张晋宾

教授级高级工程师西南电力设计院总工程师

（1967-），男，汉族，中共党员，现就职于西南电力设计院，任设计总工程师，长期从事电力设计、咨询、研究及管理，智能设计软件的研发及应用管理工作等。

能源是现代化的基础和动力。能源供应和安全事关我国现代化建设全局。因此，在国务院2014年印发的“能源发展战略行动计划（2014-2020年）”中提出了我国要加快构建清洁、高效、安全、可持续的现代能源体系。

作为国际标准组织之一的IEC（国际电工委员会），将“信息安全”定义为使信息免受不论是由于有意还是无意的，非授权的公开、传输、变更或破坏的防护。

图1为美国Verizon发布的2014年度各行业遭受的恶意软件攻击频度统计分布图表。由图1可见，能源行业已成为仅次于零售业的主要攻击目标。

图1平均每周恶意软件攻击事件频度行业分布

现今，能源行业的运转已离不开工业自动化和控制系统（以下简称“工控系统”）。倘若工控系统没有适当的信息安全等级防护，有如不对潘多拉魔盒加以管控，则必定会对其受控对象——能源过程带来不可预估的后果。

1　监控系统安全总体架构

电能作为高效、优质、绿色的能源，在社会生活的方方面面起着越来越重要的作用。经过改革开放后三十多年的快速发展，我国电力工业取得了长足进步。在“十二五”期间，我国发电装机规模和电网规模已双双跃居世界第一位。当前发电厂、变电站等电力基础设施的工控系统基本上都采用了智能仪器仪表设备（如带Hart协议的智能变送器、Profibus或FF等现场总线仪表或设备等，推广采用符合IEC 61850的智能电子设备IED）和计算机监视控制系统（如DCS分散控制系统、FCS现场总线控制系统、PLC可编程序控制器、SCADA监控和数据采集系统等），实现了对电网及电厂生产运行过程的计算机监视和控制。

总体来讲，基于计算机技术的电力监控系统（包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等），在确保我国电力安全生产、节能降耗、经济环保运行方面发挥了重大作用。

电力行业计算机系统的信息安全防护成规模成系统部署，始于2002年5月原国家经贸委发布的第30号令，即《电网和电厂计算机监控系统及调度数据网络安全防护规定》，及2004年12月原国家电力监管委员会发布的第5号令，即《电力二次系统安全防护规定》。原电监会5号令中指的“电力二次系统”，包括电力监控系统、电力通信及数据网络等，基本等同于原经贸委30号令中所提的电网和电厂计算机监控系统及调度数据网络。十余年来，我国电力监控系统信息安全从无到有，取得了较大的进步。现今，电力行业的工控信息安全防护均执行国家发展和改革委员会2014年第14号令，即《电力监控系统安全防护规定》。电力监控系统的安全防护遵循“安全分区、网络专用、横向隔离、纵向认证”的原则，其安全防护的总体架构如图2所示。

图2 电力监控系统安全防护总体架构示意图

专用横向单向安全隔离装置，生产控制大区内的控制区（安全区Ⅰ）和非控制区（安全区Ⅱ）之间设置逻辑隔离装置（如防火墙等具有访问控制功能的设备）。电力调度数据网采用专用通道，并使用独立的网络设备组网，也可细分为实时子网和非实时子网，并与生产控制大区控制区和非控制区互联。其间安全隔离采用电力专用纵向加密认证装置或加密认证网关或硬件防火墙。

由此可见，我国电力行业的工控信息安全起步较早，并保持了持续稳定的发展态势，基本上未发生较大以上的网络安全事件，保证了电力行业重要信息基础设施的安全、稳定和高效运行。

2　存在的差距及不足

虽然建立了相应的安全防护体系，但冷静、客观地分析，并与国际先进水平相比，我国电力行业工控信息安全仍存在不少不足或欠缺之处。

2.1　安全防护标准体系不健全

与国外发达国家工控系统安全防护比较，国内的安全防护从标准体系上就不健全。西方少数国家早在20世纪90年代前后就开始了工控系统信息安全的标准化工作，如英国于1995年就发布了关于信息安全管理系统的标准BS 7799。国际标准组织在BS 7799标准基础上，制定了信息安全管理体系ISO/IEC 27000系列国际标准。美国国家标准与技术研究院从20世纪80年代开始就陆续发布了一系列信息安全的报告，其中知名的有NIST SP800-82“工控系统（ICS）信息安全指南”等。IEC基于美国自动化国际学会ISA 99系列标准，先后制定了工控系统信息安全IEC 62443系列标准，如图3所示。

图3 IEC 62443系列标准

国内针对常规信息系统的信息安全等级保护标准较为系统和全面，但针对工控系统的信息安全标准十分欠缺。当前国内所发布的与工控系统信息安全相关的国家标准仅有2部，即GB/T30976.1-2014“工控系统信息安全-第1部分：评估规范”和GB/T 30976.2-2014“工控系统信息安全-第2部分：验收规范”。

