今日頭條
官方微信
官方抖音
資訊頻道電力是指以電能作為動(dòng)力的能源,完整的電力系統(tǒng)包括發(fā)電、輸電、變電、配電和用電等環(huán)節(jié)。電力是關(guān)系國(guó)計(jì)民生的基礎(chǔ)產(chǎn)業(yè),電力供應(yīng)和安全事關(guān)國(guó)家安全戰(zhàn)略,事關(guān)經(jīng)濟(jì)社會(huì)發(fā)展全局。工業(yè)自動(dòng)化和控制系統(tǒng)(簡(jiǎn)稱“工控”)作為電力的感官和中樞神經(jīng)系統(tǒng),確保其網(wǎng)絡(luò)安全,使其始終處于穩(wěn)定可靠運(yùn)行狀態(tài),對(duì)于保障電力安全運(yùn)營(yíng)至關(guān)重要。
根據(jù)電力設(shè)施特點(diǎn)及技術(shù)發(fā)展,近期全球工控技術(shù)和信息安全技術(shù)現(xiàn)狀及其發(fā)展態(tài)勢(shì),對(duì)電力工控網(wǎng)絡(luò)安全預(yù)測(cè)如下:
1 網(wǎng)絡(luò)安全已上升為國(guó)家戰(zhàn)略,國(guó)家對(duì)工控網(wǎng)絡(luò)安全的監(jiān)管和要求會(huì)更加嚴(yán)格
2016年7月,NATO(北約)華沙峰會(huì)已將網(wǎng)絡(luò)空間認(rèn)定為作戰(zhàn)域,視網(wǎng)絡(luò)攻防為新的戰(zhàn)場(chǎng)。2017年法國(guó)、俄羅斯、德國(guó)、印度等相繼建立了網(wǎng)絡(luò)部隊(duì)。在2017年由澳大利亞、美國(guó)、日本三國(guó)聯(lián)合開展的“護(hù)身軍刀”軍事演習(xí)中,加入了網(wǎng)絡(luò)攻防對(duì)抗科目。
習(xí)近平總書記指出,沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。近兩年來(lái),我國(guó)頒布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、發(fā)布了《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》等法律、法規(guī)和政策性文件。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是國(guó)家網(wǎng)絡(luò)安全領(lǐng)域首部基礎(chǔ)性、框架性、綜合性法律,《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》是指導(dǎo)國(guó)家網(wǎng)絡(luò)安全工作的綱領(lǐng)性文件。自2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,就有關(guān)電力等關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全方面,規(guī)定了國(guó)家相關(guān)部門的法律職責(zé),網(wǎng)絡(luò)產(chǎn)品/服務(wù)的提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者等的法律義務(wù)。2017年12月29日工業(yè)和信息化部發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》。預(yù)計(jì)近期《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》等與電力工控信息安全相關(guān)的系列法規(guī)、條例會(huì)相繼出臺(tái)。隨后,國(guó)家發(fā)展改革委、工業(yè)和信息化部、能源局也會(huì)相應(yīng)制定、修訂與電力工控安全防護(hù)相關(guān)的管理和技術(shù)規(guī)定。今后,電力運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者、網(wǎng)信部門和有關(guān)管理部門等不履行法定的網(wǎng)絡(luò)安全保護(hù)義務(wù)或職責(zé)的,則會(huì)承擔(dān)相應(yīng)的法律責(zé)任。
此外,公安部已提出等級(jí)保護(hù)已從1.0時(shí)代進(jìn)入2.0時(shí)代,管理策略相應(yīng)從1.0的“自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo)”轉(zhuǎn)向?yàn)?.0的“明確等級(jí)、增強(qiáng)保護(hù)、常態(tài)監(jiān)督”,監(jiān)管范圍增加了云計(jì)算平臺(tái)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)安全,要求構(gòu)建“偵攻防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系。
2 網(wǎng)絡(luò)安全體系系列標(biāo)準(zhǔn)規(guī)定日趨完善,電力工控網(wǎng)絡(luò)安全技術(shù)和管理更加規(guī)范
