信息來源：安全內參

摘 要：

移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)及云計算等新技術在電力監(jiān)控系統(tǒng)得到了廣泛應用，提高了電力生產(chǎn)控制效率，但卻增加了網(wǎng)絡安全風險，面臨新的攻擊威脅。對電力監(jiān)控系統(tǒng)中存在的網(wǎng)絡安全風險進行介紹，分析并指出當前網(wǎng)絡安全防護的疏漏，提出新的威脅形勢下電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護技術提升的途徑，所提方法有助于增強新技術背景條件下的電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護能力。

內容目錄：

1 新形勢下電力監(jiān)控系統(tǒng)面臨的網(wǎng)絡安全風險分析

1.1 人員風險

1.2 勒索病毒、蠕蟲和木馬

1.3 系統(tǒng)性風險

1.4 安全威脅與建設實踐的脫節(jié)風險

2 新形勢下的電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護對策

2.1 安全管理制度及人員意識培養(yǎng)

2.2 電力監(jiān)控系統(tǒng)中非核心控制類信息資產(chǎn)的安全加固

2.3 電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護機制的提升

2.3.1 基于國產(chǎn)密碼算法的安全防護技術

2.3.2 對勒索病毒的防范

2.3.3 適應性更高的訪問控制

2.3.4 威脅驅動的安全防護能力

3 結 語

電力系統(tǒng)是國家重要基礎設施之一，各個行業(yè)對電力資源需求呈現(xiàn)逐年上漲趨勢，要求整個電力系統(tǒng)安全且穩(wěn)定可靠。電力監(jiān)控系統(tǒng)監(jiān)視、調整并控制著電力系統(tǒng)中各生產(chǎn)單位設備的運行狀態(tài)，保證了電力系統(tǒng)的安全運行和可靠的供電 。隨著智能化、信息化技術的不斷發(fā)展，越來越多的新興技術在電力系統(tǒng)中不斷應用，使得電力監(jiān)控系統(tǒng)所涉及的技術、工作量、工作難度在這個過程中大幅增長。此外，現(xiàn)代電力監(jiān)控系統(tǒng)使用計算機網(wǎng)絡技術取代了傳統(tǒng)分布式廠站自動化設備技術，帶來便攜的同時也讓電力監(jiān)控系統(tǒng)暴露在多重網(wǎng)絡威脅中。例如，2017 年烏克蘭大規(guī)模停電、委內瑞拉連續(xù)數(shù)年反復發(fā)生大規(guī)模停電、2021 年 2 月美國加利福尼亞州和得克薩斯州大規(guī)模停電等事件，造成了數(shù)億美元的損失。針對網(wǎng)絡安全問題，世界各國紛紛出臺政策，2020 年 12 月，歐盟委員會發(fā)布了最新的《網(wǎng)絡安全戰(zhàn)略》；2021 年 12月，美國政府問責局（Government Accountability Office，GAO）發(fā)布《聯(lián)邦政府迫切需要采取行動，更好地保護國家關鍵基礎設施》報告。2017 年6 月，我國正式實施《中華人民共和國網(wǎng)絡安全法》，強調關鍵信息基礎設施安全保護成為我國網(wǎng)絡安全工作的重中之重 ；2021 年 7 月，國務院發(fā)布的《關鍵信息基礎設施安全保護條例》更是聚焦電力行業(yè)信息基礎設施的網(wǎng)絡安全防護問題。與此同時，國家發(fā)展改革委頒布的《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委 2014 年 14號令），國 家 能 源 局 發(fā) 布 的《關于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》（國 能 安 全〔2015〕36 號）等文件也對電力監(jiān)控系統(tǒng)的網(wǎng)絡安全防護做了明確規(guī)定。電力監(jiān)控系統(tǒng)實時監(jiān)控著電力系統(tǒng)的運行情況并及時做出調整控制，保障了電力系統(tǒng)的安全穩(wěn)定運行，但是目前電力監(jiān)控系統(tǒng)中仍存在不少漏洞，為了保護電力系統(tǒng)正常穩(wěn)定工作，降低電力監(jiān)控系統(tǒng)中網(wǎng)絡安全風險并提高電力監(jiān)控系統(tǒng)可靠性是重中之重。

