陳雪鴻
高級工程師,碩士國家能源局信息中心技術處副處長
高級工程師,碩士,現任國家能源局信息中心技術處副處長,主要研究方向為電力信息化及其信息安全。
1 信息安全等級保護
信息安全等級保護制度是我國在信息安全領域的一項基本制度。1994年,國務院印發《計算機信息系統安全保護條例》(國務院令147號),明確要求計算機信息系統實行等級保護。2003年,中央辦公廳、國務院辦公廳印發了《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號),明確要求重點保護國家基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統安全,抓緊建立信息安全等級保護制度。我國先后制定出臺了《信息安全等級保護管理辦法》及《信息系統安全等級保護基本要求》等一系列等級保護規范性文件和標準,有力促進了等級保護工作。
信息系統等級保護工作主要分為定級、備案、建設整改、等級測評和監督檢查五個環節。
定級工作:對信息系統進行定級是等級保護工作的基礎,定級工作的流程是確定定級對象、確定信息系統安全保護等級、組織專家評審、主管部門審批、公安機關審核。
備案工作:信息系統定級以后,應到所在地區的市級以上公安機關辦理備案手續,備案工作的流程是信息系統備案、受理、審核和備案信息管理等。
建設整改工作:信息系統安全等級定級以后,應根據相應等級的安全要求,開展信息系統安全建設整改工作;對于新建系統,在規劃設計時應確定信息系統安全保護等級要求,按照等級要求,同步規劃、同步設計、同步實施安全保護技術措施;對于在用系統,可以采取“分區、分域”的方法,按照“整體保護”原則進行整改方案設計,對信息系統進行加固改造。
等級測評工作:信息系統安全等級保護測評工作是指測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。等級測評過程可以分為四個活動:測評準備、方案編制、現場測評與分析、報告編制,常用的測評方法是訪談、檢查和測試。
監督檢查工作:公安機關依據有關規定,會同行業主管部門對非涉密重要信息系統運營使用單位等級保護工作開展和落實情況進行檢查,監督、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員。
定級是開展信息安全等級保護工作的基礎。根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為以下五級:第一級為用戶自主保護級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第二級為系統審計保護級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級為安全標記保護級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。第四級為結構化保護級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級為訪問驗證保護級,信息系統受到破壞后,會對國家安全造成特別嚴重的損害。
2 工業控制系統在能源行業的發展
能源行業是工業控制系統應用廣泛的行業。能源是國民經濟的命脈,是我國建成小康社會、實現“兩個百年”奮斗目標和中華民族偉大復興中國夢的重要保障。電力、煤炭、石油石化等能源工業作為國家的基礎性和支柱性產業,為促進我國經濟社會持續健康發展、人民生活水平不斷提高發揮了重要作用。2013年,我國全年能源消費總量達37.5億噸標準煤,約占全球能源消費總量的21%,發電量約53976億千瓦時,約占世界發電量的24%,煤炭產量約36.8億噸,約占世界煤炭總產量的46.8%,均居世界首位;石油產量約2.09億噸,約占全球石油總產量的5.1%,居世界第四位,天然氣產量約1171億立方米,約占全球天然氣總產量的3.5%,居世界第六位。
