摘要：本文系統性地對海外涉及電力工控的網絡安全規范的內容進行了梳理和比較，基于海外各個電力安防規范的側重點不同的情況，結合國內電力系統二次安防的成功實踐經驗，從安全技術、應急處置、安全管理三個方面探討了電力監控系統的網絡結構、設備本身、行為監測、信任機制、應急處置和安全管理等總體思路，強調了行為安全的重要性，并介紹了基于業務行為特征庫的網絡安全監測和風險評估做法，最后擬定了適用于海外電力工控的整體網絡安全防護方案。

　　關鍵詞：網絡安全;電力工控;安全規范;安全方案;海外

　　電力方向論文范文：黨建工作對電力企業文化建設的引領作用

　　摘要：電力企業的經營發展離不開黨建工作的支撐，現階段電力企業由于受到外界環境的影響，使得其發生了巨大的變化。這時，對于電力企業而言，就應當加快黨建建設的速度，以此來促進企業文化建設。基于此，本文主要研究了黨建工作與企業文化建設之間的聯系、黨建工作對電力企業文化建設的引導等內容做了簡要分析。

　　海外電力工控系統相關的網絡安全標準比較多，美國歐洲等地都會從不同角度來闡述對電網監控網絡安全的要求和主張，國內廠商在應對海外市場的時候往往需求碎片化，難成體系。本文對海外電力監控網絡安全的主要標準進行了梳理和解析，并結合國內經驗，提煉網絡安全的本質需求，從系統結構、設備本身、行為監測、信任機制、應急和管理等方面，探討說明適用海外的網絡安全解決方案。

　　1海外安全規范

　　海外和電力監控相關的網絡安全規范主要由北美和歐洲主導，來自IEC、ISO、IEEE等標準機構和政府法規，其中有北美的IEEE-1686、NERC-CIP、NIST-7628，歐洲的IEC-62351、IEC-62443[1]。規范可以大致分為三類：(1)權威標準類：已經成為業界重要參考的IEC和IEEE標準，如IEC-62351、IEC-62443、IEEE-1686。(2)強制執行類：NERC-CIP是北美電力可靠性委員會的文件，具備強制效力。(3)技術指導類：NIST-7628是美國國家標準研究院官方的技術指導文件，沒有強制效力。

　　1.1IEC-62351

　　IEC-62351標準是IECT57為電力系統安全運行針對有關通信協議(IEC-60870-5、IEC-60870-6、IEC-61850、IEC-61970、IEC-61968系列和DNP3)而開發的數據和通信安全標準[2]，目標是基于公共網絡體系構建加密認證機制，為電力通信提供“端對端”的安全保障能力，包括站內的過程層節點通信、站控層節點通信和主子站通信。IEC-62351的核心內容有四個部分，IEC-62351-3基于傳輸層安全協議TLS提供基于TCP/IP的身份認證、機密性、完整性，IEC-62351-4提供MMS的安全規范，IEC-62351-5提供IEC60870-5的安全規范，IEC-62351-6提供GOOSE/SV的安全規范。電力監控系統的網絡攻擊很大部分來自對通信傳輸協議的竊聽、偽裝、重放等，而IEC-62351提供的核心防護機制就是通信的身份認證和傳輸加密。

　　1.2IEC-62443

　　IEC-62443是IECTC65在制定“工業過程測量、控制和自動化”的標準過程中同步制定的“系統及網絡信息安全”的標準[3]。IEC-62443主要是描述在工控產品開發、系統集成、實施和運維等全生命周期環節中如何去實現網絡安全，并通過要網絡安全保證等級SAL全模型來評價相關角色的網絡安全能力。IEC-62443中定義的設備供應商、系統集成商、業主的角色以及在全生命周期中的安全交付關系。

　　1.3IEEE-1686

　　IEEE-1686標準是針對IED設備的，目標是建立在電力行業中對IED設備的安全要求和安全特征基線。標準主要內容是定義了IED設備中網絡安全的功能和特性，包括設備訪問控制、配置、固件修訂、安全審計、告警機制以及IED之間的通信加密等。

