SCADA系统信息安全风险防护措施——关于我国SCADA系统信息安全的研究与思考之三

《　《：　蒌蓍　ｌ差　＠　⑨　弱醯值圆鼠　凤　翰汐旧国　关于我国ＳＣＡＤＡ系统信息安全的研究与思考之三　徐金伟　１　ＳＣＡＤＡ系统安全项目的建立和实施　下面概括了建立和实施一个ＳＣＡＤＡ系统安全　项目的主要步骤和内容：　１．１获得高级管理层的支持与参与　对一个成功的ＳＣＡＤＡ系统安全项目来说，高　级管理层（包括管理ＩＴ和ＳＣＡＤＡ系统事务）的　支持和参与至关重要。　１．２组建￣ｎｇｌｌ练一支跨领域的网络安全小组　跨领域的网络安全小组在评估和消除ＳＣＡＤＡ　系统中的安全风险时，能够分享不同领域的知识和　经验。该小组至少应该由下列成员组成：ＩＴ人员、　控制工程师、安全问题专家、管理人员。涉及的安　全知识和技能应该包括：网络体系结构和设计、安　全过程和实践、安全基础设施设计和实施。网络安　全小组也应该包含控制系统的提供商。　１．３定义权限和范围　网络安全小组应该建立公司策略，定义安全组　织的指导权限和角色、职责、以及系统所有者和使　用者的责任。　１．４定义明确的ＳＣＡＤＡ系统策略和规程　策略和规程是每一个安全项目成功的根本。　ＳＣＡＤＡ系统策略和规程应该尽可能与现有的操　作／管理策略相结合。对于防范不断发展变化的　安全威胁，策略和规程有助于保证安全防护的一致　性和时效性。当了解清楚各种系统的风险之后，网　络安全小组应当检查现有的安全策略能否恰当地处　理ＳＣＡＤＡ系统的风险。如有必要，应该对现有的　策略加以修订，或者产生新的策略。同时，需要制　２　Ｏ　ｌ　２　Ｏ　１　１１｛圃日　圉　ＩＷＶ＃Ｗ　ｒｌｓＣ　ｏｒｇ　Ｃｎ　定支持策略的规程，使策略能够被正确、充分地执　行。安全规程应该形成文档，进行检验并且定期更　新，以适应策略和技术的改变。　１．５定义和清查ＳＣＡＤＡ系统以及网络资产　网络安全小组应该对ＳＣＡＤＡ系统中的应用　和计算机系统，包括网络进行识别和记录。重点　要放在系统上而非单纯的设备上，并且应当包括　ＰＬＣ、ＤＣＳ、ＳＣＡＤＡ，以及那些使用像ＨＭＩ这种　监控设备的系统。使用路由协议或拨号访问的设备　也应该被记录。网络安全小组需要每年复查和更新　ＳＣＡＤＡ系统资产列表。　１．６执行风险和脆弱性评估　应当对ＳＣＡＤＡ系统进行风险评估，根据评估　结果按照潜在的风险级别将系统排序。对风险等级　高的系统做进一步详细的脆弱性评估，如果资源允　许，也可以对风险等级较低的系统进行进一步评估。　脆弱性评估有助于识别系统中存在的安全漏洞以及　网络安全风险，这些安全漏洞和网络安全风险可能　对系统的保密性、完整性、可用性以及数据安全产　生不利影响，也有助于找到减轻风险的解决办法。　脆弱性扫描工具由于具有潜在的破坏性，因此　在对生产不能中断的ＳＣＡＤＡ系统网络进行评估时　要谨慎使用。　１．７定义减轻风险的控制措施　对风险评估的结果应该进行详细的分析，综合　考虑风险发生的代价和消除该风险的成本，选择适　当的风险控制措施。　１．８提供培训并提高安全意识　安全意识是有效防范ＳＣＡＤＡ系统事故的关键　部分，尤其对于社交工程威胁来说更是如此。　