抽水蓄能電站工業(yè)控制系統(tǒng)的安全檢測技術(shù)與方法探析

郭獻(xiàn)彬

摘要：抽水蓄能電站作為優(yōu)良的調(diào)峰電源在電力系統(tǒng)中的地位愈發(fā)重要，其工業(yè)控制系統(tǒng)（簡稱工控系統(tǒng)）的設(shè)計和實現(xiàn)較為復(fù)雜，存在的安全缺陷和面臨的安全威脅也比較突出。在等保2.0標(biāo)準(zhǔn)下，抽水蓄能電站工控系統(tǒng)的安全檢測有了更多新的需求?，F(xiàn)通過分析等保2.0對工控安全等級的保護(hù)要求，總結(jié)了抽水蓄能電站工業(yè)控制系統(tǒng)的安全需求，并提出了抽水蓄能電站工控系統(tǒng)安全檢測的核心技術(shù)與方法。

關(guān)鍵詞：抽水蓄能電站;工控系統(tǒng);安全檢測;等保2.0

0 引言

抽水蓄能電站作為一種特殊形式的水電站，具備上、下兩個水庫，利用電網(wǎng)低谷負(fù)荷時的剩余電力，由下庫抽水到上庫蓄能，在電網(wǎng)高峰負(fù)荷時再放水到下庫發(fā)電，以彌補用電高峰時期電力不足的問題[1]。作為調(diào)節(jié)電力負(fù)荷的重要手段，抽水蓄能電站在電網(wǎng)中承擔(dān)了調(diào)峰填谷、調(diào)頻、調(diào)相、事故備用等任務(wù)，可有效提升電力效益，保證電力系統(tǒng)平穩(wěn)運行，在整個電力系統(tǒng)中占據(jù)重要地位。

抽水蓄能電站同時擔(dān)負(fù)發(fā)電和蓄電任務(wù)，機(jī)組運行包括發(fā)電、發(fā)電調(diào)相、抽水、抽水調(diào)相、停機(jī)5種工況，通過復(fù)雜的工控轉(zhuǎn)換靈活應(yīng)對負(fù)荷的急劇變化[2]。抽水蓄能電站的工業(yè)控制系統(tǒng)需根據(jù)當(dāng)前用電發(fā)電需求、水文情況等，精確控制不同工況之間的轉(zhuǎn)換，從而完成發(fā)電抽水的聯(lián)合調(diào)度。相較于傳統(tǒng)水庫工控系統(tǒng)，抽水蓄能電站工控系統(tǒng)的控制場景更加復(fù)雜，實時性、準(zhǔn)確性要求更高。為此，復(fù)雜場景下的抽水蓄能電站工控系統(tǒng)在技術(shù)實現(xiàn)上也更加復(fù)雜，不僅存在更多安全隱患，而且面臨更多安全威脅。一旦抽水蓄能電站工控系統(tǒng)遭受網(wǎng)絡(luò)攻擊，就會引發(fā)電站自身安全問題，甚至可能影響整個電力系統(tǒng)的安全。《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)要求》（GB/T 22239—2019）[3]（簡稱等保2.0）對工控系統(tǒng)提出了等級保護(hù)要求，主動防護(hù)能力逐漸受到重視。抽水蓄能電站工控系統(tǒng)的傳統(tǒng)安全檢測技術(shù)和方法是否能適應(yīng)等保2.0的新需求成為人們備受關(guān)注的問題。

本文將圍繞等保2.0標(biāo)準(zhǔn)對工控系統(tǒng)安全保護(hù)的新要求展開深入分析，總結(jié)抽水蓄能電站工控系統(tǒng)的安全檢測需求，討論可行的工控系統(tǒng)安全檢測技術(shù)，為等保2.0標(biāo)準(zhǔn)下的抽水蓄能電站工控系統(tǒng)安全檢測提供技術(shù)支撐。

1 抽水蓄能電站工控系統(tǒng)

