今日頭條
官方微信
官方抖音
資訊頻道電力是指以電能作為動力的能源,完整的電力系統包括發電、輸電、變電、配電和用電等環節。電力是關系國計民生的基礎產業,電力供應和安全事關國家安全戰略,事關經濟社會發展全局。工業自動化和控制系統(簡稱“工控”)作為電力的感官和中樞神經系統,確保其網絡安全,使其始終處于穩定可靠運行狀態,對于保障電力安全運營至關重要。
根據電力設施特點及技術發展,近期全球工控技術和信息安全技術現狀及其發展態勢,對2018年電力工控網絡安全預測如下:
1 網絡安全已上升為國家戰略,國家對工控網絡安全的監管和要求會更加嚴格。
2016年7月,NATO(北約)華沙峰會已將網絡空間認定為作戰域,視網絡攻防為新的戰場。2017年法國、俄羅斯、德國、印度等相繼建立了網絡部隊。在2017年由澳大利亞、美國、日本三國聯合開展的"護身軍刀"軍事演習中,加入了網絡攻防對抗科目。
習近平總書記指出,沒有網絡安全就沒有國家安全。近一年多來,我國頒布了《中華人民共和國網絡安全法》、發布了《國家網絡空間安全戰略》等法律、法規和政策性文件。《中華人民共和國網絡安全法》是國家網絡安全領域首部基礎性、框架性、綜合性法律,《國家網絡空間安全戰略》是指導國家網絡安全工作的綱領性文件。自2017年6月1日起施行的《中華人民共和國網絡安全法》,就有關電力等關鍵信息基礎設施運行安全方面,規定了國家相關部門的法律職責,網絡產品/服務的提供者、網絡運營者等的法律義務。2017年12月29日工業和信息化部發布了《工業控制系統信息安全行動計劃(2018-2020年)》。預計在2018年《關鍵信息基礎設施安全保護條例》、《網絡安全等級保護條例》等與電力工控信息安全相關的系列法規、條例會相繼出臺。隨后,國家發展改革委、工業和信息化部、能源局也會相應制定、修訂與電力工控安全防護相關的管理和技術規定。今后,電力運營者、網絡產品或者服務的提供者、網信部門和有關管理部門等不履行法定的網絡安全保護義務或職責的,則會承擔相應的法律責任。
此外,公安部近期已提出等級保護已從1.0時代進入2.0時代,管理策略相應從1.0的“自主定級、自主保護、監督指導”轉向為2.0的“明確等級、增強保護、常態監督”,監管范圍增加了云計算平臺、移動互聯網、物聯網、工業控制系統和大數據安全,要求構建“偵攻防管控”一體化的網絡安全綜合防控體系。
2 網絡安全體系系列標準規定日趨完善,電力工控網絡安全技術和管理更加規范。
近年來,國家制定發布了101項網絡安全標準,與工控網絡安全相關并已實施的有:GB/T 26333“工業控制網絡安全風險評估規范”、GB/T 33007“工業通信網絡 網絡和系統安全 建立工業自動化和控制系統安全程序”、GB/T 33008.1“工業自動化和控制系統網絡安全 可編程序控制器(PLC) 第1部分:系統要求”、GB/T 33009.1“工業自動化和控制系統網絡安全 集散控制系統(DCS) 第1部分:防護要求”、GB/T 33009.2“工業自動化和控制系統網絡安全 集散控制系統(DCS) 第2部分:管理要求”、GB/T 33009.3“工業自動化和控制系統網絡安全 集散控制系統(DCS) 第3部分:評估指南”、GB/T 33009.4“工業自動化和控制系統網絡安全 集散控制系統(DCS) 第4部分:風險與脆弱性檢測要求”等。
2018年即將實施的國家標準有:GB/T 35673-2017“工業通信網絡 網絡和系統安全 系統安全要求和安全等級”、GB/T 20985.1-2017“信息技術 安全技術 信息安全事件管理 第1部分:事件管理原理”、GB/T 29246-2017“信息技術 安全技術 信息安全管理體系 概述和詞匯”、GB/T 34942-2017“信息安全技術 云計算服務安全能力評估方法”、GB/T 35274-2017“信息安全技術 大數據服務安全能力要求”、GB/T 35277-2017“信息安全技術 防病毒網關安全技術要求和測試評價方法”、GB/T 35278-2017“信息安全技術 移動終端安全保護技術要求”、GB/T 35279-2017“信息安全技術 云計算安全參考架構”、GB/T 35280-2017“信息安全技術 信息技術產品安全檢測機構條件和行為準則”、GB/T 35283-2017“信息安全技術 計算機終端核心配置基線結構規范”、GB/T 35290-2017“信息安全技術 射頻識別(RFID)系統通用安全技術要求”等。
