變電站綜合自動化系統(tǒng)工控網(wǎng)絡安全解決方案V10

1、北京匡恩網(wǎng)絡科技有限責任公司二零一五年變電站綜合自動化系統(tǒng)工控網(wǎng)絡安全解決方案目 錄第一章 工控網(wǎng)絡安全概述11.1工控網(wǎng)絡安全背景11.2工業(yè)控制系統(tǒng)信息安全現(xiàn)狀11.3 工業(yè)控制系統(tǒng)的安全漏洞21.4 工控網(wǎng)絡安全對抗的前沿41.5 小結4第二章 行業(yè)現(xiàn)狀52.1行業(yè)背景52.2國內(nèi)外工控安全標準和規(guī)范52.3 變電站綜合自動化系統(tǒng)特征92.4網(wǎng)絡現(xiàn)狀102.5 威脅分析10第一章 工控網(wǎng)絡安全概述1.1工控網(wǎng)絡安全背景目前工業(yè)控制系統(tǒng)己廣泛應用于電力、軌道交通、石油化工、高新電子、航空航天、核工業(yè)、醫(yī)藥、食品制造等工業(yè)領域，其中超過80%的涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)

2、自動化作業(yè)。工業(yè)控制系統(tǒng)已經(jīng)成為國家關鍵基礎設施的重要組成部分，工業(yè)控制系統(tǒng)的安全關系到國家的戰(zhàn)略安全。從國際情況來看，隨著全球經(jīng)濟一體化進程的加速，工業(yè)信息化及物聯(lián)網(wǎng)技術高速發(fā)展，以往相對封閉的工業(yè)控制系統(tǒng)也逐漸采用通用的通信協(xié)議、硬軟件系統(tǒng)，部分工業(yè)控制系統(tǒng)也能夠以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡，越來越多的工業(yè)控制系統(tǒng)暴露于互聯(lián)網(wǎng)上。由于工業(yè)控制系統(tǒng)廣泛采用通用軟硬件和網(wǎng)絡設施，以及與企業(yè)管理信息系統(tǒng)的集成，導致工業(yè)控制系統(tǒng)越來越開放，并且與企業(yè)內(nèi)網(wǎng)，甚至是與互聯(lián)網(wǎng)產(chǎn)生了數(shù)據(jù)交換。傳統(tǒng)信息網(wǎng)絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也正在向工業(yè)控制系統(tǒng)擴散。根據(jù)美國國土安全部的工業(yè)

3、控制系統(tǒng)網(wǎng)絡應急響應小組（ICS-CERT）的統(tǒng)計，從2012年10月-2013年5月，該組織響應的針對關鍵基礎設施的攻擊報告已超過200起，已超過2012年全年，其中能源領域111起，占53%，關鍵制造業(yè)32起，占17%，而2011年10月-2012年9月一年中，該數(shù)據(jù)為198起，能源82起（41%），關鍵制造8起（4%），呈明顯的上升趨勢。1.2工業(yè)控制系統(tǒng)信息安全現(xiàn)狀我國關系國計民生的重點行業(yè)工業(yè)控制系統(tǒng)信息安全問題異常突出，具體表現(xiàn)為如下幾個方面：Ø 現(xiàn)有系統(tǒng)門戶洞開、未建立安全防線傳統(tǒng)工業(yè)控制系統(tǒng)封閉運行，產(chǎn)品設計安全意識薄弱，基本未考慮安全防護，也沒有形成針對工業(yè)控制的安

4、全產(chǎn)品和技術。隨著工業(yè)控制系統(tǒng)越來越多地采用公開協(xié)議、接入互聯(lián)網(wǎng)，通用信息系統(tǒng)安全問題蔓延到工業(yè)控制系統(tǒng)，而現(xiàn)有工業(yè)控制系統(tǒng)基本處于沒有任何信息安全防護措施的局面。Ø 產(chǎn)品和服務主要國外廠商提供，產(chǎn)品普遍存在“帶病上崗”現(xiàn)象據(jù)工信部相關部門統(tǒng)計：22個行業(yè)900套工業(yè)控制系統(tǒng)主要由國外廠商提供產(chǎn)品，相關系統(tǒng)運維也由廠商直接接管，存在漏洞的國外工業(yè)控制產(chǎn)品大量應用于我國重點領域工業(yè)控制系統(tǒng)，在數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）中分別占據(jù)了55.12%、53.78%及76.79%的份額，在大型可編程控制器（PLC）中則占據(jù)了94.34%的份

