新形势下电力监控系统网络安全风险分析与防护对策

1新形势下电力监控系统面临的网络安全风险分析云计算、大数据和物联网等新兴技术在电力监控系统中得到广泛应用，但在提高效率的同时也面临人员风险，勒索病毒、蠕虫和木马，系统性风险，安全威胁与建设实践的脱节风险等新的网络安全风险。1.1人员风险目前很多电力监控系统运维人员缺乏网络安全意识，组织员工定期接受网络安全培训的工作落实不到位，使得很多重要的电力监控系统在日常工作中缺乏有效的安全防护措施。很多员工对密码管理缺少必要的认识，例如采用默认密码、长期不修改使用密码、密码存放在互联网或云平台等公开环境中，极易导致核心电力控制系统的用户名和密码泄露，被恶意攻击者掌握。1.2勒索病毒、蠕虫和木马随着移动互联网、云计算、物联网等新技术在电力系统中的广泛使用，移动终端和App等平台为电网调度指挥提供了更为方便、高效的管理方式，但同时也面临勒索病毒及其他网络攻击的风险。勒索病毒等网络攻击手段具有隐蔽性、破坏性、传染性等特性，一旦进入调度数据网络，将严重影响电力系统数据资料安全性，甚至导致整个生产网络瘫痪，造成巨大损失。近2年频繁发生的勒索病毒袭击国内外关键基础设施事件充分暴露了这种风险的严重性。1.3系统性风险当前，电力监控系统主要面临的系统性风险：一是缺乏针对新兴技术广泛应用带来的网络安全威胁进行有效安全管控措施；二是攻击威胁监测预警与安全防护分离脱节；三是已有网络安全防护机制在电力监控系统中的“简单堆叠”，造成防护资源浪费且对新型攻击手段防护能力较弱。电力监控系统内部网络分为“两个大区”和“四个小区”，如图1所示。“两个大区”是指生产控制信息网络大区和管理信息网络大区。其中，生产控制信息网络大区又被分为控制区和非控制区，即安全Ⅰ区和安全Ⅱ区，管理信息网络大区又分为生产管理区和行政管理区，即安全Ⅲ区和安全Ⅳ区。首先，从工程实践角度，生产控制信息网络大区的安全Ⅰ区和安全Ⅱ区有明显界限，而管理信息网络大区的安全Ⅲ区和安全Ⅳ区却没有明显界限，存在管理真空地带。其次，人工设计研发的软件中普遍存在缺陷，一般需要经过长时间的实际运行才会逐渐暴露出问题，电力监控系统中的大量控制软件也不例外。最后，电力监控系统规模庞大，从实际的部署情况来看，有些安全分区存在不同程度的网络耦合现象，黑客或不法分子利用这种耦合并结合电力控制软件中存在的漏洞实施攻击，对电力监控系统造成极大威胁。图1电力监控系统的组成1.4安全威胁与建设实践的脱节风险目前，在电力监控系统的网络安全防护建设实践中，符合国家、行业及公司级的电力监控系统安全防护规定，以及防火墙、隔离网关、电力网闸等访问控制设备的大规模部署成为电网公司重点关注的建设内容。而生产控制信息网络和管理信息网络实际面临的攻击威胁情况却并未引起足够关注。这是由于电力监控系统的网络安全管理与建设实践很大程度由合规性驱动，而合规性驱动的安全防护建设思路存在的弊端非常明显：一方面，合规性防护策略只是安全防护的一个重要方面，无法保证动态变化的电力监控系统是安全可靠的，反而会给相关各方造成看似安全的假象，以偏盖全；另一方面，由合规性驱动的电力监控系统建设，容易出现安全防护设备简单堆叠、资源浪费，面对跨网跨域的高级持续性攻击威胁防护能力弱等问题。2新形势下的电力监控系统网络安全防护对策基于新形势下电力监控系统面临的网络安全风险分析结果，为应对电力监控系统中新出现的网络安全威胁，需要从安全管理制度及人员意识培养、非核心控制类信息资产安全加固、电力监控系统网络安全防护机制等方面考虑提升和改进措施。2.1安全管理制度及人员意识培养首先，安全管理制度是保证电力监控系统稳定运行的基础。应建立完善的电力监控管理制度，有组织地统筹电力监控系统涉及的各个部门和网络使用单位，保证各生产单位及时有效沟通。同时，实时记录各环节安全防护设备运行状态，统一建立系统日志，并安排相关人员定时检查，保障电力监控系统中各类网络安全事件得到及时妥善处理。在新的安全威胁形势下，需要对电力物联网、云计算平台和移动App等应用进行重点管控，一方面，建立严格的使用管理制度；另一方面，对电力监控系统中应用的新技术、新系统存在的安全风险点进行封控。