概述

2019年12月10日, GB/T 38318-2019《电力监控系统网络安全评估指南》(下文简称“评估指南”)正式发布,2020年7月1日正式实施。

随着计算机和网络通信技术在电力监控系统中的广泛应用,电力监控系统网络安全问题日益凸显,为了加强电力监控系统的安全管理,防范黑客及恶意代码等对电力监控系统的攻击侵害,保障电力系统的安全稳定运行,根据国家发展改革委员会2014年第14号令《电力监控系统安全防护规定》和国家信息系统等级保护等相关规定制定GB/T 36572-2018 《电力监控系统网络安全防护导则》(下文简称“防护导则”)标准,“评估指南”作为防护导则的配套标准,主要针对防护导则中的安全防护体系进行评估指导。

评估范围

“评估指南”适用于各电力企业电力监控系统规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段的网络安全防护评估工作。

各阶段主要关注点:

  • 规划阶段

根据网络安全法第三十三条规定,关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。因此在电力监控系统的规划阶段应该遵循三同步原则,根据系统的应用对象、应用环境、业务状况、操作要求等方面进行威胁分析,重点分析系统应该达到的安全目标。

  • 设计阶段

该阶段需要根据规划阶段的目标进行立体安全防护体系的设计,安全防护体系的设计可以参考“防护导则”;同时产品的采购需要满足等级保护、行业或集团的要求。以等级保护三级系统为例,在产品采购和使用中规定:

  1. 应确保网络安全产品采购和使用符合国家的有关规定;

  2. 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;

  3. 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。

  • 实施阶段

该阶段需要关注实施过程中的风险控制,保障电力监控系统的稳定运行是基础;同时需要在建设完成后开展上线评估工作,确定安全措施的实现程度和已建立安全措施的有效性,并保证不能引入新的安全风险,如安全产品可能存在的漏洞及后门。系统供应商需要负责系统设计、开发完成后实施型式安全评估,配合完成系统上线安全评估。

  • 运行运维阶段

安全体系的建设是一个动态循环的过程,因此本阶段需要根据安全评估中发现的问题及时查漏补缺,弥补安全漏洞。在电力监控系统业务流程、系统状况发生重大变更时,运行单位应自行组织或委托评估机构及时对系统进行安全评估。系统供应商在运维阶段支持和配合安全评估工作,配合执行安全评估整改工作。

重大变更包括,但不限于:

  1. 增加新的应用或应用发生较大变更;

  2. 网络结构和连接状况发生较大变更;

  3. 技术平台大规模更新;

  4. 系统扩容或改造;

  5. 系统运行维护管理机构或人员发生较大规模调整。

  • 废弃阶段

废弃阶段需要重点关注系统和设备退役报废时含敏感信息的介质和重要安全设备的销毁,避免因系统废弃可能带来的新的威胁。

评估流程和方法

评估形式

电力监控系统网络安全评估包括4种工作形式:自评估、检查评估、上线安全评估型式安全评估。各工作形式具体要求如下:

  • 电力监控系统定级为第三级和第四级:

  1. 运营单位应定期组织自评估,评估周期原则上不超过一年;

  2. 电力监控系统投运前或发生重大变更时,由运行单位委托评估机构进行上线安全评估;

  3. 电力监控系统供应商在电力监控系统设计、开发完成后,委托评估机构进行型式安全评估。

  • 电力监控系统定级为第二级:

  1. 运营单位应定期开展自评估,评估周期原则上不超过一年;

  2. 电力监控系统投运前或发生重大变更时,运行单位自行组织开展上线安全评估;

  3. 电力监控系统供应商在电力监控系统设计、开发完成后运行单位可自行组织开展型式安全评估。

  • 电力调度机构在定期收集、汇总调管范围内各运行单位自评估结果的基础上,自行组织或委托评估机构开展调管范围内电力监控系统的自评估工作,省级以上调度机构的自评估周期最长不超过三年,地级及以下调度机构自评估周期最长不超过两年。委托评估机构定期开展的安全评估工作可结合等级保护工作进行。

