今日頭條
官方微信
官方抖音
資訊頻道
對網(wǎng)絡管理者來說,越來越多的電網(wǎng)變電站接入網(wǎng)絡既是好事同時也意味著挑戰(zhàn)。正面的影響是大量的網(wǎng)絡接入極大地提高了電網(wǎng)的效率、響應能力與集成度。負面的影響則是增加了對信息網(wǎng)絡進行保護的復雜性,也就意味著接入網(wǎng)絡的變電站很容易受到攻擊。
面對這一情況,我們需要一個將物理層安全與網(wǎng)絡層安全進行整合的全面保護方案,以識別各種各樣的漏洞與入侵,同時也要認識到不存在某一種解決方案能夠?qū)ο到y(tǒng)進行百分之百的保護。
電網(wǎng)變電站工控網(wǎng)絡需要引入最新的技術(shù)對其進行物理層及網(wǎng)絡層防護
1 境況是如何改變的
電網(wǎng)變電站曾經(jīng)是互相孤立的。相對于網(wǎng)絡安全而言,以前的變電站優(yōu)先考慮的是其物理安全性、可靠性與易用性。由于下面所列舉(但不限于)的這些原因,變電站互相孤立的境況被徹底地終止了。
·現(xiàn)成商業(yè)技術(shù)的使用;
·以太網(wǎng)以及基于TCP/IP的網(wǎng)絡協(xié)議的使用;
·ICE60870-5-04標準以及IEC61850標準的實施;
·DNP3工業(yè)協(xié)議與Modbus TCP的集成;
·無線接入;
·企業(yè)間IT系統(tǒng)的互聯(lián);
·公共網(wǎng)絡的使用。
由于電網(wǎng)系統(tǒng)在全國范圍內(nèi)進行互聯(lián),其發(fā)生錯誤或失效的可能性很高。對電力網(wǎng)絡系統(tǒng)進行保護,首先需要的是一個健壯的網(wǎng)絡安全策略,防止網(wǎng)絡受到拒絕服務(DoS)攻擊。
將防止DoS攻擊列為最高優(yōu)先級是因為高壓、中壓電力網(wǎng)在國家基礎設施中具有非常關鍵的作用,而DoS攻擊極有可能造成系統(tǒng)停止服務并造成巨大的經(jīng)濟損失。其他的保護措施包括機密性保護、確保信息完整性以及防止對信息進行未經(jīng)授權(quán)的修改或竊取。
2 五層防護體系
為保障網(wǎng)絡安全,網(wǎng)絡管理者必須隨時評估網(wǎng)絡狀況與威脅來源,以保證系統(tǒng)與策略是最新且有效的。要做好這樣一個循環(huán)的評估與檢查過程,準確理解“風險”、“威脅”與“弱點”之間的差異是很有幫助的。
·風險:風險是指某事的發(fā)生對信息資產(chǎn)造成損害或損失的可能性。
·威脅:威脅是指任何具有潛在能力對信息資產(chǎn)造成破壞的事件(包括自然事件和人為事件)。
·弱點:弱點是指某個可以被用于對信息資產(chǎn)造成損害的薄弱之處。
我們需要一個多層次的網(wǎng)絡安全設計來防范或者減輕各種漏洞對系統(tǒng)造成的損害,才能在各種各樣的威脅下對電力網(wǎng)進行保護。有以下五個層次的安全防護手段可以對威脅的減輕與防護進行優(yōu)化。
(1)預防性安全防護:旨在防止事故的發(fā)生和減少風險及弱點的類型與數(shù)量。其方法包括強密碼策略以及防止外部USB設備通過開放的端口進行訪問。
(2)網(wǎng)絡設計安全防護:減少弱點并將其隔離,則對其進行的攻擊不會影響到網(wǎng)絡的其他部分。“區(qū)域與管道”模型能幫助限制網(wǎng)絡區(qū)域間的連接數(shù),降低整個網(wǎng)絡均受到攻擊影響的風險。
(3)主動安全防護:包括能夠阻止通信、阻止未允許或不符合預期操作的方法及設備。比如使用加密,針對協(xié)議的深度包檢測,三層防火墻及反病毒軟件。
(4)偵測安全防護:在某一事件發(fā)生的過程中對事件活動寄存器進行標注及記錄,包括日志文件分析以及入侵檢測系統(tǒng)監(jiān)測。
(5)糾正安全防護:目的是限制破壞進一步擴大,比如配置參數(shù)備份策略以及防火墻與反病毒軟件的升級。
3 維護網(wǎng)絡安全的最佳方式
針對現(xiàn)在的風險類型以及能夠保護并降低威脅的安全與網(wǎng)絡解決方案的類型,管理者可以設計出性能遠超單點防御方案的安全策略。
