今日頭條
官方微信
官方抖音
資訊頻道摘要:本文系統性地對電力工控有關的海外網絡安全標準的來源、組成、核心內容等方面進行了梳理和解析,并結合國內經驗,從系統結構、設備本身、行為監測、信任機制、應急管理等方面探討了整體的安全防護方案。
關鍵詞:網絡安全;電力工控;標準;方案;海外
Abstract: In this paper, we systematically analyze the source, composition and core content of overseas cyber security standards related to power system, and discuss the whole cyber security scheme from the aspects of system structure, equipment, behavior monitoring, trust mechanism and emergency management based on domestic experience.
Key words: Cyber security; Power control; Standard; Scheme; Overseas
1 前言
海外電力工控系統相關的網絡安全標準比較多,美國歐洲等地從地區或者不同角度來闡述對電網監控網絡安全的要求和主張,國內廠商在海外市場應對的時候往往比較碎片化,難成體系。
本文對海外電力監控系統網絡安全的主要標準進行了梳理和解析,并結合國內經驗,提煉網絡安全的本質需求,從系統、設備本身、行為監測、信任機制、應急和管理等方面,探討說明適用海外的網絡安全解決方案。
2 海外安全標準
世界上和電力監控系統相關的網絡安全標準主要有5個,主要由美國和歐洲主導,來自于IEC、ISO、IEEE等標準機構和政府法規,其中美國的有IEEE-1686、NERC-CIP、NIST-7628,歐洲的有IEC-62351、IEC-62443。
標準可以大致分為三類:
一是權威標準類:IEC和IEEE的標準已經成為業界執行的重要參考,如IEC-62351、IEC-62443、IEEE-1686。
二是強制執行類:NERC-CIP是北美電力可靠性委員會的文件,在得到美國聯邦政府批準后成為聯邦行政要求,具備強制效力。
三是技術指導類:NIST-7628是美國國家標準研究院的官方文件,是一份技術指導文件,不是標準和法律,沒有強制效力。
2.1 IEC-62351
IEC-62351標準的全稱為“電力系統管理及關聯的信息交換-數據和通信安全”,是IEC第57技術委員會WG15工作組為電力系統安全運行針對有關通信協議(IEC -60870-5、IEC-60870-6、IEC-61850、IEC-61970、IEC-61968系列和DNP3)而開發的數據和通信安全標準。IEC-62351的目標是基于公共IT網絡體系構建加密認證機制,為電力通信提供“端對端”的安全保障能力,包括站內的過程層節點通信的兩端、站控層節點通信的兩端、主子站通信的兩端。
IEC-62351的核心內容有四個部分:
(1)IEC-62351-3:使用傳輸層安全協議TLS,提供基于TCP/IP的身份認證、機密性、完整性;
(2)IEC-62351-4:提供MMS的安全規范;
(3)IEC-62351-5:提供IEC60870-5的安全規范,串口、網絡;
(4)IEC -62351-6:提供GOOSE/SV的安全規范;
IEC-62351對電力監控常見通信規約的安全映射關系如圖1所示。
圖1 IEC-62351對通信規約的安全關系
電力監控系統的網絡攻擊界面很大部分來自于對通信傳輸協議的竊聽、偽裝、重放等,應對措施主要就是傳輸加密、身份認證、訪問控制、數字簽名等,而IEC-62351的核心機制就是認證和加密,如IEC-62351-3/-4的T-Profile基于TLS1.2實現,密碼學套件采用TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,IEC-62351-3/-4的A-Profile基于RSA公鑰算法,IEC-62351-6采用HMAC簽名機制實現對GOOSE、SV的認證。
2.2 IEC-62443
IEC-62443標準的全稱是“工業過程測量、控制和自動化與系統信息安全”, IEC/TC65在制定“工業過程測量、控制和自動化”的標準過程中,遇到了網絡安全的問題,因此在2003年9月成立了IEC/SC65C/WG13工作組研究制定工業控制系統的網絡安全標準問題。IEC在2005年成立了IEC/TC65/WG10工作組,專門進行“系統及網絡信息安全”的標準制定工作,并在2006年第一次發布IEC-62443的標準。
