变电站综合自动化系统工控网络安全解决方案V1.0

北京匡恩网络科技有限责任公司北京匡恩网络科技有限责任公司二零一五年变电站综合自动化系统变电站综合自动化系统工控网络平安解决方案目录TOC\o"1-2"\h\z\u第一章工控网络平安概述 11.1工控网络平安背景 11.2工业限制系统信息平安现状 11.3工业限制系统的平安漏洞 21.4工控网络平安对抗的前沿 41.5小结 4其次章行业现状 52.1行业背景 52.2国内外工控平安标准和规范 52.3变电站综合自动化系统特征 92.4网络现状 102.5威逼分析 10第一章工控网络平安概述1.1工控网络平安背景目前工业限制系统己广泛应用于电力、轨道交通、石油化工、高新电子、航空航天、核工业、医药、食品制造等工业领域，其中超过80%的涉及国计民生的关键基础设施依靠工业限制系统来实现自动化作业。工业限制系统已经成为国家关键基础设施的重要组成部分，工业限制系统的平安关系到国家的战略平安。从国际状况来看，随着全球经济一体化进程的加速，工业信息化及物联网技术高速发展，以往相对封闭的工业限制系统也渐渐采纳通用的通信协议、硬软件系统，部分工业限制系统也能够以某些方式连接到互联网等公共网络，越来越多的工业限制系统暴露于互联网上。由于工业限制系统广泛采纳通用软硬件和网络设施，以及与企业管理信息系统的集成，导致工业限制系统越来越开放，并且与企业内网，甚至是与互联网产生了数据交换。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等平安威逼也正在向工业限制系统扩散。依据美国国土平安部的工业限制系统网络应急响应小组（ICS-CERT）的统计，从2012年10月-2013年5月，该组织响应的针对关键基础设施的攻击报告已超过200起，已超过2012年全年，其中能源领域111起，占53%，关键制造业32起，占17%，而2011年10月-2012年9月一年中，该数据为198起，能源82起（41%），关键制造8起（4%），呈明显的上升趋势。1.2工业限制系统信息平安现状我国关系国计民生的重点行业工业限制系统信息平安问题异样突出，具体表现为如下几个方面：现有系统门户洞开、未建立平安防线传统工业限制系统封闭运行，产品设计平安意识薄弱，基本未考虑平安防护，也没有形成针对工业限制的平安产品和技术。随着工业限制系统越来越多地采纳公开协议、接入互联网，通用信息系统平安问题扩散到工业限制系统，而现有工业限制系统基本处于没有任何信息平安防护措施的局面。产品和服务主要国外厂商供应，产品普遍存在“带病上岗”现象据工信部相关部门统计：22个行业900套工业限制系统主要由国外厂商供应产品，相关系统运维也由厂商干脆接管，存在漏洞的国外工业限制产品大量应用于我国重点领域工业限制系统，在数据采集与监控系统（SCADA）、分布式限制系统（DCS）、过程限制系统（PCS）中分别占据了55.12%、53.78%及76.79%的份额，在大型可编程限制器（PLC）中则占据了94.34%的份额。缺少工业限制系统信息平安仿真验证环境工业限制系统多为实时在线系统且影响重大，不易进行平安故障分析排查、产品检测和替换、解决方案验证等工作的开展。1.3工业限制系统的平安漏洞大多数限制网络中在运行的电脑，很少或没有机会安装全天候病毒防护或更新版本。另外，限制器的设计都以优化实时的I/O功能为主，而并不供应加强的网络连接平安防护功实力。由于PLC等限制系统缺乏平安性设计，所以PLC系统都是特别简洁受到攻击的对象，一般的黑客初学者很简洁就能获得入侵这些系统的工具。并且当前国家基础实施限制系统基本上被国外厂商垄断，设备都存在漏洞和固件后门。核心技术受制于人，增加了诸多不行控因素。通信协议漏洞两化融合（企业信息网与工业限制网络）和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业限制网络中，随之而来的通信协议漏洞问题也日益突出。