今日頭條
官方微信
官方抖音
資訊頻道
張晉賓
教授級高級工程師西南電力設(shè)計院總工程師
(1967-),男,漢族,中共黨員,現(xiàn)就職于西南電力設(shè)計院,任設(shè)計總工程師,長期從事電力設(shè)計、咨詢、研究及管理,智能設(shè)計軟件的研發(fā)及應(yīng)用管理工作等。
能源是現(xiàn)代化的基礎(chǔ)和動力。能源供應(yīng)和安全事關(guān)我國現(xiàn)代化建設(shè)全局。因此,在國務(wù)院2014年印發(fā)的“能源發(fā)展戰(zhàn)略行動計劃(2014-2020年)”中提出了我國要加快構(gòu)建清潔、高效、安全、可持續(xù)的現(xiàn)代能源體系。
作為國際標(biāo)準(zhǔn)組織之一的IEC(國際電工委員會),將“信息安全”定義為使信息免受不論是由于有意還是無意的,非授權(quán)的公開、傳輸、變更或破壞的防護(hù)。
圖1為美國Verizon發(fā)布的2014年度各行業(yè)遭受的惡意軟件攻擊頻度統(tǒng)計分布圖表。由圖1可見,能源行業(yè)已成為僅次于零售業(yè)的主要攻擊目標(biāo)。
圖1平均每周惡意軟件攻擊事件頻度行業(yè)分布
現(xiàn)今,能源行業(yè)的運(yùn)轉(zhuǎn)已離不開工業(yè)自動化和控制系統(tǒng)(以下簡稱“工控系統(tǒng)”)。倘若工控系統(tǒng)沒有適當(dāng)?shù)男畔踩燃壏雷o(hù),有如不對潘多拉魔盒加以管控,則必定會對其受控對象——能源過程帶來不可預(yù)估的后果。
1 監(jiān)控系統(tǒng)安全總體架構(gòu)
電能作為高效、優(yōu)質(zhì)、綠色的能源,在社會生活的方方面面起著越來越重要的作用。經(jīng)過改革開放后三十多年的快速發(fā)展,我國電力工業(yè)取得了長足進(jìn)步。在“十二五”期間,我國發(fā)電裝機(jī)規(guī)模和電網(wǎng)規(guī)模已雙雙躍居世界第一位。當(dāng)前發(fā)電廠、變電站等電力基礎(chǔ)設(shè)施的工控系統(tǒng)基本上都采用了智能儀器儀表設(shè)備(如帶Hart協(xié)議的智能變送器、Profibus或FF等現(xiàn)場總線儀表或設(shè)備等,推廣采用符合IEC 61850的智能電子設(shè)備IED)和計算機(jī)監(jiān)視控制系統(tǒng)(如DCS分散控制系統(tǒng)、FCS現(xiàn)場總線控制系統(tǒng)、PLC可編程序控制器、SCADA監(jiān)控和數(shù)據(jù)采集系統(tǒng)等),實(shí)現(xiàn)了對電網(wǎng)及電廠生產(chǎn)運(yùn)行過程的計算機(jī)監(jiān)視和控制。
總體來講,基于計算機(jī)技術(shù)的電力監(jiān)控系統(tǒng)(包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計算機(jī)監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機(jī)繼電保護(hù)和安全自動裝置、廣域相量測量系統(tǒng)、負(fù)荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計量計費(fèi)系統(tǒng)、實(shí)時電力市場的輔助控制系統(tǒng)等),在確保我國電力安全生產(chǎn)、節(jié)能降耗、經(jīng)濟(jì)環(huán)保運(yùn)行方面發(fā)揮了重大作用。
電力行業(yè)計算機(jī)系統(tǒng)的信息安全防護(hù)成規(guī)模成系統(tǒng)部署,始于2002年5月原國家經(jīng)貿(mào)委發(fā)布的第30號令,即《電網(wǎng)和電廠計算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》,及2004年12月原國家電力監(jiān)管委員會發(fā)布的第5號令,即《電力二次系統(tǒng)安全防護(hù)規(guī)定》。原電監(jiān)會5號令中指的“電力二次系統(tǒng)”,包括電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)網(wǎng)絡(luò)等,基本等同于原經(jīng)貿(mào)委30號令中所提的電網(wǎng)和電廠計算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)。