今日頭條
官方微信
官方抖音
資訊頻道摘要:為了進一步指導做好工控系統信息安全事件應急管理相關工作,保障工控系統信息安全,國家工業和信息化部在2017年5月31日印發了《工業控制系統信息安全事件應急管理工作指南》,在總則、組織機構與職責、工作機制、監測通報、應急管理、應急處置、保障措施等方面提出了工作指南,要求堅持政府指導、企業主體,堅持預防為主、平戰結合,堅持快速反應、科學處置,充分發揮各方力量,共同做好工控安全事件的預防和處置工作。本文對電廠工控系統組成及其功能進行研究,結合技術手段,提出一種電廠網絡安全事件應急處置思路,完成電廠網絡安全應急處置工作。
關鍵詞:電力系統;工控系統;應急處置
Abstract: In order to improve the work related to the emergency management of information security in industrial control systems and ensure the information security of industrial control systems, the Ministry of Industry and Information Technology of the People’s Republic of China issued the "Guidelines for Emergency Management of Information Security Incidents in Industrial Control Systems" on May 31, 2017. The Guidelines talks about the general rules, organizations and responsibilities, working mechanism, monitoring circulars, emergency management, emergency disposal, safeguards and other aspects of the Emergency Management of Information Security Incidents. Meanwhile, the Guidelines requires to adhere to the government's guidance, the main body of enterprises, adhere to the combination of prevention and war, adhere to rapid response, scientific disposal, give full play to all forces, and jointly do well in the prevention and disposal of industrial and safety incidents. In this paper, we composite the functions of the industrial control system with technical means and come up with a new way to deal with the power plant emergency situation.
Key words: Power system; Industrial control system; Emergency response
1 引言
近年來,隨著信息技術和工業技術的不斷發展與融合,工業互聯網應運而生,成為制造業數字化、網絡化、智能化的重要載體,工業互聯網給工業企業帶來高效、高質、便捷等優勢的同時,也將工控系統暴露在互聯網上,因此工控系統的安全隱患日益增多。為了進一步指導做好工控系統信息安全事件應急管理相關工作,保障工控系統信息安全,國家工業和信息化部在2017年5月31日印發了《工業控制系統信息安全事件應急管理工作指南》,在總則、組織機構與職責、工作機制、監測通報、應急管理、應急處置、保障措施等方面提出了工作指南,要求堅持政府指導、企業主體,堅持預防為主、平戰結合,堅持快速反應、科學處置,充分發揮各方力量,共同做好工控安全事件的預防和處置工作。
因此,本文對電廠工控系統組成及其功能進行研究,結合技術手段,提出一種電廠網絡安全事件應急處置方法,完成電廠網絡安全應急處置工作。
