0 引言

    随着工业4.0的推进，原本相对安全的工业设备开始暴露在网络环境下，使得设备的通信系统的安全面临新的挑战，并暴露出很多安全漏洞，特别是以电力行业为首的能源行业，成了“重灾区”。本文主要研究了电力监控系统的通信安全问题，分析了当前电力监控系统安全防护方案及其不足，最后提出了一种基于可信网络连接结合工控协议白名单的新方法。

1 电力监控系统通信安全问题

    在电力监控系统中，目前常用的协议有IEC-61850系列协议，包括MMS、GOOSE、SV等，以及IEC60870-5系列协议，包括IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-104等。IEC-61850系列协议主要应用在智能变电站，IEC60870-5系列协议主要应用在配网自动化。

    由于以上工控协议在设计之初，专注于功能、性能、可靠性的实现，以满足工业生产的基本需求，而忽视了对信息安全需求的考虑，导致以上工控协议普遍存在如表1所示的安全隐患。

2 当前电力监控系统安全防护方案

    2014年，国家发改委发布《电力监控系统安全防护规定》（发改委2014年第14号令）。

    2015年，国家能源局下发《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）。

    发改委2014年第14号令与国能安全〔2015〕36号文，共同构成了当前电力监控系统的安全防护指导方案。

2.1 发改委14号令与能源局36号文概述

    发改委14号令可以理解为原电监会5号令的“升级”版本。

    2004年原电监会发布第5号令《电力二次系统安全防护规定》（以下简称“5号令”），并随后陆续下发了相关配套文件。5号令的核心是“安全分区、网络专用、横向隔离、纵向认证”十六字方针，其主要内容为：合理划分安全分区，扩充完善电力调度专用数据网，采取必要的安全防护技术和防护设备，剥离非生产性业务，实现电力调度数据网络与其他网络的物理隔离。

    发改委14号令相比5号令，在技术方面的主要增强体现在：一是针对配电网、分布式电源广泛使用无线公网进行数据通信的实际情况，提出了在生产控制大区内设置“安全接入区”的理念，并明确了相关的技术规定和要求；二是从设备选型及配置、漏洞及风险整改等方面提出了相关的要求，使电力监控系统安全防护体系从重点强化“边界防护”向“纵深防御”发展。

    能源局36号文则是发改委14号令的配套文件，将发改委14号令的要求具体细化，明确给出了对发电厂、省级以上调度中心、地级调度中心、变电站、配电的电力监控系统的安全防护要求。电力监控系统安全防护总体架构如图1所示。

2.2 当前防护方案解决通信安全问题的不足

    发改委14号令与能源局36号文对电力监控系统网络层的安全防护要求，主要涉及单向安全隔离、纵向加密认证、防火墙、网络审计、入侵检测，其中单向安全隔离、纵向加密认证属于边界防护措施。本文重点讨论电力监控系统内部通信安全问题，所以，下面分析防火墙、网络审计、入侵检测能否解决前文提到的通信安全问题。

2.2.1 防火墙

    防火墙的核心功能是基于IP地址、端口对网络会话进行过滤。基于IP地址对访问者身份进行限制，一定程度上缓解了前文提到的协议缺乏认证的问题，但是IP地址是容易被伪冒的。另外，防火墙对于协议缺乏授权、缺乏加密是无能为力的。

2.2.2 网络审计

    网络审计设备通常通过旁路部署方式对网络会话行为进行检测和记录。网络审计设备同样是基于IP地址记录访问对象，所以面临防火墙同样的问题，无法解决协议缺乏认证的问题，同时网络审计设备对于协议缺乏加密是无能为力的。网络审计设备通过对网络会话行为的记录，提供了事后审计的能力，能够对越权操作行为形成一定的威慑，一定程度上缓解协议缺乏授权的问题。

