电力能源生产信息系统安全防护能力验证与评估方法

蔡蕙敏 周黎辉 吴畅

（贵阳宏图科技有限公司 贵州省贵阳市 550002）

1 研究背景

随着工业与信息化的融合发展，工业与信息技术进入大数据、物联网及互联网+时代，在万物互联的情况下，一些原有的独立网络的生产系统也暴露出了各种形态的隐患。电力能源系统作为基础生产系统，它的正常运行是各行各业各类型生产系统的基础保障，从而电力生产系统的重要性摆到了重中之重的地位。而当前的国际形式和各国之前频发的网络战、网络安全事件无不警醒我们要把信息安全放到国家安全的层面去考虑，综合提高关键信息基础设施的保障能力，通过检查评估等多种形式促建、促改、促防。

2 电力能源生产系统安全性的特点

电力工业具有高度的自动化和发、供、用同时完成的特点。计算机网络技术在电力生产中的应用，使得我们能更合理有效的生产电、供应电，但是我们所依存的电力在生产高效的同时所存在的开放性和共享性，也为恶意攻击创造了条件。电力系统从自然界到我们的工业或千家万户，需要生产电也就是发电、输送电、配送电到各个用户端，这形成了一个长链条的运行系统，任何一个环节出现安全问题就会影响整个电网的稳定运行。电网的信息系统安全出现事故，会影响电力的正常生产到供应，甚至可能导致电网的崩溃和瓦解，给社会造成重大的经济损失，扰乱社会正常秩序，损害国家安全。电力生产系统分为一次系统和二级系统，本文所研究的安全能力和防护主要是针对二次系统环境。

3 电力能源生产系统安全性的难点

电力生产系统分为一次系统和二级系统，本文研究的安全能力和防护主要是针对二次系统环境。二次系统主要分为四个大区，大区分为两类一类是生产控制大区主要为一区生产实施控制大区和二区生产非实时控制大区构成；第二类为管理信息大区，主要有三区生产管理区和四区管理信息区构成。电力系统在各个环节和不同层次具有相应的信息与控制系统，对电能的生产过程进行测量、调节、控制、保护、通信和调度，以保证用户获得安全、优质的电能。每一个环节的安全都至关重要且逐层升级，因此每一层的保护强度不同，目的不同，所采取的防护评估方法也不尽相同。

4 案例分析

4.1 系统基本情况

4.1.1 管理信息系统

ERP 系统：

某发电有限公司ERP 系统主要完成的业务功能有：合同管理、申请基础设施、会计规则、财务管理、人力资源、全面预算管理、项目合同管理、文档管理、燃料管理、项目管理、生产管理等。

4.1.2 生产控制信息系统基本情况

DCS 系统：

DCS 系统采用上海自动化仪表股份有限公司SupMAX800-v2k控制系统，DCS 系统对生产全过程进行集中监视和控制，为保证机组安全停机，设置了机组紧急停机时必要的后备硬手操设备。

4.2 检查情况汇总

4.2.1 管理信息系统

4.2.1.1 ERP 系统

（1）安全问题风险评估：

通过对关联资产的产生危害的程度来分析判定风险等级，风险分为高中低三级以下以列表形式给出风险分析情况。

其中最大安全危害（损失）结果应结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等进行综合分析。（详见表1）

表1：管理信息系统安全问题风险分析表

（2）主要安全问题：

1.信息机房有供热水管穿顶而下，热水管如果发生爆裂会对网络设备、服务器及相关设备造成损坏。

2.信息机房无防盗报警系统,机房设备会有非授权访问或被盗窃的风险。

3.机房有火灾自动消防系统，能够自动检测火情、自动报警，但灭火物质不适合机房。缺少自动灭火功能，当机房管理人员脱岗事存在机房服务器，能发生灭火不及时火情蔓延升级。

