海外电力工控网络安全规范比较及安全方案探讨

　　摘要：本文系统性地对海外涉及电力工控的网络安全规范的内容进行了梳理和比较，基于海外各个电力安防规范的侧重点不同的情况，结合国内电力系统二次安防的成功实践经验，从安全技术、应急处置、安全管理三个方面探讨了电力监控系统的网络结构、设备本身、行为监测、信任机制、应急处置和安全管理等总体思路，强调了行为安全的重要性，并介绍了基于业务行为特征库的网络安全监测和风险评估做法，最后拟定了适用于海外电力工控的整体网络安全防护方案。

　　关键词：网络安全;电力工控;安全规范;安全方案;海外

　　电力方向论文范文：党建工作对电力企业文化建设的引领作用

　　摘要：电力企业的经营发展离不开党建工作的支撑，现阶段电力企业由于受到外界环境的影响，使得其发生了巨大的变化。这时，对于电力企业而言，就应当加快党建建设的速度，以此来促进企业文化建设。基于此，本文主要研究了党建工作与企业文化建设之间的联系、党建工作对电力企业文化建设的引导等内容做了简要分析。

　　海外电力工控系统相关的网络安全标准比较多，美国欧洲等地都会从不同角度来阐述对电网监控网络安全的要求和主张，国内厂商在应对海外市场的时候往往需求碎片化，难成体系。本文对海外电力监控网络安全的主要标准进行了梳理和解析，并结合国内经验，提炼网络安全的本质需求，从系统结构、设备本身、行为监测、信任机制、应急和管理等方面，探讨说明适用海外的网络安全解决方案。

　　1海外安全规范

　　海外和电力监控相关的网络安全规范主要由北美和欧洲主导，来自IEC、ISO、IEEE等标准机构和政府法规，其中有北美的IEEE-1686、NERC-CIP、NIST-7628，欧洲的IEC-62351、IEC-62443[1]。规范可以大致分为三类：(1)权威标准类：已经成为业界重要参考的IEC和IEEE标准，如IEC-62351、IEC-62443、IEEE-1686。(2)强制执行类：NERC-CIP是北美电力可靠性委员会的文件，具备强制效力。(3)技术指导类：NIST-7628是美国国家标准研究院官方的技术指导文件，没有强制效力。

　　1.1IEC-62351

　　IEC-62351标准是IECT57为电力系统安全运行针对有关通信协议(IEC-60870-5、IEC-60870-6、IEC-61850、IEC-61970、IEC-61968系列和DNP3)而开发的数据和通信安全标准[2]，目标是基于公共网络体系构建加密认证机制，为电力通信提供“端对端”的安全保障能力，包括站内的过程层节点通信、站控层节点通信和主子站通信。IEC-62351的核心内容有四个部分，IEC-62351-3基于传输层安全协议TLS提供基于TCP/IP的身份认证、机密性、完整性，IEC-62351-4提供MMS的安全规范，IEC-62351-5提供IEC60870-5的安全规范，IEC-62351-6提供GOOSE/SV的安全规范。电力监控系统的网络攻击很大部分来自对通信传输协议的窃听、伪装、重放等，而IEC-62351提供的核心防护机制就是通信的身份认证和传输加密。

　　1.2IEC-62443

　　IEC-62443是IECTC65在制定“工业过程测量、控制和自动化”的标准过程中同步制定的“系统及网络信息安全”的标准[3]。IEC-62443主要是描述在工控产品开发、系统集成、实施和运维等全生命周期环节中如何去实现网络安全，并通过要网络安全保证等级SAL全模型来评价相关角色的网络安全能力。IEC-62443中定义的设备供应商、系统集成商、业主的角色以及在全生命周期中的安全交付关系。

　　1.3IEEE-1686

　　IEEE-1686标准是针对IED设备的，目标是建立在电力行业中对IED设备的安全要求和安全特征基线。标准主要内容是定义了IED设备中网络安全的功能和特性，包括设备访问控制、配置、固件修订、安全审计、告警机制以及IED之间的通信加密等。

