華文網

電力監控系統通信安全技術研究

胡朝輝,王方立

(廣東電網有限責任公司電力科學研究院,廣東 廣州510080)

電力行業是關係到國計民生的重要行業,而電力監控系統的安全關係到電力生產的安全。隨著工業4.0的到來,

電力監控系統的安全正面臨前所未有的考驗。介紹了當前電力監控系統通信安全存在的問題,分析了當前解決方案的不足,最後提出一種基於可信網路連接結合工控協定白名單的技術方案。

電力監控系統;通信安全;可信網路連接;工控協定白名單

中圖分類號:TN915.08

文獻標識碼:A

DOI:10.16157/j.issn.0258-7998.2017.03.004

中文引用格式:胡朝輝,王方立. 電力監控系統通信安全技術研究[J].電子技術應用,2017,43(3):21-24.

英文引用格式:Hu Zhaohui,

Wang Fangli. Research on communication security technology of electric power monitoring system[J].Application of Electronic Technique,2017,43(3):21-24.

0 引言

隨著工業4.0的推進,原本相對安全的工業設備開始暴露在網路環境下,使得設備的通信系統的安全面臨新的挑戰,並暴露出很多安全性漏洞,特別是以電力行業為首的能源行業,成了“重災區”。本文主要研究了電力監控系統的通信安全問題,分析了當前電力監控系統安全防護方案及其不足,最後提出了一種基於可信網路連接結合工控協定白名單的新方法。

1 電力監控系統通信安全問題

在電力監控系統中,目前常用的協定有IEC-61850系列協定,包括MMS、GOOSE、SV等,以及IEC60870-5系列協定,包括IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-104等。IEC-61850系列協定主要應用在智慧變電站,IEC60870-5系列協定主要應用在配網自動化。

由於以上工控協議在設計之初,專注於功能、性能、可靠性的實現,以滿足工業生產的基本需求,而忽視了對資訊安全需求的考慮,導致以上工控協議普遍存在如表1所示的安全隱患。

2 當前電力監控系統安全防護方案

2014年,國家發改委發佈《電力監控系統安全防護規定》(發改委2014年第14號令)。

2015年,國家能源局下發《關於印發電力監控系統安全防護總體方案等安全防護方案和評估規範的通知》(國能安全〔2015〕36號)。

發改委2014年第14號令與國能安全〔2015〕36號文,共同構成了當前電力監控系統的安全防護指導方案。

2.1 發改委14號令與能源局36號文概述

發改委14號令可以理解為原電監會5號令的“升級”版本。

2004年原電監會發佈第5號令《電力二次系統安全防護規定》(以下簡稱“5號令”),並隨後陸續下發了相關配套檔。5號令的核心是“安全分區、網路專用、橫向隔離、縱向認證”十六字方針,其主要內容為:合理劃分安全分區,擴充完善電力調度專用資料網,採取必要的安全防護技術和防護設備,

剝離非生產性業務,實現電力調度資料網路與其他網路的物理隔離。

發改委14號令相比5號令,在技術方面的主要增強體現在:一是針對配電網、分散式電源廣泛使用無線公網進行資料通信的實際情況,提出了在生產控制大區內設置“安全接入區”的理念,並明確了相關的技術規定和要求;二是從設備選型及配置、漏洞及風險整改等方面提出了相關的要求,使電力監控系統安全防護體系從重點強化“邊界防護”向“縱深防禦”發展。

能源局36號文則是發改委14號令的配套檔,將發改委14號令的要求具體細化,明確給出了對發電廠、省級以上調度中心、地級調度中心、變電站、配電的電力監控系統的安全防護要求。電力監控系統安全防護總體架構如圖1所示。

2.2 當前防護方案解決通信安全問題的不足

發改委14號令與能源局36號文對電力監控系統網路層的安全防護要求,主要涉及單向安全隔離、縱向加密認證、防火牆、網路審計、入侵偵測,其中單向安全隔離、縱向加密認證屬於邊界防護措施。本文重點討論電力監控系統內部通信安全問題,所以,下面分析防火牆、網路審計、入侵偵測能否解決前文提到的通信安全問題。

2.2.1 防火牆

防火牆的核心功能是基於IP位址、埠對網路會話進行過濾。基於IP位址對訪問者身份進行限制,一定程度上緩解了前文提到的協議缺乏認證的問題,但是IP地址是容易被偽冒的。另外,防火牆對於協議缺乏授權、缺乏加密是無能為力的。

