韩长霖

(北京中水科水电科技开发有限公司,北京 100038)

H9000监控系统安全防护解决方案研究

韩长霖

(北京中水科水电科技开发有限公司,北京 100038)

近期在工业控制领域及电力行业相继出现信息安全事件,为消除监控系统信息安全隐患,根据《电力监控系统安全防护规定》以及《信息安全等级保护管理办法》对电力系统安全要求,本文在等保3级标准安全防护解决方案下进行系统脆弱性分析,从信息安全层次阐述脆弱性原因,并针对脆弱点给出响应解决方案。

SCA D A信息安全;安全防护方案;等保测评方案;监控系统信息安全

0 引言

近期在工业控制领域及电力行业相继出现信息安全事件,密码泄露事件①、乌克兰圣诞节停电事件②、伊朗核设施震网病毒事件③、德国核电站停机事件④,以上与电力控制系统相关极强的事件,显示了即使在工业控制系统独立网络环境下,信息系统依旧会遭到攻击。种种迹象表明即使在高安全等级的信息安全环境,仍然无法完全保证工业控制系统信息安全。因此,电力行业信息安全主管部门将信息系统安全的重视程度及响应能力要求进一步提高。

根据Ponemon研究所2014年研究报告⑤,在2014年,有67%的工业控制企业的ICS/SCADA系统至少遭受过一次网络攻击。根据2015 Dell Security Annual Threat Report⑥,近3年来针对SCADA系统的恶意攻击在逐年增加。国内外工业控制系统设备漏洞大量被曝光。

国外针对工业控制系统信息安全有着完整的管理要求及配套规范,国际电工委员会制定了IEC62443(ISA99)工控安全标准。北美电力可靠性组织(NERC)制定的《关键设施保护》标准为强制标准,需要强制执行。

借鉴国际上信息安全保障机制,以及电力系统信息安全的严峻形势,国内针对电力行业信息系统安全也有信息安全相关政府规定。

(1)国家发展和改革委员会令[2014]第14号《电力监控系统安全防护规定》。(以下简称《安防规定》);

(2)国家能源局2015年36号文《国家能源局关于印发电力监控系统安全防护总体方案和评估规范的通知》、附件1《电力监控系统安全防护总体方案》、附件4《发电厂监控系统安全防护方案》。

(3)公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字(2007)43号)。(以下简称《等保测评》)

本文从分析当前水电站监控系统安全防护解决方案为出发点,分析在当前安全架构下安全防护方案脆弱点,从监控系统自身安全角度提出应对策略。

1 安全防护体系发展

《电力监控系统安全防护规定》由《电力二次系统安全防护规定》发展而来,自2014年9月1日起施行。2004年12月20日原国家电力监管委员会发布的《电力二次系统安全防护规定》(国家电力监管委员会令第5号)同时废止。

《安防规定》的核心思想是“安全分区、网络专用、横向隔离、纵向认证”,根据核心思想设计的经典电力系统分区隔离防护结构图如图1所示。其所涉及的安全防护设备包括:防火墙、正(反)向隔离装置、纵向加密装置,借助以上设备实现了《安防规定》的要求。

图1 电力系统分区隔离防护架构图

随着等保测评工作的开展,《等保测评》规定信息系统安全等级保护工作直接作用于具体的信息和信息系统。按照规定对电力生产系统的保护要有着进一步提升。本文只讨论《等保测评》信息安全技术范畴内容。

根据《等保测评》要求,总装机1 000 MW及以上水电站监控系统,需满足3级要求,在技术方面满足网络恶意代码防范、剩余信息保护、抗抵赖等3项要求。同时,对身份鉴别、访问控制、安全审计、数据完整性及保密性方面在强度上有所要求;在管理方面增加了监控管理和安全管理中心等两项要求。

因此在《安防规定》现有安全防护架构下,需要新增安全防护设备,实现等保测评3级防护要求。图2是水电站监控系统安全防护结构图。

图2 监控系统安全防护结构图

2 监控系统信息安全脆弱性分析

下面讨论一下按照《等保测评》3级要求添加安全设备后的监控系统安全防护方案,是否可以解决现有监控系统信息安全威胁。参考电力二次系统主要安全风险统计表(表1),最高优先级0旁路控制和优先级4拦截/篡改两种重点攻击下进行系统脆弱性分析。

表1 电力二次系统主要安全风险统计表

在设备间通信情况以及网络拓扑变化情况下有可能发生以上0级、4级两种攻击行为,在监控系统中存在以下两种通信方式:

主机与PLC之间通信;

主机与主机之间通信。

2.1 主机与PLC之间通信脆弱性分析

主机与PLC之间通常采用Modbus/TCP规约进行通信,存在以下脆弱性关键点。

(1)目前在TCP建立链接阶段,以IP进行识别,不具备认证功能,只要获取IP地址即可创建连接,实现旁路控制。

(2)目前TCP通信方式下明文通信,恶意主机收集网络包后,可能复制非法命令报文,实现旁路控制。

2.2 主机与主机之间通信脆弱性分析

主机与主机之间有多重通信方式,以常见标准通信方式IEC60870-5-104为例,说明主机间存在脆弱性关键点。

(1)目前IEC104建立连接阶段,以IP进行标识,只能进行主机IP地址判别,不具备用户名密码等认证功能,只要假冒合法的主机IP地址即可创建连接,实现旁路控制。

(2)IEC104使用通信点表进行两端通信,通过恶意修改两端点表,对系统可能产生威胁。

(3)目前IEC104同意基于TCP通信方式下明文通信,恶意主机收集网络包后,可能复制非法命令报文,实现旁路控制。

在完善的安全防护体系下,依旧存在系统脆弱性关键点,究其原因,可以从信息系统安全层次图(图3)看到,目前安全防护体系集中在网络安全和系统安全两个硬件层次对系统进行防护,而对信息本身的安全没有采取应对措施。

