今日頭條
官方微信
官方抖音
資訊頻道
能源是現(xiàn)代化的基礎和動力。能源供應和安全事關我國現(xiàn)代化建設全局。因此,在國務院2014年印發(fā)的“能源發(fā)展戰(zhàn)略行動計劃(2014-2020年)”中提出了我國要加快構建清潔、高效、安全、可持續(xù)的現(xiàn)代能源體系。
作為國際標準組織之一的IEC(國際電工委員會),將“信息安全”定義為使信息免受不論是由于有意還是無意的,非授權的公開、傳輸、變更或破壞的防護。
圖1為美國Verizon發(fā)布的2014年度各行業(yè)遭受的惡意軟件攻擊頻度統(tǒng)計分布圖表。由圖1可見,能源行業(yè)已成為僅次于零售業(yè)的主要攻擊目標。
圖1 平均每周惡意軟件攻擊事件頻度行業(yè)分布
現(xiàn)今,能源行業(yè)的運轉已離不開工業(yè)自動化和控制系統(tǒng)(以下簡稱“工控系統(tǒng)”)。倘若工控系統(tǒng)沒有適當?shù)男畔踩燃壏雷o,有如不對潘多拉魔盒加以管控,則必定會對其受控對象——能源過程帶來不可預估的后果。
1 監(jiān)控系統(tǒng)安全總體架構
電能作為高效、優(yōu)質、綠色的能源,在社會生活的方方面面起著越來越重要的作用。經(jīng)過改革開放后三十多年的快速發(fā)展,我國電力工業(yè)取得了長足進步。在“十二五”期間,我國發(fā)電裝機規(guī)模和電網(wǎng)規(guī)模已雙雙躍居世界第一位。當前發(fā)電廠、變電站等電力基礎設施的工控系統(tǒng)基本上都采用了智能儀器儀表設備(如帶Hart協(xié)議的智能變送器、Profibus或FF等現(xiàn)場總線儀表或設備等,推廣采用符合IEC 61850的智能電子設備IED)和計算機監(jiān)視控制系統(tǒng)(如DCS分散控制系統(tǒng)、FCS現(xiàn)場總線控制系統(tǒng)、PLC可編程序控制器、SCADA監(jiān)控和數(shù)據(jù)采集系統(tǒng)等),實現(xiàn)了對電網(wǎng)及電廠生產(chǎn)運行過程的計算機監(jiān)視和控制。
總體來講,基于計算機技術的電力監(jiān)控系統(tǒng)(包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機監(jiān)控系統(tǒng)、發(fā)電廠計算機監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機繼電保護和安全自動裝置、廣域相量測量系統(tǒng)、負荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量計費系統(tǒng)、實時電力市場的輔助控制系統(tǒng)等),在確保我國電力安全生產(chǎn)、節(jié)能降耗、經(jīng)濟環(huán)保運行方面發(fā)揮了重大作用。
電力行業(yè)計算機系統(tǒng)的信息安全防護成規(guī)模成系統(tǒng)部署,始于2002年5月原國家經(jīng)貿(mào)委發(fā)布的第30號令,即《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》,及2004年12月原國家電力監(jiān)管委員會發(fā)布的第5號令,即《電力二次系統(tǒng)安全防護規(guī)定》。原電監(jiān)會5號令中指的“電力二次系統(tǒng)”,包括電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)網(wǎng)絡等,基本等同于原經(jīng)貿(mào)委30號令中所提的電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡。十余年來,我國電力監(jiān)控系統(tǒng)信息安全從無到有,取得了較大的進步。現(xiàn)今,電力行業(yè)的工控信息安全防護均執(zhí)行國家發(fā)展和改革委員會2014年第14號令,即《電力監(jiān)控系統(tǒng)安全防護規(guī)定》。電力監(jiān)控系統(tǒng)的安全防護遵循“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的原則,其安全防護的總體架構如圖2所示。
圖2 電力監(jiān)控系統(tǒng)安全防護總體架構示意圖
