楠木軒

安全419業界:如何避免「至暗時刻」的到來 電力行業安全攻堅有道

由 仝海燕 發佈於 科技

電力是國家的能源和經濟命脈,其安全穩定運行關係到經濟發展,維繫國家安全。
僅在2019年,國際上就有多個國家和地區遭遇過短暫的“至暗時刻”。
3月,委內瑞拉相繼發生兩次大規模停電,全國18個州電力供應中斷;
6月,阿根廷電力互聯繫統癱瘓,並波及烏拉圭、巴西南部和部分智利城市;
7月,美國紐約曼哈頓發生停電,時代廣場、百老匯等大片區域陷入黑暗;
8月,英國英格蘭和威爾士區域遭遇斷電,各種交通停運,近100萬人在高峯時段受影響;
10月,美國加州最大能源公司PG&E啓用“公共安全停電”,影響80萬用户,招致各方質疑。

<spanclass="bjh-image-caption center">英國停電事件致倫敦交通停運

在這些事件中,委內瑞拉大停電的原因是由於該國最大的古裏水電站遭到網絡攻擊而發生重大事故,據報道稱該水電站滿足了委內瑞拉80%的電力需求,而阿根廷電力互聯繫統癱瘓事件發生後,該國政府也表示該事件極有可能是網絡攻擊所致。
通過網絡攻擊電力設施的歷史並不久遠,2015年12月23日那場發生在烏克蘭伊萬諾-弗蘭科夫斯克州的數十萬户大停電事件,事後證實該事件是遭到黑客攻擊導致,並被安全公司iSight Partners錄為全球歷史上首起因網絡攻擊而導致電網大規模停電的事件,堪稱里程碑。
儘管在客觀上,我們無法將所有的大範圍停電事件都歸咎於網絡攻擊,但是從安全的角度上看,電力行業防範網絡攻擊仍是非常必要,因為大範圍停電本身造成的經濟、社會影響等方面的損失往往都是巨大的,而這些損失不會計較緣由是來自於網絡攻擊還是設備故障,對於行業而言,降低甚至避免損失是最重要的,尤其在當前正處在新基建大潮趨勢下,做好網絡安全必然會成為其中的重要一環
千里之堤潰於蟻穴
發電、輸電、變電、配電,電力產業從電能產生到輸送到户涉及到多個環節和多套系統,現代電網需要採用精妙而複雜的策略,去平衡控制每個環節的產能和全社會對電力的需求。這其中任何一個部分都可能被黑客盯上:
發電廠——把電網中的電流想象成高速公路上行駛的汽車,正常情況下車速趨同運行良好,電流也一樣,只要頻率符合其要求數值即可。一旦病毒攻擊使發電機輸出的電流與電網其餘部分的電流差半拍,就好比高速行駛的汽車突然掛了倒擋,後果相當慘烈。
變電站——在一些變電站,工作人員使用撥號的調制解調器進行操作,這些裝置也成為黑客潛入系統的關口。黑客利用惡意的撥號程序,可以撥打一部交換機系統內的所有號碼,並記下調制解調器的回應信息。舉個例子,某條包含斷路器功能的回應被黑客捕獲,並依此改動了設備配置,在斷路器應該跳閘以保護設備的某個危險情況下,系統卻失控毫無反應,損失可想而知。
控制站——作為整個電網的神經中樞,控制站掌握着發電供電全流程的實時信息,這也是工作人員採取決策的重要依據。黑客可以通過釣魚郵件、系統漏洞、DDoS等方式入侵接入了互聯網的業務端,並利用業務端與運行端之間的連接潛入最關鍵的控制系統。想象一下,黑客驅使龐大的殭屍網絡破壞系統,網絡擁塞導致技術人員接收到早已過時的信息,其作出的決策就好比依照10秒鐘以前的路況來開車,危險不言而喻。
配電所——在電流進入大樓、小區前之前,配電所通常會把來自不同電站的電力匯合起來,再通過數十條乃至數百條較小的線路輸送到户。配電所多裝備有無線通信設備,通過無線電信號或WiFi進行通信。黑客可以攔截傳輸的信息,並模擬合法指令進行一系列的破壞活動。
而以上只是偌大的、複雜的電網系統會面臨的安全威脅的幾個零星側面。隨着泛在電力物聯網建設的推進,“大雲物移智鏈”等現代技術的應用與融合,智慧工廠浪潮下的安全威脅正在越來越突出。
電力安全攻堅有道
在我國,《電力監控系統安全防護總體方案》《電力監控系統安全防護規定》《GB/T 36572—2018電力安全監控系統防護導則》等文件對電廠安全防護作出明確要求。2019年,等保2.0實現了對工業控制系統的覆蓋,《工業互聯網綜合標準化體系建設指南》《工業互聯網企業網絡安全分類分級指南》的出台,讓引導效應凸顯。從我國2019年工業信息安全行業應用情況看,電力行業的市場佔比達到41%,位居榜首。

