H9000監(jiān)控系統(tǒng)安全防護解決方案研究

韓長霖

(北京中水科水電科技開發(fā)有限公司,北京 100038)

H9000監(jiān)控系統(tǒng)安全防護解決方案研究

韓長霖

(北京中水科水電科技開發(fā)有限公司,北京 100038)

近期在工業(yè)控制領域及電力行業(yè)相繼出現信息安全事件,為消除監(jiān)控系統(tǒng)信息安全隱患,根據《電力監(jiān)控系統(tǒng)安全防護規(guī)定》以及《信息安全等級保護管理辦法》對電力系統(tǒng)安全要求,本文在等保3級標準安全防護解決方案下進行系統(tǒng)脆弱性分析,從信息安全層次闡述脆弱性原因,并針對脆弱點給出響應解決方案。

SCA D A信息安全;安全防護方案;等保測評方案;監(jiān)控系統(tǒng)信息安全

0 引言

近期在工業(yè)控制領域及電力行業(yè)相繼出現信息安全事件,密碼泄露事件①、烏克蘭圣誕節(jié)停電事件②、伊朗核設施震網病毒事件③、德國核電站停機事件④,以上與電力控制系統(tǒng)相關極強的事件,顯示了即使在工業(yè)控制系統(tǒng)獨立網絡環(huán)境下,信息系統(tǒng)依舊會遭到攻擊。種種跡象表明即使在高安全等級的信息安全環(huán)境,仍然無法完全保證工業(yè)控制系統(tǒng)信息安全。因此,電力行業(yè)信息安全主管部門將信息系統(tǒng)安全的重視程度及響應能力要求進一步提高。

根據Ponemon研究所2014年研究報告⑤,在2014年,有67%的工業(yè)控制企業(yè)的ICS/SCADA系統(tǒng)至少遭受過一次網絡攻擊。根據2015 Dell Security Annual Threat Report⑥,近3年來針對SCADA系統(tǒng)的惡意攻擊在逐年增加。國內外工業(yè)控制系統(tǒng)設備漏洞大量被曝光。

國外針對工業(yè)控制系統(tǒng)信息安全有著完整的管理要求及配套規(guī)范,國際電工委員會制定了IEC62443(ISA99)工控安全標準。北美電力可靠性組織(NERC)制定的《關鍵設施保護》標準為強制標準,需要強制執(zhí)行。

借鑒國際上信息安全保障機制,以及電力系統(tǒng)信息安全的嚴峻形勢,國內針對電力行業(yè)信息系統(tǒng)安全也有信息安全相關政府規(guī)定。

(1)國家發(fā)展和改革委員會令[2014]第14號《電力監(jiān)控系統(tǒng)安全防護規(guī)定》。(以下簡稱《安防規(guī)定》);

(2)國家能源局2015年36號文《國家能源局關于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案和評估規(guī)范的通知》、附件1《電力監(jiān)控系統(tǒng)安全防護總體方案》、附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》。

(3)公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于印發(fā)<信息安全等級保護管理辦法>的通知》(公通字(2007)43號)。(以下簡稱《等保測評》)

本文從分析當前水電站監(jiān)控系統(tǒng)安全防護解決方案為出發(fā)點,分析在當前安全架構下安全防護方案脆弱點,從監(jiān)控系統(tǒng)自身安全角度提出應對策略。

1 安全防護體系發(fā)展

《電力監(jiān)控系統(tǒng)安全防護規(guī)定》由《電力二次系統(tǒng)安全防護規(guī)定》發(fā)展而來,自2014年9月1日起施行。2004年12月20日原國家電力監(jiān)管委員會發(fā)布的《電力二次系統(tǒng)安全防護規(guī)定》(國家電力監(jiān)管委員會令第5號)同時廢止。

《安防規(guī)定》的核心思想是“安全分區(qū)、網絡專用、橫向隔離、縱向認證”,根據核心思想設計的經典電力系統(tǒng)分區(qū)隔離防護結構圖如圖1所示。其所涉及的安全防護設備包括:防火墻、正(反)向隔離裝置、縱向加密裝置,借助以上設備實現了《安防規(guī)定》的要求。

圖1 電力系統(tǒng)分區(qū)隔離防護架構圖

隨著等保測評工作的開展,《等保測評》規(guī)定信息系統(tǒng)安全等級保護工作直接作用于具體的信息和信息系統(tǒng)。按照規(guī)定對電力生產系統(tǒng)的保護要有著進一步提升。本文只討論《等保測評》信息安全技術范疇內容。

