一、安全问题和风险
目前国内外的智能变电站系统基本采用IEC61850规约统一建模,在IEC61850规约中,将智能变电站系统从工作站发送到变电站中,局控层采用TCP/IP的MMS协议进行空间间隔层、过程层采用GOOSE、SV协议,在以太网上直接通信。
基于工艺层(设备层) IEC61850标准的变电站一般采用交换以太网技术,主要是电子变压器和合并单元,配置智能化一次设备,自动完成信息采集、测量、控制、保护、修正量、检测等功能,是智能变电站区别于普通变电站的关键
目前,智能变电站主要存在以下问题和风险
1.1安全问题:
1 )配置在安全I和II区域之间的传统防火墙无法有效保护I和II区域的逻辑隔离问题。
2 )变电所使用的传输协议主要是IEC61850家族,包括MMS、GOOSE、SV等协议。 这些协议缺乏识别控制命令是否来自合法用户的机制,服务请求对任何访问者开放,顽强性差,难以抵抗恶意消息攻击等问题
3 )变电站全线主机、交换机网络访问控制缺乏技术手段和管理措施; 外地网络设备的接入站内操作不进行安全检查,容易在公司内部系统中导入病毒和木马等恶意代码
4 )变电站运维现场系统运维无序,缺乏操作监护。 对于接入各层网络进行运维调试操作的设备没有规范的管理手段,对运维人员的操作过程没有记录、审计,无法发现越权接入、异常操作等行为
5 )变电站在各层缺乏流量监测监测措施,无法监测异常流量,无法识别工控协议MMS、GOOSE、SV等协议及深度分析,利用这些协议的漏洞进行攻击,篡改病毒、木马等恶意攻击程序及误操作、违规操作等数据
6 )工业主机的问题,工业系统在设置订正之初,应更加考虑生产的可行性,在安装应用系统后,对基础操作系统进行安全配置的很少,包括审核战略、密码战略、访问限制等。 此外,为了确保控制系统的稳定性,通常不进行操作系统的补丁升级,也保证提前购买的控制系统。
此外,为了确保工程应用程序的可用性,许多工业系统操作站(特别是以海外系统为中心)不允许安装防病毒软件。 即使安装防病毒软件,在工业控制环境下也难以实现病毒库的更新。
另外,自由使用u-disc、可移动硬盘、手机等可移动介质,可能会给生产系统带来病毒和特洛伊木马等威胁因素。 防病毒软件安装不完整,或者安装后不立即更新恶意软件版本和恶意软件库,因此在出现问题时,无法准确确定问题的原因、影响范围和责任。
1.2安全问题:
1)截获。 非法获取变电站与其他系统之间传输的信息,非法获取变电站网络中存储的信息
2 )中断。 中断与变电站内部或其他系统的通信,调度的主站不能知道变电站的运行状况,主站的控制命令也不能正确执行
3 )篡改。 变更变电站和其他系统之间传输的信息,变更变电站内的远程命令,变更一定值命令,调度主站获得错误的运行状况,引起变电站内事故
4 )恶意程序。 包括计算机蠕虫、木马、逻辑炸弹等计算机病毒,严重影响变电站系统的运行准确性、实时性和可靠性,可能使系统瘫痪。
5 )不正当的许可。 未经授权的用户可以直接访问国家电力调度中心,对国家构成威胁。
二、解决方案
2.1设置修订依据
能源局36号文件附件
1 《电力监控系统安全防护总体方案》和附件5 《变电站电力监控系统安全防护方案》
《电力行业信息系统安全等级保护基本要求》 (征求意见的原稿)
能源局317号《电力行业网络与信息安全管理办法》
能源局318号《电力行业信息安全等级保护管理办法》
《信息安全技术网络安全等级保护基本要求》 (GB/T 22239—2019 )。
2.2安全体系结构设置修订
根据36号文《电力监控系统安全防护总体方案》的整体框架和基本原则以及附件5 《变电站监控系统安全防护方案》、《信息安全技术网络安全等级保护基本要求》的相关要求,进行了以下的安全框架设定订正。
2.3风险评估
通过风险评估服务(利用漏洞扫描系统)识别、整理、分析和记录变电站电力监控系统相关资产(系统、硬件、软件、网络、漏洞和安全配置),及时掌握网络安全配置、安全漏洞
