务安全防护体系
2007年国家电监会启动电力行业信息安全等级保护定级,开始全面推进电力行业等级保护建设工作,并发布了该阶段的标志性文件《电力行业信息系统安全等级保护基本要求》。在结构性防护基础上进一步完善形成了电网监控系统的等级保护体系,由以下五个层面组成:物理安全、网络安全、主机安全、应用安全、数据安全防护,共包括220个安全要求项,其中168项强于或高于对应级别的国家等级保护基本要求。
对于保护等级为四级的电网调度监控系统,综合运用调度数字证书和安全标签技术实现了操作系统与业务应用的强制执行控制(MEC)、强制访问控制(MAC)等安全防护策略,保障了主体与客体间的全过程安全保护,全面实现了等级保护四级的技术要求。
2.3 阶段三:基于可信计算的新一代电力监控主动防护体系
随着大量新型攻击方式出现,安全威胁特征库规模迅速增长,使得以“查杀”为核心的被动安全措施对于实时控制系统安全防护正在失去宝贵的效率,因此需要建立更为高效的主动防御体系。
应用可信计算技术,建立调度控制系统主动免疫机制,提升未知恶意代码攻击的免疫能力,实现计算机环境和网络环境的全程可测可控和安全可信,并通过可信报告将这种信任关系通过网络连接延伸到整个信息系统,达到系统自身免疫的目的,其核心功能包括:可信引导、完整性度量、强制访问及执行控制、可信网络连接。
2014年8月国家发改委发布14号令《电力监控系统安全防护规定》,并且同步修订了《电力监控系统安全防护总体方案》等配套技术文件,同时随着国家网络安全等级保护2.0的发布实施,电网监控新的安全防护方案要求生产控制大区具备控制功能的系统尽量应用可信计算技术实现计算环境和网络环境安全可信,建立对恶意代码的免疫能力,应对高级别的复杂网络攻击,这标志着我国智能电网调度控制系统信息安全主动防御体系的正式确立。
3 安全防护的当前工作
3.1 建设网络安全监测和态势感知系统
近两年,国网和南网均开展了大规模的网络安全监测和态势感知系统的技术研究、产品开发和工程部署工作,实现网络安全监管从调度中心向厂站端的延伸,将数量众多的变电站和电厂涉网的保护监控网络的安全状态纳入监管范围,大大增强了电网对二次监控系统网络安全的监视和管控能力。
新扩的电网监控安全状态监测的采集范围覆盖到监控主机、保护测控等嵌入式装置、防火墙隔离等二次安防设备,以及网络交换机,并将告警信息、突发事件、周期状态等数据上送到调度侧的网络安全态势平台。
部署到厂站端的安全采集装置工作如图2所示。

图2 厂站端安全状态采集工作示意图

网络安全监测和态势感知系统的整体部署如图3所示。

图3 网络安全监测和态势感知系统部署图

3.2 探索研究安全可控的技术路线
安全可控,主要是指自主可控,没有自主可控,就没有网络安全,当前外部封杀中国科技发展意图明显,电网电厂等能源工业领域的网络安全形势严峻,加强网络安全防护的自主可控能力刻不容缓。

自主可控正是国家电网公司建设安全防护主动性能力的基础要义。国调中心建立工作组,开展了大量的研究评估工作,在电网调度、变电站等电力生产关键环节推动保护监控和网络安全等核心技术的自主可控研究和产品替代。在关键技术领域包括CPU处理器、存储芯片、网络控制、FPGA等关键基础芯片,在操作系统、数据库等基础软件组件等方面,集中力量技术攻关,并进行科学规划,建立基础技术研究、产业开发、工程应用的迭代生态,确保电力产业链、供应链的自主安全可靠,构建安全可控的电网生产控制信息技术体系。

3.3 强化安全防护细则的设计和落地
电网作为全国最为庞大的关键基础设施之一,其网络安全防护涉及到电力生产、电网传输、设备制造、系统维护等多个环节和单位,做好安全防护的有序落实必须要规范和标准先行。最近几年电网在国家网络安全法和网络安全等级保护2.0的指导下,开展了大量具体的安全防护规范的研究讨论和标准制定工作,表1为近期部分规范的摘要。

