公司新闻

当前位置:首页 > 公司新闻 > 行业资讯 > 详细信息

电力监控系统网络与信息安全发展趋势与防护措施

来源:安徽立卓智能电网科技有限公司   发布时间:2017-11-15   被阅读595次

    工业信息安全已成为国家安全体系的有机组成部分;从全球范围来看,工业信息安全形势日趋严峻;从国家需求来看,各国加紧工业信息安全领域布局;从我国现状来看,工业信息安全风险逐步威胁到经济社会健康发展。
    工业信息安全是指工业运行过程中的信息安全,涉及工业领域各个环节,直接关系到经济发展与社会稳定,包括工业控制系统安全、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全、关键信息基础设施安全等领域。
    电力作为关键信息基础设施之一,同时电力监控系统也是工业控制系统的一个分支领域,电力监控系统网络与信息安全的发展趋势和工业信息安全的发展趋势一脉相承。即包括电力监控系统安全、电力互联网安全、电力大数据安全、电力云安全、电力电子商务安全等。
    此外,随着《网络安全法》于201761日正式实施,为更好地落实其中第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”。总书记指出“基础不牢,地动山摇”,打牢网络安全等级保护制度基础,对于保障关键信息基础设施安全至关重要。因此需要在理清关键信息基础设施保护制度与网络安全等级保护制度在保护对象、保护措施、管理流程和建设实施等方面的关系的基础上,认真研究关键信息基础设施的等级保护基础工作。
    因此电力监控系统需按照关键信息基础设施安全等级保护要求(等保2.0)进行合规性建设。即按照《网络安全等级保护设计技术要求 第5部分:工业控制安全要求》、《网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求》、《网络安全等级保护测评要求 第5部分:工业控制系统安全扩展要求》等具体要求进行合规性建设。
新型的防护措施
1、工业控制环境下的工控安全产品的逐步推广和应用
1.1工业防火墙
    工业防火墙是专门为工业控制系统开发的信息安全产品。适用于SCADADCSPCSPLC等工业控制系统,可以被广泛的应用到核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统。
    传统防火墙的功能:访问控制功能,往往用于实现工控网络的横向隔离要求。主要功能体现在网络层的控制,包括根据IP、端口、mac地址进行限制数据传输。
    工业防火墙的功能:首先具有传统防火墙的主要功能,另外最突出的一点是内置工业通讯协议的过滤模块,支持各种工业协议识别及过滤,弥补商业防火墙不支持工业协议过滤的不足。例如多芬诺的工业防火墙支持霍尼韦尔的C200\C300控制器、Honeywell CDAHoneywell FTE协议;支持西门子的S7-200S7-1200S7-300控制器、WINCCSTEP7软件等等。针对工业协议采用深度包检测技术及应用层通讯跟踪技术。能够对工控网络的数据包进行深度包解析,目前技术一般解析到工控协议的指令层,可以实现对非法指令的阻断、非工控协议的拦截,起到保护关键控制器的作用。
1.2主机安全防护系统
    在几年前,一个病毒需要数周或者数个月才能在工业控制系统网络中发现,而如今,一个病毒在数天甚至更短时间之内就可以在多个国家的工业控制系统中发现样本,勒索病毒就是典型的例子,而且病毒的变种速度之快也令人咋舌,从WannaCryPetya再到NotPetya也仅仅用了不到3个月的时间。
    杀毒软件,即黑名单技术,与生俱来具有以下缺点:
   (1)黑名单技术是一种检测或防止已知恶意程序运行或进入非授权区域的方法,大多数防病毒程序就使用的黑名单技术来阻止已知威胁。但由于黑名单不能阻止未知攻击行为,并具有一定的滞后性,致使黑名单技术只能在传统信息化网络中发挥比较好的作用,当然前提是黑名单内容的准确性和完整性要非常高,而保证其准确性和完整性的唯一方法是要定期对其病毒库、特征库甚至系统自身进行升级,升级过程中由于不确定因素太多,可能导致断网、系统崩溃等。正是因为黑名单技术的这种固有不确定性,在工业控制系统安全防护中,黑名单技术显得力不从心。
   (2)黑名单技术在使用过程中,基于特征库、漏洞库对系统文件等进行扫描,这个过程会耗费大量系统资源,会对工业控制系统的实时性造成严重影响。
   (3)黑名单机制无法发现和阻止“Zero Day”漏洞的攻击,而白名单机制对于一切不信任、不确定的内容都阻止在网络和系统之外,包括“Zero Day”漏洞的攻击。因此,在这一点黑名单机制就逊色于白名单机制。
    主机安全防护系统可以作为专用电力监控系统恶意代码防护软件,其将应用程序白名单管理技术引入工控网络安全防护。“白名单”是指规则中设置的允许使用的名单列表,其意义是“被允许的”。“白名单”是一组应用程序名单列表,只有在此列表中的应用程序是被允许在系统中运行,之外的任何程序都不被允许运行。
    主要功能如下:
       1用户管理
    采用三权分立管理模式,将管理员划分系统管理员、安全管理员、安全审计员;系统管理员对用户身份、平台身份系统资源等进行管理;安全管理员负责终端安全策略的配置等;安全审计员负责制定审计策略、查看审计记录等。通过“三权分立”的管理模式,使得系统中的不同角色各司其职,相互制约,共同保障信息系统的安全。
       2终端双因子认证
    主机安全防护系统用户采用USBKEY和密码双重身份认证方式,只有插入USBKEY输入正确的口令才能登录,否则无法登陆。在使用本软件的过程中,用于权限验证的安全U卡必须添加到此列表中,另外用于系统双因子登录验证的安全U卡也必须添加到此列表中。添加完成后才能正常使用双因子登录功能。
      3实时报警
    主机安全防护系统实时报警分为,应用程序报警、移动存储报警。应用程序报警:当执行非白名单内的程序时,将会产生实时报警。报警包含程序的路径及文件名,信息、报警结果分为两种:
1) 观察模式执行(控制模式关闭):通过,白名单校验:未通过。
2) 控制模式执行(控制模式开启):阻止,白名单校验:未通过。
系统安全防护开启后(控制模式开启),执行任何非白名单内的可执行文件都将会被阻止并记录。
移动存储报警:本产品可根据下发的策略对移动存储的使用权限进行控制。当用户对移动存储的访问权限违规时就会被阻止。
      4日志可追溯、防篡改
    日志审计是用于审计日志的工具,通过它可以审计本产品生成的系统报警日志以及程序操作日志,登录权限为审计员。程序在此功能内可以查看用户操作日志、程序运行日志、U盘日志的信息。
    用户操作日志包含超级管理员、管理员、审计员的所有操作,程序运行日志包含所有的白名单和非白名单的所有日志,包含告警和拦截的全部运行记录。U盘的违例文件都有日志记录。这些日志是不可修改的,任何文件和操作都可以追溯。对操作员也可以起到一个监督和追溯的作用。
       5外部设备管控
    外部设备管理可以对安全U卡和普通U盘进行管理和控制。分为白名单内和白名单外两种状态。不在白名单中的U盘使用权限,包括禁止使用、只读使用、可读写。白名单U盘,可以添加、删除正常读写的U盘和安全U卡。
2、工控威胁态势感知平台技术
   
