今日頭條
官方微信
官方抖音
資訊頻道摘要:本文系統(tǒng)性地對電力工控有關的海外網(wǎng)絡安全標準的來源、組成、核心內(nèi)容等方面進行了梳理和解析,并結合國內(nèi)經(jīng)驗,從系統(tǒng)結構、設備本身、行為監(jiān)測、信任機制、應急管理等方面探討了整體的安全防護方案。
關鍵詞:網(wǎng)絡安全;電力工控;標準;方案;海外
Abstract: In this paper, we systematically analyze the source, composition and core content of overseas cyber security standards related to power system, and discuss the whole cyber security scheme from the aspects of system structure, equipment, behavior monitoring, trust mechanism and emergency management based on domestic experience.
Key words: Cyber security; Power control; Standard; Scheme; Overseas
1 前言
海外電力工控系統(tǒng)相關的網(wǎng)絡安全標準比較多,美國歐洲等地從地區(qū)或者不同角度來闡述對電網(wǎng)監(jiān)控網(wǎng)絡安全的要求和主張,國內(nèi)廠商在海外市場應對的時候往往比較碎片化,難成體系。
本文對海外電力監(jiān)控系統(tǒng)網(wǎng)絡安全的主要標準進行了梳理和解析,并結合國內(nèi)經(jīng)驗,提煉網(wǎng)絡安全的本質(zhì)需求,從系統(tǒng)、設備本身、行為監(jiān)測、信任機制、應急和管理等方面,探討說明適用海外的網(wǎng)絡安全解決方案。
2 海外安全標準
世界上和電力監(jiān)控系統(tǒng)相關的網(wǎng)絡安全標準主要有5個,主要由美國和歐洲主導,來自于IEC、ISO、IEEE等標準機構和政府法規(guī),其中美國的有IEEE-1686、NERC-CIP、NIST-7628,歐洲的有IEC-62351、IEC-62443。
標準可以大致分為三類:
一是權威標準類:IEC和IEEE的標準已經(jīng)成為業(yè)界執(zhí)行的重要參考,如IEC-62351、IEC-62443、IEEE-1686。
二是強制執(zhí)行類:NERC-CIP是北美電力可靠性委員會的文件,在得到美國聯(lián)邦政府批準后成為聯(lián)邦行政要求,具備強制效力。
三是技術指導類:NIST-7628是美國國家標準研究院的官方文件,是一份技術指導文件,不是標準和法律,沒有強制效力。
2.1 IEC-62351
IEC-62351標準的全稱為“電力系統(tǒng)管理及關聯(lián)的信息交換-數(shù)據(jù)和通信安全”,是IEC第57技術委員會WG15工作組為電力系統(tǒng)安全運行針對有關通信協(xié)議(IEC -60870-5、IEC-60870-6、IEC-61850、IEC-61970、IEC-61968系列和DNP3)而開發(fā)的數(shù)據(jù)和通信安全標準。IEC-62351的目標是基于公共IT網(wǎng)絡體系構建加密認證機制,為電力通信提供“端對端”的安全保障能力,包括站內(nèi)的過程層節(jié)點通信的兩端、站控層節(jié)點通信的兩端、主子站通信的兩端。
IEC-62351的核心內(nèi)容有四個部分:
(1)IEC-62351-3:使用傳輸層安全協(xié)議TLS,提供基于TCP/IP的身份認證、機密性、完整性;
(2)IEC-62351-4:提供MMS的安全規(guī)范;
(3)IEC-62351-5:提供IEC60870-5的安全規(guī)范,串口、網(wǎng)絡;
(4)IEC -62351-6:提供GOOSE/SV的安全規(guī)范;
IEC-62351對電力監(jiān)控常見通信規(guī)約的安全映射關系如圖1所示。
圖1 IEC-62351對通信規(guī)約的安全關系
