今日頭條
官方微信
官方抖音
資訊頻道摘要:為了進(jìn)一步指導(dǎo)做好工控系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作,保障工控系統(tǒng)信息安全,國家工業(yè)和信息化部在2017年5月31日印發(fā)了《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》,在總則、組織機構(gòu)與職責(zé)、工作機制、監(jiān)測通報、應(yīng)急管理、應(yīng)急處置、保障措施等方面提出了工作指南,要求堅持政府指導(dǎo)、企業(yè)主體,堅持預(yù)防為主、平戰(zhàn)結(jié)合,堅持快速反應(yīng)、科學(xué)處置,充分發(fā)揮各方力量,共同做好工控安全事件的預(yù)防和處置工作。本文對電廠工控系統(tǒng)組成及其功能進(jìn)行研究,結(jié)合技術(shù)手段,提出一種電廠網(wǎng)絡(luò)安全事件應(yīng)急處置思路,完成電廠網(wǎng)絡(luò)安全應(yīng)急處置工作。
關(guān)鍵詞:電力系統(tǒng);工控系統(tǒng);應(yīng)急處置
Abstract: In order to improve the work related to the emergency management of information security in industrial control systems and ensure the information security of industrial control systems, the Ministry of Industry and Information Technology of the People’s Republic of China issued the "Guidelines for Emergency Management of Information Security Incidents in Industrial Control Systems" on May 31, 2017. The Guidelines talks about the general rules, organizations and responsibilities, working mechanism, monitoring circulars, emergency management, emergency disposal, safeguards and other aspects of the Emergency Management of Information Security Incidents. Meanwhile, the Guidelines requires to adhere to the government's guidance, the main body of enterprises, adhere to the combination of prevention and war, adhere to rapid response, scientific disposal, give full play to all forces, and jointly do well in the prevention and disposal of industrial and safety incidents. In this paper, we composite the functions of the industrial control system with technical means and come up with a new way to deal with the power plant emergency situation.
Key words: Power system; Industrial control system; Emergency response
1 引言
近年來,隨著信息技術(shù)和工業(yè)技術(shù)的不斷發(fā)展與融合,工業(yè)互聯(lián)網(wǎng)應(yīng)運而生,成為制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化的重要載體,工業(yè)互聯(lián)網(wǎng)給工業(yè)企業(yè)帶來高效、高質(zhì)、便捷等優(yōu)勢的同時,也將工控系統(tǒng)暴露在互聯(lián)網(wǎng)上,因此工控系統(tǒng)的安全隱患日益增多。為了進(jìn)一步指導(dǎo)做好工控系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作,保障工控系統(tǒng)信息安全,國家工業(yè)和信息化部在2017年5月31日印發(fā)了《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》,在總則、組織機構(gòu)與職責(zé)、工作機制、監(jiān)測通報、應(yīng)急管理、應(yīng)急處置、保障措施等方面提出了工作指南,要求堅持政府指導(dǎo)、企業(yè)主體,堅持預(yù)防為主、平戰(zhàn)結(jié)合,堅持快速反應(yīng)、科學(xué)處置,充分發(fā)揮各方力量,共同做好工控安全事件的預(yù)防和處置工作。
