一、行业政策动态
1.能源局
(1) PLC安全整改
2010年爆发的伊朗布什尔核电站震网病毒事件,对于整个工业企业控制系统的安全敲响了警钟。2013年国家能源局以国能综安全[2013]387号文发出通知,决定对经检验存在信息安全风险的电力工控PLC设备开展隐患排查及漏洞整改工作。整改的范围主要是:发电厂计算机监控系统、辅助设备控制系统等电力工控系统中所使用的PLC设备。整改的主要内容:隐患排查:要对本企业发电厂计算机监控系统、辅助设备控制系统等电力工控系统中所使用的PLC设备进行细致排査和梳理,并填写本单位《电力工控PLC设备生产厂商及型号统计表》,报送能源局电力电力安全监管司。漏洞整改各有关单位要根据企业实际,结合厂站设备检修等工作计划,在确保发电厂安全稳定运行的前提下,积极稳妥地做好对存在信息安全漏洞的电力工控PLC设备的整改工作。对于目前经检测存在信息安全漏洞的施耐德电气PLC,各有关单位应按要求开展漏洞整改工作。其中总装机容量100万千瓦以上的水电厂应于2013年12月30日前完成整改工作,由省级以上调度机构统一调度的其他电厂应于2014年12月30日前完成整改工作。
(2) 电力企业网络与信息安全驻点
为进一步加强电力企业网络与信息安全监督管理工作,提高电力企业重要信息系统(尤其是生产控制大区信息系统)抵御恶意信息攻击的能力,根据《国家能源局 关于近期重点专项监管工作的通知》(国能监管〔2013〕432号)要求,国家能源局2014年组织对辽宁省电力企业网络与信息安全工作开展了专项驻点监管。根据驻点监管情况,编制形成《电力企业网络与信息安全驻点辽宁监管报告》。根据实地调查摸清了辽宁电力企业的分布情况,也发现了电力企业存在的一些突出的问题,主要集中在:
管理不足:部分电力企业网络与信息安全工作多头管理,职能交叉,缺乏统一领导和沟通协调;信息安全工作人员配备不足,甚至身兼数职,不利于信息安全工作的落实。部分电力企业对网络与信息安全的应急处置工作重视不足,应急预案针对性、可操作性不足,应急演练形式大于内容,起不到发现问题、解决问题的作用。部分电力企业对信息安全等级保护工作重视不够,定级、备案、测评、整改等环节的各项要求落实不严。
技术不足:部分企业生产环境与企业信息网之间缺乏有效的安全隔离;部分企业电力二次系统安全防护设备运行维护不及时、安全配置不完整。
针对存在的问题,能源局提出了如下的监管意见:
1)强化组织保障体系建设。各电力企业要梳理网络与信息安全管理涉及的部门、岗位和人员,进一步明确各相关部门,特别是牵头管理部门的权利、责任和义务,明确部门间的工作协调机制,各部门要设立信息安全管理专职岗位,责任到人,强化信息安全组织保障体系。
2)建立健全常态化工作机制。各电力企业要深刻认识到电力信息安全与电力生产安全同等重要。要根据国家和行业监管部门有关要求,落实专项资金、制定工作计划,定期对电力二次系统开展安全评估、等级保护测评,形成常态化工作机制。对评估、测评中发现的问题,要安排资金,及时整改,消除安全隐患。
3)统筹做好电力工控PLC设备安全整改工作。各电力企业要按照《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》(国能综安全〔2013〕387号)的有关要求,根据实际情况,统筹安排,采取召回、固件升级、老旧设备更新等方式分批分期开展电力工控PLC设备的整改加固工作。新建系统中要选用安全、可靠、可控的PLC等工控设备。
4)强化信息安全人才队伍建设。各电力企业要面向公司领导、相关部门主要负责人和企业员工,定期组织开展信息安全政策宣贯培训,提高领导层的认识,提高员工信息安全防范意识。同时要制定培训计划,派送技术人员参加行业和其它专业机构举办的信息安全培训,提高信息安全从业人员的专业技术水平。
5)加大科技支撑力度。各电力企业要进一步加大科技投入,针对电力行业重要信息系统(尤其是生产监控系统)的实际特点及技术发展情况,充分发挥科研院所、高等院校的科研创新能力,深入开展基于可信计算的系统安全免疫、电力工控设备信息安全漏洞的监测/检测、信息系统安全审计等内容研究,切实保证电力企业重要信息系统的安全可靠运行。
2.工信部
在2011年工信部发布了《关于加强工业控制系统信息安全管理的通知》(451号文),451号文从连接管理要求、组网管理要求、配置管理要求、设备选择和升级管理要求、数据管理要求和应急管理要求6个方面要求工业企业加强对于工业控制系统安全的管理。基于451号文件,工信部形成了一套针对工业企业工业控制系统的安全检查规范,因为工信部不是电力企业的主要监管单位,从2012年开始基于检查规范在一些发电集团的个别电厂进行了试点性的安全检查试用,并未在发电行业中进行大规模的推广。