按照業(yè)務性質,發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)通常將其內(nèi)部計算機系統(tǒng),原則性地劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。基于是否具有實時監(jiān)控功能,又將生產(chǎn)控制大區(qū)細分為控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ)。生產(chǎn)控制大區(qū)與管理信息大區(qū)之間設置電力專用橫向單向安全隔離裝置,生產(chǎn)控制大區(qū)內(nèi)的控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ)之間設置邏輯隔離裝置(如防火墻等具有訪問控制功能的設備)。電力調(diào)度數(shù)據(jù)網(wǎng)采用專用通道,并使用獨立的網(wǎng)絡設備組網(wǎng),也可細分為實時子網(wǎng)和非實時子網(wǎng),并與生產(chǎn)控制大區(qū)控制區(qū)和非控制區(qū)互聯(lián)。其間安全隔離采用電力專用縱向加密認證裝置或加密認證網(wǎng)關或硬件防火墻。
由此可見,我國電力行業(yè)的工控信息安全起步較早,并保持了持續(xù)穩(wěn)定的發(fā)展態(tài)勢,基本上未發(fā)生較大以上的網(wǎng)絡安全事件,保證了電力行業(yè)重要信息基礎設施的安全、穩(wěn)定和高效運行。
2 存在的差距及不足
雖然建立了相應的安全防護體系,但冷靜、客觀地分析,并與國際先進水平相比,我國電力行業(yè)工控信息安全仍存在不少不足或欠缺之處。
2.1 安全防護標準體系不健全
與國外發(fā)達國家工控系統(tǒng)安全防護比較,國內(nèi)的安全防護從標準體系上就不健全。西方少數(shù)國家早在20世紀90年代前后就開始了工控系統(tǒng)信息安全的標準化工作,如英國于1995年就發(fā)布了關于信息安全管理系統(tǒng)的標準BS 7799。國際標準組織在BS 7799標準基礎上,制定了信息安全管理體系ISO/IEC 27000系列國際標準。美國國家標準與技術研究院從20世紀80年代開始就陸續(xù)發(fā)布了一系列信息安全的報告,其中知名的有NIST SP800-82“工控系統(tǒng)(ICS)信息安全指南”等。IEC基于美國自動化國際學會ISA 99系列標準,先后制定了工控系統(tǒng)信息安全IEC 62443系列標準,如圖3所示。
圖3 IEC 62443系列標準
國內(nèi)針對常規(guī)信息系統(tǒng)的信息安全等級保護標準較為系統(tǒng)和全面,但針對工控系統(tǒng)的信息安全標準十分欠缺。當前國內(nèi)所發(fā)布的與工控系統(tǒng)信息安全相關的國家標準僅有2部,即GB/T 30976.1-2014“工控系統(tǒng)信息安全-第1部分:評估規(guī)范”和GB/T 30976.2-2014“工控系統(tǒng)信息安全-第2部分:驗收規(guī)范”。
具體到能源行業(yè),其針對性的專門信息安全防護標準國內(nèi)幾乎沒有。如以火電廠為例,國內(nèi)尚無專門的信息安全設計標準,當前只是在部分相關標準中少量、分散地提及一些要求而已。如在國家標準《大中型火力發(fā)電廠設計規(guī)范》GB 50660-2011中,所涉及的信息安全內(nèi)容篇幅不到半頁紙,僅提到了訪問控制、數(shù)據(jù)恢復、防病毒、防黑客等寥寥幾點。
在美國和加拿大,電力行業(yè)需遵循NERC(北美電力可靠性組織)早在2006年就已制定的 CIP(關鍵基礎設施防護 )標準,化工行業(yè)需遵循CFATS(化學設施反恐標準)標準等。CIP系列標準包括CIP-001 “破壞報告”、CIP-002“信息安全-關鍵信息系統(tǒng)資產(chǎn)識別”、CIP-003“信息安全-安全管理控制”、CIP-004“人員及培訓”、CIP-005“信息安全-電子安全邊界”、CIP-006“信息安全-物理安全”、CIP-007“信息安全-系統(tǒng)安全管理”、CIP-008“信息安全-事故報告及響應計劃”、CIP-009“信息安全-關鍵信息系統(tǒng)資產(chǎn)的恢復計劃”、CIP-010“信息安全-配置變更管理和脆弱性評估”、CIP-011“信息安全-信息防護”、CIP-014“物理安全”等。
2.2 防護水平不高和發(fā)展不平衡
當前,針對工控系統(tǒng)的攻擊類別層出不窮。圖4展示了SANS學院發(fā)布的2014年度針對工控系統(tǒng)的頂級威脅分布矢量圖。由圖4可見,對工控系統(tǒng)信息安全的威脅,外部攻擊只占其中一部分,而來自內(nèi)部的威脅不容忽視。
圖4 工控系統(tǒng)頂級威脅矢量圖
