二次设备配置工具安全加固设计及实现 2024-03-25 08:52:16 智能变电站二次设备配置工具可实现参数配置、功能定义、监视和远方控制操作等功能,为防止对二次设备的入侵篡改和遭遇非法攻击,研究并提高其安全防护能力势在必行。南京国电南自软件工程有限公司的研究人员刘文彪、王位杰、江南、钱伟、纪陵,在2020年第6期《电气技术》杂志上撰文,通过以下几个方面对配置工具进行安全加固,即通过国密算法对通信保密性、数据安全存储及完整性等进行数据安全加固,基于四权分立进行访问控制,在代码层面进行安全防范,独立审计系统等,以满足信息安全等级保护的基本要求。这些安全加固措施的应用,在一定程度上可降低二次设备的信息安全隐患,提高智能变电站二次设备配置操作和运行的安全性。 乌克兰停电事件和伊朗核电事件等电网事故的发生,引起业内对电网信息安全的重视。计算机、通信、互联网、视频、红外传感等技术在智能变电站的应用,使得一、二次设备信息的产生、处理、传输、存储等各个环节数据处理呈现网络化特征,形成人、机、物等实体深度交互和相互作用的人-机-物动态虚拟网络空间(cyperspace)。攻击者对其各环节所进行的破坏对整站都可能造成严重影响。相关学者从信息物理系统(cyber-physical system, CPS)角度对电网中的网络攻击安全进行分析和讨论,认为电力CPS通过3C(computating, communication, control)技术将计算系统、通信网络和电力系统的物理环境融为了一体,形成一个实时感知、动态控制与信息服务融合的多维异构复杂系统,而在电力CPS环境下,攻击者依然可以通过注入虚假信息等方式,达到攻击电网的目的。为智能变电站二次设备或系统配套提供的配置工具可完成IEC 61850模型配置及运行参数设置等工作,并可对设备进行监视、调试甚至可进行如刀闸遥控等控制操作。若配置工具不加任何安全防护就直接访问设备,则将给非法用户提供攻击或蓄意破坏设备的可乘之机。本文结合工程需求以配置工具的C/S网络架构体系为研究对象,参照2019年发布的信息安全技术网络空间等级保护基本要求(下文简称等保)中的等保3级要求,基于国密算法通信加密、四权分立访问控制、数据安全、代码安全、审计日志等安全加固技术,来提升配置工具的安全防护能力。1 配置工具在智能变电站的业务流智能变电站采用IEC 61850相关技术规范,将二次设备网络划分为“三层两网”,如图1所示。 图1 智能变电站网络结构示意图二次设备配置工具主要采用C/S架构,运行在工程师站上或者便携式电脑上,通过交换机或网络直连与监控、远动、保护、测控等装置建立通信后再进行相关的配置操作,如向保护装置下载IEC 61850模型文件、信息查看、控制操作等,其交互过程如图2所示。各个过程功能为:①在工程师站本地读取启动配置项;②与装置建立通道;③下装配置信息到装置本地;④应用程序更新配置参数;⑤应用程序更新实时信息;⑥二次设备实时信息传递给配置工具进行联调测试。若配置工具无安全加固,则攻击者可从上述各个过程获取并篡改设备的配置或实时控制信息。 图2 配置工具与二次设备业务流程图2 配置工具信息安全加固的技术框架参照等保要求,从技术层面上,配置工具需要满足通信保密性、访问控制、安全审计、入侵防范、恶意代码防范、网络安全、身份鉴别、通信完整性、抗抵赖、软件容错、资源控制、数据完整性、数据保密性、数据备份和恢复等基本要求。结合工程安全加固要求,本文主要从以下几个技术方面对配置工具进行安全加固,其安全加固层次架构如 图3所示。 图3 安全加固层次架构图1)网络通信加密。基于安全套接层(secure sockets layer, SSL)和国密算法SM2对网络通信数据加密。2)数据安全存储。数据进行SM4加密存储,防止非法用户入侵装置后可直接查看配置数据。3)用户访问控制。