IEC-62443標準的中心思想是如何對工業控制系統的產品開發、產品集成、實施和運維等全生命周期環節中實現和評價相關角色的網絡安全能力。IEC-62443的重點不是安全技術,而是對安全能力的評估,所以其核心內容是“網絡安全保證等級SAL”的評價模型。
IEC-62443的標準架構如圖2所示。
圖2 IEC-62443的內容架構
IEC-62443標準的主要內容有4個部分:
(1)IEC-62443-1系列:主要是概念和模型的定義,包括安全目標、風險評估、全生命周期、安全成熟度模型。尤其是基于7個基本要求(FR)的安全保證等級(SAL),從7個FR方面將系統的網絡安全能力定義為SAL的4個等級;
(2)IEC-62443-2系列:主要是講在集成和實施、運維中如何實現網絡安全,目標對象主要是集成商服務商和業主的安全能力。包括在工業控制系統中如何部署網絡安全、如何進行補丁管理,以及安全策略和操作規程;
(3)IEC-62443-3系列:主要是講產品級的系統集成如何實現網絡安全,包括產品系統集成的安全工具、技術措施等如何去滿足安全保證等級,目標對象主要是產品級的系統集成商;
(4)IEC-62443-4系列:主要是單個產品或者獨立組件如何實現網絡安全,包括具體產品開發和技術設計上的網絡安全要求,比如主機、嵌入式裝置等,目標對象是單個產品或者獨立組件的制造商和供應商。
IEC-62443標準的網絡安全保證等級(SAL)的評價模型如下:
(1)SAL分為4種類型:目標SAL、設計SAL、達到SAL、能力SAL。分別對應全生命周期的不同階段;
(2)SAL的4個等級:SAL1:抵御偶然性的攻擊;SAL2:抵御簡單的故意攻擊;SAL3:抵御復雜的調用中等規模資源的故意攻擊;SAL4:抵御復雜的調用大規模資源的故意攻擊;
(3)SAL的評價值的矢量模型:FR { IAC、UC、DI、DC、RDF、TRE、RA},其中,IAC為標識與鑒別控制,UC為用戶控制,DI為數據完整性,DC為數據保密性,RDF為受限制的數據流,TRE為事件實時響應,RA為資源可用性。 IEC-62443中的設備供應商、系統集成商、業主的角色和關系如圖3所示。
圖3 安全角色關系
IEC-62443強調的是工控系統全生命周期的安全實現和評估,業主(AO)、設備供應商(PS)、系統集成商(SI)在工控系統全生命周期各個階段的角色交付關系如圖4所示。
圖4 全生命周期中安全角色交付關系
2.3 IEEE-1686
IEEE-1686標準的全稱是“智能電子設備網絡安全功能標準”,IEEE在NERC-CIP(北美關鍵基礎設施保護計劃)通過美國聯邦政府批準成為強制要求后,為適應NERC-CIP而制定的網絡安全標準。
IEEE-1686標準是針對IED設備的,IEEE-1686的目標是建立在電力行業中對IED設備的安全要求和安全特征基線,以便在采購和測試中引用該標準去實現合規的網絡安全計劃。
標準主要內容有:
(1)定義了IED設備中有關網絡安全的功能和特性。包括IED的訪問、操作、配置、固件修訂、數據檢索的安全性、以及IED之間的通信加密;
(2)規定了IED供應商應該提供的與IED訪問、操作、配置、固件修訂、數據檢索有關的所有活動的保護措施,審計機制以及告警機制。
標準具體內容有:
(1)IED的訪問控制:密碼建設、用戶數量、授權級別、RBAC訪問授權、數據查看、配置更改、訪問超時等;
(2)IED的安全審計:事件記錄、存儲能力、用戶識別、事件類型、審核日志等;
(3)IED的監督報警:如登錄失敗、未授權訪問、時間超出范圍等;
(4)IED的配置軟件:簽名認證、密碼、配置訪問權限、下載、使用監控等;
(5)IED的通信:對通信端口的配置能力和服務開啟關閉能力等。
2.4 NERC-CIP
NERC-CIP全稱為“北美關鍵基礎設施保護”,NERC北美電力可靠性委員會是非營利性監管機構,職責在于開發并執行可靠性標準,保障電網可靠性。NERC職責范圍在北美大陸,包括美國、加拿大、墨西哥,NERC受美國聯邦政府、加拿大政府的監管。NERC在2006年發布了CIP。NERC-CIP在2007年得到美國FERC(聯邦能源監管委員會)的批準,成為美國法規,成為北美通行標準。
NERC-CIP是NERC對關鍵基礎設施的安全保護規定,主要是針對電網運營的功能實體責任實體,具體實體可以包括:電力資產業主、電力傳輸運營商、設備運營商、設備和系統制造商、系統集成服務商、電網結算單位等。
NERC-CIP的目標是保障電網的可靠性安全性,網絡安全是其主要內容,但不是全部,即使是其中的網絡安全,也不僅僅是狹義上的技術上的網絡安全,范圍要更加寬一點。