因此,本文對電廠工控系統(tǒng)組成及其功能進(jìn)行研究,結(jié)合技術(shù)手段,提出一種電廠網(wǎng)絡(luò)安全事件應(yīng)急處置方法,完成電廠網(wǎng)絡(luò)安全應(yīng)急處置工作。
首先,針對電廠的信息安全事件應(yīng)急處置,結(jié)合網(wǎng)絡(luò)安全事件的應(yīng)急處置過程與電廠網(wǎng)絡(luò)管理實際情況, 研制貼合電廠網(wǎng)絡(luò)環(huán)境的應(yīng)急處置方案。
其次,對安全事件進(jìn)行統(tǒng)一管理、收集安全事件信息、處置過程數(shù)據(jù),并在平臺的協(xié)助下對這些數(shù)據(jù)進(jìn)行分析形成處置模型,使得處置經(jīng)驗得以固化。
最后,依靠應(yīng)急處置經(jīng)驗?zāi)P鸵霊?yīng)急處置實踐過程可以直接提高應(yīng)急處置效率、精準(zhǔn)度,將應(yīng)急處置工作帶入良性循環(huán)當(dāng)中。
2 相關(guān)研究
2.1 電廠工控網(wǎng)絡(luò)安全事件類型研究
DCS控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置,系統(tǒng)遭受網(wǎng)絡(luò)攻擊、病毒感染造成的信息安全事件可分為以下三大類:DCS網(wǎng)絡(luò)故障、工程師站/操作員站故障、DPU控制器組態(tài)邏輯破壞,具體如表1所示。
表1 DCS控制系統(tǒng)三類信息安全事件
SIS系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置,系統(tǒng)遭受網(wǎng)絡(luò)攻擊、病毒感染造成的信息安全事件可分為以下三大類: 系統(tǒng)網(wǎng)絡(luò)故障、工程師站/操作員站故障、DPU控制器 組態(tài)邏輯破壞,具體如表2所示。
調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置,系統(tǒng)遭受網(wǎng)絡(luò)攻擊、病毒感染造成的信息安全事件,具體如表3所示。
表3 調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)信息安全事件
其他可能的安全事件不在此一一舉例。
2.2 電廠工控安全事件應(yīng)急處置工作現(xiàn)狀
工控安全事件是指由于人為、軟硬件缺陷或故障、 自然災(zāi)害等原因,對工控系統(tǒng)、工控系統(tǒng)數(shù)據(jù)造成或者可能造成嚴(yán)重危害,影響正常工業(yè)生產(chǎn)的事件。近年來,工控安全事件頻發(fā),網(wǎng)絡(luò)安全事件是網(wǎng)絡(luò)安全風(fēng)險的最終結(jié)果體現(xiàn)。在新的網(wǎng)絡(luò)安全管理工作格局下,網(wǎng)絡(luò)安全事件應(yīng)急工作的重要性日益凸顯,覆蓋面日趨廣泛,業(yè)務(wù)流的成熟度和復(fù)雜度日益提高,對信息化手段的依賴程度也將進(jìn)一步增強。但是目前制約應(yīng)急處置工作實現(xiàn)全面上水平、行業(yè)領(lǐng)先的最突出問題就是信息化水平低。
電廠由于其系統(tǒng)環(huán)境的嚴(yán)苛性,在部分事件中要保證生產(chǎn)的順利進(jìn)行,無法外接設(shè)備達(dá)到處置的目的,傳統(tǒng)的應(yīng)急手段存在一定的限制。另外,網(wǎng)絡(luò)攻擊方法日益新穎,攻擊手段復(fù)雜,技術(shù)人員在操作的過程中,也會面臨“數(shù)據(jù)采集困難”、“大量數(shù)據(jù)分析困難”、“分析準(zhǔn)確度偏低”等一系列問題。
3 電廠網(wǎng)絡(luò)安全應(yīng)急處置方法