在“信息化帶動工業化,以工業化促進信息化,走新型工業化道路”的政策引領下,兩化融合為推動能源產業結構優化和健康發展,確保能源安全可靠供應,提高能源企業生產運營效率起了重要作用。隨著智能電網、數字油氣田、數字礦山等信息化工程快速推進,能源的開發、生產、利用、傳輸、消費等環節已高度依賴信息化。能源領域關鍵信息基礎設施和重要信息資源已成為支撐能源生產供應的關鍵基礎,沒有能源領域網絡安全就沒有能源安全,沒有能源安全就沒有國家安全。
電力行業,可以粗略分為電網企業、發電企業、電力設計施工等輔業企業。支撐電力發、輸、變、配、用以及調度等各環節跨企業連接的電力監控系統已成為電力生產運行控制不可或缺的重要組成部分。各電力企業經營管理的信息化工作也成果顯著,為電力工業發展和管理變革提供強有力的支撐和保障。石油石化行業,中國石油化工集團公司、中國石油天然氣集團公司和中國海洋石油集團公司等企業建成了支撐生產運行、經營管理的信息系統,即以ERP為核心的經營管理平臺、以生產執行系統(MES)為核心的生產營運平臺和信息基礎設施與運維平臺,實現了信息系統在油田、煉油、化工、銷售全產業鏈的覆蓋應用,智能油氣田、智能煉化、銷售電商平臺、一體化客戶管理、全球供應鏈與物流等信息化工作取得初步進展,正在促進引領石油石化行業的發展。煤炭行業,多數大型企業建成了集自動化控制、監測監控、調度指揮、診斷維護等多業務于一體的綜合信息化自動化管控平臺,煤炭工業的信息化工作已融入煤炭安全生產、經營管理、節能環保的各個環節。
3 電力行業網絡與信息安全政策
現代電力生產具有高度信息化、網絡化的特征,信息技術應用廣泛,信息安全問題也得到及時密切的關注。電力信息系統分為管理信息類系統和生產控制類系統。管理信息類系統是指支持電力企業的經營、管理和運營的信息系統,如門戶網站系統、電力營銷管理系統、財務管理系統、人力資源管理系統等。此類系統往往部署于管理信息大區。生產控制類系統(俗稱電力二次系統)是用于監視和控制電網及電廠生產運行過程的、基于計算機及網絡技術的業務處理系統及智能設備,如電力調度數據網絡、電力數據采集與監控系統、能量管理系統、變電站自動化系統、換流站計算機監控系統、發電廠計算機監控系統、配電自動化系統、微機繼電保護和安全自動裝置、廣域相量測量系統、負荷控制系統、水調自動化系統和水電梯級調度自動化系統、電能量計量系統、實時電力市場的輔助控制系統等。此類系統原則上部署于生產控制大區。2005年至2012年,原電監會先后印發《電力二次系統安全防護規定》(5號令)和《關于印發<電力二次系統安全防護總方案>等安全防護方案的通知》(電監安全[2006]34號)、《電力行業網絡與信息安全監督管理暫行規定》(電監信息[2007]50號)、《電力行業信息系統安全等級保護定級工作指導意見》(電監信息[2007]44號)、《關于開展電力行業信息系統安全等級保護定級工作的通知》(電監信息[2007]34號)、《電力行業信息系統安全等級保護基本要求》(電監信息[2012]62號)等文件,全面推進電力二次系統安全防護、信息安全等級保護建設工作,規范了包括生產控制系統在內的電力行業等級保護定級備案、建設整改、等級測評、督導檢查、人才隊伍建設等工作。
2013年,國務院將現國家能源局、電監會的職責整合,重新組建國家能源局。2014年,國家能源局對原有文件進行修(制)訂,印發了《電力行業網絡與信息安全管理辦法》(國能安全[2014]317號)、《電力行業信息安全等級保護管理辦法》(國能安全[2014]318號),并以國家發改委令的形式印發了《電力監控系統安全防護規定》(國家發改委令第14號),對電力行業網絡與信息安全相關工作做出了新的規范。總結電力行業網絡與信息安全政策體系如圖1所示。
圖1 電力行業網絡與信息安全監管政策體系
在電力行業網絡與信息安全體系中,其最有特色是電力監控系統(電力二次系統)安全防護,其從行業層面印發的文件如圖2所示。
圖2 電力二次系統安全防護體系
電力監控系統(電力二次系統安全防護體系)主要包括以下內容:
《電力二次系統安全防護規定》,2005年印發,為電力二次系統安全防護的基礎性文件。
《電力二次系統安全防護總體方案》等共計6個安全防護配套方案,2006年印發,規范了省級以上調度中心、地縣級調度中心、變電站、發電廠和配電二次系統安全防護工作。
《電力負荷管理系統安全防護補充技術規定》,2011年發布,規范了電力負荷管理系統安全防護工作。
