海外电力工控网络安全规范比较及安全方案探讨(3)

作者:网站采编
关键词:
摘要：图6 基于特征库的网络行为安全 网络安全监测可以对监控网络内部通信行为进行安全监控，及时监测非法设备接入和异常通讯行为，对监控系统的长期运行

图6 基于特征库的网络行为安全

网络安全监测可以对监控网络内部通信行为进行安全监控，及时监测非法设备接入和异常通讯行为，对监控系统的长期运行过程的安全监测和风险评估能起到非常明显的作用，因此可作为海外电力工控安全解决方案中重点增强的环节。

4 结语

国内厂商在进入海外电力工控市场时需要及时理解海外安全规范的要求，并在推出监控产品的同时给出整体安全解决方案，实现业务功能的同时支持结构安全、本体安全、行为安全、可信免疫，甚至推出“监控+安全”的一体化解决方案，将会对监控业务的顺利开展起到明显的支撑作用。

[1]张浏骅，刘克松.国内外典型工控系统安全标准的概述与思考[J].科技创新与应用，2019(26)：81-82，85.

[2]雒佳，徐茹枝，计鹏程.基于IEC 标准的变电站通信安全问题综述[J].电力信息与通信技术，2018，16(12)：22-28.

[3]范科峰，周睿康，李琳，等.工业控制系统信息安全管理标准研究[J].中国信息安全，2016（4）：76-79.

[4]梁潇，高昆仑，徐志博，等.美国电力行业信息安全工作现状与特点分析[J].电网技术，2011，35(12)：221-228.

[5]沈昌祥.用主动免疫可信计算3.0筑牢网络安全防线营造清朗的网络空间[J].信息安全研究，2018，4（4）：282-302.

