今日頭條
官方微信
官方抖音
資訊頻道中國電力工程顧問集團有限公司 張晉賓
電力是指以電能作為動力的能源,完整的電力系統(tǒng)包括發(fā)電、輸電、變電、配電和用電等環(huán)節(jié)。電力是關(guān)系國計民生的基礎(chǔ)產(chǎn)業(yè),電力供應(yīng)和安全事關(guān)國家安全戰(zhàn)略,事關(guān)經(jīng)濟社會發(fā)展全局。工業(yè)自動化和控制系統(tǒng)(簡稱“工控”)作為電力的感官和中樞神經(jīng)系統(tǒng),確保其網(wǎng)絡(luò)安全,使其始終處于穩(wěn)定可靠運行狀態(tài),對于保障電力安全運營至關(guān)重要。
根據(jù)電力設(shè)施特點及技術(shù)發(fā)展,近期全球工控技術(shù)和信息安全技術(shù)現(xiàn)狀及其發(fā)展態(tài)勢,對2018年電力工控網(wǎng)絡(luò)安全預(yù)測如下:
1 網(wǎng)絡(luò)安全已上升為國家戰(zhàn)略,國家對工控網(wǎng)絡(luò)安全的監(jiān)管和要求會更加嚴格
2016年7月,NATO(北約)華沙峰會已將網(wǎng)絡(luò)空間認定為作戰(zhàn)域,視網(wǎng)絡(luò)攻防為新的戰(zhàn)場。2017年法國、俄羅斯、德國、印度等相繼建立了網(wǎng)絡(luò)部隊。在2017年由澳大利亞、美國、日本三國聯(lián)合開展的“護身軍刀”軍事演習(xí)中,加入了網(wǎng)絡(luò)攻防對抗科目。
習(xí)近平總書記指出,沒有網(wǎng)絡(luò)安全就沒有國家安全。近一年多來,我國頒布了《中華人民共和國網(wǎng)絡(luò)安全法》、發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》等法律、法規(guī)和政策性文件。《中華人民共和國網(wǎng)絡(luò)安全法》是國家網(wǎng)絡(luò)安全領(lǐng)域首部基礎(chǔ)性、框架性、綜合性法律,《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》是指導(dǎo)國家網(wǎng)絡(luò)安全工作的綱領(lǐng)性文件。自2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》,就有關(guān)電力等關(guān)鍵信息基礎(chǔ)設(shè)施運行安全方面,規(guī)定了國家相關(guān)部門的法律職責(zé),網(wǎng)絡(luò)產(chǎn)品/服務(wù)的提供者、網(wǎng)絡(luò)運營者等的法律義務(wù)。2017年12月29日工業(yè)和信息化部發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》。預(yù)計在2018年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《網(wǎng)絡(luò)安全等級保護條例》等與電力工控信息安全相關(guān)的系列法規(guī)、條例會相繼出臺。隨后,國家發(fā)展改革委、工業(yè)和信息化部、能源局也會相應(yīng)制定、修訂與電力工控安全防護相關(guān)的管理和技術(shù)規(guī)定。今后,電力運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者、網(wǎng)信部門和有關(guān)管理部門等不履行法定的網(wǎng)絡(luò)安全保護義務(wù)或職責(zé)的,則會承擔(dān)相應(yīng)的法律責(zé)任。
此外,公安部近期已提出等級保護已從1.0時代進入2.0時代,管理策略相應(yīng)從1.0的“自主定級、自主保護、監(jiān)督指導(dǎo)”轉(zhuǎn)向為2.0的“明確等級、增強保護、常態(tài)監(jiān)督”,監(jiān)管范圍增加了云計算平臺、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)安全,要求構(gòu)建“偵攻防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系。
2 網(wǎng)絡(luò)安全體系系列標(biāo)準規(guī)定日趨完善,電力工控網(wǎng)絡(luò)安全技術(shù)和管理更加規(guī)范