2.2.2 網路審計

網路審計設備通常通過旁路部署方式對網路會話行為進行檢測和記錄。網路審計設備同樣是基於IP位址記錄訪問物件,所以面臨防火牆同樣的問題,無法解決協議缺乏認證的問題,同時網路審計設備對於協定缺乏加密是無能為力的。網路審計設備通過對網路會話行為的記錄,提供了事後審計的能力,能夠對越權操作行為形成一定的威懾,一定程度上緩解協議缺乏授權的問題。

2.2.3 入侵偵測

入侵偵測設備通常通過旁路部署方式對網路攻擊行為進行檢測和報警。入侵偵測設備同樣是基於IP位址確定訪問物件,所以面臨防火牆同樣的問題,無法解決協議缺乏認證的問題,同時入侵偵測設備對於協定缺乏加密是無能為力的。目前通常的入侵偵測設備,無法理解電力監控系統中的工控協定,所以無法對工控協議中的越權行為進行檢測;針對電力監控系統開發的入侵偵測設備,能夠對越權操作行為進行即時監測與報警,能夠一定程度上緩解協議缺乏授權的問題。

綜上所述,當前規範中的方案和技術,未能解決好前文提到的通信安全問題。

3 可信網路連接結合工控協定白名單解決方案

當前電力監控系統通信安全問題,其根源在於工控協定設計缺乏資訊安全考慮,但這是短期無法改變的。本文嘗試提出一種基於可信網路連接結合工控協定白名單的新方法,來解決前述問題。

可信網路連接(Trusted Network Connection,TNC)是通過對信任鏈的建立,將可信計算平臺的可信性延伸到網路環境來實現整個網路可信。可信網路連接的核心思想是:通過對請求連接的終端平臺的可信性進行驗證,根據其可信性對終端的接入進行控制,來確保網路連接環境的可信。

3.1 可信網路連接在電力監控系統的應用

下面以IEC60870-5-104為例進行說明,其報文格式如圖2。

啟動字元68H定義了資料流程中的起點,ASDU的長度為ASDU的位元組數加4個控制位元組,根據4個控制位元組的取值,可分為三類報文,即:I格式幀(資訊傳輸功能報文)、S格式幀(監視功能報文)、U格式幀(未編號的控制功能報文)。框架格式如圖3所示。

圖4所示的報文表示控制站發送遙控報文。

如果把報文的06欄位的值改成08就表示取消遙控。如果按照當前的防護方案,駭客利用IEC60870-5-104協議缺乏認證的漏洞,將可攜式電腦接入電力監控系統網路後可以直接對控制器發起攻擊,把原本控制站發送的遙控指令取消。

將可信網路連接技術應用於電力監控系統,需要進行如下改造:

(1)將電力監控系統中的設備,都改造為可信計算平臺;

(2)引入可信證明伺服器,對接入電力監控系統網路的設備進行驗證,只有驗證為可信的設備才允許接入網路。具體實施時,可以採用802.1x技術實現。

因為可信計算技術比較成熟,以上技術實現不展開敘述。

採用了可信網路連接技術後,非法設備將無法接入電力監控系統網路,或者說電力監控系統中通信各方都是合法設備,整個電力監控系統處於一個可信任的網路環境中。所以,可信網路連接技術能夠較好解決工控協議缺乏認證的問題。對於工控協議缺乏加密的問題,雖然仍然存在,但是由於網路中的物件都是可信任的,問題得到部分緩解。對於工控協議缺乏授權的問題,同樣由於網路中的物件都是可信任的,問題得到部分緩解,但是對於管理人員誤操作或者內部人攻擊問題是無效的。所以,下面結合工控協議白名單技術來解決前述問題。

3.2 工控協定白名單在電力監控系統的應用

3.2.1 工控協定白名單的構造

工控協定白名單是以工控協議的深度解析為基礎,通過對工控協議報文的應用層進行深度解析,獲取電力監控操作的功能碼、寄存器、值域等關鍵字段,結合時間、IP位址、埠等資訊,建立電力監控操作的正常行為模型。這個模型包含了報文中所有需要過濾的關鍵字段,通過對所有關鍵字段進行編譯(編譯的目的是加快關鍵字段匹配的速度)後形成的一個列表,這個清單被稱作工控協議白名單。

工控協定白名單的產生方式分為自學習和手動兩種:自學習方式是通過捕獲網路上的工控協定報文後進行深度解析並自動生成工控協議白名單;手動方式是通過手動添加規則的方式來生成工控協定白名單。

