电力行业工控系统信息安全的情况及思考

电力行业工工控系统信信息安全的的情况及思思考专注工控信信息安全目录CONTENTS1.

工控信息安全现状2.3.

电力行业工控信息安全政策及相关措施电力行业工工控信息安安全情况4.电力行业工控信息安全技术分析与思考Part1工控信息安安全现状工控信息安安全现状~事件频发化工电力水利轨道交通制造业关键基础设施行业…………2014年Havex工控安全事事件2013年年美国“棱镜”监控项目2012年年5月，Flame病毒事件件2011年年9月，Duqu病病毒事件2010年年10月，，Stuxnet震震网病毒事事件…………信息安全问题频发严重威胁2012年2014年工控信息安安全现状~行为特征行为类别危害水平自2012年起，90%的漏洞为中中危或者高高危漏洞拒绝服务替替代缓冲区区溢出名列列首位从2000年~2012年间复杂度度变化趋势势：低复杂度攻攻击的漏洞洞从占90%下降到48%中复杂度的的漏洞从5%上升到47%高复杂度漏漏洞比例稳稳定在4%左右。技术特点：：利用工控系系统复杂性性所带来的的漏洞；利用工控系系统设计的的特点和固有机制；针对性强，，针对特定定区域和设设施、特定定厂家、特特定系统；；有的攻击方方式很复杂杂，融合计计算机、特特定系统和和工艺知识识。工控信息安安全现状~攻击技术工控信息安安全现状~防范水平（（产品）政策法规国务院关于大力推推进信息化化发展和切切实保障信信息安全的的若干意见见，国发〔2012〕23号：《意见》6-3明确，保障障工业控制制系统安全全。加强核核设施、航航空航天、、先进制造造、石油石石化、油气气管网、电电力系统、、交通运输输、水利枢枢纽、城市市设施等重重要领域工工业控制系系统，以及及物联网应应用、数字字城市建设设中的安全全防护和管管理。工信部下发发451号文件《关于加强工工业控制系系统信息安安全管理的的通知》，明确规定定加强重点点领域工控控信息系统统安全管理理措施。国家发改委委办公厅关关于组织实实施2012、2013年国家信息息安全专项项有关事项项的通知标准（编制制中）《工业控制系系统安全管管理基本要要求》《安全可控信信息系统（（电力系统统）安全指指标体系》《工业控制系系统安全防防护技术要要求和测试试评价方法法》《工业控制系系统信息安安全分级规规范》《工业控制系系统测控终终端安全要要求》工控信息安安全现状~防范水平（（政策）工控信息安安全现状~防范水平（（体系）国外国内发展领先但但同样面临临严峻的信信息安全形形势，工控控行业信息息安全不容容忽视工控信息安安全整体发发展得到重重视，国、、民企业合合作共同促促进产业全全面发展Part2电力行业工工控信息安安全情况电力行业工工控信息安安全情况~形式能源领域是是事件高发发区电力企业网网络每天遭遭受恶意试试探式攻击击达数万次次电力行业工工控信息安安全情况~原因风险来自内内部和外部部薄弱环节边界防护信息流加固固远程访问首当其冲SCADA/HMIPLC/DCS具体技术电力行业工工控信息安安全情况~举措美国：美国总统奥奥巴马上任任伊始就批批准了一项项保障电力力系统信息息安全的研研究计划。。2009年年，美国联联邦能源管管理局（FERC））正式批准准了CIP—002至CIP—009关键基础础设施保护护8个强制制性标准；；美国国家标标准2013年美国能源源局推出最最新版《工业控制系系统安全指指南》(SP800-82)；美国能源局局推出《改进SCADA网络安全的的21项措施》；技术研究院院（NIST）于2010年年2月颁布布了NISTIR7628“智能电电网网络安安全策略和和要求”标标准。IECIEC27001标准规定定了信息安安全管理体体系(ISMS)要要求与信息息安全控制制要求；IEC17799标准提供供了一套综综合的、由由信息安全全最佳惯例例组成的实实施规则；；IEC组组织针对电电力系统信信息安全需需求，还在在制定相关关的标准和和规程。中国我国相关机机构也颁布布了成体系系的规定，，包括““电力二次次系统安全全防护规定定”等；IEC27001和IEC17799标准准已在我国国电网企业业广泛应用用；我国国家自自然科学基基金委、科科技部等在在近几年也也资助了多多项与电力力信息系统统安全有关关的课题。。