電力行業(yè)工控系統(tǒng)信息安全的情況及思考

電力行業(yè)工工控系統(tǒng)信信息安全的的情況及思思考專注工控信信息安全目錄CONTENTS1.

工控信息安全現(xiàn)狀2.3.

電力行業(yè)工控信息安全政策及相關(guān)措施電力行業(yè)工工控信息安安全情況4.電力行業(yè)工控信息安全技術(shù)分析與思考Part1工控信息安安全現(xiàn)狀工控信息安安全現(xiàn)狀~事件頻發(fā)化工電力水利軌道交通制造業(yè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)…………2014年Havex工控安全事事件2013年年美國“棱鏡”監(jiān)控項目2012年年5月，F(xiàn)lame病毒事件件2011年年9月，Duqu病病毒事件2010年年10月，，Stuxnet震震網(wǎng)病毒事事件…………信息安全問題頻發(fā)嚴重威脅2012年2014年工控信息安安全現(xiàn)狀~行為特征行為類別危害水平自2012年起，90%的漏洞為中中?；蛘吒吒呶Ｂ┒淳芙^服務(wù)替替代緩沖區(qū)區(qū)溢出名列列首位從2000年~2012年間復(fù)雜度度變化趨勢勢：低復(fù)雜度攻攻擊的漏洞洞從占90%下降到48%中復(fù)雜度的的漏洞從5%上升到47%高復(fù)雜度漏漏洞比例穩(wěn)穩(wěn)定在4%左右。技術(shù)特點：：利用工控系系統(tǒng)復(fù)雜性性所帶來的的漏洞；利用工控系系統(tǒng)設(shè)計的的特點和固有機制；針對性強，，針對特定定區(qū)域和設(shè)設(shè)施、特定定廠家、特特定系統(tǒng)；；有的攻擊方方式很復(fù)雜雜，融合計計算機、特特定系統(tǒng)和和工藝知識識。工控信息安安全現(xiàn)狀~攻擊技術(shù)工控信息安安全現(xiàn)狀~防范水平（（產(chǎn)品）政策法規(guī)國務(wù)院關(guān)于大力推推進信息化化發(fā)展和切切實保障信信息安全的的若干意見見，國發(fā)〔2012〕23號：《意見》6-3明確，保障障工業(yè)控制制系統(tǒng)安全全。加強核核設(shè)施、航航空航天、、先進制造造、石油石石化、油氣氣管網(wǎng)、電電力系統(tǒng)、、交通運輸輸、水利樞樞紐、城市市設(shè)施等重重要領(lǐng)域工工業(yè)控制系系統(tǒng)，以及及物聯(lián)網(wǎng)應(yīng)應(yīng)用、數(shù)字字城市建設(shè)設(shè)中的安全全防護和管管理。工信部下發(fā)發(fā)451號文件《關(guān)于加強工工業(yè)控制系系統(tǒng)信息安安全管理的的通知》，明確規(guī)定定加強重點點領(lǐng)域工控控信息系統(tǒng)統(tǒng)安全管理理措施。國家發(fā)改委委辦公廳關(guān)關(guān)于組織實實施2012、2013年國家信息息安全專項項有關(guān)事項項的通知標(biāo)準(zhǔn)（編制制中）《工業(yè)控制系系統(tǒng)安全管管理基本要要求》《安全可控信信息系統(tǒng)（（電力系統(tǒng)統(tǒng)）安全指指標(biāo)體系》《工業(yè)控制系系統(tǒng)安全防防護技術(shù)要要求和測試試評價方法法》《工業(yè)控制系系統(tǒng)信息安安全分級規(guī)規(guī)范》《工業(yè)控制系系統(tǒng)測控終終端安全要要求》工控信息安安全現(xiàn)狀~防范水平（（政策）工控信息安安全現(xiàn)狀~防范水平（（體系）國外國內(nèi)發(fā)展領(lǐng)先但但同樣面臨臨嚴峻的信信息安全形形勢，工控控行業(yè)信息息安全不容容忽視工控信息安安全整體發(fā)發(fā)展得到重重視，國、、民企業(yè)合合作共同促促進產(chǎn)業(yè)全全面發(fā)展Part2電力行業(yè)工工控信息安安全情況電力行業(yè)工工控信息安安全情況~形式能源領(lǐng)域是是事件高發(fā)發(fā)區(qū)電力企業(yè)網(wǎng)網(wǎng)絡(luò)每天遭遭受惡意試試探式攻擊擊達數(shù)萬次次電力行業(yè)工工控信息安安全情況~原因風(fēng)險來自內(nèi)內(nèi)部和外部部薄弱環(huán)節(jié)邊界防護信息流加固固遠程訪問首當(dāng)其沖SCADA/HMIPLC/DCS具體技術(shù)電力行業(yè)工工控信息安安全情況~舉措美國：美國總統(tǒng)奧奧巴馬上任任伊始就批批準(zhǔn)了一項項保障電力力系統(tǒng)信息息安全的研研究計劃。。