２　ＳＣＡＤＡ系统安全防护架构参考　２．１　ＳＣＡＤＡ系统安全防护的内容和边界　为了说明ＳＣＡＤＡ系统安全防护的内容和边界，　用抽象的ＳＣＡＤＡ模型进行图示，见图１。　／　．—＿‘－　ｊ－　｜　＼　＼　／　＼　☆　∞　ｍ　／　＼　／　、～一一　一一图１　ＳＣＡＤＡ系统抽象模型和安全防护对象及边界　ＳＣＡＤＡ安全防护的内容按地域划分，包含三　部分，分别是：控制中心、网络和现场设备。圆形　虚线表示其防护边界。　ＳＣＡＤＡ安全防护的内容按功能划分，分为三层，　分别是：信息感知控制层、网络层和调控处理层。　２．２　ＳＣＡＤＡ系统安全防护的基本架构　ＳＣＡＤＡ系统是以计算机技术、网络技术和自动　化技术为基础的过程控制与调度自动化系统，通常　由控制中心（本地或异地）、通信网络及现场控制设　备及网络组成。构建安全的ＳＣＡＤＡ系统必须要保　证系统各个组成部分及其重要组件的安全，同时实　现各子系统问的安全可信交互。基于这一思想，提　出ＳＣＡＤＡ系统的基本安全防护架构，如图２所示。　图２　ＳＣＡＤＡ系统基本安全防护架构　藿ｊ誓誊　ＳＣＡＤＡ系统作为国家重要基础设施，其安全　性对国家安全、社会利益具有重要影响，各行业的　ＳＣＡＤＡ系统的信息系统安全保护等级均较高，普　遍为第３级或第４级。在进行安全防护体系建设时，　还应参照　信息安全技术信息系统安全等级保护　基本要求　（ＧＢ／Ｔ　２２２３９－２００８）和　ＳＣＡＤＡ系　统安全等级保护实施指南　，根据Ｓ　Ｃ　Ａ　ＤＡ系统具　体情况及所处的安全环境具体确定。　２．３　ＳＣＡＤＡ系统安全防护的纵深防御体系架构　ＮＩＳＴ　ＳＰ８００—８２　工控系统安全指南》在文　中第五章，提出了工业控制系统纵深防御体系架　构的建议，其架构如图３所示。这一体系架构是　ＤＨＳ控制系统安全计划（ＣＳＳＰ）推荐的，在文件　“控制系统网络安全：深度防御策略”中详细论述。　此外，ＣＳＳＰ还论述了具体技术细节和相关措施。　文档“控制系统网络安全：深度防御策略”为　使用控制系统网络的组织提供了一个维持多层次信　息体系架构的深度防御体系。这个体系要求：　（１）维持不同领域的设备，遥测搜集，工业级处　理系统；　（２）通过远程数据链路或调制解调器接入；　（３）为用户或公司业务提供面向公众的服务。　图５　ＳＣＡＤＡ系统纵深防御体系架构　策略包括使用防火墙、使用非军事区和整个工　业控制系统的入侵检测能力。图３所示的网络架构　使用了多个非军事区来区分不同功能和访问权限，　为具有不同操作任务的大型网络提供了非常有效的　保护。入侵检测系统采用不同的规则库对不同的安　２　０　１　２．Ｏ　１　固曰皿豳ｌ１２　ＷＷＷ　ＤＳＣ．ｏｒｇ．Ｃｎ　Ｃ　》　莲薹　Ｓ　《：薹ｊ巍ｌ　全域进行监测。　３建立ＳＣＡＤＡ系统安全标准体系　国外发达国家一般将工控系统安全作为信息安　全保障中的一个独立的体系进行建设，所以在工业　控制系统领域的安全标准研究工作开展较早，进　展较快，前几年已预编了工业控制系统的安全防　护框架（２００４．４．１４美国国家标准与技术协会　工　业控制系统防护框架ｖ１．