电力行业工工控信息安安全情况~探索电力生产控控制系统信信息安全研研究集中于于变电站自自动化系统统、微机保保护系统、、电力调度度自动化系系统和SCADA系系统等：：变电站自动动化系统：：如IEC61850的远程程访问时身身份验证和和访问控制制等；微机保护系系统：如抵抵御拒绝服服务和流量量控制攻击击等；SCADA系统：：如系统建建模和潜在在入侵分析析等；电力调度自自动化系统统：如脆弱弱性分析和和容入侵能能力评价等等。电力行业工工控信息安安全情况~趋势电力生产控控制类信息息系统的发发展趋势：：自主可控可信计算和和完全免疫疫工业计算机机实体保护护整机主板无无恶意芯片片，芯片无无恶意代码码验证和确认认(IEEE1012)工业网络保保护工业网络信息安全技技术Part3电力行业工工控政策及及相关措施施电力行业工工控政策及及相关措施施~国外标标准针对电力信信息安全，，国家经贸贸委、电监监会、国家家能源局、、国家发改改委等均发发文规定：：2002<电网和和电厂计算算机监控系系统及调度度数据网络络安全防护护规定>(国家经贸贸委30号号令)2003<全国电电力二次系系统安全防防护总体方方案>第7.2稿2004<电力二二次系统安安全防护规规定>(电电监会5号号令)2006<关于印印发<电力力二次系统统安全防护护总体方案案>的通知知>(电监监安全[2006]34号)-《省级及及以上调度度中心二次次系统安全全防护方案案》-《地、县县级调度中中心二次系系统安全防防护方案》》-《变电站站二次系统统安全防护护方案》-《发电厂厂二次系统统安全防护护方案》-《配电二二次系统安安全防护方方案》2007<电力行行业网络与与信息安全全监督管理理暂行规定定>(电监监信息[2007]50号)2007<电力行行业信息系系统安全等等级保护定定级工作指指导意见>(电监信信息[2007]44号)2007<关于开开展电力行行业信息系系统安全等等级保护定定级工作的的通知>(电监信息息[2007]34号)2012<电力行行业信息系系统安全等等级保护基基本要求>(电监信信息[2012]62号)2014<电力行行业网络与与信息安全全管理办法法>(国能能安全[2014]317号号)2014<电力行行业信息安安全等级保保护管理办办法>(国国能安全[2014]318号)<电电力力监监控控系系统统安安全全防防护护规规定定>(国国家家发发改改委委令令第第14号号)《关于于印印发发电电力力监监控控系系统统安安全全防防护护总总体体方方案案》及其其7个附附件件（（能能源源局局36号））电力力行行业业工工控控政政策策及及相相关关措措施施~国国内内政政策策系统统性性（木桶桶原原理理）动态态性性适度度安安全全（质质量量指指标标冲冲突突））机密密性性与与可可用用性性高性性能能灵活活性性、、易易用用性性标准准化化、、经经济济性性全面面防防护护、、突突出出重重点点重点点实实时时控控制制；；分层层分分区区、、强强化化边边界界提高高内内部部安安全全防防护护能能力力；；三分分技技术术，，七七分分管管理理责任任到到人人，，分级级管管理理，，联合合防防护护。。电力力行行业业工工控控政政策策及及相相关关措措施施~总体体思思路路国家家发发展展改改革革委委2014年第第14号令令《《电电力力监监控控系系统统安安全全防防护护规规定定》》2004年年，，电电监监会会发发布布第第5号号令令《《电电力力二二次次系系统统安安全全防防护护规规定定》》；；2014年年国国家家发发改改委委第第14号号令令《电电力力监监控控系系统统安安全全防防护护规规定定》》开始始实实施施，，电电监监会会5号号令令同同时时废废止止。。两两项项《《规规定定》》要要求求；；2015年能能源源局局36号《关于于印印发发电电力力监监控控系系统统安安全全防防护护总总体体方方案案》及其其7个附件件，，规规定定：：对电电力力监监控控系系统统安安全全防防护护提提出出总总体体原原则则为为安安全全分分区区、、网网络络专专用用、、横横向向隔隔离离、、纵纵向向认认证证、、综综合合防防护护。。电力力行行业业工工控控政政策策及及相相关关措措施施~防护护规规定定分区区原原则则：：安全全区区I：：实实时时控控制制区区集控控中中心心计计算算机机监监控控系系统统控控制制网网划划分分在在安安全全区区ⅠⅠ，，例例如如：：SCADA服服务务器器、、应应用用程程序序服服务务器器、、操操作作员员工工作作站站、、工工程程师师/编编程程员员工工作作站站、、通通信信服服务务器器等等。。