抽水蓄能電站工控系統(tǒng)建設(shè)遵循“網(wǎng)絡(luò)分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”原則，采用層次化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。抽水蓄能電站上層為調(diào)度中心/集控中心，直接接受上層機(jī)構(gòu)下發(fā)的負(fù)荷，并將負(fù)荷合理分配給電廠。電廠收到集控中心/調(diào)度中心的負(fù)荷分配值后，按照庫容、各機(jī)組的振動區(qū)、運行條件等以最優(yōu)的方式分配給各電站，確定各臺機(jī)組所帶的負(fù)荷，并通過機(jī)組現(xiàn)地控制單元（Local Control Units，LCU）、開關(guān)站LCU、閘門LCU等實現(xiàn)自動發(fā)電和抽水，達(dá)到負(fù)荷合理分配的效果。

2 等保2.0下抽水蓄能電站工控系統(tǒng)的安全檢測要求

為適應(yīng)信息技術(shù)發(fā)展新需求，工控系統(tǒng)、云計算、物聯(lián)網(wǎng)等一批關(guān)鍵領(lǐng)域的信息系統(tǒng)被納入等保范疇。工控系統(tǒng)作為國家工業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，直接影響著電力、油氣、水利等關(guān)鍵行業(yè)的生產(chǎn)安全，因此其安全問題備受關(guān)注，且在等保2.0中有著翔實的描述。

等保2.0分為5個保護(hù)等級（第5級略），其對工控系統(tǒng)的等級保護(hù)對象包括SCADA系統(tǒng)、DCS、PLC等，對保護(hù)對象的安全要求包括兩方面：通用安全要求和擴(kuò)展安全要求。通用安全要求關(guān)注共性化保護(hù)需求，擴(kuò)展安全要求則關(guān)注個性化保護(hù)需求。安全要求包括技術(shù)和管理兩部分。

工業(yè)控制系統(tǒng)需要同時滿足通用安全要求和擴(kuò)展安全要求。通用安全要求涵蓋了安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理制度、安全管理機(jī)構(gòu)/中心、安全管理人員、安全建設(shè)及運維等。擴(kuò)展安全要求同樣涵蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全建設(shè)管理等，但加入了工控系統(tǒng)特有的安全要求。隨著保護(hù)等級的提高，每項技術(shù)要求均增加了新的安全需求。本文主要關(guān)注與技術(shù)相關(guān)的等保要求。

通用安全要求和擴(kuò)展安全要求的劃分，涵蓋了傳統(tǒng)物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全等內(nèi)容。其中，安全物理環(huán)境對應(yīng)物理安全，安全通信網(wǎng)絡(luò)和邊界防護(hù)則為網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)安全架構(gòu)、通信安全、邊界防護(hù)、訪問控制、入侵防范、可信驗證等。安全計算環(huán)境覆蓋主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全。主機(jī)和應(yīng)用安全關(guān)注身份鑒別、訪問控制、入侵防范、惡意代碼、可信驗證等。數(shù)據(jù)安全則關(guān)注數(shù)據(jù)完整性、機(jī)密性和數(shù)據(jù)備份等安全需求。

根據(jù)等保2.0相關(guān)內(nèi)容，抽水蓄能電站工控系統(tǒng)安全檢測應(yīng)重點關(guān)注以下4個方面：（1）物理安全，檢測工控系統(tǒng)所處物理環(huán)境是否安全、災(zāi)備系統(tǒng)是否完善;（2）主機(jī)安全，監(jiān)控服務(wù)器、控制設(shè)備及對應(yīng)系統(tǒng)、軟件、固件等是否滿足安全要求，安全防護(hù)措施是否有效;（3）網(wǎng)絡(luò)安全，由安全通信網(wǎng)絡(luò)和安全邊界防護(hù)構(gòu)建的網(wǎng)絡(luò)是否滿足安全需求，是否可抵御不同類型的網(wǎng)絡(luò)攻擊;（4）數(shù)據(jù)安全，數(shù)據(jù)是否存在被泄露和篡改風(fēng)險以及數(shù)據(jù)被篡改后是否可以被用于發(fā)動攻擊，導(dǎo)致電力調(diào)度錯誤?？梢?，安全檢測、數(shù)據(jù)防護(hù)、風(fēng)險評估等已納入等級保護(hù)要求并加以實施，等級保護(hù)將靜態(tài)安全需求轉(zhuǎn)變?yōu)閯討B(tài)安全需求，并在被動防護(hù)中引入主動防護(hù)機(jī)制。

