行业领导|经理人|用户专家|技术专家
行业领导 当前位置: 首页 > 人物 > 行业领导
采用纵深防御策略 确保智能电网信息安全
作者:缪学勤            来源:             发布时间: 2011-07-08
     打印

上海工业自动化仪表研究院教授级高级工程师  缪学勤

 

 

能电网安全关系国家安全

 

电力工业是支撑国民经济和社会发展的重要基础性产业和公用事业。我国目前正处于经济社会持续快速发展时期,对电力工业发展提出越来越高的要求。为了适应新要求,依靠现代信息、通信和控制技术,提高电网智能化水平,建设坚强智能电网,是电力工业积极应对未来挑战的最好选择。智能电网是以通信信息平台为支撑,具有信息化、自动化和互动化特征,实现“电力流、信息流、业务流”的高度一体化融合的现代电网。智能电网构成框架示于图1,其中包括发电、输电、配电和用电等环节。

 

信息社会的正常运转高度依赖于电力的安全,因而智能电网的安全关系国家安全。由于智能电网最大限度地利用信息技术,提高系统的自动化水平,从而使得智能电网的信息安全成为新的关注热点。

 

近年来,黑客攻击工厂企业网络的事件逐年增加。据信息安全事件组织(The Security Incidents Organization)不完全统计,多年来世界各地共发生162起信息安全事件。近几年,美国公开报道的黑客攻击造成巨大损失的事件多达30起。据说,由于各种原因还有很多起事件受害的公司不准报道,保守秘密。其中,20081月,黑客攻击了美国的电力设施,导致多个城市大面积停电,造成了严重的经济损失。20106月,西门子公司首次监测到专门攻击该公司工业控制系统的“Stuxnet”病毒,该病毒利用Windows操作系统漏洞,透过USB传播病毒,并试图从系统中窃取数据。该计算机病毒攻击用于监控电网和其他关键基础设施的西门子工业控制系统。由此可见,自动化企业长期的盈利前景使得一些黑客开始向工业领域渗透,把工业控制系统作为攻击的目标。

 

在这种情况下,美国发电厂和大型电力企业对网络安全特别重视。2009年,美国联邦能源管理局(FERC)正式批准了CIP002CIP009关键基础设施保护8个强制性标准。CIP标准由北美电力保障组织(NERC)负责制定,该标准是对大型电力系统有着深远影响的网络安全标准,标准规定了大型电力系统确保进行安全可靠信息交换所需的最低要求。美国联邦能源管理局向电力企业下达命令:每个发电、输电和配电部门,无论是否属于关键资产部门,都必须在2009年年底之前履行这些条例。电力供应和输配电部门必须采取明确的安全防范措施,以确保持续供电。不符合该标准的情况一经发现,可能被罚以高达每天100万美元的罚款。

 

随着电网智能化、互动化程度的提高和新的通信方式的出现,智能电网信息安全防护难度不断增加,为了应对电力信息安全新的挑战,美国国家标准技术研究院(NIST)于20102月颁布了NISTIR 7628“智能电网网络安全策略和要求”标准。该标准已提交美国联邦能源管理局审核,经过一段时间实践后,将会成为国家强制标准。

 

 

智能电网网络与控制系统

 

建立在发电和用户之间的双向通信网络是智能电网的关键支持系统,它贯穿智能电网各个环节。通信网络的创建使用各种通信路径,包括光纤复合架空线、光纤电缆、光纤复合低压电缆、双绞线、电力线宽带载波、远程多业务传送平台通信、分组传送网、微波和卫星通信以及无线通信技术(如TDSCDMAWiFiZigbee)等。

 

典型智能电网构件及其网络连接的系统框图示于图2。从图中可以看出,构建智能电网网络可以实现家庭智能用电新理念,实时计价、峰谷分时计价、用电信息管理,提高用电效率降低用户用电成本;同时用户还可以采用风能发电、太阳能发电及电动汽车蓄电池等方式向电网输送电能,加快电动汽车的推广,促进节能减排。

 

网络连接可以从最终家庭用户开始,首先连到用电信息采集节点,随后连接到电力企业控制中心,然后连接输电分站和配电分站,最后连接到常规发电厂、新能源发电和大型储能设备,在每个环节都配备了工业控制系统或智能控制器,完成发电、变电、输电和配电控制与管理。图中家庭用户网(HAN)可以包括智能温控器、热水器、智能终端、插电式混合动力汽车(PHEV/储能设备以及太阳能发电等智能电网设备的通信。所有的HAN设备都通过Zigbee或网格无线网连接到智能控制器/计量设备。智能控制/计量设备也通过Zigbee或网格无线网将HAN连接到用电信息采集节点。采集器节点通过Intranet公共通信机制与电力企业通信。电力企业内部的Internet通信包括一个隔离区(DMZ)用于阻止未授权的报文流。很显然,智能电网网络由IT网络、工业网络、电信通信网络和各种无线网络构成。