　　1.4NERC-CIP

　　NERC-CIP是北美电力可靠性委员会NERC对关键基础设施的安全保护规定[4]，主要是针对电网运营的功能实体责任实体，包括电力资产业主、电力传输运营商、设备运营商、设备和系统制造商、系统集成服务商、电网结算单位等，标准主要内容包括技术和管理的要求、监督执行两个层面，在技术和管理上，对产品和系统的电子安全边界的设计和实现、物理访问的识别和监控、端口信息保护、漏洞的检查和管理、日志记录、事件的报告和响应机制、备份和恢复规划、变更的管理、脆弱性评估、供应链管理等，以及人员意识、培训制度、文档资料，在监督执行上，明确适用对象、责任主体、监管机构、证据要求、评估流程、违规程度评价等。

　　1.5NIST-7628

　　NIST-7628是美国国家标准技术研究院发布的“智能电网信息安全指南”，报告分析了智能电网的逻辑结构和信息安全需求，并提出了智能电网信息安全防护的策略和架构，目的在于协助电网领域相关者去识别风险、落实网络安全要求，电网相关者可以包括设备制造商、电网运营商、集成服务商、监管部门、学术机构、标准组织机构等。标准的主要内容为描述智能电网的信息安全战略和具体任务，从安全角度定义智能电网的逻辑架构和接口，对电网涉及者及其行为进行安全建模，构建了“发电、输电、配电、用电、营销、运营、服务”7个域，以及22个逻辑接口。

　　2海外电力工控安全规范的比较

　　从上述海外安全规范可以看到，IEC-62351是技术规范，重点通过加密认证的技术应用解决通信两端的身份认证和数据保密问题，并针对性地给出电力系统常用通信规约的安全规范，也为监控系统的边界内外通信交互提供一种安全防护技术依据。IEEE-1686重点体现了本体安全的思路，包括访问控制、角色权限、日志审计及通信接口等技术，为IED设备如何实现本体安全提供一个规范基础。IEC-62443重点描述了在产品周期各个阶段不同角色的安全交付要求，从设备制造、到系统集成、工程实施、系统运行、直到退役，规范的主要内容是以安全为目标的角色行为模型，更多的是管理范畴，对技术描述不多。

　　NERC-CIP和NIST有点类似IEC-62443，但是描述的是电网运行安全及其涉及的全部角色，而不仅仅是电网产品的制造集成运行，并且NERC-CIP基于法规可执行性的需要，在提出要求的同时给出了监督执行的依据。在NERC-CIP、IEC-62443、IEC-62351等标准中均体现了结构安全的思路，包括多道防御，系统边界防护，安全域划分，加密认证技术等，但各个规范的侧重点还是不同，NIST中有提及到行为监测的安全思路，但是总的来讲行为安全在规范中还是比较弱。在NERC-CIP、NIST中有应急、快速恢复的应急处置的要求，而在IEC-62443、NERC-CIP、NIST中均有关于产品研发的安全管理、集成实施的安全管理等要求。各个电力工控安全规范均比较具体地描述了某一个或一些方面的安全要求，但对从技术、到管理、到应急处置等全方位的网络安全需求，尚缺乏整体的安全防护方案。

　　3海外电力工控安全防护方案的探讨

　　海外电力监控系统的网络结构模糊，监控设备参差不齐，系统网络空间几乎没有监测评估，可信的自我免疫能力非常缺乏、设计上缺乏安全冗余、安全管理缺乏系统性。

　　3.1整体安全方案

　　参考国内对电力系统二次安防有丰富的实践经验，对于设备供应商和系统集成商，需要在用户需求和海外电力工控的规范基础上，从技术、设计、管理等方面梳理出整体解决方案。方案中：(1)安全技术：包括结构安全、本体安全、行为安全、可信免疫几个方面;(2)应急处置：应急包括紧急备用的设计和紧急情况下的处置，设计上考虑关键组件的冗余运行、异地备份，在紧急情况下可以实现层层设防、主备切换、快速恢复等有效处置;(3)安全管理：涉及人、物、集成实施、系统运行等多方面的管理。方案的所有工作都是持续的，在时间上是不断执行、不断检查、不断改进和不断完善的。