  • 业务主管部门根据实际情况对各运营单位的电力监控系统或调度机构调管范围内的电力监控系统组织开展检查评估。

评估实施流程

电力监控系统网络安全评估实施流程图

  • 电力监控系统网络安全评估涉及的评估方法主要包括:文档检查、人工核查和工具检查。其中评估工具的使用需要被评估单位授权的前提,工具可包括网络评估工具、主机评估工具、资产识别工具等。电力监控系统的安全评估工具建议使用工控专用的安全评估工具。

  • 评估流程中需要注意保密管理和风险管控。

风险管控措施包括:

  1. 选用工控专用的安全评估工具,如:工控漏洞扫描系统、工控系统安全检查评估工具箱等;

  2. 操作时间控制。选择系统停机或者安全检修期间;

  3. 采用工具检查如评估可能对业务系统产生影响的情况下,可以在运行系统模拟环境中验证测试;

  4. 综合制定安全应急预案、采取严格操作的申请和监护等其他技术措施。

  • 资产、威胁、脆弱性评估资产评估需要按照国家等级保护相关标准、GB/T 31509-2015 《信息安全技术 信息安全风险评估实施》和GB∕T20985-2007《信息安全技术 信息安全风险评估规范》等规定执行。下图主要列举风险三要素关系和风险评估实施流程,具体解读本文将不再赘述。

评估内容

“防护导则”从安全防护技术、应急备用措施和全面安全管理的三维描述安全防护体系的立体结构,三个维度互相支持、互相融合、动态关联,并不断发展进化,形成动态的三维立体结构。“评估指南”的也着重从该结构体系的三个维度进行评估实施指导。

电力监控系统网络安全防护体系三维立体结构示意图

安全防护技术评估

安全防护技术评估包含基本要求、基础设施安全、体系结构安全、本体安全、可信安全免疫五个部分。评估要求对应“评估导则”中的技术要求,本文将不再赘述,具体解读可参考:《<电力监控系统网络安全防护导则>解读》

·基本要求

基本要求是评估指南中强制满足项,与国能安全【2015】36号文中要求的“安全分区、网络专用、横向隔离、纵向认证”的十六字方针对应,基本要求中任何一项未满足即为不合格项。

分区分级重点评估内容:

  • 网络分区:核查电力监控系统网络拓扑图和网络设备,评估安全区划分的合理性和设备与拓扑图的一致性,重点关注是否存在跨安全区纵向交叉连接、不同安全区的设备混用、违规连接等违规情况,同时需要评估是否存在设置安全接入区的业务场景,并采取相应的隔离措施;

  • 安全分级:电力监控系统的安全等级保护定级可以参考国能安全36号文和国家等级保护相关标准中的定级要求进行合理定级,鉴于等保2.0定级流程中新增的专家评审制度,在评估过程中需要核查系统定级结果是否经过定级系统相关部门和安全技术专家的论证和审定;

  • 重点防护:重点加强对生产控制大区的安全防护工作,核查边界防护设备和网络设备核查边界安全防护设备、网络设备等可管控通用网络服务(FTP、HTTP、SNMP、远程登录、电子邮件等)的设备和系统,是否使用数据过滤、签名认证、访问控制策略、物理隔离等措施禁止通用网络服务穿越生产控制大区和管理信息大区之间边界;同时禁止与设备生产厂商或其他外部企业(单位)的远程连接;发电厂生产控制大区因业务需求与地方行政部门进行数据传输时,其边界应采取单向数据传输的隔离强度措施,(如:在火电厂生产控制大区中脱硫脱硝等业务系统需要与地方环保等部门进行数据传输的业务场景)。

    网络专用重点评估内容:

  • 核查网络拓扑图、组网设计方案等相关文档,评估网络安全隔离和子网划分情况。生产控制大区专用通道上(与调度数据网等通道)应使用独立的网络设备组网;同时应该划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区,避免生产控制大区与其他网络直连、逻辑隔离或共用网络设备的情况,实时子网和非实时子网边界可以使用防火墙等逻辑隔离设备或措施进行隔离;

  • 核查各层协议对应的网络设备、加密认证相关措施,评估生产控制大区数据通信七层协议的安全措施。禁止采用默认路由,按照业务需求划分VLAN,关闭网络边界OSPF路由功能,采用符合要求的虚拟专网、加密隧道技术;使用符合国家要求的加密算法,使用调度数字证书实现安全认证等。

    横向隔离重点评估内容:

  • 核查电力监控系统横向从外到内四道安全防线中涉及的安全设备(包括:电力专用横向单向安全隔离装置、工业防火墙等)部署的合理性和策略的有效性,如:生产控制大区与管理信息大区网络边界是否部署电力专用横向单向安全隔离装置;

  • 电力专用横向单向安全隔离装置需要提供相应的检测报告或认证证书,评估装置的认证情况;针对反向安全隔离装置需要核查是否采取基于非对称密钥技术的签名验证、内容过滤、有效性检查等安全措施,限定传输协议、返回字节数和文件类型;

  • 核查生产控制大区内部的安全区之间部署工业防火墙或者具有访问控制功能的设备或者相当功能的设施部署的位置合理性和策略有效性,保证策略最小化,禁止出现全通策略,同时硬件防火墙相关功能、性能等也必须经过相关部门的检测和认证。

    纵向认证重点评估内容:

  • 核查电力监控系统生产控制大区与广域网的纵向防线中涉及电力专用纵向加密认证装置或者加密认证网关及相应设施部署的合理性和策略的有效性;

  • 电力专用纵向加密认证装置或者加密认证网关需要提供相应的检测报告或认证证书,评估装置的认证情况;装置隧道配置策略应细化至业务IP地址、通信端口,隧道和策略应为密通,且隧道为OPEN状态。

·基础设施安全

基础设施评估重点内容:

  • 基础设施安全重点对应等级保护标准安全物理环境部分技术要求,核查机房及相关设施在物理位置选择物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应(核查备用供电系统,需要保证机房内设备在外部电力中断下仍能至少二个小时正常运行)和电磁防护等层面需要采用相应的措施。生产控制大区机房与管理信息大区机房独立;针对等级保护第四级安全区域配置第二道门禁,重要设备需要放置在电磁屏蔽机柜内。

  • 核查生产控制大区所有的密码基础设施(如:纵向加密装置)是否具备国家有关机构的检测报告或认证证书。

·体系结构安全

体系结构安全中除了“分区分级、网络专用、横向隔离、纵向认证”的基本要求外,还需要重点评估数字证书和安全标签、防火墙和入侵检测、防恶意代码和拨号认证等方面的技术能力。

数字证书和安全标签评估重点内容:

  • 核查基于公钥技术的分布式电力调度数字证书及安全标签(如:纵向加密 ),是否按照电力调度管理体系要求进行配置;

  • 加密认证机制是否涵盖生产控制大区中的所有重要业务系统,针对电力监控系统业务特点,加密机制是未来保证自身安全性的重要保障措施,同时需要经过技术和实践验证加密技术与业务系统的平衡点。

    防火墙和入侵检测评估重点内容:

  • 核查生产控制大区内不同系统间的逻辑隔离措施及隔离策略配置的有效性,如采用防火墙应该在逻辑隔离、访问控制、报文过滤的功能要求满足GB/T 25068.3-2010的检测要求;目前GB/T 37933-2019《信息安全技术工业控制系统专用防火墙技术要求》于2020-03-01实施,针对电力监控系统中使用的工业防火墙应该同样需要满足该标准要求;