正在研究制定的標準有二百多項。預計2018年發布的國家標準有:《電力監控系統網絡安全防護導則》、《信息安全技術 工業控制系統信息安全分級規范》、《信息安全技術 工業控制系統現場測控設備通用安全功能要求》、《信息安全技術 工業控制系統安全管理基本要求》、《信息安全技術 工業控制系統風險評估實施指南》等。此外,預計公安部也將完整發布GA/T 1390“信息安全技術 網絡安全等級保護基本要求”系列標準(包括第1部分:安全通用要求;第2部分:云計算安全擴展要求;第3部分:移動互聯安全擴展要求;第4部分:物聯網安全擴展要求;第5部分:工業控制安全擴展要求;第6部分:大數據安全擴展要求)。
3 隨著國家網絡安全等級保護2.0機制的推進、國家“一網一庫三平臺”的建設,預計我國電力工控信息安全防護能力會陡增。
近年來,隨著智能電網、智能發電、“互聯網+”智慧能源建設的不斷深入,數字設備、智能設備、遠程運維&診斷系統應用的大量普及,橫向、縱向、端到端集成互聯范圍的逐漸擴大,云計算、大數據、移動互聯、工業物聯網等新一代技術的加快應用,加之分布式并網發電站點及范圍的加速增長,電力工控面臨的安全脆弱性和安全風險不斷增高。
新推出的等級保護2.0在繼承了等級保護1.0中以資產防護為目標的成功實踐基礎上,結合近些年網絡與信息技術的新變化,增加了云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求、大數據安全擴展要求等五項新的安全防護要求。另外,隨著2018年國家開始全面建設工控安全方面的“一網一庫三平臺”(即:“一網”——全國在線監測網絡;“一庫”——應急資源庫;“三平臺”——仿真測試、信息共享、信息通報平臺),我國電力信息安全的監測預警、積極防御、應急處置能力會得以顯著提升。
4 隨著安全可信機制的推進,新型電力工控系統或設備開始系統性采用安全可信體系。
安全可信系統架構包括體系結構可信、操作行為可信、資源配置可信、數據存儲可信和策略管理可信等。完整的可信安全對象是由可信供應鏈、可信根、可信操作系統、安全數據存儲、安全通信、軟件完整性、安全設備管理等構成。只有基于可信設備而建立的工控系統,才可以克服傳統的基于普通設備而僅采用“封堵查殺”的不徹底性,增強自身的主動免疫力,從而從根本上系統解決工控系統的信息安全。
《中華人民共和國網絡安全法》第十六條明確了國家“推廣安全可信的網絡產品和服務”。去年剛發布的公共安全行業標準GA/T 1390.5—2017“信息安全技術 網絡安全等級保護基本要求 第5部分:工業控制系統安全擴展要求”也推薦新開發的重要工業控制系統采用“基于可信計算技術的工業控制系統安全等級防護”。考慮到電力系統的高安全性和高可用性要求,部分電力工控系統供應商已開始研發基于可信機制的新型工控系統,預計2018年會有一系列相應的工控設備及系統面世,并適時開展應用。
5 隨著安全通信協議安全功能作用的增強和接受度的提高,在電力設施升級改造、新建項目(如工控系統基本功能)中會逐漸擴大其應用范圍。
早期電力工控系統(主要是發電側),由于計算資源有限、相對獨立且受時代限制,常采用專有或普通通信協議,故而在通信中面臨著數據泄露、數據完整性破壞、身份偽裝和拒絕服務等各種網絡威脅。安全通信協議由于采用了鑒別、授權、加密、數字簽名等安全技術,可以提供相應等級的安全服務功能。
電力工控系統的基本功能是指保持健康、安全、環境和電力設備/系統可用性所需的功能。國際主流趨勢是對于實現基本功能的工控系統,須采用安全通信協議。此外,對于實現系統互聯的通信協議,也宜更換為具有信息安全功能或能力的安全通信協議。例如,將早期的OPC協議更換為安全性較高的OPC UA協議。
6 AI(人工智能)信息安全技術開始應用于電力工控系統,特別是區域級或國家級骨干系統中。