近年來(lái),國(guó)家制定發(fā)布了101項(xiàng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),與工控網(wǎng)絡(luò)安全相關(guān)并已實(shí)施的有:GB/T 26333“工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范”、GB/T 33007“工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序”、GB/T 33008.1“工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全 可編程序控制器(PLC) 第1部分:系統(tǒng)要求”、GB/T 33009.1“工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 第1部分:防護(hù)要求”、GB/T 33009.2“工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 第2部分:管理要求”、GB/T33009.3“工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 第3部分:評(píng)估指南”、GB/T 33009.4“工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS)第4部分:風(fēng)險(xiǎn)與脆弱性檢測(cè)要求”等。
2018年剛開始實(shí)施的國(guó)家標(biāo)準(zhǔn)有:GB/T 35673-2017“工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 系統(tǒng)安全要求和安全等級(jí)”、GB/T 20985.1-2017“信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分:事件管理原理”、GB/T 29246-2017“信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯”、GB/T 34942-2017“信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法”、GB/T 35274-2017“信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求”、GB/T 35277-2017“信息安全技術(shù) 防病毒網(wǎng)關(guān)安全技術(shù)要求和測(cè)試評(píng)價(jià)方法”、GB/T 35278-2017“信息安全技術(shù) 移動(dòng)終端安全保護(hù)技術(shù)要求”、GB/T 35279-2017“信息安全技術(shù) 云計(jì)算安全參考架構(gòu)”、GB/T 35280-2017“信息安全技術(shù) 信息技術(shù)產(chǎn)品安全檢測(cè)機(jī)構(gòu)條件和行為準(zhǔn)則”、GB/T 35283-2017“信息安全技術(shù) 計(jì)算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范”、GB/T 35290-2017“信息安全技術(shù) 射頻識(shí)別(RFID)系統(tǒng)通用安全技術(shù)要求”等。
正在研究制定的標(biāo)準(zhǔn)有200多項(xiàng)。2018年剛發(fā)布2019年即將實(shí)施的國(guó)家標(biāo)準(zhǔn)有:《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備通用安全功能要求》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》等。此外,預(yù)計(jì)公安部也將完整發(fā)布GA/T 1390“信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”系列標(biāo)準(zhǔn)(包括第1部分:安全通用要求;第2部分:云計(jì)算安全擴(kuò)展要求;第3部分:移動(dòng)互聯(lián)安全擴(kuò)展要求;第4部分:物聯(lián)網(wǎng)安全擴(kuò)展要求;第5部分:工業(yè)控制安全擴(kuò)展要求;第6部分:大數(shù)據(jù)安全擴(kuò)展要求)。
3 隨著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0機(jī)制的推進(jìn)、國(guó)家“一網(wǎng)一庫(kù)三平臺(tái)”的建設(shè),預(yù)計(jì)我國(guó)電力工控信息安全防護(hù)能力會(huì)陡增
近年來(lái),隨著智能電網(wǎng)、智能發(fā)電、“互聯(lián)網(wǎng)+”智慧能源建設(shè)的不斷深入,數(shù)字設(shè)備、智能設(shè)備、遠(yuǎn)程運(yùn)維&診斷系統(tǒng)應(yīng)用的大量普及,橫向、縱向、端到端集成互聯(lián)范圍的逐漸擴(kuò)大,云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、工業(yè)物聯(lián)網(wǎng)等新一代技術(shù)的加快應(yīng)用,加之分布式并網(wǎng)發(fā)電站點(diǎn)及范圍的加速增長(zhǎng),電力工控面臨的安全脆弱性和安全風(fēng)險(xiǎn)不斷增高。
