如何对电力电网SCADA和控制系统的运营技术（OT）网络安全进行测试

核心要点

• 针对公用事业的运营技术（OT）网络安全测试必须评估对物理流程的影响，而不仅仅是网络暴露风险或策略覆盖范围。
• 当证据具有可重复性、与资产相关，且基于反映变电站信任边界的测试而形成时，NERC CIP合规性将得到进一步加强。
• 闭环网络物理测试平台为工程师提供了一种安全的方式，用于仿真 、重现场景，并在时序压力下验证控制系统的防护能力。

对电力电网进行有效的运营技术（OT）网络安全测试，将证明市场活动 迫使系统采取不安全的控制措施。

公用事业公司将测试视为一项合规性工作，但其实这项工作的核心在于验证当计时出现故障或命令顺序混乱时，继电器、人机界面（HMI）、网关和控制器会如何响应。这一差距至关重要，因为 美国网络安全与基础设施安全局（CISA）在 。仅凭一份检查清单，无法揭示当工程工作站将错误的设定值推入控制路径时会发生什么。您需要能够将网络流量与物理系统响应相结合的可重复测试。

电力系统中的运营技术（OT）网络安全保障了过程完整性

“电力系统中的OT网络安全通过测试市场活动 物理行为之间的关联，来保障过程完整性。”

一个有用的测试会提出一个直接的问题：攻击者、故障或时机不当的命令是否会以操作员无法控制的方式改变断路器状态、继电器逻辑、电压或频率？

馈线保护方案便是一个典型的例子。如果某台遭到入侵的工程工作站更改了继电器的设置，那么当继电器在故障发生时延迟跳闸、过早跳闸或未能跳闸时，网络安全问题便会凸显出来。您不仅需要检查访问控制日志，还需确认在恶意行为发生后，工艺流程是否仍保持在安全运行限值之内。

这种聚焦使测试始终立足于运营风险。它还有助于将干扰性的市场活动 系统威胁区分开来。登录尝试失败固然重要，但当未经授权的控制命令可能在带载状态下合闸或阻断联锁时，其影响更为严重。那些围绕工艺完整性来定义运营技术（OT）网络安全的团队，所设计的测试能赢得操作员、合规人员和保护工程师的信任。

运营技术（OT）安全与信息技术（IT）安全有所不同，因为时间因素会影响风险

运营技术（OT）安全与信息技术（IT）安全有所不同，因为事件的结果取决于时序、确定性和物理状态。公用事业系统无法像办公系统那样承受延迟，因此必须将延迟、序列和故障安全行为的测试纳入安全验证流程，而非作为独立的可靠性工作来处理。

企业级服务器在打补丁后重启通常不会造成重大损害。但在故障期间暂停工作的保护继电器可能会错过跳闸窗口，而SCADA轮询延迟则可能掩盖设备故障的最初征兆。正因如此，公用事业运营技术（OT）测试必须涵盖数据包时序、协议序列和控制器状态。这样才能同时验证安全性和连续性。

安保人员有时会将IT测试流程引入变电站，并期望得到相同的测试结果。这种做法忽略了系统中存在风险的部分。公用事业运营技术（OT）工作应从过程时序测试入手，因为如果不了解延迟或错误指令会对保护和控制系统产生何种影响，就无法评估网络安全风险。一旦完成了时序测试，测试结果才具有实际运营意义。

NERC CIP合规性需要可重复的控制系统证据

NERC CIP合规要求提供可重复验证的证据，以证明每项必需的安全防护措施在您所确定的资产上均能有效运行。审计人员不仅会审查政策文本，更需要确凿证据，证明访问控制、补丁管理、监控、恢复以及配置控制等措施在支撑大电网运行的各类网络系统中均能切实落实。

一个配备电子安全围栏的变电站可以说明这一点。你可以记录防火墙规则和远程访问批准信息，但仍然需要测试记录来证明流量已按预期进行过滤，且获批的访问能够到达正确的跳转主机，并伴有完整的日志记录。补丁控制也是如此。维护记录固然重要，但在打补丁后进行可重复的验证更为关键，因为中继设置和服务可能会发生变化。

有效的证据应具有一致性、标注日期，并与资产清单相关联。每次测试都应采用相同的测试方法，这样审核人员才能看出哪些方面发生了变化，哪些方面保持稳定。这种规范性也有助于您的工程团队。当后续出现控制问题时，您已经拥有了一个基准，可以显示设备在变更前后的工作状态。

变电站测试应首先优先考虑每个信任边界

在测试变电站时，应首先优先考虑每个信任边界，因为大多数具有破坏性的路径在到达控制操作之前都会经过一个交接点。通过测试流量在各区域之间的流动情况，比使用相同的常规流程扫描每个设备并指望关键路径自动出现，能获得更好的覆盖率。

一个变电站通常具有比图中所示更多的信任边界。远程供应商会话、变电站人机界面（HMI）、继电保护工程端口以及网关回传线路，都会形成通向同一过程的不同路径。每条路径都有其自身的身份验证、协议和监控假设。测试从这些假设与实际控制逻辑交汇之处开始。

