今日頭條
官方微信
官方抖音
資訊頻道
張晉賓
教授級高級工程師西南電力設計院總工程師
(1967-),男,漢族,中共黨員,現就職于西南電力設計院,任設計總工程師,長期從事電力設計、咨詢、研究及管理,智能設計軟件的研發及應用管理工作等。
能源是現代化的基礎和動力。能源供應和安全事關我國現代化建設全局。因此,在國務院2014年印發的“能源發展戰略行動計劃(2014-2020年)”中提出了我國要加快構建清潔、高效、安全、可持續的現代能源體系。
作為國際標準組織之一的IEC(國際電工委員會),將“信息安全”定義為使信息免受不論是由于有意還是無意的,非授權的公開、傳輸、變更或破壞的防護。
圖1為美國Verizon發布的2014年度各行業遭受的惡意軟件攻擊頻度統計分布圖表。由圖1可見,能源行業已成為僅次于零售業的主要攻擊目標。
圖1平均每周惡意軟件攻擊事件頻度行業分布
現今,能源行業的運轉已離不開工業自動化和控制系統(以下簡稱“工控系統”)。倘若工控系統沒有適當的信息安全等級防護,有如不對潘多拉魔盒加以管控,則必定會對其受控對象——能源過程帶來不可預估的后果。
1 監控系統安全總體架構
電能作為高效、優質、綠色的能源,在社會生活的方方面面起著越來越重要的作用。經過改革開放后三十多年的快速發展,我國電力工業取得了長足進步。在“十二五”期間,我國發電裝機規模和電網規模已雙雙躍居世界第一位。當前發電廠、變電站等電力基礎設施的工控系統基本上都采用了智能儀器儀表設備(如帶Hart協議的智能變送器、Profibus或FF等現場總線儀表或設備等,推廣采用符合IEC 61850的智能電子設備IED)和計算機監視控制系統(如DCS分散控制系統、FCS現場總線控制系統、PLC可編程序控制器、SCADA監控和數據采集系統等),實現了對電網及電廠生產運行過程的計算機監視和控制。
總體來講,基于計算機技術的電力監控系統(包括電力數據采集與監控系統、能量管理系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電自動化系統、微機繼電保護和安全自動裝置、廣域相量測量系統、負荷控制系統、水調自動化系統和水電梯級調度自動化系統、電能量計量計費系統、實時電力市場的輔助控制系統等),在確保我國電力安全生產、節能降耗、經濟環保運行方面發揮了重大作用。
電力行業計算機系統的信息安全防護成規模成系統部署,始于2002年5月原國家經貿委發布的第30號令,即《電網和電廠計算機監控系統及調度數據網絡安全防護規定》,及2004年12月原國家電力監管委員會發布的第5號令,即《電力二次系統安全防護規定》。原電監會5號令中指的“電力二次系統”,包括電力監控系統、電力通信及數據網絡等,基本等同于原經貿委30號令中所提的電網和電廠計算機監控系統及調度數據網絡。十余年來,我國電力監控系統信息安全從無到有,取得了較大的進步。現今,電力行業的工控信息安全防護均執行國家發展和改革委員會2014年第14號令,即《電力監控系統安全防護規定》。電力監控系統的安全防護遵循“安全分區、網絡專用、橫向隔離、縱向認證”的原則,其安全防護的總體架構如圖2所示。
圖2 電力監控系統安全防護總體架構示意圖
專用橫向單向安全隔離裝置,生產控制大區內的控制區(安全區Ⅰ)和非控制區(安全區Ⅱ)之間設置邏輯隔離裝置(如防火墻等具有訪問控制功能的設備)。電力調度數據網采用專用通道,并使用獨立的網絡設備組網,也可細分為實時子網和非實時子網,并與生產控制大區控制區和非控制區互聯。其間安全隔離采用電力專用縱向加密認證裝置或加密認證網關或硬件防火墻。
由此可見,我國電力行業的工控信息安全起步較早,并保持了持續穩定的發展態勢,基本上未發生較大以上的網絡安全事件,保證了電力行業重要信息基礎設施的安全、穩定和高效運行。
2 存在的差距及不足
雖然建立了相應的安全防護體系,但冷靜、客觀地分析,并與國際先進水平相比,我國電力行業工控信息安全仍存在不少不足或欠缺之處。
2.1 安全防護標準體系不健全
與國外發達國家工控系統安全防護比較,國內的安全防護從標準體系上就不健全。西方少數國家早在20世紀90年代前后就開始了工控系統信息安全的標準化工作,如英國于1995年就發布了關于信息安全管理系統的標準BS 7799。國際標準組織在BS 7799標準基礎上,制定了信息安全管理體系ISO/IEC 27000系列國際標準。美國國家標準與技術研究院從20世紀80年代開始就陸續發布了一系列信息安全的報告,其中知名的有NIST SP800-82“工控系統(ICS)信息安全指南”等。IEC基于美國自動化國際學會ISA 99系列標準,先后制定了工控系統信息安全IEC 62443系列標準,如圖3所示。
圖3 IEC 62443系列標準