2.2.3 入侵检测

    入侵检测设备通常通过旁路部署方式对网络攻击行为进行检测和报警。入侵检测设备同样是基于IP地址确定访问对象，所以面临防火墙同样的问题，无法解决协议缺乏认证的问题，同时入侵检测设备对于协议缺乏加密是无能为力的。目前通常的入侵检测设备，无法理解电力监控系统中的工控协议，所以无法对工控协议中的越权行为进行检测；针对电力监控系统开发的入侵检测设备，能够对越权操作行为进行实时监测与报警，能够一定程度上缓解协议缺乏授权的问题。

    综上所述，当前规范中的方案和技术，未能解决好前文提到的通信安全问题。

3 可信网络连接结合工控协议白名单解决方案

    当前电力监控系统通信安全问题，其根源在于工控协议设计缺乏信息安全考虑，但这是短期无法改变的。本文尝试提出一种基于可信网络连接结合工控协议白名单的新方法，来解决前述问题。

    可信网络连接(Trusted Network Connection，TNC)是通过对信任链的建立，将可信计算平台的可信性延伸到网络环境来实现整个网络可信。可信网络连接的核心思想是：通过对请求连接的终端平台的可信性进行验证，根据其可信性对终端的接入进行控制，来确保网络连接环境的可信。

3.1 可信网络连接在电力监控系统的应用

    下面以IEC60870-5-104为例进行说明，其报文格式如图2。

    启动字符68H定义了数据流中的起点，ASDU的长度为ASDU的字节数加4个控制字节，根据4个控制字节的取值，可分为三类报文，即：I格式帧（信息传输功能报文）、S格式帧（监视功能报文）、U格式帧（未编号的控制功能报文）。帧格式如图3所示。

    图4所示的报文表示控制站发送遥控报文。

    如果把报文的06字段的值改成08就表示取消遥控。如果按照当前的防护方案，黑客利用IEC60870-5-104协议缺乏认证的漏洞，将便携计算机接入电力监控系统网络后可以直接对控制器发起攻击，把原本控制站发送的遥控指令取消。

    将可信网络连接技术应用于电力监控系统，需要进行如下改造：

    (1)将电力监控系统中的设备，都改造为可信计算平台；

    (2)引入可信证明服务器，对接入电力监控系统网络的设备进行验证，只有验证为可信的设备才允许接入网络。具体实施时，可以采用802.1x技术实现。

    因为可信计算技术比较成熟，以上技术实现不展开叙述。

    采用了可信网络连接技术后，非法设备将无法接入电力监控系统网络，或者说电力监控系统中通信各方都是合法设备，整个电力监控系统处于一个可信任的网络环境中。所以，可信网络连接技术能够较好解决工控协议缺乏认证的问题。对于工控协议缺乏加密的问题，虽然仍然存在，但是由于网络中的对象都是可信任的，问题得到部分缓解。对于工控协议缺乏授权的问题，同样由于网络中的对象都是可信任的，问题得到部分缓解，但是对于管理人员误操作或者内部人攻击问题是无效的。所以，下面结合工控协议白名单技术来解决前述问题。

3.2 工控协议白名单在电力监控系统的应用

3.2.1 工控协议白名单的构造

    工控协议白名单是以工控协议的深度解析为基础，通过对工控协议报文的应用层进行深度解析，获取电力监控操作的功能码、寄存器、值域等关键字段，结合时间、IP地址、端口等信息，建立电力监控操作的正常行为模型。这个模型包含了报文中所有需要过滤的关键字段，通过对所有关键字段进行编译（编译的目的是加快关键字段匹配的速度）后形成的一个列表，这个列表被称作工控协议白名单。

    工控协议白名单的产生方式分为自学习和手动两种：自学习方式是通过捕获网络上的工控协议报文后进行深度解析并自动生成工控协议白名单；手动方式是通过手动添加规则的方式来生成工控协议白名单。

3.2.2 工控协议白名单的匹配

    白名单的匹配过程是通过捕获工控协议报文，提取关键字段后按照生成白名单的编译方式进行编译后去和已知的白名单库进行匹配。如果命中，证明是合法操作；否则，就可能是管理人员误操作或者内部人攻击。