2009年年，美國聯(lián)聯(lián)邦能源管管理局（FERC））正式批準(zhǔn)準(zhǔn)了CIP—002至CIP—009關(guān)鍵基礎(chǔ)礎(chǔ)設(shè)施保護護8個強制制性標(biāo)準(zhǔn)；；美國國家標(biāo)標(biāo)準(zhǔn)2013年美國能源源局推出最最新版《工業(yè)控制系系統(tǒng)安全指指南》(SP800-82)；美國能源局局推出《改進SCADA網(wǎng)絡(luò)安全的的21項措施》；技術(shù)研究院院（NIST）于2010年年2月頒布布了NISTIR7628“智能電電網(wǎng)網(wǎng)絡(luò)安安全策略和和要求”標(biāo)標(biāo)準(zhǔn)。IECIEC27001標(biāo)準(zhǔn)規(guī)定定了信息安安全管理體體系(ISMS)要要求與信息息安全控制制要求；IEC17799標(biāo)準(zhǔn)提供供了一套綜綜合的、由由信息安全全最佳慣例例組成的實實施規(guī)則；；IEC組組織針對電電力系統(tǒng)信信息安全需需求，還在在制定相關(guān)關(guān)的標(biāo)準(zhǔn)和和規(guī)程。中國我國相關(guān)機機構(gòu)也頒布布了成體系系的規(guī)定，，包括““電力二次次系統(tǒng)安全全防護規(guī)定定”等；IEC27001和IEC17799標(biāo)準(zhǔn)準(zhǔn)已在我國國電網(wǎng)企業(yè)業(yè)廣泛應(yīng)用用；我國國家自自然科學(xué)基基金委、科科技部等在在近幾年也也資助了多多項與電力力信息系統(tǒng)統(tǒng)安全有關(guān)關(guān)的課題。。電力行業(yè)工工控信息安安全情況~探索電力生產(chǎn)控控制系統(tǒng)信信息安全研研究集中于于變電站自自動化系統(tǒng)統(tǒng)、微機保保護系統(tǒng)、、電力調(diào)度度自動化系系統(tǒng)和SCADA系系統(tǒng)等：：變電站自動動化系統(tǒng)：：如IEC61850的遠程程訪問時身身份驗證和和訪問控制制等；微機保護系系統(tǒng)：如抵抵御拒絕服服務(wù)和流量量控制攻擊擊等；SCADA系統(tǒng)：：如系統(tǒng)建建模和潛在在入侵分析析等；電力調(diào)度自自動化系統(tǒng)統(tǒng)：如脆弱弱性分析和和容入侵能能力評價等等。電力行業(yè)工工控信息安安全情況~趨勢電力生產(chǎn)控控制類信息息系統(tǒng)的發(fā)發(fā)展趨勢：：自主可控可信計算和和完全免疫疫工業(yè)計算機機實體保護護整機主板無無惡意芯片片，芯片無無惡意代碼碼驗證和確認認(IEEE1012)工業(yè)網(wǎng)絡(luò)保保護工業(yè)網(wǎng)絡(luò)信息安全技技術(shù)Part3電力行業(yè)工工控政策及及相關(guān)措施施電力行業(yè)工工控政策及及相關(guān)措施施~國外標(biāo)標(biāo)準(zhǔn)針對電力信信息安全，，國家經(jīng)貿(mào)貿(mào)委、電監(jiān)監(jiān)會、國家家能源局、、國家發(fā)改改委等均發(fā)發(fā)文規(guī)定：：2002<電網(wǎng)和和電廠計算算機監(jiān)控系系統(tǒng)及調(diào)度度數(shù)據(jù)網(wǎng)絡(luò)絡(luò)安全防護護規(guī)定>(國家經(jīng)貿(mào)貿(mào)委30號號令)2003<全國電電力二次系系統(tǒng)安全防防護總體方方案>第7.2稿2004<電力二二次系統(tǒng)安安全防護規(guī)規(guī)定>(電電監(jiān