標準的主要內容包括技術和管理的要求、監督執行兩個層面:
(1)技術和管理的要求:對產品和系統的電子安全邊界的設計和實現、物理訪問的識別和監控、端口信息保護、漏洞的檢查和管理、日志記錄、事件的報告和響應機制、備份和恢復規劃、變更的管理、脆弱性評估、供應鏈管理等,以及人員意識、培訓制度、文檔資料。
(2)監督執行:明確適用對象、責任主體、監管機構、證據要求、評估流程、違規程度評價等。
2.5 NIST-7628
NIST-7628標準全稱是美國國家標準技術研究院第7628號技術報告,全稱為“智能電網信息安全指南”,2010年NIST在制定《智能電網互操作標準框架和路線圖1.0》報告時在智能電網互操作性專家組(SGIP)下面建立信息安全工作組(CSWG)起草7628號報告,因此7628號報告是《框架和路線圖》的姊妹篇。信息安全工作組CSWG有475名成員,有廣泛代表性,涉及到設備供應商、集成服務商、標準組織、行業監管部門、政府機構等。
標準報告分析了智能電網的邏輯結構和信息安全需求,并提出了智能電網信息安全防護的策略和架構,報告共分為3卷。報告本質上就是一份美聯邦官方的研究報告,目的在于協助電網領域相關者去識別風險、落實網絡安全要求,報告沒有強制性,是一份智能電網的網絡安全指南,NIST-7628號報告的作用更多地是作為官方權威的研究報告,給出了智能電網的網絡安全分析的框架,幫助電網相關者去制定符合自己情況可有效實施的網絡安全戰略和措施。電網相關者包括設備制造商、電網運營商、集成服務商、監管部門、學術機構、標準組織機構等。
標準的主要內容有:
NIST-7628號報告的主要內容有三卷,分別為:
(1)第一卷:智能電網信息安全戰略、架構和高層要求。描述智能電網的信息安全戰略和具體任務,標準從安全角度定義智能電網的邏輯架構和接口,對電網涉及者及其行為進行安全建模,構建了“發電、輸電、配電、用電、營銷、運營、服務”7個域,以及22個邏輯接口。戰略涉及“預防、檢測、響應、恢復”4個方面。具體任務涉及用例分析、風險識別、隱私評價、標準對照、架構設計、合規性評價等;
(2)第二卷:隱私和智能電網。標準分析評估了智能電網涉及隱私的風險和問題,包括智能電網相關個人及群體、個人住宅、電動汽車等的信息隱私問題和相關法律問題,以及智能電網互聯互動帶來的隱私潛在問題,美國的一些法律,具體場景的隱私定義和例子等;
(3)第三卷:支持性分析和參考文獻。
3 安全方案的探討
從上述安全標準中可以看到,在NERC-CIP、IEC-62443、IEC-62351等標準中均體現了結構安全的思路,包括多道防御、系統邊界防護、安全域劃分、加密認證技術等,在IEC-62351、IEEE-1686中體現了本體安全的思路,包括加密認證、訪問控制、角色權限、日志審計等技術,在NIST中有提及到行為監測的行為安全思路,但是總的來講行為安全在標準中還是比較弱。在NERC-CIP、NIST中有應急、快速恢復的應急處置的要求,而在IEC-62443、NERC-CIP、NIST等標準中均有關于產品研發的安全管理、集成實施的安全管理等要求。
各項電力工控安全標準均比較具體地描述了某一個或一些方面的安全要求,但對從技術、到管理、到應急處置等全方位的網絡安全需求,尚缺乏整體的安全防護方案。通過海外電力工控安全標準的解讀分析,結合國內電力系統二次安防的規范和工程實踐,可以梳理出整體解決方案如圖5所示。
圖5 整體安全方案
(1)結構安全:作為系統的邊界防護,是第一道防線,包括安全區設計、安全區邊界防護措施、調試維護邊界防護措施等;
(2)本體安全:作為系統的設備防護,是第二道防線,IED本體的安全設計、可信設計;
(3)行為安全:系統的行為安全設計和監測,包括系統信任鏈構建、系統運行過程的安全監測、系統運行的安全風險評估、行為安全性的審計;
(4)應急備用,安全管理:系統在緊急情況下的恢復能力,系統及供應組件在全生命周期的安全管理和服務支持能力。
該方案可以實現從系統邊界到設備本體、再到交互過程的層層設防,體現安全防線的層次累積效應,可以從空間的靜態部署到時間上的動態過程監測,從通信過程到數據傳輸等多個維度來保障安全,可以從行為監測和風險評估、可信鏈傳遞來實現主動的風險預警和安全免疫,方案表述了一種多層次多維度的主動安全防護體系。
作者簡介
湯震宇(1975-),男,江蘇常州人,高級工程師,碩士,現任南京南瑞繼保電氣有限公司網絡安全產品經理,主要研究方向為電力監控通信、網絡安全。
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號