 

变电站自动化系统主要完成信息采集、测量、控制、保护、计量和监测等基本功能,同时支持电网实时自动控制、智能调节、在线分析决策和协同互动等高级功能。配电自动化系统主要实现配电网运行监视与控制。目前已解决了离线信息、实时配电采集与监控(SCADA)系统与配电自动化系统的集成问题。配电自动化进入了配电网监控与管理综合自动化阶段。

 

根据我国电力监管委员会颁布的“电力二次系统安全防护规定”,电力企业内部业务系统,原则上划分为生产控制大区和管理信息大区。在生产控制大区与管理信息大区之间必须设置专用横向单向安全隔离装置,在生产控制大区与广域网的纵向交接处,应当设置专用纵向加密认证装置或者加密认证网关。在信息外网与互联网之间、信息内网各级网络之间及同级信息内网不同安全区域之间设置防火墙,强化了网络安全防护。但是,在规定中对电网的工业网络和工业控制系统的信息安全未作具体规定。

 

 

智能电网网络信息安全威胁分析

 

智能电网网络信息安全的潜在威胁主要来自黑客攻击、数据操纵(Data manipulation)、间谍(Espionage)、病毒、蠕虫和特洛伊木马等。

 

1)黑客攻击是通过攻击智能电网自动化系统的要害或弱点,使得智能电网网络信息的保密性、完整性、可靠性、可控性和可用性等受到伤害,造成不可估量的损失。黑客攻击又分为来自外部的攻击和来自内部的攻击。

 

来自外部的攻击包括非授权访问是指一个非授权用户的入侵;拒绝服务(DOS)攻击,即黑客想办法让目标设备停止提供服务或资源访问。这样一来,一个设备不能执行它的正常功能,或它的动作妨碍了别的设备执行其正常功能,从而导致系统瘫痪,停止运行。

 

来自内部的安全威胁,主要是由于自动化系统技术人员的技术水平的局限性以及经验的不足,可能会出现各种意想不到的操作失误,势必对系统或信息安全产生较大的影响。

 

严重黑客攻击的性质,已经从单纯的娱乐,扩展到了犯罪、恐怖主义,甚至国家赞助的间谍活动。在这种情况下,智能电网自动化系统必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。

 

2)数据操纵。冒充为自动化系统的授权用户或冒充为系统的组成部分,实施对自动化系统数据的截获、重放或篡改,并导致一种非授权的后果,造成重大损失。

 

3)病毒入侵威胁。计算机病毒是指编制或者在计算机程序插入的破坏计算机功能或者毁坏数据的,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。按传染方式,计算机病毒划分为引导型病毒、文件型病毒以及混合型病毒。计算机病毒的破坏性主要有两方面:一是占用系统的时间、空间资源;二是干扰或破坏系统的运行、破坏或删除程序和数据文件,甚至破坏硬件。

 

4)蠕虫病毒。蠕虫病毒是网络病毒中出现最早、传播最为广泛的一种病毒类型。蠕虫病毒是利用网络缺陷进行繁殖的病毒程序,它们能利用网络从一台设备传播到其他设备,自动计算网络地址,不断自我复制,通过网络发送,造成网络阻塞,使网络服务器不能访问,甚至造成系统瘫痪。

 

5)特洛伊木马病毒。顾名思义木马病毒就是一种伪装潜伏网络病毒,等待时机成熟就出来进行破坏。木马能修改注册表,驻留内存,在系统中安装后门程序,开机加载附带的木马。木马病毒的发作要在用户的设备里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户设备的端口,并可任意控制此计算机设备,进行文件删除、复制和修改密码等非法操作。

 

 

工业网络信息安全转向硬件解决方案

 

1. 网络安全软件解决方案

 

早期,工业自动化系统曾采用办公环境使用的网络安全软件解决方案。软件主要包括杀毒程序,将它们通常安装在基于Windows的控制器、机器人或工业PC上。但是,由于在工厂大多是多种多样设备混合使用,有可能它们之间会产生相反作用,从而影响被保护的系统。例如,某制造工厂在多台工业PC上装了杀毒程序,由于多个杀毒软件执行时进程之间可能会发生冲突,使得工厂的流水线不能起动,造成巨大损失。