  • 根据国能安全36号文的要求,生产控制大区可以统一部署一套网络入侵检测系统,应当合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在烕胁并进行安全审计。需要重点核查网络入侵检测系统或相当功能的装置的配置合理性,并应及时离线更新其特征库,严禁通过连接互联网在线更新。

    防恶意代码评估重点内容:

  • 核查生产控制大区恶意代码防范措施(如:入侵防御系统、防毒墙等装置)配置合理性,同样需要定期离线更新特征库,严禁通过连接互联网在线更新;

  • 与管理信息大区不可共用一套恶意代码防护措施,以保证对恶意代码防范措施的多样性。

    拨号认证评估重点内容:

  • 核查拨号认证设施的认证情况,必须有国家有关机构的安全认证证书或测试报告;装置需要采用安全加固的操作系统,使用数字证书技术进行登录和访问认证保证通信安全;

  • 在无连接需求时应处于断电关机状态;不允许存在直接连接核心交换机;使用功能过程中仅允许单用户登录,并采取严格监管审计措施。

·本体安全

基本要求:

本体安全是电力监控系统安全防护体系中重要的一环,包含:电力监控系统软件的安全、操作系统和基础软件的安全、计算机和网络设备及电力专用监控设备的安全、核心处理器芯片的安全。

本体安全的相关要求主要适用于新建或新开发的电力监控系统,在运系统具备升级改造条件时可参照执行,不具备升级改造条件的在运系统需要通过健全和落实安全管理制度和安全应急机制、加强安全管控、强化网络隔离等方式降低安全风险。

电力监控系统软件安全评估重点内容:

  • 核查电力监控系统中的控制软件的认证情况。必须满足国家或行业要求的权威机构安全检测认证及代码安全审计,具有相关的检测报告或认证证书;

  • 核查软件设计安全情况。软件中需要包含安全防护理念和防护措施(如:身份鉴别、密码认证、安全审计等防护措施);业务系统软件的各业务模块部署在相应安全等级的安全区(如:火电SIS系统数据横跨生产控制大区和信息管理大区);并保证控制核心模块得到有效防护;

  • 核查软件运维安全情况。安全运维必须对登录账号进行身份认证,并使用安全审计措施对维护过程实施全程监控(采用堡垒机进行运维权限划分和行为审计是行之有效的技术措施),同时禁止通过互联网直接运维生产控制大区的软件。

操作系统和基础软件的安全评估重点内容:

  • 核查重要电力监控系统中的操作系统、数据库、中间件等基础软件的认证情况,必须满足国家有关机构的安全检测认证,具有相关的测试报告或认证证书;

  • 核查评估生产控制大区的操作系统和基础软件的安全情况,启用并配置身份鉴别、访问控制、安全审计等安全功能和策略;

  • 核查生产控制大区业务系统的操作系统和基础软件的更新情况。更新必须经过离线充分验证测试,同时设置最小化的业务运行环境,保证对业务系统运行无影响,禁止通过互联网在线更新的基本原则不变。

    计算机和网络设备及电力专用监控设备的安全评估重点内容:

  • 核查电力监控系统中的计算机和网络设备、电力自动化设备、继电保护设备、安全稳定控制设备、IED、测控设备的认证情况,必选满足国家或行业要求的权威机构安全检测认证,并具有相关的测试报告或认证证书;

  • 核查生产控制大区的计算机和网络设备的安全情况,启用并配置身份鉴别、访问控制、安全审计等安全功能和策略;

  • 核查生产控制大区的计算机和网络设备的对外物理接口情况,包括:网络端口和USB接口等,可以通过技术和物理手段进行封堵,保证对外接口的最小化。

核心处理器芯片的安全评估重点内容:

  • 核查重要电力监控系统中的处理器芯片的认证情况,需要通过国家有关机构的安全检测认证,并具有相关的测试报告或认证证书;