根據《等保測評》要求,總裝機1 000 MW及以上水電站監(jiān)控系統(tǒng),需滿足3級要求,在技術方面滿足網絡惡意代碼防范、剩余信息保護、抗抵賴等3項要求。同時,對身份鑒別、訪問控制、安全審計、數據完整性及保密性方面在強度上有所要求;在管理方面增加了監(jiān)控管理和安全管理中心等兩項要求。

因此在《安防規(guī)定》現有安全防護架構下,需要新增安全防護設備,實現等保測評3級防護要求。圖2是水電站監(jiān)控系統(tǒng)安全防護結構圖。

圖2 監(jiān)控系統(tǒng)安全防護結構圖

2 監(jiān)控系統(tǒng)信息安全脆弱性分析

下面討論一下按照《等保測評》3級要求添加安全設備后的監(jiān)控系統(tǒng)安全防護方案,是否可以解決現有監(jiān)控系統(tǒng)信息安全威脅。參考電力二次系統(tǒng)主要安全風險統(tǒng)計表(表1),最高優(yōu)先級0旁路控制和優(yōu)先級4攔截/篡改兩種重點攻擊下進行系統(tǒng)脆弱性分析。

表1 電力二次系統(tǒng)主要安全風險統(tǒng)計表

在設備間通信情況以及網絡拓撲變化情況下有可能發(fā)生以上0級、4級兩種攻擊行為,在監(jiān)控系統(tǒng)中存在以下兩種通信方式:

主機與PLC之間通信;

主機與主機之間通信。

2.1 主機與PLC之間通信脆弱性分析

主機與PLC之間通常采用Modbus/TCP規(guī)約進行通信,存在以下脆弱性關鍵點。

(1)目前在TCP建立鏈接階段,以IP進行識別,不具備認證功能,只要獲取IP地址即可創(chuàng)建連接,實現旁路控制。

(2)目前TCP通信方式下明文通信,惡意主機收集網絡包后,可能復制非法命令報文,實現旁路控制。

2.2 主機與主機之間通信脆弱性分析

主機與主機之間有多重通信方式,以常見標準通信方式IEC60870-5-104為例,說明主機間存在脆弱性關鍵點。

(1)目前IEC104建立連接階段,以IP進行標識,只能進行主機IP地址判別,不具備用戶名密碼等認證功能,只要假冒合法的主機IP地址即可創(chuàng)建連接,實現旁路控制。

(2)IEC104使用通信點表進行兩端通信,通過惡意修改兩端點表,對系統(tǒng)可能產生威脅。

(3)目前IEC104同意基于TCP通信方式下明文通信,惡意主機收集網絡包后,可能復制非法命令報文,實現旁路控制。

在完善的安全防護體系下,依舊存在系統(tǒng)脆弱性關鍵點,究其原因,可以從信息系統(tǒng)安全層次圖(圖3)看到,目前安全防護體系集中在網絡安全和系統(tǒng)安全兩個硬件層次對系統(tǒng)進行防護,而對信息本身的安全沒有采取應對措施。

圖3 信息系統(tǒng)安全層次圖

2.3 主機拓撲脆弱性分析

目前安全體系架構下,無法對主機拓撲進行有效管理,當主機退出再重新接入網絡后,無法確定新接入主機的合法性?，F有安全防護方案下并不具備拓撲結構實時監(jiān)控能力。

水電廠監(jiān)控系統(tǒng)中所傳遞的信息,主要由監(jiān)控系統(tǒng)本身所產生、傳輸、處理,因此需要從監(jiān)控系統(tǒng)自身尋找解決方案。

3 H9000監(jiān)控系統(tǒng)信息安全措施

從信息系統(tǒng)中信息本身安全角度出發(fā),H9000監(jiān)控系統(tǒng)通過使用信息加密、信息簽名、信息隱藏等方式,尋找解決方案。

3.1 主機與PLC信息安全傳遞實現

由于PLC硬件本身目前不具備加密模塊,只能從信息本身實現消息安全傳遞機制,借助信息簽名、信息隱藏、信息加密3種技術,可以快速實現信息安全傳輸。

圖4 PLC信息安全解決方案

重要命令監(jiān)測模塊作用在于判斷機組停機、斷路器操作等重要操作命令,當在網絡出現此類命令時智能判斷該命令是否是偽造或誤動命令并產生報警。例如,當網絡中出現某操作員站下達機組停機操作命令時,系統(tǒng)檢測當前操作員站是否處在人員操作狀態(tài),并且是否當前操作在主機停機控制畫面。如果該主機并未進行以上操作,判斷可能產生惡意下令。