3.2.2 工控協議白名單的匹配

白名單的匹配過程是通過捕獲工控協議報文,提取關鍵字段後按照生成白名單的編譯方式進行編譯後去和已知的白名單庫進行匹配。如果命中,證明是合法操作;否則,就可能是管理人員誤操作或者內部人攻擊。

4 驗證測試

4.1 測試環境

實驗室模擬環境及組網如圖5所示。模擬環境中的設備情況如表2所示。

4.2 測試結果

4.2.1 不啟用可信網路連接和工控協定白名單防護

工業交換機配置為不啟用802.1x,工業防火牆配置為全部允許規則。

攻擊方式1:從攻擊電腦,直接對PLC發起攻擊

攻擊步驟:

(1)將攻擊電腦接入工業交換機,進行網路掃描,發現PLC的IP位址及其開放的埠TCP 102;

(2)執行CVE-2016-3949漏洞攻擊腳本,對PLC的TCP 102埠進行攻擊;

(3)PLC進入故障模式,只有冷開機可恢復系統。

攻擊方式2:從客戶機A,模擬發起內部人攻擊

攻擊步驟:

(1)從客戶機A上,通過WINCC軟體向PLC下發STOP指令;

(2)PLC進入停機狀態,只有冷開機可恢復系統。

4.2.2 啟用可信網路連接和工控協定白名單防護

工業交換機配置為啟用802.1x,工業防火牆配置為啟用工控協定白名單防護。

(1)將攻擊電腦接入工業交換機,工業交換機要求攻擊電腦進行身份驗證;

(2)攻擊電腦由於沒有合法身份,無法驗證通過,無法接入網路;

(3)攻擊電腦無法進行網路掃描,執行CVE-2016-3949漏洞攻擊腳本,PLC不受影響,工作正常。

(2)S7 STOP指令在到達工業防火牆時被攔截,PLC不受影響,工作正常,並在統一管理平臺上產生報警。

5 結束語

本文介紹了當前電力監控系統通信安全存在的問題,分析了當前技術方案的不足,最後嘗試提出一種基於可信網路連接結合工控協定白名單的技術方案,能夠較好地解決當前電力監控系統的通信安全問題。工業4.0時代,網路已經在電力行業中被廣泛使用,電力監控系統在設計之初就存在的問題隨之暴露出來,烏克蘭的停電事故折射出目前電力監控系統的脆弱性,解決電力控制系統中的通信安全問題刻不容緩。

參考文獻

[1] 國家電力監管委員會.電力二次系統安全防護規定(電監會5號令)[S].2004.

[2] 國家電力監管委員會.關於印發電力二次系統安全防護總體方案等安全防護方案的通知(電監安全[2006]34號文)[S].2006.

[3] 李戰寶,張文貴,潘卓.美國確保工業控制系統安全的做法及對我們的啟示[J].資訊網路安全,2012,51(8):51-53.

[4] 王平,靳智超,王浩.EPA工業控制網路安全測試系統設計與實現[J].電腦測量控制,2009,17(11):53-55.

[5] GB/T 20984—2007.資訊安全技術資訊安全風險評估規範[S].2007.

[6] 陳曉剛,孫可,曹一家.基於複雜網路理論的大電網結構脆弱性分析[J].電工技術學報,2007,22(10):138-144.

[7] 楊華飛,李棟華,程明.電力大資料關鍵技術及建設思路的分析和研究[J].電力資訊與通信技術,2015,13(1):7-10.

[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.

[9] 周亮.組態化智慧變電站資訊系統中若干問題研究[D].合肥:合肥工業大學,2011.

[10] 何群峰.電能表現場校驗智慧分析系統[D].杭州:浙江大學,2010.

[11] 鐘粱高.基於可信計算的工業控制系統資訊安全解決方案研究[D].大連:大連理工大學,2015.