3.发电集团内部
从国家出台的针对工控安全的政策开始,各个发电集团已经开始考虑如何来有效的开展工控安全的建设。受能源局委托华能在2012年和2013年陆续对一些电厂的控制设备进行了漏洞整改,从整改的过程中也积累了大量的工控系统安全建设的经验。利用已有的工控安全建设的经验,通过与现有的工控安全技术进行有效结合,来加强在工控安全方面的建设,现阶段是华能和各个发电集团在未来工控安全建设方面的一个重要的方向。
各个发电集团在日常的安全考核中,已经把工控安全列入到日常的安全考核项目中。一些发电集团已经开始着手针对工控安全从整个集团的角度来考虑如何构建起一套行之有效的管控措施。一些省级电力公司已经开始在一些电厂尝试引入一些新的方法和思路来构建工业控制系统安全,如在SIS系统的边界处,通过监听等方式结合数据分析平台,制定相关的工控系统安全考核基线,形成一整套针对工控系统的安全预警机制。
二、行业工控系统的安全现状及问题
1.电厂工控系统简介
整个电力系统是由发电、输电、变电、配电、用电和调度组成。其中发电企业是整个电力系统中起始环节,是整个能源闭环系统中最主要的生产环节。我国发电企业通常情况下,主要的发电形式为火力发电、水利发电和核能发电。其中火力发电占据整个发电企业发电量的比重最高。整个发电控制系统多是以DCS系统为核心辅以PLC作为辅机控制,形成对发电机组的任务下达和停机等控制,同时通过DCS与PLC反馈的数据了解机组整体运行状况。通过仪器仪表安全系统,如继电保护、故障录波等实现对机制安全运行的监控。
下图是一个火电厂控制系统的示例图,发电控制系统主要是由控制中心(操作员站和工程师站组成)、DPU、继电保护、故障录波、AGC和AVC等组成,其中DCS对主发电机组的运行进行监控,PLC作为辅机系统主要控制组件,辅机系统主要完成如除尘、脱硫等工作。电网的调度主站监控发电机组对电网下达的生产任务的执行情况,为了便于电厂发电与电网的有效阶段,通过部署在电网与电厂之间的关口电表实现对电量信息的统计和核算。
2.现有的安全措施
(1) 电力二次系统安全防护
根据电监会5号令的要求,发电集团从2005年就开始了针对电力二次系统安全防护的建设。依据电力二次系统安全防护的要求,主要是要建立发电厂二次系统的安全区,实现在不同安全区域之间的横向安全隔离以及与调度中心通信的纵向加密认证。下图为发电厂二次系统安全区域示意图(以火电厂为例)。
因为电监会5号令是专门针对电力二次系统安全防护的指导性文件,并且电监会(现电监会职能已经并入能源局)是定期对相关发电企业进行安全检查,对于严重违背电监会5号令精神的企业要求限期整改,并从调度侧严格规范发电企业执行电监会5号令,如果出现限期整改仍然无法达标的企业,要限制上网,所以,从发电企业自身的业务需求出发,发电企业对二次系统安全防护很重要,并且都按照5号令的要求来执行。整体上看,从边界要求方面发电企业已经建立相对完善的防护体系。
(1) 电力等保要求
电监会于2007年发布关于开展电力行业管理信息安全等级保护定级工作的通知,要求在电力企业中开展等级保护,要求按照电力行业定义的不同等级的系统进行定级工作。定级指导如下表所示:
从发电企业实际的情况看,大部分的重点电厂已经完成了等保定级和相关的安全建设,就整个发电企业现状看,对于等保的执行在各地区之间在信息化建设水平的不同,专项资金支持方面存在一定的差异,导致最终在建设方面各地方参差不齐。
3.安全措施的不足
(1) 技术方面面临的问题
发电企业对于电力二次系统的安全防护要求的执行,普遍集中在专用装置的部署上,在边界的入侵检测等技术手段上普遍存在不足。
对于发生的安全事件,往往缺乏相关的审计手段,无法在事件发生后对事件进行及时定位;往往在事件发生后,无法找到根本原因,最终无法对事件进行定性分析。
操作员和工程师站的权限没有相关的管理,普遍存在弱口令等配置脆弱性等问题。对于外部的介质连接等尽管已经从管理角度制定的相关要求,但因缺乏相关的安全技术手段,无法进行有效监控,造成对介质传递的信息无法管理,造成很多的恶意软件直接进入系统中,对系统产生影响。
缺乏统一的安全管理中心,所有的安全都是单点的,无法针对已检测到相关潜在安全威胁进行深度分析和定位。
缺乏真正意义上的安全域的划分,控制系统内不同区域之间的安全防御没有建立起来,造成某一子系统一旦遭受到攻击很快就会扩散到整个系统中。
相关设备通信缺乏有效的安全认证机制。
(2) 管理方面面临的问题