本文主要對電力監(jiān)控系統(tǒng)面臨的網(wǎng)絡安全風險威脅進行分析，探討可能影響電力監(jiān)控系統(tǒng)正常運行的因素，結合目前主流的網(wǎng)絡安全技術，對電力監(jiān)控系統(tǒng)安全防護對策和方案進行綜述。

1 新形勢下電力監(jiān)控系統(tǒng)面臨的網(wǎng)絡安全風險分析

云計算、大數(shù)據(jù)和物聯(lián)網(wǎng)等新興技術在電力監(jiān)控系統(tǒng)中得到廣泛應用，但在提高效率的同時也面臨人員風險，勒索病毒、蠕蟲和木馬，系統(tǒng)性風險，安全威脅與建設實踐的脫節(jié)風險等新的網(wǎng)絡安全風險。

1.1 人員風險

目前很多電力監(jiān)控系統(tǒng)運維人員缺乏網(wǎng)絡安全意識，組織員工定期接受網(wǎng)絡安全培訓的工作落實不到位，使得很多重要的電力監(jiān)控系統(tǒng)在日常工作中缺乏有效的安全防護措施。很多員工對密碼管理缺少必要的認識，例如采用默認密碼、長期不修改使用密碼、密碼存放在互聯(lián)網(wǎng)或云平臺等公開環(huán)境中，極易導致核心電力控制系統(tǒng)的用戶名和密碼泄露，被惡意攻擊者掌握。

1.2 勒索病毒、蠕蟲和木馬

隨著移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)等新技術在電力系統(tǒng)中的廣泛使用，移動終端和 App等平臺為電網(wǎng)調度指揮提供了更為方便、高效的管理方式，但同時也面臨勒索病毒及其他網(wǎng)絡攻擊的風險。勒索病毒等網(wǎng)絡攻擊手段具有隱蔽性、破壞性、傳染性等特性，一旦進入調度數(shù)據(jù)網(wǎng)絡，將嚴重影響電力系統(tǒng)數(shù)據(jù)資料安全性，甚至導致整個生產(chǎn)網(wǎng)絡癱瘓，造成巨大損失。近 2 年頻繁發(fā)生的勒索病毒襲擊國內外關鍵基礎設施事件充分暴露了這種風險的嚴重性。

1.3 系統(tǒng)性風險

當前，電力監(jiān)控系統(tǒng)主要面臨的系統(tǒng)性風險：一是缺乏針對新興技術廣泛應用帶來的網(wǎng)絡安全威脅進行有效安全管控措施；二是攻擊威脅監(jiān)測預警與安全防護分離脫節(jié)；三是已有網(wǎng)絡安全防護機制在電力監(jiān)控系統(tǒng)中的“簡單堆疊”，造成防護資源浪費且對新型攻擊手段防護能力較弱。電力監(jiān)控系統(tǒng)內部網(wǎng)絡分為“兩個大區(qū)”和“四個小區(qū)”，如圖 1 所示?！皟蓚€大區(qū)”是指生產(chǎn)控制信息網(wǎng)絡大區(qū)和管理信息網(wǎng)絡大區(qū)。其中，生產(chǎn)控制信息網(wǎng)絡大區(qū)又被分為控制區(qū)和非控制區(qū)，即安全Ⅰ區(qū)和安全Ⅱ區(qū)，管理信息網(wǎng)絡大區(qū)又分為生產(chǎn)管理區(qū)和行政管理區(qū)，即安全Ⅲ區(qū)和安全Ⅳ區(qū)。首先，從工程實踐角度，生產(chǎn)控制信息網(wǎng)絡大區(qū)的安全Ⅰ區(qū)和安全Ⅱ區(qū)有明顯界限，而管理信息網(wǎng)絡大區(qū)的安全Ⅲ區(qū)和安全Ⅳ區(qū)卻沒有明顯界限 ，存在管理真空地帶。其次，人工設計研發(fā)的軟件中普遍存在缺陷，一般需要經(jīng)過長時間的實際運行才會逐漸暴露出問題，電力監(jiān)控系統(tǒng)中的大量控制軟件也不例外。最后，電力監(jiān)控系統(tǒng)規(guī)模龐大，從實際的部署情況來看，有些安全分區(qū)存在不同程度的網(wǎng)絡耦合現(xiàn)象，黑客或不法分子利用這種耦合并結合電力控制軟件中存在的漏洞實施攻擊，對電力監(jiān)控系統(tǒng)造成極大威脅。

