摘要:
工业控制系统是承担国家经济发展、维护社会安全稳定的重要基础设施,电力行业作为工业控制领域的重要组成部分,正面临着严峻的信息安全风险,亟需对目前的电力工业控制系统进行深入的风险分析。文章从电力终端、网络层、应用层、数据安全4个方面分别考察系统的信息安全风险,确定系统的典型威胁和漏洞,并针对性地提出了渗透验证技术和可信计算的防护方案,可有效增强工控系统抵御黑客病毒攻击时的防护能力,减少由于信息安全攻击所导致的系统破坏及设备损失。
关键词:
电力工业控制系统;信息安全;风险;防护方案
0引言
随着工业化和信息化的深度融合以及物联网的快速发展,工业控制系统(IndustrialControlSystem,ICS)获得了前所未有的飞速发展,并已成为关键基础设施的重要组成部分,广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中。调查发现,半数以上的企业没有对工控系统进行过升级和漏洞修补,部分企业的工控系统与内部管理系统、内网甚至互联网连接。此外,由于国内技术研发水平的限制,一些存在漏洞的国外工控产品依然在国内的重要装置上使用。伴随着信息化与电力工业[1-4]的深度融合,使得原本相对独立的智能电网系统越来越多地与企业管理网互联互通,电力系统的网络信息安全问题日益突出。工业控制网络[5-6]一旦出现特殊情况,后果将不堪设想,可能会对能源、交通、环境等造成直接影响,引发直接的人员伤亡和财产损失,重点行业的智能电网系统甚至关系到一个国家的经济命脉。“震网”、“棱镜门”以及乌克兰电力系统被攻击导致大范围停电等ICS安全事件,也预示了智能电网信息安全已经不再是简单的技术问题。对安全防护方案进行研究已经成为国家基础设施领域亟需解决的问题。
1国内外电力工业控制系统信息安全现状
美国很早就已在国家政策层面上关注工业控制系统信息安全问题,美国政府于近几年了一系列安全防护的战略部署,主要针对关键基础设施和工业控制系统的信息安全防护。美国国家研究理事会于2002年将控制系统攻击列入紧急关注事项,于2004年防护控制系统相关报告,2009年公布了国家基础设施保护计划,2011年了“实现能源供应系统信息安全路线图”等。除此之外,在国家层面上,美国还了两个部级专项计划,用于保护工控系统的信息安全,包括能源部的国际测试床计划和国土安全部的控制系统安全计划。我国工业控制系统信息安全相关研究仍处于起步阶段,工业控制系统还不成熟,不同行业的安全防护水平参差不齐,安全防护能力不足,潜在的安全风险相当大。电力行业作为工业控制领域信息安全防护建设的先行者,已在信息安全防护建设方面积累了大量经验:电力企业在电力监控系统安全防护体系建设过程中始终坚持自主可控的原则,研究信息隔离与交换、纵向加密认证等多项专用安全防护技术,进而形成了多项信息安全行业技术规范和标准;针对关键产品进行自主研发,并统一组织进行严格测试,保证关键系统的安全自主可控;各电力企业相继建立了信息安全相关组织体系,建成了较为完善的信息安全管理制度,包括信息安全总体安全防护策略、管理办法、信息通报和应急处置制度,涵盖了信息安全活动的主要方面;总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略,建立了多技术层面的防护体系,做到了物理、网络、终端和数据的多角度、全方面保护。
2电力工业控制系统的概念和特点
电力工业控制系统主要由数据采集及监控系统(SupervisoryControlandDataAcquisition,SCADA)、分布式控制系统(DistributedControlSystem,DCS)以及其他配置在关键基础设施上的控制系统如可编程逻辑控制器(ProgrammableLogicController,PLC)等组成,具有实时性、可靠性、分布性、系统性等特点。SCADA系统的主要功能是采集通信和遥测数据,下发遥控和调度命令,多用于输电调度、变电站及发电厂监控、电力市场运营、用电信息采集及配电自动化系统等[7-8]。电力工业控制系统涉及的电力、信息和业务高度统一。