5、額。Ø 缺少工業(yè)控制系統(tǒng)信息安全仿真驗證環(huán)境工業(yè)控制系統(tǒng)多為實時在線系統(tǒng)且影響重大，不易進行安全故障分析排查、產(chǎn)品檢測和替換、解決方案驗證等工作的開展。1.3 工業(yè)控制系統(tǒng)的安全漏洞大多數(shù)控制網(wǎng)絡中在運行的電腦，很少或沒有機會安裝全天候病毒防護或更新版本。另外，控制器的設計都以優(yōu)化實時的I/O功能為主，而并不提供加強的網(wǎng)絡連接安全防護功能力。由于PLC等控制系統(tǒng)缺乏安全性設計，所以PLC系統(tǒng)都是非常容易受到攻擊的對象，一般的黑客初學者很容易就能獲取入侵這些系統(tǒng)的工具。并且當前國家基礎實施控制系統(tǒng)基本上被國外廠商壟斷，設備都存在漏洞和固件后門。核心技術受制于人，增加了諸多不可控因素。&

6、#216; 通信協(xié)議漏洞兩化融合（企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)絡）和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP 協(xié)議和OPC 協(xié)議等通用協(xié)議越來越廣泛地應用在工業(yè)控制網(wǎng)絡中，隨之而來的通信協(xié)議漏洞問題也日益突出。例如，OPC Classic 協(xié)議(OPC DA, OPC HAD 和OPC A&E) 基于微軟的DCOM 協(xié)議，DCOM協(xié)議是在網(wǎng)絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC 通訊采用不固定的端口號，導致目前幾乎無法使用傳統(tǒng)的IT 防火墻來確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)。Ø 操作系統(tǒng)漏洞目前大多數(shù)工業(yè)控制系統(tǒng)的

7、工作站、服務器都是Windows 平臺的，為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，通常現(xiàn)場工程師在系統(tǒng)運行后不會對Windows 平臺安裝任何補丁，但是存在的問題是，不安裝補丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。Ø 安全策略和管理流程漏洞追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動存儲介質(zhì)包括筆記本電腦、U 盤等設備的使用和不嚴格的訪問控制策略。Ø 殺毒軟件漏洞為了保證工控應用軟件的可用性，許多工控系統(tǒng)工作站和服務器通常不會安裝殺毒軟件。即使安

8、裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發(fā)大規(guī)模的病毒攻擊，特別是新病毒。Ø 應用軟件漏洞由于應用軟件多種多樣，很難形成統(tǒng)一的防護規(guī)范以應對安全問題；另外當應用軟件面向網(wǎng)絡應用時，就必須開放其應用端口。因此常規(guī)的IT 防火墻等安全設備很難保障其安全性?；ヂ?lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如軌道交通、污水處理廠、天然氣管道以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。&#

9、216; 多個網(wǎng)絡端口切入點在多個網(wǎng)絡事件中，事由都源于對多個網(wǎng)絡端口進入點疏于防護，包括USB鑰匙、維修連接、筆記本電腦等。Ø 疏漏的網(wǎng)絡分割設計實際應用中的許多控制網(wǎng)絡都是“敞開的”，不同的子系統(tǒng)之間都沒有有效的隔離，尤其是基于OPC、MODBUS等通訊的工業(yè)控制網(wǎng)絡，從而造成安全故障通過網(wǎng)絡迅速蔓延。1.4 工控網(wǎng)絡安全對抗的前沿目前國內(nèi)工控網(wǎng)絡安全市場上參與廠家基本包括：工控系統(tǒng)產(chǎn)品廠家、IT行業(yè)的信息安全產(chǎn)品廠家、IT行業(yè)的測試檢測單位。工業(yè)網(wǎng)絡安全產(chǎn)品包括：工業(yè)網(wǎng)閘、工業(yè)網(wǎng)關、工業(yè)防火墻產(chǎn)品。但針對目前變電站綜合自動化廠家所提供的網(wǎng)絡安全保護產(chǎn)品，更多的是基于工業(yè)協(xié)議、數(shù)