工控威胁态势感知平台技术是针对工控系统设备(SCADADCSPLCRTU)的搜索引擎,意在辨识暴露在网络空间里的工业控制系统联网设备、设备漏洞及其安全风险,帮助客户维护工控系统安全、循迹恶意企图人士。
      
通过分布式隐匿探测技术实现工控设备的高并发扫描,支持多种工控协议的指纹识别,完成了对全球联网工控设备及系统的快速、完备的主动探测,并在此基础上实现了面向全球的工控设备安全威胁态势感知,为工控安全发展提供了真实的数据支持。
    主要功能:
    1.   工控设备全网在线探测
  l  工控协议及设备的探测与定位;
  l  常规服务的探测与定位;
  l  网络设备及物联网设备的探测与定位;
    2.   工控系统漏洞态势感知
  l  工控系统漏洞扫描,漏洞库覆盖CVECNNVD等国际和国家级漏洞库;
  l  工控系统漏洞、设备资产等智能分析及安全评分;
    3.   全球威胁可视化
  l  扫描全球网络的工控系统及常规服务;
  l  多维度展示扫描分析结果,并以地域图、柱状图、饼图、多层饼图等形式呈现。
    技术优势:
    1.   广泛的工控协议支持
    支持Siemens S7ModbusIEC 60870-5-104DNP3EtherNet/IPBACnetTridium  Niagara FoxOMRON FINSPCWorxProConOsMELSEC-QCrimson V3等多种工控服务协议指纹识别,能获取使用这些协议的工控设备的基本信息,同时也可识别常规服务。
    2.   高并发、动态自适应的分布式隐匿探测
    工控设备在网络空间分布广泛,地址空间巨大,本系统基于多线程技术建立分布式探测架构,整合优势网络资源实现工控设备的高并发扫描,研究并实现了基于时区/流量分布特性的优化扫描算法,实现了对全球工控设备信息和开放常规服务的隐匿探测和全局采集。
    3.   工业控制设备的精确定位与综合分析
通过全面采集和分析工控设备信息,对其进行精准定位,最小粒度可定位到部分省份的部分企业
    4.   全球工控设备态势感知
研究并实现基于全球地理信息的工控设备可视化展示模块,实现了工控设备全球安全态势感知及工控系统的信息展示,同时从多维度展示工控设备属性的分析结果,并以地域图、柱状图、饼图、多层饼图等形式呈现。
    5.   工控系统及常规服务的漏洞扫描与分析
工控系统漏洞库涵盖了CVECNNVD等国际和国家级漏洞库及我司的安全研究成果,针对PLC设备漏洞、上位机软件漏洞和弱点、VxWorks系统漏洞、摄像头漏洞、应用程序SQL漏洞、系统文件上传漏洞等进行漏洞扫描,为厂商提供安全解决方案。
 