近年來,國家制定發(fā)布了101項網(wǎng)絡(luò)安全標(biāo)準,與工控網(wǎng)絡(luò)安全相關(guān)并已實施的有:GB/T 26333“工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范”、GB/T 33007“工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 建立工業(yè)自動化和控制系統(tǒng)安全程序”、GB/T 33008.1“工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 可編程序控制器(PLC) 第1部分:系統(tǒng)要求”、GB/T 33009.1“工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 第1部分:防護要求”、GB/T 33009.2“工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 第2部分:管理要求”、GB/T33009.3“工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 第3部分:評估指南”、GB/T 33009.4“工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS)第4部分:風(fēng)險與脆弱性檢測要求”等。
2018年即將實施的國家標(biāo)準有: GB/ T35673-2017“工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 系統(tǒng)安全要求和安全等級”、GB/T 20985.1-2017“信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分:事件管理原理”、GB/T 29246-2017“信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯”、GB/T 34942-2017“信息安全技術(shù) 云計算服務(wù)安全能力評估方法”、GB/T 35274-2017“信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求”、GB/T 35277-2017“信息安全技術(shù) 防病毒網(wǎng)關(guān)安全技術(shù)要求和測試評價方法”、G B / T35278-2017“信息安全技術(shù) 移動終端安全保護技術(shù)要求”、GB/T 35279-2017“信息安全技術(shù) 云計算安全參考架構(gòu)”、GB/T 35280-2017“信息安全技術(shù)信息技術(shù)產(chǎn)品安全檢測機構(gòu)條件和行為準則”、GB/T35283-2017“信息安全技術(shù) 計算機終端核心配置基線結(jié)構(gòu)規(guī)范”、GB/T 35290-2017“信息安全技術(shù) 射頻識別(RFID)系統(tǒng)通用安全技術(shù)要求”等。
正在研究制定的標(biāo)準有二百多項。預(yù)計2018年發(fā)布的國家標(biāo)準有:《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護導(dǎo)則》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級規(guī)范》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備通用安全功能要求》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險評估實施指南》等。此外,預(yù)計公安部也將完整發(fā)布GA/T1390“信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求”系列標(biāo)準(包括第1部分:安全通用要求;第2部分:云計算安全擴展要求;第3部分:移動互聯(lián)安全擴展要求;第4部分:物聯(lián)網(wǎng)安全擴展要求;第5部分:工業(yè)控制安全擴展要求;第6部分:大數(shù)據(jù)安全擴展要求)。
3 隨著國家網(wǎng)絡(luò)安全等級保護2.0機制的推進、國家“一網(wǎng)一庫三平臺”的建設(shè),預(yù)計我國電力工控信息安全防護能力會陡增
近年來,隨著智能電網(wǎng)、智能發(fā)電、“互聯(lián)網(wǎng)+”智慧能源建設(shè)的不斷深入,數(shù)字設(shè)備、智能設(shè)備、遠程運維&診斷系統(tǒng)應(yīng)用的大量普及,橫向、縱向、端到端集成互聯(lián)范圍的逐漸擴大,云計算、大數(shù)據(jù)、移動互聯(lián)、工業(yè)物聯(lián)網(wǎng)等新一代技術(shù)的加快應(yīng)用,加之分布式并網(wǎng)發(fā)電站點及范圍的加速增長,電力工控面臨的安全脆弱性和安全風(fēng)險不斷增高。
