變電站綜合自動(dòng)化系統(tǒng)工控網(wǎng)絡(luò)安全解決方案V1.0

1、目錄第一章 工控網(wǎng)絡(luò)安全概述 1.1.1 工控網(wǎng)絡(luò)安全背景 1.1.2 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀 1.1.3 工業(yè)控制系統(tǒng)的安全漏洞 2.1.4 工控網(wǎng)絡(luò)安全對(duì)抗的前沿 4.1.5 小結(jié) 4.第二章 行業(yè)現(xiàn)狀 5.2.1 行業(yè)背景 5.2.2 國內(nèi)外工控安全標(biāo)準(zhǔn)和規(guī)范 5.2.3 變電站綜合自動(dòng)化系統(tǒng)特征 9.2.4 網(wǎng)絡(luò)現(xiàn)狀 1.0.2.5 威脅分析 1.0.第一章 工控網(wǎng)絡(luò)安全概述1.1 工控網(wǎng)絡(luò)安全背景目前工業(yè)控制系統(tǒng)己廣泛應(yīng)用于電力、軌道交通、石油化工、高新電子、航 空航天、核工業(yè)、醫(yī)藥、食品制造等工業(yè)領(lǐng)域，其中超過 80%的涉及國計(jì)民生的 關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè)

2、。 工業(yè)控制系統(tǒng)已經(jīng)成為國家 關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，工業(yè)控制系統(tǒng)的安全關(guān)系到國家的戰(zhàn)略安全。從國際情況來看，隨著全球經(jīng)濟(jì)一體化進(jìn)程的加速，工業(yè)信息化及物聯(lián)網(wǎng)技 術(shù)高速發(fā)展， 以往相對(duì)封閉的工業(yè)控制系統(tǒng)也逐漸采用通用的通信協(xié)議、 硬軟件 系統(tǒng)，部分工業(yè)控制系統(tǒng)也能夠以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)， 越來越多 的工業(yè)控制系統(tǒng)暴露于互聯(lián)網(wǎng)上。 由于工業(yè)控制系統(tǒng)廣泛采用通用軟硬件和網(wǎng)絡(luò) 設(shè)施，以及與企業(yè)管理信息系統(tǒng)的集成， 導(dǎo)致工業(yè)控制系統(tǒng)越來越開放， 并且與 企業(yè)內(nèi)網(wǎng)，甚至是與互聯(lián)網(wǎng)產(chǎn)生了數(shù)據(jù)交換。 傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、 木馬、 入侵攻擊、 拒絕服務(wù)等安全威脅也正在向工業(yè)控制系統(tǒng)擴(kuò)散。

3、 根據(jù)美國國土安全 部的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組 （ICS-CER）的統(tǒng)計(jì)，從2012年10月-2013 年5月，該組織響應(yīng)的針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊報(bào)告已超過 200起，已超過 2012 年全年，其中能源領(lǐng)域 111 起，占 53%，關(guān)鍵制造業(yè) 32 起，占 17%，而 2011 年 10月-2012年 9月一年中，該數(shù)據(jù)為 198起，能源 82起（41%），關(guān)鍵制造 8 起（ 4%），呈明顯的上升趨勢(shì)。1.2 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀我國關(guān)系國計(jì)民生的重點(diǎn)行業(yè)工業(yè)控制系統(tǒng)信息安全問題異常突出， 具體表 現(xiàn)為如下幾個(gè)方面：? 現(xiàn)有系統(tǒng)門戶洞開、未建立安全防線傳統(tǒng)工業(yè)控制系統(tǒng)封閉運(yùn)行， 產(chǎn)品

4、設(shè)計(jì)安全意識(shí)薄弱， 基本未考慮安全防護(hù)， 也沒有形成針對(duì)工業(yè)控制的安全產(chǎn)品和技術(shù)。 隨著工業(yè)控制系統(tǒng)越來越多地采用 公開協(xié)議、 接入互聯(lián)網(wǎng)， 通用信息系統(tǒng)安全問題蔓延到工業(yè)控制系統(tǒng)， 而現(xiàn)有工 業(yè)控制系統(tǒng)基本處于沒有任何信息安全防護(hù)措施的局面。? 產(chǎn)品和服務(wù)主要國外廠商提供，產(chǎn)品普遍存在 “帶病上崗 ”現(xiàn)象據(jù)工信部相關(guān)部門統(tǒng)計(jì)： 22 個(gè)行業(yè) 900 套工業(yè)控制系統(tǒng)主要由國外廠商提供 產(chǎn)品，相關(guān)系統(tǒng)運(yùn)維也由廠商直接接管， 存在漏洞的國外工業(yè)控制產(chǎn)品大量應(yīng)用 于我國重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)，在數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA、分布式控制系統(tǒng)（DCS、過程控制系統(tǒng)（PCS中分別占據(jù)了 55.12% 53