3 抽水蓄能電站工控系統(tǒng)的安全檢測技術(shù)

南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司針對新安全形勢下電力工控系統(tǒng)安全檢測與等保2.0需求，積極探索主動安全檢測技術(shù)，主動挖掘和發(fā)現(xiàn)工控系統(tǒng)中存在的未知安全威脅。抽水蓄能電站工控系統(tǒng)安全檢測技術(shù)主要圍繞物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及安全檢測仿真平臺構(gòu)建等方面展開研究。

3.1? ? 物理安全檢測技術(shù)

物理安全檢測主要根據(jù)安全物理環(huán)境要求展開，主要包括：（1）工控系統(tǒng)所處物理位置的抗震、防風(fēng)、防雨、防水、防潮、防火、防靜電等能力和安全措施檢查;（2）工控系統(tǒng)物理訪問控制能力檢測;（3）工控系統(tǒng)防盜、防破壞等能力檢測;（4）工控系統(tǒng)電力供應(yīng)、電磁防護(hù)等能力檢測。物理安全檢測多為合規(guī)性檢測，可通過多種傳感器、專業(yè)安全檢測儀器等周期性或?qū)崟r展開。

3.2? ? 主機(jī)安全檢測技術(shù)

主機(jī)安全檢測主要對抽水蓄能電站工控系統(tǒng)中的集中監(jiān)控服務(wù)器、數(shù)據(jù)存儲服務(wù)器、LCU操作站、LCU工程師站、控制設(shè)備及運行于其上的操作系統(tǒng)、固件、應(yīng)用軟件等展開安全檢測。由于部分設(shè)備與運行于其上的應(yīng)用緊密耦合，這里將應(yīng)用安全與主機(jī)安全一起討論。面向主機(jī)的安全檢測技術(shù)包括：

（1）設(shè)備識別：由于工控設(shè)備和系統(tǒng)在網(wǎng)絡(luò)中具有相應(yīng)的特定屬性（即指紋），可首先通過主機(jī)存活性探測查看主機(jī)是否正常運行，然后基于指紋識別技術(shù)探測具體的工控設(shè)備或系統(tǒng)。其中，系統(tǒng)/工控設(shè)備指紋獲取[4]是設(shè)備識別研究的重點。

（2）漏洞掃描：針對抽水蓄能電站內(nèi)工控系統(tǒng)及設(shè)備的已知漏洞展開檢測。漏洞掃描一般會建立電站工控系統(tǒng)漏洞庫，并保證定時更新漏洞庫，再基于漏洞庫進(jìn)行定期漏洞掃描及驗證，從而有效檢測系統(tǒng)存在的安全漏洞。

（3）漏洞挖掘：針對抽水蓄能電站內(nèi)工控系統(tǒng)及設(shè)備可能存在的未知漏洞展開檢測。電站關(guān)鍵設(shè)備在入網(wǎng)使用前需進(jìn)行嚴(yán)格的漏洞挖掘檢測，減少0-day漏洞等帶來的安全風(fēng)險。漏洞挖掘測試一般基于模糊測試技術(shù)，構(gòu)建異常數(shù)據(jù)包作為輸入，通過對比實際輸出與預(yù)期輸出差異或查看被測目標(biāo)是否產(chǎn)生宕機(jī)、異常等行為，判斷被測目標(biāo)是否存在漏洞。

（4）漏洞修復(fù)檢測：指操作系統(tǒng)、設(shè)備固件、應(yīng)用軟件通過打補丁方式修復(fù)漏洞后，對修復(fù)后的系統(tǒng)、固件、軟件進(jìn)行安全檢測。一方面驗證漏洞是否被消除，另一方面對已修復(fù)的系統(tǒng)或軟件做進(jìn)一步功能、性能和漏洞挖掘測試，避免在漏洞修復(fù)過程中相關(guān)功能、性能受影響，或由于代碼修改引入新漏洞。

3.3? ? 網(wǎng)絡(luò)安全檢測技術(shù)

