2015年12月，烏克蘭電力公司設備遭到黑客攻擊，并導致大規模停電事件，已引起公眾極大的恐慌。本文結合目前我國電力行業的工業控制網絡結構及APT攻擊的主要環節，分析我國電力系統面臨的威脅，并給出相應的安全防護措施。

　　烏克蘭電力攻擊事件概述

　　2015年12月23日

　　烏克蘭的伊萬諾-弗蘭科夫斯克州地區發生多處同時停電事件，攻擊者控制了電力系統，并遠程關閉了電網，導致140萬居民在黑暗中度過。

　　2015年12月27日

　　黑客使用高度破壞性的惡意軟件，感染了至少3個地區的電力部門的基礎設施，導致了發電設備產生故障，引起了公眾恐慌。

　　2016年1月4日

　　ESET公司發表文章稱，烏克蘭境內的多家配電公司設備中監測到的KillDisk，由此懷疑使用了BlackEnergy后門，攻擊者能夠利用它來遠程訪問并控制電力控制系統。

　　本次攻擊主要采用社會工程學的方式針對烏克蘭電力部門工作人員，以釣魚郵件方式，附帶木馬XLS文件，誘惑用戶打開這個文件，從而運行木馬，安裝SSH后門。攻擊者可以針對目標下發工業控制指令，運行killdisk組件進行系統自毀，導致電網失效并延長系統恢復時間。本次攻擊過程的時間周期不長，但明顯符合當下APT攻擊的行為方式，與幾年前的伊朗核電站“震網”病毒事件有著驚人的相似度。

　　下面結合目前我國電力行業的工業控制網絡結構及APT攻擊的主要環節，分析我國電力系統面臨的威脅，并給出相應的安全防護措施。

　　國內電力行業工控系統安全風險及應對

　　風險分析

　　從烏克蘭事件不難看出，對于電力系統的攻擊導致的斷電的情況已經真實發生。從實際攻擊的手法來看，無論對于電網的控制系統還是電廠的控制系統都是存在一定風險的。盡管國內工控系統多以封閉網絡為主，通過橫向隔離裝置進行單比特的校驗和單比特的回送確認，像烏克蘭電力攻擊事件這樣的惡意代碼，很難通過管理信息大區滲透到生產控制大區中?？v向邊界處，通過縱向加密認證的方式，來保障通道的安全;通過通信劫持的方式，很難植入惡意代碼，來影響電廠的廠站側和發電廠控制系統的運行。但是，在電力系統的整個運行周期上來觀察，仍然存在著諸多的由脆弱性結合內外部導入的威脅所帶來的潛在風險，廠站側無論是變電站還是電廠都存在外部運維人員管理措施不足和內部介質隨意使用的情況。在烏克蘭事件中，如果在其惡意代碼中加入相關的控制指令，或者加入DOS攻擊的代碼，攻擊者只需要誘使內部或者外部運維人員把惡意代碼帶入的廠站環境中，在打開文件或者調用動態鏈接庫時，就可能觸發惡意代碼的執行，如果惡意代碼中有相關的定時器，在與本地時鐘同步后，就可能在特定的時間對廠站的系統發起攻擊，影響電力工控系統的運行。

　　應對措施

　　綜合上述目前烏克蘭電力的攻擊事件的特點，同時結合我國電力的特點，我們從主機、網絡和管理三個維度來提出應對電力工控安全防護的建議。

　　A、工控主機安全防護建議

　　·關閉系統中不必要的應用和服務，不給類烏克蘭電力攻擊的惡意代碼提供潛在的滲透機會。

　　·修改系統缺省的用戶名和密碼，適當增強密碼的配置強度，加大類烏克蘭電力攻擊的惡意代碼提供攻擊的難度。

　　·禁止外接設備，必要的情況下使用專用的安全U盤，阻斷潛在的攻擊路徑。

　　B、工控網絡安全防護建議

　　·部署工控審計系統，全面采集工業控制系統相關網絡設備的原始流量以及各終端和服務器上的日志;結合基于行為的業務審計模型，對采集到的信息進行綜合分析，識別發現業務中可能存在的異常流量與異常操作行為;

　　·部署工控堡壘機對運維過程進行有效的監控，監控運維過程中的操作行為，并發現其中惡意的操作行為。

　　·在控制站和控制器之間采用工控防火墻和白名單，防止惡意指令的控制下發和惡意軟件的配置下裝。

　　管理措施

　　·在工業控制系統的日常運行階段，應建立相應的人員安全管理制度及安全意識培訓機制，明確系統操作、管理人員的職責及授權，建立相關人員的操作行為監管及審計機制;

　　·運維人員對生產大區范圍內的上位機及操作員站進行操作時，要遵從嚴格的審批流程，填寫操作票及工作票，并在有監督人員在場的情況下按照操作流程進行操作。