电力行业工控系统信息安全的情况及思考

电力行业工控系统信息安全的情况及思考专注工控信息安全目录CONTENTS1.

工控信息安全现状2.3.

电力行业工控信息安全政策及相关措施电力行业工控信息安全情况4.电力行业工控信息安全技术分析与思考Part1工控信息安全现状工控信息安全现状~事件频发化工电力水利轨道交通制造业关键基础设施行业…………2014年Havex工控安全事件2013年美国“棱镜”监控项目2012年5月，Flame病毒事件2011年9月，Duqu病毒事件2010年10月，Stuxnet震网病毒事件…………信息安全问题频发严重威胁2012年2014年工控信息安全现状~行为特征行为类别危害水平自2012年起，90%的漏洞为中危或者高危漏洞拒绝服务替代缓冲区溢出名列首位从2000年~2012年间复杂度变化趋势：低复杂度攻击的漏洞从占90%下降到48%中复杂度的漏洞从5%上升到47%高复杂度漏洞比例稳定在4%左右。技术特点：利用工控系统复杂性所带来的漏洞；利用工控系统设计的特点和固有机制；针对性强，针对特定区域和设施、特定厂家、特定系统；有的攻击方式很复杂，融合计算机、特定系统和工艺知识。工控信息安全现状~攻击技术工控信息安全现状~防范水平（产品）政策法规国务院关于大力推进信息化发展和切实保障信息安全的若干意见，国发〔2012〕23号：《意见》6-3明确，保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理。工信部下发451号文件《关于加强工业控制系统信息安全管理的通知》，明确规定加强重点领域工控信息系统安全管理措施。国家发改委办公厅关于组织实施2012、2013年国家信息安全专项有关事项的通知标准（编制中）《工业控制系统安全管理基本要求》《安全可控信息系统（电力系统）安全指标体系》《工业控制系统安全防护技术要求和测试评价方法》《工业控制系统信息安全分级规范》《工业控制系统测控终端安全要求》工控信息安全现状~防范水平（政策）工控信息安全现状~防范水平（体系）国外国内发展领先但同样面临严峻的信息安全形势，工控行业信息安全不容忽视工控信息安全整体发展得到重视，国、民企业合作共同促进产业全面发展Part2电力行业工控信息安全情况电力行业工工控信息安安全情况~形式能源领域是是事件高发发区电力企业网网络每天遭遭受恶意试试探式攻击击达数万次次电力行业工工控信息安安全情况~原因风险来自内内部和外部部薄弱环节边界防护信息流加固固远程访问首当其冲SCADA/HMIPLC/DCS具体技术电力行业工工控信息安安全情况~举措美国：美国总统奥奥巴马上任任伊始就批批准了一项项保障电力力系统信息息安全的研研究计划。。2009年年，美国联联邦能源管管理局（FERC））正式批准准了CIP—002至CIP—009关键基础础设施保护护8个强制制性标准；；美国国家标标准2013年美国能源源局推出最最新版《工业控制系系统安全指指南》(SP800-82)；美国能源局局推出《改进SCADA网络安全的的21项措施》；技术研究院院（NIST）于2010年年2月颁布布了NISTIR7628“智能电电网网络安安全策略和和要求”标标准。IECIEC27001标准规定定了信息安安全管理体体系(ISMS)要要求与信息息安全控制制要求；IEC17799标准提供供了一套综综合的、由由信息安全全最佳惯例例组成的实实施规则；；IEC组组织针对电电力系统信信息安全需需求，还在在制定相关关的标准和和规程。中国我国相关机机构也颁布布了成体系系的规定，，包括““电力二次次系统安全全防护规定定”等；IEC27001和IEC17799标准准已在我国国电网企业业广泛应用用；我国国家自自然科学基基金委、科科技部等在在近几年也也资助了多多项与电力力信息系统统安全有关关的课题。。电力行业工工控信息安安全情况~探索电力生产控控制系统信信息安全研研究集中于于变电站自自动化系统统、微机保保护系统、、电力调度度自动化系系统和SCADA系系统等：：变电站自动动化系统：：如IEC61850的远程程访问时身身份验证和和访问控制制等；微机保护系系统：如抵抵御拒绝服服务和流量量控制攻击击等；SCADA系统：：如系统建建模和潜在在入侵分析析等；电力调度自自动化系统统：如脆弱弱性分析和和容入侵能能力评价等等。电力行业工工控信息安安全情况~趋势电力生产控控制类信息息系统的发发展趋势：：自主可控可信计算和和完全免疫疫工业计算机机实体保护护整机主板无无恶意芯片片，芯片无无恶意代码码验证和确认认(IEEE1012)工业网络保保护工业网络信息安全技技术Part3电力行业工工控政策及及相关措施施电力行业工工控政策及及相关措施施~国外标标准针对电力信信息安全，，国家经贸贸委、电监监会、国家家能源局、、国家发改改委等均发发文规定：：2002<电网和和电厂计算算机监控系系统及调度度数据网络络安全防护护规定>(国家经贸贸委30号号令)2003<全国电电力二次系系统安全防防护总体方方案>第7.2稿2004<电力二二次系统安安全防护规规定>(电电监会5号号令)2006<关于印印发<电力力二次系统统安全防护护总体方案案>的通知知>(电监监安全[2006]34号)-《省级及及以上调度度中心二次次系统安全全防护方案案》-《地、县县级调度中中心二次系系统安全防防护方案》》-《变电站站二次系统统安全防护护方案》-《发电厂厂二次系统统安全防护护方案》-《配电二二次系统安安全防护方方案》2007<电力行行业网络