5、.78%及76.79%的份 額，在大型可編程控制器（PLC中則占據(jù)了 94.34%的份額。? 缺少工業(yè)控制系統(tǒng)信息安全仿真驗(yàn)證環(huán)境工業(yè)控制系統(tǒng)多為實(shí)時(shí)在線系統(tǒng)且影響重大，不易進(jìn)行安全故障分析排查、 產(chǎn)品檢測(cè)和替換、解決方案驗(yàn)證等工作的開展。1.3 工業(yè)控制系統(tǒng)的安全漏洞大多數(shù)控制網(wǎng)絡(luò)中在運(yùn)行的電腦， 很少或沒有機(jī)會(huì)安裝全天候病毒防護(hù)或更 新版本。另外，控制器的設(shè)計(jì)都以優(yōu)化實(shí)時(shí)的 I/O 功能為主，而并不提供加強(qiáng)的 網(wǎng)絡(luò)連接安全防護(hù)功能力。由于PLC等控制系統(tǒng)缺乏安全性設(shè)計(jì)，所以PLC系統(tǒng) 都是非常容易受到攻擊的對(duì)象， 一般的黑客初學(xué)者很容易就能獲取入侵這些系統(tǒng) 的工具。并且當(dāng)前國家基礎(chǔ)實(shí)施控制

6、系統(tǒng)基本上被國外廠商壟斷， 設(shè)備都存在漏洞和 固件后門。核心技術(shù)受制于人，增加了諸多不可控因素。? 通信協(xié)議漏洞兩化融合（企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)絡(luò)）和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP 協(xié)議和 OPC 協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，隨之而來的通信 協(xié)議漏洞問題也日益突出。例如，OPCCIassic 協(xié)議（OPCDA, OPC HAD 和 OPCA&E）基于微軟的 DCOM 協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的，極易受到攻擊，并 且OPC通訊采用不固定的端口號(hào)，導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確 保其安全性。因此確保使用 OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的

7、安全性和可靠性給 工程師帶來了極大的挑戰(zhàn)。? 操作系統(tǒng)漏洞目前大多數(shù)工業(yè)控制系統(tǒng)的工作站、服務(wù)器都是 Windows 平臺(tái)的，為保證 過程控制系統(tǒng)的相對(duì)獨(dú)立性， 同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行， 通?，F(xiàn)場(chǎng)工程師在系 統(tǒng)運(yùn)行后不會(huì)對(duì) Windows 平臺(tái)安裝任何補(bǔ)丁，但是存在的問題是，不安裝補(bǔ)丁 系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。? 安全策略和管理流程漏洞追求可用性而犧牲安全， 是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象， 缺乏完整有 效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。 例如工 業(yè)控制系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、 U 盤等設(shè)備的使用和不嚴(yán)格的訪 問控制策略。? 殺毒軟

8、件漏洞為了保證工控應(yīng)用軟件的可用性， 許多工控系統(tǒng)工作站和服務(wù)器通常不會(huì)安 裝殺毒軟件。 即使安裝了殺毒軟件， 在使用過程中也有很大的局限性， 原因在于 使用殺毒軟件很關(guān)鍵的一點(diǎn)是， 其病毒庫需要不定期的經(jīng)常更新， 這一要求尤其 不適合于工業(yè)控制環(huán)境。 而且殺毒軟件對(duì)新病毒的處理總是滯后的， 導(dǎo)致每年都 會(huì)爆發(fā)大規(guī)模的病毒攻擊，特別是新病毒。? 應(yīng)用軟件漏洞由于應(yīng)用軟件多種多樣， 很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問題； 另外當(dāng) 應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開放其應(yīng)用端口。因此常規(guī)的 IT 防火墻等安 全設(shè)備很難保障其安全性。 互聯(lián)網(wǎng)攻擊者很有可能會(huì)利用一些大型工程自動(dòng)化軟 件的安全漏洞獲取諸