例如，OPCClassic协议(OPCDA,OPCHAD和OPCA&E)基于微软的DCOM协议，DCOM协议是在网络平安问题被广泛相识之前设计的，极易受到攻击，并且OPC通讯采纳不固定的端口号，导致目前几乎无法运用传统的IT防火墙来确保其平安性。因此确保运用OPC通讯协议的工业限制系统的平安性和牢靠性给工程师带来了极大的挑战。操作系统漏洞目前大多数工业限制系统的工作站、服务器都是Windows平台的，为保证过程限制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师在系统运行后不会对Windows平台安装任何补丁，但是存在的问题是，担心装补丁系统就存在被攻击的可能，从而埋下平安隐患。平安策略和管理流程漏洞追求可用性而牺牲平安，是很多工业限制系统存在的普遍现象，缺乏完整有效的平安策略与管理流程也给工业限制系统信息平安带来了肯定的威逼。例如工业限制系统中移动存储介质包括笔记本电脑、U盘等设备的运用和不严格的访问限制策略。杀毒软件漏洞为了保证工控应用软件的可用性，很多工控系统工作站和服务器通常不会安装杀毒软件。即使安装了杀毒软件，在运用过程中也有很大的局限性，缘由在于运用杀毒软件很关键的一点是，其病毒库须要不定期的常常更新，这一要求尤其不适合于工业限制环境。而且杀毒软件对新病毒的处理总是滞后的，导致每年都会爆发大规模的病毒攻击，特殊是新病毒。应用软件漏洞由于应用软件多种多样，很难形成统一的防护规范以应对平安问题；另外当应用软件面对网络应用时，就必需开放其应用端口。因此常规的IT防火墙等平安设备很难保障其平安性。互联网攻击者很有可能会利用一些大型工程自动化软件的平安漏洞获得诸如轨道交通、污水处理厂、自然气管道以及其他大型设备的限制权，一旦这些限制权被不良意图黑客所驾驭，那么后果不行思议。多个网络端口切入点在多个网络事务中，事由都源于对多个网络端口进入点疏于防护，包括USB钥匙、修理连接、笔记本电脑等。疏漏的网络分割设计实际应用中的很多限制网络都是“放开的”，不同的子系统之间都没有有效的隔离，尤其是基于OPC、MODBUS等通讯的工业限制网络，从而造成平安故障通过网络快速扩散。1.4工控网络平安对抗的前沿目前国内工控网络平安市场上参加厂家基本包括：工控系统产品厂家、IT行业的信息平安产品厂家、IT行业的测试检测单位。工业网络平安产品包括：工业网闸、工业网关、工业防火墙产品。但针对目前变电站综合自动化厂家所供应的网络平安爱护产品，更多的是基于工业协议、数据流设置白名单实现所谓的网络平安防护，并没有部署真正意义上的平安策略，比如大部分产品缺乏身份认证机制、攻击检测机制、访问机制、漏洞检测机制等。甚至多数工控网络爱护产品移植于信息网络平安领域，为IT产品的再包装，功能完全不适用于工控网络。传统的防护手段已经无法防卫不断升级的攻击，多数传统信息平安防护手段在工控网络中已经成为“皇帝的新衣”。如今应用于工控领域的主流产品多是国外几年前研制的工控网络防护产品（如多芬诺OPCEnforcer）和手段已经无法有效地防卫像Havex这样APT2.0时代的威逼。国内工控网络平安产业在起步阶段，问题是多数厂商还没有追上国外多芬诺的水平。目前的工控网络平安产品落后于工控网络平安对抗的前沿。1.5小结工控网络平安防护须要覆盖变电站综合自动化系统整个生命周期的解决方案。包括针对工控设备特点的，覆盖主要工控协议和丰富检测方法并支持未知协议的检测工具。具备自动学习、自动适应，自动生成防卫策略的工业等级的全网平安监控的爱护系统。全面覆盖GE、西门子、施耐德等全球主流厂商设备的平安数据库（包括设备漏洞库、网络模型库、设备风险统计）。同时，必需向基础设施企业供应漏洞挖掘、渗透攻击、平安策略、技术培训的全方位平安服务。