十余年來,我國電力監(jiān)控系統(tǒng)信息安全從無到有,取得了較大的進(jìn)步。現(xiàn)今,電力行業(yè)的工控信息安全防護(hù)均執(zhí)行國家發(fā)展和改革委員會2014年第14號令,即《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》。電力監(jiān)控系統(tǒng)的安全防護(hù)遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則,其安全防護(hù)的總體架構(gòu)如圖2所示。
圖2 電力監(jiān)控系統(tǒng)安全防護(hù)總體架構(gòu)示意圖
專用橫向單向安全隔離裝置,生產(chǎn)控制大區(qū)內(nèi)的控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ)之間設(shè)置邏輯隔離裝置(如防火墻等具有訪問控制功能的設(shè)備)。電力調(diào)度數(shù)據(jù)網(wǎng)采用專用通道,并使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),也可細(xì)分為實(shí)時子網(wǎng)和非實(shí)時子網(wǎng),并與生產(chǎn)控制大區(qū)控制區(qū)和非控制區(qū)互聯(lián)。其間安全隔離采用電力專用縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)或硬件防火墻。
由此可見,我國電力行業(yè)的工控信息安全起步較早,并保持了持續(xù)穩(wěn)定的發(fā)展態(tài)勢,基本上未發(fā)生較大以上的網(wǎng)絡(luò)安全事件,保證了電力行業(yè)重要信息基礎(chǔ)設(shè)施的安全、穩(wěn)定和高效運(yùn)行。
2 存在的差距及不足
雖然建立了相應(yīng)的安全防護(hù)體系,但冷靜、客觀地分析,并與國際先進(jìn)水平相比,我國電力行業(yè)工控信息安全仍存在不少不足或欠缺之處。
2.1 安全防護(hù)標(biāo)準(zhǔn)體系不健全
與國外發(fā)達(dá)國家工控系統(tǒng)安全防護(hù)比較,國內(nèi)的安全防護(hù)從標(biāo)準(zhǔn)體系上就不健全。西方少數(shù)國家早在20世紀(jì)90年代前后就開始了工控系統(tǒng)信息安全的標(biāo)準(zhǔn)化工作,如英國于1995年就發(fā)布了關(guān)于信息安全管理系統(tǒng)的標(biāo)準(zhǔn)BS 7799。國際標(biāo)準(zhǔn)組織在BS 7799標(biāo)準(zhǔn)基礎(chǔ)上,制定了信息安全管理體系ISO/IEC 27000系列國際標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院從20世紀(jì)80年代開始就陸續(xù)發(fā)布了一系列信息安全的報告,其中知名的有NIST SP800-82“工控系統(tǒng)(ICS)信息安全指南”等。IEC基于美國自動化國際學(xué)會ISA 99系列標(biāo)準(zhǔn),先后制定了工控系統(tǒng)信息安全I(xiàn)EC 62443系列標(biāo)準(zhǔn),如圖3所示。
圖3 IEC 62443系列標(biāo)準(zhǔn)
國內(nèi)針對常規(guī)信息系統(tǒng)的信息安全等級保護(hù)標(biāo)準(zhǔn)較為系統(tǒng)和全面,但針對工控系統(tǒng)的信息安全標(biāo)準(zhǔn)十分欠缺。當(dāng)前國內(nèi)所發(fā)布的與工控系統(tǒng)信息安全相關(guān)的國家標(biāo)準(zhǔn)僅有2部,即GB/T30976.1-2014“工控系統(tǒng)信息安全-第1部分:評估規(guī)范”和GB/T 30976.2-2014“工控系統(tǒng)信息安全-第2部分:驗(yàn)收規(guī)范”。
