电力行业工控系统安全防护策略
电力系统的安全稳定运行关系着整个社会的稳定和经济发展,为适应全球能源互联网的发展需求,对保障电力工控系统信息安全提出了更高的要求。本文针对电网调度自动化系统的安全需求,从工控终端设备的角度提出了安全防护策略,构建终端底层密码服务、改造基于VxWorks的SSL安全接入、建设终端自身系统安全防护,从而解决电网调度自动化系统加密传输及系统环境的安全防护整体化,构建工控系统安全可信环境,实现电力工控系统物理、网络、终端和数据的多角度、全方面保护。
一、前言
随着电力行业与信息化技术的深度融合以及全球能源互联网快速发展需求,电力工业控制系统获得了前所未有的飞速发展,成为电力行业关键基础设施的重要组成部分。电力工业控制系统主要包括电力企业用于生产、调度、经营、管理的各个业务应用系统,其中有数据采集及监控系统、配网自动化系统、继电保护和故障录波信息系统、电能量计量系统、电力市场交易系统、变电站综合自动化系统等。虽然目前电力工控系统的安全防护技术措施可以有效阻止传统互联网病毒的入侵与传播,但是随着电力行业智能化、互动化发展和网络攻击技术演进的多重影响下,电力工控系统安全正面临着新的挑战,如果出现特殊情况,后果将不堪设想,直接对能源系统等造成重大影响。
二、电力工控系统安全防护现状
我国目前工业控制系统信息安全研究尚处于处于起步阶段,工业控制系统尚不完善,不同行业安全防护能力良莠不齐,潜在的安全风险相当大。电力行业工业控制领域信息安全防护建设积累了一些经验,电力信息监控于数据采集安全防护体系以自主可控的原则,采用信息隔离与交换、纵向加密认证等多项安全防护技术,建立了多项电力工控系统信息安全技术规范和标准,包括工业控制系统信息安全的标准体系架构、工业控制系统信息安全的管理指南、工业控制系统信息安全的测评、风险评估标准、工业控制系统信息安全的防护指南,保证关键系统的安全自主可控,总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略,建立了多技术层面的防护体系,做到了物理、网络、终端和数据的多角度、全方面保护。
三、安全防护策略需求分析
为解决电网调度自动化系统的安全防护问题,满足身份认证、数据加密及保证数据完整性保护策略要求,并同时实现访问控制、数据交换等其他功能,通过建立工控系统防护策略布置可信安全访问网关,建立安全访问区域,实现终端注册、角色访问控制、应用程序管理等功能,支持身份验证、SSL安全访问、访问控制、加密传输和数据交换、IP代理、统一监控等,实现终端设备安全访问控制全过程监控。
3.1 工控系统安全防护功能需求
(1)访问控制:使用基于用户角色的访问控制机制确保信息机密性的基本技术手段。通过基于角色的访问控制机制指导合法用户根据业务需求合理使用数据。
(2)接入控制:确保仅有指定的设备和应用程序才可以连接到系统,并防止非法节点和应用程序访问系统。
(3)数据加密:保证信息机密性的核必技术手段,在数据共享和存储过程中,工控系统防护策略使用密码技术,以确保在各种恶意攻击或操作错误下数据不会被公开。
(4)数据完整性:为了防止系统连接到远程安全监控终端时的威胁,防止上传的集中数据被任意修改改,在传输过程中使用对称数据加密以及MAC保护方式,保护信息的完整性和重要业务数据的完整性。
(5)系统安全管理:保证系统自身、环境以及运行的安全性。
(6)安全存储:保证RTU设备中保存数据的安全性。
(7)安全审计:审计手段作用在于威慑和取证,这是前面各种控制手段的有益补充。
3.2 工控系统安全防护策略总体设计
工控系统安全防护策略主要包括了工控系统终端底层密码服务构建、基于VxWorks的SSL安全接入改造、终端自身系统安全防护建设和系统全程业务安全流程四个方面的需求。
(1)终端底层密码服务构建
主要通过终端嵌入式安全芯片、安全密码算法、及底层密码服务,为整个终端提供底层密码安全服务,其主要功能包括终端设备的数据完整性校验、终端安全加固以及为业务安全控制、综合访问控制、安全管理、事后审计、数据存储安全和访问安全的安全功能提供基础的密码服务等。
(2)基于VxWorks的SSL安全接入改造
用基于数字证书的身份认证,使得接入应用系统的设备是通过认证的设备,使用者也是获得授权的用户。同时在终端采集数据时进行加密,在应用网关处进行数据解密,保证进入配电系统的数据安全。终端安全接入服务层在终端通过已建立的加密隧道来确保数据传输的安全,保证经过安全接入区的数据均实现了认证加密。
(3)终端自身系统安全防护建设
主要是实现设备所需的为业务应用安全控制、访问控制、安全管理、事后审计、数据安全存储等安全功能。通过设备自身系统安全防护的建设,提升系统的整体安全性。终端自身系统安全防护子系统组成示意图如图1所示。
图1 终端自身系统安全防护子系统组成示意图
(4)系统全程业务安全流程
通过实现SSL远程安全接入、配置管理维护等业务安全流程,从而提升系统的整体安全性。
四、安全防护策略实现
端底层密码服务子系统中的安全总片选型和安全算法子模块实现是终端安全改造的基础;证书管理模块和SSL安全接入模块联合起来实现终端设备SSL安全接入的安全改造;终端自身系统安全防护子系统中的权限管理子模块、系统安全营理子模块、安全存储子模块和安全审计子模块是终端自身系统安全防护的安全保障,应用协议安全检查子模块实现业务应用数据的安全检查。工控系统防护策略总体体系架构如图2所示。
图2 工控系统防护策略总体体系架构
4.1 终端底层密码服务实现
在安全算法子模块实现时采用基于安全遊片的SM2算法的签名认证,使安全巧片成为终端设备"信任根";实现基于安全硬件的对称算法加解密运算,用于保证通信数据的机密性。在安全算法子模块实现中,通过调用安全芯片的COS指令,实现签名认证及数据加解密等功能,包括公私钥对导入、签名验证、公钥加解密、数据加解密、摘要运算等操作。
4.2基于VxWorks的SSL安全接入实现
(1)证书管理
证书管理模块实现了基于SM2算法的证书管理,包括读写设备证书、验证服务器证书的合法性、证书解析等。
(2)SSL安全通信与接入
SSL化安全通信模块基于SM2证书,实现了SSL化密钥协商功能,联合证书认证、安全芯片的对称算法加解密,即可实现SSL认证与SSL加密传输等功能。为了实现安全接入的功能,需要实现Socket通信管理、证书管理、密码运算、SSL安全通信协议等子模块。SSL安全接入实现架构如图3所示。
图3 SSL安全接入实现架构
4.3 终端自身系统安全防护实现
(1)权限管理子模块
在权限管理模块中,访问安全STRU的使用者分为两类,系统维护管理员与被授权使用者。
(2)系统安全管理子模块
该子模块的两个主要功能:完整性检查与自诊断功能。
(3)应用协议安全检查子模块
应用协议安全检查子模块用于检查应用协议的数据格式、传输格式、时间校准是否满足协议规约。
(4)安全存储子模块
为了实现敏感数据的安全存储,使用安全芯片对敏感数据(如配置文件、审计日志等)加密存储。
(5)安全审计子模块
该模块实现对安全STRU设备的设备操作与设备访问的事件缓存、审计,并支持报警功能,实现可配置的故障或事件通知功能。
作者:张磊,任职于国网龙岩供电公司
来源:电力设备状态监测