網(wǎng)絡(luò)安全檢測一方面檢測網(wǎng)絡(luò)拓?fù)鋮^(qū)域劃分和邊界防護(hù)措施是否滿足等級保護(hù)要求，另一方面通過動態(tài)方式對抽水蓄能電站工控系統(tǒng)的安全防護(hù)能力進(jìn)行檢測。除傳統(tǒng)入侵檢測技術(shù)外，滲透測試也是非常有效的網(wǎng)絡(luò)安全檢測方法。

滲透測試技術(shù)從攻擊者角度對工控系統(tǒng)發(fā)起滲透攻擊，以發(fā)現(xiàn)系統(tǒng)中存在的安全問題。安全檢測人員可通過滲透測試技術(shù)對工控系統(tǒng)的安全網(wǎng)絡(luò)架構(gòu)、訪問控制、邊界防護(hù)、入侵防范、可信驗證等安全防護(hù)能力和檢測能力進(jìn)行有效驗證。但抽水蓄能電站工控系統(tǒng)直接關(guān)系著電力生產(chǎn)和水庫調(diào)度，很難直接實施滲透測試，因而構(gòu)建工控系統(tǒng)安全檢測仿真平臺成為必然需求。

3.4? ? 數(shù)據(jù)安全檢測技術(shù)

除傳統(tǒng)的數(shù)據(jù)機(jī)密性、完整性檢測外，抽水蓄能電站還面臨數(shù)據(jù)注入攻擊的安全威脅，攻擊者通過對電站或某一LCU機(jī)組數(shù)據(jù)采集結(jié)果的篡改，影響電力調(diào)度或電廠內(nèi)部的工況轉(zhuǎn)換。目前，針對虛假數(shù)據(jù)注入攻擊檢測的方法主要包括傳統(tǒng)的主成分分析法、基于卡爾曼濾波的檢測方法、基于人工智能的檢測方法等。

3.5? ? 安全檢測仿真平臺構(gòu)建技術(shù)

工控系統(tǒng)安全檢測仿真平臺構(gòu)建可采用實物、虛實結(jié)合、虛擬化3種方式。實物方式完全按照真實場景1：1復(fù)現(xiàn)工控場景，可準(zhǔn)確還原工控系統(tǒng)受攻擊時的真實情況，但造價昂貴，可擴(kuò)展性和靈活性差;虛擬化方式采用軟件仿真形式構(gòu)建虛擬設(shè)備復(fù)現(xiàn)工控場景，該方式造價低、場景構(gòu)建靈活，但由于虛擬工控設(shè)備無法完全模擬其真實功能，檢測結(jié)果難以真實反映工控系統(tǒng)安全情況;虛實結(jié)合方式將虛擬通用設(shè)備與真實工控設(shè)備相結(jié)合，兼具了實物方式和虛擬方式的優(yōu)勢，因此南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司基于虛實結(jié)合方式構(gòu)建安全檢測仿真平臺，將待檢測設(shè)備、系統(tǒng)部署于仿真平臺上，繼而在平臺上實施漏洞挖掘、滲透測試、數(shù)據(jù)注入攻擊等檢測技術(shù)，從而驗證電站工控系統(tǒng)安全措施的有效性，主動發(fā)現(xiàn)設(shè)備、系統(tǒng)存在的安全問題。

4 結(jié)語

本文圍繞抽水蓄能電站工控系統(tǒng)安全檢測需求，對工控系統(tǒng)在等保2.0中的安全等級保護(hù)要求進(jìn)行分析，基于分析結(jié)果總結(jié)出適合抽水蓄能電站工控系統(tǒng)安全檢測的技術(shù)，為其適應(yīng)等保2.0標(biāo)準(zhǔn)提供技術(shù)支撐。

[參考文獻(xiàn)]

[1] 黃楊梁，邵霞.自動電壓控制在抽水蓄能電站應(yīng)用研究[J].水電與抽水蓄能，2016，2（2）：78-82.

[2] 高建偉，何曉亮，馬依文.抽水蓄能電站工控系統(tǒng)安全防護(hù)探討[J].水電站機(jī)電技術(shù)，2017，40（9）：63-66.

[3] 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求：GB/T 22239—2019[S].

[4] 李沁園，孫歆，戴樺，等.工業(yè)控制系統(tǒng)設(shè)備指紋識別技術(shù)[J].網(wǎng)絡(luò)空間安全，2017，8（1）：60-65.