海外电力工控系统相关的网络安全标准比较多，美国欧洲等地都会从不同角度来阐述对电网监控网络安全的要求和主张，国内厂商在应对海外市场的时候往往需求碎片化，难成体系。本文对海外电力监控网络安全的主要标准进行了梳理和解析，并结合国内经验，提炼网络安全的本质需求，从系统结构、设备本身、行为监测、信任机制、应急和管理等方面，探讨说明适用海外的网络安全解决方案。1 海外安全规范海外和电力监控相关的网络安全规范主要由北美和欧洲主导，来自IEC、ISO、IEEE 等标准机构和政府法规，其中有北美的IEEE-1686、NERC-CIP、NIST-7628，欧洲的IEC-、IEC-[1]。规范可以大致分为三类：（1）权威标准类：已经成为业界重要参考的IEC和IEEE标准，如IEC-、IEC-、IEEE-1686。（2）强制执行类：NERC-CIP是北美电力可靠性委员会的文件，具备强制效力。（3）技术指导类：NIST-7628是美国国家标准研究院官方的技术指导文件，没有强 IEC-IEC-标准是IEC T57为电力系统安全运行针对有关通信协议（IEC--5、IEC--6、IEC-、IEC-、IEC-系列和DNP 3）而开发的数据和通信安全标准[2]，目标是基于公共网络体系构建加密认证机制，为电力通信提供“端对端”的安全保障能力，包括站内的过程层节点通信、站控层节点通信和主子站通信。IEC-的核心内容有四个部分，IEC--3 基于传输层安全协议TLS 提供基于TCP/IP的身份认证、机密性、完整性，IEC--4 提供MMS的安全规范，IEC--5 提供IEC-5的安全规范，IEC--6 提供GOOSE/SV的安全规范。IEC-对电力监控常见通信规约的安全映射关系如图1所示。图1 IEC-对通信规约的安全关系电力监控系统的网络攻击很大部分来自对通信传输协议的窃听、伪装、重放等，而IEC- 提供的核心防护机制?IEC-IEC-是IEC TC65在制定“工业过程测量、控制和自动化”的标准过程中同步制定的“系统及网络信息安全”的标准[3]。IEC- 主要是描述在工控产品开发、系统集成、实施和运维等全生命周期环节中如何去实现网络安全，并通过 要网络安全保证等级SAL 全模型来评价相关角色的网络安全能力。IEC-中定义的设备供应商、系统集成商、业主的角色以及在全生命周期中的安全交付关系如图2所示。图2 全生命周期中各角色的安全交付关系1.3 IEEE-1686IEEE-1686标准是针对IED设备的，目标是建立在电力行业中对IED设备的安全要求和安全特征基线。标准主要内容是定义了IED设备中网络安全的功能和特性，包括设备访问控制、配置、固件修订、安全审计、告警机制以及IED NERC-CIPNERC-CIP是北美电力可靠性委员会NERC对关键基础设施的安全保护规定[4]，主要是针对电网运营的功能实体责任实体，包括电力资产业主、电力传输运营商、设备运营商、设备和系统制造商、系统集成服务商、电网结算单位等，标准主要内容包括技术和管理的要求、监督执行两个层面，在技术和管理上，对产品和系统的电子安全边界的设计和实现、物理访问的识别和监控、端口信息保护、漏洞的检查和管理、日志记录、事件的报告和响应机制、备份和恢复规划、变更的管理、脆弱性评估、供应链管理等，以及人员意识、培训制度、文档资料，在监督执行上，明确适用对象、责任主体、监管机构、证据要求、评估流程、违规程度评 NIST-7628NIST-7628是美国国家标准技术研究院发布的“智能电网信息安全指南”，报告分析了智能电网的逻辑结构和信息安全需求，并提出了智能电网信息安全防护的策略和架构，目的在于协助电网领域相关者去识别风险、落实网络安全要求，电网相关者可以包括设备制造商、电网运营商、集成服务商、监管部门、学术机构、标准组织机构等。标准的主要内容为描述智能电网的信息安全战略和具体任务，从安全角度定义智能电网的逻辑架构和接口，对电网涉及者及其行为进行安全建模，构建了“发电、输电、配电、用电、营销、运营、服务”7个域，以及22个逻辑接口。2 海外电力工控安全规范的比较从上述海外安全规范可以看到，IEC-是技术规范，重点通过加密认证的技术应用解决通信两端的身份认证和数据保密问题，并针对性地给出电力系统常用通信规约的安全规范，也为监控系统的边界内外通信交互提供一种安全防护技术依据。IEEE-1686 重点体现了本体安全的思路，包括访问控制、角色权限、日志审计及通信接口等技术，为IED设备如何实现本体安全提供一个规范基础。IEC-重点描述了在产品周期各个阶段不同角色的安全交付要求，从设备制造、到系统集成、工程实施、系统运行、直到退役，规范的主要内容是以安全为目标的角色行为模型，更多的是管理范畴，对技术描述不多。NERC-CIP和NIST 有点类似IEC-，但是描述的是电网运行安全及其涉及的全部角色，而不仅仅是电网产品的制造集成运行，并且NERC-CIP基于法规可执行性的需要，在提出要求的同时给出了监督执行的依据。在NERC-CIP、IEC-、IEC- 等标准中均体现了结构安全的思路，包括多道防御，系统边界防护，安全域划分，加密认证技术等，但各个规范的侧重点还是不同，NIST中有提及到行为监测的安全思路，但是总的来讲行为安全在规范中还是比较弱。在NERC-CIP、NIST中有应急、快速恢复的应急处置的要求，而在IEC-、NERC-CIP、NIST中均有关于产品研发的安全管理、集成实施的安全管理等要求。