具体到能源行业，其针对性的专门信息安全防护标准国内几乎没有。如以火电厂为例，国内尚无专门的信息安全设计标准，当前只是在部分相关标准中少量、分散地提及一些要求而已。如在国家标准《大中型火力发电厂设计规范》GB 50660-2011中，所涉及的信息安全内容篇幅不到半页纸，仅提到了访问控制、数据恢复、防病毒、防黑客等寥寥几点。

在美国和加拿大，电力行业需遵循NERC（北美电力可靠性组织）早在2006年就已制定的 CIP（关键基础设施防护 ）标准，化工行业需遵循CFATS（化学设施反恐标准）标准等。CIP系列标准包括CIP-001 “破坏报告”、CIP-002“信息安全-关键信息系统资产识别”、CIP-003“信息安全-安全管理控制”、CIP-004“人员及培训”、CIP-005“信息安全-电子安全边界”、CIP-006“信息安全-物理安全”、CIP-007“信息安全-系统安全管理”、CIP-008“信息安全-事故报告及响应计划”、CIP-009“信息安全-关键信息系统资产的恢复计划”、CIP-010“信息安全-配置变更管理和脆弱性评估”、CIP-011“信息安全-信息防护”、CIP-014“物理安全”等。

2.2　防护水平不高和发展不平衡

当前，针对工控系统的攻击类别层出不穷。图4展示了SANS学院发布的2014年度针对工控系统的顶级威胁分布矢量图。由图4可见，对工控系统信息安全的威胁，外部攻击只占其中一部分，而来自内部的威胁不容忽视。

图4工控系统顶级威胁矢量图

但是，国内绝大多数企业的信息防护只注重边界防护，主要采用防火墙、网闸、入侵检测系统、入侵防护系统、恶意软件检测软件等标准安全工具，只达到国际标准所要求的SL 1级或SL 2级。一方面，这些防护手段只能提供简单的、低资源、低动因的一般防护，对于由敌对国家或犯罪组织等主导的黑客攻击防护而言则远远不够。例如，跨站脚本（XSS）、路过式（Drive-by）下载、水坑（watering holes）、封套/打包等攻击，可利用合法的网站或软件作隐蔽外衣，常常能旁路常规的防护手段，且难以检测其攻击行为。另一方面，边界防护不能对内部威胁进行有效防护，因此还需采取对员工和承包商严格的访问控制、背景检查、监管、鉴别、审计、灵巧密码复位策略等综合防护措施。此外，国内很少关注撒旦（Shodan）搜索引擎，而该引擎可找到几乎所有与互联网相连的设备。如果没有一定强度的防护措施，则与互联网相联的工控系统和设备则如皇帝新衣般暴露于光天化日之下，极易受到攻击。

在电力行业网络与信息安全防护工作方面，还存在严重的发展不平衡现象。由于重视程度及投入差异等诸多原因，电网企业防护水平明显优于发电企业，传统类型发电企业防护水平明显优于新能源类发电企业，电网生产系统防护水平明显优于营销系统等。

2.3　其它方面

由于国内工控安全的发展时间较短和研发投入不足，普遍缺乏针对工业特点的系列齐全的信息安全产品。如满足2级、3级、4级不同等级保护要求的工控操作系统、数据库系统等。由于强调可靠性、成熟度等因素及历史原因，所采用的工控设备国外产品居多，安全漏洞扫描查找困难较大。

此外，在基层部门，还或多或少存在以下误区或不足：

（1）缺乏风险管控理念，忽视信息安全的总体规划和安全设计；

（2）重信息安全技术措施，轻信息安全管理措施；

（3）重视网络安全，忽视物理安全、应用安全、系统安全等其它方面；

（4）重视边界防护，忽视有效的纵深或深度防护；

（5）重视控制系统防护，忽视现场级智能仪表或设备的接入侧防护；

（6）缺乏对远程访问有效的管控手段。

（7）因匮乏工业级信息防护产品，常将商用信息安全设备用于工控系统中。

3　需求分析

3.1　行业需求

信息安全是为其宿主服务的。因此需先对其服务对象——能源行业进行需求分析。

按照国家行动计划，能源战略发展方向是绿色、低碳、智能；长期目标主要是保障安全、优化结构和节能减排；重点发展领域有，煤炭清洁高效利用（包括高参数节能环保燃煤发电、整体煤气化联合循环发电等）、新一代核电、分布式能源、先进可再生能源、智能电网、智能电厂等。