其次，需要对电力监控系统中的新形态网络信息系统的运行日志等进行详细记录。2.2电力监控系统中非核心控制类信息资产的安全加固两化融合背景下的电力监控系统中存在大量非核心控制类信息设备，如门禁管理系统、视频监控系统、电梯控制系统、现场作业机器人、无人机、中央空调控制系统等，这些设备极大地扩展了与公共互联网的连接途径，也给网络攻击入侵者提供了更多的通道。因此，需要从互联网连接层面和设备本体层面对非核心控制类信息资产进行安全加固。2.3电力监控系统网络安全防护机制的提升随着新技术、新应用的发展，针对电力监控系统存在的安全威胁的防护能力，需在原有安全防护机制的基础上进行进一步提升。为充分满足新形势、新技术的要求，可从基于国产密码算法的安全防护技术、对勒索病毒的防范、适应性更高的访问控制、威胁驱动的安全防护能力4个维度对电力监控系统的安全防护能力进行提高。2.3.1基于国产密码算法的安全防护技术电力监控系统安全防护的重中之重是保护电力生产控制数据不被泄露，因此，在电力监控生产体系中必须按照有关规定部署电力纵向加密认证系统。同时，新的网络攻击威胁形势对基于国产密码算法的安全防护机制提出了新的要求：一是与电力纵向加密认证有关的设备需要尽可能实现全国产化；二是密钥管理机制需要设计适应更高的容量和更大的规模；三是纵向加密认证系统的硬件形态向轻量级、低能耗方向发展。2.3.2对勒索病毒的防范勒索病毒是攻击者用来劫持用户资产或资源以实施勒索的一种恶意程序，对勒索病毒的防范将是新形势下电力监控系统安全防护需要重点关注的内容之一，应从以下几个方面开展工作：一是对电力监控系统中的数据资产进行梳理与分级分类管理；二是针对重要数据和系统建立备份机制；三是密码设置应尽量复杂化并定期更换；四是对电力监控系统中的资产定期开展风险评估；五是不定期地开展经常性杀毒并关闭不必要端口；六是设计强身份认证和权限管理机制。此外，针对电力监控系统中重要系统和数据的恢复工作，要提前建立符合相关管理要求的第三方安全可靠的信息系统服务商名单。2.3.3适应性更高的访问控制对电力监控系统中的移动互联网类应用，要从物理接入、数据流动管控、第三方实体管控等角度建立覆盖终端、网络和业务层面的访问控制能力。在电力监控系统厂站管理层面，建议分别在电力监控系统各部门建立虚拟子网络，增加访问控制机制实现安全隔离，减少四大安全分区之间的耦合程度。此外，在重点发电厂和变电站实行双通信模式，即正常使用调度数据通信方式，当网络安全防护系统发出高级别警告时，切换为点对点专线模拟通道传输重要信息，此方法有助于进一步提升电网容错率，保证电力系统安全稳定运行。2.3.4威胁驱动的安全防护能力当前，电力监控系统中的功能装置及设备呈现数量多且分布广的特点，面对大规模高级持续性攻击时，传统围墙栅栏式的防护思路难以有效保障电力监控系统安全，而威胁驱动的网络安全模型能够较好处理这种问题。美国洛克希德·马丁公司于2019年提出了威胁驱动的网络安全防护方法，该方法能够较好地将电力监控系统中的安全威胁发现与安全防护协同起来，提高网络安全防护的针对性和有效性。威胁驱动的电力监控系统安全防护能力一般包含5个模块，分别为外网威胁态势感知系统、内网威胁监测系统、纵向安全综合防护系统、横向安全综合防护系统及数据共享与融合平台。其中，外网威胁态势感知系统和内网威胁监测系统分别从互联网层面和现场设备/装置漏洞层面建立动态、立体的安全威胁发现能力。纵向安全综合防护系统和横向安全综合防护系统从访问控制和数据安全角度构建防护能力，数据共享与融合平台则能够在横向隔离基础上，实现基于攻击威胁适应的横向和纵向安全综合防护资源间的协同交换。目前，该模型已经在多个公司落地应用，测试结果表明，威胁驱动的网络安全防护模型有效地提高了网络系统处理和防护能力。3结语随着计算机技术和现代通信技术大量应用于电力监控系统，其安全防护不断面临新的挑战。各供电厂和变电站必须遵守电力行业安全防护原则和要求，做好安全制度建