但是,國內(nèi)絕大多數(shù)企業(yè)的信息防護只注重邊界防護,主要采用防火墻、網(wǎng)閘、入侵檢測系統(tǒng)、入侵防護系統(tǒng)、惡意軟件檢測軟件等標準安全工具,只達到國際標準所要求的SL 1級或SL 2級。一方面,這些防護手段只能提供簡單的、低資源、低動因的一般防護,對于由敵對國家或犯罪組織等主導的黑客攻擊防護而言則遠遠不夠。例如,跨站腳本(XSS)、路過式(Drive-by)下載、水坑(watering holes)、封套/打包等攻擊,可利用合法的網(wǎng)站或軟件作隱蔽外衣,常常能旁路常規(guī)的防護手段,且難以檢測其攻擊行為。另一方面,邊界防護不能對內(nèi)部威脅進行有效防護,因此還需采取對員工和承包商嚴格的訪問控制、背景檢查、監(jiān)管、鑒別、審計、靈巧密碼復位策略等綜合防護措施。此外,國內(nèi)很少關注撒旦(Shodan)搜索引擎,而該引擎可找到幾乎所有與互聯(lián)網(wǎng)相連的設備。如果沒有一定強度的防護措施,則與互聯(lián)網(wǎng)相聯(lián)的工控系統(tǒng)和設備則如皇帝新衣般暴露于光天化日之下,極易受到攻擊。
在電力行業(yè)網(wǎng)絡與信息安全防護工作方面,還存在嚴重的發(fā)展不平衡現(xiàn)象。由于重視程度及投入差異等諸多原因,電網(wǎng)企業(yè)防護水平明顯優(yōu)于發(fā)電企業(yè),傳統(tǒng)類型發(fā)電企業(yè)防護水平明顯優(yōu)于新能源類發(fā)電企業(yè),電網(wǎng)生產(chǎn)系統(tǒng)防護水平明顯優(yōu)于營銷系統(tǒng)等。
2.3 其它方面
由于國內(nèi)工控安全的發(fā)展時間較短和研發(fā)投入不足,普遍缺乏針對工業(yè)特點的系列齊全的信息安全產(chǎn)品。如滿足2級、3級、4級不同等級保護要求的工控操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等。由于強調(diào)可靠性、成熟度等因素及歷史原因,所采用的工控設備國外產(chǎn)品居多,安全漏洞掃描查找困難較大。
此外,在基層部門,還或多或少存在以下誤區(qū)或不足:
(1)缺乏風險管控理念,忽視信息安全的總體規(guī)劃和安全設計;
(2)重信息安全技術措施,輕信息安全管理措施;
(3)重視網(wǎng)絡安全,忽視物理安全、應用安全、系統(tǒng)安全等其它方面;
(4)重視邊界防護,忽視有效的縱深或深度防護;
(5)重視控制系統(tǒng)防護,忽視現(xiàn)場級智能儀表或設備的接入側防護;
(6)缺乏對遠程訪問有效的管控手段;
(7)因匱乏工業(yè)級信息防護產(chǎn)品,常將商用信息安全設備用于工控系統(tǒng)中。
3 需求分析
3.1 行業(yè)需求
信息安全是為其宿主服務的。因此需先對其服務對象——能源行業(yè)進行需求分析。
按照國家行動計劃,能源戰(zhàn)略發(fā)展方向是綠色、低碳、智能;長期目標主要是保障安全、優(yōu)化結構和節(jié)能減排;重點發(fā)展領域有,煤炭清潔高效利用(包括高參數(shù)節(jié)能環(huán)保燃煤發(fā)電、整體煤氣化聯(lián)合循環(huán)發(fā)電等)、新一代核電、分布式能源、先進可再生能源、智能電網(wǎng)、智能電廠等。
煤炭清潔高效利用主要是發(fā)展大容量、高參數(shù)、節(jié)能環(huán)保型發(fā)電機組,由此帶來壓力容器與壓力管道的數(shù)量增多、壓力等級提升,從而使面臨的危險更大。基于核電站已基本不采用工控模擬系統(tǒng),大力推廣工控系統(tǒng)的數(shù)字化,其工控系統(tǒng)的信息安全等級要求更高,需求更為急迫。當前電廠、電網(wǎng)的數(shù)字化、網(wǎng)絡化、智能化發(fā)展如火如荼,智能儀表/控制設備、無線傳感/控制網(wǎng)絡等的大量采用,電廠/電網(wǎng)內(nèi)IOT(物聯(lián)網(wǎng))、IOS(服務互聯(lián)網(wǎng))的推廣,正在形成泛在的傳感、泛在的計算、泛在的控制,網(wǎng)絡邊界動態(tài)及模糊,信息管控面和量劇增,對信息安全形成更大的挑戰(zhàn)。虛擬電廠是電力行業(yè)網(wǎng)絡化繼續(xù)向前推進的一個顯著代表,是一種新型的發(fā)電模式,是分布式發(fā)電集控或群控技術的發(fā)展。其網(wǎng)絡互聯(lián)主要是通過LAN、WAN、GPRS、ISDN或總線系統(tǒng)而實現(xiàn)。所采用的工控系統(tǒng)信息安全應適應虛擬電廠的地域分散性、控制的實時性和可靠性的需求。
在信息安全中,傳統(tǒng)的安全目標三角是C(保密性)、I(完整性)和A(可用性)。對于IT應用,其安全優(yōu)先級排列順序為CIA;對于工控系統(tǒng),通常認為安全優(yōu)先順序應為AIC。綜合能源行業(yè)因素,考慮到工控系統(tǒng)的應用對象及其重要性,能源控制系統(tǒng)的網(wǎng)絡安全目標不是CIA,也不是AIC,而應是SAIC四角,即在CIA基礎上增加S(安全),且優(yōu)先級最高。