9、如軌道交通、 污水處理廠、 天然氣管道以及其他大型設(shè)備的 控制權(quán)，一旦這些控制權(quán)被不良意圖黑客所掌握，那么后果不堪設(shè)想。? 多個(gè)網(wǎng)絡(luò)端口切入點(diǎn)在多個(gè)網(wǎng)絡(luò)事件中， 事由都源于對(duì)多個(gè)網(wǎng)絡(luò)端口進(jìn)入點(diǎn)疏于防護(hù)， 包括 USB 鑰匙、維修連接、筆記本電腦等。? 疏漏的網(wǎng)絡(luò)分割設(shè)計(jì)實(shí)際應(yīng)用中的許多控制網(wǎng)絡(luò)都是 “敞開的 ”，不同的子系統(tǒng)之間都沒有有效的 隔離，尤其是基于OPG MODBUS等通訊的工業(yè)控制網(wǎng)絡(luò)，從而造成安全故障通 過網(wǎng)絡(luò)迅速蔓延。1.4 工控網(wǎng)絡(luò)安全對(duì)抗的前沿目前國內(nèi)工控網(wǎng)絡(luò)安全市場(chǎng)上參與廠家基本包括：工控系統(tǒng)產(chǎn)品廠家、 IT 行 業(yè)的信息安全產(chǎn)品廠家、 IT 行業(yè)的測(cè)試檢測(cè)單位。 工業(yè)網(wǎng)

10、絡(luò)安全產(chǎn)品包括： 工業(yè) 網(wǎng)閘、工業(yè)網(wǎng)關(guān)、工業(yè)防火墻產(chǎn)品。但針對(duì)目前變電站綜合自動(dòng)化廠家所提供的網(wǎng)絡(luò)安全保護(hù)產(chǎn)品， 更多的是基 于工業(yè)協(xié)議、 數(shù)據(jù)流設(shè)置白名單實(shí)現(xiàn)所謂的網(wǎng)絡(luò)安全防護(hù)， 并沒有部署真正意義 上的安全策略，比如大部分產(chǎn)品缺乏身份認(rèn)證機(jī)制、攻擊檢測(cè)機(jī)制、訪問機(jī)制、 漏洞檢測(cè)機(jī)制等。甚至多數(shù)工控網(wǎng)絡(luò)保護(hù)產(chǎn)品移植于信息網(wǎng)絡(luò)安全領(lǐng)域，為 IT 產(chǎn)品的再包裝，功能完全不適用于工控網(wǎng)絡(luò)。傳統(tǒng)的防護(hù)手段已經(jīng)無法防御不斷升級(jí)的攻擊， 多數(shù)傳統(tǒng)信息安全防護(hù)手段 在工控網(wǎng)絡(luò)中已經(jīng)成為“皇帝的新衣” 。如今應(yīng)用于工控領(lǐng)域的主流產(chǎn)品多是國 外幾年前研制的工控網(wǎng)絡(luò)防護(hù)產(chǎn)品（如多芬諾 OPC Enforce）r

11、 和手段已經(jīng)無法有 效地防御像Havex這樣APT2.0時(shí)代的威脅。國內(nèi)工控網(wǎng)絡(luò)安全產(chǎn)業(yè)在起步階段， 問題是多數(shù)廠商還沒有追上國外多芬諾的水平。 目前的工控網(wǎng)絡(luò)安全產(chǎn)品落后于 工控網(wǎng)絡(luò)安全對(duì)抗的前沿。1.5 小結(jié)工控網(wǎng)絡(luò)安全防護(hù)需要覆蓋變電站綜合自動(dòng)化系統(tǒng)整個(gè)生命周期的解決方 案。包括針對(duì)工控設(shè)備特點(diǎn)的， 覆蓋主要工控協(xié)議和豐富檢測(cè)方法并支持未知協(xié) 議的檢測(cè)工具。 具備自動(dòng)學(xué)習(xí)、 自動(dòng)適應(yīng)， 自動(dòng)生成防御策略的工業(yè)等級(jí)的全網(wǎng) 安全監(jiān)控的保護(hù)系統(tǒng)。全面覆蓋 GE、西門子、施耐德等全球主流廠商設(shè)備的安 全數(shù)據(jù)庫（包括設(shè)備漏洞庫、網(wǎng)絡(luò)模型庫、設(shè)備風(fēng)險(xiǎn)統(tǒng)計(jì)） 。同時(shí)，必須向基礎(chǔ) 設(shè)施企業(yè)提供漏洞挖掘、