4.机房无水敏感检测仪表和报警系统,当发生水渗透事故时，不能及时发现情况，不能把损失降到最低。

5.防火墙集成了多种功能，且没有双备份冗余，升级功能即将到期。

6.主机安全方面，身份鉴别未采用两种以上组合的身份鉴别技术。

7.应用安全方面，身份鉴别未采用两种以上组合的身份鉴别技术。

8.管理安全方面，数据备份没有采取异地存储措施。

（3）问题处置建议：

1.信息机房有供热水管穿顶而下，建议对热水管进行禁用或对热水管进行改道不经过信息机房。

2.信息机房无防盗报警系统，应尽快请专业的安防公司安装防盗报警系统。

3.信息机房配备置专业的机房自动消防系统。

4.尽快购新的防火墙，且双机冗余。

5.身份鉴别除了采用账号识别，还可采取令牌鉴别加帐号识别，采用双认证。

6.对重要的数据采取异地存储备份措施。

4.2.2 生产控制信息系统

4.2.2.1 安全问题风险评估

其中最大安全危害（损失）结果应结合安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等进行综合分析。（表略）

4.2.2.2 主要安全问题

（1）工程师站属于生产控制信息系统，并对现场的生产数据采集的分析，属重要场所，应加双门禁，但未安装。

（2）工程师站机房属重要场所，但未加装防盗报警系统。

（3）工程师站无水敏感检测仪表和报警系统,当发生水渗透事故时，不能及时发现情况，不能把损失降到最低。

（4）DSC 网络中无旁路审计设备，无法检测流量异常。

（5）工程师站无工业防火墙。

（6）主机安全方面，身份鉴别未采用两种以上组合的身份鉴别技术。

（7）应用安全方面，身份鉴别未采用两种以上组合的身份鉴别技术。

（8）管理安全方面，数据备份没有采取异地存储措施。

4.2.2.3 问题处置建议

（1）工程师站应安装双门禁。

（2）工程师无防盗报警系统，应尽快请专业的安防公司安装防盗报警系统。

（3）工程师应配置工来防火墙，且双机冗余。

（4）DSC 网络中配置旁路审计设备。

（5）身份鉴别除了采用账号识别，还可采取令牌鉴别加帐号识别，采用双认证。

（6）对重要的数据采取异地存储备份措施。

5 检查方法总结

5.1 网络全局检查

主要采用工业控制系统指纹扫描、资产发现的手段和作为验证工控系统防护能力的主要技术手段，在检查的过程中可能涉及到以下内容（包括但不限于）：

（1）工控软硬件的资产发现；

（2）已有资产的脆弱性分析；

（3）已有脆弱性的影响的离线验证。

5.2 远程检测

主要针对业务系统，采用人工安全性检测和使用安全扫描工具对被检测对象进行安全漏洞扫描相结合的检查方式，全面查找发现被检测目标的安全漏洞信息，并对发现的漏洞进行人工核实，确保不会由于检查人员的个体差异造成误报。

5.3 本地检查

本地检查主要对一些需要在现场上机进行实际检查与确认的信息进行核实，以及对某些访谈和文档审核的内容进行核实。

检查人员通过对被检查对象进行观察、查验、分析等活动，获取证据以证明系统安全的保护措施有效的一种方法，检查针对被查单位情况开发相应检查表和并采用安全检测工具检测、核实安全情况。

对被检测系统可通过技术手段对工控系统中关键区域的恶意访问、病毒传播、木马链接等隐性高风险进行检查发现。同时，可对被检测对象进行异常流量分析，发现安全隐患。检查不限于有线网络，同时需要对本地无线网络的安全进行检查。

5.4 现场安全性检查

现场安全性检查包括功能检查、性能检查以及渗透测试，主要针对被检测系统的功能及性能方面进行检查，验证被检测系统的功能及性能符合要求；以及从操作系统、数据库系统、应用系统及网络设备等方面可能存在的漏洞及弱点出发，对网络及系统进行渗透性测试，检查网络系统的安全防护有效。

现场安全性检查，要求检查人员具备一定的网络安全工作经验，要掌握网络安全法规标准、现场技术核查能力，必须对各种厂家安全设备、操作系统、开发语言都了解，还要实时更新最新安全漏洞发布情况。总体来说现场检查人员的能力和经验会直接影响本次检查的质量。

5.5 访谈调研检查

通过检查人员与被检查对象的相关人员进行交谈和问询，了解系统管理和安全管理方面的一些基本信息，并对一些检查内容及其文档审核的内容进行核实。通过检查表、人员访谈、人工核查、文档查阅等手段，了解安全管理弱点，对被检查企业的安全管理体系、安全运维过程等方面，对比《工业控制系统信息安全防护指南》要求进行检查。