今日頭條
官方微信
官方抖音
資訊頻道摘要:為了進(jìn)一步指導(dǎo)做好工控系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作,保障工控系統(tǒng)信息安全,國(guó)家工業(yè)和信息化部在2017年5月31日印發(fā)了《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》,在總則、組織機(jī)構(gòu)與職責(zé)、工作機(jī)制、監(jiān)測(cè)通報(bào)、應(yīng)急管理、應(yīng)急處置、保障措施等方面提出了工作指南,要求堅(jiān)持政府指導(dǎo)、企業(yè)主體,堅(jiān)持預(yù)防為主、平戰(zhàn)結(jié)合,堅(jiān)持快速反應(yīng)、科學(xué)處置,充分發(fā)揮各方力量,共同做好工控安全事件的預(yù)防和處置工作。本文對(duì)電廠工控系統(tǒng)組成及其功能進(jìn)行研究,結(jié)合技術(shù)手段,提出一種電廠網(wǎng)絡(luò)安全事件應(yīng)急處置思路,完成電廠網(wǎng)絡(luò)安全應(yīng)急處置工作。
關(guān)鍵詞:電力系統(tǒng);工控系統(tǒng);應(yīng)急處置
Abstract: In order to improve the work related to the emergency management of information security in industrial control systems and ensure the information security of industrial control systems, the Ministry of Industry and Information Technology of the People’s Republic of China issued the "Guidelines for Emergency Management of Information Security Incidents in Industrial Control Systems" on May 31, 2017. The Guidelines talks about the general rules, organizations and responsibilities, working mechanism, monitoring circulars, emergency management, emergency disposal, safeguards and other aspects of the Emergency Management of Information Security Incidents. Meanwhile, the Guidelines requires to adhere to the government's guidance, the main body of enterprises, adhere to the combination of prevention and war, adhere to rapid response, scientific disposal, give full play to all forces, and jointly do well in the prevention and disposal of industrial and safety incidents. In this paper, we composite the functions of the industrial control system with technical means and come up with a new way to deal with the power plant emergency situation.
Key words: Power system; Industrial control system; Emergency response
1 引言