安全全区区ⅡⅡ：：非非控控制制生生产产区区原则则上上不不具具备备控控制制功功能能的的生生产产业业务务和和批批发发交交易易业业务务系系统统，，且且使使用用调调度度数数据据网网络络、、在在线线运运行行的的系系统统均均属属于于该该区区，，例例如如：：仿仿真真培培训训系系统统、、ON-CALL系系统统工工作作站站、、报报表表管管理理工工作作站站等等。。安全全区区ⅢⅢ：：生生产产管管理理区区该区区的的系系统统为为进进行行生生产产管管理理的的系系统统，，如如：：状状态态监监测测及及分分析析系系统统、、发发电电及及检检修修计计划划决决策策系系统统、、Web服服务务器器等等。。安全全区区ⅣⅣ：：管管理理信信息息区区实现现电电力力信信息息管管理理和和办办公公自自动动化化功功能能，，使使用用电电力力数数据据通通信信网网络络，，业业务务系系统统的的访访问问界界面面主主要要为为桌桌面面终终端端，，如如：：管管理理信信息息系系统统（（MIS））、、办办公公自自动动化化系系统统（（OA））等等，，其其外外部部通通信信边边界界为为SGTnet-VPN2和和因因特特网网。。国家家发发展展改改革革委委2014年第第14号令令《《电电力力监监控控系系统统安安全全防防护护规规定定》》2007年，，电电监监会会发发布布第第34号令令《《关关于于开开展展电电力力行行业业信信息息系系统统安安全全保保护护定定级级工工作作的的通通知知》》、、和和第第44号号令令《电力力行行业业信信息息系系统统安安全全等等级级保保护护定定级级工工作作指指导导意意见见》：据保密密性和和可用用性给出分级原原则：对电力力生产产控制系系统安全等等级保保护级级别作作出了规规定：：电力行行业工工控政政策及及相关关措施施~防护规规定国家发发展改改革委委2014年第14号令《《电电力监监控系系统安安全防防护规规定》》2012年，电电监会会发布布第62号令<电力力行业业信息息系统统安全全等级级保护护基本本要求求>，，提出出各级级保护护的技技术要要求和和管理理要求求。物理安安全网络安安全主机安安全应用安安全数据安安全电力行行业工工控政政策及及相关关措施施~防护规规定国家发发展改改革委委2014年第14号令《《电电力监监控系系统安安全防防护规规定》》电力行行业工工控政政策及及相关关措施施~技技术措措施国家发发改委委令第第14号《电力力监控控系统统安全全防护护规定定》…第九条条技术要要求：““在生生产控控制大大区内内部的的安全全区之之间应应当采采用具具有访问控控制功能的的设备备、防防火墙墙或者者相当当功能能的设设施，，实现现逻辑辑隔离离。””第十一一条技技术要要求：：“安安全区区边界界应当当采取取必要要的安安全防防护措措施，，禁止止任何何穿越越生产产控制制大区和和管理理信息息大区区之间间边界界的通通用网络服服务。…电监安安全[2006]34号号《电力力监控控系统统安全全防护护总体体方案案》…3.6生生产控控制大大区主主机操作系系统应当进进行安安全加加固。。加固固方法法包括括：安安全配配置、、安全全补丁丁、采采用专专用软软件强强化操操作系系统访访问控控制能能力、、以及及配置置安全全的应应用程程序。。3.11生生产产控制制大区区应当当具备备安全全审计计功能能，可可以对对网络络运行日日志、操作作系统统运行行日志志、数数据库库重要要操作作日志志、业业务应应用系系统运运行日日志、、安全全设施施运行行日志志等进进行集集中收收集、、自动动分析析，及及时发发现各各种违违规行行为以以及病病毒和和黑客客的攻攻击行行为。。