3、电力监控系统网络安全攻防演练
  
通过电力监控系统网络安全攻防演练,验证电力监控系统的安全性并挖掘系统及关键控制设备的安全漏洞,研究针对电力监控系统的攻击方法并展现攻击效果。试验结果能够对电力监控系统真实环境的安全评估、安全加固、安全改造以及应急响应提供指导性建议。
   搭建电力监控系统网络安全仿真平台,该平台的配置可实现与工业现场完全一致;应用程序的设计与工业现场完全一致。用于操作环境体验,包括运行人员全方位操作演练、学习培训、故障模拟演练等;控制系统模拟调试,包括控制系统的网络通信负荷测试;控制系统的控制功能闭环测试;控制系统的人机操作功能测试;可对控制策略的可用性和有效性进行研究,提升控制策略的优化效率和效果;同时可在此基础上自主构造控制系统信息安全实验,分析特定的信息安全技术问题在不同控制系统产品中的特性。
    仿真平台包括:光伏仿真、风电仿真、核电仿真、水电仿真、火电仿真、电网仿真。
演练内容包括:控制过程模拟、操作环境体验、人员学习培训、故障模拟演练、控制策略研究、信息安全实验、关键控制器的安全防护、安全监测与审计、主机安全加固、PLC漏洞脚本攻击、上位机木马病毒攻击、病毒U盘攻击。
 

 

 

4、工控漏洞挖掘产品
    漏洞挖掘产品是指基于模糊测试技术,通过向目标系统提供非预期的输入并监控输出中的异常来发现目标系统的未知漏洞的一种安全检测产品。
    模糊测试数据的生成是模糊测试的关键技术。模糊测试数据的生成方法有以下几种:
 
 
名称
说明
 
随机生成输入
低效,但可以用来快速地识别目标系统中是否有非常糟糕的代码。
 
 
 
 
手工协议变异测试
比随机生成输入更为初级,不需要自动化生成。
 
 
 
 
变异或强制性测试
从一个有效的协议样本或者数据格式来持续不断的打乱数据报文的
 
 
每一个字节。
 
 
不需要对目标系统进行研究。
 
 
 
 
自动协议生成测试
先对被测目标系统进行研究,理解和解释协议规约。从而创建一个描
 
 
述协议规约如何工作的语法。从而生成动态的数据。
 
 
 
 
    漏洞挖掘产品主要应用在以下场景:
       1)工控设备、软件发布前的漏洞发现
    工控设备、软件供应商在版本发布之前,利用漏洞挖掘产品对工控设备、软件进行测试,发现并修复产品的安全缺陷(安全漏洞),避免安全漏洞在生厂现场被黑客发现和利用。
       2)测评机构组织的产品安全性测评、认证
    测评机构,利用漏洞挖掘产品对工控设备、软件进行测试,对其通信健壮性、安全性作出评价(可以依据 ISA Secure CRT 国际标准),并据此颁发证书。
       3)网络建设/改造前后的安全风险评估
    传统的风险评估中主要采用漏洞扫描来检测已知的漏洞,利用漏洞挖掘产品可以发现未知漏洞,两者结合能够更全面地得到系统漏洞情况。
       4)网络安全事故后的分析调查
    网络安全事故后,可以通过漏洞挖掘确定网络被攻击的可能漏洞所在,尽可能多地提供信息方便调查攻击的来源。
    依据测试目标不同,漏洞挖据产品主要分为以下六类:
       1)命令行模糊测试器
       2)环境变量模糊测试器
       3)文件格式模糊测试器
       4)网络协议模糊测试器
       5Web 应用模糊测试器
       6)内存模糊测试器
 

 

夜明珠多钱