通過對電廠可能出現(xiàn)的網(wǎng)絡(luò)安全事件進(jìn)行研究,提出一種“平臺+制度+工具”的應(yīng)急處置管理執(zhí)行體系。采用引導(dǎo)式應(yīng)急管理、處理流程。通過建立應(yīng)急處置管理平臺,對電廠環(huán)境中可能發(fā)生的安全事件進(jìn)行預(yù)置,細(xì)分電廠工控安全事件應(yīng)急處置場景,設(shè)置相應(yīng)的應(yīng)急處置步驟。根據(jù)事件現(xiàn)象,在界面上根據(jù)引導(dǎo)完成事件類型的判定。并在每個步驟上提供處置反饋的錄入,從數(shù)據(jù)上實現(xiàn)應(yīng)急處置過程、數(shù)據(jù)的可追溯、可統(tǒng)計。在平臺提供的應(yīng)急處置自動化引導(dǎo)過程中,結(jié)合現(xiàn)場電廠網(wǎng)絡(luò)安全應(yīng)急處置專用工具,實現(xiàn)電廠網(wǎng)絡(luò)安全事件應(yīng)急處置取證、分析工作。在現(xiàn)場電廠網(wǎng)絡(luò)安全應(yīng)急處置工具中,提供適應(yīng)電廠操作站主機環(huán)境的專用取證工具與分析工具。實現(xiàn)主機操作系統(tǒng)日志的自動提取,實現(xiàn)中間件日志文件的獲取。在信息提取的同時,對取證數(shù)據(jù)進(jìn)行哈希登記,以備取證數(shù)據(jù)的完整性檢查。特別地可以通過操作系統(tǒng)內(nèi)存、硬盤的鏡像Dump,實現(xiàn)對主機操作系統(tǒng)實時運行進(jìn)程狀態(tài)的提取。在分析方面,結(jié)合所獲取的日志、所發(fā)現(xiàn)的惡意代碼等取證數(shù)據(jù),通過內(nèi)置的安全事件分析模型實現(xiàn)了安全事件的自動分析。
電力工控系統(tǒng)應(yīng)急處置向?qū)В侯A(yù)設(shè)置電力工控系統(tǒng)重要節(jié)點可能發(fā)生的安全事件及其相應(yīng)的應(yīng)急處置步驟方法。提示應(yīng)急處置人員操作步驟及操作方法,及時恢復(fù)生產(chǎn)。
現(xiàn)場取證工具:現(xiàn)場處置工具之一,為應(yīng)急處置實施單位現(xiàn)場調(diào)查取證用工具,收集信息包括人員訪談、證據(jù)固定、痕跡提取、系統(tǒng)采樣、安全檢查等功能。事件管理分析工具:現(xiàn)場處置工具之一,根據(jù)應(yīng)急預(yù)案指導(dǎo)處置人員現(xiàn)場按步驟實施,并對現(xiàn)場取證工具提取到的信息進(jìn)行整理分析的專用工具,功能包括樣本分析、痕跡分析、溯源分析。
3.1 現(xiàn)場取證
取證是為了盡可能多地獲取現(xiàn)場相關(guān)數(shù)據(jù)信息,涉及工作站、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、控制設(shè)備等工業(yè)控制系統(tǒng)現(xiàn)場相關(guān)設(shè)備。所有的取證數(shù)據(jù)均以哈希碼進(jìn)行登記,在最后的完整性、可靠性校驗時提供必要的比對數(shù)據(jù)。
現(xiàn)場取證通過對應(yīng)的數(shù)據(jù)取證、采樣軟件自動完成文件數(shù)據(jù)提取工作。取證功能包括人員訪談、證據(jù)固定、痕跡提取、系統(tǒng)采樣、安全檢查等,如圖1所示。
圖1 現(xiàn)場取證要點
證據(jù)固定功能包括:磁盤證據(jù)固定、內(nèi)存證 據(jù)固定;
痕跡提取功能包括:系統(tǒng)日志提取、中間件日志提取、數(shù)據(jù)庫日志提取、組態(tài)工作日志提取;
系統(tǒng)采樣功能包括:登錄記錄采樣、文件使用記錄采樣、網(wǎng)絡(luò)連接狀態(tài)采樣、啟動項采樣、工控流量采樣等;
安全檢查功能包括:病毒木馬檢測、漏洞檢測、安全配置檢測等。
3.2 事件分析
對現(xiàn)場取證工具獲取的日志信息、系統(tǒng)采樣信息、后門信息、現(xiàn)場訪談數(shù)據(jù)等進(jìn)行匯總,同時與應(yīng)急處置管理平臺聯(lián)動,獲取事件相匹配的應(yīng)急處置經(jīng)驗?zāi)P汀T谶M(jìn)行數(shù)據(jù)整合關(guān)聯(lián)分析的過程中,提出采用“回旋分析法”分析安全事件過程,并串聯(lián)關(guān)鍵事件,達(dá)到安全事件分析的目的。在本地分析算法與平臺應(yīng)急處置經(jīng)驗?zāi)P偷淖饔孟峦瓿蓸颖痉治觥⒑圹E分析、溯源分析,最終形成包含攻擊源、攻擊手法、攻擊路徑、攻擊過程在內(nèi)的應(yīng)急處置事件分析結(jié)果,如圖2所示。
圖2 回旋分析法
應(yīng)急處置實施人員,在得到事件分析結(jié)果后上報上級部門,由上級部門確認(rèn)應(yīng)急處置結(jié)果。同時分析結(jié)果通過接口上傳至應(yīng)急處置管理平臺。
3.3 技術(shù)要點
(1)電力工控系統(tǒng)病毒木馬檢查、電力監(jiān)控系統(tǒng)流量異常分析與應(yīng)急處置結(jié)合