　　1.4NERC-CIP

　　NERC-CIP是北美電力可靠性委員會NERC對關鍵基礎設施的安全保護規定[4]，主要是針對電網運營的功能實體責任實體，包括電力資產業主、電力傳輸運營商、設備運營商、設備和系統制造商、系統集成服務商、電網結算單位等，標準主要內容包括技術和管理的要求、監督執行兩個層面，在技術和管理上，對產品和系統的電子安全邊界的設計和實現、物理訪問的識別和監控、端口信息保護、漏洞的檢查和管理、日志記錄、事件的報告和響應機制、備份和恢復規劃、變更的管理、脆弱性評估、供應鏈管理等，以及人員意識、培訓制度、文檔資料，在監督執行上，明確適用對象、責任主體、監管機構、證據要求、評估流程、違規程度評價等。

　　1.5NIST-7628

　　NIST-7628是美國國家標準技術研究院發布的“智能電網信息安全指南”，報告分析了智能電網的邏輯結構和信息安全需求，并提出了智能電網信息安全防護的策略和架構，目的在于協助電網領域相關者去識別風險、落實網絡安全要求，電網相關者可以包括設備制造商、電網運營商、集成服務商、監管部門、學術機構、標準組織機構等。標準的主要內容為描述智能電網的信息安全戰略和具體任務，從安全角度定義智能電網的邏輯架構和接口，對電網涉及者及其行為進行安全建模，構建了“發電、輸電、配電、用電、營銷、運營、服務”7個域，以及22個邏輯接口。

　　2海外電力工控安全規范的比較

　　從上述海外安全規范可以看到，IEC-62351是技術規范，重點通過加密認證的技術應用解決通信兩端的身份認證和數據保密問題，并針對性地給出電力系統常用通信規約的安全規范，也為監控系統的邊界內外通信交互提供一種安全防護技術依據。IEEE-1686重點體現了本體安全的思路，包括訪問控制、角色權限、日志審計及通信接口等技術，為IED設備如何實現本體安全提供一個規范基礎。IEC-62443重點描述了在產品周期各個階段不同角色的安全交付要求，從設備制造、到系統集成、工程實施、系統運行、直到退役，規范的主要內容是以安全為目標的角色行為模型，更多的是管理范疇，對技術描述不多。

　　NERC-CIP和NIST有點類似IEC-62443，但是描述的是電網運行安全及其涉及的全部角色，而不僅僅是電網產品的制造集成運行，并且NERC-CIP基于法規可執行性的需要，在提出要求的同時給出了監督執行的依據。在NERC-CIP、IEC-62443、IEC-62351等標準中均體現了結構安全的思路，包括多道防御，系統邊界防護，安全域劃分，加密認證技術等，但各個規范的側重點還是不同，NIST中有提及到行為監測的安全思路，但是總的來講行為安全在規范中還是比較弱。在NERC-CIP、NIST中有應急、快速恢復的應急處置的要求，而在IEC-62443、NERC-CIP、NIST中均有關于產品研發的安全管理、集成實施的安全管理等要求。各個電力工控安全規范均比較具體地描述了某一個或一些方面的安全要求，但對從技術、到管理、到應急處置等全方位的網絡安全需求，尚缺乏整體的安全防護方案。

　　3海外電力工控安全防護方案的探討

　　海外電力監控系統的網絡結構模糊，監控設備參差不齊，系統網絡空間幾乎沒有監測評估，可信的自我免疫能力非常缺乏、設計上缺乏安全冗余、安全管理缺乏系統性。

　　3.1整體安全方案

　　參考國內對電力系統二次安防有豐富的實踐經驗，對于設備供應商和系統集成商，需要在用戶需求和海外電力工控的規范基礎上，從技術、設計、管理等方面梳理出整體解決方案。方案中：(1)安全技術：包括結構安全、本體安全、行為安全、可信免疫幾個方面;(2)應急處置：應急包括緊急備用的設計和緊急情況下的處置，設計上考慮關鍵組件的冗余運行、異地備份，在緊急情況下可以實現層層設防、主備切換、快速恢復等有效處置;(3)安全管理：涉及人、物、集成實施、系統運行等多方面的管理。方案的所有工作都是持續的，在時間上是不斷執行、不斷檢查、不斷改進和不斷完善的。