电力的传输过程包括:电厂发电、线路输电、变压器变电、用户配电及用电组成,电力通信网络己经覆盖了电力控制系统的各个环节,在控制原则上采用“安全分区、网络专用、物理隔离、纵向认证”的方式,且具有以下特点。1)系统响应速度快。电力工业控制系统与传统工业系统相比,不允许出现过大的延迟和系统震荡,响应必须准时可靠,以应付现场不同的工控情况。2)系统威胁源更多。如恐怖组织、工业间谍、恶意入侵者等,攻击者通过多种形式的网络攻击对工控系统网络进行破坏和入侵,包括后门攻击、IP碎片攻击、畸形包攻击、DoS攻击、暴力破解、通信抓包等,一旦攻破工控系统的安全防线,将会对工业通信网络和基础设施造成严重破坏。3)系统数据量大。电力工业控制系统涉及大量电力数据的采集、传输以及信息共享,包括系统的输变电参量、用电终端的用电量等,需要通过这些实时信息来确保电力调度的精确、快速。
3影响电力工业控制系统信息安全的风险分析
3.1电力终端的风险分析
与传统信息控制系统相比,电力工业控制系统的安全防护主要集中在终端生产设备及其操作过程。终端生产设备(如PLC、操作员工作站、工程师操作站等)作为电力系统最终的控制单元,直接控制生产运行,监控系统的运行数据信息。终端服务器的安全是计算机设备在操作系统及数据库系统层面的安全[9]。在电力工控系统网络中,缺乏合适的终端物理安全防护方法。地震、强风、暴雨等自然灾害是影响信息系统物理安全的重大威胁,易造成设备损毁、网络瘫痪、数据丢失等工业事故。除此之外,由于接地不良引起的静电干扰以及电磁干扰也会造成系统不稳定,同时机房安全设施自动化水平低,不能有效监控环境和信息系统工作状况。终端部署位置要谨慎考量,安排在高层时存在消防不易达、雨水渗透等安全隐患,部署在地下则易出现水蒸气结露、内涝、积水等隐患。工控系统应设置避雷装置,雷电容易引起强电流或高电压,极易击穿电子元件,使设备直接损毁或瘫痪。另一方面,电力设备的损坏、检修、改造等都可能导致外部电力供应中断,电力供应的突然中断除了会造成系统服务停止外,还有可能产生电力波动,如果控制系统不能把电力波动的范围控制在10%内,或没有部署稳压器和过电压保护设备,极有可能对系统电子设备带来严重的物理破坏。强电电缆和通信线在并行铺设时,可能会产生感应电流和干扰信号,极易导致通信线缆中传输的数据信息被破坏或无法识别。除了电磁干扰之外,还应防止设备寄生耦合干扰,设备耦合干扰会直接影响工控设备的性能,使得无法准确量测或采集当前信息。
3.2网络风险分析
建立安全的网络环境是保障系统信息安全的重要部分,因此必须对工控网络进行全面深入的风险分析。信息网络的安全稳定可以保障工控设备的安全运行,为企业提供可靠、有效的网络服务,确保数据传输的安全性、完整性和可用性。对于电力工业控制系统内的网络基础设施环境,基于业务和操作要求常有变动,且通常很少考虑潜在的环境变化可能会造成的安全影响,随着时间的推移,安全漏洞可能已经深入部分基础设施,有的漏洞可能通过后门连接到工控系统,严重威胁到工业控制系统的稳定运行[10]。由于安全设备配置不当,防火墙规则和路由器配置不当也易造成通信端风险。缺乏正确配置的防火墙可能允许不必要的网络数据传递,如在控制网和企业网之间的数据传输,可能导致对系统网络的恶意攻击和恶意软件的传播,敏感数据容易受到监听;网络设备的配置应进行存储或备份,在发生意外事故或配置更改时,可以通过程序恢复网络设备的配置来维持系统的可用性,防止数据丢失;若数据在传输过程中不进行加密或加密等级不够,极易被窃听或拦截,使得工控系统受到监视;另外,在通信过程中使用的通信协议通常很少或根本没有内置的安全功能,导致电力工控系统存在极大的安全风险。电力工控系统本身对可靠性、稳定性及兼容性的要求都很高,如果发生破坏或安全事故,造成的国民经济损失将不可估量。
3.3应用风险分析
应用层运行着工控系统的各类应用,包括网络应用以及特定的业务应用,如电子商务、电子政务等。对应用风险进行分析就是保护系统各种业务的应用程序能够安全运行。很多电力工控设备没有身份验证机制,即使有,多数也为设备厂商默认的用户名和密码,极易被猜出或破解,通常不会定期进行密码更换,风险极大。同时要防止应用系统的资源(如文件、数据库表等)被越权使用的风险。对关键部件缺乏冗余配置,导致应用程序对故障的检测能力、处理能力、恢复能力不足,缺乏对程序界面输入格式的验证以及注入攻击的验证,如SQL注入攻击等,系统面临暴露数据库的风险。