其次章行业现状2.1行业背景 电力行业是应用信息技术较早的行业之一，信息技术在电力工业的应用起始于六十年头初。从应用的过程来看可分为三个阶段，第一个阶段在六七十年头，电力工业的信息技术应用从生产过程自动化起步，首先应用在发电厂自动监测/监制以及变电站自动监测/监控方面。 其次阶段是八十至九十年头的专项业务应用阶段，即电网调度自动化、电力负荷限制、CAD/CAM等应用起先深化广泛开展，某些应用达到了较高的水平；管理信息系统（MIS）已经起先起步，但应用水平还比较低。 第三阶段从二十世纪九十年头起先，即信息技术应用进一步发展到综合应用，由操作层向管理层延长，实现管理信息化，建立各级企业的管理信息系统；同时其他专项应用系统也进一步发展到更高的水平。 到目前为止，电力系统的规划设计、基建、发电、输电、供电等各环节均有信息技术的应用。各级电力企业在发电厂计算机限制、变电站自动化、电网调度自动化、电力负荷管理、管理信息系统、计算机协助设计、计算机仿真、科研试验等领域有了肯定的应用，在发电厂计算机限制、电网调度自动化方面取得了较高的水平。 变电站是电力系统发、输、配电工程不行缺少的环节。变电站的平安运行是电力系统平安运行的重要组成部分，假如变电站发生事故会干脆影响电网的平安运行，迫使电力系统的运行方式发生改变，严峻时会导致供电中断，造成大面积停电。变电运行工作平凡而责任重大，确保变电站设备的平安运行是变电运行工作的重中之重。2.2国内外工控平安标准和规范 1990年头以来，各生产厂商为提高各自限制系统的性能以及降低生产成本，起先采纳通用IT硬件以及TCP/IP协议。自步入21世纪，有数据显示工控系统网络平安事务起先急剧增加。这引起了一些国家和组织的重视，他们相应出台了一些工控系统网络平安指南和规范。例如，美国国家标准与技术探讨院（NationalInstituteofStandardsandTechnology，NIST）在2006年发布了NISTSP800-82《工业限制系统平安指南》；国际自动化学会（InternationalSocietyofAutomation，ISA）在2009年出台了ANSI/ISA-99.02.01-2009《工业自动限制系统平安：构建工业自动限制系统平安方案》；国际电工委员会（InternationalElectrotechnicalCommission，IEC）发布了IEC62443《工业过程测量、限制和自动化网络与系统信息平安》；我国于2011年发布《关于加强工业限制系统信息平安管理的通知》（工信部协[2011]451号）和2014年发布了举荐性国家标准GB/T30976.1~2-2014《工业限制系统信息平安》。下面分别就这些规范进行简洁介绍。2.2.1NISTSP800-82《工业限制系统平安指南》 该指南为保障工业限制系统ICS供应指导性建议，包括监控与数据采集系统（SCADA）、分布式限制系统（DCS）和其他完成限制功能的系统。它适用于电力、水利、石化、交通、化工、制药等行业的ICS系统。该指南主要包括以下内容：主要ICS系统概述及其典型的系统拓扑；ICS与IT系统之间的区分；标识ICS的典型威逼、漏洞以及平安事务；如何开发和部署SCADA系统的平安程序；如何考虑建设网络体系结构；如何把SP800-53中“联邦信息系统与组织平安限制方法”部分提出的管理、运营和技术方面的限制措施运用在ICS中。2.2.2ANSI/ISA-99.02.01-2009《工业自动限制系统平安：构建工业自动限制系统平安方案》 该标准探讨了工控网络平安所必要的因素以及组建这些要素的方法。其主要内容如下：第一章描述了标准的适用范围；其次章列出了标准所引用的规范编号；第三章定义了标准所需的术语缩写的清单；第四章探讨了构成一个平安的工控系统网络所须要的因素；附录A为建立平安的工控系统网络供应指导；附件B为工控系统网络建立平安要素供应了一个实例。