能源行业工控系统信息安全现状及需求分析

《能源行业工控系统信息安全现状及需求分析》由会员分享，可在线阅读，更多相关《能源行业工控系统信息安全现状及需求分析（12页珍藏版）》请在装配图网上搜索。

1、能源是现代化的基础和动力。能源供应和安全事关我国现代化建设全局。因此，在国务院2014年印发的“能源发展战略行动计划（2014-2020年）”中提出了我国要加 快构建清洁、高效、安全、可持续的现代能源体系。作为国际标准组织之一的IEC （国际电工委员会），将“信息安全”定义为使信息免受 不论是由于有意还是无意的，非授权的公开、传输、变更或破坏的 防护。图1为美国Verizon发布的2014年度各行业遭受的恶意软件攻击频度统计分布图表。由图1可见，能源行业已成为仅次于零售业的主要攻击目标。图1平均每周恶意软件攻击事件频度行业分布现今，能源行业的运转已离不开工业自动化和控制系统（以下简称“工控系统

2、”）。倘 若工控系统没有适当的信息安全等级防护，有如不对潘多拉魔盒加以管控，则必定会对其受控对 象一一能源过程带来不可预估的后果。1.监控系统安全总体架构电能作为高效、优质、绿色的能源，在社会生活的方方面面起着越来越重 要的作用。经 过改革开放后三十多年的快速发展，我国电力工业取得了长足进步。在“十二五”期间，我国 发电装机规模和电网规模已双双跃居世界第一位。当前发电厂、变电站等电力基础设施的工控系 统基本上都采用了智能 仪器仪表 设备（如带Hart协议的智能变送器、Profibus或FF等现场 总线仪表或设备等，推广采用符合IEC 61850的智能电子设备IED）和计算机监视控制系统（如 D

3、CS分散控制系统、FCS现场总线控制系统、PLC可编程序控制器、SCADA监控和数据采集系统 等），实现了对电网及电厂生产运行过程的计算机监视和控制。总体来讲，基于计算机技术的电力监控系统（包括电力数据采集与监控系统、能量管 理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系 统、微机继电保护和安全自动装置、广域相量测量系 统、负荷控制系统、水调自动化系统和水 电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等），在确保我 国电力安全生产、节能降耗、经济环保运行方面发挥了重大作用2002 年 5电力行业计算机系统的信息安全防护成规模成系统部署

4、，始于月原国家经贸委发布的第30号令，即电网和电厂计算机监控系统及调度数据网络安全防护规 定，及2004年12月原国家电力监管委员会发布的第5号令，即电力二次系统安全防护规定。原电监会5号令中指的“电力二次系统”，包括电力监控系统、电力通信及数据网络等，基本等同于原经贸委30号令中所提的电网和电厂计算机监控系统及调度数据网络。十余年来，我国电力监控系统信息安全从无到有，取得了较大的进步。现今，电力行业的工控信息安全防护均执行国家发 展和改革委员会2014年第14号令，即电力监控系统安全防护规定。电力监控系统的安全 防护遵循“安全分区、网络专用、横向隔离、纵向认证”的原则，其安全防护的总体架构如

5、图2所示。图2电力监控系统安全防护总体架构示意图按照业务性质，发电企业、电网企业、供电企业通常将其内部计算机系统，原则性地划分 为生产控制大区和管理信息大区。基于是否具有实时监控功能，又将生产控制大区细分为控制 区（安全区【）和非控制区（安全区U）。生产控制大区与管理信息大区之间设置电力专用横 向单向安全隔离装置，生产控制大区内的控制区（安 全区【）和非控制区（安全区U）之间 设置逻辑隔离装置（如防火墙等具有访问控制功能的设备）。电力调度数据网采用专用通道，并 使用独立的网络设备组网，也可细分为实时子网和非实时子网，并与生产控制大区控制区和非 控制区互联。其间安全隔离采用电力专用纵向加密认证装

6、置或加密认证网关或硬件防火墙。由此可见，我国电力行业的工控信息安全起步较早，并保持了持续稳定的 发展态势，基 本上未发生较大以上的网络安全事件，保证了电力行业重要信息基础设施的安全、稳定和高效 运行。2.存在的差距及不足虽然建立了相应的安全防护体系，但冷静、客观地分析，并与国际先进水 平相比，我国 电力行业工控信息安全仍存在不少不足或欠缺之处。2.1安全防护标准体系不健全与国外发达国家工控系统安全防护比较，国内的安全防护从标准体系上就不健全。西方 少数国家早在20世纪90年代前后就开始了工控系统信息安全的标准化工作，如英国于1995 年就发布了关于信息安全管理系统的标准BS 7799国际标准组