新推出的等級保護2.0在繼承了等級保護1.0中以資產(chǎn)防護為目標(biāo)的成功實踐基礎(chǔ)上,結(jié)合近些年網(wǎng)絡(luò)與信息技術(shù)的新變化,增加了云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制安全擴展要求、大數(shù)據(jù)安全擴展要求等五項新的安全防護要求。另外,隨著2018年國家開始全面建設(shè)工控安全方面的“一網(wǎng)一庫三平臺”(即:“一網(wǎng)”——全國在線監(jiān)測網(wǎng)絡(luò);“一庫”——應(yīng)急資源庫;“三平臺”——仿真測試、信息共享、信息通報平臺),我國電力信息安全的監(jiān)測預(yù)警、積極防御、應(yīng)急處置能力會得以顯著提升。
4 隨著安全可信機制的推進,新型電力工控系統(tǒng)或設(shè)備開始系統(tǒng)性采用安全可信體系
安全可信系統(tǒng)架構(gòu)包括體系結(jié)構(gòu)可信、操作行為可信、資源配置可信、數(shù)據(jù)存儲可信和策略管理可信等。完整的可信安全對象是由可信供應(yīng)鏈、可信根、可信操作系統(tǒng)、安全數(shù)據(jù)存儲、安全通信、軟件完整性、安全設(shè)備管理等構(gòu)成。只有基于可信設(shè)備而建立的工控系統(tǒng),才可以克服傳統(tǒng)的基于普通設(shè)備而僅采用“封堵查殺”的不徹底性,增強自身的主動免疫力,從而從根本上系統(tǒng)解決工控系統(tǒng)的信息安全。
《中華人民共和國網(wǎng)絡(luò)安全法》第十六條明確了國家“推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。去年剛發(fā)布的公共安全行業(yè)標(biāo)準GA/T 1390.5—2017“信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求 第5部分:工業(yè)控制系統(tǒng)安全擴展要求”也推薦新開發(fā)的重要工業(yè)控制系統(tǒng)采用“基于可信計算技術(shù)的工業(yè)控制系統(tǒng)安全等級防護”。考慮到電力系統(tǒng)的高安全性和高可用性要求,部分電力工控系統(tǒng)供應(yīng)商已開始研發(fā)基于可信機制的新型工控系統(tǒng),預(yù)計2018年會有一系列相應(yīng)的工控設(shè)備及系統(tǒng)面世,并適時開展應(yīng)用。
5 隨著安全通信協(xié)議安全功能作用的增強和接受度的提高,在電力設(shè)施升級改造、新建項目(如工控系統(tǒng)基本功能)中會逐漸擴大其應(yīng)用范圍
早期電力工控系統(tǒng)(主要是發(fā)電側(cè)),由于計算資源有限、相對獨立且受時代限制,常采用專有或普通通信協(xié)議,故而在通信中面臨著數(shù)據(jù)泄露、數(shù)據(jù)完整性破壞、身份偽裝和拒絕服務(wù)等各種網(wǎng)絡(luò)威脅。安全通信協(xié)議由于采用了鑒別、授權(quán)、加密、數(shù)字簽名等安全技術(shù),可以提供相應(yīng)等級的安全服務(wù)功能。
電力工控系統(tǒng)的基本功能是指保持健康、安全、環(huán)境和電力設(shè)備/系統(tǒng)可用性所需的功能。國際主流趨勢是對于實現(xiàn)基本功能的工控系統(tǒng),須采用安全通信協(xié)議。此外,對于實現(xiàn)系統(tǒng)互聯(lián)的通信協(xié)議,也宜更換為具有信息安全功能或能力的安全通信協(xié)議。例如,將早期的OPC協(xié)議更換為安全性較高的OPC UA協(xié)議。
6 AI(人工智能)信息安全技術(shù)開始應(yīng)用于電力工控系統(tǒng),特別是區(qū)域級或國家級骨干系統(tǒng)中
近年來,AI加速發(fā)展,呈現(xiàn)出深度學(xué)習(xí)、跨界融合、人機協(xié)同、群智開放、自主操控等新特征,并開始應(yīng)用于信息安全領(lǐng)域(如用戶鑒別、生物特征識別、訪問控制、黑/白名單規(guī)則建立、IDS/IPS、滲透測試、態(tài)勢感知、監(jiān)測預(yù)警等)。基于AI的信息安全應(yīng)用程序,利用監(jiān)督學(xué)習(xí)、非監(jiān)督學(xué)習(xí)、深度學(xué)習(xí)等機器學(xué)習(xí)技術(shù),不僅可以從海量的數(shù)據(jù)中學(xué)習(xí)、監(jiān)視、分析、識別攻擊模式,而且也能夠提前預(yù)測到下一個攻擊類型的發(fā)生。例如,IBM已將其沃森(Watson)應(yīng)用于信息安全智能平臺,取得了10倍于人工的攻擊發(fā)現(xiàn)量,且發(fā)現(xiàn)時間快于人工60倍。
