1-电力行业工控系统信息安全的情况及思考(赵云飞)--20151124

电力行业工控系统信息安全的情况及思考专注工控信息安全目录CONTENTS1.工控信息安全现状2.3.电力行业工控信息安全政策及相关措施电力行业工控信息安全情况4.电力行业工控信息安全技术分析与思考Part1工控信息安全现状工控信息安全现状~事件频发化工电力水利轨道交通制造业关键基础设施行业…………2014年Havex工控安全事件2013年美国“棱镜”监控项目2012年5月，Flame病毒事件2011年9月，Duqu病毒事件2010年10月，Stuxnet震网病毒事件…………信息安全问题频发严重威胁2012年2014年工控信息安全现状~行为特征行为类别危害水平自2012年起，90%的漏洞为中危或者高危漏洞拒绝服务替代缓冲区溢出名列首位从2000年~2012年间复杂度变化趋势：•低复杂度攻击的漏洞从占90%下降到48%•中复杂度的漏洞从5%上升到47%•高复杂度漏洞比例稳定在4%左右。技术特点：•利用工控系统复杂性所带来的漏洞；•利用工控系统设计的特点和固有机制；•针对性强，针对特定区域和设施、特定厂家、特定系统；•有的攻击方式很复杂，融合计算机、特定系统和工艺知识。工控信息安全现状~攻击技术工控信息安全现状~防范水平（产品）政策法规•国务院关于大力推进信息化发展和切实保障信息安全的若干意见，国发〔2012〕23号：《意见》6-3明确，保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理。•工信部下发451号文件《关于加强工业控制系统信息安全管理的通知》，明确规定加强重点领域工控信息系统安全管理措施。•国家发改委办公厅关于组织实施2012、2013年国家信息安全专项有关事项的通知标准（编制中）•《工业控制系统安全管理基本要求》•《安全可控信息系统（电力系统）安全指标体系》•《工业控制系统安全防护技术要求和测试评价方法》•《工业控制系统信息安全分级规范》•《工业控制系统测控终端安全要求》工控信息安全现状~防范水平（政策）工控信息安全现状~防范水平（体系）国外国内•发展领先但同样面临严峻的信息安全形势，工控行业信息安全不容忽视•工控信息安全整体发展得到重视，国、民企业合作共同促进产业全面发展Part2电力行业工控信息安全情况电力行业工控信息安全情况~形式能源领域是事件高发区电力企业网络每天遭受恶意试探式攻击达数万次电力行业工控信息安全情况~原因风险来自内部和外部薄弱环节边界防护信息流加固远程访问首当其冲SCADA/HMIPLC/DCS具体技术电力行业工控信息安全情况~举措美国：•美国总统奥巴马上任伊始就批准了一项保障电力系统信息安全的研究计划。•2009年，美国联邦能源管理局（FERC）正式批准了CIP—002至CIP—009关键基础设施保护8个强制性标准；•美国国家标准2013年美国能源局推出最新版《工业控制系统安全指南》(SP800-82)；•美国能源局推出《改进SCADA网络安全的21项措施》；•技术研究院（NIST）于2010年2月颁布了NISTIR7628“智能电网网络安全策略和要求”标准。IEC•IEC27001标准规定了信息安全管理体系(ISMS)要求与信息安全控制要求；•IEC17799标准提供了一套综合的、由信息安全最佳惯例组成的实施规则；•IEC组织针对电力系统信息安全需求，还在制定相关的标准和规程。中国•我国相关机构也颁布了成体系的规定，包括“电力二次系统安全防护规定”等；•IEC27001和IEC17799标准已在我国电网企业广泛应用；•我国国家自然科学基金委、科技部等在近几年也资助了多项与电力信息系统安全有关的课题。电力行业工控信息安全情况~探索电力生产控制系统信息安全研究集中于变电站自动化系统、微机保护系统、电力调度自动化系统和SCADA系统等：•变电站自动化系统：如IEC61850的远程访问时身份验证和访问控制等；•微机保护系统：如抵御拒绝服务和流量控制攻击等；•SCADA系统：如系统建模和潜在入侵分析等；•电力调度自动化系统：如脆弱性分析和容入侵能力评价等。电力行业工控信息安全情况~趋势电力生产控制类信息系统的发展趋势：自主可控•可信计算和完全免疫工业计算机实体保护•整机主板无恶意芯片，芯片无恶意代码•验证和确认(IEEE1012)工业网络保护•工业网络信息安全技术Part3电力行业工控政策及相关措施电力行业工控政策及相关措施~国外标准针对电力信息安全，国家经贸委、电监会、国家能源局、国家发改委等均发文规定：2002电网和电厂计算机监控系统及调度数据网络安全防护规定(国家经贸委30号令)2003全国电力二次系统安全防护总体方案第7.2稿2004电力二次系统安全防护规定(电监会5号令)2006关于印发电力二次系统安全防护总体方案的通知(电监安全[2006]34号)-《省级及以上调度中心二次系统安全防护方案》-《地、县级调度中心二次系统安全防护方案》-《变电站二次系统安全防护方案》-《发电厂二次系统安全防护方案》-《配电二次系统安全防护方案》2007电力行业网络与信息安全监督管理暂行规定(电监信息[2007]50号)2007电力行业信息系统安全等级保护定级工作指导意见(电监信息[2007]44号)2007关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息[2007]34号)2012电力行业信息系统安全等级保护基本要求(电监信息[2012]62号)2014电力行业网络与信息安全管理办法(国能安全[2014]317号)2014电力行业信息安全等级保护管理办法(国能安全[2014]318号)2014电力监控系统安全防护规定(国家发改委令第14号)2015《关于印发电力监控系统安全防护总体方案》及其7个附件（能源局36号）电力行业工控政策及相关措施~国内政策•系统性（木桶原理）•动态性•适度安全（质量指标冲突）•机密性与可用性•高性能•灵活性、易用性•标准化、经济性•全面防护、突出重点•重点实时控制；•分层分区、强化边界•提高内部安全防护能力；•三分技术，七分管理•责任到人，•分级管理，•联合防护。