圖 1 電力監(jiān)控系統(tǒng)的組成

1.4 安全威脅與建設實踐的脫節(jié)風險

目前，在電力監(jiān)控系統(tǒng)的網(wǎng)絡安全防護建設實踐中，符合國家、行業(yè)及公司級的電力監(jiān)控系統(tǒng)安全防護規(guī)定，以及防火墻、隔離網(wǎng)關、電力網(wǎng)閘等訪問控制設備的大規(guī)模部署成為電網(wǎng)公司重點關注的建設內容。而生產(chǎn)控制信息網(wǎng)絡和管理信息網(wǎng)絡實際面臨的攻擊威脅情況卻并未引起足夠關注。這是由于電力監(jiān)控系統(tǒng)的網(wǎng)絡安全管理與建設實踐很大程度由合規(guī)性驅動，而合規(guī)性驅動的安全防護建設思路存在的弊端非常明顯：一方面，合規(guī)性防護策略只是安全防護的一個重要方面，無法保證動態(tài)變化的電力監(jiān)控系統(tǒng)是安全可靠的，反而會給相關各方造成看似安全的假象，以偏蓋全；另一方面，由合規(guī)性驅動的電力監(jiān)控系統(tǒng)建設，容易出現(xiàn)安全防護設備簡單堆疊、資源浪費，面對跨網(wǎng)跨域的高級持續(xù)性攻擊威脅防護能力弱等問題。

2 新形勢下的電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護對策

基于新形勢下電力監(jiān)控系統(tǒng)面臨的網(wǎng)絡安全風險分析結果，為應對電力監(jiān)控系統(tǒng)中新出現(xiàn)的網(wǎng)絡安全威脅，需要從安全管理制度及人員意識培養(yǎng)、非核心控制類信息資產(chǎn)安全加固、電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護機制等方面考慮提升和改進措施。

2.1 安全管理制度及人員意識培養(yǎng)

首先，安全管理制度是保證電力監(jiān)控系統(tǒng)穩(wěn)定運行的基礎。應建立完善的電力監(jiān)控管理制度，有組織地統(tǒng)籌電力監(jiān)控系統(tǒng)涉及的各個部門和網(wǎng)絡使用單位，保證各生產(chǎn)單位及時有效溝通。同時，實時記錄各環(huán)節(jié)安全防護設備運行狀態(tài)，統(tǒng)一建立系統(tǒng)日志，并安排相關人員定時檢查，保障電力監(jiān)控系統(tǒng)中各類網(wǎng)絡安全事件得到及時妥善處理。在新的安全威脅形勢下，需要對電力物聯(lián)網(wǎng)、云計算平臺和移動App 等應用進行重點管控，一方面，建立嚴格的使用管理制度；另一方面，對電力監(jiān)控系統(tǒng)中應用的新技術、新系統(tǒng)存在的安全風險點進行封控。其次，需要對電力監(jiān)控系統(tǒng)中的新形態(tài)網(wǎng)絡信息系統(tǒng)的運行日志等進行詳細記錄。