对用户进行双因子认证鉴别,将用户权限最小化,防止其非法修改其他关键数据。4)数据完整性。对通信报文、应用数据、配置数据等进行SM3完整性校验,防止数据被篡改。5)代码安全。6)审计系统。对用户行为进行安全审计。3 配置工具安全加固设计及实现3.1 数据通信保密性1)安全套接层安全传输协议SSL是为网络中任意两台机器提供上层通信安全传输保障的一种协议,提供双向身份认证功能,对客户端和服务端传输数据进行加密处理。 图4 SSL在网络通信中的层次SSL握手过程如图5所示。 图5 SSL握手过程若双方握手成功,则客户端与服务端可以使用会话密钥对应用数据进行加解密传输。2)SM2国密算法SM2椭圆曲线公钥密码算法具有中国知识产权,安全性更高,无国外可利用的后门,在相同安全程度要求下,椭圆曲线密码较其他公钥密码所需的密钥规模要小很多,同比常用的1024位RSA算法可提高其安全性。SM2国密算法主要包括数字签名算法、密钥交换协议和公钥加密算法等。数字签名算法和密钥交换协议使用SM3密码杂凑算法实现。在保密通信过程中,实时数据可采用SM2或SM4进行加密处理,SM2比SM4安全性较高,但算法复杂,实时性相对弱。若采用SM4算法,则通过SM2对SM4的密钥进行加密传输,实时数据采用SM4进行加密处理。3)通信加密测试验证使用抓包工具获取网络通信报文,数据经过加密后未发现明文。客户端和服务端发出的加密报文如图6和图7所示。 图6 客户端发出的加密报文 图7 服务端发出的加密报文3.2 用户资源访问控制1)基于双因子认证的用户鉴别提供基于口令、指纹卡、数据证书(如UKey)等鉴别技术中的两种或两种以上组合方式对用户身份进行鉴别。主要包括登录鉴别和实时鉴别(如对数据证书UKey实时监测),若鉴别失败,则禁止客户端进行任何操作。2)面向资源的访问控制在现有系统中,常采用三权分立策略进行访问控制,将用户角色划分为系统管理员、操作员、审计员。在这种情况下,系统管理员成为超级用户,存在其可对审计员业务进行操作的风险。因此,从业务角度考虑,将审计功能划分成独立的审计子系统,形成系统管理员、操作员、审计管理员、审计员等四权分立的角色控制。将强制访问控制应用于所有主体与客体,每个用户客体对每类主体对象都设置相应的访问控制权限,操作前检查用户是否有相应权限;在权限分配策略上,每个用户客体的权限达到最小,不同角色的用户权限应互斥。以资源访问的CRUD(create,增加;retrieve,读取查询;update,更新;delete,删除)权限为例,建立4个用户的权限控制矩阵,示例见表1。 表1 面向资源的访问控制矩阵3)双向访问控制认证如果只在客户端进行访问控制,攻击者就可通过修改客户端内存数据进行权限篡改,然后直接访问到装置。因此需要在服务端和客户端进行双侧权限认证,以避免配置工具侧权限被攻击篡改之后导致装置侧权限被攻击。3.3 数据完整性及容错处理1)数据安全存储对关键数据(如用户名及密码)采用SM4算法进行存储,如图8所示。 图8 数据加密存储2)配置参数完整性校验为了防止数据被窃听者篡改,需要对配置数据进行完整性校验。通常采用数据完整性的方式有MD5、CRC等,由于SM3采用了不可逆的摘要计算方法,所以可通过SM3进行Hash值计算。在数据完整性检查时,使用SM3对数据进行Hash摘要计算,与前一次Hash值进行比较。若不一致,则认为配置数据存在完整性缺失,需在工具侧进行区别标记,如图9所示,第1条配置参数被标记出有改动。3)配置参数防误容错处理 图9 检测数据完整性智能变电站二次设备各个参数配置项具有一定的物理意义,都有设定的值域范围。从配置工具上对参数进行配置时需要对其范围严格检查,防止人工操作造成的配置错误。这些检查包括以下几个方面:(1)整数或浮点型数据范围的有效性检查,如定值区设置范围应为整数区间0~31;(2)字符串长度的限制;(3)IP地址非法性检查;(4)网络端口合法性检查;(5)定值范围、步长、量纲等检查;(6)装置的IP地址重复检查。