电力行业工控政策及相关措施~总体思路国家发展改革委2014年第14号令《电力监控系统安全防护规定》2004年，电监会发布第5号令《电力二次系统安全防护规定》；2014年国家发改委第14号令《电力监控系统安全防护规定》开始实施，电监会5号令同时废止。两项《规定》要求；2015年能源局36号《关于印发电力监控系统安全防护总体方案》及其7个附件，规定：•对电力监控系统安全防护提出总体原则为安全分区、网络专用、横向隔离、纵向认证、综合防护。电力行业工控政策及相关措施~防护规定•分区原则：安全区I：实时控制区集控中心计算机监控系统控制网划分在安全区Ⅰ，例如：SCADA服务器、应用程序服务器、操作员工作站、工程师/编程员工作站、通信服务器等。安全区Ⅱ：非控制生产区原则上不具备控制功能的生产业务和批发交易业务系统，且使用调度数据网络、在线运行的系统均属于该区，例如：仿真培训系统、ON-CALL系统工作站、报表管理工作站等。安全区Ⅲ：生产管理区该区的系统为进行生产管理的系统，如：状态监测及分析系统、发电及检修计划决策系统、Web服务器等。安全区Ⅳ：管理信息区实现电力信息管理和办公自动化功能，使用电力数据通信网络，业务系统的访问界面主要为桌面终端，如：管理信息系统（MIS）、办公自动化系统（OA）等，其外部通信边界为SGTnet-VPN2和因特网。国家发展改革委2014年第14号令《电力监控系统安全防护规定》2007年，电监会发布第34号令《关于开展电力行业信息系统安全保护定级工作的通知》、和第44号令《电力行业信息系统安全等级保护定级工作指导意见》：•据保密性和可用性给出分级原则：•对电力生产控制系统安全等级保护级别作出了规定：电力行业工控政策及相关措施~防护规定国家发展改革委2014年第14号令《电力监控系统安全防护规定》2012年，电监会发布第62号令电力行业信息系统安全等级保护基本要求，提出各级保护的技术要求和管理要求。•物理安全•网络安全•主机安全•应用安全•数据安全电力行业工控政策及相关措施~防护规定国家发展改革委2014年第14号令《电力监控系统安全防护规定》电力行业工控政策及相关措施~技术措施国家发改委令第14号《电力监控系统安全防护规定》…第九条技术要求：“在生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。”第十一条技术要求：“安全区边界应当采取必要的安全防护措施，禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。…电监安全[2006]34号《电力监控系统安全防护总体方案》…3.6生产控制大区主机操作系统应当进行安全加固。加固方法包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应用程序。3.11生产控制大区应当具备安全审计功能，可以对网络运行日志、操作系统运行日志、数据库重要操作日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。…电监会[2012]62号《电力行业信息系统安全等级保护基本要求》…13.1.4.3访问控制（S4）本项要求包括：a)应提供自主访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；b)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作；c)应由授权主体配置访问控制策略，并禁止默认帐户的访问；…针对工控系统薄弱环节，ICS-CERT建议：SystemsandCommunicationsProtection•AllICScomponents,includingallsoftwareandhardware•Networkingandcommunicationssystemcomponents•Dependentsystemsandapplicationsutilizedinsupportoftheprocessautomation.Theseinclude,forexample,domaincontrollers,backupservers,loggingandauditingplatforms,andalertingmechanisms.AccessControl—InformationFlowEnforcement•Verifyingandmonitoringdevice-to-devicecommunications.•Establishingsecuritycontrolsandenhancingvisibilityintothecommandstransmittedbetweendevices(e.g.,reads,writes,functioncodes,acknowledgeresponses,andexceptionmessages).•Isolatingandenhancingsecuritycontrolspertainingtodevicesthatcanillicitwritecommandsormakemodificationstodownstreamdevices.•Verifyingandmonitoringforcommunicationrequestssourcedfromfielddevicesattemptingto“back-channel”intothecoreofthecontrolnetwork.AccessControl—RemoteAccess•Monitorandverifythescopeofremoteaccesscommunicationsandconnectivity•Monitorcommunicat