12、滲透攻擊、安全策略、技術(shù)培訓(xùn)的全方位安全服務(wù)。第二章 行業(yè)現(xiàn)狀2.1 行業(yè)背景電力行業(yè)是應(yīng)用信息技術(shù)較早的行業(yè)之一， 信息技術(shù)在電力工業(yè)的應(yīng)用起始 于六十年代初。從應(yīng)用的過程來看可分為三個(gè)階段，第一個(gè)階段在六七十年代， 電力工業(yè)的信息技術(shù)應(yīng)用從生產(chǎn)過程自動(dòng)化起步，首先應(yīng)用在發(fā)電廠自動(dòng)監(jiān)測(cè) / 監(jiān)制以及變電站自動(dòng)監(jiān)測(cè) / 監(jiān)控方面。第二階段是八十至九十年代的專項(xiàng)業(yè)務(wù)應(yīng)用階段，即電網(wǎng)調(diào)度自動(dòng)化、電力 負(fù)荷控制、 CAD/CAM 等應(yīng)用開始深入廣泛開展，某些應(yīng)用達(dá)到了較高的水平； 管理信息系統(tǒng)（MIS）已經(jīng)開始起步，但應(yīng)用水平還比較低。第三階段從二十世紀(jì)九十年代開始，即信息技術(shù)應(yīng)用進(jìn)一步發(fā)展到綜合應(yīng)

13、 用，由操作層向管理層延伸，實(shí)現(xiàn)管理信息化，建立各級(jí)企業(yè)的管理信息系統(tǒng)； 同時(shí)其他專項(xiàng)應(yīng)用系統(tǒng)也進(jìn)一步發(fā)展到更高的水平。到目前為止，電力系統(tǒng)的規(guī)劃設(shè)計(jì)、基建、發(fā)電、輸電、供電等各環(huán)節(jié)均有 信息技術(shù)的應(yīng)用。 各級(jí)電力企業(yè)在發(fā)電廠計(jì)算機(jī)控制、 變電站自動(dòng)化、 電網(wǎng)調(diào)度 自動(dòng)化、電力負(fù)荷管理、管理信息系統(tǒng)、計(jì)算機(jī)輔助設(shè)計(jì)、計(jì)算機(jī)仿真、科研試 驗(yàn)等領(lǐng)域有了一定的應(yīng)用， 在發(fā)電廠計(jì)算機(jī)控制、 電網(wǎng)調(diào)度自動(dòng)化方面取得了較 高的水平。變電站是電力系統(tǒng)發(fā)、輸、配電工程不可缺少的環(huán)節(jié)。變電站的安全運(yùn)行是 電力系統(tǒng)安全運(yùn)行的重要組成部分， 如果變電站發(fā)生事故會(huì)直接影響電網(wǎng)的安全 運(yùn)行，迫使電力系統(tǒng)的運(yùn)行方式發(fā)生變

14、化， 嚴(yán)重時(shí)會(huì)導(dǎo)致供電中斷， 造成大面積 停電。變電運(yùn)行工作平凡而責(zé)任重大， 確保變電站設(shè)備的安全運(yùn)行是變電運(yùn)行工 作的重中之重。2.2 國內(nèi)外工控安全標(biāo)準(zhǔn)和規(guī)范1990 年代以來，各生產(chǎn)廠商為提高各自控制系統(tǒng)的性能以及降低生產(chǎn)成本，開始采用通用IT硬件以及TCP/IP協(xié)議。自步入21世紀(jì)，有數(shù)據(jù)顯示工控系統(tǒng)網(wǎng) 絡(luò)安全事件開始急劇增加。 這引起了一些國家和組織的重視， 他們相應(yīng)出臺(tái)了一 些工控系統(tǒng)網(wǎng)絡(luò)安全指南和規(guī)范。例如，美國國家標(biāo)準(zhǔn)與技術(shù)研究院( NationalIn stitute of Sta ndards and Tech no logy NIST 在 2006 年發(fā)布了 NIST S