  • 核查重要电力监控系统中的处理器芯片的安全情况,重点关注安全可靠的密码算法、真随机数发生器、存储器加密、总线传输加密等安全防护措施的相关内容,需要满足相关的国家标准。

·可信安全免疫

可信安全免疫是监控系统本体安全的根本核心和补充,从电力监控系统自身和供应链的安全为根本,重点关注强制版本管理、静态安全免疫和动态安全免疫,实现电力监控系统的基础安全。可信安全免疫的相关要求主要适用于新建或新开发的电力监控系统,在运系统具备升级改造条件时可参照执行,不具备升级改造条件的在运系统需要通过健全和落实安全管理制度和安全应急机制、加强安全管控、强化网络隔离等方式降低安全风险。防范有组织的、高级别的恶意攻击。

可信安全免疫评估重点内容:

  • 核查重要电力监控系统关键控制软件的强制版本管理情况。操作系统和监控软件的全部可执行代码在开发或升级后必须通过指定的具有安全检测资质的检测机构的检测,具有检测报告。

  • 核查重要电力监控系统基于可信计算的静态安全启动机制和动态安全启动机制,通过静态度量验证和动态度量验证结合保证操作系统和业务系统从启动到运行全流程的安全度量设计,实现操作系统安全升级、应用完整性保障和安全策略强制实现的全面提升。

备注:静态度量通常指在运行环境初装或重启时对其镜像的度量。度量是逐级的,通常先启动的软件对后一级启动的软件进行度量,度量值验证成功则标志着可信链从前一级软件向后一级的成功传递。以操作系统启动为例,可信操作系统启动时基于硬件的可信启动链,对启动链上的UEFI、loader、OS的image进行静态度量,静态度量的结果通过可信管理服务来验证,以判断系统是否被改动。动态度量和验证指在系统运行时动态获取其运行特征,根据规则或模型分析判断系统是否运行正常。

应急备用设施评估

·冗余备用

冗余备用和数据备份的目的是为了实现电力监控系统的故障快速恢复,建立坚强智能电网,保证业务的连续性。

冗余备用评估重点内容:

  • 核查地市及以上电网调度控制中心硬件设施及人员组织及职责文档、发电厂和变电站的关键设备(控制器、可编程逻辑控制单元、工业以太网交换机、工控主机等),保证在系统、场地、人员岗位等层面的冗余备用;

  • 核查发电厂和变电站关键设备和特别重要设备的定期数据备份情况,按照策略执行备份策略。关键设备需要以双机或双工的方式实现冗余备用;特别重要设备(如现场运行系统及设备关键部位)需要配备自动化控制机制和手动操作设施两种控制方式,并对手动操作相关设备设施有计划进行检修,以防止自动化控制机制异常影响的生产控制问题;

  • 核查各级电网调度控制中心、发电厂和变电站电力监控系统的监控措施、预警措施、人员巡视要求和记录、故障处理流程等,运行状态监控和故障预警措施。

·应急响应

电力监控系统安全防护的核心是保护电网的安全。当生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,应按应急处理预案,立即采取安全应急措施。

应急响应重点评估内容:

  • 核查电力企业应急相关制度的合理性和完整性、应急处理预案的全面性和可行性、应急演练方案的适应性、定期开展应急演练并详细完整记录演练内容;

  • 核查生产控制大区安全事件应急预案或包含相关内容的应急预案、应急操作手册操作流程和操作方法需要详细同时具备可操作性、事件处理过程记录完整详实;

  • 安全事件应及时报告上级业务主管部门和安全主管部门,必要时可断开生产控制大区与管理信息区之间的横向边界连接;在紧急情况下可协调断开生产控制大区与下级或上级控制系统之间的纵向边界连接,以防止事态扩大,同时注意保护现场,以便进行调查取证和分析。