電力監(jiān)控系統(tǒng)的網(wǎng)絡攻擊界面很大部分來自于對通信傳輸協(xié)議的竊聽、偽裝、重放等,應對措施主要就是傳輸加密、身份認證、訪問控制、數(shù)字簽名等,而IEC-62351的核心機制就是認證和加密,如IEC-62351-3/-4的T-Profile基于TLS1.2實現(xiàn),密碼學套件采用TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,IEC-62351-3/-4的A-Profile基于RSA公鑰算法,IEC-62351-6采用HMAC簽名機制實現(xiàn)對GOOSE、SV的認證。
2.2 IEC-62443
IEC-62443標準的全稱是“工業(yè)過程測量、控制和自動化與系統(tǒng)信息安全”, IEC/TC65在制定“工業(yè)過程測量、控制和自動化”的標準過程中,遇到了網(wǎng)絡安全的問題,因此在2003年9月成立了IEC/SC65C/WG13工作組研究制定工業(yè)控制系統(tǒng)的網(wǎng)絡安全標準問題。IEC在2005年成立了IEC/TC65/WG10工作組,專門進行“系統(tǒng)及網(wǎng)絡信息安全”的標準制定工作,并在2006年第一次發(fā)布IEC-62443的標準。
IEC-62443標準的中心思想是如何對工業(yè)控制系統(tǒng)的產(chǎn)品開發(fā)、產(chǎn)品集成、實施和運維等全生命周期環(huán)節(jié)中實現(xiàn)和評價相關角色的網(wǎng)絡安全能力。IEC-62443的重點不是安全技術,而是對安全能力的評估,所以其核心內(nèi)容是“網(wǎng)絡安全保證等級SAL”的評價模型。
IEC-62443的標準架構如圖2所示。
圖2 IEC-62443的內(nèi)容架構
IEC-62443標準的主要內(nèi)容有4個部分:
(1)IEC-62443-1系列:主要是概念和模型的定義,包括安全目標、風險評估、全生命周期、安全成熟度模型。尤其是基于7個基本要求(FR)的安全保證等級(SAL),從7個FR方面將系統(tǒng)的網(wǎng)絡安全能力定義為SAL的4個等級;
(2)IEC-62443-2系列:主要是講在集成和實施、運維中如何實現(xiàn)網(wǎng)絡安全,目標對象主要是集成商服務商和業(yè)主的安全能力。包括在工業(yè)控制系統(tǒng)中如何部署網(wǎng)絡安全、如何進行補丁管理,以及安全策略和操作規(guī)程;
(3)IEC-62443-3系列:主要是講產(chǎn)品級的系統(tǒng)集成如何實現(xiàn)網(wǎng)絡安全,包括產(chǎn)品系統(tǒng)集成的安全工具、技術措施等如何去滿足安全保證等級,目標對象主要是產(chǎn)品級的系統(tǒng)集成商;
(4)IEC-62443-4系列:主要是單個產(chǎn)品或者獨立組件如何實現(xiàn)網(wǎng)絡安全,包括具體產(chǎn)品開發(fā)和技術設計上的網(wǎng)絡安全要求,比如主機、嵌入式裝置等,目標對象是單個產(chǎn)品或者獨立組件的制造商和供應商。
IEC-62443標準的網(wǎng)絡安全保證等級(SAL)的評價模型如下:
(1)SAL分為4種類型:目標SAL、設計SAL、達到SAL、能力SAL。分別對應全生命周期的不同階段;
(2)SAL的4個等級:SAL1:抵御偶然性的攻擊;SAL2:抵御簡單的故意攻擊;SAL3:抵御復雜的調(diào)用中等規(guī)模資源的故意攻擊;SAL4:抵御復雜的調(diào)用大規(guī)模資源的故意攻擊;
(3)SAL的評價值的矢量模型:FR { IAC、UC、DI、DC、RDF、TRE、RA},其中,IAC為標識與鑒別控制,UC為用戶控制,DI為數(shù)據(jù)完整性,DC為數(shù)據(jù)保密性,RDF為受限制的數(shù)據(jù)流,TRE為事件實時響應,RA為資源可用性。 IEC-62443中的設備供應商、系統(tǒng)集成商、業(yè)主的角色和關系如圖3所示。
圖3 安全角色關系