近年來(lái),隨著信息技術(shù)和工業(yè)技術(shù)的不斷發(fā)展與融合,工業(yè)互聯(lián)網(wǎng)應(yīng)運(yùn)而生,成為制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化的重要載體,工業(yè)互聯(lián)網(wǎng)給工業(yè)企業(yè)帶來(lái)高效、高質(zhì)、便捷等優(yōu)勢(shì)的同時(shí),也將工控系統(tǒng)暴露在互聯(lián)網(wǎng)上,因此工控系統(tǒng)的安全隱患日益增多。為了進(jìn)一步指導(dǎo)做好工控系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作,保障工控系統(tǒng)信息安全,國(guó)家工業(yè)和信息化部在2017年5月31日印發(fā)了《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》,在總則、組織機(jī)構(gòu)與職責(zé)、工作機(jī)制、監(jiān)測(cè)通報(bào)、應(yīng)急管理、應(yīng)急處置、保障措施等方面提出了工作指南,要求堅(jiān)持政府指導(dǎo)、企業(yè)主體,堅(jiān)持預(yù)防為主、平戰(zhàn)結(jié)合,堅(jiān)持快速反應(yīng)、科學(xué)處置,充分發(fā)揮各方力量,共同做好工控安全事件的預(yù)防和處置工作。
因此,本文對(duì)電廠工控系統(tǒng)組成及其功能進(jìn)行研究,結(jié)合技術(shù)手段,提出一種電廠網(wǎng)絡(luò)安全事件應(yīng)急處置方法,完成電廠網(wǎng)絡(luò)安全應(yīng)急處置工作。
首先,針對(duì)電廠的信息安全事件應(yīng)急處置,結(jié)合網(wǎng)絡(luò)安全事件的應(yīng)急處置過(guò)程與電廠網(wǎng)絡(luò)管理實(shí)際情況, 研制貼合電廠網(wǎng)絡(luò)環(huán)境的應(yīng)急處置方案。
其次,對(duì)安全事件進(jìn)行統(tǒng)一管理、收集安全事件信息、處置過(guò)程數(shù)據(jù),并在平臺(tái)的協(xié)助下對(duì)這些數(shù)據(jù)進(jìn)行分析形成處置模型,使得處置經(jīng)驗(yàn)得以固化。
最后,依靠應(yīng)急處置經(jīng)驗(yàn)?zāi)P鸵霊?yīng)急處置實(shí)踐過(guò)程可以直接提高應(yīng)急處置效率、精準(zhǔn)度,將應(yīng)急處置工作帶入良性循環(huán)當(dāng)中。
2 相關(guān)研究
2.1 電廠工控網(wǎng)絡(luò)安全事件類(lèi)型研究
DCS控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置,系統(tǒng)遭受網(wǎng)絡(luò)攻擊、病毒感染造成的信息安全事件可分為以下三大類(lèi):DCS網(wǎng)絡(luò)故障、工程師站/操作員站故障、DPU控制器組態(tài)邏輯破壞,具體如表1所示。
表1 DCS控制系統(tǒng)三類(lèi)信息安全事件
SIS系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置,系統(tǒng)遭受網(wǎng)絡(luò)攻擊、病毒感染造成的信息安全事件可分為以下三大類(lèi): 系統(tǒng)網(wǎng)絡(luò)故障、工程師站/操作員站故障、DPU控制器 組態(tài)邏輯破壞,具體如表2所示。
調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置,系統(tǒng)遭受網(wǎng)絡(luò)攻擊、病毒感染造成的信息安全事件,具體如表3所示。
表3 調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)信息安全事件
其他可能的安全事件不在此一一舉例。
2.2 電廠工控安全事件應(yīng)急處置工作現(xiàn)狀
工控安全事件是指由于人為、軟硬件缺陷或故障、 自然災(zāi)害等原因,對(duì)工控系統(tǒng)、工控系統(tǒng)數(shù)據(jù)造成或者可能造成嚴(yán)重危害,影響正常工業(yè)生產(chǎn)的事件。近年來(lái),工控安全事件頻發(fā),網(wǎng)絡(luò)安全事件是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最終結(jié)果體現(xiàn)。在新的網(wǎng)絡(luò)安全管理工作格局下,網(wǎng)絡(luò)安全事件應(yīng)急工作的重要性日益凸顯,覆蓋面日趨廣泛,業(yè)務(wù)流的成熟度和復(fù)雜度日益提高,對(duì)信息化手段的依賴(lài)程度也將進(jìn)一步增強(qiáng)。但是目前制約應(yīng)急處置工作實(shí)現(xiàn)全面上水平、行業(yè)領(lǐng)先的最突出問(wèn)題就是信息化水平低。
