1、典型电力网络安全事件回顾
2003年1月,美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQL Slammer蠕虫病毒攻击,网络数据传输量剧增,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。
2006年8月,美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致3号机组被迫关闭。
2010年6月,计算机安全研究员发现一种名为Stuxnet震网病毒专门攻击西门子S7可编程逻辑控制器。该蠕虫病毒可能由美国和以色列的网络战部队发明,目标是伊朗的纳坦兹铀浓缩工厂。该病毒可以通过修改控制流程来改变铀浓缩离心机转子的转速。数据显示Stuxnet摧毁了大约1000台离心机,使伊朗核电站延迟发电半年以上,核战略受到严重影响。
2015年12月,乌克兰电力系统遭受Black Energy 恶意代码攻击,至少有三个电力区域受到影响,导致国内大面积停电。本次事件攻击者入侵了电力监控管理系统,导致7个110KV的变电站和23个35KV的变电站出现故障,最终使80000用户断电。
2、委内瑞拉大停电事件
2019年3月7日,委内瑞拉发生大规模停电事件。当地时间7日下午5时左右,包括首都加拉加斯在内的委内瑞拉全国发生大规模停电。多数地区的供水和通信网络受到影响。
据统计,委内瑞拉超过全国一半地区完全停电且持续超过6天。此次停电是委内瑞拉自2012年以来持续时间最长、影响地区最广的停电时间。委内瑞拉新闻部长罗德里格斯透露:“此次停电的原因是委最重要的古里水电站遭到反对派蓄意破坏”。
根据调查显示,本次停电事件是由于委南部玻利瓦尔州的一座主要水电站发生故障导致,事件发生后委内瑞拉政府积极善后,但由于不明网络攻击的原因,使之前原本已恢复完成近70%的电力系统再次瘫痪。
3、委内瑞拉停电事件分析
此次委内瑞拉大停电事件引发的原因主要有以下三点:
l 国家社会动荡,内部不稳定因素较多,随时会引发类似如纵火爆炸等方面的物理破坏。
l 相关电力系统的基础设施和发电输电设备出现老化,电力设施国产化程度较低,网络防护能力较弱。
l 国家外部一些威胁,如一些国家使用网络武器对整个电力系统的网络进行干扰破坏。由于自身安全防护能力不到位,很容易对整个网络系统造成一些严重的损失。
此次委内瑞拉停电事件的发生并非偶然,“震网病毒事件”、“乌克兰停电事件”无不透露着网络攻击对于工业网络安全的严重威胁。
针对工业网络安全的重要地位,国家发改委、工信部等监管部门分别下发了《电力监控系统安全防护规定》、《工业控制系统信息安全防护指南》等规章制度,同时随着《网络安全法》、《等级保护2.0》等法律法规的发布实施,电力系统工业网络安全建设已刻不容缓。
4、我国电力系统网络安全现状
当前,我国电力系统网络安全防控能力相对薄弱,难以有效应对国家级、有组织的高强度网络攻击。习总书记在2016年4月19日网络安全和信息化工作座谈会上指出,“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”
目前国内电力系统分为发电与供电两大部分,包含发电、变电、输电、配电以及用电等过程,电力系统的网络分布由传统的大型、封闭式网络向超大型、互连型网络转变。电力系统作为国家关键信息基础设施其网络安全“牵一发而动全身”,结合目前电力企业的系统特点及发展状况,电力企业工业控制系统主要存在以下安全风险。
l 没有对其内部生产控制系统及网络进行分区、分层,当发生网络安全事件时无法将恶意软件、黑客攻击、非法操作等行为控制在特定区域内,易发生全局性网络安全风险。
l 没有对其内部不同安全级控制系统进行逻辑隔离和访问控制,导致不同安全级控制系统直连互通,易使生产数据、恶意软件、非法访问等在不同安全级系统间自由传播。
l 没有对其内部重要控制设备进行安全防护,导致重要控制器处于无防护、无审计状态。由于电力系统存在大量停止维护的操作系统如windows XP、windows 2003等,使各工程师站、操作站、上位机系统面临巨大威胁,恶意软件或黑客可以此为跳板和攻击源,同时由于工控协议明文传输、缺乏认证等自身脆弱性,从而使重要控制设备极易遭受恶意软件、非法操作和黑客攻击。