近年來,AI加速發展,呈現出深度學習、跨界融合、人機協同、群智開放、自主操控等新特征,并開始應用于信息安全領域(如用戶鑒別、生物特征識別、訪問控制、黑/白名單規則建立、IDS/IPS、滲透測試、態勢感知、監測預警等)。基于AI的信息安全應用程序,利用監督學習、非監督學習、深度學習等機器學習技術,不僅可以從海量的數據中學習、監視、分析、識別攻擊模式,而且也能夠提前預測到下一個攻擊類型的發生。例如,IBM已將其沃森(Watson)應用于信息安全智能平臺,取得了10倍于人工的攻擊發現量,且發現時間快于人工60倍。
預計2018年在區域級或國家級電力系統骨干網、大型發電集團遠程集中監控診斷中心、建設中的全國工控信息安全在線監測網絡中,會率先應用AI信息安全技術。與其他任何技術一樣,AI也是把雙刃劍,《哈佛商業評論》稱,“AI驅動的網絡攻擊的興起,將導致網絡滲透、個人數據盜竊、智能計算機病毒流行性傳播的大爆發”。2018年極有可能會在信息安全領域內首次出現AI對AI的攻防戰。
7 電力等關鍵基礎設施的工控信息安全威脅機率持續上升,面臨的風險更高,局部地區可能出現黃色、甚至橙色預警。
近年來,國際上對電力關鍵基礎設施的攻擊事件頻發。如2015年12月、2016年12月烏克蘭電網分別遭受網絡攻擊,致大規模停電。2017年4月愛爾蘭國有電力供應商EirGrid的Vodafone網絡遭受國家支持型黑客攻擊。2017年10月20日,美國聯邦調查局和國土安全部聯合發布編號為TA17-293A的緊急黃色預警:稱自2017年5月以來,黑客采用APT(高級持續性威脅)攻擊手段,一直在滲透美國運營核電站和其他能源設備公司的工控計算機網絡。
針對工控系統的惡意軟件日益增多。除眾所周知的針對伊朗核設施的Stuxnet、針對烏克蘭電網的Industroyer和BlackEnergy、針對美國的Sandworm外,2017年12月國際知名FireEye安全公司發現一款針對施耐德電氣Triconex安全儀表控制系統SIS控制器的惡意軟件TRITON。TRITON攻擊造成中東一家能源工廠停運,幕后黑手疑似為國家支持型攻擊者。這是黑客成功入侵工控安全保護系統的第一起正式報告,令人震驚。
預計在2018年,在局部熱點沖突地區或潛在沖突地區,極有可能持續出現國家支持型對電力等關鍵基礎設施的攻擊事件,可能出現黃色、甚至橙色預警。
8 全球信息安全開支增長迅猛,在工控安全方面的投入也會相應增長。
據Gartner預測:世界范圍內信息安全開支在2017年將達864億美元,比去年增長7%;2018年則預計可達930億美元。歐盟(EU)2016/679號法規《通用數據保護條例》(GDPR,General Data Protection Regulation)將于2018年5月25日生效。按GDPR規定,全球未保護好歐盟公民個人信息的任何公司,將面臨最高達4%全球營業額的罰款。加之前不久EternalPetya(NotPetya)、WannaCry和BADRABBIT等毀滅性攻擊所造成的嚴重后果,由此可推測,2018年全球信息安全投入會遠遠高于Gartner的預測數據。
依照自2017年6月1日起施行的《中華人民共和國網絡安全法》:國家對電力等關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。并要求安全技術措施與信息基礎設施一起同步規劃、同步建設、同步使用。同時,對電力運營者應履行的安全保護法律義務、網絡產品和服務、檢測評估等均做出相應的法律規定。
隨著《中華人民共和國網絡安全法》的頒布實施,等級保護2.0的持續推進,預計2018年及以后一段時間,我國電力工控網絡安全方面的投入會持續較快增長。
作者簡介:
張晉賓(1967-),男,漢族,教授級高級工程師。現就職于中國電力工程顧問集團有限公司。長期從事儀表與自動化、信息技術工程設計、研究及管理。參與編寫國際標準、國家標準、行業標準39項。發表70余篇技術論文,出版學術著作4部,獲28項國家計算機軟件著作權。
北京市公安局海淀分局備案號:11010802023656號