3.4数据安全风险分析
虽然电力系统内外网已进行了物理隔离,但在管理信息大区中积累了大量的电力敏感数据,如电力市场的营销数据、居民用电数据、电力企业财务报表、人力资源数据等,内部人员、运维人员或程序开发人员过多地对电力数据库进行访问,易造成这些敏感数据的泄露或被篡改。当前数据库中,不仅仅包含用电数据,居民的个人信息也都存储在内,居民的人身财产风险越来越大。电网资源、调度、运维、检修等数据容易被批量查询,进而导出敏感信息,缺少对敏感字符的过滤将带来极大的风险。这些电力数据往往缺乏定期备份,如果人为误操作或删除、更改数据,或者数据库本身发生故障、宕机、服务器硬件故障,数据易丢失。
4风险应对方案
针对电力工控系统面临的安全风险,可首先采用渗透技术模拟黑客攻击,在完成对工控系统信息收集的基础上,使用漏洞扫描技术,以检测出的漏洞为节点进行攻击,以此来验证系统的防御功能是否有效。当发现系统存在漏洞或安全风险时,应主动采取安全防护措施,使用可信计算技术以及安全监测技术抵御来自系统外部的恶意攻击,建立工控系统安全可靠的防护体系。
4.1渗透验证技术
4.1.1信息收集
1)公共信息采集首先分析网站的结构,查看源文件中隐藏的连接、注释内容、JS文件;查看系统开放的端口和服务;暴力探测敏感目录和文件,收集网站所属企业的信息,采用的手段包括查询DNS、查询Whois信息、社会工程学等。2)使用搜索引擎目前比较常用的搜索引擎为GoogleHacking,其搜索关键字符的能力非常强大,例如:①Intext字符:可用于正文检索,适用于搜索较为明确的目标,使用某个字符作为搜索条件,例如可以在Google的搜索框中输入:intext:工控,搜索结果将显示所有正文部分包含“工控”的网页;②Filetype字符:可以限定查询词出现在指定的文档中,搜索指定类型的文件,例如输入:filetype:xls.将返回所有excel文件的URL,可以方便地找到系统的文档资料;③Inurl字符:Inurl字符功能非常强大,可以直接从网站的网址挖掘信息,准确地找到需要的信息及敏感内容,例如输入:inurl:industry可以搜索所有包含industry这个关键词的网站。
4.1.2漏洞扫描
漏洞扫描是指通过手动输入指令或使用自动化工具对系统的终端通信及控制网络进行安全检测。1)使用基于主机的漏洞扫描技术对系统终端进行检测。基于主机的漏洞扫描器由管理器、控制台和组成。漏洞扫描器采用被动、非破坏性的检测手段对主机系统的内核、文件属性、系统补丁等可能出现的漏洞进行扫描。管理器直接运行在网络环境中,负责整个扫描过程;控制台安装在终端主机中,显示扫描漏洞的报告;安装在目标主机系统中,执行扫描任务。这种扫描方式扩展性强,只需增加扫描器的就可以扩大扫描的范围;利用一个集中的服务器统一对扫描任务进行控制,实现漏洞扫描管理的集中化,可以很好地用于电动汽车充电桩、自动缴费机、变电站系统及用电信息采集等终端上。2)利用特定的脚本进行扫描,以此判断电力系统是否存在网络中断、阻塞或延迟等现象,以及严重时是否会出现系统崩溃;另一方面,漏洞扫描还可以针对已知的网络安全漏洞进行检测,查明系统网络端口是否暴露、是否存在木马后门攻击、DoS攻击是否成立、SQL注入等常见漏洞及注入点是否存在、检测通信协议是否加密等。3)考虑到需要对系统具体应用的漏洞状态进行检测,因此可由前台程序提供当前系统应用的具体信息与漏洞状态,由后台程序进行具体的监听及检测,并及时调用漏洞检测引擎。需要注意的是,在电力生产大区中,尤其是安全I区中,为了避免影响到系统的稳定性,一般不使用漏洞扫描,具体防护方式需要根据安全要求而定。
4.1.3渗透攻击验证
