一、行业政策动态
1.能源局要求
(1) 电监会5号令
2004年12月24日电监会颁布电监会5号令。5号令强调为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和国家有关规定,制定电监会5号令。
电监会5号令主要强调,电力二次系统安全防护的安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。所有电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等应当符合电监会5号令的要求。
电监会5号在具体执行层面的主要依据是2003年全国电力二次系统安全防护专家组和工作组编制的电力二次系统安全防护方案。电力二次系统安全防护方案中电网防护主要在电力调度系统的主站系统内的安全分区之间有效的安全隔离、区域边界的安全防护以及与厂站通信的加密处理等。
电力二次系统安全建设的示意图如下图所示:
(2) 电力等保要求
电监会于2007年发布关于开展电力行业管理信息安全等级保护定级工作的通知,要求在电力企业中开展等级保护,要求按照电力行业定义的不同等级的系统进行定级工作。针对电网工控系统的定级指导如下表所示:
从国家电网和南网电网对二次系统定级执行情况看,国家电网各个网省公司对于二次系统定级的执行情况较好。在执行相关的等保定级和测评方面,由国调发文指导相关的等保定级和测评,并且对于相关业务系统在等保定级和整改方面制定了相关的时间点。因为国家电网的总部要求在各个网省执行力很强,大部分的网省已经完成了相关业务系统的定级和整改,并且按照相关的要求进行周期性测评,如三级系统每年进行一次测评。
南网电网在等保建设上要相对滞后于国家电网,南网总部对各个网省公司在影响力上不及国家电网。但是作为整个电力系统一个比较重要的安全建设方向,且南网电网规模较小,只涉及5个省的建设,所以,尽管在整体进度上不如国家电网,但所涉及5个网省的各个省调度中心都已经完成了等保测评和建设,只是部分地市电力公司还存在一定的建设的缺口。
(3) 生产控制信息系统类的总体技术与管理要求
依据等级保护的基本要求结合电力行业的特点,主要是在融合电力二次系统安全防护的要求的基础上,提出了针对电力行业生产控制信息系统类系统安全的总体技术及管理要求,详见如下表格。
(4) 能源局驻点安全检查
为进一步加强电力企业网络与信息安全监督管理工作,提高电力企业重要信息系统(尤其是生产控制大区信息系统)抵御恶意信息攻击的能力,根据《国家能源局 关于近期重点专项监管工作的通知》(国能监管[2013]432号)要求,国家能源局2014年组织对XX省电力企业网络与信息安全工作开展了专项驻点监管。根据驻点监管情况,编制形成《电力企业网络与信息安全驻点XX监管报告》。根据实地调查摸清了XX电力企业的分布情况,也发现了电力企业存在的一些突出问题,主要集中在:
管理不足:部分电力企业网络与信息安全工作多头管理,职能交叉,缺乏统一领导和沟通协调;信息安全工作人员配备不足,甚至身兼数职,不利于信息安全工作的落实。部分电力企业对网络与信息安全的应急处置工作重视不足,应急预案针对性、可操作性不足,应急演练形式大于内容,起不到发现问题、解决问题的作用。部分电力企业对信息安全等级保护工作重视不够,定级、备案、测评、整改等环节的各项要求落实不严。
技术不足:部分企业生产环境与企业信息网之间缺乏有效的安全隔离。部分企业电力二次系统安全防护设备运行维护不及时、安全配置不完整。
针对存在的问题,能源局提出了如下的监管意见:
1) 强化组织保障体系建设。各电力企业要梳理网络与信息安全管理涉及的部门、岗位和人员,进一步明确各相关部门,特别是牵头管理部门的权利、责任和义务,明确部门间工作协调机制,各部门要设立信息安全管理专职岗位,责任到人,强化信息安全组织保障体系。
2) 建立健全常态化工作机制。各电力企业要深刻认识到电力信息安全与电力生产安全同等重要。要根据国家和行业监管部门有关要求,落实专项资金、制定工作计划,定期对电力二次系统开展安全评估、等级保护测评,形成常态化工作机制。对评估、测评中发现的问题,要安排资金,及时整改,消除安全隐患。
3) 统筹做好电力工控PLC设备安全整改工作。各电力企业要按照《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》 (国能综安全[2013]387号)的有关要求,根据实际情况,统筹安排,采取召回、固件升级、老旧设备更新等方式分批分期开展电力工控PLC设备的整改加固工作。新建系统中要选用安全、可靠、可控的PLC等工控设备。