同时,网络运营商定期对整个网络的操作系统、数据库、网络设备、工程系统等进行全面的脆弱性评估和安全基线检查,及时了解网络的弱点,根据目的进行预防和加强
2.4边界保护设定修订
在实时控制I区和非实时控制II区中,引入工业防火墙或将传统防火墙替换为工业防护墙,以实现I区和II区之间的逻辑隔离。
解决问题:
根据IP、端口、工业协议(IEC-104、MMS、GOOSE等)和基于工业黑名单规则的访问控制策略,解决不同区域之间的逻辑隔离和违规访问问题。根据白名单自我学习功能,建立白名单基线安全模型,解决不同区域之间的误操作、违规操作以及病毒、木马等恶意代码攻击问题
基于工程协议识别和深度分析功能解决利用工程协议漏洞进行攻击的问题
基于网络攻击库,为网络DDOS (如ICMP-FLOOD、UDP-FLOOD等)的攻击提供安全保护。
2.5终端访问限制设定修订
在实时控制区域和非控制区域分别配置1台网络访问控制设备,实现终端访问管理。
解决问题:
利用网络加入技术管理外来设备对内部网络的访问,解决外来设备违规访问导致的IP冲突、病毒木马入侵等问题,提高管理水平。
2.6监视监查设定修订
在实时控制区和非实时控制区配置工程网络监控设置校正设备,镜像交换机,工程网络审计设备被动采集总流量,分析安全I区和II区的工程流量,工程师GOOSE、SV等)和深度分析机器的自学习人工智能技术,学习工程流量中的合法行为,形成白名单安全基线模型,工程流量中隐藏的威胁,如病毒、木马、恶意攻击及违规操作实时发现误操作等行为,记录、审计,为事后上溯及定位提供有力的证据,以及维护人员快速定位事故点
解决问题:
变电站各层流量监测审核措施不足,无法监测异常流量,无法识别工程协议MMS、GOOSE、SV等协议及深度分析,利用这些协议漏洞进行攻击的病毒、特洛伊木马等恶意攻击程序及误操作、违规操作
2.7产业本体的保护设定修订
在变电站全线的工业主机(包括监控主机、五防站、故障过滤器等)上配置工程控制主机保护系统,实现对工业主机的恶意代码保护。
解决问题:
利用机器的自我学习功能,学习工业主机的服务、流程、端口,形成白名单基线模型,屏蔽、运行基线模型中没有的病毒、特洛伊木马等恶意攻击代码的同时,管理USB端口,实现工业主机的安全保护许多工业主机操作系统是WindowsXP、2003、2008等系统,这些系统应用补丁不现实,解决安全部署薄弱、防病毒软件与工业应用程序不兼容、冲突、病毒库不更新等问题。
2.8安全运输维度监查设定修订
在非控制区域配置1台汉堡本垒打,进行集中帐户管理、集中登录认证、集中用户认可、集中操作审计。 实现对承运人操作行为审计、违规操作、非法存取等行为的有效监督,为事后追溯提供依据。
解决问题:
变电站运维现场系统运维无序,缺乏操作监护。 对于接入各层网络进行运维调试操作的设备没有规范的管理手段,对运维人员的操作过程没有记录、审计,无法发现越权接入、异常操作等行为问题。
2.9统一安全管理设置修订
在安全区配备一套工业控制安全管理平台,主要对变电站电力监控系统计算机网络和安全设备的运行状态进行实时监控,发现非法对外联系、外部入侵等安全事件并发出警报,收集变电站原网络设备、安全设备等日志信息对变电站电力监测系统网络的通信流量和安全事件进行监测,从整体角度分析安全事件、跟踪安全攻击、挖掘安全事件原因等,对变电站电力监测系统网络的当前状态和将来可能受到的攻击情况进行评估和预测,为专家提供可靠有效的决策依据,变电站电力监测系统
三、客户利益
全面提高变电站网络安全防护管理合规性,符合国家主管部门、行业监督管理部门的管理要求及工程控制安全防护要求
全面提高变电站生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,保障民生
全面改善变电站业务人员安全水平和安全意识,提高安全管理水平、生产效率和管理效率。
收藏
400-668-6638
取消收藏