2.2.3IEC62443《工业过程测量、限制和自动化网络与系统信息平安》 该标准规定了工业平安分为三类：功能平安（FunctionalSatety），物理平安(PhysicalSatety)，信息平安(Security)。标准分为四个部分，主要内容如下：第一部分描述了信息平安的通用方面，如术语、概念、模型、缩略语、符合性度量；其次部分主要针对用户的信息平安程序。主要包括整改信息平安系统的管理、人员和程序设计方面，是用户建立其信息平安程序是须要考虑的；第三部分主要针对系统集成商爱护系统所需的技术性信息平安要求。它主要是系统集成商在把系统组装到一起是须要处理的内容。包括将整体工业自动化限制系统设计安排到各个区域和通道的方法，以及信息平安保障等级的定义和要求；第四部分：主要针对制造商供应的单个部件的技术性信息平安要求。包括系统的硬件、软件和信息部分，以及当开发或获得这些类型的部件时须要考虑的特定技术性信息平安要求。2.2.4GB/T30976.1~2-2014《工业限制系统信息平安》 标准分为两个部分，第一部分评估规范和其次部分为验收规范。主要内容如下：第一部分：规定了标准的适用范围，定义了工控信息平安领域的术语，对平安事故危害等级、风险的可接受程度、评估结果等级进行了具体定义。具体介绍了两种评估的细微环节和过程，即组织机构管理评估和系统实力评估。定义了工业限制系统生命周期各阶段的风险评估细微环节。其次部分：规定了标准的适用范围，定义了工控信息平安领域的术语，验收工作的原则和流程以及须要打算的文档，对系统风险点进行分析以及风险处置方案。还规定了系统实力测试的具体项目，以及评测的细微环节和所依据的标准。2.2.5《关于加强工业限制系统信息平安管理的通知》（工信部协[2011]451号） 《通知》明确，重点加强核设施、钢铁、有色、化工、石油石化、电力、自然气、先进制造、水利枢纽、环境爱护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业限制系统信息平安管理，落实平安管理要求。一是加强连接管理，严格管理工业限制系统与公共网络之间连接，严格限制移动设备的交叉运用。二是加强组网管理，同步规划、同步建设、同步运行平安防护措施，采纳虚拟专用网络、冗余备份、数据加密、身份认证等措施，加强关键工业限制系统通信网络的防护。三是加强配置管理，建立服务器等关键设备平安配置和审计制度，严格账户、口令以及端口和服务的管理。四是加强设备选择与升级管理，严格设备选购 、技术服务的平安管理，严格软件升级、补丁安装管理。五是加强数据管理，通过实行访问权限限制、数据加密、平安审计、灾难备份等措施加强对地理、矿产、原材料等国家基础数据以及其他重要敏感数据的爱护，切实维护个人权益、企业利益和国家信息资源平安。六是加强应急管理，制定信息平安应急预案，落实应急支撑队伍，视情实行必要的备机备件等容灾备份措施。 《通知》提出，要建立工业限制系统平安测评检查和漏洞发布制度。工业和信息化部要适时对重点领域工业限制系统信息平安进行抽查。同时，要进一步加强工业限制系统信息平安工作的组织领导。加强对工业限制系统信息平安工作的指导和督促检查。加强对重点领域工业限制系统信息平安管理工作的指导监督，结合行业实际制定完善相关规章制度，提出具体要求，并加强督促检查确保落到实处。2.3变电站综合自动化系统特征1）功能实现综合化 变电站综合自动化技术是在微机技术、数据通信技术、自动化技术基础上发展起来。它综合了变电站内除一次设备和交、直流电源以外的全部二次设备，2）系统构成模块化 爱护、限制、测量装置的数字化（采纳微机实现，并具有数字化通信实力）利于把各功能模块通过通信网络连接起来，便于接口功能模块的扩充及信息的共享。另外，模块化的构成，便利变电站实现综合自动化系统模块的组态，以适应工程的集中式、分部分散式和分布式结构集中式组屏等方式。