將電力工控系統(tǒng)病毒木馬檢查、電力監(jiān)控系統(tǒng)流量異常分析與應(yīng)急處置結(jié)合。取證工具除支持常見的木馬病毒外,該模塊的病毒檢測引擎支持檢測震網(wǎng)病毒、 火焰病毒等工控病毒及其變種。將電力監(jiān)控系統(tǒng)流量分析終端以旁路部署的方式接入生產(chǎn)控制層中的核心交換機,采用流量鏡像、高效網(wǎng)絡(luò)包重組、流重組、協(xié)議解析、會話內(nèi)容識別的方法進(jìn)行分析,在完全不影響現(xiàn)有系統(tǒng)的生產(chǎn)運行的前提下,發(fā)現(xiàn)異常設(shè)備和運行情況。在協(xié)議識別上,使用已建立的三維規(guī)則協(xié)議特征信息鏈表進(jìn)行檢測,識別電力監(jiān)控系統(tǒng)工業(yè)控制協(xié)議。通過對原始數(shù)據(jù)的建模分析,深入挖掘異常信息。結(jié)合“回旋分析法”,從而有效發(fā)現(xiàn)和界定異常設(shè)備及風(fēng)險操作, 進(jìn)而開展有效的應(yīng)急處置工作。
將所發(fā)現(xiàn)的病毒、木馬結(jié)合流量威脅發(fā)現(xiàn)結(jié)果進(jìn)行了綜合分析。結(jié)合流量分析結(jié)果威脅的五元組信息,和本地數(shù)據(jù)取證時所獲取的端口、進(jìn)程信息,標(biāo)記風(fēng)險進(jìn)程同時進(jìn)行進(jìn)程文件反查定位惡意文件。
(2)設(shè)備可恢復(fù)性設(shè)計
考慮到在應(yīng)急響應(yīng)處置過程中可能出現(xiàn)的惡意軟件,以及應(yīng)急處置設(shè)備的使用場景,為避免惡意軟件在下次使用時感染其他電力工控系統(tǒng)設(shè)備,對應(yīng)急處置設(shè)備進(jìn)行可恢復(fù)性設(shè)計。將設(shè)備磁盤進(jìn)行分區(qū),設(shè)為數(shù)據(jù)區(qū)與恢復(fù)區(qū)。數(shù)據(jù)區(qū)為設(shè)備工作應(yīng)用,恢復(fù)區(qū)為初始備份且不可更改。在應(yīng)急處置設(shè)備完成一次應(yīng)急處置工作后,通過恢復(fù)區(qū)對數(shù)據(jù)區(qū)內(nèi)容進(jìn)行替換,保障數(shù)據(jù)區(qū)安全性,從而達(dá)到保障設(shè)備高安全性的目的。
4 結(jié)語
綜上所述,針對電廠工控系統(tǒng)中的安全事件,結(jié)合電廠工控系統(tǒng)特點,建立一套有效的“平臺+制度+工具”的應(yīng)急處置體系。以取證、分析、管理等手段,實現(xiàn)電廠工控網(wǎng)絡(luò)安全事件的應(yīng)急處置過程的管理與操作指引,達(dá)到應(yīng)急處置工作的實際落地目的。針對電力工控系統(tǒng)環(huán)境中實行應(yīng)急處置的自動化程度低、操作難度大、可靠性不足等問題,使用本文所述方法可以得到很好解決。
作者簡介:
孟瑜煒(1983-),男,浙江紹興人,工程師,博士,現(xiàn)就職于浙江浙能技術(shù)研究院,研究方向是計算機科學(xué)與技術(shù)。
謝增孝(1971-),男,浙江天臺人,工程師,學(xué)士,現(xiàn)就職于浙江浙能中煤舟山煤電有限責(zé)任公司,主要從事火力發(fā)電廠設(shè)備管理工作。
劉軒驛(1992-),男,浙江衢州人,工程師,碩士,現(xiàn)就職于浙江浙能技術(shù)研究院,研究方向是信息安全及計算機應(yīng)用。
俞榮棟(1981-),男,浙江杭州人,高級工程師,博士,現(xiàn)就職于浙江浙能技術(shù)研究院,研究方向是計算機科學(xué)與技術(shù)。
朱繼峰(1976-),男,浙江寧波人,高級工程師,碩士,現(xiàn)就職于浙江浙能中煤舟山煤電有限責(zé)任公司,研究方向是自動化。
張信情(1973-),女,浙江寧波人,工程師,現(xiàn)就職于浙江浙能中煤舟山煤電有限責(zé)任公司,研究方向是信息管理及網(wǎng)絡(luò)安全。
吳林峰(1988-),男,浙江樂清人,工程師,碩士,現(xiàn)就職于浙江浙能技術(shù)研究院,研究方向是工業(yè)信息化
參考文獻(xiàn):
[1] 國家能源局.電力監(jiān)控系統(tǒng)安全防護(hù)專項監(jiān)管報告發(fā)布[EB/OL].http://www.nea.gov.cn/2017-05/03/c_136253418.htm,2017-05-03.
[2] 王功聰,王景中,王寶成.基于數(shù)據(jù)包內(nèi)容的網(wǎng)絡(luò)異常行為分析方法研究[J].信息網(wǎng)絡(luò)安全,2013,13(12):58–61.
[3] 中央信息網(wǎng)絡(luò)和信息化領(lǐng)導(dǎo)小組辦公室.中央網(wǎng)信辦關(guān)于印發(fā)《國家網(wǎng)絡(luò)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的通知[EB/OL].http://www.cac.gov.cn/2017-06/27/c_1121220113.htm,2017-6-27.
[4] 湯奕,王琦,倪明,等.電力信息物理融合系統(tǒng)中的網(wǎng)絡(luò)攻擊分析[J].電力系統(tǒng)自動化,2016,40(6):148-151.
摘自《自動化博覽》2020年8月刊
北京市公安局海淀分局備案號:11010802023656號