与与信息安全全监督管理理暂行规定定>(电监监信息[2007]50号)2007<电力行行业信息系系统安全等等级保护定定级工作指指导意见>(电监信信息[2007]44号)2007<关于开开展电力行行业信息系系统安全等等级保护定定级工作的的通知>(电监信息息[2007]34号)2012<电力行行业信息系系统安全等等级保护基基本要求>(电监信信息[2012]62号)2014<电力行行业网络与与信息安全全管理办法法>(国能能安全[2014]317号号)2014<电力行行业信息安安全等级保保护管理办办法>(国国能安全[2014]318号)<电力监控控系统安全全防护规定定>(国家家发改委令令第14号号)《关于印发电电力监控系系统安全防防护总体方方案》及其7个附件（能能源局36号）电力行业工工控政策及及相关措施施~国内政政策系统性（木桶原理）动态性适度安全（质量指标标冲突）机密性与可可用性高性能灵活性、易易用性标准化、经经济性全面防护、、突出重点点重点实时控控制；分层分区、、强化边界界提高内部安安全防护能能力；三分技术，，七分管理理责任到人，，分级管理，，联合防护。。电力行业工工控政策及及相关措施施~总体思路国家发展改改革委2014年第14号令《电电力监控系系统安全防防护规定》》2004年年，电电监会会发布布第5号令令《电电力二二次系系统安安全防防护规规定》》；2014年年国家家发改改委第第14号令令《电力力监控控系统统安全全防护护规定定》开始实实施，，电监监会5号令令同时时废止止。两两项《《规定定》要要求；；2015年能源源局36号《关于印印发电电力监监控系系统安安全防防护总总体方方案》及其7个附件，，规定定：对电力力监控控系统统安全全防护护提出出总体体原则则为安安全分分区、、网络络专用用、横横向隔隔离、、纵向向认证证、综综合防防护。。电力行行业工工控政政策及及相关关措施施~防护规规定分区原原则：：安全区区I：：实时时控制制区集控中中心计计算机机监控控系统统控制制网划划分在在安全全区ⅠⅠ，例例如：：SCADA服服务器器、应应用程程序服服务器器、操操作员员工作作站、、工程程师/编程程员工工作站站、通通信服服务器器等。。安全区区Ⅱ：：非控控制生生产区区原则上上不具具备控控制功功能的的生产产业务务和批批发交交易业业务系系统，，且使使用调调度数数据网网络、、在线线运行行的系系统均均属于于该区区，例例如：：仿真真培训训系统统、ON-CALL系统统工作作站、、报表表管理理工作作站等等。安全区区Ⅲ：：生产产管理理区该区的的系统统为进进行生生产管管理的的系统统，如如：状状态监监测及及分析析系统统、发发电及及检修修计划划决策策系统统、Web服务务器等等。安全区区Ⅳ：：管理理信息息区实现电电力信信息管管理和和办公公自动动化功功能，，使用用电力力数据据通信信网络络，业业务系系统的的访问问界面面主要要为桌桌面终终端，，如：：管理理信息息系统统（MIS）、、办公公自动动化系系统（（OA）等等，其其外部部通信信边界界为SGTnet-VPN2和因因特网网。国家发发展改改革委委2014年第14号令《《电电力监监控系系统安安全防防护规规定》》2007年，电电监会会发布布第34号令《《关于于开展展电力力行业业信息息系统统安全全保护护定级级工作作的通通知》》、和和第44号号令《电力行行业信信息系系统安安全等等级保保护定定级工工作指指导意意见》：据保密密性和和可用用性给出分级原原则：对电力力生产产控制系系统安全等等级保保护级级别作作出了规规定：：电力行行业工工控政政策及及相关关措施施~防护规规定国家发发展改改革委委2014年第14号令《《电电力监监控系系统安安全防防护规规定》》2012年，电电监会会发布布第62号令<电力力行业业信息息系统统安全全等级级保护护基本本要求求>，，提出出各级级保护护的技技术要要求和和管理理要求求。物理安安全网络安安全主机安安全应用安安全数据安安全电力行行业工工控政政策及及相关关措施施~防护规规定国家发发展改改革委委2014年第14号令《《电电力监监控系系统安安全防防护规规定》》电力行行业工工控政政策及及相关关措施施~技技术措措施国家发发改委委令第第14号《电力力监控控系统统安全全防护护规定定》…第九条条技术要要求：““在生生产控控制大大区内内部的的安全全区之之间应应当采采用具具有访问控控制功能的的设备备、防防火墙墙或者者相当当功能能的设设施，，实现现逻辑辑隔离离。””第十一一条技技术要要求：：“安安全区区边界界应当当采取取必要要的安安全防防护措措施，，禁止止任何何穿越越生产产控制制大区和和管理理信息息大区区之间间边界界的通通用网络服服务。…电监安安全[2006]34号号《电力力监控控系统统安全全防护护总体体方案案》…3.6生生产控控制大大区主主机操作系系统应当进进行安安全加加固。。加固固方法法包括括：安安全配配置、、安全全补丁丁、采采用专专用软软件强强化操操作系系统访访问控控制能能力、、以及及配置置安全全的应应用程程序。。3.11生生产产控制制大区区应当当具备备安全全审计计功能能，可可以对对网络络运行日日志、操作作系统统运行行日志志、数数据库库重要要操作作日志志、业业务应应用系系统运运行日日志、、安全全设施施运行行日志志等进进行集集中收收集、、自动动分析析，及及时发发现各各种违违规行行为以以及病病毒和和黑客客的攻攻击行行为。。