15、P800-82工 業(yè)控制系統(tǒng)安全指南 ；國際自動(dòng)化學(xué)會(huì)( I n te rn at i o n a l Society of Automation ，ISA) 在2009年出臺(tái)了 工業(yè)自動(dòng)控制系統(tǒng)安全：構(gòu)建工業(yè)自 動(dòng)控制 系統(tǒng)安全方案； 國際 電工委 員會(huì) (International Electrotechnical Commission, IEQ發(fā)布了 IEC62443工業(yè)過程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng) 信息安全；我國于 2011 年發(fā)布2關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知 (工信部協(xié) 2011451號(hào))和2014年發(fā)布了推薦性國家標(biāo)準(zhǔn) GB/T 30976.12-2014工業(yè)控制系

16、統(tǒng)信息安全 。下面分別就這些規(guī)范進(jìn)行簡單介紹。2.2.1 NIST SP800-82 工業(yè)控制系統(tǒng)安全指南該指南為保障工業(yè)控制系統(tǒng)ICS提供指導(dǎo)性建議，包括監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA、分布式控制系統(tǒng)(DCS和其他完成控制功能的系統(tǒng)。它適用于電力、 水利、石化、交通、化工、制藥等行業(yè)的 ICS 系統(tǒng)。該指南主要包括以下內(nèi)容： ? 主要ICS系統(tǒng)概述及其典型的系統(tǒng)拓?fù)洌? ICS與 IT系統(tǒng)之間的區(qū)別；? 標(biāo)識(shí) ICS 的典型威脅、漏洞以及安全事件；? 如何開發(fā)和部署SCADA系統(tǒng)的安全程序；? 如何考慮建設(shè)網(wǎng)絡(luò)體系結(jié)構(gòu)；? 如何把 SP 800-53 中“聯(lián)邦信息系統(tǒng)與組織安全控制方法” 部

17、分提出的管理、 運(yùn)營和技術(shù)方面的控制措施運(yùn)用在 ICS 中。2.2.2 工業(yè)自動(dòng)控制系統(tǒng)安全：構(gòu) 建工業(yè)自動(dòng)控制系統(tǒng)安全方案該標(biāo)準(zhǔn)討論了工控網(wǎng)絡(luò)安全所必要的因素以及組建這些要素的方法。 其主要 內(nèi)容如下：? 第一章描述了標(biāo)準(zhǔn)的適用范圍；? 第二章列出了標(biāo)準(zhǔn)所引用的規(guī)范編號(hào)；? 第三章定義了標(biāo)準(zhǔn)所需的術(shù)語縮寫的清單；? 第四章討論了構(gòu)成一個(gè)安全的工控系統(tǒng)網(wǎng)絡(luò)所需要的因素；? 附錄 A 為建立安全的工控系統(tǒng)網(wǎng)絡(luò)提供指導(dǎo)；? 附件 B 為工控系統(tǒng)網(wǎng)絡(luò)建立安全要素提供了一個(gè)實(shí)例。2.2.3 IEC 62443 工業(yè)過程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng) 信息安全該標(biāo)準(zhǔn)規(guī)定了工業(yè)安全分為三類：功能安全(Fun

18、ctional Satety),物理安全(Physical Satety)信息安全(Security)。標(biāo)準(zhǔn)分為四個(gè)部分，主要內(nèi)容如下：? 第一部分描述了信息安全的通用方面,如術(shù)語、概念、模型、縮略語、符合 性度量；? 第二部分主要針對(duì)用戶的信息安全程序。主要包括整改信息安全系統(tǒng)的管 理、人員和程序設(shè)計(jì)方面，是用戶建立其信息安全程序是需要考慮的；? 第三部分主要針對(duì)系統(tǒng)集成商保護(hù)系統(tǒng)所需的技術(shù)性信息安全要求。 它主要 是系統(tǒng)集成商在把系統(tǒng)組裝到一起是需要處理的內(nèi)容。 包括將整體工業(yè)自動(dòng) 化控制系統(tǒng)設(shè)計(jì)分配到各個(gè)區(qū)域和通道的方法， 以及信息安全保障等級(jí)的定 義和要求；? 第四部分：主要針對(duì)制造商