國內針對常規信息系統的信息安全等級保護標準較為系統和全面,但針對工控系統的信息安全標準十分欠缺。當前國內所發布的與工控系統信息安全相關的國家標準僅有2部,即GB/T30976.1-2014“工控系統信息安全-第1部分:評估規范”和GB/T 30976.2-2014“工控系統信息安全-第2部分:驗收規范”。
具體到能源行業,其針對性的專門信息安全防護標準國內幾乎沒有。如以火電廠為例,國內尚無專門的信息安全設計標準,當前只是在部分相關標準中少量、分散地提及一些要求而已。如在國家標準《大中型火力發電廠設計規范》GB 50660-2011中,所涉及的信息安全內容篇幅不到半頁紙,僅提到了訪問控制、數據恢復、防病毒、防黑客等寥寥幾點。
在美國和加拿大,電力行業需遵循NERC(北美電力可靠性組織)早在2006年就已制定的 CIP(關鍵基礎設施防護 )標準,化工行業需遵循CFATS(化學設施反恐標準)標準等。CIP系列標準包括CIP-001 “破壞報告”、CIP-002“信息安全-關鍵信息系統資產識別”、CIP-003“信息安全-安全管理控制”、CIP-004“人員及培訓”、CIP-005“信息安全-電子安全邊界”、CIP-006“信息安全-物理安全”、CIP-007“信息安全-系統安全管理”、CIP-008“信息安全-事故報告及響應計劃”、CIP-009“信息安全-關鍵信息系統資產的恢復計劃”、CIP-010“信息安全-配置變更管理和脆弱性評估”、CIP-011“信息安全-信息防護”、CIP-014“物理安全”等。
2.2 防護水平不高和發展不平衡
當前,針對工控系統的攻擊類別層出不窮。圖4展示了SANS學院發布的2014年度針對工控系統的頂級威脅分布矢量圖。由圖4可見,對工控系統信息安全的威脅,外部攻擊只占其中一部分,而來自內部的威脅不容忽視。
圖4工控系統頂級威脅矢量圖
但是,國內絕大多數企業的信息防護只注重邊界防護,主要采用防火墻、網閘、入侵檢測系統、入侵防護系統、惡意軟件檢測軟件等標準安全工具,只達到國際標準所要求的SL 1級或SL 2級。一方面,這些防護手段只能提供簡單的、低資源、低動因的一般防護,對于由敵對國家或犯罪組織等主導的黑客攻擊防護而言則遠遠不夠。例如,跨站腳本(XSS)、路過式(Drive-by)下載、水坑(watering holes)、封套/打包等攻擊,可利用合法的網站或軟件作隱蔽外衣,常常能旁路常規的防護手段,且難以檢測其攻擊行為。另一方面,邊界防護不能對內部威脅進行有效防護,因此還需采取對員工和承包商嚴格的訪問控制、背景檢查、監管、鑒別、審計、靈巧密碼復位策略等綜合防護措施。此外,國內很少關注撒旦(Shodan)搜索引擎,而該引擎可找到幾乎所有與互聯網相連的設備。如果沒有一定強度的防護措施,則與互聯網相聯的工控系統和設備則如皇帝新衣般暴露于光天化日之下,極易受到攻擊。
在電力行業網絡與信息安全防護工作方面,還存在嚴重的發展不平衡現象。由于重視程度及投入差異等諸多原因,電網企業防護水平明顯優于發電企業,傳統類型發電企業防護水平明顯優于新能源類發電企業,電網生產系統防護水平明顯優于營銷系統等。
2.3 其它方面
由于國內工控安全的發展時間較短和研發投入不足,普遍缺乏針對工業特點的系列齊全的信息安全產品。如滿足2級、3級、4級不同等級保護要求的工控操作系統、數據庫系統等。由于強調可靠性、成熟度等因素及歷史原因,所采用的工控設備國外產品居多,安全漏洞掃描查找困難較大。
此外,在基層部門,還或多或少存在以下誤區或不足:
(1)缺乏風險管控理念,忽視信息安全的總體規劃和安全設計;
(2)重信息安全技術措施,輕信息安全管理措施;
(3)重視網絡安全,忽視物理安全、應用安全、系統安全等其它方面;
(4)重視邊界防護,忽視有效的縱深或深度防護;
(5)重視控制系統防護,忽視現場級智能儀表或設備的接入側防護;
(6)缺乏對遠程訪問有效的管控手段。
(7)因匱乏工業級信息防護產品,常將商用信息安全設備用于工控系統中。
3 需求分析
3.1 行業需求
信息安全是為其宿主服務的。因此需先對其服務對象——能源行業進行需求分析。
按照國家行動計劃,能源戰略發展方向是綠色、低碳、智能;長期目標主要是保障安全、優化結構和節能減排;重點發展領域有,煤炭清潔高效利用(包括高參數節能環保燃煤發電、整體煤氣化聯合循環發電等)、新一代核電、分布式能源、先進可再生能源、智能電網、智能電廠等。
煤炭清潔高效利用主要是發展大容量、高參數、節能環保型發電機組,由此帶來壓力容器與壓力管道的數量增多、壓力等級提升,從而使面臨的危險更大。基于核電站已基本不采用工控模擬系統,大力推廣工控系統的數字化,其工控系統的信息安全等級要求更高,需求更為急迫。當前電廠、電網的數字化、網絡化、智能化發展如火如荼,智能儀表/控制設備、無線傳感/控制網絡等的大量采用,電廠/電網內IOT(物聯網)、IOS(服務互聯網)的推廣,正在形成泛在的傳感、泛在的計算、泛在的控制,網絡邊界動態及模糊,信息管控面和量劇增,對信息安全形成更大的挑戰。虛擬電廠是電力行業網絡化繼續向前推進的一個顯著代表,是一種新型的發電模式,是分布式發電集控或群控技術的發展。其網絡互聯主要是通過LAN、WAN、GPRS、ISDN或總線系統而實現。所采用的工控系統信息安全應適應虛擬電廠的地域分散性、控制的實時性和可靠性的需求。