·多道防线

电力监控系统横向从外到内四道安全防线,实现核心控制区安全防护强度的累积效应。纵向从下到上四道安全防线,实现高安全等级控制区安全防护强度的累积效应。

多道防线重点评估内容:

  • 核查电力监控系统的横向安全防线和纵向安全防线安全设备设置的合理性和策略的有效性;

  • 核查网络安全监视措施,实现主机设备、网络设备、安全设备等的信息采集、安全审计、实时监视告警等功能,目前国家电网和南方电网都在调度数据网络中分别部署网络安全监测装置和态势感知采集装置以及各类态势感知主站平台等设备。

安全管理评估

·安全管理体系

安全管理体系重点评估内容:

  • 核查各电力企业安全工作总体方针的管理制度,明确安全管理的职能部门和职责,确认电力企业主要责任人是本单位信息安全第一责任人,对本单位的网络与信息安全负全面责任;

  • 核查各电力企业电力监控系统安全管理制度与运营单位自身需求的符合性,并落实安全管理责任;日常安全生产管理制度中需要包含安全防护、信息报送、网络管理等的相关内容。

·全体人员安全管理

全体人员安全管理重点评估内容:

  • 核查各电力企业安全管理职能部门组织结构、岗位职责等安全管理机构相关文档,重点关注安全管理相关的岗位设置和人员配备,针对数字证书系统等关键系统及设备应配备专门管理员;

  • 核查人员录用、人员离岗、安全意识教育和培训和外部人员访问管理等层面的安全管理人员制度,需要满足等级保护中的安全管理人员的要求。

·全部设备及系统安全管理

全部设备及系统安全管理评估重点内容:

  • 核查电力监控系统中全部业务系统软件模块和硬件设备(特别是安全防护设备)台账或资产清单,避免资产不清,家底不明的现象;同时采购的安全防护设备和重要电力监控系统及设备中不能包含被国家相关部门检测通报存在漏洞和风险的系统及设备,从供应链源头保障安全;

  • 核查接入监控系统的相关系统、设备的接入技术方案,评估安全防护措施的合理性和有效性,并经过安全管理部门审核、批准;

  • 核查已投运的电力监控系统定期开展安全风险评估,并针对风险评估报告的风险项及时处置,一般情况下,重大风险项应立即整改处置,高危风险项应限时整改处置。

·全生命周期安全管理

全生命周期安全管理评估重点内容:

  • 核查电力监控系统及设备的规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等全生命周期各阶段的安全管理制度、操作流程图等安全管理措施相关文档,需要制定针对性的详细可行的管理制度及相关文档,且定期修订;

  • 核查软硬件产品和技术服务合同的合规性、安全性和保密性等层面的内容,供应商应对提供的产品和服务终身负责并无恶意安全隐患,不存在后门和重大的安全风险隐患;重要电力监控系统及专用安全防护产品的开发、使用人员需签订保密协议或安全协议;

  • 核查电力监控系统的安全建设管理要求,在测试验收和系统交付等环节应严格按照相关标准执行,严禁未未验收或验收未通过即已上线运行的情况;

  • 核查电力监控系统及设备的安全运维管理要求,需要覆盖日常运维和安全防护管理、漏洞和风险管理等层面内容,实现运维安全;

  • 核查系统和设备退役报废时含敏感信息的介质和重要安全设备的销毁要求,避免因系统废弃可能带来的新的威胁。

总结

“评估指南”作为“防护导则”的配套使用标准,能够指导电力企业提升和完善电力监控系统的立体安全防护体系。威努特作为专注工控安全的高新技术企业,已实现安全服务体系化、生命周期化,响应技术、管理、人员需求,覆盖电力行业的网络安全咨询、安全评估、方案设计、安全建设、安全运维、安全废弃、安全培训、安全应急服务的全生命周期安全服务,为电力监控系统的安全防护工作添砖加瓦。聚焦电力监控系统的安全防护建设工作,威努特一直在路上。

声明:本文来自威努特工控安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。