行业现状
“泛在电力物联网”、“三站合一”和“多站融合”背景下,变电站作为重要的电力枢纽站、又赋能为充换电(储能)站和数据中心站等。泛在电力物联建设、三站合一建设,在拓展变电站功能,提升变电站能力的同时,也增加了网络攻击的途径及手段。“安全分区、网络专用、横向隔离、纵向加密”的安全原则很难贯彻执行。
挖掘新常态下智能变电站系统的安全风险,研究这些风险因素能给电网造成的影响,进而提出相应的解决办法,对坚强智能电网的建设至关重要,也是“泛在电力物联网”、“三站合一”和“多站融合”成功建设的基础。
解决方案
智能变电站的特点:
设备数量庞大、多套系统并存、通信协议与互联网及其他行业存在很大差异、嵌入式系统计算资源有限,信息安全防护的可参考成果少,智能变电站任何环节出现问题,都可能造成电网运行控制决策失误,从而引发电网故障。
智能变电站的安全风险:
拒绝服务:嵌入式系统计算资源有限在泛洪攻击下设备无法正常提供服务,持续泛洪攻击会造成智能变电站部分功能的散失。
假冒:不经认证的假冒指令可直接控制合并单元与智能终端,造成一次设备损坏。
篡改:遥测、遥信数据和控制指令的完整性无法得到保障,错误的状态信息和控制指令可能导致人员误操作以及站内RTU执行错误指令。
抵赖:状态信息和控制指令的来源无法溯源,影响故障原因排查。
360工业安全团队结合泛在电力物联网背景下智能变电站的特点及可预见的风险,提出了恶意代码检测平台建设方案。什么是恶意代码?
恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。为什么部署恶意代码检测平台?
工业互联网的安全事件,源头都是从恶意代码攻击开始,典型事件就包括伊朗核电站震网病毒通过修改离心机控制程序,导致机组损坏,将伊朗核计划延迟了两年;还有乌克兰停电事件是典型的黑客组织破坏工业控制系统,制造的APT攻击事件。部署恶意代码检测平台是提升智能变电站网络防御能力的重要手段。恶意代码检测平台建设内容
恶意代码检测平台的防护目标是监测、抵御病毒、木马等恶意代码对智能变电站二次系统的破坏和攻击行为,提升智能变电站网络防御能力。具体建设内容如下:
(1)在变电站网络系统的主机上部署主机安全卫士,防范恶意代码对主机系统的破坏。主机安全卫士的主要功能为,只允许系统操作或运行受信任的对象,如只允许系统运行白名单内的可执行程序,只允许系统加载白名单内的动态链接库、驱动等,只允许使用白名单内的移动存储介质。将非法程序(已知和未知的木马、病毒等)隔离在可信运行环境外。
(2)在变电站环境中部署探针设备,扫描无线设备,阻断无线攻击行为。
(3)在变电站网络系统中部署诱捕系统,诱捕系统具有发现攻击、产生警告、欺骗诱捕、协助调查等能力。
(4)在变电站网络系统中部署审计类系统,实时监测网络的状态,追踪工控网络安全事件,对工控网络的数据进行留存,便于安全事件的溯源取证。
(5)在变电站网络系统的网络边界部署入侵检测系统,实现异常检测、入侵行为的检测。
(6)在变电站网络系统中部署IOT安全证书系统,实现信息通信机密性、完整性、不可否认性和可用性。
(7)在变电站网络系统中部署巡天系统,实现资产探测,资产漏洞扫描。
恶意代码平台架构恶意代码检测平台特点
(1)恶意代码平台配置了大数据安全分析引擎
大数据安全分析技术能够对当前和历史的各种类型数据进行关联分析与检索,帮助安全管理者实时洞悉安全情报和安全态势,快速做出判断和响应。
大数据安全分析引擎采用大数据安全分析技术为网络安全与情报分析注入新的技术源动力,提高网络信息安全攻击检测、风险感知、情报分析能力,形成“数据驱动安全”的网络安全与情报分析新思维。
(2)恶意代码检测平台拓展了物联网设备的守护能力
通过安全审计、设备端安全防护、风险感知和应急修复等技术手段,可以为IoT设备进行安全监测、漏洞监测,并解决隐私安全、数据安全、设备安全等问题。
(3)恶意代码检测平台具有全面多维的态势感知展示
从攻击次数、攻击类型、地域分布、设备状况、攻击日期等维度,实现网络攻击态势的全景展示。
部署方案
生产控制大区、管理信息大区分别部署恶意代码检测系统,在计算环境、网络环境、应用环境,部署主机卫士、探针设备、诱捕系统、审计设备及IOT安全证书等,对计算环境、通信网络、安全区域边界构建三重防护体系,实现变电站内恶意代码识别、流量异常监测、资产识别、安全事件溯源、安全态势展示、威胁告警,阻断攻击。上述安全产品根据现场情况按需配置。
方案价值
三重防护体系,有效降低安全风险
对变电站二次系统的计算环境、通信网络、区域边界构建三重防护体系,有效降低变电站的网络安全风险。全局态势感知、预警、安全防御
依托360海量安全数据、领先的大数据处理及AI技术、资深的专家团队,能够为用户提供全天候、全方位态势感知、威胁预警、安全防御服务。消除安全“孤岛”
实现对安全设备的“集中监控、统一管理、全面分析、快速响应”,消除安全“孤岛”。追溯安全事件
对工控网络数据审计和分析,可追溯安全事件的轨迹,为还原事故真相提供了有效的技术手段。