《中長期電力交易系統安全防護補充技術規定》,2011年發布,規范了中長期電力交易系統安全防護工作。
《核電站二次系統安全防護技術規定(試行)》,2012年發布,規范了核電站電力二次系統安全防護工作。
《風電、光伏和燃氣電廠二次系統安全防護技術規定(試行)》,2012年發布,規范了風電、光伏發電、燃氣電廠的電力二次系統安全防護工作。
《電力二次系統安全防護評估規范(試行)》,2012年發布,規范了電力二次系統安全防護評估工作。
《電力監控系統安全防護規定》(國家發改委令第14號),2014年8月1日發布,將電力二次系統更名為電力監控系統,給予電力監控系統新的定義,規范了電力監控系統安全防護工作。
《電力監控系統安全防護總體防護及其他安全防護方案和評估規范》,2015年發布,其是對《電力二次系統安全防護總體方案》及配套方案的修訂,適應了新一代電力監控系統的安全防護工作。
4 電力行業工業控制系統安全等級保護定級
2007年,原電監會印發《關于開展電力行業信息系統安全等級保護定級工作的通知》(電監信息[2014]34號)、《電力行業信息系統安全等級保護定級工作指導意見》(電監信息[2007]44號),成為電力行業信息系統安全保護定級工作的政策性文件。各重點電力企業據此開展了信息安全等級保護定級工作。根據電力信息系統業務信息安全和系統服務安全被破壞時對公民、法人和其他組織的合法權益,社會秩序、公共利益和國家安全的侵害程度,管理類電力信息系統可分為1~3級,生產控制類電力信息系統可分為1~4級。根據電力行業信息系統實際情況和保護側重點的不同,技術類安全要求進一步細分為:保護數據在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改的信息安全類要求(簡記為S);保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求(簡記為A);通用安全保護類要求(簡記為G)。在系統定級時,可按不同安全保護等級的組合進行定級,如表1所示。
表1 各等級信息系統定級結果組合
對于在電力行業中有重要應用的信息系統,原電監會印發的《電力行業信息系統安全等級保護定級指導意見)(電監[2007]44號)給出了詳細的安全保護級別的定級建議,一般來說,省級及以上電網調度自動化系統應定級為4級,地市級調度自動化系統、配網自動化、電力負荷管理,單機容量300兆瓦及以上的火電機組監控系統,總裝機1000兆瓦及以上的水電機組監控系統,總裝機2000兆瓦及以上的梯級調度監控系統,電能量計量系統、省級及以上調度生產管理系統,總裝機1000兆瓦及以上的發電廠SIS系統、核電站環境監測系統,省級及以上單位電力市場交易系統等,集團公司門戶應定級為3級,其它為2級。
2007年,電力行業開展了第一次全面定級工作。在全國開展的第一次定級工作中,電力信息系統定級最為廣泛徹底,摸清了底數,找準了重點,定級工作取得了積極成效。之后幾年中電力信息系統發生了一些變化:
(1)統一設計、統一開發、集中部署的信息化建設模式,使信息系統的集成度大幅提高,通常只在總部和省級所屬單位實行兩級部署;(2)電網調度自動化專業的管理模式與其技術支持系統的體系結構均發生顯著改變,無人變電站數量增多。2012年,根據電力信息系統發展特點,原電監會適時對系統定級進行調整,主要調整為:(1)隸屬于電網公司的變電自動化系統納入相關調度自動化系統作為子站進行保護,不再作為獨立系統進行單獨定級;(2)新一代智能電網調度技術支持系統按照分區功能定級,I區實時監控與預警為四級、II區調度計劃與安全校核為三級、III區調度管理為二級;
(3)集團公司營銷管理系統和ERP系統調整為三級。可以說,電力行業經過2007年的全面定級和2012的定級調整,基本完成了電力工控系統的定級,在已定級的信息系統中,電力工控系統占比70%以上。
5 工業控制系統安全等級保護定級
隨著信息化技術的發展,以自動化技術為代表的自動控制系統在工業控制領域得到了廣泛的應用。國外在工控系統信息安全防護領域的標準研究工作開展較早,進展較快。總體來看,在共性的信息安全方面,大多利用已有的信息安全標準為工控系統信息安全保障體系建設提供標準支持,而在工控業務應用安全方面大多有針對性地制定相關信息安全標準。目前國際上有很多組織從事工業控制系統的安全問題研究。根據現有資料,對工業控制系統安全的標準化工作主要來自以下組織:
(1)國際電工委員會(IEC,International Electro Technical Commission)
(2)國際自動化協會(ISA,the International Society of Automation)
(3)美國國家標準技術研究院(NIST,National Institute of Standards and Technology)
(4)北美電力可靠性委員會(NERC,North American Electric Reliability Council)
在這其中,以IEC62443《工業通訊網絡-網絡和系統安全》系列標準得到國內外工控領域的認可,62443是IEC TC 65 WG10為實現工業控制系統的安全保護而正在制定的標準,旨在提出一整套建立工業自動化系統的安全保障措施,涉及安全規程的建立運行,以及對工業自動化控制系統的安全技術要求,明確可采用的安全技術及應用方法。全國工業過程測量和控制標準化技術委員會SAC/TC124在將62443系列標準在國內轉化中做了大量工作,已印發GB/T30976.1-2014《工業控制系統信息安全第1部分:評估規范》和GB/T 30976.2-2014《工業控制系統信息安全第2部分:驗收規范》 ,在此我們引述62443關于工業控制系統的定義:
工業自動化和控制系統industrial automation and control system指對工業生產過程安全(safety)、信息安全(security)和可靠運行產生作用和影響的人員、硬件、策略和軟件的集合。
系統包括,但不限于:分布式控制系統(DCS)、可編程邏輯控制器(PLC)、遠程終端單元(RTU)、智能電子設備、監控和數據采集(SCADA)等。其對應的邏輯架構如圖3所示。
圖3 工業企業信息系統邏輯圖
由上述定義和工業企業信息系統邏輯圖可以看出,此定義的工業控制系統不能直接作為等級保護定級對象,當以工業控制系統作為等級保護定級對象時,需要按照《信息系統安全等級保護定級指南》(GB/T 22040-2008)要求對定級對象進行梳理。回顧一下計算機信息系統和等級保護對象的定義:
計算機信息系統computer information system:計算機信息系統是由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。(引自GB17859-1999)
等級保護對象target of classified security :信息安全等級保護工作直接作用的具體的信息和信息系統。(引自GB/T 22040-2008)
作為定級對象的信息系統應具有如下基本特征:
(1)具有唯一確定的安全責任單位。
(2)具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象。
(3)承載單一或相對獨立的業務應用。
對比工控系統與等級保護定級指南中所確定計算機信息系統的定義,不難發現做好工控系統定級工作,需要明確工控系統的定級對象,可編程邏輯控制器(PLC)、遠程終端單元(RTU),智能電子設備不具備(2)的特征,不能作為單獨的系統進行定級,而SCADA和DCS雖具備(2)的特征,即有計算機信息系統的基本要素,但作為定級對象,在實施過程中需要考慮基本特征(1)和(3),故需要明確待定級工控系統的管理邊界、物理邊界和邏輯邊界。大部分工業企業由生產管理部門管理第0~3層,第4層以上通常歸由信息部門管理。而從(3)原則來看,第0~2層及第3層中監督控制即構成了單一或相對獨立的業務應用。綜上所述,具有相對獨立應用,由生產管理部門管理或運維,由現場層、控制層、監視層組成的SCADA(圖4給出了一個典型實現,可以看出其基本部件包含現場層、控制層、監視層和承載網絡)或DCS(圖5給出了一個典型實現,其基本部件包含現場層和控制層合一的現場層、監視層和承載網絡,如PLC既可認為是現場設備,也可認為是控制設備)可作為定級對象。在工業企業中,SCADA或DCS是和特定的工業業務應用密不可分的,如SCADA在電力行業中典型應用是作為能量管理系統、配電自動化系統的基礎平臺,在石油行業典型應用中是作為油氣傳輸SCADA系統,在自來水行業典型應用是作為水質監測SCADA,在實際定級備案中,往往會以其應用進行系統命名,如在電網企業中,備案中使用能量管理系統或新一代智能電網調度技術支持系統作為調度SCADA系統的名稱。