新推出的等級(jí)保護(hù)2.0在繼承了等級(jí)保護(hù)1.0中以資產(chǎn)防護(hù)為目標(biāo)的成功實(shí)踐基礎(chǔ)上,結(jié)合近些年網(wǎng)絡(luò)與信息技術(shù)的新變化,增加了云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制安全擴(kuò)展要求、大數(shù)據(jù)安全擴(kuò)展要求等五項(xiàng)新的安全防護(hù)要求。另外,隨著2018年國(guó)家開始全面建設(shè)工控安全方面的“一網(wǎng)一庫(kù)三平臺(tái)”(即:“一網(wǎng)”——全國(guó)在線監(jiān)測(cè)網(wǎng)絡(luò);“一庫(kù)”——應(yīng)急資源庫(kù);“三平臺(tái)”——仿真測(cè)試、信息共享、信息通報(bào)平臺(tái)),我國(guó)電力信息安全的監(jiān)測(cè)預(yù)警、積極防御、應(yīng)急處置能力會(huì)得以顯著提升。
4 隨著安全可信機(jī)制的推進(jìn),新型電力工控系統(tǒng)或設(shè)備開始系統(tǒng)性采用安全可信體系
安全可信系統(tǒng)架構(gòu)包括體系結(jié)構(gòu)可信、操作行為可信、資源配置可信、數(shù)據(jù)存儲(chǔ)可信和策略管理可信等。完整的可信安全對(duì)象是由可信供應(yīng)鏈、可信根、可信操作系統(tǒng)、安全數(shù)據(jù)存儲(chǔ)、安全通信、軟件完整性、安全設(shè)備管理等構(gòu)成。只有基于可信設(shè)備而建立的工控系統(tǒng),才可以克服傳統(tǒng)的基于普通設(shè)備而僅采用“封堵查殺”的不徹底性,增強(qiáng)自身的主動(dòng)免疫力,從而從根本上系統(tǒng)解決工控系統(tǒng)的信息安全。
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第十六條明確了國(guó)家“推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。去年剛發(fā)布的公共安全行業(yè)標(biāo)準(zhǔn)GA/T 1390.5—2017“信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第5部分:工業(yè)控制系統(tǒng)安全擴(kuò)展要求”也推薦新開發(fā)的重要工業(yè)控制系統(tǒng)采用“基于可信計(jì)算技術(shù)的工業(yè)控制系統(tǒng)安全等級(jí)防護(hù)”。考慮到電力系統(tǒng)的高安全性和高可用性要求,部分電力工控系統(tǒng)供應(yīng)商已開始研發(fā)基于可信機(jī)制的新型工控系統(tǒng),預(yù)計(jì)近期會(huì)有一系列相應(yīng)的工控設(shè)備及系統(tǒng)面世,并適時(shí)開展應(yīng)用。
5 隨著安全通信協(xié)議安全功能作用的增強(qiáng)和接受度的提高,在電力設(shè)施升級(jí)改造、新建項(xiàng)目(如工控系統(tǒng)基本功能)中會(huì)逐漸擴(kuò)大其應(yīng)用范圍
早期電力工控系統(tǒng)(主要是發(fā)電側(cè)),由于計(jì)算資源有限、相對(duì)獨(dú)立且受時(shí)代限制,常采用專有或普通通信協(xié)議,故而在通信中面臨著數(shù)據(jù)泄露、數(shù)據(jù)完整性破壞、身份偽裝和拒絕服務(wù)等各種網(wǎng)絡(luò)威脅。安全通信協(xié)議由于采用了鑒別、授權(quán)、加密、數(shù)字簽名等安全技術(shù),可以提供相應(yīng)等級(jí)的安全服務(wù)功能。
電力工控系統(tǒng)的基本功能是指保持健康、安全、環(huán)境和電力設(shè)備/系統(tǒng)可用性所需的功能。國(guó)際主流趨勢(shì)是對(duì)于實(shí)現(xiàn)基本功能的工控系統(tǒng),須采用安全通信協(xié)議。此外,對(duì)于實(shí)現(xiàn)系統(tǒng)互聯(lián)的通信協(xié)議,也宜更換為具有信息安全功能或能力的安全通信協(xié)議。例如,將早期的OPC協(xié)議更換為安全性較高的OPC UA協(xié)議。
6 AI(人工智能)信息安全技術(shù)開始應(yīng)用于電力工控系統(tǒng),特別是區(qū)域級(jí)或國(guó)家級(jí)骨干系統(tǒng)中
近年來(lái),AI加速發(fā)展,呈現(xiàn)出深度學(xué)習(xí)、跨界融合、人機(jī)協(xié)同、群智開放、自主操控等新特征,并開始應(yīng)用于信息安全領(lǐng)域(如用戶鑒別、生物特征識(shí)別、訪問(wèn)控制、黑/白名單規(guī)則建立、IDS/IPS、滲透測(cè)試、態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警等)。基于AI的信息安全應(yīng)用程序,利用監(jiān)督學(xué)習(xí)、非監(jiān)督學(xué)習(xí)、深度學(xué)習(xí)等機(jī)器學(xué)習(xí)技術(shù),不僅可以從海量的數(shù)據(jù)中學(xué)習(xí)、監(jiān)視、分析、識(shí)別攻擊模式,而且也能夠提前預(yù)測(cè)到下一個(gè)攻擊類型的發(fā)生。例如,IBM已將其沃森(Watson)應(yīng)用于信息安全智能平臺(tái),取得了10倍于人工的攻擊發(fā)現(xiàn)量,且發(fā)現(xiàn)時(shí)間快于人工60倍。