)會5號號令)2006<關(guān)于印印發(fā)<電力力二次系統(tǒng)統(tǒng)安全防護護總體方案案>的通知知>(電監(jiān)監(jiān)安全[2006]34號)-《省級及及以上調(diào)度度中心二次次系統(tǒng)安全全防護方案案》-《地、縣縣級調(diào)度中中心二次系系統(tǒng)安全防防護方案》》-《變電站站二次系統(tǒng)統(tǒng)安全防護護方案》-《發(fā)電廠廠二次系統(tǒng)統(tǒng)安全防護護方案》-《配電二二次系統(tǒng)安安全防護方方案》2007<電力行行業(yè)網(wǎng)絡(luò)與與信息安全全監(jiān)督管理理暫行規(guī)定定>(電監(jiān)監(jiān)信息[2007]50號)2007<電力行行業(yè)信息系系統(tǒng)安全等等級保護定定級工作指指導(dǎo)意見>(電監(jiān)信信息[2007]44號)2007<關(guān)于開開展電力行行業(yè)信息系系統(tǒng)安全等等級保護定定級工作的的通知>(電監(jiān)信息息[2007]34號)2012<電力行行業(yè)信息系系統(tǒng)安全等等級保護基基本要求>(電監(jiān)信信息[2012]62號)2014<電力行行業(yè)網(wǎng)絡(luò)與與信息安全全管理辦法法>(國能能安全[2014]317號號)2014<電力行行業(yè)信息安安全等級保保護管理辦辦法>(國國能安全[2014]318號)<電電力力監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)安安全全防防護護規(guī)規(guī)定定>(國國家家發(fā)發(fā)改改委委令令第第14號號)《關(guān)于于印印發(fā)發(fā)電電力力監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)安安全全防防護護總總體體方方案案》及其其7個附附件件（（能能源源局局36號））電力力行行業(yè)業(yè)工工控控政政策策及及相相關(guān)關(guān)措措施施~國國內(nèi)內(nèi)政政策策系統(tǒng)統(tǒng)性性（木桶桶原原理理）動態(tài)態(tài)性性適度度安安全全（質(zhì)質(zhì)量量指指標(biāo)標(biāo)沖沖突突））機密密性性與與可可用用性性高性性能能靈活活性性、、易易用用性性標(biāo)準(zhǔn)準(zhǔn)化化、、經(jīng)經(jīng)濟濟性性全面面防防護護、、突突出出重重點點重點點實實時時控控制制；；分層層分分區(qū)區(qū)、、強強化化邊邊界界提高高內(nèi)內(nèi)部部安安全全防防護護能能力力；；三分分技技術(shù)術(shù)，，七七分分管管理理責(zé)任任到到人人，，分級級管管理理，，聯(lián)合合防防護護。。電力力行行業(yè)業(yè)工工控控政政策策及及相相關(guān)關(guān)措措施施~總體體思思路路國家家發(fā)發(fā)展展改改革革委委2014年第第14號令令《《電電力力監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)安安全全防防護護規(guī)規(guī)定定》》2004年年，，電電監(jiān)監(jiān)會會發(fā)發(fā)布布第第5號號令令《《電電力力二二次次系系統(tǒng)統(tǒng)安安全全防防護護規(guī)規(guī)定定》》；；2014年年國國家家發(fā)發(fā)改改委委第第14號號令令《電電力力監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)安安全全防防護護規(guī)規(guī)定定》》開始始實實施施，，電電監(jiān)監(jiān)會會5號號令令同同時時廢廢止止。。