電廠由于其系統(tǒng)環(huán)境的嚴(yán)苛性,在部分事件中要保證生產(chǎn)的順利進(jìn)行,無(wú)法外接設(shè)備達(dá)到處置的目的,傳統(tǒng)的應(yīng)急手段存在一定的限制。另外,網(wǎng)絡(luò)攻擊方法日益新穎,攻擊手段復(fù)雜,技術(shù)人員在操作的過(guò)程中,也會(huì)面臨“數(shù)據(jù)采集困難”、“大量數(shù)據(jù)分析困難”、“分析準(zhǔn)確度偏低”等一系列問(wèn)題。
3 電廠網(wǎng)絡(luò)安全應(yīng)急處置方法
通過(guò)對(duì)電廠可能出現(xiàn)的網(wǎng)絡(luò)安全事件進(jìn)行研究,提出一種“平臺(tái)+制度+工具”的應(yīng)急處置管理執(zhí)行體系。采用引導(dǎo)式應(yīng)急管理、處理流程。通過(guò)建立應(yīng)急處置管理平臺(tái),對(duì)電廠環(huán)境中可能發(fā)生的安全事件進(jìn)行預(yù)置,細(xì)分電廠工控安全事件應(yīng)急處置場(chǎng)景,設(shè)置相應(yīng)的應(yīng)急處置步驟。根據(jù)事件現(xiàn)象,在界面上根據(jù)引導(dǎo)完成事件類(lèi)型的判定。并在每個(gè)步驟上提供處置反饋的錄入,從數(shù)據(jù)上實(shí)現(xiàn)應(yīng)急處置過(guò)程、數(shù)據(jù)的可追溯、可統(tǒng)計(jì)。在平臺(tái)提供的應(yīng)急處置自動(dòng)化引導(dǎo)過(guò)程中,結(jié)合現(xiàn)場(chǎng)電廠網(wǎng)絡(luò)安全應(yīng)急處置專(zhuān)用工具,實(shí)現(xiàn)電廠網(wǎng)絡(luò)安全事件應(yīng)急處置取證、分析工作。在現(xiàn)場(chǎng)電廠網(wǎng)絡(luò)安全應(yīng)急處置工具中,提供適應(yīng)電廠操作站主機(jī)環(huán)境的專(zhuān)用取證工具與分析工具。實(shí)現(xiàn)主機(jī)操作系統(tǒng)日志的自動(dòng)提取,實(shí)現(xiàn)中間件日志文件的獲取。在信息提取的同時(shí),對(duì)取證數(shù)據(jù)進(jìn)行哈希登記,以備取證數(shù)據(jù)的完整性檢查。特別地可以通過(guò)操作系統(tǒng)內(nèi)存、硬盤(pán)的鏡像Dump,實(shí)現(xiàn)對(duì)主機(jī)操作系統(tǒng)實(shí)時(shí)運(yùn)行進(jìn)程狀態(tài)的提取。在分析方面,結(jié)合所獲取的日志、所發(fā)現(xiàn)的惡意代碼等取證數(shù)據(jù),通過(guò)內(nèi)置的安全事件分析模型實(shí)現(xiàn)了安全事件的自動(dòng)分析。
電力工控系統(tǒng)應(yīng)急處置向?qū)В侯A(yù)設(shè)置電力工控系統(tǒng)重要節(jié)點(diǎn)可能發(fā)生的安全事件及其相應(yīng)的應(yīng)急處置步驟方法。提示應(yīng)急處置人員操作步驟及操作方法,及時(shí)恢復(fù)生產(chǎn)。
現(xiàn)場(chǎng)取證工具:現(xiàn)場(chǎng)處置工具之一,為應(yīng)急處置實(shí)施單位現(xiàn)場(chǎng)調(diào)查取證用工具,收集信息包括人員訪談、證據(jù)固定、痕跡提取、系統(tǒng)采樣、安全檢查等功能。事件管理分析工具:現(xiàn)場(chǎng)處置工具之一,根據(jù)應(yīng)急預(yù)案指導(dǎo)處置人員現(xiàn)場(chǎng)按步驟實(shí)施,并對(duì)現(xiàn)場(chǎng)取證工具提取到的信息進(jìn)行整理分析的專(zhuān)用工具,功能包括樣本分析、痕跡分析、溯源分析。
3.1 現(xiàn)場(chǎng)取證