在信息安全中,傳統的安全目標三角是C(保密性)、I(完整性)和A(可用性)。對于IT應用,其安全優先級排列順序為CIA;對于工控系統,通常認為安全優先順序應為AIC。綜合能源行業因素,考慮到工控系統的應用對象及其重要性,能源控制系統的網絡安全目標不是CIA,也不是AIC,而應是SAIC四角,即在CIA基礎上增加S(安全),且優先級最高。
3.2 信息安全平臺需求
傳統的信息安全防護是采用多層、點狀的防護機制,如防火墻防護、基于應用的防護、IPS、抗病毒、端點防護等。從安全角度看,上述機制主要是基于狀態檢測原理,處于分割狀態,不能提供完善的防護,如7層可見度、基于用戶的訪問控制等。
因此,宜采用具有完整的、高度融合的、防范內外威脅且減小成本的工控信息安全平臺。選擇或構建的新型安全平臺必須具有至少以下9個方面的能力。
(1)利用威脅防范智能核集成網絡和端點安全;
(2)基于應用和用戶角色,而不是端口和IP,對通信進行分類;
(3)支持顆粒度可調的網絡分段,如基于角色或任務的訪問等;
(4)本質閉鎖已知威脅;
(5)檢測和預防未知惡意軟件的攻擊;
(6)阻止對端點的零日攻擊;
(7)具有集中管理和報告功能;
(8)支持無線和虛擬技術的安全應用;
(9)強大的API和工業標準管理接口。
3.3 政府管理層面的需求
信息安全是一個多維度、多學科、技術和管理并存、動態發展的綜合體。要達到國家等級保護3至5級(特別是4級以上),或國際標準所定義的SL3級或SL4級信息安全等級,沒有國家及政府層面的介入,單憑企業的力量是難以實現的。
在美國,其國土安全部下屬的NCCIC(國家信息安全和通信一體化中心)和專門成立的ICS-CERT(工控系統-信息安全應急響應工作組),核心任務是幫助關鍵基礎設施資產所有者降低相關控制系統和工藝過程的信息安全風險。ICS-CERT是以天為單位響應每天所發生的信息安全事件,通過與公司網絡的連接,覆蓋幾乎所有的與控制系統環境損害有關的攻擊事件。在2014年,ICS-CERT曾對兩類針對控制系統的高級威脅作出及時響應:其一為采用水坑式攻擊的Havex;其二為利用控制系統脆弱性,直接控制人機接口的BlackEnergy。
為了應對日益增多的針對基礎設施控制系統的威脅,我國也應成立類似的、專門的能源等基礎設施信息安全機構和工作組,從政府層面指導、監督、幫助核心企業應對信息安全風險。
4 結語
鑒于能源行業的特點及信息安全的覆蓋面,應從國家層面開展能源領域控制系統與工控信息安全應用示范。示范宜遵循總體規劃,針對對象特點和功用的分步驟/分階段/分區域試用,最后再系統性地集成工程應用的工作模式。考慮到信息安全的維度和深度,宜做好研發和應用示范的總體規劃,原則上每一信息安全產品均應經過策劃、評審、研制、測試、試用、消缺、驗收、推廣的過程,成熟一個推廣一個,并應做好實施后的定時評測和安全加固。
在應用示范的基礎上,宜形成適合能源特點的、滿足工控實時性和可靠性需求的信息安全CBK(公共知識體系),包括安全管理、安全體系結構和模型、業務持續性計劃、法律法規、物理安全、操作安全、訪問控制系統和方法、密碼、網絡安全、應用開發安全等。此外,為方便信息產品的安裝設計、選型應用,國家主管部門宜定期公布各類符合要求的、不同等級的信息安全產品信息。
參考文獻:
[1] Mark Merkow, Jim Breithaupt. Information security: Principles and practices[M].Pearson education, Inc, 2008.
[2] SANS Institute. 2014 survey on industrial control system security [R].
[3] Jason Glassberg. Four stealthy cyber attacks targeting energy companies[J].Power,2015, (9): 56 -59.
[4] Mario Chiock, Del Rodillas. Defining the 21st century cyber-security protection platform for ICS[R].
摘自《工業控制系統信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號