4 验证测试

4.1 测试环境

    实验室仿真环境及组网如图5所示。仿真环境中的设备情况如表2所示。

4.2 测试结果

4.2.1 不启用可信网络连接和工控协议白名单防护

    工业交换机配置为不启用802.1x，工业防火墙配置为全部允许规则。

    攻击方式1：从攻击电脑，直接对PLC发起攻击

    攻击步骤：

    (1)将攻击电脑接入工业交换机，进行网络扫描，发现PLC的IP地址及其开放的端口TCP 102；

    (2)执行CVE-2016-3949漏洞攻击脚本，对PLC的TCP 102端口进行攻击；

    (3)PLC进入故障模式，只有冷启动可恢复系统。

    攻击方式2：从客户机A，模拟发起内部人攻击

    攻击步骤：

    (1)从客户机A上，通过WINCC软件向PLC下发STOP指令；

    (2)PLC进入停机状态，只有冷启动可恢复系统。

4.2.2 启用可信网络连接和工控协议白名单防护

    工业交换机配置为启用802.1x，工业防火墙配置为启用工控协议白名单防护。

    攻击方式1：从攻击电脑，直接对PLC发起攻击

    攻击步骤：

    (1)将攻击电脑接入工业交换机，工业交换机要求攻击电脑进行身份验证；

    (2)攻击电脑由于没有合法身份，无法验证通过，无法接入网络；

    (3)攻击电脑无法进行网络扫描，执行CVE-2016-3949漏洞攻击脚本，PLC不受影响，工作正常。

    攻击方式2：从客户机A，模拟发起内部人攻击

    攻击步骤：

    (1)从客户机A上，通过WINCC软件向PLC下发STOP指令；

    (2)S7 STOP指令在到达工业防火墙时被拦截，PLC不受影响，工作正常，并在统一管理平台上产生报警。

5 结束语

    本文介绍了当前电力监控系统通信安全存在的问题，分析了当前技术方案的不足，最后尝试提出一种基于可信网络连接结合工控协议白名单的技术方案，能够较好地解决当前电力监控系统的通信安全问题。工业4.0时代，网络已经在电力行业中被广泛使用，电力监控系统在设计之初就存在的问题随之暴露出来，乌克兰的停电事故折射出目前电力监控系统的脆弱性，解决电力控制系统中的通信安全问题刻不容缓。

参考文献

[1] 国家电力监管委员会．电力二次系统安全防护规定(电监会5号令)[S]．2004．

[2] 国家电力监管委员会．关于印发电力二次系统安全防护总体方案等安全防护方案的通知(电监安全[2006]34号文)[S]．2006.

[3] 李战宝，张文贵，潘卓．美国确保工业控制系统安全的做法及对我们的启示[J]．信息网络安全，2012，51(8)：51-53．

[4] 王平，靳智超，王浩．EPA工业控制网络安全测试系统设计与实现[J]．计算机测量控制，2009，17(11)：53-55．

[5] GB/T 20984—2007.信息安全技术信息安全风险评估规范[S].2007.

[6] 陈晓刚，孙可，曹一家.基于复杂网络理论的大电网结构脆弱性分析[J].电工技术学报，2007，22(10)：138-144.

[7] 杨华飞，李栋华，程明.电力大数据关键技术及建设思路的分析和研究[J].电力信息与通信技术，2015，13(1)：7-10.

[8] CIGRE Task Force 38.03.12.Power system security assessment[R].1997.

[9] 周亮.组态化智能变电站信息系统中若干问题研究[D].合肥：合肥工业大学，2011.

[10] 何群峰.电能表现场校验智能分析系统[D].杭州：浙江大学，2010.

[11] 钟粱高.基于可信计算的工业控制系统信息安全解决方案研究[D].大连：大连理工大学，2015.

作者信息:

胡朝辉，王方立

(广东电网有限责任公司电力科学研究院，广东 广州510080)