IEC-62443強調(diào)的是工控系統(tǒng)全生命周期的安全實現(xiàn)和評估,業(yè)主(AO)、設備供應商(PS)、系統(tǒng)集成商(SI)在工控系統(tǒng)全生命周期各個階段的角色交付關系如圖4所示。
圖4 全生命周期中安全角色交付關系
2.3 IEEE-1686
IEEE-1686標準的全稱是“智能電子設備網(wǎng)絡安全功能標準”,IEEE在NERC-CIP(北美關鍵基礎設施保護計劃)通過美國聯(lián)邦政府批準成為強制要求后,為適應NERC-CIP而制定的網(wǎng)絡安全標準。
IEEE-1686標準是針對IED設備的,IEEE-1686的目標是建立在電力行業(yè)中對IED設備的安全要求和安全特征基線,以便在采購和測試中引用該標準去實現(xiàn)合規(guī)的網(wǎng)絡安全計劃。
標準主要內(nèi)容有:
(1)定義了IED設備中有關網(wǎng)絡安全的功能和特性。包括IED的訪問、操作、配置、固件修訂、數(shù)據(jù)檢索的安全性、以及IED之間的通信加密;
(2)規(guī)定了IED供應商應該提供的與IED訪問、操作、配置、固件修訂、數(shù)據(jù)檢索有關的所有活動的保護措施,審計機制以及告警機制。
標準具體內(nèi)容有:
(1)IED的訪問控制:密碼建設、用戶數(shù)量、授權級別、RBAC訪問授權、數(shù)據(jù)查看、配置更改、訪問超時等;
(2)IED的安全審計:事件記錄、存儲能力、用戶識別、事件類型、審核日志等;
(3)IED的監(jiān)督報警:如登錄失敗、未授權訪問、時間超出范圍等;
(4)IED的配置軟件:簽名認證、密碼、配置訪問權限、下載、使用監(jiān)控等;
(5)IED的通信:對通信端口的配置能力和服務開啟關閉能力等。
2.4 NERC-CIP
NERC-CIP全稱為“北美關鍵基礎設施保護”,NERC北美電力可靠性委員會是非營利性監(jiān)管機構,職責在于開發(fā)并執(zhí)行可靠性標準,保障電網(wǎng)可靠性。NERC職責范圍在北美大陸,包括美國、加拿大、墨西哥,NERC受美國聯(lián)邦政府、加拿大政府的監(jiān)管。NERC在2006年發(fā)布了CIP。NERC-CIP在2007年得到美國FERC(聯(lián)邦能源監(jiān)管委員會)的批準,成為美國法規(guī),成為北美通行標準。
NERC-CIP是NERC對關鍵基礎設施的安全保護規(guī)定,主要是針對電網(wǎng)運營的功能實體責任實體,具體實體可以包括:電力資產(chǎn)業(yè)主、電力傳輸運營商、設備運營商、設備和系統(tǒng)制造商、系統(tǒng)集成服務商、電網(wǎng)結算單位等。
NERC-CIP的目標是保障電網(wǎng)的可靠性安全性,網(wǎng)絡安全是其主要內(nèi)容,但不是全部,即使是其中的網(wǎng)絡安全,也不僅僅是狹義上的技術上的網(wǎng)絡安全,范圍要更加寬一點。
標準的主要內(nèi)容包括技術和管理的要求、監(jiān)督執(zhí)行兩個層面:
(1)技術和管理的要求:對產(chǎn)品和系統(tǒng)的電子安全邊界的設計和實現(xiàn)、物理訪問的識別和監(jiān)控、端口信息保護、漏洞的檢查和管理、日志記錄、事件的報告和響應機制、備份和恢復規(guī)劃、變更的管理、脆弱性評估、供應鏈管理等,以及人員意識、培訓制度、文檔資料。
(2)監(jiān)督執(zhí)行:明確適用對象、責任主體、監(jiān)管機構、證據(jù)要求、評估流程、違規(guī)程度評價等。
2.5 NIST-7628
NIST-7628標準全稱是美國國家標準技術研究院第7628號技術報告,全稱為“智能電網(wǎng)信息安全指南”,2010年NIST在制定《智能電網(wǎng)互操作標準框架和路線圖1.0》報告時在智能電網(wǎng)互操作性專家組(SGIP)下面建立信息安全工作組(CSWG)起草7628號報告,因此7628號報告是《框架和路線圖》的姊妹篇。信息安全工作組CSWG有475名成員,有廣泛代表性,涉及到設備供應商、集成服務商、標準組織、行業(yè)監(jiān)管部門、政府機構等。