1)暴力破解。暴力破解是指通过穷举不同的用户名及密码组合来获得合法的登录身份,只要密码不超过破译的长度范围,在一定时间内是能够破解出来的,但破解速度过慢,是效率很低的一种攻击方式,并且攻击不当可能会造成系统的过载,使登录无法被响应。此外,如果系统限制了登录次数,那么暴力破解的成功率则会非常低。2)DoS攻击。DoS攻击即拒绝服务,指的是通过耗尽目标的资源或内存来发现系统存在的漏洞和风险点,使计算机或网络无法正常提供服务。这种攻击会使系统停止响应或崩溃,直接导致控制设备宕机。攻击手段包括计算机网络带宽攻击和连通性攻击、资源过载攻击、洪水攻击、半开放SYN攻击、编外攻击等,其根本目的都是使系统主机或网络无法及时接受和处理请求信息,具体表现为主机无法实现通信或一直处于挂机状态,严重时甚至直接导致死机。
4.2安全防护技术
4.2.1可信计算技术
可信计算技术[12-14]是基于硬件安全模块支持下的可信计算平台实现的,已广泛应用于安全防护系统中。国际可信计算组织提出了TPM(TrustedPlatformModule)规范,希望成为操作系统硬件和软件可信赖的相关标准和规范。可信计算从微机芯片、主板、硬件结构、BIOS等软硬件底层出发,在硬件层为平台嵌入一个规范化且基于密码技术的安全模块,基于模块的安全功能,建立一个由安全存储、可信根和信任链组成的保护机制,从网络、应用、数据库等方面实现可信计算的安全目标。在保证主机系统信息安全的前提下,为企业提供安全可靠的防护系统。TPM芯片包含CPU、RAM、算法加速器等,应用时首先验证系统的初始化条件是否满足,然后在启动BIOS之前依次验证BIOS和操作系统的完整性,只有在确定BIOS没有被修改的情况下才可启动BIOS,然后利用TPM安全芯片内的加密模块验证其他底层固件,只有平台的可靠性认证、用户身份认证、数字签名以及全面加密硬盘等所有验证全部通过后,整个计算机系统才能正常启动。构建软硬件完整信任链是建立可信环境服务平台的关键。可信工控环境由以下几个模块组成:可信工控模块、度量信任根、验证信任根。可信工控模块是可信服务平台功能架构的核心,作为工控系统的信任根,主要用来存储信任根和报告信任根的作用,并为系统其他组件提供存储保护功能;度量信任根以及验证信任根利用可信工控模块提供的安全环境及保护机制实现相应的验证和度量功能。要构建可信工控安全环境,首先要加载度量信任根和验证信任根,并与可信工控模块中的完整性证书相匹配,完成对自身系统的安全诊断;然后对度量验证的完整性进行度量,将实际度量值与参考证书中的值进行比较,度量通过后将执行控制权交给度量验证,度量验证对操作系统进行度量、验证以及存储;最后通过与标准值的对比来验证工控系统相应设备引擎、通信引擎、应用引擎的运行是否可信。工控可信服务平台从硬件到软件的完整信任链传递为:系统启动后首先执行固化在ROM里的安全引导程序,该程序通过ARM硬件技术确保不会被篡改;然后,由安全引导程序计算安全区操作系统内核的RIM值,并与其对应的RIM值进行比较,验证通过则加载操作系统,并将控制权传递给可信工控模块;可信工控模块对安全区应用层进行进程验证,即加载初始进程、可信工控模块主进程及相应的辅助进程等的RIM值进行比较验证;最后,可信工控模块对非安全区域的程序进行初始化,如操作系统、可信应用程序等,对其RIM值进行比较验证。
4.2.2安全监测技术
安全监测技术[15-19]是指通过全面、丰富的数据采集,对信息进行分析和预处理,解析监控得到的数据,并与设定参数进行比对,根据结果采用相应的防护策略对系统进行全面监管。针对目前电力工控系统存在的安全风险,基于对工控网络数据的采集和协议分析,可使用数据分析算法提前处理安全威胁,使针对工控网络及关键设备的攻击得到有效监管和处理。1)数据采集。电力工控系统的数据采集不同于一般的IT系统,需要在保障系统稳定运行的前提下进行,不能因为操作不当造成链路堵塞。根据采集方式的不同可以将数据采集分为3类:通过采集采集数据、通过协议直接采集、通过抓包工具获取数据。一般来说,需要采集的信息为防火墙、路由器、交换机、IDS/IPS、网络审计设备、正/反向隔离装置以及纵向加密认证装置的具体数据,包括IP地址、MAC地址、出厂型号、配置信息、用户管理信息、权限等级设置等。除此之外,还应对含有攻击信息的数据进行监测,包括DoS攻击、重复扫描攻击、数据包攻击等。抓包分析是指使用抓包工具抓取协议数据包,再利用相关协议和规范对抓取的数据包进行解析。2)数据处理。