10、據(jù)流設置白名單實現(xiàn)所謂的網(wǎng)絡安全防護，并沒有部署真正意義上的安全策略，比如大部分產(chǎn)品缺乏身份認證機制、攻擊檢測機制、訪問機制、漏洞檢測機制等。甚至多數(shù)工控網(wǎng)絡保護產(chǎn)品移植于信息網(wǎng)絡安全領域，為IT產(chǎn)品的再包裝，功能完全不適用于工控網(wǎng)絡。傳統(tǒng)的防護手段已經(jīng)無法防御不斷升級的攻擊，多數(shù)傳統(tǒng)信息安全防護手段在工控網(wǎng)絡中已經(jīng)成為“皇帝的新衣”。如今應用于工控領域的主流產(chǎn)品多是國外幾年前研制的工控網(wǎng)絡防護產(chǎn)品（如多芬諾OPC Enforcer）和手段已經(jīng)無法有效地防御像Havex這樣APT2.0時代的威脅。國內(nèi)工控網(wǎng)絡安全產(chǎn)業(yè)在起步階段，問題是多數(shù)廠商還沒有追上國外多芬諾的水平。目前的工控網(wǎng)絡安全產(chǎn)品落

11、后于工控網(wǎng)絡安全對抗的前沿。1.5 小結工控網(wǎng)絡安全防護需要覆蓋變電站綜合自動化系統(tǒng)整個生命周期的解決方案。包括針對工控設備特點的，覆蓋主要工控協(xié)議和豐富檢測方法并支持未知協(xié)議的檢測工具。具備自動學習、自動適應，自動生成防御策略的工業(yè)等級的全網(wǎng)安全監(jiān)控的保護系統(tǒng)。全面覆蓋GE、西門子、施耐德等全球主流廠商設備的安全數(shù)據(jù)庫（包括設備漏洞庫、網(wǎng)絡模型庫、設備風險統(tǒng)計）。同時，必須向基礎設施企業(yè)提供漏洞挖掘、滲透攻擊、安全策略、技術培訓的全方位安全服務。第二章 行業(yè)現(xiàn)狀2.1行業(yè)背景電力行業(yè)是應用信息技術較早的行業(yè)之一，信息技術在電力工業(yè)的應用起始于六十年代初。從應用的過程來看可分為三個階段，第一個

12、階段在六七十年代，電力工業(yè)的信息技術應用從生產(chǎn)過程自動化起步，首先應用在發(fā)電廠自動監(jiān)測/監(jiān)制以及變電站自動監(jiān)測/監(jiān)控方面。第二階段是八十至九十年代的專項業(yè)務應用階段，即電網(wǎng)調(diào)度自動化、電力負荷控制、CAD/CAM等應用開始深入廣泛開展，某些應用達到了較高的水平；管理信息系統(tǒng)（MIS）已經(jīng)開始起步，但應用水平還比較低。第三階段從二十世紀九十年代開始，即信息技術應用進一步發(fā)展到綜合應用，由操作層向管理層延伸，實現(xiàn)管理信息化，建立各級企業(yè)的管理信息系統(tǒng)；同時其他專項應用系統(tǒng)也進一步發(fā)展到更高的水平。到目前為止，電力系統(tǒng)的規(guī)劃設計、基建、發(fā)電、輸電、供電等各環(huán)節(jié)均有信息技術的應用。各級電力企業(yè)在發(fā)電廠

13、計算機控制、變電站自動化、電網(wǎng)調(diào)度自動化、電力負荷管理、管理信息系統(tǒng)、計算機輔助設計、計算機仿真、科研試驗等領域有了一定的應用，在發(fā)電廠計算機控制、電網(wǎng)調(diào)度自動化方面取得了較高的水平。變電站是電力系統(tǒng)發(fā)、輸、配電工程不可缺少的環(huán)節(jié)。變電站的安全運行是電力系統(tǒng)安全運行的重要組成部分，如果變電站發(fā)生事故會直接影響電網(wǎng)的安全運行，迫使電力系統(tǒng)的運行方式發(fā)生變化，嚴重時會導致供電中斷，造成大面積停電。變電運行工作平凡而責任重大，確保變電站設備的安全運行是變電運行工作的重中之重。2.2國內(nèi)外工控安全標準和規(guī)范1990年代以來，各生產(chǎn)廠商為提高各自控制系統(tǒng)的性能以及降低生產(chǎn)成本，開始采用通用IT硬件以及T

14、CP/IP協(xié)議。自步入21世紀，有數(shù)據(jù)顯示工控系統(tǒng)網(wǎng)絡安全事件開始急劇增加。這引起了一些國家和組織的重視，他們相應出臺了一些工控系統(tǒng)網(wǎng)絡安全指南和規(guī)范。例如，美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）在2006年發(fā)布了NIST SP800-82工業(yè)控制系統(tǒng)安全指南；國際自動化學會（International Society of Automation，ISA）在2009年出臺了ANSI/ISA-99.02.01-2009工業(yè)自動控制系統(tǒng)安全：構建工業(yè)自動控制系統(tǒng)安全方案；國際電工委員會（Internatio