3.4 代码安全代码安全反映了正常的业务逻辑、代码逻辑和代码本身的安全,如防止内存泄漏、程序异常处理、在特定条件下进入死循环、关键数据在代码中明文显示等。对代码进行静态分析时不应包含以下缺陷:①内存泄露缺陷;②数组越界缺陷;③空指针缺陷;④代码不可达缺陷;⑤内在释放后引用缺陷;⑥并发机制缺陷;⑦资源利用缺陷;⑧防止反汇编。使用反汇编工具进行反汇编检查,未发现明显数据暴露,防止从代码级进行篡改数据,如图10所示。 图10 反汇编检查3.5 安全审计系统建立独立的审计系统并且只能由审计员操作,提供审计服务接口、审计进程和审计分析模块。审计内容包括登录、增加、删除、修改等行为,还包括用户名、用户惟一标识ID、操作时间、事件类型、事件等级、操作内容、操作结果等。通过审计可分析用户操作行为及追踪设备配置变化过程。审计信息如图11所示,通过安全审计系统可进行查看用户操作的完整记录。 图11 审计信息4 配置工具安全加固工程应用本文根据上述安全加固的技术应用研究,结合工程需求,实现了变电站电力监控系统网络安全监测装置配置工具的安全加固。该装置在智能变电站中进行了工程实施,与此配套的配置工具在通信加密、用户访问控制、数据完整性、数据保密性、代码安全、安全审计等方面进行了安全加固,可在一定程度防止对该装置的恶意篡改操作等非法行为,提升了装置的安全运行能力,可满足用户安全加固要求。5 结论本文通过对二次设备配置工具的安全加固,可防止非法用户对二次设备的配置和控制操作,在一定程度上提高了整个智能变电站的安全防御能力。由于本文的安全加固主要针对二次设备配置信息的读写,对设备功能的主要影响是装置起动后加载配置信息时需要加解密和完整性检查,因此对其原有实时功能的影响微乎其微。配置工具的安全不仅应从信息安全方面考虑,而且在实现、部署应用、物理环境、运行管理等各个环节都应进行整体考虑和加强防范。本文以等保3级为原则进行安全加固设计及实现,然而安全无边界,后续还需要进行更高等级要求的技术研究及实现,以进一步提升安全防护能力。 赞 (0) 相关推荐 《数据安全能力成熟度模型》实践指南09:数据备份和恢复 <信息安全技术 数据安全能力成熟度模型>(GB/T 37988-2019)简称DSMM正式成为国标对外发布,并已正式实施.美创科技将以DSMM数据安全治理思路为依托,针对各过程域,基于充分 ... 《数据安全能力成熟度模型》实践指南08:逻辑存储安全 <信息安全技术 数据安全能力成熟度模型>(GB/T 37988-2019)简称DSMM正式成为国标对外发布,并已正式实施.美创科技将以DSMM数据安全治理思路为依托,针对各过程域,基于充分 ... ip命令网络配置工具参数选项有什么?linux数据库学习 ip命令是iproute软件包中的一个强大的网络配置工具,用于显示或管理Linux系统的路由.网络设备.策略路由和隧道.ip命令是Linux运维工作中常会用到的命令,命令的熟练掌握对于Linux运维工 ... OpenCore Configurator 2.39.0.0中文版 :黑苹果OC配置工具 OpenCore Configurator 一款黑苹果OC引导配置工具,通过简化的图形界面帮助您为 OpenCore EFI 引导加载程序创建自定义配置文件.支持OpenCore 0.7.0版本. O ... 植物配置秘籍!植物设计还是“团”起来比较好!多图详解! 来源 / 生生景观 如有侵权请联系小编删除 但是如何能才能把这个"团"组好,不是个简单的问题.首先你要对植物本身了如指掌,比如植物高度.树形.色彩.季相等等. 在中国,大家都更青睐 ... 桥梁病害及加固设计方法图解 来源:筑龙论坛 桥梁工程同新建相比,改建可节省大部分资金.