預(yù)計(jì)近期在區(qū)域級(jí)或國(guó)家級(jí)電力系統(tǒng)骨干網(wǎng)、大型發(fā)電集團(tuán)遠(yuǎn)程集中監(jiān)控診斷中心、建設(shè)中的全國(guó)工控信息安全在線監(jiān)測(cè)網(wǎng)絡(luò)中,會(huì)率先應(yīng)用AI信息安全技術(shù)。與其他任何技術(shù)一樣,AI也是把雙刃劍,《哈佛商業(yè)評(píng)論》稱,“AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊的興起,將導(dǎo)致網(wǎng)絡(luò)滲透、個(gè)人數(shù)據(jù)盜竊、智能計(jì)算機(jī)病毒流行性傳播的大爆發(fā)”。近期極有可能會(huì)在信息安全領(lǐng)域內(nèi)首次出現(xiàn)AI對(duì)AI的攻防戰(zhàn)。
7 電力等關(guān)鍵基礎(chǔ)設(shè)施的工控信息安全威脅機(jī)率持續(xù)上升,面臨的風(fēng)險(xiǎn)更高,局部地區(qū)可能出現(xiàn)黃色、甚至橙色預(yù)警
近年來(lái),國(guó)際上對(duì)電力關(guān)鍵基礎(chǔ)設(shè)施的攻擊事件頻發(fā)。如2015年12月、2016年12月烏克蘭電網(wǎng)分別遭受網(wǎng)絡(luò)攻擊,致大規(guī)模停電。2017年4月愛爾蘭國(guó)有電力供應(yīng)商EirGrid的Vodafone網(wǎng)絡(luò)遭受國(guó)家支持型黑客攻擊。2017年10月20日,美國(guó)聯(lián)邦調(diào)查局和國(guó)土安全部聯(lián)合發(fā)布編號(hào)為TA17-293A的緊急黃色預(yù)警:稱自2017年5月以來(lái),黑客采用APT(高級(jí)持續(xù)性威脅)攻擊手段,一直在滲透美國(guó)運(yùn)營(yíng)核電站和其他能源設(shè)備公司的工控計(jì)算機(jī)網(wǎng)絡(luò)。
針對(duì)工控系統(tǒng)的惡意軟件日益增多。除眾所周知的針對(duì)伊朗核設(shè)施的Stuxnet、針對(duì)烏克蘭電網(wǎng)的Industroyer和BlackEnergy、針對(duì)美國(guó)的Sandworm外,2017年12月國(guó)際知名FireEye安全公司發(fā)現(xiàn)一款針對(duì)施耐德電氣Triconex安全儀表控制系統(tǒng)SIS控制器的惡意軟件TRITON。TRITON攻擊造成中東一家能源工廠停運(yùn),幕后黑手疑似為國(guó)家支持型攻擊者。這是黑客成功入侵工控安全保護(hù)系統(tǒng)的第一起正式報(bào)告,令人震驚。
預(yù)計(jì)在將來(lái)的數(shù)年內(nèi),在局部熱點(diǎn)沖突地區(qū)或潛在沖突地區(qū),極有可能持續(xù)出現(xiàn)國(guó)家支持型對(duì)電力等關(guān)鍵基礎(chǔ)設(shè)施的攻擊事件,可能出現(xiàn)黃色、甚至橙色預(yù)警。
8 全球信息安全開支增長(zhǎng)迅猛,在工控安全方面的投入也會(huì)相應(yīng)增長(zhǎng)
據(jù)Gartner預(yù)測(cè),世界范圍內(nèi)信息安全開支在2017年將達(dá)864億美元,比去年增長(zhǎng)7%;2018年則預(yù)計(jì)可達(dá)930億美元。歐盟(EU)2016/679號(hào)法規(guī)《通用數(shù)據(jù)保護(hù)條例》(GDPR,General Data ProtectionRegulation)于2018年5月25日生效。按GDPR規(guī)定,全球未保護(hù)好歐盟公民個(gè)人信息的任何公司,將面臨最高達(dá)4%全球營(yíng)業(yè)額的罰款。加之前不久EternalPetya(NotPetya)、WannaCry和BADRABBIT等毀滅性攻擊所造成的嚴(yán)重后果,由此可推測(cè),2018年全球信息安全投入會(huì)遠(yuǎn)遠(yuǎn)高于Gartner的預(yù)測(cè)數(shù)據(jù)。
依照自2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,國(guó)家對(duì)電力等關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。并要求安全技術(shù)措施與信息基礎(chǔ)設(shè)施一起同步規(guī)劃、同步建設(shè)、同步使用。同時(shí),對(duì)電力運(yùn)營(yíng)者應(yīng)履行的安全保護(hù)法律義務(wù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)、檢測(cè)評(píng)估等均做出相應(yīng)的法律規(guī)定。
隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布實(shí)施,等級(jí)保護(hù)2.0的持續(xù)推進(jìn),預(yù)計(jì)2018年及以后一段時(shí)間,我國(guó)電力工控網(wǎng)絡(luò)安全方面的投入會(huì)持續(xù)較快增長(zhǎng)。
作者簡(jiǎn)介
張晉賓(1967-),男,漢族,教授級(jí)高級(jí)工程師。現(xiàn)就職于電力規(guī)劃設(shè)計(jì)總院,長(zhǎng)期從事儀表與自動(dòng)化、信息技術(shù)、新能源等工程設(shè)計(jì)、研究及管理。參與編寫國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)39項(xiàng)。發(fā)表70余篇技術(shù)論文,出版學(xué)術(shù)著作4部,獲28項(xiàng)國(guó)家計(jì)算機(jī)軟件著作權(quán)。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)