今日頭條
官方微信
官方抖音
資訊頻道對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō),越來(lái)越多的電網(wǎng)變電站接入網(wǎng)絡(luò)既是好事同時(shí)也意味著挑戰(zhàn)。正面的影響是大量的網(wǎng)絡(luò)接入極大地提高了電網(wǎng)的效率、響應(yīng)能力與集成度。負(fù)面的影響則是增加了對(duì)信息網(wǎng)絡(luò)進(jìn)行保護(hù)的復(fù)雜性,也就意味著接入網(wǎng)絡(luò)的變電站很容易受到攻擊。
面對(duì)這一情況,我們需要一個(gè)將物理層安全與網(wǎng)絡(luò)層安全進(jìn)行整合的全面保護(hù)方案,以識(shí)別各種各樣的漏洞與入侵,同時(shí)也要認(rèn)識(shí)到不存在某一種解決方案能夠?qū)ο到y(tǒng)進(jìn)行百分之百的保護(hù)。
電網(wǎng)變電站工控網(wǎng)絡(luò)需要引入最新的技術(shù)對(duì)其進(jìn)行物理層及網(wǎng)絡(luò)層防護(hù)
1 境況是如何改變的
電網(wǎng)變電站曾經(jīng)是互相孤立的。相對(duì)于網(wǎng)絡(luò)安全而言,以前的變電站優(yōu)先考慮的是其物理安全性、可靠性與易用性。由于下面所列舉(但不限于)的這些原因,變電站互相孤立的境況被徹底地終止了。
·現(xiàn)成商業(yè)技術(shù)的使用;
·以太網(wǎng)以及基于TCP/IP的網(wǎng)絡(luò)協(xié)議的使用;
·ICE60870-5-04標(biāo)準(zhǔn)以及IEC61850標(biāo)準(zhǔn)的實(shí)施;
·DNP3工業(yè)協(xié)議與Modbus TCP的集成;
·無(wú)線接入;
·企業(yè)間IT系統(tǒng)的互聯(lián);
·公共網(wǎng)絡(luò)的使用。
由于電網(wǎng)系統(tǒng)在全國(guó)范圍內(nèi)進(jìn)行互聯(lián),其發(fā)生錯(cuò)誤或失效的可能性很高。對(duì)電力網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù),首先需要的是一個(gè)健壯的網(wǎng)絡(luò)安全策略,防止網(wǎng)絡(luò)受到拒絕服務(wù)(DoS)攻擊。
將防止DoS攻擊列為最高優(yōu)先級(jí)是因?yàn)楦邏骸⒅袎弘娏W(wǎng)在國(guó)家基礎(chǔ)設(shè)施中具有非常關(guān)鍵的作用,而DoS攻擊極有可能造成系統(tǒng)停止服務(wù)并造成巨大的經(jīng)濟(jì)損失。其他的保護(hù)措施包括機(jī)密性保護(hù)、確保信息完整性以及防止對(duì)信息進(jìn)行未經(jīng)授權(quán)的修改或竊取。
2 五層防護(hù)體系
為保障網(wǎng)絡(luò)安全,網(wǎng)絡(luò)管理者必須隨時(shí)評(píng)估網(wǎng)絡(luò)狀況與威脅來(lái)源,以保證系統(tǒng)與策略是最新且有效的。要做好這樣一個(gè)循環(huán)的評(píng)估與檢查過(guò)程,準(zhǔn)確理解“風(fēng)險(xiǎn)”、“威脅”與“弱點(diǎn)”之間的差異是很有幫助的。
·風(fēng)險(xiǎn):風(fēng)險(xiǎn)是指某事的發(fā)生對(duì)信息資產(chǎn)造成損害或損失的可能性。
·威脅:威脅是指任何具有潛在能力對(duì)信息資產(chǎn)造成破壞的事件(包括自然事件和人為事件)。
·弱點(diǎn):弱點(diǎn)是指某個(gè)可以被用于對(duì)信息資產(chǎn)造成損害的薄弱之處。
我們需要一個(gè)多層次的網(wǎng)絡(luò)安全設(shè)計(jì)來(lái)防范或者減輕各種漏洞對(duì)系統(tǒng)造成的損害,才能在各種各樣的威脅下對(duì)電力網(wǎng)進(jìn)行保護(hù)。有以下五個(gè)層次的安全防護(hù)手段可以對(duì)威脅的減輕與防護(hù)進(jìn)行優(yōu)化。