０　）内容涉及ＳＰＰ（系　统防护框架）定义和简介，系统评价目标简介和概　述，系统目标评价范围，安全特性等等，为美国各　工业领域的工控系统安全防护工作制定了建设框　架，是工控系统安全防护设计的第一个标准。２００６　年ｌ２月发布了ＮＩＳＴ　ＳＰ８００－５３　联邦信息系统安　全控制的指导意见　和三个附录。２００７年１　１月３０　日，发布了ＮＩＳＴ　ＳＰ８００－８２　工控系统安全指南　二版草稿（征求意见稿），进一步规范了ＳＣＡＤＡ、　ＤＣＳ、ＰＬＣ等工控系统的安全防护基本技术要求并　对如何将ＮＩＳＴ　ＳＰ８００－５３中推荐的对系统、业务　的安全管理和技术控制应用到ＩＣＳ提供了初始指南。　依据我国信息安全发展战略，我国近年来加强　了对基础网络和重要信息系统的信息安全防护工作，　国家信息安全主管部门每年组织对关乎国家重要经　济发展的行业进行信息安全检查，从检查中看：有　些行业（如电力、轨道交通、中石油、中石化、自　来水集团等）的网络信息系统与通常的ＩＰ网系统　从技术架构和应用方面，的确有很大的不同；这些　行业的信息系统影响网络安全状态的因素、运行环　境、网络安全属性和防护重点均具有鲜明的行业特　点；这些大量采用ＳＣＡＤＡ系统的行业在进行信　息安全防护建设时，苦于没有相关国家标准的支持，　只能照搬通用ＩＴ的安全标准，造成建设和测评工　作的诸多不便；所以制定一部国家层面的有关工控　ＳＣＡＤＡ系统的安全防护框架性指南（指引）和配　２　Ｏ　１　２．Ｏ　１　１３｝圃Ｅ　圈　｝ＷＷＷ　ｎｓｃ　ｏｒｆｊ　ｃｎ　套的标准体系是摆在信息安全评估领域的一项重要　工作。　３．１标准体系的预结构　工控ＳＣＡＤＡ系统安全防护标准体系至少分为　三层，分别为指导层、实施层和测评验证层。　第一层应包括下列标准：　ＳＣＡＤＡ安全指南　：该标准文件精辟阐述　ＳＣＡＤＡ系统的技术架构特点，存在的安全漏洞和　面临的威胁，提出相应的安全对策、安全防护架构　和安全防护标准体系。　该标准文件是ＳＣＡＤＡ系统安全标准体系的主　导文件。　第二层应包括下列标准：　（１）　ＳＣＡＤＡ系统安全防护管理指南　：该标　准文件从管理角度出发，对ＳＣＡＤＡ系统安全管理　的定义、目标、原则进行了描述和规范。同时，对　ＳＣＡＤＡ安全防护管理工作中的角色划分以及安全　防护体系的组成进行了说明。　该标准文件适用于ＳＣＡＤＡ系统安全管理工作。　（２）　ＳＣＡＤＡ系统安全等级保护实施指南　：该　标准文件规定了ＳＣＡＤＡ系统安全等级保护的概念、　对象、目标，安全等级划分原则，并结合ＳＣＡＤＡ　系统的生命周期定义了ＳＣＡＤＡ系统安全等级保护　实施过程中的主要阶段及主要活动。　该标准文件适用于ＳＣＡＤＡ系统的安全等级保　护工作。　该标准文件是ＳＣＡＤＡ系统安全等级保护的总　体指导性文件，针对具体网络的安全等级保护可参　考具体网络的安全防护要求和安全防护检测要求。　（３）　ＳＣＡＤＡ系统安全风险评估实施指南））：该　标准文件规定了对ＳＣＡＤＡ系统安全进行风险评　估的要素及要素之间的关系、实施流程、工作形式、　遵循的原则，在ＳＣＡＤＡ系统生命周期不同阶段的　不同要求和实施要点。　ｃ０　Ｍ　Ｐ　ＵＴＥＲＳ　！≤　噩Ｊ薹鼍ＩＴ　墨掣　麓　Ｅ主　　…该标准文件适用于ＳＣＡＤＡ系统风险评估工作。　