19、提供的單個(gè)部件的技術(shù)性信息安全要求。包括系 統(tǒng)的硬件、軟件和信息部分，以及當(dāng)開發(fā)或獲取這些類型的部件時(shí)需要考慮 的特定技術(shù)性信息安全要求。2.2.4 GB/T 30976.12-2014 工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)分為兩個(gè)部分，第一部分評(píng)估規(guī)范和第二部分為驗(yàn)收規(guī)范。主要內(nèi)容如 下：? 第一部分：規(guī)定了標(biāo)準(zhǔn)的適用范圍，定義了工控信息安全領(lǐng)域的術(shù)語，對(duì)安全事故危害等級(jí)、風(fēng)險(xiǎn)的可接受程度、評(píng)估結(jié)果等級(jí)進(jìn)行了詳細(xì)定義。詳細(xì)介紹了兩種評(píng)估的細(xì)節(jié)和過程，即組織機(jī)構(gòu)管理評(píng)估和系統(tǒng)能力評(píng)估。定義了工業(yè)控制系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估細(xì)節(jié)? 第二部分：規(guī)定了標(biāo)準(zhǔn)的適用范圍，定義了工控信息安全領(lǐng)域的術(shù)語，驗(yàn)收 工作

20、的原則和流程以及需要準(zhǔn)備的文檔， 對(duì)系統(tǒng)風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析以及風(fēng)險(xiǎn)處 置方案。還規(guī)定了系統(tǒng)能力測(cè)試的詳細(xì)項(xiàng)目，以及評(píng)測(cè)的細(xì)節(jié)和所依據(jù)的標(biāo) 準(zhǔn)。2.2.5 關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知（工 信部協(xié) 2011451 號(hào)）通知明確，重點(diǎn)加強(qiáng)核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天 然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水 供氣供熱以及其他與國計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)信息安全管理， 落實(shí) 安全管理要求。? 一是加強(qiáng)連接管理，嚴(yán)格管理工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)之間連接，嚴(yán)格控制 移動(dòng)設(shè)備的交叉使用。? 二是加強(qiáng)組網(wǎng)管理，同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施

21、，采用虛 擬專用網(wǎng)絡(luò)、冗余備份、數(shù)據(jù)加密、身份認(rèn)證等措施，加強(qiáng)關(guān)鍵工業(yè)控制系 統(tǒng)通信網(wǎng)絡(luò)的防護(hù)。? 三是加強(qiáng)配置管理， 建立服務(wù)器等關(guān)鍵設(shè)備安全配置和審計(jì)制度， 嚴(yán)格賬戶、 口令以及端口和服務(wù)的管理。? 四是加強(qiáng)設(shè)備選擇與升級(jí)管理，嚴(yán)格設(shè)備采購、技術(shù)服務(wù)的安全管理，嚴(yán)格 軟件升級(jí)、補(bǔ)丁安裝管理。? 五是加強(qiáng)數(shù)據(jù)管理，通過采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計(jì)、災(zāi)難備 份等措施加強(qiáng)對(duì)地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù) 的保護(hù)，切實(shí)維護(hù)個(gè)人權(quán)益、企業(yè)利益和國家信息資源安全。? 六是加強(qiáng)應(yīng)急管理，制定信息安全應(yīng)急預(yù)案，落實(shí)應(yīng)急支撐隊(duì)伍，視情采取 必要的備機(jī)備件等容災(zāi)備份措施。通知提出

22、，要建立工業(yè)控制系統(tǒng)安全測(cè)評(píng)檢查和漏洞發(fā)布制度。工業(yè)和 信息化部要適時(shí)對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全進(jìn)行抽查。 同時(shí)，要進(jìn)一步加 強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導(dǎo)。 加強(qiáng)對(duì)工業(yè)控制系統(tǒng)信息安全工作的 指導(dǎo)和督促檢查。加強(qiáng)對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理工作的指導(dǎo)監(jiān)督， 結(jié)合行業(yè)實(shí)際制定完善相關(guān)規(guī)章制度， 提出具體要求， 并加強(qiáng)督促檢查確保落到 實(shí)處。2.3 變電站綜合自動(dòng)化系統(tǒng)特征1）功能實(shí)現(xiàn)綜合化變電站綜合自動(dòng)化技術(shù)是在微機(jī)技術(shù)、數(shù)據(jù)通信技術(shù)、自動(dòng)化技術(shù)基礎(chǔ)上發(fā) 展起來。它綜合了變電站內(nèi)除一次設(shè)備和交、直流電源以外的全部二次設(shè)備，2）系統(tǒng)構(gòu)成模塊化保護(hù)、控制、測(cè)量裝置的數(shù)字化（采用微機(jī)