…电监会会[2012]62号《电力行行业信信息系系统安安全等等级保保护基基本要要求》…13.1.4.3访问控控制（S4）本项要要求包包括：：a)应提供供自主主访问问控制制功能能，依依据安安全策策略控控制用用户对对文件件、数数据库库表等等客体体的访访问；；b)自主访访问控控制的的覆盖盖范围围应包包括与与信息息安全全直接接相关关的主主体、、客体体及它它们之之间的的操作作；c)应由授授权主主体配配置访访问控控制策策略，，并禁禁止默默认帐帐户的的访问问；…针对工工控系系统薄薄弱环环节，，ICS-CERT建议议：SystemsandCommunicationsProtectionAllICScomponents,includingallsoftwareandhardwareNetworkingandcommunicationssystemcomponentsDependentsystemsandapplicationsutilizedinsupportoftheprocessautomation.Theseinclude,forexample,domaincontrollers,backupservers,loggingandauditingplatforms,andalertingmechanisms.AccessControl——InformationFlowEnforcementVerifyingandmonitoringdevice-to-devicecommunications.Establishingsecuritycontrolsandenhancingvisibilityintothecommandstransmittedbetweendevices(e.g.,reads,writes,functioncodes,acknowledgeresponses,andexceptionmessages).Isolatingandenhancingsecuritycontrolspertainingtodevicesthatcanillicitwritecommandsormakemodificationstodownstreamdevices.Verifyingandmonitoringforcommunicationrequestssourcedfromfielddevicesattemptingto““back-channel””intothecoreofthecontrolnetwork.AccessControl——RemoteAccessMonitorandverifythescopeofremoteaccesscommunicationsandconnectivityMonitorcommunicationflowsoccurringviatheremoteaccesschannelLogauthentications(bothsuccessfulandunsuccessful)EnforceprotectiveanddetectivemeasurespertainingtofailedconnectivityattemptsornefarioustrafficpatternsRestrictthescopeofremoteaccesssessionstoonlythosepersonnelassignedaresponsibilityforsupportingtheICSandprocessoperationsDisablesplit-tunnelingwhenconnectedviaaremotesession(effectivelyroutingalltrafficthroughtheVPNorremoteaccessgateway)EnforceconnectivityfromonlyauthorizedoriginationsystemsImplementapplicationlayerfirewalls,applicationwhitelisting,andendpointpolicyenforcementfororiginationsystems.……电力行行业工工控政政策及及相关关措施施~技技术措措施Part4电力行业工工控信息安安全技术分分析与思考考电力工控安安全基础基基本建立：：边界防护基基本建立工作重心已已转为区内内安全、纵纵深防护为为主进行中的行行动国家和行业业监管完善政策、、法规、标标准、规范范维护信息共共享用户、供应应商、测评评机构协作作产品和系统统充分加固固全面测试、、分析和评评估安全操作和和维护电力行业工工控信息安安全技术分分析与思考考进一步深化化的思路，，是“推推动融合”