煤炭清洁高效利用主要是发展大容量、高参数、节能环保型发电机组，由此带来压力容器与压力管道的数量增多、压力等级提升，从而使面临的危险更大。基于核电站已基本不采用工控模拟系统，大力推广工控系统的数字化，其工控系统的信息安全等级要求更高，需求更为急迫。当前电厂、电网的数字化、网络化、智能化发展如火如荼，智能仪表/控制设备、无线传感/控制网络等的大量采用，电厂/电网内IOT（物联网）、IOS（服务互联网）的推广，正在形成泛在的传感、泛在的计算、泛在的控制，网络边界动态及模糊，信息管控面和量剧增，对信息安全形成更大的挑战。虚拟电厂是电力行业网络化继续向前推进的一个显著代表，是一种新型的发电模式，是分布式发电集控或群控技术的发展。其网络互联主要是通过LAN、WAN、GPRS、ISDN或总线系统而实现。所采用的工控系统信息安全应适应虚拟电厂的地域分散性、控制的实时性和可靠性的需求。

在信息安全中，传统的安全目标三角是C（保密性）、I（完整性）和A（可用性）。对于IT应用，其安全优先级排列顺序为CIA；对于工控系统，通常认为安全优先顺序应为AIC。综合能源行业因素，考虑到工控系统的应用对象及其重要性，能源控制系统的网络安全目标不是CIA，也不是AIC，而应是SAIC四角，即在CIA基础上增加S（安全），且优先级最高。

3.2　信息安全平台需求

传统的信息安全防护是采用多层、点状的防护机制，如防火墙防护、基于应用的防护、IPS、抗病毒、端点防护等。从安全角度看，上述机制主要是基于状态检测原理，处于分割状态，不能提供完善的防护，如7层可见度、基于用户的访问控制等。

因此，宜采用具有完整的、高度融合的、防范内外威胁且减小成本的工控信息安全平台。选择或构建的新型安全平台必须具有至少以下9个方面的能力。

（1）利用威胁防范智能核集成网络和端点安全；

（2）基于应用和用户角色，而不是端口和IP，对通信进行分类；

（3）支持颗粒度可调的网络分段，如基于角色或任务的访问等；

（4）本质闭锁已知威胁；

（5）检测和预防未知恶意软件的攻击；

（6）阻止对端点的零日攻击；

（7）具有集中管理和报告功能；

（8）支持无线和虚拟技术的安全应用；

（9）强大的API和工业标准管理接口。

3.3　政府管理层面的需求

信息安全是一个多维度、多学科、技术和管理并存、动态发展的综合体。要达到国家等级保护3至5级（特别是4级以上），或国际标准所定义的SL3级或SL4级信息安全等级，没有国家及政府层面的介入，单凭企业的力量是难以实现的。

在美国，其国土安全部下属的NCCIC（国家信息安全和通信一体化中心）和专门成立的ICS-CERT（工控系统-信息安全应急响应工作组），核心任务是帮助关键基础设施资产所有者降低相关控制系统和工艺过程的信息安全风险。ICS-CERT是以天为单位响应每天所发生的信息安全事件，通过与公司网络的连接，覆盖几乎所有的与控制系统环境损害有关的攻击事件。在2014年，ICS-CERT曾对两类针对控制系统的高级威胁作出及时响应：其一为采用水坑式攻击的Havex；其二为利用控制系统脆弱性，直接控制人机接口的BlackEnergy。

为了应对日益增多的针对基础设施控制系统的威胁，我国也应成立类似的、专门的能源等基础设施信息安全机构和工作组，从政府层面指导、监督、帮助核心企业应对信息安全风险。

4　结语

鉴于能源行业的特点及信息安全的覆盖面，应从国家层面开展能源领域控制系统与工控信息安全应用示范。示范宜遵循总体规划，针对对象特点和功用的分步骤/分阶段/分区域试用，最后再系统性地集成工程应用的工作模式。考虑到信息安全的维度和深度，宜做好研发和应用示范的总体规划，原则上每一信息安全产品均应经过策划、评审、研制、测试、试用、消缺、验收、推广的过程，成熟一个推广一个，并应做好实施后的定时评测和安全加固。

在应用示范的基础上，宜形成适合能源特点的、满足工控实时性和可靠性需求的信息安全CBK（公共知识体系），包括安全管理、安全体系结构和模型、业务持续性计划、法律法规、物理安全、操作安全、访问控制系统和方法、密码、网络安全、应用开发安全等。此外，为方便信息产品的安装设计、选型应用，国家主管部门宜定期公布各类符合要求的、不同等级的信息安全产品信息。

参考文献：

[1] Mark Merkow, Jim Breithaupt. Information security: Principles and practices[M].Pearson education, Inc, 2008.

[2] SANS Institute. 2014 survey on industrial control system security [R].

[3] Jason Glassberg. Four stealthy cyber attacks targeting energy companies[J].Power，2015, (9): 56 -59.

[4] Mario Chiock, Del Rodillas. Defining the 21st century cyber-security protection platform for ICS[R].

摘自《工业控制系统信息安全专刊（第二辑）》