l 生产网操作站、工程师站等缺乏必要的主机安全防护措施,易使病毒、木马等恶意程序以此为入口对工控网络构成威胁。
l 缺乏必要的运维审计措施,第三方运维人员可直接将设备接入网络,无法对其操作行为以及设备安全性进行监测审计。
l 内部控制系统及网络缺乏安全监测与审计措施,无法从流量、工控协议、生产业务层面对生产数据进行监测和审计,无法及时发现非法访问、非法操作、恶意攻击等行为。
l 内部缺乏统一的安全管理平台,形成一个个“安全孤岛”,导致安全设备各自为政,无法对安全产品、安全事件进行统一管理和关联分析,无法发现控制网络的深层安全问题。
2019年1月17日,国家电网在2019年工作两会议中提出建设“三型两网”世界一流能源互联网企业战略目标,“三型”即枢纽型企业、平台型企业、共享型企业,“两网”指“坚强智能电网”和“泛在电力物联网”。随着泛在电力物联网的加速推进,电力终端以及电力系统面临的威胁面将不断扩大,网络安全建设已成为网络运营与使用单位的重要组成部分。
5、英赛克电力行业网络安全解决方案
根据电力企业当前网络安全风险,结合电力行业发展趋势,参考《等级保护》、《电力监控系统安全防护规定》、《工业控制系统信息安全防护指南》等规范标准,可从以下维度进行工控网络安全建设:
l 边界隔离(控制区和非控制区之间)
部署具备隔离保护功能的安全设备实现网络分层分区,边界访问控制,阻断恶意软件、非法访问的传播途径。
l 区域隔离(生产控制大区内部)
采取逻辑隔离措施实现基于区域和功能的网络划分及隔离,对工业专有协议进行深度解析,阻止区域间的越权访问,病毒、蠕虫扩散和入侵,将危险源控制在有限范围内。
l 系统间隔离
采取安全隔离措施,使控制大区内机组监控系统之间、监控系统与控制系统之间、同一机组的不同监控系统之间、监控系统与输变电控制系统之间进行逻辑隔离。
l 重要设备隔离
采取安全隔离措施,对PLC等工控设备或系统进行重点防护,对重要设备工控协议、数据的完整性、功能码、地址范围和工艺参数范围进行深度解析,发现异常指令、告警可疑操作、隔离威胁数据,同时阻止操作员或工程师有意无意的非法操作。
l 主机安全防护
采用白名单技术,对工业主机软件运行以及系统配置进行安全加固,阻止非法软件的滋生与传播。
l 运维安全审计
在工业控制网络核心交换机部署运维审计系统,对本地及第三方运维行为进行安全审计,防止病毒、木马以及恶意攻击通过运维过程带入工业网络,对工业业务产生影响。
l 工控网络监测与审计
采用工控网络监测与审计设备,对当前工控网络的流量、协议、业务进行安全监测与审计,综合利用工控网络监测与审计设备的流量审计、协议审计、业务审计以及安全设计分析与追踪功能,实现工控网络从流量、协议、事件到业务的安全可视、异常行为监测,及时发现各种违规行为和病毒、黑客的攻击行为。
l 统一安全管理
集中管理安全设备,如工业防火墙、监测审计平台等,实现工控网络的拓扑管理、安全配置及安全策略管理、设备状态监控、告警日志等。
具体解决方案防护拓扑图如下(以水电站为例):
6、英赛克解决方案价值收益
(1) 提高发电企业生产稳定性
通过工控网络安全体系建设,可有效降低电力生产网络中存在的安全风险,提高电力生产的连续性和稳定性,保障电力企业的安全生产。
(2) 提高发电企业生产控制网络信息化水平
通过水电企业工控安全体系的建设,能够有效的提高电力企业网络安全认识,切实提升信息化管理水平和管理效率,使管理人员的决策更加及时、准确,使信息流通结构更加合理,增强综合竞争力。
(3) 提升发电企业抵御网络安全风险能力
通过工控安全体系的建设,增强生产控制网络行为的合规性识别能力,避免各种可能出现的由网络安全引起的突发事件,避免或减少发电企业生产控制网络安全威胁。
(4) 提高发电企业安全生产水平,为企业经营效益做贡献
通过工控安全体系的建设,规范电力企业生产控制网络中的资产和行为,可以事前防御由病毒、入侵、异常接入、程序逻辑等导致的安全生产事故,杜绝重大灾难性事件,为企业安全生产做贡献,产生良好的经济效益。
(5) 提供可借鉴的电力生产控制网络安全方案与实施流程
通过工控安全体系的建设,总结出一套固化的水电企业生产控制网络安全方案与实施流程,为其它电力生产控制系统安全改造提供依据。