首先,針對電廠的信息安全事件應急處置,結合網絡安全事件的應急處置過程與電廠網絡管理實際情況, 研制貼合電廠網絡環境的應急處置方案。
其次,對安全事件進行統一管理、收集安全事件信息、處置過程數據,并在平臺的協助下對這些數據進行分析形成處置模型,使得處置經驗得以固化。
最后,依靠應急處置經驗模型引入應急處置實踐過程可以直接提高應急處置效率、精準度,將應急處置工作帶入良性循環當中。
2 相關研究
2.1 電廠工控網絡安全事件類型研究
DCS控制系統的網絡結構和設備配置,系統遭受網絡攻擊、病毒感染造成的信息安全事件可分為以下三大類:DCS網絡故障、工程師站/操作員站故障、DPU控制器組態邏輯破壞,具體如表1所示。
表1 DCS控制系統三類信息安全事件
SIS系統的網絡結構和設備配置,系統遭受網絡攻擊、病毒感染造成的信息安全事件可分為以下三大類: 系統網絡故障、工程師站/操作員站故障、DPU控制器 組態邏輯破壞,具體如表2所示。
調度數據網系統根據網絡結構和設備配置,系統遭受網絡攻擊、病毒感染造成的信息安全事件,具體如表3所示。
表3 調度數據網系統信息安全事件
其他可能的安全事件不在此一一舉例。
2.2 電廠工控安全事件應急處置工作現狀
工控安全事件是指由于人為、軟硬件缺陷或故障、 自然災害等原因,對工控系統、工控系統數據造成或者可能造成嚴重危害,影響正常工業生產的事件。近年來,工控安全事件頻發,網絡安全事件是網絡安全風險的最終結果體現。在新的網絡安全管理工作格局下,網絡安全事件應急工作的重要性日益凸顯,覆蓋面日趨廣泛,業務流的成熟度和復雜度日益提高,對信息化手段的依賴程度也將進一步增強。但是目前制約應急處置工作實現全面上水平、行業領先的最突出問題就是信息化水平低。
電廠由于其系統環境的嚴苛性,在部分事件中要保證生產的順利進行,無法外接設備達到處置的目的,傳統的應急手段存在一定的限制。另外,網絡攻擊方法日益新穎,攻擊手段復雜,技術人員在操作的過程中,也會面臨“數據采集困難”、“大量數據分析困難”、“分析準確度偏低”等一系列問題。
3 電廠網絡安全應急處置方法
通過對電廠可能出現的網絡安全事件進行研究,提出一種“平臺+制度+工具”的應急處置管理執行體系。采用引導式應急管理、處理流程。通過建立應急處置管理平臺,對電廠環境中可能發生的安全事件進行預置,細分電廠工控安全事件應急處置場景,設置相應的應急處置步驟。根據事件現象,在界面上根據引導完成事件類型的判定。并在每個步驟上提供處置反饋的錄入,從數據上實現應急處置過程、數據的可追溯、可統計。在平臺提供的應急處置自動化引導過程中,結合現場電廠網絡安全應急處置專用工具,實現電廠網絡安全事件應急處置取證、分析工作。在現場電廠網絡安全應急處置工具中,提供適應電廠操作站主機環境的專用取證工具與分析工具。實現主機操作系統日志的自動提取,實現中間件日志文件的獲取。在信息提取的同時,對取證數據進行哈希登記,以備取證數據的完整性檢查。特別地可以通過操作系統內存、硬盤的鏡像Dump,實現對主機操作系統實時運行進程狀態的提取。在分析方面,結合所獲取的日志、所發現的惡意代碼等取證數據,通過內置的安全事件分析模型實現了安全事件的自動分析。
電力工控系統應急處置向導:預設置電力工控系統重要節點可能發生的安全事件及其相應的應急處置步驟方法。提示應急處置人員操作步驟及操作方法,及時恢復生產。
現場取證工具:現場處置工具之一,為應急處置實施單位現場調查取證用工具,收集信息包括人員訪談、證據固定、痕跡提取、系統采樣、安全檢查等功能。事件管理分析工具:現場處置工具之一,根據應急預案指導處置人員現場按步驟實施,并對現場取證工具提取到的信息進行整理分析的專用工具,功能包括樣本分析、痕跡分析、溯源分析。
3.1 現場取證
取證是為了盡可能多地獲取現場相關數據信息,涉及工作站、網絡設備、安全設備、控制設備等工業控制系統現場相關設備。所有的取證數據均以哈希碼進行登記,在最后的完整性、可靠性校驗時提供必要的比對數據。
現場取證通過對應的數據取證、采樣軟件自動完成文件數據提取工作。取證功能包括人員訪談、證據固定、痕跡提取、系統采樣、安全檢查等,如圖1所示。
圖1 現場取證要點
證據固定功能包括:磁盤證據固定、內存證 據固定;
痕跡提取功能包括:系統日志提取、中間件日志提取、數據庫日志提取、組態工作日志提取;
系統采樣功能包括:登錄記錄采樣、文件使用記錄采樣、網絡連接狀態采樣、啟動項采樣、工控流量采樣等;
安全檢查功能包括:病毒木馬檢測、漏洞檢測、安全配置檢測等。