具體到能源行業(yè),其針對性的專門信息安全防護(hù)標(biāo)準(zhǔn)國內(nèi)幾乎沒有。如以火電廠為例,國內(nèi)尚無專門的信息安全設(shè)計標(biāo)準(zhǔn),當(dāng)前只是在部分相關(guān)標(biāo)準(zhǔn)中少量、分散地提及一些要求而已。如在國家標(biāo)準(zhǔn)《大中型火力發(fā)電廠設(shè)計規(guī)范》GB 50660-2011中,所涉及的信息安全內(nèi)容篇幅不到半頁紙,僅提到了訪問控制、數(shù)據(jù)恢復(fù)、防病毒、防黑客等寥寥幾點(diǎn)。
在美國和加拿大,電力行業(yè)需遵循NERC(北美電力可靠性組織)早在2006年就已制定的 CIP(關(guān)鍵基礎(chǔ)設(shè)施防護(hù) )標(biāo)準(zhǔn),化工行業(yè)需遵循CFATS(化學(xué)設(shè)施反恐標(biāo)準(zhǔn))標(biāo)準(zhǔn)等。CIP系列標(biāo)準(zhǔn)包括CIP-001 “破壞報告”、CIP-002“信息安全-關(guān)鍵信息系統(tǒng)資產(chǎn)識別”、CIP-003“信息安全-安全管理控制”、CIP-004“人員及培訓(xùn)”、CIP-005“信息安全-電子安全邊界”、CIP-006“信息安全-物理安全”、CIP-007“信息安全-系統(tǒng)安全管理”、CIP-008“信息安全-事故報告及響應(yīng)計劃”、CIP-009“信息安全-關(guān)鍵信息系統(tǒng)資產(chǎn)的恢復(fù)計劃”、CIP-010“信息安全-配置變更管理和脆弱性評估”、CIP-011“信息安全-信息防護(hù)”、CIP-014“物理安全”等。
2.2 防護(hù)水平不高和發(fā)展不平衡
當(dāng)前,針對工控系統(tǒng)的攻擊類別層出不窮。圖4展示了SANS學(xué)院發(fā)布的2014年度針對工控系統(tǒng)的頂級威脅分布矢量圖。由圖4可見,對工控系統(tǒng)信息安全的威脅,外部攻擊只占其中一部分,而來自內(nèi)部的威脅不容忽視。
圖4工控系統(tǒng)頂級威脅矢量圖
但是,國內(nèi)絕大多數(shù)企業(yè)的信息防護(hù)只注重邊界防護(hù),主要采用防火墻、網(wǎng)閘、入侵檢測系統(tǒng)、入侵防護(hù)系統(tǒng)、惡意軟件檢測軟件等標(biāo)準(zhǔn)安全工具,只達(dá)到國際標(biāo)準(zhǔn)所要求的SL 1級或SL 2級。一方面,這些防護(hù)手段只能提供簡單的、低資源、低動因的一般防護(hù),對于由敵對國家或犯罪組織等主導(dǎo)的黑客攻擊防護(hù)而言則遠(yuǎn)遠(yuǎn)不夠。例如,跨站腳本(XSS)、路過式(Drive-by)下載、水坑(watering holes)、封套/打包等攻擊,可利用合法的網(wǎng)站或軟件作隱蔽外衣,常常能旁路常規(guī)的防護(hù)手段,且難以檢測其攻擊行為。另一方面,邊界防護(hù)不能對內(nèi)部威脅進(jìn)行有效防護(hù),因此還需采取對員工和承包商嚴(yán)格的訪問控制、背景檢查、監(jiān)管、鑒別、審計、靈巧密碼復(fù)位策略等綜合防護(hù)措施。此外,國內(nèi)很少關(guān)注撒旦(Shodan)搜索引擎,而該引擎可找到幾乎所有與互聯(lián)網(wǎng)相連的設(shè)備。如果沒有一定強(qiáng)度的防護(hù)措施,則與互聯(lián)網(wǎng)相聯(lián)的工控系統(tǒng)和設(shè)備則如皇帝新衣般暴露于光天化日之下,極易受到攻擊。
在電力行業(yè)網(wǎng)絡(luò)與信息安全防護(hù)工作方面,還存在嚴(yán)重的發(fā)展不平衡現(xiàn)象。由于重視程度及投入差異等諸多原因,電網(wǎng)企業(yè)防護(hù)水平明顯優(yōu)于發(fā)電企業(yè),傳統(tǒng)類型發(fā)電企業(yè)防護(hù)水平明顯優(yōu)于新能源類發(fā)電企業(yè),電網(wǎng)生產(chǎn)系統(tǒng)防護(hù)水平明顯優(yōu)于營銷系統(tǒng)等。
2.3 其它方面
由于國內(nèi)工控安全的發(fā)展時間較短和研發(fā)投入不足,普遍缺乏針對工業(yè)特點(diǎn)的系列齊全的信息安全產(chǎn)品。如滿足2級、3級、4級不同等級保護(hù)要求的工控操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等。由于強(qiáng)調(diào)可靠性、成熟度等因素及歷史原因,所采用的工控設(shè)備國外產(chǎn)品居多,安全漏洞掃描查找困難較大。