各个电力工控安全规范均比较具体地描述了某一个或一些方面的安全要求，但对从技术、到管理、到应急处置等全方位的网络安全需求，尚缺乏整体的安全防护方案。3 海外电力工控安全防护方案的探讨海外电力监控系统的网络结构模糊，监控设备参差不齐，系统网络空间几乎没有监测评估，可信的自我免疫能力非常缺乏、设计上缺乏安全冗余、安全管?整体安全方案参考国内对电力系统二次安防有丰富的实践经验，对于设备供应商和系统集成商，需要在用户需求和海外电力工控的规范基础上，从技术、设计、管理等方面梳理出整体解决方案，如图3所示。方案中：（1）安全技术：包括结构安全、本体安全、行为安全、可信免疫几个方面；（2）应急处置：应急包括紧急备用的设计和紧急情况下的处置，设计上考虑关键组件的冗余运行、异地备份，在紧急情况下可以实现层层设防、主备切换、快速恢复等有效处置；（3）安全管理：涉及人、物、集成实施、系统运行等多方面的管理。方案的所有工作都是持续的，在时间上是不断执行、不断检查、不断改进和不断完善的。图3 整体安全方案3.2 安全技术架构从设备供应和系统集成的角度，需要一个行之有效的安全技术架构，方案从结构安全、本体安全、行为安全、可信免疫四个点来构建安全防护。结构安全首先需要根据网络组成和业务性质构建安全区，结构安全作为监控系统网络空间内外的边界性防护，承担系统第一道安全防线的责任，包括系统内外边界及防护设计、系统内部安全区设计、安全区边界防护措施、调试维护边界防护措施等。本体安全作为系统的设备防护，是第二道安全防线，负责IED设备本体的安全可靠设计和运行，具有包括监控主机、嵌入式装置、网络交换机、安全设备等。行为安全是对系统网络行为进行监测和评估，包括系统运行网络过程的连接、流量、通信规约等安全监测、以及系统内设备的运行安全状态的监测，同时进行系统运行的网络安全风险实时计算评估，并对运行过程的状态变化和安全事件进行审计。可信免疫是融合到系统各个环节中的可信因子，可信是系统自身安全的本质性设计，从系统内外边界通信的身份认证和传输加密，到系统内部设备之间的可信通信，到设备内部的操作系统启动和应用程序加载的可信，甚至到设备硬件的可靠搭建，以密码认证技术和可信度量为基础，形成系统逐层逐级的信任传递，构建出具有自身免疫能力的信任机制[5]。由此可以形成了“多道防线、行为监测、可信链”的综合安全防护技术支撑，如图4所示。图4 综合安全防护技术架构图该综合安全防护技术架构可以形成以下效果：（1）多层次：从系统边界到行为监测、设备本体的多个层次的安全防护，在变电站监控系统范围内层层设防，形成安全累积效应，进一步提高核心防护对象的安全能力；（2）多维度：从空间上的静态部署到时间上的过程监测、从通信过程到数据传输等多个维度来保障安全；（3）主动性：从行为监测和风险评估、可信链传递来实现主动的风险预?加强行为安全监测和风险评估海外电力工控规范和工程实践，都普遍缺乏对行为安全的支持，为此需要加强系统网络空间行为的实时监测和风险评估。方案在监控系统的站控层部署安全监测设备，连接监控站控层主交换机镜像口获取网络交换原始数据，并连接交换机通过snmp协议获取网络连接情况，从感知、告警、管控、审计四个方面来实时监测网络节点变动、网络流量、主机设备的移动存储接入、运维调试过程等情况。部署行为安全的具体功能图如图5。图5 行为安全功能图进一步，可以在网络安全监测中加入基于网络节点角色定义和行为特征的安全评估模型，从网络节点的设备角色和系统中节点设备之间的业务网络通信两个方面，来建立特征定义库。各节点角色可以通过解析SCD文件获取，或者单独配置，然后监测网络通信数据、网络行为、网络流量等，通过对各角色通信行为的跟踪，分析网络通讯节点、通讯链路的合法性，对站内网络通讯状态进行分析、核查，实现配置核查、安全审计、网络异常告警等功能，如图6所示。图6 基于特征库的网络行为安全网络安全监测可以对监控网络内部通信行为进行安全监控，及时监测非法设备接入和异常通讯行为，对监控系统的长期运行过程的安全监测和风险评估能起到非常明显的作用，因此可作为海外电力工控安全解决方案中重点增强的环节。4 结语国内厂商在进入海外电力工控市场时需要及时理解海外安全规范的要求，并在推出监控产品的同时给出整体安全解决方案，实现业务功能的同时支持结构安全、本体安全、行为安全、可信免疫，甚至推出“监控+安全”的一体化解决方案，将会对监控业务的顺利开展起到明显的支撑作用。参考文献：[1]张浏骅，刘克松.国内外典型工控系统安全标准的概述与思考[J].科技创新与应用，2019(26)：81-82，85.[2]雒佳，徐茹枝，计鹏程.基于IEC 标准的变电站通信安全问题综述[J].电力信息与通信技术，2018，16(12)：22-28.[3]范科峰，周睿康，李琳，等.工业控制系统信息安全管理标准研究[J].中国信息安全，2016（4）：76-79.[4]梁潇，高昆仑，徐志博，等.美国电力行业信息安全工作现状与特点分析[J].电网技术，2011，35(12)：221-228.[5]沈昌祥.用主动免疫可信计算3.0筑牢网络安全防线营造清朗的网络空间[J].信息安全研究，2018，4（4）：282-302.

文章来源：《海外文摘·学术版》 网址: http://www.hwwzzz.cn/qikandaodu/2020/0713/365.html

上一篇：海外企业“四实”基层生产型党支部建设探索与
下一篇：海外中华料理课程教学初探 ——以韩国汉拿大