<spanclass="bjh-image-caption ">數據源於《中國工業信息安全產業發展白皮書(2019—2020年)》

安全419(anquan419.com)徵集了部分工業信息安全企業針對電力行業的安全解決方案,以期為電力工業企業的安全建設提供一定的參謀。
威努特電力行業解決方案
作為深耕工控安全領域的企業,威努特提出以工業網絡安全“白環境”為核心的整體解決方案,構建覆蓋火電、水電、風電、光伏及核電等所有發電形態的網絡安全建設解決方案,併成功應用於大唐托克托發電廠、烏東德電站、漫灣水電站、丹江口水利樞紐等400多家重點電力企業。
以桑河二級水電站項目為例,作為“一帶一路”和柬埔寨能源建設的重點項目,在深度調研水電站自身工業現場情況後,威努特以“白環境”解決方案為核心,結合安全防護類、安全監測審計類、安全管理類等五大類多款自主研發產品,以“一箇中心,三重防護”的防禦體系,為桑河二級水電站提供一套縱深防禦體系網絡安全解決方案。
方案實現了生產區域內各業務系統之間的邏輯隔離和安全防護,阻止來自區域之間的越權訪問,入侵攻擊和非法訪問;實現對上位機、工程師站、各系統服務器系統的安全加固,通過白名單機制構建安全基線,防止病毒木馬、惡意軟件對系統的破壞;實現對整體網絡的入侵檢測及審計,及時發現網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象;實現對所有工控安全防護設備及系統的統一管理,降低了運行維護成本。
木鏈科技電力行業解決方案
木鏈科技作為專注於工控系統攻防技術研究、安全產品開發的後起之秀,依據國家及電力行業“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”的防護要求,基於典型火電廠電力監控系統網絡現狀,提出柵格狀縱深安全防護體系。
以國網某審計研發項目為例,現有電力網絡以邊界防護技術為主,缺乏對站內的安全防護建設,智能變電站存在資產管理不清晰、缺乏有效的工控協議審計、缺少工控安全流量基線、無法有效檢測到攻擊行為等安全隱患。
項目在原有審計平台基礎上進行二次開發,工具具備行為視圖、可信基線、黑名單、資產視圖、資產管理和告警中心六大核心功能。採用模塊化技術架構,各應用模塊松耦合,多維度告警,通過對SCD (全站系統配置)文件進行學習,設備信息、IED與neighbor的連接關係進行解析,生成關係圖描述文件。對各場站內全部資產之間信息交互行為,以及特定資產信息交互行為詳情用行為視圖方式展現。
該項目通過SCD文件解析以及自定義模塊對接,構建網絡安全威脅分析發現平台。平台通過可視化數據模型和數據交互信息繪製數據交互拓撲,同時完成了事件日誌、基線管理、安全審計、白名單及自學習、可視化等模塊的功能開發,充分滿足智能變電站網絡安全防護需要。
烽台科技電力行業工業網絡安全靶場
烽台科技專注於提供工業信息安全服務。針對伴隨新技術而出現的安全問題,烽台科技通過虛擬化技術及仿真技術重現真實工業網絡節點及鏈路,打造電力行業各環節工業系統應用場景的安全研究環境,依託工業網絡靶場,以完成網絡空間工業網絡體系規劃論證、能力測試評估、產品研發試驗、產品安全性測試、人才教育培養等任務。
以某省電科院工業網絡靶場建設項目為例,此前該單位主要通過將PLC等各類工控設備與實際工藝連接進行安全研究,一方面維護較為麻煩,組網方式繁瑣且成本較高;另一方面,無法利用各類設備開攻防演練、人員培養、風險評估等活動。
烽台科技電力行業工業網絡靶場建設項目橫向覆蓋發(火電)、變、配、用、調的電力工控仿真環境,支持各類工控設備無縫接入,安全研究場景構建啓動不高於1分鐘,極大提高了安全研究效率。
依託工業網絡靶場可開展攻擊影響模擬驗證、審查評估、漏洞挖掘、攻防對抗、裝備防護能力驗證及應急響應等,可提高安全人員安全防護能力;並通過安全防護策略的測試驗證,有效提升全網安全防護設備利用率,節約上千萬規模的安全防護成本;針對電力行業工業控制系統應用開展攻擊影響驗證、漏洞挖掘、安全防護驗證,有效減少電力工控設備漏洞暴露數量,提高行業安全防護水平,極大程度地降低安全事件發生的概率,杜絕電力系統癱瘓等情況出現。