合理利用原有主体结构,改变功能配置.改善空间质量.扩大功能空间等,可以减少开发商的初期投资费用(包括拆迁费.土建费等).缩短建设周期,体现较高 ... 一大波儿边坡防护加固设计套路,设计师必看! 由于复杂的地形地质条件,边坡始终是工程建设中一个重大工程地质问题,因此加强边坡病害的防治设计,将对工程基础设施建设与生态环境保护协调发展有重要意义.作为设计师,边坡防护加固设计是工作中的重要组成部分. ... linux centos7 NetworkManager 命令行网络配置工具 nmcli 简介-1 目录 nmcli命令与配置文件对应关系 修改配置文件的主机名 查看网卡信息 显示具体的网络接口信息 显示所有设配状态 修改配置文件执行生效 显示所有活动连接 删除一个网卡连接 添加一个网卡连接 网络接 ... 桥梁病害及加固设计方法超强图文详解,设计师和工程师都收藏了! 素材来源:筑龙论坛 桥梁工程同新建相比,改建可节省大部分资金.合理利用原有主体结构,改变功能配置.改善空间质量.扩大功能空间等,可以减少开发商的初期投资费用(包括拆迁费.土建费等).缩短建设周期,体现 ... 桥梁加固设计时如何判断病害成因? 来源:茶酒间.路桥工程设计 如有侵权请联系删除 我国有公路桥梁63万座左右,而存在各种病害.承载能力不适应运营荷载要求的桥梁比例高达15%左右.桥梁的病害大致可分为承载能力不足.使用性能较差.耐久性能 ... 即使不做加固设计,也应该了解的加固设计常识 来源:非解构 作者:结构吴彦祖 如有侵权,请联系删除 纵观世界大战后世界主要发达国家建筑业发展历程,其可分为三个主要阶段:大规模新建阶段.新建与改造并重阶段.大量旧建筑维修与修复阶段.我国于1949年 ...
智能变电站二次设备配置工具可实现参数配置、功能定义、监视和远方控制操作等功能,为防止对二次设备的入侵篡改和遭遇非法攻击,研究并提高其安全防护能力势在必行。南京国电南自软件工程有限公司的研究人员刘文彪、王位杰、江南、钱伟、纪陵,在2020年第6期《电气技术》杂志上撰文,通过以下几个方面对配置工具进行安全加固,即通过国密算法对通信保密性、数据安全存储及完整性等进行数据安全加固,基于四权分立进行访问控制,在代码层面进行安全防范,独立审计系统等,以满足信息安全等级保护的基本要求。这些安全加固措施的应用,在一定程度上可降低二次设备的信息安全隐患,提高智能变电站二次设备配置操作和运行的安全性。 乌克兰停电事件和伊朗核电事件等电网事故的发生,引起业内对电网信息安全的重视。计算机、通信、互联网、视频、红外传感等技术在智能变电站的应用,使得一、二次设备信息的产生、处理、传输、存储等各个环节数据处理呈现网络化特征,形成人、机、物等实体深度交互和相互作用的人-机-物动态虚拟网络空间(cyperspace)。攻击者对其各环节所进行的破坏对整站都可能造成严重影响。相关学者从信息物理系统(cyber-physical system, CPS)角度对电网中的网络攻击安全进行分析和讨论,认为电力CPS通过3C(computating, communication, control)技术将计算系统、通信网络和电力系统的物理环境融为了一体,形成一个实时感知、动态控制与信息服务融合的多维异构复杂系统,而在电力CPS环境下,攻击者依然可以通过注入虚假信息等方式,达到攻击电网的目的。为智能变电站二次设备或系统配套提供的配置工具可完成IEC 61850模型配置及运行参数设置等工作,并可对设备进行监视、调试甚至可进行如刀闸遥控等控制操作。若配置工具不加任何安全防护就直接访问设备,则将给非法用户提供攻击或蓄意破坏设备的可乘之机。本文结合工程需求以配置工具的C/S网络架构体系为研究对象,参照2019年发布的信息安全技术网络空间等级保护基本要求(下文简称等保)中的等保3级要求,基于国密算法通信加密、四权分立访问控制、数据安全、代码安全、审计日志等安全加固技术,来提升配置工具的安全防护能力。