15、nal Electrotechnical Commission，IEC）發(fā)布了IEC 62443工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全；我國于2011年發(fā)布關于加強工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)2011451號） 和2014年發(fā)布了推薦性國家標準GB/T 30976.12-2014工業(yè)控制系統(tǒng)信息安全。下面分別就這些規(guī)范進行簡單介紹。2.2.1 NIST SP800-82工業(yè)控制系統(tǒng)安全指南該指南為保障工業(yè)控制系統(tǒng)ICS提供指導性建議，包括監(jiān)控與數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其他完成控制功能的系統(tǒng)。它適用于電力、水利、石化、交通、化工、制藥等行業(yè)的ICS

16、 系統(tǒng)。該指南主要包括以下內(nèi)容：Ø 主要ICS系統(tǒng)概述及其典型的系統(tǒng)拓撲；Ø ICS與IT 系統(tǒng)之間的區(qū)別；Ø 標識ICS 的典型威脅、漏洞以及安全事件；Ø 如何開發(fā)和部署SCADA 系統(tǒng)的安全程序；Ø 如何考慮建設網(wǎng)絡體系結構；Ø 如何把SP 800-53 中“聯(lián)邦信息系統(tǒng)與組織安全控制方法”部分提出的管理、運營和技術方面的控制措施運用在ICS 中。2.2.2 ANSI/ISA-99.02.01-2009工業(yè)自動控制系統(tǒng)安全：構建工業(yè)自動控制系統(tǒng)安全方案該標準討論了工控網(wǎng)絡安全所必要的因素以及組建這些要素的方法。其主要內(nèi)容如下：&#

17、216; 第一章描述了標準的適用范圍；Ø 第二章列出了標準所引用的規(guī)范編號；Ø 第三章定義了標準所需的術語縮寫的清單；Ø 第四章討論了構成一個安全的工控系統(tǒng)網(wǎng)絡所需要的因素；Ø 附錄A為建立安全的工控系統(tǒng)網(wǎng)絡提供指導；Ø 附件B為工控系統(tǒng)網(wǎng)絡建立安全要素提供了一個實例。2.2.3 IEC 62443工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全該標準規(guī)定了工業(yè)安全分為三類：功能安全（Functional Satety），物理安全(Physical Satety)，信息安全(Security)。標準分為四個部分，主要內(nèi)容如下：Ø 第一部分

18、描述了信息安全的通用方面，如術語、概念、模型、縮略語、符合性度量；Ø 第二部分主要針對用戶的信息安全程序。主要包括整改信息安全系統(tǒng)的管理、人員和程序設計方面，是用戶建立其信息安全程序是需要考慮的；Ø 第三部分主要針對系統(tǒng)集成商保護系統(tǒng)所需的技術性信息安全要求。它主要是系統(tǒng)集成商在把系統(tǒng)組裝到一起是需要處理的內(nèi)容。包括將整體工業(yè)自動化控制系統(tǒng)設計分配到各個區(qū)域和通道的方法，以及信息安全保障等級的定義和要求；Ø 第四部分：主要針對制造商提供的單個部件的技術性信息安全要求。包括系統(tǒng)的硬件、軟件和信息部分，以及當開發(fā)或獲取這些類型的部件時需要考慮的特定技術性信息安全要求。

19、2.2.4 GB/T 30976.12-2014工業(yè)控制系統(tǒng)信息安全標準分為兩個部分，第一部分評估規(guī)范和第二部分為驗收規(guī)范。主要內(nèi)容如下：Ø 第一部分：規(guī)定了標準的適用范圍，定義了工控信息安全領域的術語，對安全事故危害等級、風險的可接受程度、評估結果等級進行了詳細定義。詳細介紹了兩種評估的細節(jié)和過程，即組織機構管理評估和系統(tǒng)能力評估。定義了工業(yè)控制系統(tǒng)生命周期各階段的風險評估細節(jié)。Ø 第二部分：規(guī)定了標準的適用范圍，定義了工控信息安全領域的術語，驗收工作的原則和流程以及需要準備的文檔，對系統(tǒng)風險點進行分析以及風險處置方案。還規(guī)定了系統(tǒng)能力測試的詳細項目，以及評測的細節(jié)和所依