取證是為了盡可能多地獲取現(xiàn)場(chǎng)相關(guān)數(shù)據(jù)信息,涉及工作站、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、控制設(shè)備等工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)相關(guān)設(shè)備。所有的取證數(shù)據(jù)均以哈希碼進(jìn)行登記,在最后的完整性、可靠性校驗(yàn)時(shí)提供必要的比對(duì)數(shù)據(jù)。
現(xiàn)場(chǎng)取證通過(guò)對(duì)應(yīng)的數(shù)據(jù)取證、采樣軟件自動(dòng)完成文件數(shù)據(jù)提取工作。取證功能包括人員訪談、證據(jù)固定、痕跡提取、系統(tǒng)采樣、安全檢查等,如圖1所示。
圖1 現(xiàn)場(chǎng)取證要點(diǎn)
證據(jù)固定功能包括:磁盤(pán)證據(jù)固定、內(nèi)存證 據(jù)固定;
痕跡提取功能包括:系統(tǒng)日志提取、中間件日志提取、數(shù)據(jù)庫(kù)日志提取、組態(tài)工作日志提取;
系統(tǒng)采樣功能包括:登錄記錄采樣、文件使用記錄采樣、網(wǎng)絡(luò)連接狀態(tài)采樣、啟動(dòng)項(xiàng)采樣、工控流量采樣等;
安全檢查功能包括:病毒木馬檢測(cè)、漏洞檢測(cè)、安全配置檢測(cè)等。
3.2 事件分析
對(duì)現(xiàn)場(chǎng)取證工具獲取的日志信息、系統(tǒng)采樣信息、后門(mén)信息、現(xiàn)場(chǎng)訪談數(shù)據(jù)等進(jìn)行匯總,同時(shí)與應(yīng)急處置管理平臺(tái)聯(lián)動(dòng),獲取事件相匹配的應(yīng)急處置經(jīng)驗(yàn)?zāi)P汀T谶M(jìn)行數(shù)據(jù)整合關(guān)聯(lián)分析的過(guò)程中,提出采用“回旋分析法”分析安全事件過(guò)程,并串聯(lián)關(guān)鍵事件,達(dá)到安全事件分析的目的。在本地分析算法與平臺(tái)應(yīng)急處置經(jīng)驗(yàn)?zāi)P偷淖饔孟峦瓿蓸颖痉治觥⒑圹E分析、溯源分析,最終形成包含攻擊源、攻擊手法、攻擊路徑、攻擊過(guò)程在內(nèi)的應(yīng)急處置事件分析結(jié)果,如圖2所示。
圖2 回旋分析法
應(yīng)急處置實(shí)施人員,在得到事件分析結(jié)果后上報(bào)上級(jí)部門(mén),由上級(jí)部門(mén)確認(rèn)應(yīng)急處置結(jié)果。同時(shí)分析結(jié)果通過(guò)接口上傳至應(yīng)急處置管理平臺(tái)。
3.3 技術(shù)要點(diǎn)
(1)電力工控系統(tǒng)病毒木馬檢查、電力監(jiān)控系統(tǒng)流量異常分析與應(yīng)急處置結(jié)合
將電力工控系統(tǒng)病毒木馬檢查、電力監(jiān)控系統(tǒng)流量異常分析與應(yīng)急處置結(jié)合。取證工具除支持常見(jiàn)的木馬病毒外,該模塊的病毒檢測(cè)引擎支持檢測(cè)震網(wǎng)病毒、 火焰病毒等工控病毒及其變種。將電力監(jiān)控系統(tǒng)流量分析終端以旁路部署的方式接入生產(chǎn)控制層中的核心交換機(jī),采用流量鏡像、高效網(wǎng)絡(luò)包重組、流重組、協(xié)議解析、會(huì)話(huà)內(nèi)容識(shí)別的方法進(jìn)行分析,在完全不影響現(xiàn)有系統(tǒng)的生產(chǎn)運(yùn)行的前提下,發(fā)現(xiàn)異常設(shè)備和運(yùn)行情況。在協(xié)議識(shí)別上,使用已建立的三維規(guī)則協(xié)議特征信息鏈表進(jìn)行檢測(cè),識(shí)別電力監(jiān)控系統(tǒng)工業(yè)控制協(xié)議。通過(guò)對(duì)原始數(shù)據(jù)的建模分析,深入挖掘異常信息。結(jié)合“回旋分析法”,從而有效發(fā)現(xiàn)和界定異常設(shè)備及風(fēng)險(xiǎn)操作, 進(jìn)而開(kāi)展有效的應(yīng)急處置工作。
將所發(fā)現(xiàn)的病毒、木馬結(jié)合流量威脅發(fā)現(xiàn)結(jié)果進(jìn)行了綜合分析。結(jié)合流量分析結(jié)果威脅的五元組信息,和本地?cái)?shù)據(jù)取證時(shí)所獲取的端口、進(jìn)程信息,標(biāo)記風(fēng)險(xiǎn)進(jìn)程同時(shí)進(jìn)行進(jìn)程文件反查定位惡意文件。