7、织在BS 7799标准基础上，制定了信息安全管理体系ISO/IEC 27000系列国际标准。美国国家标准与技术研究院从20世纪80年代开始就陆续发布了一系列信息安全的报告，其中知名的有NIST SP800-82 “工控系统（ICS）信息安全指南”等。IEC基于美国自动化国际学会ISA 99系列标准，先后制定了工控系统信息安全IEC 62443系列标准。*! -二 74 - P r . . h J:S.i -iftn：U mW 厅筑-P f）I-十 k.Kf?起审 F,“ F居奇斗.；川：；怕功 I. L ft ; U : .: L fj); -出云韦二 0 i 叮*.* 士 r. *:IEC

8、62443系列标准图3国内针对常规信息系统的信息安全等级保护标准较为系统和全面，但针对 工控系统的信 息安全标准十分欠缺。当前国内所发布的与工控系统信息安全相关的国家标准仅有2部，即GB/T30976.1-2014 “工控系统信息安全-第1部分：评估规范”和GB/T 30976.2-2014 “工控系统信 息安全-第2部分：验收规范”。具体到能源行业，其针对性的专门信息安全防护标准国内几乎没有。如以火电厂为例，国内尚无专门的信息安全设计标准，当前只是在部分相关标准中少量、分散地 提及一些要求而已。如在国家标准大中型火力发电厂设计规范GB 50660-2011中，所涉及的信息安全内容篇幅不到半页

9、纸，仅提到了访问控制、数据恢复、防 病毒、防黑客等寥寥几点。在美国和加拿大，电力行业需遵循NERC （北美电力可靠性组织）早在2006年就已制定的 CIP （关键基础设施防护）标准，化工行业需遵循CFATS （化学 设施反恐标准）标准等。CIP 系列标准包括CIP-001“破坏报告”、CIP-002“信息安全-关键信息系统资产识别”、CIP-003 “信息安全-安全管理控制”、CIP-004 “人员及培训” 、CIP- 005 “信息安全-电子安全边界”、CIP-006 “信 息安全-物 理安全” 、CIP-007 “信息安全-系统安全管理”、CIP-008 “信息安全-事故报告及响应计 划”

10、、CIP-009 “信息安全-关键信息系统资产的恢复计划”、CIP-010 “信息安全-配置变更 管理和脆弱性评估”、CIP-011“信息安全-信息防护”、CIP-014 “物理安全”等。2.2防护水平不高和发展不平衡当前，针对工控系统的攻击类别层出不穷。图4展示了 SANS学院发布的 2014年度针对工控系统的顶级威胁分布矢量图。对工控系统信息安全的威胁，外部攻击只占其 中一部分，而来自内部的威胁不容忽视图4工控系统顶级威胁矢量图但是，国内绝大多数企业的信息防护只注重边界防护，主要采用防火墙、网闸、入侵检 测系统、入侵防护系统、恶意软件检测软件等标准安全工具，只达 到国际标准所要求的SL 1

11、 级或SL 2级。一方面，这些防护手段只能提供简单的、低资源、低动因的一般防护，对于由敌 对国家或犯罪组织等主导的黑客攻击 防护而言则远远不够。例如，跨站脚本(XSS)、路过式 (Drive-by )下载、水坑(watering holes).封套/打包等攻击，可利用合法的网站或软件作隐蔽外衣，常常能旁路 常规的防护手段，且难以检测其攻击行为。另一方面，边界防 护不能对内部威胁进行有效防护， 因此还需采取对员工和承包商严格的访问控制、背景检查、监管、鉴别、审计、灵巧密码复位策 略等综合防护措施。此外，国内很少关注撒旦 (Shodan )搜索引擎，而该引擎可找到几乎所 有与互联网相连的设备。如果

12、没有一定强度的防护措施，则与互联网相联的工控系统和设备则如皇帝新衣般 暴露于光天化日之下，极易受到攻击。在电力行业网络与信息安全防护工作方面，还存在严重的发展不平衡现象。由于重视程度及投入差异等诸多原因，电网企业防护水平明显优于发电企业，传统类型发电企业 防护水平明显优于新能源类发电企业，电网生产系统防护水平明显优于营销系统等。2.3其它方面由于国内工控安全的发展时间较短和研发投入不足，普遍缺乏针对工业特 点的系列齐全 的信息安全产品。如满足2级、3级、4级不同等级保护要求的工控操作系统、数据库系统等。 由于强调可靠性、成熟度等因素及历史原因，所采用的工控设备国外产品居多，安全漏洞扫描查 找困

13、难较大。此外，在基层部门，还或多或少存在以下误区或不足：（1）缺乏风险管控理念，忽视信息安全的总体规划和安全设计；（2）重信息安全技术措施，轻信息安全管理措施；（3）重视网络安全，忽视物理安全、应用安全、系统安全等其它方面；（4）重视边界防护，忽视有效的纵深或深度防护；5）重视控制系统防护，忽视现场级智能仪表或设备的接入侧防护；6）缺乏对远程访问有效的管控手段；（7）因匮乏工业级信息防护产品，常将商用信息安全设备用于工控系统中。3.需求分析3.1行业需求信息安全是为其宿主服务的。因此需先对其服务对象一一能源行业进行需 求分析。按照国家行动计划，能源战略发展方向是绿色、低碳、智能；长期目标主要是