 

2. 工业网络安全硬件解决方案

 

由于工业网络安全有更高要求,为了确保工业自动化系统的信息安全,工业网络目前都转向采用基于硬件的防火墙和VPN技术。

 

硬件防火墙主要是在优化过的Intel架构的专业工业控制计算机硬件平台上,集成防火墙软件形成的产品。硬件防火墙具有高速、高安全性和高稳定性等优点。硬件平台一般均采用几百兆甚至上千兆的高速CPU芯片,以多芯片模式工作,个别甚至采用了ASIC芯片来提高系统的处理能力;硬件平台的操作系统一般针对安全需要做了最小化优化,并且结合防火墙这一唯一的功能环境要求在采集数据包的底层驱动上也做了优化。在存储方面,采用Flash存储使系统的关键数据存储相对传统技术在读写速度和稳定性上都有很大提高。另外,加固的设备外壳、标准的设计尺寸以及优化的电源,使硬件防火墙更适用于大型工业生产环境。防火墙主要采用简单包过滤、代理服务和状态检测(Stateful Inspection)三种安全控制技术来控制网络中流量的输入和输出。状态检测技术是包过滤、代理服务技术相结合的产物,兼具系统处理速度快,安全性高的特点,是当前硬件防火墙中比较广泛应用的主流安全控制技术。防火墙的工作模式主要涉及防火墙的安全分区,组网方式,对VPN加密隧道的支持,业务流控制,虚拟子系统设置以及为提高系统可靠性采取的双机倒换保护等内容。在组网方面,硬件防火墙的接口可以工作在透明桥接、路由和NAT三种模式下,路由模式是防火墙普通使用的接口模式。

 

VPNVirtual Private Network)是一种在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统的专网所需的端到端的物理链路,而是架构在公用网络平台(如Internet等)之上的逻辑网络,用户数据在逻辑链路中传输。这种逻辑路径也被称为隧道(Tunnel)。VPN的主要功能是通过隧道或虚电路实现网络互联;数据加密以及信息认证、身份认证;能够进行访问控制、网络监控和故障诊断。VPN可以帮助远程用户、工厂企业分支机构以及供应商等和工厂企业内部网络建立可信的安全连接,并保证数据的安全传输。对于工业自动化系统而言,为了能够保证数据不被窃听,VPN在站点之间建立了一个虚拟通道,数据在这个隧道中传送。这样的机制意味着每个地方所使用的网络协议是无关的。为了保证因特网上的数据传输的安全,在发送之前对数据进行加密,接收者对数据进行解密。在隧道的两端可以连接单个站点或完整的局域网。连接的端点是特殊的VPN网关。为了防止对数据通信的监听或操纵,这些VPN网关使用所谓的隧道协议在协议层对所要传输的数据进行加密。

 

VPN网关与防火墙一样是一类比较成熟的网络安全产品。对于工厂企业自动化系统而言,只有把两种安全产品配合起来使用才能实现一个较完整的安全解决方案。在这方面,有两种做法:一种是VPN网关作为一个独立设备与防火墙配合使用;另一种是菲尼克斯公司采用的在防火墙内集成VPN网关方案。后者具备如下优点:可以保护VPN网关免受DOS攻击;对VPN加密隧道承载的数据可以施加安全控制;可以简化组网路由,提高效率;可以共享用户认证信息;以及有利于统一日志和网络管理。

 

硬件防火墙系统性能在不断提升,除了可以满足高带宽接口环境的要求之外,也为采用多个较小型防火墙的网络环境提供了防火墙设备集成的可能,从而能够实现小型分布式信息安全系统的架构。

 

 

信息安全技术,确保智能电网可靠安全

 

为了提高工业控制系统及其工业通信网络的信息安全性,国际电工委员会制定了IEC 62443“用于工业过程测量和控制的网络与系统信息安全”国际标准,标准规定,工业控制系统分成5层,每层都要采取信息安全防护措施,以构成多层分布式纵深防御体系架构,如图3所示。从图中看出,在第5(企业)层,工厂企业防火墙用于保护整个企业防御Internet的安全威胁;在第3/4(监控)层,管理层到控制系统的具有DMZ隔离区的防火墙用于保护整个控制系统;在第1/2(现场设备)层,分布式安全组件则用于保护诸如PLCDCS等关键设备。

 