縱深防御模型是對關鍵基礎設施的多重層疊保護,其綜合物理層、網(wǎng)絡層、計算機以及設備安全制定政策和執(zhí)行程序,是防御外部與內(nèi)部威脅的最好手段。
該模型基于三個概念來確保快速檢測、隔離與控制,限制錯誤或漏洞影響而不管其發(fā)生的原因及發(fā)生所在位置。
(1)多層防御:如果一層防御被繞過,則還有其他層提供防御保護。
(2)差異層防御:如果攻擊者找到了通過第一層防御的辦法,也無法通過后續(xù)的所有防御,因為其他防
御層均與前者有所不同。
(3)特定威脅層防御:特定威脅層防御專為特定風險與弱點設計。這些解決方案針對多種可能威脅電力系統(tǒng)安全的威脅,如惡意軟件、憤怒的員工、拒絕服務(DoS)攻擊以及信息盜竊等。
通過建立多層安全協(xié)議,任何系統(tǒng)失效或漏洞都能夠得到遏制并限制其破壞
4 安全集成
作為多層次縱深防御模型的一部分,物理與網(wǎng)絡安全應互相結(jié)合才能對關鍵基礎設施進行更加強大的保護。物理防護系統(tǒng)包括重要資產(chǎn)上的讀卡器,如變壓器柜、控制室以及用于訪問監(jiān)控安全攝像頭等設備。
系統(tǒng)的網(wǎng)絡安全措施應包括以下內(nèi)容:
(1)企業(yè)主干網(wǎng)絡與變電站網(wǎng)絡之間的路由器與防火墻;
(2)狀態(tài)檢測及深度包檢測;
(3)控制網(wǎng)絡與通信網(wǎng)絡之間進行明晰的區(qū)域劃分。
當物理層安全與多層次的網(wǎng)絡安全相結(jié)合,電力網(wǎng)絡管理者就獲得了一個對物理及網(wǎng)絡資產(chǎn)進行監(jiān)控的互相配合與協(xié)調(diào)的檢測系統(tǒng)。
電力網(wǎng)絡,包括變電站以及饋線,越來越成為對黑客具有吸引力的攻擊目標。任何由物理層或網(wǎng)絡層漏洞造成電力網(wǎng)損失的潛在可能性,無論是否惡意或是由意外引起,都是非常嚴重的,都為嚴格的綜合網(wǎng)絡安全戰(zhàn)略提出了最為迫切的任務。
5 提高警惕是關鍵
從歷史的角度來說,對電力網(wǎng)實施上述安全改造看起來似乎無比艱巨。但管理者可以通過遵循幾項原則循序漸進完成改造。首先,對確保關鍵系統(tǒng)的安全設施進行優(yōu)先安排。其次,營造信息安全的工作氛圍。第三,持續(xù)對當前的安全狀況進行風險評估。最后,不要奢望某一項措施能夠解決所有的安全問題,所有的威脅、風險以及受保護目標都各不相同,所以針對其的解決方案也應各不相同。
網(wǎng)絡安全威脅會隨時間而演變,所以對網(wǎng)絡管理者來說,持續(xù)對防護系統(tǒng)進行評估的流程非常重要。下面列舉的這些問題能夠確保一旦當前的電力網(wǎng)系統(tǒng)境況發(fā)生改變,管理者能夠以最好的方式應對威脅。
(1)我們是否知道網(wǎng)絡的拓撲協(xié)議與通信類型?
(2)我們是否知道組件的位置以及連接方式,以允許我們在必要時建立有效的安全區(qū)?
(3)我們是否在任何新設備接入網(wǎng)絡時都對其進行驗證并且審查所有文件?
(4)我們多久更換一次網(wǎng)絡中的密碼?
(5)我們是否已采用最新的更新?
理想狀態(tài)下,網(wǎng)絡管理者應對系統(tǒng)提供百分之一百的防護,但現(xiàn)實卻是,百分之百的全面防護是不可能達成的。但無論惡意或意外導致的事故及漏洞是否會發(fā)生,受攻擊的保護目標都必須受到限制以隔離其對整個系統(tǒng)的影響。
通過建立多層次的安全協(xié)議,任何電網(wǎng)系統(tǒng)的故障或漏洞都能夠被掌控,并且系統(tǒng)操作也會更加有效,同時對破壞進行限制。最重要的是,電網(wǎng)變電站網(wǎng)絡安全的縱深防御保護模型能夠確保在任何破壞之下,電網(wǎng)系統(tǒng)的其余部分仍然是安全及高效的。
作者簡介
盧川(1985-),男,四川人,理學博士,2007年于北京理工大學獲工學學士學位;2015年于中國科學院大學獲理學博士學位。現(xiàn)就職于中國軟件評測中心,主要研究方向為工業(yè)控制系統(tǒng)安全及其測試技術(shù)。
北京市公安局海淀分局備案號:11010802023656號