　　3.2安全技术架构

　　从设备供应和系统集成的角度，需要一个行之有效的安全技术架构，方案从结构安全、本体安全、行为安全、可信免疫四个点来构建安全防护。结构安全首先需要根据网络组成和业务性质构建安全区，结构安全作为监控系统网络空间内外的边界性防护，承担系统第一道安全防线的责任，包括系统内外边界及防护设计、系统内部安全区设计、安全区边界防护措施、调试维护边界防护措施等。本体安全作为系统的设备防护，是第二道安全防线，负责IED设备本体的安全可靠设计和运行，具有包括监控主机、嵌入式装置、网络交换机、安全设备等。

　　行为安全是对系统网络行为进行监测和评估，包括系统运行网络过程的连接、流量、通信规约等安全监测、以及系统内设备的运行安全状态的监测，同时进行系统运行的网络安全风险实时计算评估，并对运行过程的状态变化和安全事件进行审计。可信免疫是融合到系统各个环节中的可信因子，可信是系统自身安全的本质性设计，从系统内外边界通信的身份认证和传输加密，到系统内部设备之间的可信通信，到设备内部的操作系统启动和应用程序加载的可信，甚至到设备硬件的可靠搭建，以密码认证技术和可信度量为基础，形成系统逐层逐级的信任传递，构建出具有自身免疫能力的信任机制[5]。

　　该综合安全防护技术架构可以形成以下效果：(1)多层次：从系统边界到行为监测、设备本体的多个层次的安全防护，在变电站监控系统范围内层层设防，形成安全累积效应，进一步提高核心防护对象的安全能力;(2)多维度：从空间上的静态部署到时间上的过程监测、从通信过程到数据传输等多个维度来保障安全;(3)主动性：从行为监测和风险评估、可信链传递来实现主动的风险预警和安全免疫。

　　3.3加强行为安全监测和风险评估

　　海外电力工控规范和工程实践，都普遍缺乏对行为安全的支持，为此需要加强系统网络空间行为的实时监测和风险评估。方案在监控系统的站控层部署安全监测设备，连接监控站控层主交换机镜像口获取网络交换原始数据，并连接交换机通过snmp协议获取网络连接情况，从感知、告警、管控、审计四个方面来实时监测网络节点变动、网络流量、主机设备的移动存储接入、运维调试过程等情况。

　　进一步，可以在网络安全监测中加入基于网络节点角色定义和行为特征的安全评估模型，从网络节点的设备角色和系统中节点设备之间的业务网络通信两个方面，来建立特征定义库。各节点角色可以通过解析SCD文件获取，或者单独配置，然后监测网络通信数据、网络行为、网络流量等，通过对各角色通信行为的跟踪，分析网络通讯节点、通讯链路的合法性，对站内网络通讯状态进行分析、核查，实现配置核查、安全审计、网络异常告警等功能。网络安全监测可以对监控网络内部通信行为进行安全监控，及时监测非法设备接入和异常通讯行为，对监控系统的长期运行过程的安全监测和风险评估能起到非常明显的作用，因此可作为海外电力工控安全解决方案中重点增强的环节。

　　4结语

　　国内厂商在进入海外电力工控市场时需要及时理解海外安全规范的要求，并在推出监控产品的同时给出整体安全解决方案，实现业务功能的同时支持结构安全、本体安全、行为安全、可信免疫，甚至推出“监控+安全”的一体化解决方案，将会对监控业务的顺利开展起到明显的支撑作用。

　　参考文献：

　　[1]张浏骅，刘克松.国内外典型工控系统安全标准的概述与思考[J].科技创新与应用，2019(26)：81-82，85.

　　[2]雒佳，徐茹枝，计鹏程.基于IEC62351标准的变电站通信安全问题综述[J].电力信息与通信技术，2018，16(12)：22-28.

　　[3]范科峰，周睿康，李琳，等.工业控制系统信息安全管理标准研究[J].中国信息安全，2016(4)：76-79.