此外,在基層部門,還或多或少存在以下誤區(qū)或不足:
(1)缺乏風(fēng)險管控理念,忽視信息安全的總體規(guī)劃和安全設(shè)計;
(2)重信息安全技術(shù)措施,輕信息安全管理措施;
(3)重視網(wǎng)絡(luò)安全,忽視物理安全、應(yīng)用安全、系統(tǒng)安全等其它方面;
(4)重視邊界防護(hù),忽視有效的縱深或深度防護(hù);
(5)重視控制系統(tǒng)防護(hù),忽視現(xiàn)場級智能儀表或設(shè)備的接入側(cè)防護(hù);
(6)缺乏對遠(yuǎn)程訪問有效的管控手段。
(7)因匱乏工業(yè)級信息防護(hù)產(chǎn)品,常將商用信息安全設(shè)備用于工控系統(tǒng)中。
3 需求分析
3.1 行業(yè)需求
信息安全是為其宿主服務(wù)的。因此需先對其服務(wù)對象——能源行業(yè)進(jìn)行需求分析。
按照國家行動計劃,能源戰(zhàn)略發(fā)展方向是綠色、低碳、智能;長期目標(biāo)主要是保障安全、優(yōu)化結(jié)構(gòu)和節(jié)能減排;重點(diǎn)發(fā)展領(lǐng)域有,煤炭清潔高效利用(包括高參數(shù)節(jié)能環(huán)保燃煤發(fā)電、整體煤氣化聯(lián)合循環(huán)發(fā)電等)、新一代核電、分布式能源、先進(jìn)可再生能源、智能電網(wǎng)、智能電廠等。
煤炭清潔高效利用主要是發(fā)展大容量、高參數(shù)、節(jié)能環(huán)保型發(fā)電機(jī)組,由此帶來壓力容器與壓力管道的數(shù)量增多、壓力等級提升,從而使面臨的危險更大。基于核電站已基本不采用工控模擬系統(tǒng),大力推廣工控系統(tǒng)的數(shù)字化,其工控系統(tǒng)的信息安全等級要求更高,需求更為急迫。當(dāng)前電廠、電網(wǎng)的數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展如火如荼,智能儀表/控制設(shè)備、無線傳感/控制網(wǎng)絡(luò)等的大量采用,電廠/電網(wǎng)內(nèi)IOT(物聯(lián)網(wǎng))、IOS(服務(wù)互聯(lián)網(wǎng))的推廣,正在形成泛在的傳感、泛在的計算、泛在的控制,網(wǎng)絡(luò)邊界動態(tài)及模糊,信息管控面和量劇增,對信息安全形成更大的挑戰(zhàn)。虛擬電廠是電力行業(yè)網(wǎng)絡(luò)化繼續(xù)向前推進(jìn)的一個顯著代表,是一種新型的發(fā)電模式,是分布式發(fā)電集控或群控技術(shù)的發(fā)展。其網(wǎng)絡(luò)互聯(lián)主要是通過LAN、WAN、GPRS、ISDN或總線系統(tǒng)而實(shí)現(xiàn)。所采用的工控系統(tǒng)信息安全應(yīng)適應(yīng)虛擬電廠的地域分散性、控制的實(shí)時性和可靠性的需求。
在信息安全中,傳統(tǒng)的安全目標(biāo)三角是C(保密性)、I(完整性)和A(可用性)。對于IT應(yīng)用,其安全優(yōu)先級排列順序?yàn)镃IA;對于工控系統(tǒng),通常認(rèn)為安全優(yōu)先順序應(yīng)為AIC。綜合能源行業(yè)因素,考慮到工控系統(tǒng)的應(yīng)用對象及其重要性,能源控制系統(tǒng)的網(wǎng)絡(luò)安全目標(biāo)不是CIA,也不是AIC,而應(yīng)是SAIC四角,即在CIA基礎(chǔ)上增加S(安全),且優(yōu)先級最高。
3.2 信息安全平臺需求
傳統(tǒng)的信息安全防護(hù)是采用多層、點(diǎn)狀的防護(hù)機(jī)制,如防火墻防護(hù)、基于應(yīng)用的防護(hù)、IPS、抗病毒、端點(diǎn)防護(hù)等。從安全角度看,上述機(jī)制主要是基于狀態(tài)檢測原理,處于分割狀態(tài),不能提供完善的防護(hù),如7層可見度、基于用戶的訪問控制等。
因此,宜采用具有完整的、高度融合的、防范內(nèi)外威脅且減小成本的工控信息安全平臺。選擇或構(gòu)建的新型安全平臺必須具有至少以下9個方面的能力。
(1)利用威脅防范智能核集成網(wǎng)絡(luò)和端點(diǎn)安全;
(2)基于應(yīng)用和用戶角色,而不是端口和IP,對通信進(jìn)行分類;
(3)支持顆粒度可調(diào)的網(wǎng)絡(luò)分段,如基于角色或任務(wù)的訪問等;