由于主機與PLC之間使用Modbus/TCP方式通信,PLC接收到主機TCP報文后先要根據H9000規(guī)約進行轉換后,才進行命令解析。惡意攻擊想做到有指向性的攻擊具體設備,首先得能正確解析H9000內部規(guī)約后才能完成。但是在無法解析H9000內部規(guī)約前提下通過報文復制的方式,仍然可以實現惡意攻擊。

信息隱藏+信息簽名方式可以實現報文的防偽性安全傳遞。

信息簽名:主機每次發(fā)送命令信息的同時,發(fā)送一個消息簽名。PLC接收到報文后,驗證消息簽名,驗證通過后才執(zhí)行下令操作。信息簽名每次下令都會存放不同內容,因此即使通過報文復制的方式進行攻擊,依然會被PLC認定為非法消息。

信息隱藏:通過分析現有規(guī)約空位,將信息簽名存放在報文空位中。對現有規(guī)約不產生影響。不影響PLC正常通信。

3.2 主機與主機信息安全傳遞實現

IEC104可能涉及到不同廠家系統(tǒng)間通信,單純改造一側通信程序無法完成信息安全傳遞,但是同樣可以對IEC104進行改造,在不改變規(guī)格通用性的前提下實現信息安全傳遞。在調控一體化模式下,如果主站與從站采用相同廠家系統(tǒng),信息安全改造可行。

與PLC通信類似,信息隱藏+信息簽名方式可以實現報文的防偽性安全傳遞,并且不改變規(guī)約的通用性。

針對惡意篡改通信點表攻擊方式,可采用通信建鏈后,首先傳遞點表進行驗證,再進行數據通信來解決點表不一致問題。

3.3 主機拓撲安全實現

借助H9000系統(tǒng)Hman模塊,實現監(jiān)控系統(tǒng)拓撲實時監(jiān)測,主機信息實時檢測,網絡拓撲信息變化、主機硬盤、網絡、I/O等資源出現異常后,會實時在監(jiān)控系統(tǒng)報警。通過主機加載安全認證模塊,可以實現防止主機欺騙接入網絡。

4 結論

《安防規(guī)定》和《等保測評》對信息系統(tǒng)安全防護要求做出了詳細規(guī)定,信息安全實現不能單純依賴于信息安全硬件設備,監(jiān)控系統(tǒng)本身也需要對信息安全功能有所考慮。只有同時兼顧操作系統(tǒng)安全、網絡完全、信息安全以及嚴格執(zhí)行信息安全規(guī)章制度,才能提高系統(tǒng)完全能力。采集等通信設備出廠默認密碼清單,涉及清單上設備在國內電力監(jiān)控系統(tǒng)及其他行業(yè)工業(yè)控制系統(tǒng)大量使用。2016年3月份主要電力公司已開展排查。

②烏克蘭圣誕節(jié)停電事件:2015年圣誕節(jié),烏克蘭電網遭到惡意攻擊,導致大范圍停電4 h以上。

③伊朗核設施震網病毒事件:2010年在伊朗核設施中采用的西門子PLC控制器本身受到了病毒攻擊,世界上首次出現針對PLC控制器本身的病毒。本次事件標志著工業(yè)控制系統(tǒng)本身和其他信息系統(tǒng)一樣遭受到攻擊,工業(yè)控制系統(tǒng)信息安全面臨新的挑戰(zhàn)。

④德國核電站關閉事件:2016年4月26日,核電站信息安全部門在信息安全檢查過程中,核燃料裝載控制系統(tǒng)發(fā)現病毒入侵,電站采取緊急措施主動關閉了核電站。

⑤http://www.unisys.com/insights/critical-infrastructure-security/.

⑥2015 Dell Security Annual Threat Report是DELL信息安全部門發(fā)布的2015年信息安全年報,其中有對國際范圍內ICS/SCADA系統(tǒng)攻擊報告進行統(tǒng)計。

TP277

A

1672-5387(2017)07-0013-04

10.13599/j.cnki.11-5130.2017.07.004

2017-04-27

韓長霖(1982-),男,高級工程師,從事水電站計算機系統(tǒng)研制開發(fā)等工作。