(2)設(shè)備可恢復(fù)性設(shè)計(jì)
考慮到在應(yīng)急響應(yīng)處置過(guò)程中可能出現(xiàn)的惡意軟件,以及應(yīng)急處置設(shè)備的使用場(chǎng)景,為避免惡意軟件在下次使用時(shí)感染其他電力工控系統(tǒng)設(shè)備,對(duì)應(yīng)急處置設(shè)備進(jìn)行可恢復(fù)性設(shè)計(jì)。將設(shè)備磁盤(pán)進(jìn)行分區(qū),設(shè)為數(shù)據(jù)區(qū)與恢復(fù)區(qū)。數(shù)據(jù)區(qū)為設(shè)備工作應(yīng)用,恢復(fù)區(qū)為初始備份且不可更改。在應(yīng)急處置設(shè)備完成一次應(yīng)急處置工作后,通過(guò)恢復(fù)區(qū)對(duì)數(shù)據(jù)區(qū)內(nèi)容進(jìn)行替換,保障數(shù)據(jù)區(qū)安全性,從而達(dá)到保障設(shè)備高安全性的目的。
4 結(jié)語(yǔ)
綜上所述,針對(duì)電廠工控系統(tǒng)中的安全事件,結(jié)合電廠工控系統(tǒng)特點(diǎn),建立一套有效的“平臺(tái)+制度+工具”的應(yīng)急處置體系。以取證、分析、管理等手段,實(shí)現(xiàn)電廠工控網(wǎng)絡(luò)安全事件的應(yīng)急處置過(guò)程的管理與操作指引,達(dá)到應(yīng)急處置工作的實(shí)際落地目的。針對(duì)電力工控系統(tǒng)環(huán)境中實(shí)行應(yīng)急處置的自動(dòng)化程度低、操作難度大、可靠性不足等問(wèn)題,使用本文所述方法可以得到很好解決。
作者簡(jiǎn)介:
孟瑜煒(1983-),男,浙江紹興人,工程師,博士,現(xiàn)就職于浙江浙能技術(shù)研究院,研究方向是計(jì)算機(jī)科學(xué)與技術(shù)。
謝增孝(1971-),男,浙江天臺(tái)人,工程師,學(xué)士,現(xiàn)就職于浙江浙能中煤舟山煤電有限責(zé)任公司,主要從事火力發(fā)電廠設(shè)備管理工作。
劉軒驛(1992-),男,浙江衢州人,工程師,碩士,現(xiàn)就職于浙江浙能技術(shù)研究院,研究方向是信息安全及計(jì)算機(jī)應(yīng)用。
俞榮棟(1981-),男,浙江杭州人,高級(jí)工程師,博士,現(xiàn)就職于浙江浙能技術(shù)研究院,研究方向是計(jì)算機(jī)科學(xué)與技術(shù)。
朱繼峰(1976-),男,浙江寧波人,高級(jí)工程師,碩士,現(xiàn)就職于浙江浙能中煤舟山煤電有限責(zé)任公司,研究方向是自動(dòng)化。
張信情(1973-),女,浙江寧波人,工程師,現(xiàn)就職于浙江浙能中煤舟山煤電有限責(zé)任公司,研究方向是信息管理及網(wǎng)絡(luò)安全。
吳林峰(1988-),男,浙江樂(lè)清人,工程師,碩士,現(xiàn)就職于浙江浙能技術(shù)研究院,研究方向是工業(yè)信息化
參考文獻(xiàn):
[1] 國(guó)家能源局.電力監(jiān)控系統(tǒng)安全防護(hù)專(zhuān)項(xiàng)監(jiān)管報(bào)告發(fā)布[EB/OL].http://www.nea.gov.cn/2017-05/03/c_136253418.htm,2017-05-03.
[2] 王功聰,王景中,王寶成.基于數(shù)據(jù)包內(nèi)容的網(wǎng)絡(luò)異常行為分析方法研究[J].信息網(wǎng)絡(luò)安全,2013,13(12):58–61.
[3] 中央信息網(wǎng)絡(luò)和信息化領(lǐng)導(dǎo)小組辦公室.中央網(wǎng)信辦關(guān)于印發(fā)《國(guó)家網(wǎng)絡(luò)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的通知[EB/OL].http://www.cac.gov.cn/2017-06/27/c_1121220113.htm,2017-6-27.
[4] 湯奕,王琦,倪明,等.電力信息物理融合系統(tǒng)中的網(wǎng)絡(luò)攻擊分析[J].電力系統(tǒng)自動(dòng)化,2016,40(6):148-151.
摘自《自動(dòng)化博覽》2020年8月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)