2.2 電力監(jiān)控系統(tǒng)中非核心控制類信息資產(chǎn)的安全加固

兩化融合背景下的電力監(jiān)控系統(tǒng)中存在大量非核心控制類信息設備，如門禁管理系統(tǒng)、視頻監(jiān)控系統(tǒng)、電梯控制系統(tǒng)、現(xiàn)場作業(yè)機器人、無人機、中央空調控制系統(tǒng)等，這些設備極大地擴展了與公共互聯(lián)網(wǎng)的連接途徑，也給網(wǎng)絡攻擊入侵者提供了更多的通道。因此，需要從互聯(lián)網(wǎng)連接層面和設備本體層面對非核心控制類信息資產(chǎn)進行安全加固 。

2.3 電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護機制的提升

隨著新技術、新應用的發(fā)展，針對電力監(jiān)控系統(tǒng)存在的安全威脅的防護能力，需在原有安全防護機制的基礎上進行進一步提升。為充分滿足新形勢、新技術的要求，可從基于國產(chǎn)密碼算法的安全防護技術、對勒索病毒的防范、適應性更高的訪問控制、威脅驅動的安全防護能力 4 個維度對電力監(jiān)控系統(tǒng)的安全防護能力進行提高。

2.3.1 基于國產(chǎn)密碼算法的安全防護技術

電力監(jiān)控系統(tǒng)安全防護的重中之重是保護電力生產(chǎn)控制數(shù)據(jù)不被泄露，因此，在電力監(jiān)控生產(chǎn)體系中必須按照有關規(guī)定部署電力縱向加密認證系統(tǒng)。同時，新的網(wǎng)絡攻擊威脅形勢對基于國產(chǎn)密碼算法的安全防護機制提出了新的要求：一是與電力縱向加密認證有關的設備需要盡可能實現(xiàn)全國產(chǎn)化；二是密鑰管理機制需要設計適應更高的容量和更大的規(guī)模；三是縱向加密認證系統(tǒng)的硬件形態(tài)向輕量級、低能耗方向發(fā)展。

2.3.2 對勒索病毒的防范

勒索病毒是攻擊者用來劫持用戶資產(chǎn)或資源以實施勒索的一種惡意程序，對勒索病毒的防范將是新形勢下電力監(jiān)控系統(tǒng)安全防護需要重點關注的內容之一，應從以下幾個方面開展工作：一是對電力監(jiān)控系統(tǒng)中的數(shù)據(jù)資產(chǎn)進行梳理與分級分類管理；二是針對重要數(shù)據(jù)和系統(tǒng)建立備份機制；三是密碼設置應盡量復雜化并定期更換；四是對電力監(jiān)控系統(tǒng)中的資產(chǎn)定期開展風險評估；五是不定期地開展經(jīng)常性殺毒并關閉不必要端口；六是設計強身份認證和權限管理機制。此外，針對電力監(jiān)控系統(tǒng)中重要系統(tǒng)和數(shù)據(jù)的恢復工作，要提前建立符合相關管理要求的第三方安全可靠的信息系統(tǒng)服務商名單。

2.3.3 適應性更高的訪問控制

對電力監(jiān)控系統(tǒng)中的移動互聯(lián)網(wǎng)類應用，要從物理接入、數(shù)據(jù)流動管控、第三方實體管控等角度建立覆蓋終端、網(wǎng)絡和業(yè)務層面的訪問控制能力。在電力監(jiān)控系統(tǒng)廠站管理層面，建議分別在電力監(jiān)控系統(tǒng)各部門建立虛擬子網(wǎng)絡，增加訪問控制機制實現(xiàn)安全隔離，減少四大安全分區(qū)之間的耦合程度。此外，在重點發(fā)電廠和變電站實行雙通信模式，即正常使用調度數(shù)據(jù)通信方式，當網(wǎng)絡安全防護系統(tǒng)發(fā)出高級別警告時，切換為點對點專線模擬通道傳輸重要信息，此方法有助于進一步提升電網(wǎng)容錯率，保證電力系統(tǒng)安全穩(wěn)定運行。

