电力是指以电能作为动力的能源,完整的电力系统包括发电、输电、变电、配电和用电等环节。电力是关系国计民生的基础产业,电力供应和安全事关国家安全战略,事关经济社会发展全局。工业自动化和控制系统(简称“工控”)作为电力的感官和中枢神经系统,确保其网络安全,使其始终处于稳定可靠运行状态,对于保障电力安全运营至关重要。
根据电力设施特点及技术发展,近期全球工控技术和信息安全技术现状及其发展态势,对2018年电力工控网络安全预测如下:
1、网络安全已上升为国家战略,国家对工控网络安全的监管和要求会更加严格。
2016年7月,NATO(北约)华沙峰会已将网络空间认定为作战域,视网络攻防为新的战场。2017年法国、俄罗斯、德国、印度等相继建立了网络部队。在2017年由澳大利亚、美国、日本三国联合开展的"护身军刀"军事演习中,加入了网络攻防对抗科目。
习近平总书记指出,没有网络安全就没有国家安全。近一年多来,我国颁布了《中华人民共和国网络安全法》、发布了《国家网络空间安全战略》等法律、法规和政策性文件。《中华人民共和国网络安全法》是国家网络安全领域首部基础性、框架性、综合性法律,《国家网络空间安全战略》是指导国家网络安全工作的纲领性文件。自2017年6月1日起施行的《中华人民共和国网络安全法》,就有关电力等关键信息基础设施运行安全方面,规定了国家相关部门的法律职责,网络产品/服务的提供者、网络运营者等的法律义务。2017年12月29日工业和信息化部发布了《工业控制系统信息安全行动计划(2018-2020年)》。预计在2018年《关键信息基础设施安全保护条例》、《网络安全等级保护条例》等与电力工控信息安全相关的系列法规、条例会相继出台。随后,国家发展改革委、工业和信息化部、能源局也会相应制定、修订与电力工控安全防护相关的管理和技术规定。今后,电力运营者、网络产品或者服务的提供者、网信部门和有关管理部门等不履行法定的网络安全保护义务或职责的,则会承担相应的法律责任。
此外,公安部近期已提出等级保护已从1.0时代进入2.0时代,管理策略相应从1.0的“自主定级、自主保护、监督指导”转向为2.0的“明确等级、增强保护、常态监督”,监管范围增加了云计算平台、移动互联网、物联网、工业控制系统和大数据安全,要求构建“侦攻防管控”一体化的网络安全综合防控体系。
2、网络安全体系系列标准规定日趋完善,电力工控网络安全技术和管理更加规范。
近年来,国家制定发布了101项网络安全标准,与工控网络安全相关并已实施的有:GB/T 26333“工业控制网络安全风险评估规范”、GB/T 33007“工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序”、GB/T 33008.1“工业自动化和控制系统网络安全 可编程序控制器(PLC) 第1部分:系统要求”、GB/T 33009.1“工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求”、GB/T 33009.2“工业自动化和控制系统网络安全 集散控制系统(DCS) 第2部分:管理要求”、GB/T 33009.3“工业自动化和控制系统网络安全 集散控制系统(DCS) 第3部分:评估指南”、GB/T 33009.4“工业自动化和控制系统网络安全 集散控制系统(DCS) 第4部分:风险与脆弱性检测要求”等。
2018年即将实施的国家标准有:GB/T 35673-2017“工业通信网络 网络和系统安全 系统安全要求和安全等级”、GB/T 20985.1-2017“信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理”、GB/T 29246-2017“信息技术 安全技术 信息安全管理体系 概述和词汇”、GB/T 34942-2017“信息安全技术 云计算服务安全能力评估方法”、GB/T 35274-2017“信息安全技术 大数据服务安全能力要求”、GB/T 35277-2017“信息安全技术 防病毒网关安全技术要求和测试评价方法”、GB/T 35278-2017“信息安全技术 移动终端安全保护技术要求”、GB/T 35279-2017“信息安全技术 云计算安全参考架构”、GB/T 35280-2017“信息安全技术 信息技术产品安全检测机构条件和行为准则”、GB/T 35283-2017“信息安全技术 计算机终端核心配置基线结构规范”、GB/T 35290-2017“信息安全技术 射频识别(RFID)系统通用安全技术要求”等。