3）结构分布、分层、分散化 综合自动化系统是一个分布式系统，其中微机爱护、数据采集和限制以及其他智能设备等子系统都是按分布式结构设计的，每个子系统可能有多个CPU分别完成不同的功能，由浩大的CPU群构成了一个完整的、高度协调的有机综合系统。4）操作监视屏幕化 变电站实现综合自动化后，不论是有人值班还是无人值班，操作人员不是在变电站内，就是在主控站内，就是在主控站或调度室内，面对彩色屏幕显示器，对变电站的设备和输电线路进行全方位的监视和操作。5）通信局域网络化、光缆化 计算机局域网络技术和光纤通信技术在综合自动化系统中得到普遍应用。6）运行管理智能化 智能化不仅表现在常规自动化功能上，还表现在能够在线自诊断，并将诊断结果送往远方主控端7)测量显示数字化 采纳微机监控系统，常规指针式仪表被CRT显示器代替。人工抄写记录由打印机代替。2.4网络现状 本项目变电站综合自动化系统包括两部分：站控层和间隔层，网络结构为开放式分层、分布式结构。站控层为全所设备监视、测量、限制、管理的中心，通过用网络线与间隔层相连，组网方式为以太网网络，采纳TCP/IP网络协议。间隔层依据不同的电压等级和电气间隔单元，以相对独立的方式分散在各个配电装置室中，在站控层及网络失效的状况下，间隔层仍能独立完成间隔层的监测和断路器限制功能。计算机监控系统通过远动工作站与各级调度中心通讯。 站控层设备包括后台监控主站、打印机及网络设备等。 间隔层设备干脆采集处理现场的原始数据，通过传送给站级计算机，同时接收站控层发来的限制操作吩咐，经过有效性推断、闭锁检测、同步检测等，最终对设备进行操作限制。间隔层设备由测控单元、通信单元和微机爱护单元等构成。测控、爱护各单元相对独立，各装置之间采纳以太网或RS485现场总线通讯网络。2.5威逼分析2.5.1网络结构的平安风险由于系统基于微机开放式设计，可以和随意第三方智能化设备及上级调度管理网对接，因此，系统与其他系统之间存在大量的接口。但是对于整体的网络，并没有完善的数据隔离的措施，从而导致假如有威逼通过某种方式进入本系统网络之内，将会很快的在整个电力网络内扩散。2.5.2系统漏洞的平安风险综合自动化系统终端设备的操作系统漏洞首先，出于运用习惯和应用程序开发的便利性以及程序运行的稳定性和兼容性各方面因素的考虑，综合自动化系统的工作站等人机交互软件通常采纳微软的Windows系列的操作系统，为保证限制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师在系统软件平台运行后不会对Windows系统安装任何补丁，但是存在的问题是，担心装补丁系统就存在被攻击的可能，从而埋下平安隐患。严峻漏洞难以刚好处理，系统平安风险巨大 当前主流的工业限制系统普遍存在平安漏洞，且多为能够造成远程攻击、越权执行的严峻威逼类漏洞，而且近两年漏洞的数量呈快速增长的趋势。工业限制系统通信协议种类繁多、系统软件难以刚好升级、设备运用周期长以及系统补丁兼容性差、发布周期长等现实问题，又造成工业限制系统的补丁管理困难，难以刚好处理威逼严峻的漏洞。2.5.3工控协议的平安风险绝大多数工控协议在设计之初，仅关注于效率以支持经济需求、关注于实时性以支持精确需求、关注于牢靠性以支持操作需求，并且通常在专用计算机和私有的操作系统上实现。不幸的是，绝大多数工控协议会为了这些需求而放弃一些并不是肯定必需的特征或功能。更不幸的是，诸如认证、授权和加密等须要附加开销的平安特征和功能也包括在内。再进一步让事情困难的是，目前很多工控协议已经演化或扩展为在通用计算机和通用操作系统上实现，并运行在以太网（甚至互联网）之上以满意商业发展须要，潜在地将这些有漏洞的协议暴露给攻击者。 前面提到的站控层与间隔层之间就是采纳的TCP/IP协议。TCP/IP协议的诞生本身就不是立足于平安，而是主要解决网络间的通信问题，然而随着TCP/IP的发展，很多方面都被一些不法分子所利用，从而体现出TCP/IP中的不少平安问题。TCP/I