圖4 SCADA系統典型實現拓撲圖
確定了工業控制系統定級對象后,需要確定此系統的安全保護等級,確定信息系統安全保護等級的一般流程如下:
(1)確定作為定級對象的信息系統;
(2)確定業務信息安全受到破壞時所侵害的客體;
(3)根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度;
(4)得到業務信息安全保護等級;
(5)確定系統服務安全受到破壞時所侵害的客體;
(6)根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度;
(7)得到系統服務安全保護等級;
(8)將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級。
就信息安全三個特性對于系統的重要程度而言,通用IT系統一般是按照機密性、完整性、可用性的次序遞增,而對于工業控制系統而言,一般是按照可用性、完整性、機密性的次序遞增,因此在開展工業控制系統定級工作中,注意其業務信息安全被破壞對客體的侵害程度不大于其系統服務安全被破壞對客體的侵害程度,即如以SnAmGl表示系統的定級組合,n表示業務信息安全保護等級,m表示系統服務安全保護等級,l表示系統的安全保護等級,那么n m, l = max (n, m)。
此外,在開展工業控制系統定級工作過程中,還應避免以下誤區:
(1)認為工業控制系統不同于信息系統,不需要定級。傳統工業控制系統與通用IT系統不同,但在兩化融合過程中,工業控制系統大量采用信息技術和網絡技術實現工業控制系統的互聯互通,這種互聯互通將傳統IT系統所面臨的威脅和脆弱性引入了工業控制系統,這樣的工業控制系統也具備了信息系統的基本要素。同時開展工業控制系統定級工作,也有利于行業和國家信息安全監管部門確定重點保護對象,形成國家、行業、企業三級的信息安全防護管理機制。
圖5 DCS實現舉例
(2)將工業控制系統所界定的范圍劃分過寬。將第0至5層認為為一個工控系統,實際執行結果會造成工業企業僅有一個信息系統,與信息系統作為定級對象所確定的(1)、(2)、(3)基本特征不符,也于實行計算機信息系統分等級保護的精神不符,這樣實際上是按企業分等級保護。
6 結語
自2007年開始,公安部組織開展重要信息系統安全等級保護定級工作以來,多個重點行業分別開展了等級保護定級工作。對于工業控制系統的定級工作,其定級標準存有爭議,全國信息安全標準化技術委員會(TC260)曾于2012年確定工業控制系統安全等級保護定級指南的立項工作,但工業控制系統等級保護定級指南尚未出臺。工業控制信息系統作為信息系統的一類,其定級依然可以按照國標 《 信息系統安全等級保護定級指南》(GB/T22040-2008)和行業定級指南等進行定級。在開展工控系統定級時,可根據其管理邊界確定不同工控系統是否可作為一個大工控系統的子系統統一定級,如將給水、除灰系統作為輔助控制系統的子系統或子模塊的前題是給水、除灰、輔助控制系統為同一管理機構進行管理或運維,根據是否承載單一或相對獨立的業務應用來確定待定級系統的物理邊界和邏輯邊界。總之,開展工業控制系統定級是開展工業控制系統等級保護工作的基礎,各工控行業可根據國家標準結合行業特點,在實踐中不斷總結與調整,真正實現等級保護的實施原則“自主保護、重點保護、同步建設、動態調整”。
作者簡介
陳雪鴻,高級工程師,碩士,現就職于國家能源局信息中心,主要研究方向為電力信息化及其信息安全。
葉世超,博士,現就職于國家能源局信息中心,主要研究方向為電力信息化及其信息安全。
石聰聰,碩士,現就職于國網智能電網研究院,主要研究方向為電力信息化及其信息安全。
摘自《工業控制系統信息安全專刊(第二輯)》