正在研究制定的标准有二百多项。预计2018年发布的国家标准有:《电力监控系统网络安全防护导则》、《信息安全技术 工业控制系统信息安全分级规范》、《信息安全技术 工业控制系统现场测控设备通用安全功能要求》、《信息安全技术 工业控制系统安全管理基本要求》、《信息安全技术 工业控制系统风险评估实施指南》等。此外,预计公安部也将完整发布GA/T 1390“信息安全技术 网络安全等级保护基本要求”系列标准(包括第1部分:安全通用要求;第2部分:云计算安全扩展要求;第3部分:移动互联安全扩展要求;第4部分:物联网安全扩展要求;第5部分:工业控制安全扩展要求;第6部分:大数据安全扩展要求)。
3、随着国家网络安全等级保护2.0机制的推进、国家“一网一库三平台”的建设,预计我国电力工控信息安全防护能力会陡增。
近年来,随着智能电网、智能发电、“互联网+”智慧能源建设的不断深入,数字设备、智能设备、远程运维&诊断系统应用的大量普及,横向、纵向、端到端集成互联范围的逐渐扩大,云计算、大数据、移动互联、工业物联网等新一代技术的加快应用,加之分布式并网发电站点及范围的加速增长,电力工控面临的安全脆弱性和安全风险不断增高。
新推出的等级保护2.0在继承了等级保护1.0中以资产防护为目标的成功实践基础上,结合近些年网络与信息技术的新变化,增加了云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求、大数据安全扩展要求等五项新的安全防护要求。另外,随着2018年国家开始全面建设工控安全方面的“一网一库三平台”(即:“一网”——全国在线监测网络;“一库”——应急资源库;“三平台”——仿真测试、信息共享、信息通报平台),我国电力信息安全的监测预警、积极防御、应急处置能力会得以显著提升。
4、随着安全可信机制的推进,新型电力工控系统或设备开始系统性采用安全可信体系。
安全可信系统架构包括体系结构可信、操作行为可信、资源配置可信、数据存储可信和策略管理可信等。完整的可信安全对象是由可信供应链、可信根、可信操作系统、安全数据存储、安全通信、软件完整性、安全设备管理等构成。只有基于可信设备而建立的工控系统,才可以克服传统的基于普通设备而仅采用“封堵查杀”的不彻底性,增强自身的主动免疫力,从而从根本上系统解决工控系统的信息安全。
《中华人民共和国网络安全法》第十六条明确了国家“推广安全可信的网络产品和服务”。去年刚发布的公共安全行业标准GA/T 1390.5—2017“信息安全技术 网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求”也推荐新开发的重要工业控制系统采用“基于可信计算技术的工业控制系统安全等级防护”。考虑到电力系统的高安全性和高可用性要求,部分电力工控系统供应商已开始研发基于可信机制的新型工控系统,预计2018年会有一系列相应的工控设备及系统面世,并适时开展应用。
5、随着安全通信协议安全功能作用的增强和接受度的提高,在电力设施升级改造、新建项目(如工控系统基本功能)中会逐渐扩大其应用范围。
早期电力工控系统(主要是发电侧),由于计算资源有限、相对独立且受时代限制,常采用专有或普通通信协议,故而在通信中面临着数据泄露、数据完整性破坏、身份伪装和拒绝服务等各种网络威胁。安全通信协议由于采用了鉴别、授权、加密、数字签名等安全技术,可以提供相应等级的安全服务功能。
电力工控系统的基本功能是指保持健康、安全、环境和电力设备/系统可用性所需的功能。国际主流趋势是对于实现基本功能的工控系统,须采用安全通信协议。此外,对于实现系统互联的通信协议,也宜更换为具有信息安全功能或能力的安全通信协议。例如,将早期的OPC协议更换为安全性较高的OPC UA协议。
6、AI(人工智能)信息安全技术开始应用于电力工控系统,特别是区域级或国家级骨干系统中。