預(yù)計2018年在區(qū)域級或國家級電力系統(tǒng)骨干網(wǎng)、大型發(fā)電集團遠程集中監(jiān)控診斷中心、建設(shè)中的全國工控信息安全在線監(jiān)測網(wǎng)絡(luò)中,會率先應(yīng)用AI信息安全技術(shù)。與其他任何技術(shù)一樣,AI也是把雙刃劍,《哈佛商業(yè)評論》稱,“AI驅(qū)動的網(wǎng)絡(luò)攻擊的興起,將導(dǎo)致網(wǎng)絡(luò)滲透、個人數(shù)據(jù)盜竊、智能計算機病毒流行性傳播的大爆發(fā)”。2018年極有可能會在信息安全領(lǐng)域內(nèi)首次出現(xiàn)AI對AI的攻防戰(zhàn)。
7 電力等關(guān)鍵基礎(chǔ)設(shè)施的工控信息安全威脅機率持續(xù)上升,面臨的風(fēng)險更高,局部地區(qū)可能出現(xiàn)黃色、甚至橙色預(yù)警
近年來,國際上對電力關(guān)鍵基礎(chǔ)設(shè)施的攻擊事件頻發(fā)。如2015年12月、2016年12月烏克蘭電網(wǎng)分別遭受網(wǎng)絡(luò)攻擊,致大規(guī)模停電。2017年4月愛爾蘭國有電力供應(yīng)商EirGrid的Vodafone網(wǎng)絡(luò)遭受國家支持型黑客攻擊。2017年10月20日,美國聯(lián)邦調(diào)查局和國土安全部聯(lián)合發(fā)布編號為TA17-293A的緊急黃色預(yù)警:稱自2017年5月以來,黑客采用APT(高級持續(xù)性威脅)攻擊手段,一直在滲透美國運營核電站和其他能源設(shè)備公司的工控計算機網(wǎng)絡(luò)。
針對工控系統(tǒng)的惡意軟件日益增多。除眾所周知的針對伊朗核設(shè)施的Stuxnet、針對烏克蘭電網(wǎng)的Industroyer和BlackEnergy、針對美國的Sandworm外,2017年12月國際知名FireEye安全公司發(fā)現(xiàn)一款針對施耐德電氣Triconex安全儀表控制系統(tǒng)SIS控制器的惡意軟件TRITON。TRITON攻擊造成中東一家能源工廠停運,幕后黑手疑似為國家支持型攻擊者。這是黑客成功入侵工控安全保護系統(tǒng)的第一起正式報告,令人震驚。
預(yù)計在2018年,在局部熱點沖突地區(qū)或潛在沖突地區(qū),極有可能持續(xù)出現(xiàn)國家支持型對電力等關(guān)鍵基礎(chǔ)設(shè)施的攻擊事件,可能出現(xiàn)黃色、甚至橙色預(yù)警。
8 全球信息安全開支增長迅猛,在工控安全方面的投入也會相應(yīng)增長
據(jù)Gartner預(yù)測:世界范圍內(nèi)信息安全開支在2017年將達864億美元,比去年增長7%;2018年則預(yù)計可達930億美元。歐盟(EU)2016/679號法規(guī)《通用數(shù)據(jù)保護條例》(GDPR,General Data Protection Regulation)將于2018年5月25日生效。按GDPR規(guī)定,全球未保護好歐盟公民個人信息的任何公司,將面臨最高達4%全球營業(yè)額的罰款。加之前不久EternalPetya(NotPetya)、WannaCry和BADRABBIT等毀滅性攻擊所造成的嚴重后果,由此可推測,2018年全球信息安全投入會遠遠高于Gartner的預(yù)測數(shù)據(jù)。
依照自2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》:國家對電力等關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護。并要求安全技術(shù)措施與信息基礎(chǔ)設(shè)施一起同步規(guī)劃、同步建設(shè)、同步使用。同時,對電力運營者應(yīng)履行的安全保護法律義務(wù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)、檢測評估等均做出相應(yīng)的法律規(guī)定。
隨著《中華人民共和國網(wǎng)絡(luò)安全法》的頒布實施,等級保護2.0的持續(xù)推進,預(yù)計2018年及以后一段時間,我國電力工控網(wǎng)絡(luò)安全方面的投入會持續(xù)較快增長。
作者簡介:
張晉賓(1967-),男,漢族,教授級高級工程師。現(xiàn)就職于中國電力工程顧問集團有限公司,長期從事儀表與自動化、信息技術(shù)工程設(shè)計、研究及管理。參與編寫國際標(biāo)準、國家標(biāo)準、行業(yè)標(biāo)準39項。發(fā)表70余篇技術(shù)論文,出版學(xué)術(shù)著作4部,獲28項國家計算機軟件著作權(quán)。
摘自《自動化博覽》2018年2月刊
北京市公安局海淀分局備案號:11010802023656號