…电监会会[2012]62号《电力行行业信信息系系统安安全等等级保保护基基本要要求》…13.1.4.3访问控控制（S4）本项要要求包包括：：a)应提供供自主主访问问控制制功能能，依依据安安全策策略控控制用用户对对文件件、数数据库库表等等客体体的访访问；；b)自主访访问控控制的的覆盖盖范围围应包包括与与信息息安全全直接接相关关的主主体、、客体体及它它们之之间的的操作作；c)应由授授权主主体配配置访访问控控制策策略，，并禁禁止默默认帐帐户的的访问问；…针对工工控系系统薄薄弱环环节，，ICS-CERT建议议：SystemsandCommunicationsProtectionAllICScomponents,includingallsoftwareandhardwareNetworkingandcommunicationssystemcomponentsDependentsystemsandapplicationsutilizedinsupportoftheprocessautomation.Theseinclude,forexample,domaincontrollers,backupservers,loggingandauditingplatforms,andalertingmechanisms.AccessControl——InformationFlowEnforcementVerifyingandmonitoringdevice-to-devicecommunications.Establishingsecuritycontrolsandenhancingvisibilityintothecommandstransmittedbetweendevices(e.g.,reads,writes,functioncodes,acknowledgeresponses,andexceptionmessages).Isolatingandenhancingsecuritycontrolspertainingtodevicesthatcanillicitwritecommandsormakemodificationstodownstreamdevices.Verifyingandmonitoringforcommunicationrequestssourcedfromfielddevicesattemptingto““back-channel””intothecoreofthecontrolnetwork.AccessControl——RemoteAccessMonitorandverifythescopeofremoteaccesscommunicationsandconnectivityMonitorcommunicationflowsoccurringviatheremoteaccesschannelLogauthentications(bothsuccessfulandunsuccessful)EnforceprotectiveanddetectivemeasurespertainingtofailedconnectivityattemptsornefarioustrafficpatternsRestrictthescopeofremoteaccesssessionstoonlythosepersonnelassignedaresponsibilityforsupportingtheICSandprocessoperationsDisablesplit-tunnelingwhenconnectedviaaremotesession(effectivelyroutingalltrafficthroughtheVPNorremoteaccessgateway)EnforceconnectivityfromonlyauthorizedoriginationsystemsImplementapplicationlayerfirewalls,applicationwhitelisting,andendpointpolicyenforcementfororiginationsystems.……电力行行业工工控政政策及及相关关措施施~技技术措措施Part4电力行行业工工控信信息安安全技技术分分析与与思考考电力工工控安安全基基础基基本建建立：：边界防防护基基本建建立工作重重心已已转为为区内内安全全、纵纵深防防护为为主进行中中的行行动国家和和行业业监管管完善政政策、、法规规、标标准、、规范范维护信信息共共享用户、、供应应商、、测评评机构构协作作产品和和系统统充分分加固固全面测测试、、分析析和评评估安全操操作和和维护护电力行行业工工控信信息安安全技技术分分析与与思考考进一步步深化化的思思路，，是““推推动融融合””和““把把握适适度””：自动化化技术术和信信息安安全技技术深深度融融合（（产品品融合合）；；创新需需求与与安全全约束束相融融合（（过程程融合合）；；技术创创新与与既有有基础础相适适应（（适度度创新新）；；安全需需求与与安全全环境境相适适应（（适度度安全全）。。案例：：完善善工控控安全全设施施工业防防护体体系加加固-工控安安全管管理平平台-工控信信息旁旁路监监测原理：：以工控控方式式实现现安全全工业计计算机机加固固-将安全全成为为工控控的属属性-提非屏屏蔽环环境下下生存存能力力非屏蔽蔽环境境示例例：可可移动动设施施、无无线通通信、、远程程诊断断和维维护电力行行业工工控信信息安安全技技术分分析与与思考考中电六六所承承建的的“工工业控控制系系统信信息安安全技技术国国家工工程实实