3.2 事件分析
對現場取證工具獲取的日志信息、系統采樣信息、后門信息、現場訪談數據等進行匯總,同時與應急處置管理平臺聯動,獲取事件相匹配的應急處置經驗模型。在進行數據整合關聯分析的過程中,提出采用“回旋分析法”分析安全事件過程,并串聯關鍵事件,達到安全事件分析的目的。在本地分析算法與平臺應急處置經驗模型的作用下完成樣本分析、痕跡分析、溯源分析,最終形成包含攻擊源、攻擊手法、攻擊路徑、攻擊過程在內的應急處置事件分析結果,如圖2所示。
圖2 回旋分析法
應急處置實施人員,在得到事件分析結果后上報上級部門,由上級部門確認應急處置結果。同時分析結果通過接口上傳至應急處置管理平臺。
3.3 技術要點
(1)電力工控系統病毒木馬檢查、電力監控系統流量異常分析與應急處置結合
將電力工控系統病毒木馬檢查、電力監控系統流量異常分析與應急處置結合。取證工具除支持常見的木馬病毒外,該模塊的病毒檢測引擎支持檢測震網病毒、 火焰病毒等工控病毒及其變種。將電力監控系統流量分析終端以旁路部署的方式接入生產控制層中的核心交換機,采用流量鏡像、高效網絡包重組、流重組、協議解析、會話內容識別的方法進行分析,在完全不影響現有系統的生產運行的前提下,發現異常設備和運行情況。在協議識別上,使用已建立的三維規則協議特征信息鏈表進行檢測,識別電力監控系統工業控制協議。通過對原始數據的建模分析,深入挖掘異常信息。結合“回旋分析法”,從而有效發現和界定異常設備及風險操作, 進而開展有效的應急處置工作。
將所發現的病毒、木馬結合流量威脅發現結果進行了綜合分析。結合流量分析結果威脅的五元組信息,和本地數據取證時所獲取的端口、進程信息,標記風險進程同時進行進程文件反查定位惡意文件。
(2)設備可恢復性設計
考慮到在應急響應處置過程中可能出現的惡意軟件,以及應急處置設備的使用場景,為避免惡意軟件在下次使用時感染其他電力工控系統設備,對應急處置設備進行可恢復性設計。將設備磁盤進行分區,設為數據區與恢復區。數據區為設備工作應用,恢復區為初始備份且不可更改。在應急處置設備完成一次應急處置工作后,通過恢復區對數據區內容進行替換,保障數據區安全性,從而達到保障設備高安全性的目的。
4 結語
綜上所述,針對電廠工控系統中的安全事件,結合電廠工控系統特點,建立一套有效的“平臺+制度+工具”的應急處置體系。以取證、分析、管理等手段,實現電廠工控網絡安全事件的應急處置過程的管理與操作指引,達到應急處置工作的實際落地目的。針對電力工控系統環境中實行應急處置的自動化程度低、操作難度大、可靠性不足等問題,使用本文所述方法可以得到很好解決。
作者簡介:
孟瑜煒(1983-),男,浙江紹興人,工程師,博士,現就職于浙江浙能技術研究院,研究方向是計算機科學與技術。
謝增孝(1971-),男,浙江天臺人,工程師,學士,現就職于浙江浙能中煤舟山煤電有限責任公司,主要從事火力發電廠設備管理工作。
劉軒驛(1992-),男,浙江衢州人,工程師,碩士,現就職于浙江浙能技術研究院,研究方向是信息安全及計算機應用。
俞榮棟(1981-),男,浙江杭州人,高級工程師,博士,現就職于浙江浙能技術研究院,研究方向是計算機科學與技術。
朱繼峰(1976-),男,浙江寧波人,高級工程師,碩士,現就職于浙江浙能中煤舟山煤電有限責任公司,研究方向是自動化。
張信情(1973-),女,浙江寧波人,工程師,現就職于浙江浙能中煤舟山煤電有限責任公司,研究方向是信息管理及網絡安全。
吳林峰(1988-),男,浙江樂清人,工程師,碩士,現就職于浙江浙能技術研究院,研究方向是工業信息化
參考文獻:
[1] 國家能源局.電力監控系統安全防護專項監管報告發布[EB/OL].http://www.nea.gov.cn/2017-05/03/c_136253418.htm,2017-05-03.
[2] 王功聰,王景中,王寶成.基于數據包內容的網絡異常行為分析方法研究[J].信息網絡安全,2013,13(12):58–61.
[3] 中央信息網絡和信息化領導小組辦公室.中央網信辦關于印發《國家網絡網絡安全事件應急預案》的通知[EB/OL].http://www.cac.gov.cn/2017-06/27/c_1121220113.htm,2017-6-27.
[4] 湯奕,王琦,倪明,等.電力信息物理融合系統中的網絡攻擊分析[J].電力系統自動化,2016,40(6):148-151.
摘自《自動化博覽》2020年8月刊
北京市公安局海淀分局備案號:11010802023656號