標準報告分析了智能電網(wǎng)的邏輯結構和信息安全需求,并提出了智能電網(wǎng)信息安全防護的策略和架構,報告共分為3卷。報告本質(zhì)上就是一份美聯(lián)邦官方的研究報告,目的在于協(xié)助電網(wǎng)領域相關者去識別風險、落實網(wǎng)絡安全要求,報告沒有強制性,是一份智能電網(wǎng)的網(wǎng)絡安全指南,NIST-7628號報告的作用更多地是作為官方權威的研究報告,給出了智能電網(wǎng)的網(wǎng)絡安全分析的框架,幫助電網(wǎng)相關者去制定符合自己情況可有效實施的網(wǎng)絡安全戰(zhàn)略和措施。電網(wǎng)相關者包括設備制造商、電網(wǎng)運營商、集成服務商、監(jiān)管部門、學術機構、標準組織機構等。
標準的主要內(nèi)容有:
NIST-7628號報告的主要內(nèi)容有三卷,分別為:
(1)第一卷:智能電網(wǎng)信息安全戰(zhàn)略、架構和高層要求。描述智能電網(wǎng)的信息安全戰(zhàn)略和具體任務,標準從安全角度定義智能電網(wǎng)的邏輯架構和接口,對電網(wǎng)涉及者及其行為進行安全建模,構建了“發(fā)電、輸電、配電、用電、營銷、運營、服務”7個域,以及22個邏輯接口。戰(zhàn)略涉及“預防、檢測、響應、恢復”4個方面。具體任務涉及用例分析、風險識別、隱私評價、標準對照、架構設計、合規(guī)性評價等;
(2)第二卷:隱私和智能電網(wǎng)。標準分析評估了智能電網(wǎng)涉及隱私的風險和問題,包括智能電網(wǎng)相關個人及群體、個人住宅、電動汽車等的信息隱私問題和相關法律問題,以及智能電網(wǎng)互聯(lián)互動帶來的隱私潛在問題,美國的一些法律,具體場景的隱私定義和例子等;
(3)第三卷:支持性分析和參考文獻。
3 安全方案的探討
從上述安全標準中可以看到,在NERC-CIP、IEC-62443、IEC-62351等標準中均體現(xiàn)了結構安全的思路,包括多道防御、系統(tǒng)邊界防護、安全域劃分、加密認證技術等,在IEC-62351、IEEE-1686中體現(xiàn)了本體安全的思路,包括加密認證、訪問控制、角色權限、日志審計等技術,在NIST中有提及到行為監(jiān)測的行為安全思路,但是總的來講行為安全在標準中還是比較弱。在NERC-CIP、NIST中有應急、快速恢復的應急處置的要求,而在IEC-62443、NERC-CIP、NIST等標準中均有關于產(chǎn)品研發(fā)的安全管理、集成實施的安全管理等要求。
各項電力工控安全標準均比較具體地描述了某一個或一些方面的安全要求,但對從技術、到管理、到應急處置等全方位的網(wǎng)絡安全需求,尚缺乏整體的安全防護方案。通過海外電力工控安全標準的解讀分析,結合國內(nèi)電力系統(tǒng)二次安防的規(guī)范和工程實踐,可以梳理出整體解決方案如圖5所示。
圖5 整體安全方案
(1)結構安全:作為系統(tǒng)的邊界防護,是第一道防線,包括安全區(qū)設計、安全區(qū)邊界防護措施、調(diào)試維護邊界防護措施等;
(2)本體安全:作為系統(tǒng)的設備防護,是第二道防線,IED本體的安全設計、可信設計;
(3)行為安全:系統(tǒng)的行為安全設計和監(jiān)測,包括系統(tǒng)信任鏈構建、系統(tǒng)運行過程的安全監(jiān)測、系統(tǒng)運行的安全風險評估、行為安全性的審計;
(4)應急備用,安全管理:系統(tǒng)在緊急情況下的恢復能力,系統(tǒng)及供應組件在全生命周期的安全管理和服務支持能力。
該方案可以實現(xiàn)從系統(tǒng)邊界到設備本體、再到交互過程的層層設防,體現(xiàn)安全防線的層次累積效應,可以從空間的靜態(tài)部署到時間上的動態(tài)過程監(jiān)測,從通信過程到數(shù)據(jù)傳輸?shù)榷鄠€維度來保障安全,可以從行為監(jiān)測和風險評估、可信鏈傳遞來實現(xiàn)主動的風險預警和安全免疫,方案表述了一種多層次多維度的主動安全防護體系。
作者簡介
湯震宇(1975-),男,江蘇常州人,高級工程師,碩士,現(xiàn)任南京南瑞繼保電氣有限公司網(wǎng)絡安全產(chǎn)品經(jīng)理,主要研究方向為電力監(jiān)控通信、網(wǎng)絡安全。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號