(1)預(yù)防性安全防護(hù):旨在防止事故的發(fā)生和減少風(fēng)險(xiǎn)及弱點(diǎn)的類(lèi)型與數(shù)量。其方法包括強(qiáng)密碼策略以及防止外部USB設(shè)備通過(guò)開(kāi)放的端口進(jìn)行訪問(wèn)。
(2)網(wǎng)絡(luò)設(shè)計(jì)安全防護(hù):減少弱點(diǎn)并將其隔離,則對(duì)其進(jìn)行的攻擊不會(huì)影響到網(wǎng)絡(luò)的其他部分。“區(qū)域與管道”模型能幫助限制網(wǎng)絡(luò)區(qū)域間的連接數(shù),降低整個(gè)網(wǎng)絡(luò)均受到攻擊影響的風(fēng)險(xiǎn)。
(3)主動(dòng)安全防護(hù):包括能夠阻止通信、阻止未允許或不符合預(yù)期操作的方法及設(shè)備。比如使用加密,針對(duì)協(xié)議的深度包檢測(cè),三層防火墻及反病毒軟件。
(4)偵測(cè)安全防護(hù):在某一事件發(fā)生的過(guò)程中對(duì)事件活動(dòng)寄存器進(jìn)行標(biāo)注及記錄,包括日志文件分析以及入侵檢測(cè)系統(tǒng)監(jiān)測(cè)。
(5)糾正安全防護(hù):目的是限制破壞進(jìn)一步擴(kuò)大,比如配置參數(shù)備份策略以及防火墻與反病毒軟件的升級(jí)。
3 維護(hù)網(wǎng)絡(luò)安全的最佳方式
針對(duì)現(xiàn)在的風(fēng)險(xiǎn)類(lèi)型以及能夠保護(hù)并降低威脅的安全與網(wǎng)絡(luò)解決方案的類(lèi)型,管理者可以設(shè)計(jì)出性能遠(yuǎn)超單點(diǎn)防御方案的安全策略。
縱深防御模型是對(duì)關(guān)鍵基礎(chǔ)設(shè)施的多重層疊保護(hù),其綜合物理層、網(wǎng)絡(luò)層、計(jì)算機(jī)以及設(shè)備安全制定政策和執(zhí)行程序,是防御外部與內(nèi)部威脅的最好手段。
該模型基于三個(gè)概念來(lái)確保快速檢測(cè)、隔離與控制,限制錯(cuò)誤或漏洞影響而不管其發(fā)生的原因及發(fā)生所在位置。
(1)多層防御:如果一層防御被繞過(guò),則還有其他層提供防御保護(hù)。
(2)差異層防御:如果攻擊者找到了通過(guò)第一層防御的辦法,也無(wú)法通過(guò)后續(xù)的所有防御,因?yàn)槠渌烙鶎泳c前者有所不同。
(3)特定威脅層防御:特定威脅層防御專(zhuān)為特定風(fēng)險(xiǎn)與弱點(diǎn)設(shè)計(jì)。這些解決方案針對(duì)多種可能威脅電力系統(tǒng)安全的威脅,如惡意軟件、憤怒的員工、拒絕服務(wù)(DoS)攻擊以及信息盜竊等。
通過(guò)建立多層安全協(xié)議,任何系統(tǒng)失效或漏洞都能夠得到遏制并限制其破壞
4 安全集成
作為多層次縱深防御模型的一部分,物理與網(wǎng)絡(luò)安全應(yīng)互相結(jié)合才能對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行更加強(qiáng)大的保護(hù)。物理防護(hù)系統(tǒng)包括重要資產(chǎn)上的讀卡器,如變壓器柜、控制室以及用于訪問(wèn)監(jiān)控安全攝像頭等設(shè)備。
系統(tǒng)的網(wǎng)絡(luò)安全措施應(yīng)包括以下內(nèi)容:
(1)企業(yè)主干網(wǎng)絡(luò)與變電站網(wǎng)絡(luò)之間的路由器與防火墻;
(2)狀態(tài)檢測(cè)及深度包檢測(cè);
(3)控制網(wǎng)絡(luò)與通信網(wǎng)絡(luò)之間進(jìn)行明晰的區(qū)域劃分。