在生产环境中负责安全的人往往是兼职的,并且对安全的关注度不高,在遇到安全事件时,无法进行有效的定位和及时有效的处理。
在控制系统中缺乏有效的信息安全应急响应预案。
生产环境中人员信息安全意识淡薄。
人员身份与相应的权限没有建立相应的映射关系,只是基于控制系统进行权限划分,没有定位到具体人和设备。
安全管理制度中对于信息安全相关的制度和章程基本没有,人员入岗没有进行相关的安全培训。
电厂一般都24小时不停机状态下运行,人员的轮班一般是有相关的管理制度的,但是在相关人员的权限交接和控制方面普遍没有基于信息安全考虑,人员管理上存在一定的漏洞。
三、行业安全建设需求分析
1.服务
从服务的角度,发电企业在工控安全主要存在着安全体系规划、安全评估和应急响应体系建设和标准制定四个方面的安全需求。
(1)安全体系规划
部分发电企业在制定安全规划中,已经把生产系统的安全列入到了整体安全保障的框架范围内,并且作为一个建设的重点方向。在建设的目标上,希望能够基于电力二次系统防护的要求,结合发电企业自身安全发展的需求,建立起一套能够保障发电生产安全的防护系统。
(2)安全评估
能源局、工信部门、公安部门定期会对发电企业进行安全检查,对于发现的问题,也希望电力企业能够在限定的时间进行整改。为了解发电企业自身安全的状况和加强防护能力,满足相关部门安全检查的考评指标;发电企业希望能够定期对自身的工控系统进行安全检查,但是前提是希望参与安全检查评估的企业能够拿出一套行之有效的评估方案,确实可以落实到系统的生产环境需求中来。
(3)应急响应体系
随着工控安全在发电企业中重视的提升,发电企业也意识到自身在应急响应方面存在较大的不足,也希望能够建立一套有效的应急响应体系。
(4)标准制定
发电企业在推进工控安全方面面临的一个比较大的问题是,缺乏相关可操作的指导性文件,一些发电企业已经意识到在标准制定方面的缺失,开始了研究相关标准的制定工作。需求主要集中在从上线前的安全验收标准到上线后的安全运维标准方面。
2.产品
从产品角度看,发电企业在工控安全产品需求方面主要存在如下产品的需求:
传统安全产品需求:
IDS:满足电力等保和电力二次防护方案要求
加密认证装置:满足电力等保和电力二次防护方案要求
隔离装置:满足电力等保和电力二次防护方案要求
防火墙:满足电力等保和电力二次防护方案要求
日志分析平台:满足电力等保和电力二次防护方案要求
新型安全需求:
工控审计:基于业务行为的审计系统含异常行为审计
工控终端安全产品:操作员站、工程师站防护产品,尤其是进程白名单产品
工控统一管理平台:基于业务和安全的统一分析展示平台
工控防火墙:可部署在工控现场的访问控制设备要求到操作指令级
无线审计:可以基于工业无线的现场环境进行审计
四、工控安全发展的制约因素
1.国家政策层面
一方面,工控安全是在国外发生严重工控安全事件如震网事件后而引起关注的,但是我们整体上在工控安全方面的研究起步较晚,相关行业配套设施还不足;另一方面,工控安全是一个交叉学科的领域,相关领域内的企业和人才都比较缺乏,无法形成规模化的安全建设队伍;再者,工业领域中出现的事故是直接带来经济损失和人员伤亡的,在现阶段由于工业安全事件所导致的生产问题还没有完全显现的情况下,通过新技术对运行了数年的工业生产环境进行安全改造,新技术的引入是否会影响到工业生产的正常运行,都存在较大的不确定性。
从国家已出台的工控安全方面的相关政策看,更多的是引导企业在大的框架和指导下进行工作,对于企业是否按照要求进行工作,还缺乏相关的监管机制,国家也是在逐步收集信息过程中逐步会细化相关政策,整体进度上需要一个预热到成熟的过程。
2.企业人员的安全意识
电厂中的工控系统,通常是这样进行人员分布的,负责信息的人员,进行相关的信息系统的运维和与调度中心通信的远动系统的运维;负责热工的人员,进行主要的控制系统如DCS和PLC的运维;但在信息安全方面一般是没有固定的人员。对于信息安全问题,相关人员在意识上普遍不够重视。而且在应对突发的信息安全事件时,没有专人来负责,造成应急响应能力普遍缺乏。
3.缺乏安全检测机制
在电厂的工控环境中普遍缺乏相关的安全检测机制,经常无法定位相关的工控安全事件或者事后分析定位时,需要耗费大量的人力和物力,实际的结果也不一定是最终的原因。在事件难以定位以及无法正确辨别是信息安全事件的前提下,发电企业在信息安全的投入上就不会有太大的主动性,他们更加愿意把发生的相关生产问题定性为功能安全事件,而实际上信息安全事件往往是通过导致功能安全问题,最终导致生产问题。(内容摘自:2014绿盟科技工控系统安全态势报告)
