天地和兴丨电力系统网络安全及防护研究
发布时间:
2016-11-29
来源:
作者:
访问量:
38
电力系统承担着为国家各行各业提供电能的重要责任和义务,它能否稳定安全地运行直接影响到国计民生,因此电力系统运行的稳定性和安全性一直是电力部门不得不关注和研究的问题。近年来随着信息通信技术和智能电网技术的发展,电力系统遭受网络攻击的概率越来越大,频率也越来越高。
2010年9月,伊朗核电站设施因受震网病毒(Stuxnet)袭击,伊朗宣布暂缓Natanz铀浓缩活动。
2015年12月23 日,乌克兰电力部门遭受恶意代码攻击,造成三个区域停电,影响大约140万人的正常生活。
2016 CyberTech 大会上,以色列能源与水力基础设施部部长Yuval Steinitz披露称在2016年1月25日 ,以色列电力局遭受了一次严重的网络攻击。
此外,由于我国电力系统复杂度高,子系统繁多,且相互依赖性极高,若其中关键应用出现病毒或黑客入侵问题,很可能造成整个生产运营系统的停滞,甚至会影响国家的电力安全。而网络攻击具有成本较低、攻击范围广、攻击对象多、攻击行为隐蔽等优点。因此对于电力系统,网络攻击是一种不可忽视的潜在威胁。通过近年来各国屡屡遭受的网络攻击来看,网络攻击给电力系统带来的后果是非常严重的,甚至严重影响国家的正常运行,因此有必要研究电力系统遭受网络攻击的方式及防护措施。
电力系统网络攻击方式
当今,虽然电力部门实现了电力通信网络的隔离,构建了保证电力系统网络安全防线,但是由于电力系统的重要性和网络攻击的复杂性,在隔离条件下依然对电力系统进行网络攻击也是可能的。我们根据电力系统遭受网络攻击事件统计和多年的电力行业经验,将总结和分析电力系统遭受网络攻击的主要方式。主要从网络攻击原理的不同和网络攻击位置的不同来进行分析。
根据电力系统遭受网络攻击原理的不同,可以将网络攻击方式分为误导数据注入攻击、阻断网络通信攻击、重放网络攻击。下面将对这三种攻击方式进行详细说明。
1.误导数据注入攻击是指攻击者通过网络入侵电力系统向仪表或传感器注入错误的监控数据进而导致电力系统无法正常运行工作。与阻断网络通信攻击和重放网络攻击相比,误导数据注入攻击具有攻击目标多、范围广且防护能力弱等优点。
2.阻断网络通信攻击是指攻击者在电力通信网络上频繁地发送大量的伪造数据包,导致电力系统控制中心与受控的远程终端无法进行正常通信工作,控制中心无法正常接收远程终端的请求,远程终端也无法接收控制中心的指令。这种网络攻击对于电力系统正常运行是致命的。由于这种网络攻击需要时间上的持续性,所以对于具有较高安全防御能力的电力系统来说,被攻击成功的可能性是比较小的。
3.重放网络攻击是指攻击者在网络通信过程中对网络数据流进行监听和分析,然后统计和识别其中重要动作控制指令(如高压断路器跳闸或合闸的控制信号),等待时机,在适当时机重新释放这一条指令,造成类似误操作的事故。这种网络攻击需要对网络信息进行长时间的监听和分析,才能识别其中需要的重要动作网络信号。
根据电力系统遭受网络攻击位置的不同,可以将网络攻击方式分为远距离攻击和本地攻击。下面将对这两种方式进行详细说明:
1.远距离攻击是指攻击者在目标网络外部对目标网络进行攻击,攻击目标一般是电力系统通信网络的远程终端单元。为了达到对电力系统控制中心或其他关键设备的攻击,攻击者不仅需要具备网络技术知识,还需要相关的电力系统知识。
2.本地攻击是指发生在电力数据采集系统(SCADA)或能源管理系统(EMS)内部局域网的网络攻击,这类网络攻击需要物理上接近目标网络,由于电力系统具有完备的物理隔离技术,如果没有内部人员的协助配合攻击,攻击者很难完成攻击任务。
通过上述对电力系统网络攻击方式的研究和分析可知,对于电力系统,网络攻击种类多,危害大,因此有必要研究有关电力系统网络安全防护措施。
电力系统网络安全防护措施
1.主机安全防护系统(主机加固)
在重要终端主机部署主机安全防护软件,对非安全操作系统进行有效的恶意代码防护。通过白名单方式对安全程序进行管理,防范非法程序和应用安装运行以及未经授权的任何行为,同时控制U盘、移动硬盘等移动设备的使用,规范终端用户操作行为。
2.工控安全审计系统
在所需大区旁路镜像部署安全审计系统,通过监测、预警和审计三模块实现对生产控制大区的工控系统和业务的安全状态进行实时监测和安全事件分析,发现网络中的异常,从全局角度进行安全事件实时分析处理,为管理者提供网络安全风险的实时告警性提升工控网络的风险防护深度。
3.电力工控系统信息安全监管与分析平台
在安全二区或信息管理大区部署信息安全管理平台,方便对审计日志集中收集和分析管理,生成相关事件报告,掌握系统整体网络状况,针对收集的日志统一管理,生成可视化的安全态势报告,方便管理员对危险事件进行发现和处理。
4.入侵检测系统
在电厂电力系统与互联网或其他调度网边界分别旁路部署入侵检测系统,将发电厂连接网络的所有通道进行入侵检测,发现异常入侵行为。对缓冲区溢出、 SQL 注入、暴力猜测、 D.o.S 攻击、扫描探测、 蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警,并通过与防火墙联动、 TCP Killer、发送邮件、 安全中心显示、日志数据库记录、运行用户自定义命令等方式进行动态防御,全方位、细粒度分析流量,保障数据安全。
5.帐号管理及运维审计系统
在安全二区或信息管理大区旁路部署堡垒机实现对集控中心的安全防护,对需要远程访问的设备进行统一管理。将所需设备统一添加到堡垒机,限制非相关人员对计算机、网络设备、安全设备等设备的访问,控制相关工作人员的访问行为,并对其操作行为进行记录、审计及告警等,保障远程访问控制大区相关设备的安全性。
总 结:
实现对生产大区网络信息交互的严格管控,严格按照国家有关要求对网络进行整改,从边界防御和边界内部安全防护两方面出发,通过入侵检测、身份认证、加密认证、业务控制、数据保护、审计追踪等技术,逐级控制网络与信息安全风险和隐患,强化和完善现有网络安全防护体系,全面推进工业控制设备的自主可控进程,筑起网络防御的坚实壁垒。从整体上提升发电企业生产控制系统的信息安全管理水平和企业核心竞争能力,为国家关键基础设施的信息安全防护提供有效的防护体系。
下一条:
相关资讯
