對網(wǎng)絡(luò )管理者來(lái)說(shuō)，越來(lái)越多的電網(wǎng)變電站接入網(wǎng)絡(luò )既是好事同時(shí)也意味著(zhù)挑戰。正面的影響是大量的網(wǎng)絡(luò )接入極大地提高了電網(wǎng)的效率、響應能力與集成度。負面的影響則是增加了對信息網(wǎng)絡(luò )進(jìn)行保護的復雜性，也就意味著(zhù)接入網(wǎng)絡(luò )的變電站很容易受到攻擊。

面對這一情況，我們需要一個(gè)將物理層安全與網(wǎng)絡(luò )層安全進(jìn)行整合的全面保護方案，以識別各種各樣的漏洞與入侵，同時(shí)也要認識到不存在某一種解決方案能夠對系統進(jìn)行百分之百的保護。

電網(wǎng)變電站工控網(wǎng)絡(luò )需要引入最新的技術(shù)對其進(jìn)行物理層及網(wǎng)絡(luò )層防護

1　境況是如何改變的

電網(wǎng)變電站曾經(jīng)是互相孤立的。相對于網(wǎng)絡(luò )安全而言，以前的變電站優(yōu)先考慮的是其物理安全性、可靠性與易用性。由于下面所列舉（但不限于）的這些原因，變電站互相孤立的境況被徹底地終止了。

·現成商業(yè)技術(shù)的使用；

·以太網(wǎng)以及基于TCP/IP的網(wǎng)絡(luò )協(xié)議的使用；

·ICE60870-5-04標準以及IEC61850標準的實(shí)施；

·DNP3工業(yè)協(xié)議與Modbus TCP的集成；

·無(wú)線(xiàn)接入；

·企業(yè)間IT系統的互聯(lián)；

·公共網(wǎng)絡(luò )的使用。

由于電網(wǎng)系統在全國范圍內進(jìn)行互聯(lián)，其發(fā)生錯誤或失效的可能性很高。對電力網(wǎng)絡(luò )系統進(jìn)行保護，首先需要的是一個(gè)健壯的網(wǎng)絡(luò )安全策略，防止網(wǎng)絡(luò )受到拒絕服務(wù)（DoS）攻擊。

將防止DoS攻擊列為最高優(yōu)先級是因為高壓、中壓電力網(wǎng)在國家基礎設施中具有非常關(guān)鍵的作用，而DoS攻擊極有可能造成系統停止服務(wù)并造成巨大的經(jīng)濟損失。其他的保護措施包括機密性保護、確保信息完整性以及防止對信息進(jìn)行未經(jīng)授權的修改或竊取。

2　五層防護體系

為保障網(wǎng)絡(luò )安全，網(wǎng)絡(luò )管理者必須隨時(shí)評估網(wǎng)絡(luò )狀況與威脅來(lái)源，以保證系統與策略是最新且有效的。要做好這樣一個(gè)循環(huán)的評估與檢查過(guò)程，準確理解“風(fēng)險”、“威脅”與“弱點(diǎn)”之間的差異是很有幫助的。

·風(fēng)險：風(fēng)險是指某事的發(fā)生對信息資產(chǎn)造成損害或損失的可能性。

·威脅：威脅是指任何具有潛在能力對信息資產(chǎn)造成破壞的事件（包括自然事件和人為事件）。

·弱點(diǎn)：弱點(diǎn)是指某個(gè)可以被用于對信息資產(chǎn)造成損害的薄弱之處。

我們需要一個(gè)多層次的網(wǎng)絡(luò )安全設計來(lái)防范或者減輕各種漏洞對系統造成的損害，才能在各種各樣的威脅下對電力網(wǎng)進(jìn)行保護。有以下五個(gè)層次的安全防護手段可以對威脅的減輕與防護進(jìn)行優(yōu)化。

（1）預防性安全防護：旨在防止事故的發(fā)生和減少風(fēng)險及弱點(diǎn)的類(lèi)型與數量。其方法包括強密碼策略以及防止外部USB設備通過(guò)開(kāi)放的端口進(jìn)行訪(fǎng)問(wèn)。

（2）網(wǎng)絡(luò )設計安全防護：減少弱點(diǎn)并將其隔離，則對其進(jìn)行的攻擊不會(huì )影響到網(wǎng)絡(luò )的其他部分?！皡^域與管道”模型能幫助限制網(wǎng)絡(luò )區域間的連接數，降低整個(gè)網(wǎng)絡(luò )均受到攻擊影響的風(fēng)險。

（3）主動(dòng)安全防護：包括能夠阻止通信、阻止未允許或不符合預期操作的方法及設備。比如使用加密，針對協(xié)議的深度包檢測，三層防火墻及反病毒軟件。

（4）偵測安全防護：在某一事件發(fā)生的過(guò)程中對事件活動(dòng)寄存器進(jìn)行標注及記錄，包括日志文件分析以及入侵檢測系統監測。

（5）糾正安全防護：目的是限制破壞進(jìn)一步擴大，比如配置參數備份策略以及防火墻與反病毒軟件的升級。

3　維護網(wǎng)絡(luò )安全的最佳方式

針對現在的風(fēng)險類(lèi)型以及能夠保護并降低威脅的安全與網(wǎng)絡(luò )解決方案的類(lèi)型，管理者可以設計出性能遠超單點(diǎn)防御方案的安全策略。