4) 强化信息安全人才队伍建设。各电力企业要面向公司领导、相关部门主要负责人和企业员工,定期组织开展信息安全政策宣贯培训,提高领导层的认识,提高员工信息安全防范意识。同时要制定培训计划,派送技术人员参加行业和其它专业机构举办的信息安全培训,提高信息安全从业人员的专业技术水平。
5) 加大科技支撑力度。各电力企业要进一步加大科技投入,针对电力行业重要信息系统(尤其是生产监控系统)的实际特点及技术发展情况,充分发挥科研院所、高等院校的科研创新能力,深入开展基于可信计算的系统安全免疫、电力工控设备信息安全漏洞的监测/检测、信息系统安全审计等内容研究,切实保证电力企业重要信息系统的安全可靠运行。
2.国调中心要求
(1) 695号文
国家电网调度中心在2011年发695号文,要求各个网省公司开展电力二次系统安全等保的定级备案和开展电力等保建设的工作。并且把等保的定级和建设作为电网安全建设中一个重点,并且提出等保建设要与电力二次系统安全防护相结合.。
(2) 168号文
伴随着智能电网的在国内的建设和发展,配电网的自动化建设也迎来了一个建设的高峰。配电是整个电网生产系统中距离用户最新的业务环境。对于配电的安全性来说,任意可接入配电网的主机下发的控制指令只要是和配电指令要求一致,相关的配电终端就会按照指令的要求执行,如开关旁路、断路器旁路等,就会引起部分区域的断电,对于实际环境来说危害较大。为了有效解决配电终端对主站发送的指令无认证执行的问题,国家电网调度中心发布了168号文,在主站与配电终端之间通信时,需要用基于证书的方式对主站下达的指令经过认证后才可以执行。168号文要求,各个地调中心对新上线的配电终端要采用支持认证的配电终端,主站前置机要加装相关的模块或者加入相关的加密认证装置,对于受条件限制的配电终端,要实现逐步替换,在2015年前完成所有配电终端的整改。
(3) 常态化的安全检查
电网是整个国家能源供给的核心,电网的安全关乎整个国家的安全。对于电网的安全重视一直以来都是能源行业中的重点。能源局每年都会委托电力信息安全测评实验室对国调和各个省公司的调度中心进行安全检查,已经形成了常态化,尤其是重大节日的保电检查。检查中会参照电力二次防护的要求从技术和管理两个方面对调度中心三个区域的不同业务的安全性进行检查,如发现重大信息安全隐患,会要求相关业务单位进行安全整改,对于问题严重要要在电网范围内进行通报。
二、行业工控系统的安全现状及问题
1.安全现状
(1) 二次防护构建
电力调度中心主要由EMS(能量管理系统)、WAMS(广域监测系统)、安全自动控制系统、保护设置工作站等组成的一个实时性的生产系统和DTS(调度员培训系统)、电量管理系统和继保及故障录波等非实时性生产系统,以及雷电监测系统、气象信息、日报/早报等生产管理系统等系统组成。其中实时系统主要提供基于毫秒级的实时业务处理能力,主要通过SCADA系统的下位机对采集的各个一次设备的状态值包括厂站开关、刀闸的状态值、潮流的实时信息、电能量相关状态等实时数据信息,结合这些实时信息对电力系统进行经济、安全评估,并给出调度决策的建议,提高调度的水平,降低调度员的工作状态等功能。非实时系统主要完成调度管理员的模拟操作培训;实现电能量信息、瞬时量信息的采集、存储、上传、发布和维护;实现故障的记录和继电保护的功能。生产管理系统主要实现调度生产区的信息发布和其他支撑调度系统的相关数据支撑的作用,是调度生产相关的业务的集中区域。
根据电网二次防护的要求,根据对业务的实时性和重要性的要求分为三个区,分别对应着实时业务控制区、非实时业务控制区和生产管理区。
根据电网二次防护的要求,根据对业务的实时性和重要性的要求分为三个区,分别对应着实时业务控制区、非实时业务控制区和生产管理区。一区和二区同属于生产控制大区,一、二区之间通过防火墙进行逻辑隔离,在纵向区域和横向区域之间部署入侵检测来检测潜在的入侵行为。在二区和三区之间、一区和三区之间使用正向和反向隔离装置实现数据的定向传输。在三区信息大区与信息外网之间也要使用单项隔离装置实现数据的传输。为了有效加强对内部相关日志的管理,要求日志审计和管理机制。在调度中心与变电站和电厂之间,通过纵向加密认证装置现实通信的安全性。为了有效管理电网的安全,建立了国调、网调、省调、地调4级人员安全管理,并建立了安全专责负责制,由安全专责对相关的电力二次系统的安全防护的运维负责,依据电力二次防护方案的要求对电网安全的建设提供合理的安全规划建议。
电网的整体安全建设依据分区、分域、边界防护、责任到人的方式来进行相关的安全建设和管理,更多的是强调在边界处对威胁的抵御能力。
(2) 自主可控建设