可根据各自行业ＳＣＡＤＡ系统的结构和功能特殊性，　该标准文件可作为Ｓ　Ｃ　Ａ　Ｄ　Ａ系统安全风险评估的　总体指导性文件，针对具体网络的安全风险评估可参　见具体网络的安全防护要求和安全防护评估要求。　进一步组织人员制定本行业ＳＣＡＤＡ系统的安全建　设标准。　可能的标准文件如下：　第三层应包括下列标准：　（１）　石油天然气行业ＳＣＡＤＡ安全指南　（２）　自来水行业ＳＣＡＤＡ安全指南　（３）　城市轨道交通ＡＴＣ安全指南　（１）　控制中心（ＭＴＵ／ＨＭＩ／Ｗｅｂ）安全防护　要求＆检测要求　：该标准文件规定了ＳＣＡＤＡ系　统的控制中心在安全等级保护、安全风险评估、灾　难备份及恢复等方面的安全防护要求和检测要求。　（４）　高速铁路ＣＴＣ安全指南　（５）　燃气行业ＳＣＡＤＡ安全指南　（６）　石化行业ＤＣＳ安全指南　（２）　现场设备（ＰＬＣ／ＲＴＵ／ＩＥＤ）安全防护要　求＆检测要求　：该标准文件规定了ＳＣＡＤＡ系统　的现场设备在安全等级保护、安全风险评估、灾难　备份及恢复等方面的安全防护要求和检测要求。　（３）　通信网络安全防护要求＆检测要求　：该　标准文件规定了ＳＣＡＤＡ系统的通信网络系统在安　全等级保护、安全风险评估、灾难备份及恢复等方　面的安全防护要求和检测要求。　参考文献：　［１］美国ＮＩＳＴ　ＳＰ８００—８２《工控系统安全指南》．　［２】ＩＥＣ　６２３５１《电力系统管理及其信息交换数据和通信安　全》．　［５］我国ＳＣＡＤＡ系统信息安全现状调研报告．　［４］ＳＣＡＤＡ系统安全指南研究．　［５］国家信息安全预编标准￣ＳＣＡＤＡ系统安全指南》．　３．２行业标准的制定　国内各大行业，参照ＳＣＡＤＡ系统的国家标准，　作者简介：徐金伟，男，总参某研究所研究员。　ＣＳＤＮ针对密码泄露做出安全审核结论　首家被曝密码泄露的ＣＳＤＮ　ＣＳＤＮ的部分用户数据库泄露，　ＣＳＤＮ目前正在申请信息系统等级　日前给出了安全审核结论，这是　主要原因有四点：第一是开源　保护，以接受信息安全监管部门的　中国互联网史上最大泄密案涉及　ＣＭＳ系统等第三方系统存在漏洞，　监督管理。据了解，ＣＳＤＮ也将在　网站后台引入安全审核机制，从内　部杜绝数据泄露的可能性。　２０１１年ｌ２月２１日，Ｃ　ＳＤＮ　的网站中第一家向外界给出的安　导致ＣＳＤＮ系统存在安全风险；　全审核结论。　二是应用程序存在跨站脚本漏洞；　ＣＳＤＮ创始人蒋涛在ＹＯＣＳＥＦ　第三，网站存在大量系统后台认　论坛上表示，此次安全审核结论是　证漏洞，如弱口令及暴露的后台　的安全系统遭到黑客攻击，６００　在在发生数据库泄露后，ＣＳＤＮ邀　等；ＣＳＤＮ已经停用但还在线上　万用户的登录名、密码及邮箱遭　请相关安全公司对网站系统进行了　全面检测后得出的报告。　蒋涛介绍说，根据杭州安　的老系统也是导致此次数据泄露　的原因之一。　到泄漏。网络上，由于ＣＳＤＮ部　分密码以明文方式显示，导致大　蒋涛表示为了减小数据泄露　量网民受到隐私泄露的威胁也饱　恒出具的安全审计报告，此次　的风险，提高网站系统的安全性，　受争议。　２　Ｏ　１　２．Ｏ　１　圃日皿圈ＷＷＷ　ｎｓｃ．ｏ　ｒｇ．Ｃ　ｒｌ　１４