縱深防御模型是對關(guān)鍵基礎設施的多重層疊保護，其綜合物理層、網(wǎng)絡(luò )層、計算機以及設備安全制定政策和執行程序，是防御外部與內部威脅的最好手段。

該模型基于三個(gè)概念來(lái)確?？焖贆z測、隔離與控制，限制錯誤或漏洞影響而不管其發(fā)生的原因及發(fā)生所在位置。

（1）多層防御：如果一層防御被繞過(guò)，則還有其他層提供防御保護。

（2）差異層防御：如果攻擊者找到了通過(guò)第一層防御的辦法，也無(wú)法通過(guò)后續的所有防御，因為其他防御層均與前者有所不同。

（3）特定威脅層防御：特定威脅層防御專(zhuān)為特定風(fēng)險與弱點(diǎn)設計。這些解決方案針對多種可能威脅電力系統安全的威脅，如惡意軟件、憤怒的員工、拒絕服務(wù)（DoS）攻擊以及信息盜竊等。

通過(guò)建立多層安全協(xié)議，任何系統失效或漏洞都能夠得到遏制并限制其破壞

4　安全集成

作為多層次縱深防御模型的一部分，物理與網(wǎng)絡(luò )安全應互相結合才能對關(guān)鍵基礎設施進(jìn)行更加強大的保護。物理防護系統包括重要資產(chǎn)上的讀卡器，如變壓器柜、控制室以及用于訪(fǎng)問(wèn)監控安全攝像頭等設備。

系統的網(wǎng)絡(luò )安全措施應包括以下內容：

（1）企業(yè)主干網(wǎng)絡(luò )與變電站網(wǎng)絡(luò )之間的路由器與防火墻；

（2）狀態(tài)檢測及深度包檢測；

（3）控制網(wǎng)絡(luò )與通信網(wǎng)絡(luò )之間進(jìn)行明晰的區域劃分。

當物理層安全與多層次的網(wǎng)絡(luò )安全相結合，電力網(wǎng)絡(luò )管理者就獲得了一個(gè)對物理及網(wǎng)絡(luò )資產(chǎn)進(jìn)行監控的互相配合與協(xié)調的檢測系統。

電力網(wǎng)絡(luò )，包括變電站以及饋線(xiàn)，越來(lái)越成為對黑客具有吸引力的攻擊目標。任何由物理層或網(wǎng)絡(luò )層漏洞造成電力網(wǎng)損失的潛在可能性，無(wú)論是否惡意或是由意外引起，都是非常嚴重的，都為嚴格的綜合網(wǎng)絡(luò )安全戰略提出了最為迫切的任務(wù)。

5　提高警惕是關(guān)鍵

從歷史的角度來(lái)說(shuō)，對電力網(wǎng)實(shí)施上述安全改造看起來(lái)似乎無(wú)比艱巨。但管理者可以通過(guò)遵循幾項原則循序漸進(jìn)完成改造。首先，對確保關(guān)鍵系統的安全設施進(jìn)行優(yōu)先安排。其次，營(yíng)造信息安全的工作氛圍。第三，持續對當前的安全狀況進(jìn)行風(fēng)險評估。最后，不要奢望某一項措施能夠解決所有的安全問(wèn)題，所有的威脅、風(fēng)險以及受保護目標都各不相同，所以針對其的解決方案也應各不相同。

網(wǎng)絡(luò )安全威脅會(huì )隨時(shí)間而演變，所以對網(wǎng)絡(luò )管理者來(lái)說(shuō)，持續對防護系統進(jìn)行評估的流程非常重要。下面列舉的這些問(wèn)題能夠確保一旦當前的電力網(wǎng)系統境況發(fā)生改變，管理者能夠以最好的方式應對威脅。

（1）我們是否知道網(wǎng)絡(luò )的拓撲協(xié)議與通信類(lèi)型？

（2）我們是否知道組件的位置以及連接方式，以允許我們在必要時(shí)建立有效的安全區？

（3）我們是否在任何新設備接入網(wǎng)絡(luò )時(shí)都對其進(jìn)行驗證并且審查所有文件？

（4）我們多久更換一次網(wǎng)絡(luò )中的密碼？

（5）我們是否已采用最新的更新？

理想狀態(tài)下，網(wǎng)絡(luò )管理者應對系統提供百分之一百的防護，但現實(shí)卻是，百分之百的全面防護是不可能達成的。但無(wú)論惡意或意外導致的事故及漏洞是否會(huì )發(fā)生，受攻擊的保護目標都必須受到限制以隔離其對整個(gè)系統的影響。

通過(guò)建立多層次的安全協(xié)議，任何電網(wǎng)系統的故障或漏洞都能夠被掌控，并且系統操作也會(huì )更加有效，同時(shí)對破壞進(jìn)行限制。最重要的是，電網(wǎng)變電站網(wǎng)絡(luò )安全的縱深防御保護模型能夠確保在任何破壞之下，電網(wǎng)系統的其余部分仍然是安全及高效的。

作者簡(jiǎn)介

盧川（1985-），男，四川人，理學(xué)博士，2007年于北京理工大學(xué)獲工學(xué)學(xué)士學(xué)位；2015年于中國科學(xué)院大學(xué)獲理學(xué)博士學(xué)位?，F就職于中國軟件評測中心，主要研究方向為工業(yè)控制系統安全及其測試技術(shù)。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第二輯）》