数据处理主要是对采集到的数据和工控协议数据包进行解析和处理,剔除不需要的多余数据和垃圾数据,将与安全事件相关的数据从中选取出来,如配电自动化等业务的上传数据、下载数据,电力数据流量信息和电压、电流参数信息等,对采集到的数据进行关联分析,对分析得到的威胁进行确认,并对结果进行二次过滤,最后将解析得到的数据使用统一格式保存,用于后续的风险监测。3)构建安全监测系统。安全监测系统基于以上数据分析,设定监测参数的阈值,通过监测数据及操作的一致性来实现对工控系统的异常监控、运行管理、配电网分析等。当工控系统中的流量遭到非法抓包或者系统指令遭到恶意篡改时,应及时对数据进行过滤并发出告警信息,具体流程为:基于函数库编写相关脚本程序,抓取网络数据包;按照工控协议和标准对数据参数进行解析;根据监测系统的安全等级要求,设置系统的风险阈值;将解析得到的参数与设置的阈值相比较。电力工业控制系统采用安全监测技术,针对工业控制网络中出现的数据及进行的操作,采用网络抓包、数据分析及参数比对的方式进行风险监测与分析,对工控系统信息安全风险中典型的指令篡改、畸形数据包和异常流量等安全威胁进行全面监测。
5结语
随着工业化和信息化的发展和融合,电力工业信息化的趋势已不可阻挡,保障系统信息安全是维护电力工业控制系统稳定运行的重要前提,是开展电力工业建设的坚实基础。针对相应的工控安全需求及系统运行状况,选择合适的安全防护技术,全方位地对电力工业控制系统的风险进行分析和考察,才能确保电力网络的安全、可靠,减少由于信息安全风险造成的设备损失。
作者:张盛杰 顾昊? 李祉岐 应欢 单位:中国电力科学研究院 安徽南瑞继远软件有限公司 北京国电通网络技术有限公司
参考文献:
[1]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.
[2]李鸿培,忽朝俭,王晓鹏,等.工业控制系统的安全研究与实践[J].计算机安全,2014(5):36-59,62.
[3]李文武,游文霞,王先培,等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.
[4]王继业,孟坤,曹军威,等.能源互联网信息技术研究综述[J].计算机研究与发展,2015,52(5):1109-1126.
[5]王刚军.电力信息安全的监控与分析[J].电网技术,2004,28(9):50-53.
[6]王保义.电力信息系统信息安全关键技术的研究[D].保定:华北电力大学,2009.
[7]王栋.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016,40(2):6-11.
[8]党林.电力企业网络病毒防御方案分析[J].科技传播,2012(7):175-176.
[9]王丹,秦浩.防病毒系统在青海电力调度数据网中的设计与应用[J].青海电力,2012,31(3):61-63.
[10]高昆仑,赵保华.全球能源互联网环境下可信计算技术研究与应用探讨[J].智能电网,2015,3(12):1103-1107.
[11]王欢欢.工控系统漏洞扫描技术的研究[D].北京:北京邮电大学,2015.
[12]张向宏,耿贵宁.基于可信计算的工业控制安全体系架构研究[J].保密科学技术,2014(8):4-13.
[14]周晓敏,李璇,黄双.工业控制系统信息安全仿真平台的设计与实现[J].可编程控制器与工厂自动化,2015(4):35-40.
[15]彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[C]//信息安全漏洞分析与风险评估大会,2012.
[17]俞海国,马先,徐有蕊,等.电网工业控制系统安全威胁监测系统设计及应用[J].电力信息与通信技术,2016,14(7):76-80.
[18]张盛杰,何冰,王立富,等.乌克兰停电事件对全球能源互联网安全的启示[J].电力信息与通信技术,2016,14(3):77-83.
[19]钟志琛.基于网络流量异常检测的电网工控系统安全监测技术[J].电力信息与通信技术,2017,15(1):98-102.