电网因其所处的行业的重要性,自主可控在电网中提出的比较早,并且也是国内比较早开始实践的行业。在2000年之前电网中从调度中心到变电站普遍都在采用国外的控制设备软件系统。在变电站和调度中心陆续出现了由于国外运维人员所导致的安全事故后,对于自主可控的建设提上了整个电网的议题中,尤其是国家电网,已经陆续在新建和改造的变电站中大量采用了国产设备,从测控装置到继保装置到合并单元,涵盖了整个变电站控制设备的绝对部分。工程师站和操作员站的应用软件都已经国产化,部分新建站的操作系统都已经开始在应用国产的linux系统。
在调度中心除了依据电力二次安全防护进行防护外,经过几年的国产化改造调度系统的主要业务系统都已经实现了国产化,相关的支撑平台,如操作系统、数据库、中间件都已经实现了国产化。并且基于可信计算的思路,建立了一套安全调度系统平台(D5000平台),通过D5000平台把原先分散的控制系统通过总线集成的方式放入一个系统中,在系统中建立了完善的人员身份认证和权限管理的机制。系统之间不同模块之间的通信需要基于可信通信的方式进行通信,通信的过程要进行严格的审计记录,为了对整个系统的安全和厂站安全进行有效的监控,D5000平台中集成了内网监视模块,来对系统内各个业务系统的安全状况进行监控。
整体思路是以自主可控的产品来构建控制系统内部的安全,并结合二次系统防护对边界的要求,从整体上构建电网控制系统的安全。
2.面临的问题与挑战
尽管电网已经从边界防护、管理和自主可控方面下大力气进行相关的安全建设。但是,智能电网的发展使更多的互联互通成为可能,未来开放用电侧的接入配电与用电的接口互通等所带来的外部暴露面的扩大,都将为电网的安全运营带来隐患。另一方面,新型攻击如APT攻击等所带来的冲击已经对电网的安全构成了足够的威胁。
三、行业安全建设的需求分析
1.APT检测与防护需求
伴随着APT攻击给国外工控所带来的巨大影响。而且从调度系统本质上来说,是一个内部全互连,外部有限互连的系统,尽管有相关的隔离装置,但仍然存在着对外交互数据和信息的流入和流出。而且外部的组织从来没有停止试图对调度系统的渗透,尤其是在APT攻击盛行的现在。调度中心已经开始着手对APT攻击的检测和防御的预研,但是现阶段缺乏相关成熟的针对调度系统的成熟方案和产品,整体进度比较慢。但是,从实际需求的角度考虑,是刚性的,是未来一段时间内调度系统在安全建设方面的一个新的着力点。
2.工控运维堡垒机
在变电站的运维过程中普遍缺乏有力的监管技术手段,虽然从制度上进行了对运维人员的行为进行约束,但是从实际效果看,一方面在缺乏技术手段的情况下,执行的效果有限;另一方面运维人员自身安全意识不强,也导致了相关运维中把风险引入到系统中。此部分需求是潜在的安全需求,因为实际用户在运维过程中遇到的安全事件很难定性为信息安全事件,造成现实中信息安全需求的刚性不足。
3.被动式漏洞扫描
鉴于调度系统的主站和厂站的重要地位。从能源到调度中心已经明确提出,禁止在线扫描相关控制系统。而对于工控组件的安全漏洞从能源局到调度中心都是非常关注的,都希望有被动式的扫描产品可以部署在客户现场来对各个系统的漏洞进行在线检测,可以对配置发生变更时,及时进行预警。
4.评估加固服务
调度系统每年都有相关的评估和加固的需求,在执行过程中,基本是由电力信息安全测评结构所承揽,缺乏有效的检测工具和人力等问题,评估和加固的效果有限,并没有很好的满足其安全需求。虽然因为体制的问题,现阶段从风险规避的角度来讲,由相关的测评机构承揽风险最小,但调度中心更希望由独立第三方受测评机构委托的形式,进行相关的安全评估和加固。
四、工控安全发展的制约因素
1.业务的重要性
电网是关乎国计民生的重要国家基础设施,而电网调度中心是电网业务的核心承载组件。因为电网的重要程度,电网是国内最早开始工控安全防护和建设的企业,依托于电力系统二次安全防护的要求,电网构建起了一套边界防御的铜墙铁壁。也因为电网的重要,电网在推动工控安全新的思路和方向时,相对比较保守,在满足合规性要求的情况下,新的工控思路在不完全成熟的情况下,电网一般不会主动引入新的防护思路。
2.网络隔离
调度系统本身是一个内部全互连外部有限连接的网络,通过有效的安装隔离装置实现了与外部资源之间有限的信息传送。在有限外部通信被控制在小范围可控的情况下,电网短期内是不容易接受新的防护思路。
3.成熟产品的需求
在电网中运行了多年的隔离装置和加密认证装置已经在电网中得到普遍认可。而实际从国内工控安全厂商提供的工控安全产品看,缺乏有说服力的、真正符合电网在工控安全方面要求的产品,造成了一些新的防护思路在电网中比较难进行大范围的推广。(内容摘自:2014绿盟科技工控系统安全态势报告)