表1 近期电网安全防护规范的制定工作摘要

3.4 研究可信计算技术在安全防护上的应用
可信计算技术是网络安全等级保护2.0的重要内涵,也是电力监控安全防护体系进入第三代的关键需求。网络安全的主动性防御能力主要体现在自主可控、可信计算、态势感知分析上。传统的二次安防架构中以边界防护部署的被动防御为主,对于日益增多且多变的网络安全未知性攻击,缺乏对设备底层开始到设备间通信的主动信任的防护体系架构研究,对保护监控等关键设备缺少基于可信免疫机制的主动安全设计和实现。
当前的一个重要工作是研究电力保护监控场景下设备的可信主动安全技术,掌握可信架构设计,并研制继电保护、测控装置、通信网关机、监控主机等关键设备,实现安全启动、操作系统可信加载、可信程序调用、运行一致性度量、可信安全监测等高安全性的主动防御功能,建立保护监控关键设备对未知网络攻击的核心防护能力,从而大幅度提高电力保护监控系统的运行安全可靠性。
近期,国网正在开展服务器工作站的可信方案验证和检测,计划在调度端监控系统中首先推行基于可信的监控主机本体安全设计,并在将来向厂站端推广。
4 安全防护的新形势新挑战
4.1 能源互联网带来的安全边界改变
以5G技术为代表的新通信技术正在推动产业互联网高速发展,而能源互联网是产业互联网的最重要应用之一。在能源互联网时代,能源系统正向碎片化能源时代转型,并以万物互联、高度智能的形态存在,网络边界不再像传统经典结构那样清晰,智能终端设备急剧增加,在设备的高度互联和信息多向流动下,网络安全问题将更加凸显,任何一个电网设备甚至不起眼的应用端小设备,其安全漏洞都可能导致电网运行的重大安全风险。
在智慧能源业态下,由于其架构的开放性、业务应用的多样性、信息交互的多向性,系统暴露出来的受攻击界面大大增加,比如将原来安全防护不足的风机等新能源的非电网工控资产纳入能源互联网,导致网络安全碎片化缺口大大增加,将用电侧终端智能化接入电网监控网络导致安全防护边界不再清晰,将5G、LoRa、NB-IoT、HPLC等多种通信方式应用到终端连接带来数据传输上的安全问题,大数据分析的基础云边端架构带来新的安全课题,机器人作业和远程智能化运维带来通信边界新的网络安全问题。
4.2 5G等通信新技术带来安全新风险

5G网络技术的终端多样化、网络功能虚拟化、网络切片化、业务边缘化、网络开放化以及应用多样化等特征,使得5G网络给攻击者的暴露面大幅度增加,给电力监控应用5G的网络安全带来新的风险和挑战。图4为5G网络架构下的安全风险分布。

图4 5G架构的网络安全风险分布示意图

5G网络在接入层、网络层以及应用层面临的安全挑战可以归纳为4个方面:

(1)如何做好用户标识的隐私保护。在移动网络中,需要考虑采用标识匿名的方式防止攻击者识别出个人用户,以防攻击者通过核心网和无线接入网渗透进行流量监测和流量分析。

(2)数据如何做好机密性与完整性保护。需对网络传输、业务服务器处理、数据库存储的涉及用户隐私的数据进行加密,防止敏感信息遭到泄露。

(3)终端的真实性如何保证。为防止攻击者冒充合法用户获取免费的服务,移动网络需要对每一个接入网络的终端进行身份验证,确保终端用户身份真实可靠。

(4)网络功能的可用性如何保证。在提升安全能力的同时需要考虑网络功能与设备性能的要求,确保网络功能与设备性能不会大幅下降,需要在网络功能、设备性能与安全需求间保持平衡。

4.3 云计算虚拟化架构带来新的安全问题

云平台服务架构已经成为众多大数据应用的主要依托,电网监控也不例外,但安全问题始终是使用云计算的主要顾虑之一,云计算的多租户、分布性、对网络和服务提供者的依赖性,为网络安全带来新的挑战。主要安全风险包括:

(1)虚拟化安全问题:如果物理主机和虚拟网络受到破坏,那么物理主机和虚拟机之间的交流受到破坏,则可能导致虚拟机逃逸或者共享机制被非法利用等安全问题。

(2)数据集中的安全问题:用户的数据存储、处理、网络传输等都集中依靠云计算系统,则会产生如何避免数据丢失损坏、如何避免数据被非法访问篡改、如何对多租户应用进行数据隔离、如何避免数据服务被阻塞、如何确保云端退役数据能妥善保管或销毁等一系列问题。

(3)云平台可用性问题:用户的数据和业务流程非常依赖于云平台服务的连续性,当发生云平台故障时,如何保证用户数据和应用的快速恢复也成为问题。

(4)云平台遭受攻击的问题:云计算平台由于其用户信息资源高度集中,反而容易成为黑客攻击的目标,由此拒绝服务造成的破坏性将会明显超过传统应用环境。

4.4 人工智能带来新的安全问题

人工智能之所以带来网络安全风险,一方面是人工智能技术不够成熟,包括算法不可解释性、数据强依赖性等技术局限性;另一方面是人工智能技术在应用中本身就是把双刃剑,可以增强网络安全防护能力,也可以扩大网络攻击能力。

比如深度学习作为人工智能的关键技术,深度学习算法依赖于人工神经网络,神经网络在追求准确性的同时,失去的却是透明度和控制力,在许多情况下,即使是创建深度学习算法的人也很难解释他们的内部工作原理。人工智能的这些特性可以用来实现网络对抗性攻击,也可以用于放大或者增强已经存在的某些类型的网络攻击,有报道称,网络安全技术和人工智能技术相结合,可以使攻击面的有效覆盖范围较传统方法提升20倍。

我们更要发挥人工智能在电网监控网络安全治理中的积极作用,比如可以梳理大量安全监测数据并自动执行安全风险分析,努力准确捕获异常事件,减少错误的安全告警,通过实现电网安全态势的预测功能来提高安全性等。

作者简介

汤震宇(1975-),男,江苏常州人,教授级高级工程师,硕士,现任南京南瑞继保电气有限公司网络安全产品经理,主要研究方向为电力监控通信、网络安全。

摘自《工业控制系统信息安全专刊(第七辑)》

成员展示