當(dāng)物理層安全與多層次的網(wǎng)絡(luò)安全相結(jié)合,電力網(wǎng)絡(luò)管理者就獲得了一個(gè)對(duì)物理及網(wǎng)絡(luò)資產(chǎn)進(jìn)行監(jiān)控的互相配合與協(xié)調(diào)的檢測(cè)系統(tǒng)。
電力網(wǎng)絡(luò),包括變電站以及饋線,越來(lái)越成為對(duì)黑客具有吸引力的攻擊目標(biāo)。任何由物理層或網(wǎng)絡(luò)層漏洞造成電力網(wǎng)損失的潛在可能性,無(wú)論是否惡意或是由意外引起,都是非常嚴(yán)重的,都為嚴(yán)格的綜合網(wǎng)絡(luò)安全戰(zhàn)略提出了最為迫切的任務(wù)。
5 提高警惕是關(guān)鍵
從歷史的角度來(lái)說(shuō),對(duì)電力網(wǎng)實(shí)施上述安全改造看起來(lái)似乎無(wú)比艱巨。但管理者可以通過(guò)遵循幾項(xiàng)原則循序漸進(jìn)完成改造。首先,對(duì)確保關(guān)鍵系統(tǒng)的安全設(shè)施進(jìn)行優(yōu)先安排。其次,營(yíng)造信息安全的工作氛圍。第三,持續(xù)對(duì)當(dāng)前的安全狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估。最后,不要奢望某一項(xiàng)措施能夠解決所有的安全問(wèn)題,所有的威脅、風(fēng)險(xiǎn)以及受保護(hù)目標(biāo)都各不相同,所以針對(duì)其的解決方案也應(yīng)各不相同。
網(wǎng)絡(luò)安全威脅會(huì)隨時(shí)間而演變,所以對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō),持續(xù)對(duì)防護(hù)系統(tǒng)進(jìn)行評(píng)估的流程非常重要。下面列舉的這些問(wèn)題能夠確保一旦當(dāng)前的電力網(wǎng)系統(tǒng)境況發(fā)生改變,管理者能夠以最好的方式應(yīng)對(duì)威脅。
(1)我們是否知道網(wǎng)絡(luò)的拓?fù)鋮f(xié)議與通信類(lèi)型?
(2)我們是否知道組件的位置以及連接方式,以允許我們?cè)诒匾獣r(shí)建立有效的安全區(qū)?
(3)我們是否在任何新設(shè)備接入網(wǎng)絡(luò)時(shí)都對(duì)其進(jìn)行驗(yàn)證并且審查所有文件?
(4)我們多久更換一次網(wǎng)絡(luò)中的密碼?
(5)我們是否已采用最新的更新?
理想狀態(tài)下,網(wǎng)絡(luò)管理者應(yīng)對(duì)系統(tǒng)提供百分之一百的防護(hù),但現(xiàn)實(shí)卻是,百分之百的全面防護(hù)是不可能達(dá)成的。但無(wú)論惡意或意外導(dǎo)致的事故及漏洞是否會(huì)發(fā)生,受攻擊的保護(hù)目標(biāo)都必須受到限制以隔離其對(duì)整個(gè)系統(tǒng)的影響。
通過(guò)建立多層次的安全協(xié)議,任何電網(wǎng)系統(tǒng)的故障或漏洞都能夠被掌控,并且系統(tǒng)操作也會(huì)更加有效,同時(shí)對(duì)破壞進(jìn)行限制。最重要的是,電網(wǎng)變電站網(wǎng)絡(luò)安全的縱深防御保護(hù)模型能夠確保在任何破壞之下,電網(wǎng)系統(tǒng)的其余部分仍然是安全及高效的。
作者簡(jiǎn)介
盧川(1985-),男,四川人,理學(xué)博士,2007年于北京理工大學(xué)獲工學(xué)學(xué)士學(xué)位;2015年于中國(guó)科學(xué)院大學(xué)獲理學(xué)博士學(xué)位。現(xiàn)就職于中國(guó)軟件評(píng)測(cè)中心,主要研究方向?yàn)楣I(yè)控制系統(tǒng)安全及其測(cè)試技術(shù)。
摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第二輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)