根据上述IEC信息安全标准的规定,菲尼克斯电气公司开发了一种新的安全概念,该概念使用三个层面(threestage)安全步骤以满足工业自动化系统的需要,同时考虑了逐渐增加的网络安全要求。三个层面安全措施如下:①用简单的机械保护方法实现访问锁定。②具备IEEE综合安全功能的管理交换机。③具有防火墙和路由器功能的工业安全组件。

 

为此,菲尼克斯电气公司研发了FL MGUARD安全组件,该组件可以使用在这种分布式架构中,它们保护部分系统网络、每一个生产单元或一个单独的自动化设备。FL MGUARD平台是一个独立的系统,该平台可以直接集成到连接至工业网络的工业计算机,若有需要,也可以PCI卡的型式完成集成,如图4所示。FL MGUARD组件基于硬件的安全协议的实现既不需要修改计算机的配置,也不需要定期进行软件升级。相对于被保护系统所使用的处理机和操作系统,它是完全独立的系统。绝不会对系统产生负面影响。

 

由于采用的分布式安全系统架构是为每个工业系统的中央计算机、控制计算机或生产机器人分配一个其自身的安全组件,因而它具有独立的安全等级,并特地配置了访问权和其他方面的中央管理功能。FL MGUARD安全组件使用被其保护的计算机相同的IP地址,因而它不会被入侵者识别,使它很难被发现,从而避免了随之而来的攻击。同时,MGUARD配置了基于Kaspersky Lab技术的病毒扫描器,用于监视数据源以识别协议中的病毒(如HTTPSMTPFTP)。使得工业自动化系统能够全面防御DOSDDOS以及网络病毒的攻击。

 

配备ME45外壳的 FL MGUARD 组件可安装在DIN导轨上,并实现工业防火墙、路由器和VPN三合一集成。集成安全解决方案的基础是运行在硬件实现的网络处理器上的嵌入式Linux OS内核程序,Intel芯片能够实现基于硬件的DES3DESAES加密,并能保证以VPN连接方式穿越防火墙的流通量高达99 Mbit/s70 Mbit/sFL MGUARD RS系列组件提供状态检测防火墙保护、网络路由和NAT地址变换、同时支持IT网络协议(诸如DHCPDNSQOSVLAN等)的主机系统。VPN虚拟专用网性能支持IPsecL2TPPPTP连接;X.509数字证书和PSK身份认证技术;以及DES3DESAES加密技术。

 

为了确保智能电网可靠安全,美国联邦能源管理局已要求智能电网企业严格建立“企业信息安全框架(ESF)”,ESF安全框架指导企业在安全建设之初,即根据业务发展的需要,明确风险状况与安全需求,确立企业信息安全架构的蓝图及建设路线图,根据实际情况和需要选择相应的安全功能组件。顺应上述需求,FL MGUARD网络安全产品系列能够全面提供路由器、防火墙、VPNQoS和入侵检测等支持功能,完成工业自动化系统的信息安全保护,并能通过Internet实现工厂安全的远程诊断和远程维护。采用菲尼克斯电气公司信息安全技术和安全组件系列,我国的智能电网就能设置多道安全防线,提高系统的入侵检测能力、事件反应能力和快速恢复能力,从技术上实施系统的安全防护,形成综合的、立体的网络安全技术防护体系,使得智能电网信息安全走向纵深防御阶段。
 
电气设计与工程应用高级技术论坛
“正泰杯”第六届全国电气工程师...
2012年全国职业院校技能大赛...
2011年全国职业院校技能大赛...
2010年全国职业院校技能大赛...
携先进性和可靠性进军中国
访CISSOID公司营销与业务拓展副总...
沿专业化之路不断前行
访沪光集团有限公司董事长蒋元华&nbs...
以专业和远见 稳步前行
 访霍斯利机械(徐州)有限公...
车联网引发网络承载变革
深圳市委常委、市委统战部部长张...
美科学家发明机器人清漏油 将在...
IDC机器人设计赛登陆中国
研祥AFC系统为世博保驾护航
排行测试数据5
排行测试数据3
排行测试数据2
排行测试数据4
排行测试数据1
网站导航 | 法律声明 | 广告报价 | 关于我们 | 联系方式 | 工作人员登录 | 留言 | 问卷 | 培训 | 高级搜索
Copyright 2010 电气时代网 All Rights Reserved 版权所有
  传真:010-68994786  邮编:100037   地址:北京市百万庄大街22号电气时代杂志社   邮箱:root@eage.com.cn
网站技术支持:北京海市经纬网络技术开发有限公司
京ICP证100778号