1 配置工具在智能变电站的业务流智能变电站采用IEC 61850相关技术规范,将二次设备网络划分为“三层两网”,如图1所示。 图1 智能变电站网络结构示意图二次设备配置工具主要采用C/S架构,运行在工程师站上或者便携式电脑上,通过交换机或网络直连与监控、远动、保护、测控等装置建立通信后再进行相关的配置操作,如向保护装置下载IEC 61850模型文件、信息查看、控制操作等,其交互过程如图2所示。各个过程功能为:①在工程师站本地读取启动配置项;②与装置建立通道;③下装配置信息到装置本地;④应用程序更新配置参数;⑤应用程序更新实时信息;⑥二次设备实时信息传递给配置工具进行联调测试。若配置工具无安全加固,则攻击者可从上述各个过程获取并篡改设备的配置或实时控制信息。 图2 配置工具与二次设备业务流程图2 配置工具信息安全加固的技术框架参照等保要求,从技术层面上,配置工具需要满足通信保密性、访问控制、安全审计、入侵防范、恶意代码防范、网络安全、身份鉴别、通信完整性、抗抵赖、软件容错、资源控制、数据完整性、数据保密性、数据备份和恢复等基本要求。结合工程安全加固要求,本文主要从以下几个技术方面对配置工具进行安全加固,其安全加固层次架构如 图3所示。 图3 安全加固层次架构图1)网络通信加密。基于安全套接层(secure sockets layer, SSL)和国密算法SM2对网络通信数据加密。2)数据安全存储。数据进行SM4加密存储,防止非法用户入侵装置后可直接查看配置数据。3)用户访问控制。对用户进行双因子认证鉴别,将用户权限最小化,防止其非法修改其他关键数据。4)数据完整性。对通信报文、应用数据、配置数据等进行SM3完整性校验,防止数据被篡改。5)代码安全。6)审计系统。对用户行为进行安全审计。3 配置工具安全加固设计及实现3.1 数据通信保密性1)安全套接层安全传输协议SSL是为网络中任意两台机器提供上层通信安全传输保障的一种协议,提供双向身份认证功能,对客户端和服务端传输数据进行加密处理。 图4 SSL在网络通信中的层次SSL握手过程如图5所示。 图5 SSL握手过程若双方握手成功,则客户端与服务端可以使用会话密钥对应用数据进行加解密传输。2)SM2国密算法SM2椭圆曲线公钥密码算法具有中国知识产权,安全性更高,无国外可利用的后门,在相同安全程度要求下,椭圆曲线密码较其他公钥密码所需的密钥规模要小很多,同比常用的1024位RSA算法可提高其安全性。SM2国密算法主要包括数字签名算法、密钥交换协议和公钥加密算法等。数字签名算法和密钥交换协议使用SM3密码杂凑算法实现。在保密通信过程中,实时数据可采用SM2或SM4进行加密处理,SM2比SM4安全性较高,但算法复杂,实时性相对弱。若采用SM4算法,则通过SM2对SM4的密钥进行加密传输,实时数据采用SM4进行加密处理。3)通信加密测试验证使用抓包工具获取网络通信报文,数据经过加密后未发现明文。客户端和服务端发出的加密报文如图6和图7所示。 图6 客户端发出的加密报文 图7 服务端发出的加密报文3.2 用户资源访问控制1)基于双因子认证的用户鉴别提供基于口令、指纹卡、数据证书(如UKey)等鉴别技术中的两种或两种以上组合方式对用户身份进行鉴别。主要包括登录鉴别和实时鉴别(如对数据证书UKey实时监测),若鉴别失败,则禁止客户端进行任何操作。2)面向资源的访问控制在现有系统中,常采用三权分立策略进行访问控制,将用户角色划分为系统管理员、操作员、审计员。在这种情况下,系统管理员成为超级用户,存在其可对审计员业务进行操作的风险。因此,从业务角度考虑,将审计功能划分成独立的审计子系统,形成系统管理员、操作员、审计管理员、审计员等四权分立的角色控制。