使電力監控系統安全防護體系從重點強化“邊界防護”向“縱深防禦”發展。

能源局36號文則是發改委14號令的配套檔,將發改委14號令的要求具體細化,明確給出了對發電廠、省級以上調度中心、地級調度中心、變電站、配電的電力監控系統的安全防護要求。電力監控系統安全防護總體架構如圖1所示。

2.2 當前防護方案解決通信安全問題的不足

發改委14號令與能源局36號文對電力監控系統網路層的安全防護要求,主要涉及單向安全隔離、縱向加密認證、防火牆、網路審計、入侵偵測,其中單向安全隔離、縱向加密認證屬於邊界防護措施。本文重點討論電力監控系統內部通信安全問題,所以,下面分析防火牆、網路審計、入侵偵測能否解決前文提到的通信安全問題。

2.2.1 防火牆

防火牆的核心功能是基於IP位址、埠對網路會話進行過濾。基於IP位址對訪問者身份進行限制,一定程度上緩解了前文提到的協議缺乏認證的問題,但是IP地址是容易被偽冒的。另外,防火牆對於協議缺乏授權、缺乏加密是無能為力的。

2.2.2 網路審計

網路審計設備通常通過旁路部署方式對網路會話行為進行檢測和記錄。網路審計設備同樣是基於IP位址記錄訪問物件,所以面臨防火牆同樣的問題,無法解決協議缺乏認證的問題,同時網路審計設備對於協定缺乏加密是無能為力的。網路審計設備通過對網路會話行為的記錄,提供了事後審計的能力,能夠對越權操作行為形成一定的威懾,一定程度上緩解協議缺乏授權的問題。

2.2.3 入侵偵測

入侵偵測設備通常通過旁路部署方式對網路攻擊行為進行檢測和報警。入侵偵測設備同樣是基於IP位址確定訪問物件,所以面臨防火牆同樣的問題,無法解決協議缺乏認證的問題,同時入侵偵測設備對於協定缺乏加密是無能為力的。目前通常的入侵偵測設備,無法理解電力監控系統中的工控協定,所以無法對工控協議中的越權行為進行檢測;針對電力監控系統開發的入侵偵測設備,能夠對越權操作行為進行即時監測與報警,能夠一定程度上緩解協議缺乏授權的問題。

綜上所述,當前規範中的方案和技術,未能解決好前文提到的通信安全問題。

3 可信網路連接結合工控協定白名單解決方案

當前電力監控系統通信安全問題,其根源在於工控協定設計缺乏資訊安全考慮,但這是短期無法改變的。本文嘗試提出一種基於可信網路連接結合工控協定白名單的新方法,來解決前述問題。

可信網路連接(Trusted Network Connection,TNC)是通過對信任鏈的建立,將可信計算平臺的可信性延伸到網路環境來實現整個網路可信。可信網路連接的核心思想是:通過對請求連接的終端平臺的可信性進行驗證,根據其可信性對終端的接入進行控制,來確保網路連接環境的可信。

3.1 可信網路連接在電力監控系統的應用

下面以IEC60870-5-104為例進行說明,其報文格式如圖2。

啟動字元68H定義了資料流程中的起點,ASDU的長度為ASDU的位元組數加4個控制位元組,根據4個控制位元組的取值,可分為三類報文,即:I格式幀(資訊傳輸功能報文)、S格式幀(監視功能報文)、U格式幀(未編號的控制功能報文)。框架格式如圖3所示。

圖4所示的報文表示控制站發送遙控報文。

如果把報文的06欄位的值改成08就表示取消遙控。如果按照當前的防護方案,駭客利用IEC60870-5-104協議缺乏認證的漏洞,將可攜式電腦接入電力監控系統網路後可以直接對控制器發起攻擊,把原本控制站發送的遙控指令取消。

將可信網路連接技術應用於電力監控系統,需要進行如下改造:

(1)將電力監控系統中的設備,都改造為可信計算平臺;

(2)引入可信證明伺服器,對接入電力監控系統網路的設備進行驗證,只有驗證為可信的設備才允許接入網路。具體實施時,可以採用802.1x技術實現。

因為可信計算技術比較成熟,以上技術實現不展開敘述。

採用了可信網路連接技術後,非法設備將無法接入電力監控系統網路,或者說電力監控系統中通信各方都是合法設備,整個電力監控系統處於一個可信任的網路環境中。所以,可信網路連接技術能夠較好解決工控協議缺乏認證的問題。對於工控協議缺乏加密的問題,雖然仍然存在,但是由於網路中的物件都是可信任的,問題得到部分緩解。對於工控協議缺乏授權的問題,同樣由於網路中的物件都是可信任的,問題得到部分緩解,但是對於管理人員誤操作或者內部人攻擊問題是無效的。所以,下面結合工控協議白名單技術來解決前述問題。