20、據(jù)的標準。2.2.5 關于加強工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)2011451號）通知明確，重點加強核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業(yè)控制系統(tǒng)信息安全管理，落實安全管理要求。Ø 一是加強連接管理，嚴格管理工業(yè)控制系統(tǒng)與公共網(wǎng)絡之間連接，嚴格控制移動設備的交叉使用。Ø 二是加強組網(wǎng)管理，同步規(guī)劃、同步建設、同步運行安全防護措施，采用虛擬專用網(wǎng)絡、冗余備份、數(shù)據(jù)加密、身份認證等措施，加強關鍵工業(yè)控制系統(tǒng)通信網(wǎng)絡的防護。Ø 三是加強配置管理，

21、建立服務器等關鍵設備安全配置和審計制度，嚴格賬戶、口令以及端口和服務的管理。Ø 四是加強設備選擇與升級管理，嚴格設備采購、技術服務的安全管理，嚴格軟件升級、補丁安裝管理。Ø 五是加強數(shù)據(jù)管理，通過采取訪問權限控制、數(shù)據(jù)加密、安全審計、災難備份等措施加強對地理、礦產(chǎn)、原材料等國家基礎數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的保護，切實維護個人權益、企業(yè)利益和國家信息資源安全。Ø 六是加強應急管理，制定信息安全應急預案，落實應急支撐隊伍，視情采取必要的備機備件等容災備份措施。通知提出，要建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度。工業(yè)和信息化部要適時對重點領域工業(yè)控制系統(tǒng)信息安全進行

22、抽查。同時，要進一步加強工業(yè)控制系統(tǒng)信息安全工作的組織領導。加強對工業(yè)控制系統(tǒng)信息安全工作的指導和督促檢查。加強對重點領域工業(yè)控制系統(tǒng)信息安全管理工作的指導監(jiān)督，結合行業(yè)實際制定完善相關規(guī)章制度，提出具體要求，并加強督促檢查確保落到實處。2.3 變電站綜合自動化系統(tǒng)特征1）功能實現(xiàn)綜合化變電站綜合自動化技術是在微機技術、數(shù)據(jù)通信技術、自動化技術基礎上發(fā)展起來。它綜合了變電站內(nèi)除一次設備和交、直流電源以外的全部二次設備，2）系統(tǒng)構成模塊化保護、控制、測量裝置的數(shù)字化（采用微機實現(xiàn)，并具有數(shù)字化通信能力）利于把各功能模塊通過通信網(wǎng)絡連接起來，便于接口功能模塊的擴充及信息的共享。另外，模塊化的構成，

23、方便變電站實現(xiàn)綜合自動化系統(tǒng)模塊的組態(tài)，以適應工程的集中式、分部分散式和分布式結構集中式組屏等方式。3）結構分布、分層、分散化綜合自動化系統(tǒng)是一個分布式系統(tǒng)，其中微機保護、數(shù)據(jù)采集和控制以及其他智能設備等子系統(tǒng)都是按分布式結構設計的，每個子系統(tǒng)可能有多個CPU分別完成不同的功能，由龐大的CPU群構成了一個完整的、高度協(xié)調(diào)的有機綜合系統(tǒng)。4）操作監(jiān)視屏幕化變電站實現(xiàn)綜合自動化后，不論是有人值班還是無人值班，操作人員不是在變電站內(nèi)，就是在主控站內(nèi)，就是在主控站或調(diào)度室內(nèi)，面對彩色屏幕顯示器，對變電站的設備和輸電線路進行全方位的監(jiān)視和操作。5）通信局域網(wǎng)絡化、光纜化計算機局域網(wǎng)絡技術和光纖通信技術在

24、綜合自動化系統(tǒng)中得到普遍應用。 6）運行管理智能化智能化不僅表現(xiàn)在常規(guī)自動化功能上，還表現(xiàn)在能夠在線自診斷，并將診斷結果送往遠方主控端7)測量顯示數(shù)字化采用微機監(jiān)控系統(tǒng)，常規(guī)指針式儀表被CRT顯示器代替。人工抄寫記錄由打印機代替。2.4網(wǎng)絡現(xiàn)狀本項目變電站綜合自動化系統(tǒng)包括兩部分：站控層和間隔層，網(wǎng)絡結構為開放式分層、分布式結構。站控層為全所設備監(jiān)視、測量、控制、管理的中心，通過用網(wǎng)絡線與間隔層相連，組網(wǎng)方式為以太網(wǎng)網(wǎng)絡，采用TCP/IP網(wǎng)絡協(xié)議。間隔層按照不同的電壓等級和電氣間隔單元，以相對獨立的方式分散在各個配電裝置室中，在站控層及網(wǎng)絡失效的情況下，間隔層仍能獨立完成間隔層的監(jiān)測和斷路器控