3.2 信息安全平臺需求
傳統(tǒng)的信息安全防護是采用多層、點狀的防護機制,如防火墻防護、基于應用的防護、IPS、抗病毒、端點防護等。從安全角度看,上述機制主要是基于狀態(tài)檢測原理,處于分割狀態(tài),不能提供完善的防護,如7層可見度、基于用戶的訪問控制等。
因此,宜采用具有完整的、高度融合的、防范內(nèi)外威脅且減小成本的工控信息安全平臺。選擇或構建的新型安全平臺必須具有至少以下9個方面的能力。
(1)利用威脅防范智能核集成網(wǎng)絡和端點安全;
(2)基于應用和用戶角色,而不是端口和IP,對通信進行分類;
(3)支持顆粒度可調(diào)的網(wǎng)絡分段,如基于角色或任務的訪問等;
(4)本質閉鎖已知威脅;
(5)檢測和預防未知惡意軟件的攻擊;
(6)阻止對端點的零日攻擊;
(7)具有集中管理和報告功能;
(8)支持無線和虛擬技術的安全應用;
(9)強大的API和工業(yè)標準管理接口。
3.3 政府管理層面的需求
信息安全是一個多維度、多學科、技術和管理并存、動態(tài)發(fā)展的綜合體。要達到國家等級保護3至5級(特別是4級以上),或國際標準所定義的SL3級或SL4級信息安全等級,沒有國家及政府層面的介入,單憑企業(yè)的力量是難以實現(xiàn)的。
在美國,其國土安全部下屬的NCCIC(國家信息安全和通信一體化中心)和專門成立的ICS-CERT(工控系統(tǒng)-信息安全應急響應工作組),核心任務是幫助關鍵基礎設施資產(chǎn)所有者降低相關控制系統(tǒng)和工藝過程的信息安全風險。ICS-CERT是以天為單位響應每天所發(fā)生的信息安全事件,通過與公司網(wǎng)絡的連接,覆蓋幾乎所有的與控制系統(tǒng)環(huán)境損害有關的攻擊事件。在2014年,ICS-CERT曾對兩類針對控制系統(tǒng)的高級威脅作出及時響應:其一為采用水坑式攻擊的Havex;其二為利用控制系統(tǒng)脆弱性,直接控制人機接口的BlackEnergy。
為了應對日益增多的針對基礎設施控制系統(tǒng)的威脅,我國也應成立類似的、專門的能源等基礎設施信息安全機構和工作組,從政府層面指導、監(jiān)督、幫助核心企業(yè)應對信息安全風險。
4 結語
鑒于能源行業(yè)的特點及信息安全的覆蓋面,應從國家層面開展能源領域控制系統(tǒng)與工控信息安全應用示范。示范宜遵循總體規(guī)劃,針對對象特點和功用的分步驟/分階段/分區(qū)域試用,最后再系統(tǒng)性地集成工程應用的工作模式。考慮到信息安全的維度和深度,宜做好研發(fā)和應用示范的總體規(guī)劃,原則上每一信息安全產(chǎn)品均應經(jīng)過策劃、評審、研制、測試、試用、消缺、驗收、推廣的過程,成熟一個推廣一個,并應做好實施后的定時評測和安全加固。
在應用示范的基礎上,宜形成適合能源特點的、滿足工控實時性和可靠性需求的信息安全CBK(公共知識體系),包括安全管理、安全體系結構和模型、業(yè)務持續(xù)性計劃、法律法規(guī)、物理安全、操作安全、訪問控制系統(tǒng)和方法、密碼、網(wǎng)絡安全、應用開發(fā)安全等。此外,為方便信息產(chǎn)品的安裝設計、選型應用,國家主管部門宜定期公布各類符合要求的、不同等級的信息安全產(chǎn)品信息。
參考文獻:
[1] Mark Merkow, Jim Breithaupt. Information security: Principles and practices[M].Pearson education, Inc, 2008.
[2] SANS Institute. 2014 survey on industrial control system security [R].
[3] Jason Glassberg. Four stealthy cyber attacks targeting energy companies[J]. Power,2015, (9): 56 - 59.
[4] Mario Chiock, Del Rodillas. Defining the 21st century cyber-security protection platform for ICS[R].
作者簡介:
張晉賓(1967-),男,漢族,教授級高級工程師,中共黨員,現(xiàn)就職于西南電力設計院,任設計總工程師,長期從事電力設計、咨詢、研究及管理,智能設計軟件的研發(fā)及應用管理工作等。
北京市公安局海淀分局備案號:11010802023656號