(4)本質(zhì)閉鎖已知威脅;
(5)檢測和預(yù)防未知惡意軟件的攻擊;
(6)阻止對端點(diǎn)的零日攻擊;
(7)具有集中管理和報告功能;
(8)支持無線和虛擬技術(shù)的安全應(yīng)用;
(9)強(qiáng)大的API和工業(yè)標(biāo)準(zhǔn)管理接口。
3.3 政府管理層面的需求
信息安全是一個多維度、多學(xué)科、技術(shù)和管理并存、動態(tài)發(fā)展的綜合體。要達(dá)到國家等級保護(hù)3至5級(特別是4級以上),或國際標(biāo)準(zhǔn)所定義的SL3級或SL4級信息安全等級,沒有國家及政府層面的介入,單憑企業(yè)的力量是難以實(shí)現(xiàn)的。
在美國,其國土安全部下屬的NCCIC(國家信息安全和通信一體化中心)和專門成立的ICS-CERT(工控系統(tǒng)-信息安全應(yīng)急響應(yīng)工作組),核心任務(wù)是幫助關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者降低相關(guān)控制系統(tǒng)和工藝過程的信息安全風(fēng)險。ICS-CERT是以天為單位響應(yīng)每天所發(fā)生的信息安全事件,通過與公司網(wǎng)絡(luò)的連接,覆蓋幾乎所有的與控制系統(tǒng)環(huán)境損害有關(guān)的攻擊事件。在2014年,ICS-CERT曾對兩類針對控制系統(tǒng)的高級威脅作出及時響應(yīng):其一為采用水坑式攻擊的Havex;其二為利用控制系統(tǒng)脆弱性,直接控制人機(jī)接口的BlackEnergy。
為了應(yīng)對日益增多的針對基礎(chǔ)設(shè)施控制系統(tǒng)的威脅,我國也應(yīng)成立類似的、專門的能源等基礎(chǔ)設(shè)施信息安全機(jī)構(gòu)和工作組,從政府層面指導(dǎo)、監(jiān)督、幫助核心企業(yè)應(yīng)對信息安全風(fēng)險。
4 結(jié)語
鑒于能源行業(yè)的特點(diǎn)及信息安全的覆蓋面,應(yīng)從國家層面開展能源領(lǐng)域控制系統(tǒng)與工控信息安全應(yīng)用示范。示范宜遵循總體規(guī)劃,針對對象特點(diǎn)和功用的分步驟/分階段/分區(qū)域試用,最后再系統(tǒng)性地集成工程應(yīng)用的工作模式。考慮到信息安全的維度和深度,宜做好研發(fā)和應(yīng)用示范的總體規(guī)劃,原則上每一信息安全產(chǎn)品均應(yīng)經(jīng)過策劃、評審、研制、測試、試用、消缺、驗(yàn)收、推廣的過程,成熟一個推廣一個,并應(yīng)做好實(shí)施后的定時評測和安全加固。
在應(yīng)用示范的基礎(chǔ)上,宜形成適合能源特點(diǎn)的、滿足工控實(shí)時性和可靠性需求的信息安全CBK(公共知識體系),包括安全管理、安全體系結(jié)構(gòu)和模型、業(yè)務(wù)持續(xù)性計劃、法律法規(guī)、物理安全、操作安全、訪問控制系統(tǒng)和方法、密碼、網(wǎng)絡(luò)安全、應(yīng)用開發(fā)安全等。此外,為方便信息產(chǎn)品的安裝設(shè)計、選型應(yīng)用,國家主管部門宜定期公布各類符合要求的、不同等級的信息安全產(chǎn)品信息。
參考文獻(xiàn):
[1] Mark Merkow, Jim Breithaupt. Information security: Principles and practices[M].Pearson education, Inc, 2008.
[2] SANS Institute. 2014 survey on industrial control system security [R].
[3] Jason Glassberg. Four stealthy cyber attacks targeting energy companies[J].Power,2015, (9): 56 -59.
[4] Mario Chiock, Del Rodillas. Defining the 21st century cyber-security protection platform for ICS[R].
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號