　　3.2安全技術架構

　　從設備供應和系統集成的角度，需要一個行之有效的安全技術架構，方案從結構安全、本體安全、行為安全、可信免疫四個點來構建安全防護。結構安全首先需要根據網絡組成和業務性質構建安全區，結構安全作為監控系統網絡空間內外的邊界性防護，承擔系統第一道安全防線的責任，包括系統內外邊界及防護設計、系統內部安全區設計、安全區邊界防護措施、調試維護邊界防護措施等。本體安全作為系統的設備防護，是第二道安全防線，負責IED設備本體的安全可靠設計和運行，具有包括監控主機、嵌入式裝置、網絡交換機、安全設備等。

　　行為安全是對系統網絡行為進行監測和評估，包括系統運行網絡過程的連接、流量、通信規約等安全監測、以及系統內設備的運行安全狀態的監測，同時進行系統運行的網絡安全風險實時計算評估，并對運行過程的狀態變化和安全事件進行審計。可信免疫是融合到系統各個環節中的可信因子，可信是系統自身安全的本質性設計，從系統內外邊界通信的身份認證和傳輸加密，到系統內部設備之間的可信通信，到設備內部的操作系統啟動和應用程序加載的可信，甚至到設備硬件的可靠搭建，以密碼認證技術和可信度量為基礎，形成系統逐層逐級的信任傳遞，構建出具有自身免疫能力的信任機制[5]。

　　該綜合安全防護技術架構可以形成以下效果：(1)多層次：從系統邊界到行為監測、設備本體的多個層次的安全防護，在變電站監控系統范圍內層層設防，形成安全累積效應，進一步提高核心防護對象的安全能力;(2)多維度：從空間上的靜態部署到時間上的過程監測、從通信過程到數據傳輸等多個維度來保障安全;(3)主動性：從行為監測和風險評估、可信鏈傳遞來實現主動的風險預警和安全免疫。

　　3.3加強行為安全監測和風險評估

　　海外電力工控規范和工程實踐，都普遍缺乏對行為安全的支持，為此需要加強系統網絡空間行為的實時監測和風險評估。方案在監控系統的站控層部署安全監測設備，連接監控站控層主交換機鏡像口獲取網絡交換原始數據，并連接交換機通過snmp協議獲取網絡連接情況，從感知、告警、管控、審計四個方面來實時監測網絡節點變動、網絡流量、主機設備的移動存儲接入、運維調試過程等情況。

　　進一步，可以在網絡安全監測中加入基于網絡節點角色定義和行為特征的安全評估模型，從網絡節點的設備角色和系統中節點設備之間的業務網絡通信兩個方面，來建立特征定義庫。各節點角色可以通過解析SCD文件獲取，或者單獨配置，然后監測網絡通信數據、網絡行為、網絡流量等，通過對各角色通信行為的跟蹤，分析網絡通訊節點、通訊鏈路的合法性，對站內網絡通訊狀態進行分析、核查，實現配置核查、安全審計、網絡異常告警等功能。網絡安全監測可以對監控網絡內部通信行為進行安全監控，及時監測非法設備接入和異常通訊行為，對監控系統的長期運行過程的安全監測和風險評估能起到非常明顯的作用，因此可作為海外電力工控安全解決方案中重點增強的環節。

　　4結語

　　國內廠商在進入海外電力工控市場時需要及時理解海外安全規范的要求，并在推出監控產品的同時給出整體安全解決方案，實現業務功能的同時支持結構安全、本體安全、行為安全、可信免疫，甚至推出“監控+安全”的一體化解決方案，將會對監控業務的順利開展起到明顯的支撐作用。

　　參考文獻：

　　[1]張瀏驊，劉克松.國內外典型工控系統安全標準的概述與思考[J].科技創新與應用，2019(26)：81-82，85.

　　[2]雒佳，徐茹枝，計鵬程.基于IEC62351標準的變電站通信安全問題綜述[J].電力信息與通信技術，2018，16(12)：22-28.

　　[3]范科峰，周睿康，李琳，等.工業控制系統信息安全管理標準研究[J].中國信息安全，2016(4)：76-79.