近年来,AI加速发展,呈现出深度学习、跨界融合、人机协同、群智开放、自主操控等新特征,并开始应用于信息安全领域(如用户鉴别、生物特征识别、访问控制、黑/白名单规则建立、IDS/IPS、渗透测试、态势感知、监测预警等)。基于AI的信息安全应用程序,利用监督学习、非监督学习、深度学习等机器学习技术,不仅可以从海量的数据中学习、监视、分析、识别攻击模式,而且也能够提前预测到下一个攻击类型的发生。例如,IBM已将其沃森(Watson)应用于信息安全智能平台,取得了10倍于人工的攻击发现量,且发现时间快于人工60倍。
预计2018年在区域级或国家级电力系统骨干网、大型发电集团远程集中监控诊断中心、建设中的全国工控信息安全在线监测网络中,会率先应用AI信息安全技术。与其他任何技术一样,AI也是把双刃剑,《哈佛商业评论》称,“AI驱动的网络攻击的兴起,将导致网络渗透、个人数据盗窃、智能计算机病毒流行性传播的大爆发”。2018年极有可能会在信息安全领域内首次出现AI对AI的攻防战。
7、电力等关键基础设施的工控信息安全威胁机率持续上升,面临的风险更高,局部地区可能出现黄色、甚至橙色预警。
近年来,国际上对电力关键基础设施的攻击事件频发。如2015年12月、2016年12月乌克兰电网分别遭受网络攻击,致大规模停电。2017年4月爱尔兰国有电力供应商EirGrid的Vodafone网络遭受国家支持型黑客攻击。2017年10月20日,美国联邦调查局和国土安全部联合发布编号为TA17-293A的紧急黄色预警:称自2017年5月以来,黑客采用APT(高级持续性威胁)攻击手段,一直在渗透美国运营核电站和其他能源设备公司的工控计算机网络。
针对工控系统的恶意软件日益增多。除众所周知的针对伊朗核设施的Stuxnet、针对乌克兰电网的Industroyer和BlackEnergy、针对美国的Sandworm外,2017年12月国际知名FireEye安全公司发现一款针对施耐德电气Triconex安全仪表控制系统SIS控制器的恶意软件TRITON。TRITON攻击造成中东一家能源工厂停运,幕后黑手疑似为国家支持型攻击者。这是黑客成功入侵工控安全保护系统的第一起正式报告,令人震惊。
预计在2018年,在局部热点冲突地区或潜在冲突地区,极有可能持续出现国家支持型对电力等关键基础设施的攻击事件,可能出现黄色、甚至橙色预警。
8、全球信息安全开支增长迅猛,在工控安全方面的投入也会相应增长。
据Gartner预测:世界范围内信息安全开支在2017年将达864亿美元,比去年增长7%;2018年则预计可达930亿美元。欧盟(EU)2016/679号法规《通用数据保护条例》(GDPR,General Data Protection Regulation)将于2018年5月25日生效。按GDPR规定,全球未保护好欧盟公民个人信息的任何公司,将面临最高达4%全球营业额的罚款。加之前不久EternalPetya(NotPetya)、WannaCry和BADRABBIT等毁灭性攻击所造成的严重后果,由此可推测,2018年全球信息安全投入会远远高于Gartner的预测数据。
依照自2017年6月1日起施行的《中华人民共和国网络安全法》:国家对电力等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。并要求安全技术措施与信息基础设施一起同步规划、同步建设、同步使用。同时,对电力运营者应履行的安全保护法律义务、网络产品和服务、检测评估等均做出相应的法律规定。
随着《中华人民共和国网络安全法》的颁布实施,等级保护2.0的持续推进,预计2018年及以后一段时间,我国电力工控网络安全方面的投入会持续较快增长。
作者简介:张晋宾(1967-),男,汉族,教授级高级工程师。现就职于中国电力工程顾问集团有限公司。长期从事仪表与自动化、信息技术工程设计、研究及管理。参与编写国际标准、国家标准、行业标准39项。发表70余篇技术论文,出版学术著作4部,获28项国家计算机软件著作权。
声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。