3.2 工控協定白名單在電力監控系統的應用

3.2.1 工控協定白名單的構造

工控協定白名單是以工控協議的深度解析為基礎,通過對工控協議報文的應用層進行深度解析,獲取電力監控操作的功能碼、寄存器、值域等關鍵字段,結合時間、IP位址、埠等資訊,建立電力監控操作的正常行為模型。這個模型包含了報文中所有需要過濾的關鍵字段,通過對所有關鍵字段進行編譯(編譯的目的是加快關鍵字段匹配的速度)後形成的一個列表,這個清單被稱作工控協議白名單。

工控協定白名單的產生方式分為自學習和手動兩種:自學習方式是通過捕獲網路上的工控協定報文後進行深度解析並自動生成工控協議白名單;手動方式是通過手動添加規則的方式來生成工控協定白名單。

3.2.2 工控協議白名單的匹配

白名單的匹配過程是通過捕獲工控協議報文,提取關鍵字段後按照生成白名單的編譯方式進行編譯後去和已知的白名單庫進行匹配。如果命中,證明是合法操作;否則,就可能是管理人員誤操作或者內部人攻擊。

4 驗證測試

4.1 測試環境

實驗室模擬環境及組網如圖5所示。模擬環境中的設備情況如表2所示。

4.2 測試結果

4.2.1 不啟用可信網路連接和工控協定白名單防護

工業交換機配置為不啟用802.1x,工業防火牆配置為全部允許規則。

攻擊方式1:從攻擊電腦,直接對PLC發起攻擊

攻擊步驟:

(1)將攻擊電腦接入工業交換機,進行網路掃描,發現PLC的IP位址及其開放的埠TCP 102;

(2)執行CVE-2016-3949漏洞攻擊腳本,對PLC的TCP 102埠進行攻擊;

(3)PLC進入故障模式,只有冷開機可恢復系統。

攻擊方式2:從客戶機A,模擬發起內部人攻擊

攻擊步驟:

(1)從客戶機A上,通過WINCC軟體向PLC下發STOP指令;

(2)PLC進入停機狀態,只有冷開機可恢復系統。

4.2.2 啟用可信網路連接和工控協定白名單防護

工業交換機配置為啟用802.1x,工業防火牆配置為啟用工控協定白名單防護。

(1)將攻擊電腦接入工業交換機,工業交換機要求攻擊電腦進行身份驗證;

(2)攻擊電腦由於沒有合法身份,無法驗證通過,無法接入網路;

(3)攻擊電腦無法進行網路掃描,執行CVE-2016-3949漏洞攻擊腳本,PLC不受影響,工作正常。

(2)S7 STOP指令在到達工業防火牆時被攔截,PLC不受影響,工作正常,並在統一管理平臺上產生報警。

5 結束語

本文介紹了當前電力監控系統通信安全存在的問題,分析了當前技術方案的不足,最後嘗試提出一種基於可信網路連接結合工控協定白名單的技術方案,能夠較好地解決當前電力監控系統的通信安全問題。工業4.0時代,網路已經在電力行業中被廣泛使用,電力監控系統在設計之初就存在的問題隨之暴露出來,烏克蘭的停電事故折射出目前電力監控系統的脆弱性,解決電力控制系統中的通信安全問題刻不容緩。

參考文獻

[1] 國家電力監管委員會.電力二次系統安全防護規定(電監會5號令)[S].2004.

[2] 國家電力監管委員會.關於印發電力二次系統安全防護總體方案等安全防護方案的通知(電監安全[2006]34號文)[S].2006.

[3] 李戰寶,張文貴,潘卓.美國確保工業控制系統安全的做法及對我們的啟示[J].資訊網路安全,2012,51(8):51-53.

[4] 王平,靳智超,王浩.EPA工業控制網路安全測試系統設計與實現[J].電腦測量控制,2009,17(11):53-55.

[5] GB/T 20984—2007.資訊安全技術資訊安全風險評估規範[S].2007.

[6] 陳曉剛,孫可,曹一家.基於複雜網路理論的大電網結構脆弱性分析[J].電工技術學報,2007,22(10):138-144.

[7] 楊華飛,李棟華,程明.電力大資料關鍵技術及建設思路的分析和研究[J].電力資訊與通信技術,2015,13(1):7-10.

[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.

[9] 周亮.組態化智慧變電站資訊系統中若干問題研究[D].合肥:合肥工業大學,2011.

[10] 何群峰.電能表現場校驗智慧分析系統[D].杭州:浙江大學,2010.

[11] 鐘粱高.基於可信計算的工業控制系統資訊安全解決方案研究[D].大連:大連理工大學,2015.