23、實(shí)現(xiàn)，并具有數(shù)字化通信能力） 利于把各功能模塊通過通信網(wǎng)絡(luò)連接起來， 便于接口功能模塊的擴(kuò)充及信息的共 享。另外，模塊化的構(gòu)成，方便變電站實(shí)現(xiàn)綜合自動(dòng)化系統(tǒng)模塊的組態(tài)，以適應(yīng) 工程的集中式、分部分散式和分布式結(jié)構(gòu)集中式組屏等方式。3）結(jié)構(gòu)分布、分層、分散化綜合自動(dòng)化系統(tǒng)是一個(gè)分布式系統(tǒng)，其中微機(jī)保護(hù)、數(shù)據(jù)采集和控制以及其 他智能設(shè)備等子系統(tǒng)都是按分布式結(jié)構(gòu)設(shè)計(jì)的，每個(gè)子系統(tǒng)可能有多個(gè) CPU 分 別完成不同的功能，由龐大的 CPU 群構(gòu)成了一個(gè)完整的、高度協(xié)調(diào)的有機(jī)綜合 系統(tǒng)。4）操作監(jiān)視屏幕化變電站實(shí)現(xiàn)綜合自動(dòng)化后，不論是有人值班還是無人值班，操作人員不是在 變電站內(nèi)，就是在主控站內(nèi)，就是在

24、主控站或調(diào)度室內(nèi)，面對(duì)彩色屏幕顯示器， 對(duì)變電站的設(shè)備和輸電線路進(jìn)行全方位的監(jiān)視和操作。5）通信局域網(wǎng)絡(luò)化、光纜化計(jì)算機(jī)局域網(wǎng)絡(luò)技術(shù)和光纖通信技術(shù)在綜合自動(dòng)化系統(tǒng)中得到普遍應(yīng)用。6）運(yùn)行管理智能化智能化不僅表現(xiàn)在常規(guī)自動(dòng)化功能上，還表現(xiàn)在能夠在線自診斷，并將診斷 結(jié)果送往遠(yuǎn)方主控端7）測(cè)量顯示數(shù)字化采用微機(jī)監(jiān)控系統(tǒng)，常規(guī)指針式儀表被 CRT顯示器代替。人工抄寫記錄由打印機(jī)代替。2.4 網(wǎng)絡(luò)現(xiàn)狀本項(xiàng)目變電站綜合自動(dòng)化系統(tǒng)包括兩部分：站控層和間隔層，網(wǎng)絡(luò)結(jié)構(gòu)為開 放式分層、分布式結(jié)構(gòu)。站控層為全所設(shè)備監(jiān)視、測(cè)量、控制、管理的中心，通 過用網(wǎng)絡(luò)線與間隔層相連，組網(wǎng)方式為以太網(wǎng)網(wǎng)絡(luò)，采用 TCP/IP

25、 網(wǎng)絡(luò)協(xié)議。間 隔層按照不同的電壓等級(jí)和電氣間隔單元， 以相對(duì)獨(dú)立的方式分散在各個(gè)配電裝 置室中，在站控層及網(wǎng)絡(luò)失效的情況下， 間隔層仍能獨(dú)立完成間隔層的監(jiān)測(cè)和斷 路器控制功能。計(jì)算機(jī)監(jiān)控系統(tǒng)通過遠(yuǎn)動(dòng)工作站與各級(jí)調(diào)度中心通訊。站控層設(shè)備包括后臺(tái)監(jiān)控主站、打印機(jī)及網(wǎng)絡(luò)設(shè)備等。 間隔層設(shè)備直接采集處理現(xiàn)場(chǎng)的原始數(shù)據(jù)，通過傳送給站級(jí)計(jì)算機(jī)，同時(shí)接 收站控層發(fā)來的控制操作命令，經(jīng)過有效性判斷、閉鎖檢測(cè)、同步檢測(cè)等，最后 對(duì)設(shè)備進(jìn)行操作控制。間隔層設(shè)備由測(cè)控單元、 通信單元和微機(jī)保護(hù)單元等構(gòu)成。 測(cè)控、保護(hù)各單元相對(duì)獨(dú)立，各裝置之間采用以太網(wǎng)或 RS485現(xiàn)場(chǎng)總線通訊網(wǎng)絡(luò)。2.5 威脅分析2.5.1 網(wǎng)