25、制功能。計算機監(jiān)控系統(tǒng)通過遠動工作站與各級調(diào)度中心通訊。站控層設備包括后臺監(jiān)控主站、打印機及網(wǎng)絡設備等。間隔層設備直接采集處理現(xiàn)場的原始數(shù)據(jù)，通過傳送給站級計算機，同時接收站控層發(fā)來的控制操作命令，經(jīng)過有效性判斷、閉鎖檢測、同步檢測等，最后對設備進行操作控制。間隔層設備由測控單元、通信單元和微機保護單元等構成。測控、保護各單元相對獨立，各裝置之間采用以太網(wǎng)或RS485現(xiàn)場總線通訊網(wǎng)絡。2.5 威脅分析2.5.1 網(wǎng)絡結構的安全風險由于系統(tǒng)基于微機開放式設計，可以和任意第三方智能化設備及上級調(diào)度管理網(wǎng)對接，因此，系統(tǒng)與其他系統(tǒng)之間存在大量的接口。但是對于整體的網(wǎng)絡，并沒有完善的數(shù)據(jù)隔離的措施，從

26、而導致如果有威脅通過某種方式進入本系統(tǒng)網(wǎng)絡之內(nèi)，將會很快的在整個電力網(wǎng)絡內(nèi)擴散。2.5.2 系統(tǒng)漏洞的安全風險Ø 綜合自動化系統(tǒng)終端設備的操作系統(tǒng)漏洞首先，出于使用習慣和應用程序開發(fā)的便利性以及程序運行的穩(wěn)定性和兼容性各方面因素的考慮，綜合自動化系統(tǒng)的工作站等人機交互軟件通常采用微軟的Windows系列的操作系統(tǒng)，為保證控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，通?，F(xiàn)場工程師在系統(tǒng)軟件平臺運行后不會對Windows 系統(tǒng)安裝任何補丁，但是存在的問題是，不安裝補丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。 Ø 嚴重漏洞難以及時處理，系統(tǒng)安全風險巨大當前主流的工業(yè)控制系統(tǒng)

27、普遍存在安全漏洞，且多為能夠造成遠程攻擊、越權執(zhí)行的嚴重威脅類漏洞，而且近兩年漏洞的數(shù)量呈快速增長的趨勢。工業(yè)控制系統(tǒng)通信協(xié)議種類繁多、系統(tǒng)軟件難以及時升級、設備使用周期長以及系統(tǒng)補丁兼容性差、發(fā)布周期長等現(xiàn)實問題，又造成工業(yè)控制系統(tǒng)的補丁管理困難，難以及時處理威脅嚴重的漏洞。2.5.3 工控協(xié)議的安全風險絕大多數(shù)工控協(xié)議在設計之初，僅關注于效率以支持經(jīng)濟需求、關注于實時性以支持精確需求、關注于可靠性以支持操作需求，并且通常在專用計算機和私有的操作系統(tǒng)上實現(xiàn)。不幸的是，絕大多數(shù)工控協(xié)議會為了這些需求而放棄一些并不是絕對必需的特征或功能。更不幸的是，諸如認證、授權和加密等需要附加開銷的安全特征和功能也包括在內(nèi)。再進一步讓事情復雜的是，目前很多工控協(xié)議已經(jīng)演化或擴展為在通用計算機和通用操作系統(tǒng)上實現(xiàn)，并運行在以太網(wǎng)（甚至互聯(lián)網(wǎng)）之上以滿足商業(yè)發(fā)展需要，潛在地將這些有漏洞的協(xié)議暴露給攻擊者。前面提到的站控層與間隔層之間就是采用的TCP/IP協(xié)議。TCP/IP 協(xié)議的誕生本身就不是立足于安全，而是主要解決網(wǎng)絡間的通信問題，然而隨著TCP/IP的發(fā)展，很多方面都被一些不法分子所利用，從而體現(xiàn)出TCP/IP中的不少安全問題。TCP/IP協(xié)議存在的不足，一類主要是由于主機依賴IP源地址來尋求認證，另一類則是主要利用了網(wǎng)絡中的某些