将强制访问控制应用于所有主体与客体,每个用户客体对每类主体对象都设置相应的访问控制权限,操作前检查用户是否有相应权限;在权限分配策略上,每个用户客体的权限达到最小,不同角色的用户权限应互斥。以资源访问的CRUD(create,增加;retrieve,读取查询;update,更新;delete,删除)权限为例,建立4个用户的权限控制矩阵,示例见表1。 表1 面向资源的访问控制矩阵3)双向访问控制认证如果只在客户端进行访问控制,攻击者就可通过修改客户端内存数据进行权限篡改,然后直接访问到装置。因此需要在服务端和客户端进行双侧权限认证,以避免配置工具侧权限被攻击篡改之后导致装置侧权限被攻击。3.3 数据完整性及容错处理1)数据安全存储对关键数据(如用户名及密码)采用SM4算法进行存储,如图8所示。 图8 数据加密存储2)配置参数完整性校验为了防止数据被窃听者篡改,需要对配置数据进行完整性校验。通常采用数据完整性的方式有MD5、CRC等,由于SM3采用了不可逆的摘要计算方法,所以可通过SM3进行Hash值计算。在数据完整性检查时,使用SM3对数据进行Hash摘要计算,与前一次Hash值进行比较。若不一致,则认为配置数据存在完整性缺失,需在工具侧进行区别标记,如图9所示,第1条配置参数被标记出有改动。3)配置参数防误容错处理 图9 检测数据完整性智能变电站二次设备各个参数配置项具有一定的物理意义,都有设定的值域范围。从配置工具上对参数进行配置时需要对其范围严格检查,防止人工操作造成的配置错误。这些检查包括以下几个方面:(1)整数或浮点型数据范围的有效性检查,如定值区设置范围应为整数区间0~31;(2)字符串长度的限制;(3)IP地址非法性检查;(4)网络端口合法性检查;(5)定值范围、步长、量纲等检查;(6)装置的IP地址重复检查。3.4 代码安全代码安全反映了正常的业务逻辑、代码逻辑和代码本身的安全,如防止内存泄漏、程序异常处理、在特定条件下进入死循环、关键数据在代码中明文显示等。对代码进行静态分析时不应包含以下缺陷:①内存泄露缺陷;②数组越界缺陷;③空指针缺陷;④代码不可达缺陷;⑤内在释放后引用缺陷;⑥并发机制缺陷;⑦资源利用缺陷;⑧防止反汇编。使用反汇编工具进行反汇编检查,未发现明显数据暴露,防止从代码级进行篡改数据,如图10所示。 图10 反汇编检查3.5 安全审计系统建立独立的审计系统并且只能由审计员操作,提供审计服务接口、审计进程和审计分析模块。审计内容包括登录、增加、删除、修改等行为,还包括用户名、用户惟一标识ID、操作时间、事件类型、事件等级、操作内容、操作结果等。通过审计可分析用户操作行为及追踪设备配置变化过程。审计信息如图11所示,通过安全审计系统可进行查看用户操作的完整记录。 图11 审计信息4 配置工具安全加固工程应用本文根据上述安全加固的技术应用研究,结合工程需求,实现了变电站电力监控系统网络安全监测装置配置工具的安全加固。该装置在智能变电站中进行了工程实施,与此配套的配置工具在通信加密、用户访问控制、数据完整性、数据保密性、代码安全、安全审计等方面进行了安全加固,可在一定程度防止对该装置的恶意篡改操作等非法行为,提升了装置的安全运行能力,可满足用户安全加固要求。5 结论本文通过对二次设备配置工具的安全加固,可防止非法用户对二次设备的配置和控制操作,在一定程度上提高了整个智能变电站的安全防御能力。由于本文的安全加固主要针对二次设备配置信息的读写,对设备功能的主要影响是装置起动后加载配置信息时需要加解密和完整性检查,因此对其原有实时功能的影响微乎其微。配置工具的安全不仅应从信息安全方面考虑,而且在实现、部署应用、物理环境、运行管理等各个环节都应进行整体考虑和加强防范。本文以等保3级为原则进行安全加固设计及实现,然而安全无边界,后续还需要进行更高等级要求的技术研究及实现,以进一步提升安全防护能力。