图3 信息系统安全层次图

2.3 主机拓扑脆弱性分析

目前安全体系架构下,无法对主机拓扑进行有效管理,当主机退出再重新接入网络后,无法确定新接入主机的合法性。现有安全防护方案下并不具备拓扑结构实时监控能力。

水电厂监控系统中所传递的信息,主要由监控系统本身所产生、传输、处理,因此需要从监控系统自身寻找解决方案。

3 H9000监控系统信息安全措施

从信息系统中信息本身安全角度出发,H9000监控系统通过使用信息加密、信息签名、信息隐藏等方式,寻找解决方案。

3.1 主机与PLC信息安全传递实现

由于PLC硬件本身目前不具备加密模块,只能从信息本身实现消息安全传递机制,借助信息签名、信息隐藏、信息加密3种技术,可以快速实现信息安全传输。

图4 PLC信息安全解决方案

重要命令监测模块作用在于判断机组停机、断路器操作等重要操作命令,当在网络出现此类命令时智能判断该命令是否是伪造或误动命令并产生报警。例如,当网络中出现某操作员站下达机组停机操作命令时,系统检测当前操作员站是否处在人员操作状态,并且是否当前操作在主机停机控制画面。如果该主机并未进行以上操作,判断可能产生恶意下令。

由于主机与PLC之间使用Modbus/TCP方式通信,PLC接收到主机TCP报文后先要根据H9000规约进行转换后,才进行命令解析。恶意攻击想做到有指向性的攻击具体设备,首先得能正确解析H9000内部规约后才能完成。但是在无法解析H9000内部规约前提下通过报文复制的方式,仍然可以实现恶意攻击。

信息隐藏+信息签名方式可以实现报文的防伪性安全传递。

信息签名:主机每次发送命令信息的同时,发送一个消息签名。PLC接收到报文后,验证消息签名,验证通过后才执行下令操作。信息签名每次下令都会存放不同内容,因此即使通过报文复制的方式进行攻击,依然会被PLC认定为非法消息。

信息隐藏:通过分析现有规约空位,将信息签名存放在报文空位中。对现有规约不产生影响。不影响PLC正常通信。

3.2 主机与主机信息安全传递实现

IEC104可能涉及到不同厂家系统间通信,单纯改造一侧通信程序无法完成信息安全传递,但是同样可以对IEC104进行改造,在不改变规格通用性的前提下实现信息安全传递。在调控一体化模式下,如果主站与从站采用相同厂家系统,信息安全改造可行。

与PLC通信类似,信息隐藏+信息签名方式可以实现报文的防伪性安全传递,并且不改变规约的通用性。

针对恶意篡改通信点表攻击方式,可采用通信建链后,首先传递点表进行验证,再进行数据通信来解决点表不一致问题。

3.3 主机拓扑安全实现

借助H9000系统Hman模块,实现监控系统拓扑实时监测,主机信息实时检测,网络拓扑信息变化、主机硬盘、网络、I/O等资源出现异常后,会实时在监控系统报警。通过主机加载安全认证模块,可以实现防止主机欺骗接入网络。

4 结论

《安防规定》和《等保测评》对信息系统安全防护要求做出了详细规定,信息安全实现不能单纯依赖于信息安全硬件设备,监控系统本身也需要对信息安全功能有所考虑。只有同时兼顾操作系统安全、网络完全、信息安全以及严格执行信息安全规章制度,才能提高系统完全能力。采集等通信设备出厂默认密码清单,涉及清单上设备在国内电力监控系统及其他行业工业控制系统大量使用。2016年3月份主要电力公司已开展排查。

②乌克兰圣诞节停电事件:2015年圣诞节,乌克兰电网遭到恶意攻击,导致大范围停电4 h以上。

③伊朗核设施震网病毒事件:2010年在伊朗核设施中采用的西门子PLC控制器本身受到了病毒攻击,世界上首次出现针对PLC控制器本身的病毒。本次事件标志着工业控制系统本身和其他信息系统一样遭受到攻击,工业控制系统信息安全面临新的挑战。

④德国核电站关闭事件:2016年4月26日,核电站信息安全部门在信息安全检查过程中,核燃料装载控制系统发现病毒入侵,电站采取紧急措施主动关闭了核电站。

⑤http://www.unisys.com/insights/critical-infrastructure-security/.

⑥2015 Dell Security Annual Threat Report是DELL信息安全部门发布的2015年信息安全年报,其中有对国际范围内ICS/SCADA系统攻击报告进行统计。

TP277

A

1672-5387(2017)07-0013-04

10.13599/j.cnki.11-5130.2017.07.004

2017-04-27

韩长霖(1982-),男,高级工程师,从事水电站计算机系统研制开发等工作。