• 控制中心非军事区需要对经批准的公用协议进行严格过滤。
• 变电站网关需要对每次远程维护连接进行会话控制。
• 站内总线需要明确区分操作员流量和中继工程流量。
• 过程总线需要对伪造消息和时序漂移进行检测。
• 串行端口或供应商服务端口需要物理访问控制和会话日志记录。

这种顺序确保了工作的实用性。您将首先测试那些通常会出现远程访问错误、流量路由错误以及防火墙规则过于宽松的瓶颈点。这也有助于开展 NERC CIP 相关工作，因为信任边界与边界控制、访问点以及已记录的会话相吻合。从边界开始排查的团队通常能更早地发现风险最高的路径，从而减少在影响较小的扫描上浪费精力。

测试计划应将威胁与设备行为建立对应关系

测试计划应将威胁与设备行为建立映射关系，确保每个测试场景都将一种网络攻击技术与一个控制结果相关联。按照这种方式制定的计划会明确告知您：应注入什么内容、应观察设备的哪些状态、应监控哪些进程参数，以及哪些结果将被视为安全、不安全或不确定。

继电器设置变更、向断路器控制器发送的伪造命令以及时间同步丢失，绝不应被归入同一个通用测试类别。每种情况对过程的影响各不相同。公开的工业控制系统（ICS）技术矩阵列出了超过 100种针对工业控制系统的攻击技术。这一广度说明了为何需要建立将技术与设备响应相联系的威胁场景，而不是依赖“恶意软件”或“未经授权的访问”等笼统的标签。

一种测试场景可以追踪虚假的“开”指令如何从遭到入侵的人机界面（HMI）传播到智能电子设备，随后监控断路器状态、报警时机以及操作员的确认情况。另一种场景则可针对历史数据流，验证当操作员看到过时数据时，工艺流程能否保持安全。通过这种方式对威胁进行建模，您的测试计划便具有可量化性。您可以在固件更新、网络变更或保护设置修订后重复该测试，并清晰地比较测试结果。

安全攻击仿真 一个闭环的网络物理测试平台

“安全攻击仿真 一个闭环的网络物理测试平台，因为在安全验证过程中，生产系统无法承受受控故障。您需要一个实验室环境，其中网络流量、控制器、保护装置和电力系统模型能够实时响应，从而在不影响现场运行的情况下显现出不安全的影响。

一种实用的测试环境可以将数字电力系统模型与继电器、人机界面（HMI）、SCADA主站以及细分市场 相结合细分市场 注入格式错误的流量、延迟或未经授权的命令。该闭环测试至关重要，因为攻击本身仅是整个过程的一半。该模型展示了在网络安全事件发生后，馈线、断路器逻辑和保护序列的响应情况。 当工程师需要让电气模型与控制堆栈以实验室速度相互运行时，OPAL-RT 正是此类工作的理想选择。

与在运行中的设备上进行测试相比，这种方法能获得更安全、更可靠的测试结果。该测试平台还支持可重复性。如果某次攻击导致误触发，您可以在修改防火墙规则或应用固件补丁后重放相同的流量，以查看实际结果是否有所改善。仅凭生产日志很难得出这样的证明。

能否通过审计，取决于每次测试中能否提供可重复的证据

能否通过审计取决于每次测试都能提供可重复的证据，因为一次性的结果无法证明控制措施在长期内的有效性。您需要保留记录，说明测试了哪些资产、采用了哪些条件、预期结果是什么、实际发生了什么，以及由谁审核了结果。

远程访问测试中一份有力的证据包应包括：经批准的变更时间窗口、设备标识符、捕获的防火墙和身份验证日志、所观察会话路径的屏幕截图或导出文件，以及关于流程影响的简要说明。中继恢复测试还应保留测试前后的配置文件、触发条件以及操作员的确认签字。这些记录使您即使在数月后，也能回答同样的问题，而无需凭记忆重新还原整个事件。

这种结构的作用不仅限于审计室。它还能支持维护规划、事件后复盘，以及运维与工程团队之间的交接。由于成功标准是在执行前就已明确写明的，因此大家就测试结果的含义产生争议的可能性会降低。可重复的证据使安全测试成为一项经得起审查的可控活动。

当验证仅停留在纸质控制措施时，大多数项目都会失败

大多数计划之所以失败，是因为验证工作仅止步于书面控制措施——书面要求并不能证明运营韧性。政策、清单和程序固然重要，但它们仅能体现预期的操作方式。公用事业公司只有通过测试网络故障、访问滥用和时序错误如何影响实际控制行为，并确保相关证据始终保持最新，才能获得值得信赖的结果。

“书面规定固然重要，但它们只能证明有人制定了这条规则。”

变电站团队仍需验证：固件更新后继电器的运行状况如何、网关如何处理格式错误的数据包突发，以及当数据质量下降时操作站如何响应。这些检查使运营技术（OT）网络安全具有可信度。它们表明，系统能够承受攻击、保持安全状态，并以可预知的方式恢复。

这也正是为何实验室执行必须严格遵守规范。当任务需要将电网活动与 电力系统 响应相结合，且需在严格的时序约束下进行。那些始终将测试工作建立在流程完整性、信任边界和可重复证据基础上的团队，随着时间的推移，将建立更坚实的NERC CIP合规性，并构建更可靠的控制系统保护机制。