26、絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)由于系統(tǒng)基于微機(jī)開放式設(shè)計(jì)，可以和任意第三方智能化設(shè)備及上級(jí)調(diào)度 管理網(wǎng)對(duì)接，因此，系統(tǒng)與其他系統(tǒng)之間存在大量的接口。但是對(duì)于整體的網(wǎng)絡(luò)，并沒有完善的數(shù)據(jù)隔離的措施，從而導(dǎo)致如果有威脅 通過某種方式進(jìn)入本系統(tǒng)網(wǎng)絡(luò)之內(nèi)，將會(huì)很快的在整個(gè)電力網(wǎng)絡(luò)內(nèi)擴(kuò)散。2.5.2 系統(tǒng)漏洞的安全風(fēng)險(xiǎn)? 綜合自動(dòng)化系統(tǒng)終端設(shè)備的操作系統(tǒng)漏洞 首先，出于使用習(xí)慣和應(yīng)用程序開發(fā)的便利性以及程序運(yùn)行的穩(wěn)定性和兼容 性各方面因素的考慮， 綜合自動(dòng)化系統(tǒng)的工作站等人機(jī)交互軟件通常采用微軟的 Windows 系列的操作系統(tǒng)， 為保證控制系統(tǒng)的相對(duì)獨(dú)立性， 同時(shí)考慮到系統(tǒng)的穩(wěn) 定運(yùn)行，通?，F(xiàn)場(chǎng)工程師在系統(tǒng)軟件平臺(tái)

27、運(yùn)行后不會(huì)對(duì) Windows 系統(tǒng)安裝任何 補(bǔ)丁，但是存在的問題是， 不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能， 從而埋下安全 隱患。? 嚴(yán)重漏洞難以及時(shí)處理，系統(tǒng)安全風(fēng)險(xiǎn)巨大 當(dāng)前主流的工業(yè)控制系統(tǒng)普遍存在安全漏洞，且多為能夠造成遠(yuǎn)程攻擊、越 權(quán)執(zhí)行的嚴(yán)重威脅類漏洞， 而且近兩年漏洞的數(shù)量呈快速增長的趨勢(shì)。 工業(yè)控制 系統(tǒng)通信協(xié)議種類繁多、 系統(tǒng)軟件難以及時(shí)升級(jí)、 設(shè)備使用周期長以及系統(tǒng)補(bǔ)丁 兼容性差、 發(fā)布周期長等現(xiàn)實(shí)問題， 又造成工業(yè)控制系統(tǒng)的補(bǔ)丁管理困難， 難以 及時(shí)處理威脅嚴(yán)重的漏洞。2.5.3 工控協(xié)議的安全風(fēng)險(xiǎn)絕大多數(shù)工控協(xié)議在設(shè)計(jì)之初，僅關(guān)注于效率以支持經(jīng)濟(jì)需求、關(guān)注于實(shí)時(shí) 性以支持精

28、確需求、 關(guān)注于可靠性以支持操作需求， 并且通常在專用計(jì)算機(jī)和私 有的操作系統(tǒng)上實(shí)現(xiàn)。 不幸的是， 絕大多數(shù)工控協(xié)議會(huì)為了這些需求而放棄一些 并不是絕對(duì)必需的特征或功能。 更不幸的是， 諸如認(rèn)證、 授權(quán)和加密等需要附加 開銷的安全特征和功能也包括在內(nèi)。 再進(jìn)一步讓事情復(fù)雜的是， 目前很多工控協(xié) 議已經(jīng)演化或擴(kuò)展為在通用計(jì)算機(jī)和通用操作系統(tǒng)上實(shí)現(xiàn)， 并運(yùn)行在以太網(wǎng) （甚 至互聯(lián)網(wǎng)）之上以滿足商業(yè)發(fā)展需要， 潛在地將這些有漏洞的協(xié)議暴露給攻擊者。前面提到的站控層與間隔層之間就是采用的 TCP/IP協(xié)議。TCP/IP協(xié)議的誕生 本身就不是立足于安全，而是主要解決網(wǎng)絡(luò)間的通信問題，然而隨著TCP/IP的發(fā)展，很多方面都被一些不法分子所利用，從而體現(xiàn)出 TCP/IP中的不少安全問 題。TCP/IP協(xié)議存在的不足，一類主要是由于主機(jī)依賴IP源地址來尋求認(rèn)證，另 一類則是主要利用了網(wǎng)絡(luò)中的某些控制協(xié)議，尤其是路由協(xié)議。