兩兩項項《《規(guī)規(guī)定定》》要要求求；；2015年能能源源局局36號《關(guān)于于印印發(fā)發(fā)電電力力監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)安安全全防防護護總總體體方方案案》及其其7個附件件，，規(guī)規(guī)定定：：對電電力力監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)安安全全防防護護提提出出總總體體原原則則為為安安全全分分區(qū)區(qū)、、網(wǎng)網(wǎng)絡(luò)絡(luò)專專用用、、橫橫向向隔隔離離、、縱縱向向認認證證、、綜綜合合防防護護。。電力力行行業(yè)業(yè)工工控控政政策策及及相相關(guān)關(guān)措措施施~防護護規(guī)規(guī)定定分區(qū)區(qū)原原則則：：安全全區(qū)區(qū)I：：實實時時控控制制區(qū)區(qū)集控控中中心心計計算算機機監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)控控制制網(wǎng)網(wǎng)劃劃分分在在安安全全區(qū)區(qū)ⅠⅠ，，例例如如：：SCADA服服務(wù)務(wù)器器、、應(yīng)應(yīng)用用程程序序服服務(wù)務(wù)器器、、操操作作員員工工作作站站、、工工程程師師/編編程程員員工工作作站站、、通通信信服服務(wù)務(wù)器器等等。。安全全區(qū)區(qū)ⅡⅡ：：非非控控制制生生產(chǎn)產(chǎn)區(qū)區(qū)原則則上上不不具具備備控控制制功功能能的的生生產(chǎn)產(chǎn)業(yè)業(yè)務(wù)務(wù)和和批批發(fā)發(fā)交交易易業(yè)業(yè)務(wù)務(wù)系系統(tǒng)統(tǒng)，，且且使使用用調(diào)調(diào)度度數(shù)數(shù)據(jù)據(jù)網(wǎng)網(wǎng)絡(luò)絡(luò)、、在在線線運運行行的的系系統(tǒng)統(tǒng)均均屬屬于于該該區(qū)區(qū)，，例例如如：：仿仿真真培培訓(xùn)訓(xùn)系系統(tǒng)統(tǒng)、、ON-CALL系系統(tǒng)統(tǒng)工工作作站站、、報報表表管管理理工工作作站站等等。。安全全區(qū)區(qū)ⅢⅢ：：生生產(chǎn)產(chǎn)管管理理區(qū)區(qū)該區(qū)區(qū)的的系系統(tǒng)統(tǒng)為為進進行行生生產(chǎn)產(chǎn)管管理理的的系系統(tǒng)統(tǒng)，，如如：：狀狀態(tài)態(tài)監(jiān)監(jiān)測測及及分分析析系系統(tǒng)統(tǒng)、、發(fā)發(fā)電電及及檢檢修修計計劃劃決決策策系系統(tǒng)統(tǒng)、、Web服服務(wù)務(wù)器器等等。。安全全區(qū)區(qū)ⅣⅣ：：管管理理信信息息區(qū)區(qū)實現(xiàn)現(xiàn)電電力力信信息息管管理理和和辦辦公公自自動動化化功功能能，，使使用用電電力力數(shù)數(shù)據(jù)據(jù)通通信信網(wǎng)網(wǎng)絡(luò)絡(luò)，，業(yè)業(yè)務(wù)務(wù)系系統(tǒng)統(tǒng)的的訪訪問問界界面面主主要要為為桌桌面面終終端端，，如如：：管管理理信信息息系系統(tǒng)統(tǒng)（（MIS））、、辦辦公公自自動動化化系系統(tǒng)統(tǒng)（（OA））等等，，其其外外部部通通信信邊邊界界為為SGTnet-VPN2和和因因特特網(wǎng)網(wǎng)。。國家家發(fā)發(fā)展展改改革革委委2014年第第14號令令《《電電力力監(jiān)監(jiān)控控系系統(tǒng)統(tǒng)安安全全防防護護規(guī)規(guī)定定》》2007年，，電電監(jiān)監(jiān)會會發(fā)發(fā)布布第第34號令令《《關(guān)關(guān)于于開開展展電電力力行行業(yè)業(yè)信信息息系系統(tǒng)統(tǒng)安安全全保保護護定定級級工工作作的的通通知知》》、、和和第第44號號令令《電力力行行業(yè)業(yè)信信息息系系統(tǒng)統(tǒng)安安全全等等級級保保護護定定級級工工作作指指導(dǎo)導(dǎo)意意見見》：據(jù)保密密性和和可用用性給出分級原原則：對電力力生產(chǎn)產(chǎn)控制系系統(tǒng)安全等等級保保護級級別作作出了規(guī)規(guī)定：：電力行行業(yè)工工控政政策及及相關(guān)關(guān)措施施~防護規(guī)規(guī)定國家發(fā)發(fā)展改改革委委2014年第14號令《《電電力監(jiān)監(jiān)控系系統(tǒng)安安全防防護規(guī)規(guī)定》》2012年，電電監(jiān)會會發(fā)布布第62號令<電力力行業(yè)業(yè)信息息系統(tǒng)統(tǒng)安全全等級級保護護基本本要求求>，，提出出各級級保護護的技技術(shù)要要求和和管理理要求求。物理安安全網(wǎng)絡(luò)安安全主機安安全應(yīng)用安安全數(shù)據(jù)安安全電力行行業(yè)工工控政政策及及相關(guān)關(guān)措施施~防護規(guī)規(guī)定國家發(fā)發(fā)展改改革委委2014年第14號令《《電電力監(jiān)監(jiān)控系系統(tǒng)安安全防防護規(guī)規(guī)定》》電力行行業(yè)工工控政政策及及相關(guān)關(guān)措施施~技技術(shù)措措施國家發(fā)發(fā)改委委令第第14號《電力力監(jiān)控控系統(tǒng)統(tǒng)安全全防護護規(guī)定定》…第九條條技術(shù)要要求：““在生生產(chǎn)控控制大大區(qū)內(nèi)內(nèi)部的的安全全區(qū)之之間應(yīng)應(yīng)當(dāng)采采用具具有訪問控控制功能的的設(shè)備備、防防火墻墻或者者相當(dāng)當(dāng)功能能的設(shè)設(shè)施，，實現(xiàn)現(xiàn)邏輯輯隔離離?！薄钡谑灰粭l技技術(shù)要要求：：“安安全區(qū)區(qū)邊界界應(yīng)當(dāng)當(dāng)采取取必要要的安安全防防護措措施，，禁止止任何何穿越越生產(chǎn)產(chǎn)控制制大區(qū)和和管理理信息息大區(qū)區(qū)之間間邊界界的通通用網(wǎng)絡(luò)服服務(wù)。…電監(jiān)安安全[2006]34號號《電力力監(jiān)控控系統(tǒng)統(tǒng)安全全防護護總體體方案案》…3.6生生產(chǎn)控控制大大區(qū)主主機操作系系統(tǒng)應(yīng)當(dāng)進進行安安全加加固。。加固固方法法包括括：安安全配配置、、安全全補丁丁、采采用專專用軟軟件強強化操操作系系統(tǒng)訪訪問控控制能能力、、以及及配置置安全全的應(yīng)應(yīng)用程程序。。3.11生生產(chǎn)產(chǎn)控制制大區(qū)區(qū)應(yīng)當(dāng)當(dāng)具備備安全全審計計功能能，可可以對對網(wǎng)絡(luò)絡(luò)運行日日志、操作作系統(tǒng)統(tǒng)運行行日志志、數(shù)數(shù)據(jù)庫庫重要要操作作日志志、業(yè)業(yè)務(wù)應(yīng)應(yīng)用系系統(tǒng)運運行日日志、、安全全設(shè)施施運行行日志志等進進行集集中收收集、、自動動分析析，及及時發(fā)發(fā)現(xiàn)各各種違違規(guī)行行為以以及病病毒和和黑客客的攻攻擊行行為。?！姳O(jiān)會會[2012]62號《電力行行業(yè)信信息系系統(tǒng)安安全等等級保保護基基本要要求》…13.1.4.3訪問控控制（S4）本項要要求包包括：：a)應(yīng)提供供自主主訪問問控制制功能能，依依據(jù)安安全策策略控控制用用戶對對文件件、數(shù)數(shù)據(jù)庫庫表等等客體體的訪訪問；；b)自主訪訪問控控制的的覆蓋蓋范圍圍應(yīng)包包括與與信息息安全全直接接相關(guān)關(guān)的主主體、、客體體及它它們之之間的的操作作；c)應(yīng)由授授權(quán)主主體配配置訪訪問控控制策策略，，并禁禁止默默認帳帳戶的的訪問問；…針對工工控系系統(tǒng)薄薄弱環(huán)環(huán)節(jié)，，ICS-CERT建議議：SystemsandCommunicationsProtectionAllICScomponents,includingallsoftwareandhardwareNetworkingandcommunicationssystemcomponentsDependentsystemsandapplicationsutilizedinsupportoftheprocessautomation.Theseinclude,forexample,domaincontrollers,backupservers,loggingandauditingplatforms,andalertingmechanisms.AccessControl——InformationFlowEnforcementVerifyingandmonitoringdevice-to-devicecommunications.Establishingsecuritycontrolsandenhancingvisibilityintothecommandstransmittedbetweendevices(e.g.,reads,writes,functioncodes,acknowledgeresponses,andexceptionmessages).Isolatingandenhancingsecuritycontrolspertainingtodevicesthatcanillicitwritecommandsormakemodificationstodownstreamdevices.Verifyingandmonitoringforcommunicationrequestssourcedfromfielddevicesattemptingto““back-channel””intothecoreofthecontrolnetwork.AccessControl——RemoteAccessMonitorandverifythescopeofremoteaccesscommunicationsandconnectivityMonitorcommunicationflowsoccurringviatheremoteaccesschannelLogauthentications(bothsuccessfulandunsuccessful)EnforceprotectiveanddetectivemeasurespertainingtofailedconnectivityattemptsornefarioustrafficpatternsRestrictthescopeofremoteaccesssessionstoonlythosepersonnelassignedaresponsibilityforsupportingtheICSandprocessoperationsDisablesplit-tunnelingwhenconnectedviaaremotesession(effectivelyroutingalltrafficthroughtheVPNorremoteaccessgateway)EnforceconnectivityfromonlyauthorizedoriginationsystemsImplementapplicationlayerfirewalls,applicationwhitelisting,andendpointpolicyenforcementfororiginationsystems.……電力行行業(yè)工工控政政策及及相關(guān)關(guān)措施施~技技術(shù)措措施Part4電力行業(yè)工工控信息安安全技術(shù)分分析與思考考電力工控安安全基礎(chǔ)基基本建立：：邊界防護基基本建立工作重心已已轉(zhuǎn)為區(qū)內(nèi)內(nèi)安全、縱縱深防護為為主進行中的行行動國家和行業(yè)業(yè)監(jiān)管完善政策、、法規(guī)、標(biāo)標(biāo)準(zhǔn)、規(guī)范范維護信息共共享用戶、供應(yīng)應(yīng)商、測評評機構(gòu)協(xié)作作產(chǎn)品和系統(tǒng)統(tǒng)充分加固固全面測試、、分析和評評估安全操作和和維護電力行業(yè)工工控信息安安全技術(shù)分分析與思考考進一步深化化的思路，，是“推推動融合”