2.3.4 威脅驅動的安全防護能力

當前，電力監(jiān)控系統(tǒng)中的功能裝置及設備呈現(xiàn)數(shù)量多且分布廣的特點，面對大規(guī)模高級持續(xù)性攻擊時，傳統(tǒng)圍墻柵欄式的防護思路難以有效保障電力監(jiān)控系統(tǒng)安全，而威脅驅動的網(wǎng)絡安全模型能夠較好處理這種問題。美國洛克希德·馬丁公司于 2019 年提出了威脅驅動的網(wǎng)絡安全防護方法，該方法能夠較好地將電力監(jiān)控系統(tǒng)中的安全威脅發(fā)現(xiàn)與安全防護協(xié)同起來，提高網(wǎng)絡安全防護的針對性和有效性。

威脅驅動的電力監(jiān)控系統(tǒng)安全防護能力一般包含 5 個模塊，分別為外網(wǎng)威脅態(tài)勢感知系統(tǒng)、內網(wǎng)威脅監(jiān)測系統(tǒng)、縱向安全綜合防護系統(tǒng)、橫向安全綜合防護系統(tǒng)及數(shù)據(jù)共享與融合平臺 。其中，外網(wǎng)威脅態(tài)勢感知系統(tǒng)和內網(wǎng)威脅監(jiān)測系統(tǒng)分別從互聯(lián)網(wǎng)層面和現(xiàn)場設備 / 裝置漏洞層面建立動態(tài)、立體的安全威脅發(fā)現(xiàn)能力。縱向安全綜合防護系統(tǒng)和橫向安全綜合防護系統(tǒng)從訪問控制和數(shù)據(jù)安全角度構建防護能力 ，數(shù)據(jù)共享與融合平臺則能夠在橫向隔離基礎上，實現(xiàn)基于攻擊威脅適應的橫向和縱向安全綜合防護資源間的協(xié)同交換。目前，該模型已經(jīng)在多個公司落地應用，測試結果表明，威脅驅動的網(wǎng)絡安全防護模型有效地提高了網(wǎng)絡系統(tǒng)處理和防護能力。

3 結 語

隨著計算機技術和現(xiàn)代通信技術大量應用于電力監(jiān)控系統(tǒng)，其安全防護不斷面臨新的挑戰(zhàn)。各供電廠和變電站必須遵守電力行業(yè)安全防護原則和要求，做好安全制度建設，培養(yǎng)工作人員網(wǎng)絡安全意識，切實做好威脅風險分析，重點強化邊界防護，同時注重內部物理、網(wǎng)絡、主機、應用和數(shù)據(jù)安全，提高電力監(jiān)控系統(tǒng)整體抗風險能力，保障數(shù)據(jù)不被盜取，打造安全可靠的電力系統(tǒng)。

本文研究了電力監(jiān)控系統(tǒng)在新的安全形勢下存在的網(wǎng)絡安全風險和威脅，分析了針對新威脅形勢的電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護提升途徑。希望能給電力監(jiān)控系統(tǒng)安全防護網(wǎng)絡的建設提供幫助。

引用本文：蔣濤 , 董貴山 , 楊樂怡 , 等 . 新形勢下電力監(jiān)控系統(tǒng)網(wǎng)絡安全風險分析與防護對策 [J].信息安全與通信保密 ,2022(4):79-84.

作者簡介蔣 濤，男，學士，高級工程師，主要研究方向為網(wǎng)絡空間安全；

董貴山，男，博士，研究員，主要研究方向為網(wǎng)絡安全、密碼應用；

楊樂怡，女，碩士，工程師，主要研究方向為信息與通信；

黃妮娜，女，學士，工程師，主要研究方向為工業(yè)信息安全。

選自《信息安全與通信保密》2022年第4期(為便于排版，已省去參考文獻）