14、保障安全、 优化结构和节能减排；重点发展领域有，煤炭清洁高效利用（包 括高参数节能环保燃煤发电、 整体煤气化联合循环发电等）、新一代核电、分布式能源、先进可再生能源、智能电网、智能电 厂等。煤炭清洁高效利用主要是发展大容量、高参数、节能环保型发电机组，由此带来压力容 器与压力管道的数量增多、压力等级提升，从而使面临的危险更大基于核电站已基本不采用工 控模拟系统，大力推广工控系统的数字化，其工控系统的信息安全等级要求更高，需求更为急迫。 当前电厂、电网的数字化、网络化、智能化发展如火如荼，智能仪表/控制设备、无线传感/控 制网络等的大量采用，电厂/电网内IOT （物联网）、IOS （服务互联网）

15、的推广，正在形成泛 在的传感、泛在的计算、泛在的控制，网络边界动态及模糊，信息管控面和量剧增，对信息安 全形成更大的挑战。虚拟电厂是电力行业网络化继续向前推进的一个显著代表，是一种新型的 发电模式，是分布式发电集控或群控技术的发展。其网络互联主要是通过LAN、WAN、GPRS、 ISDN或总线系统而实现。所采用的工控系统信息安全应适应虚拟电厂的地域分散性、控制的实时性和可靠性的需求。在信息安全中，传统的安全目标三角是C （保密性）、I （完整性）和A （可用性）。对于IT应用，其安全优先级排列顺序为CIA;对于工控系统，通常认 为安全优先顺序应为AIC。 综合能源行业因素，考虑到工控系统的应用

16、对象及其重要性，能源控制系统的网络安全目标不是 CIA，也不是AIC，而应是SAIC四角，即在CIA基础上增加S （安全），且优先级最高。3.2信息安全平台需求传统的信息安全防护是采用多层、点状的防护机制，如防火墙防护、基于应用的防护、IPS、抗病毒、端点防护等。从安全角度看，上述机制主要是基于状态检测原理，处于分割状态，不能提供完善的防护，如7层可见度、基于用户的访问控制等。因此，宜采用具有完整的、高度融合的、防范内外威胁且减小成本的工控信息安全平台。选择或构建的新型安全平台必须具有至少以下9个方面的能力1）利用威胁防范智能核集成网络和端点安全；（2）基于应用和用户角色，而不是端口和IP,对

17、通信进行分类；3）支持颗粒度可调的网络分段，如基于角色或任务的访问等；4）本质闭锁已知威胁;5）检测和预防未知恶意软件的攻击;6 ）阻止对端点的零日攻击；7）具有集中管理和报告功能；8）支持无线和虚拟技术的安全应用；9）强大的API和工业标准管理接口3.3政府管理层面的需求信息安全是一个多维度、多学科、技术和管理并存、动态发展的综合体。要达到国家等级保护3至5级（特别是4级以上），或国际标准所定义的SL3级或SL4级信 息安全等级，没有国家及政府层面的介入，单凭企业的力量是难 以实现的。在美国，其国土安全部下属的NCCIC （国家信息安全和通信一体化中心）和专门成立的 ICS-CERT（工控系

18、统-信息安全应急响应工作组），核心任务是帮助关键基础设施资产所有者降 低相关控制系统和工艺过程的信息安全风险。ICS-CERT是以天为单位响应每天所发生的信息安 全事件，通过与公司网络的连 接，覆盖几乎所有的与控制系统环境损害有关的攻击事件。在2014 年，ICS-CERT曾对两类针对控制系统的高级威胁作出及时响应：其一为采用水坑式攻击的Havex ；其二为利 用控制系统脆弱性，直接控制人机接口的BlackEnergy 。为了应对日益增多的针对基础设施控制系统的威胁，我国也应成立类似的、专门的能源等基础设施信息安全机构和工作组，从政府层面指导、监督、帮助核心企业应对信息安全风险。4.结语鉴于能

19、源行业的特点及信息安全的覆盖面，应从国家层面开展能源领域控 制系统与工控 信息安全应用示范。示范宜遵循总体规划，针对对象特点和功用的 分步骤/分 阶段/分区域 试用，最后再系统性地集成工程应用的工作模式。考虑到信息安全的维度和深度，宜做好研发 和应用示范的总体规划，原则上每一信息安全产品均应经过策划、评审、研制、测试、试用、 消缺、验收、推广的过程，成熟一个推广一个，并应做好实施后的定时评测和安全加固。在应用示范的基础上，宜形成适合能源特点的、满足工控实时性和可靠性需求的信息安全CBK （公共知识体系），包括安全管理、安全体系结构和模型、业务持续性计 划、法律法规、物理安全、操作安全、访问控制系统和方法、密码、网络安全、应用开发安全等。 此外，为方便信息产品的安装设计、选型应用，国家主管部门宜定期公布各类符合要求的、不 同等级的信息安全产品信息。