安全防护的思路
2.4.5.1 合规性
安全建设依据国家发改委【2014】14 号令要求,电厂的安全防护我们建议从物理安全、网络安全
、主机安全、应用和数据 安全等多个维度进行考虑。安全防护框架如图 8 所示。图8 安全防护框架
物理安全策略的目的是电力监控系统等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击 ; 验证用户的身份 和使用权限、防止用户越权操作 ; 确保电力监控系统有一个良好的电磁兼容
工作环境;建立完备的安全管理制度,防止 非法进入电力监控系统相关区域和各种偷窃、破坏活动的发生。网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。 电力监控系统的网络安全主要是指网络信息信息的完整性、保密性和可用性。
主机安全其核心内容包括安全应用交付系统、应用监管系统、操作系统安全增强系统和运维安全管控系统。它的 具体功能是保证主机在数据存储和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一 系列附加的安全技术和安全管理措施,从而建立一个完整的电力监控系统主机安全保护环境。电力监控系统主机包括各 种服务器、操作员站等各种以计算机为主体的设备。
应用安全,顾名思义就是保障应用程序使用过程和结果的安全,就是针对应用程序或工具在使用过程中可能出现 计算、传输数据的泄露和失窃隐患,通过其他安全工具或策略来消除。
数据安全有多方面的含义:
- 数据本身的安全,主要是指采用现代密码算法对数据进行 主动保护,如数据保密、数据完整性、双向强身份认证等。
- 数据防护的安全,主要是采用现代信息存储手段对数据进 行主动防护,如通过磁盘阵列、数据备份、异地容灾等手 [图片上传失败...(image-d8de83-1668211416846)] 段保证数据的安全。
- 数据处理的安全,主要是指如何有效的防止数据在录入、 处理、统计或打印中由于硬件故障、断电、死机、人为的
�误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数 据丢失现象,某些敏感或保密的数据可能不具备资格的人 员或操作员阅读,而造成数据泄密等后果。 数据存储的安全,主要是指数据库在系统运行之外的可读 性,一旦数据库被盗,即使没有原来的系统程序,照样可 以另外编写程序对盗取的数据库进行查看或修改。
2.4.5.2 安全能力提升 上线前的安全检测
工业控制系统的入网与上线是整个系统安全生命周期的重要阶段,也是系统所有者和操作者掌握其安全风险水平 的最佳时机,立足于系统上线过程,基于验收规范的整体规程要求,通过对工控系统的安全性进行分析,发现系统中潜 在的安全漏洞,基于发现的安全漏洞与相应的工控设备和系统提供商进行联系,获取相关的漏洞解决方案。漏洞的检测 主要从已知漏洞的漏洞扫描如采用漏洞扫描技术和工控设备、系统主动漏洞挖掘技术等,来发现系统中潜在的安全隐患。
- 数据处理的安全,主要是指如何有效的防止数据在录入、 处理、统计或打印中由于硬件故障、断电、死机、人为的
- 数据防护的安全,主要是采用现代信息存储手段对数据进 行主动防护,如通过磁盘阵列、数据备份、异地容灾等手 [图片上传失败...(image-d8de83-1668211416846)] 段保证数据的安全。
- 漏洞扫描技术
[图片上传失败...(image-155409-1668211416846)] 主机层安全
该层的安全问题来自网络运行的操作系统:UNIX系列、 Linux系列、Windows 系列以及专用操作系统等。安全性 问题表现在两方面:一是操作系统本身的不安全因素,主 要包括身份认证、访问控制、系统漏洞等;二是操作系统 的安全配置存在问题。主要检查内容包括:
操作系统(包括 Windows、Linux、UX、Solaris 等) 的系统补丁、漏洞、病毒等各类异常缺陷;
空 / 弱口令系统帐户检测,例如:身份认证:通过 telnet 进行口令猜测;
访问控制:注册表 HKEY_LOCAL_MACHINE 普通用 户可写,远程主机允许匿名 FTP 登录,ftp 服务器存在匿 名可写目录;
系统漏洞:System V 系统 Login 远程缓冲区溢出漏洞, Microsoft Windows Locator 服务远程缓冲区溢出漏洞;
安全配置问题:部分 SMB 用户存在薄弱口令,试图
使用 rsh 登录进入远程系统。
专用设备的安全隐患:如 PLC采用 VXWORDS系统, 存在远程调用 WDB 漏洞。
[图片上传失败...(image-5ebdc1-1668211416846)] 网络层安全
该层的安全问题主要指网络信息的安全性,包括网络层身 份认证,网络资源的访问控制,数据传输的保密与完整性、 远程接入、域名系统、路由系统的安全,入侵检测的手段 等。主要检查内容包括:
�版本漏洞,包括但不限于设备操作系统存在的漏洞, 涉及设备包括实验室所有在线网络设备及安全设备,并实 施加固;
开放服务,包括但不限于路由器开放的 Web 管理界面、 其他管理方式等,并实施加固;
空弱口令,例如空 / 弱 telnet 口令、snmp 口令等, 并实施加固;
网络资源的访问控制:检测到无线访问点;
路由器:Web 配置接口安全认证可被绕过,交换机 / 路由器缺省口令漏洞,网络设备没有设置口令。
[图片上传失败...(image-c9db05-1668211416846)] 应用层安全
该层的安全考虑网络对用户提供服务所采用的应用软件 和数据的安全性,包括:数据库软件、Web 服务、电子 邮件系统、域名系统、交换与路由系统、防火墙及应用网 管系统、业务应用软件以及其它网络服务系统等。主要检 查内容包括:
应用程序(包括但不限于数据库 Oracle、DB2、MS SQL,Web 服 务, 如 Apache、WebSphere、Tomcat、 IIS等,其他 SSH、FTP 等)缺失补丁或版本漏洞检测; 组态软件存在安全漏洞。
空弱口令应用帐户检测;
数据库软件:Oracle tnslsnr 没有设置口令,Microsoft SQL Server 2000 Resolution 服务多个安全漏洞;
Web 服务器:Apache Mod_SSL/Apache-SSL 远程缓
冲区溢出漏洞,Microsoft IIS 5.0 .printer ISAPI 远程缓冲 务漏洞;
区溢出,Sun ONE/iPlanet Web 服务程序分块编码传输 其它网络服务系统:Wingate POP3 USER 命令远程溢 漏洞; 出漏洞,Linux 系统 LPRng 远程格式化串漏洞。
防火墙及应用网管系统:Axent Raptor 防火墙拒绝服 - 主动漏洞挖掘
主要采用 FUZZ技术来对工控设备进行健壮性测试,同时结合人工分析的手段,来发现现场工控设备在协议标准遵 循度上的差异,来发现在协议安全性方面存在的漏洞。
[图片上传失败...(image-bb7e42-1668211416846)] 异常行为检测 发电企业工业控制统是一个通过以太网或者总线形式连 接的小型的局域网,网络相对来说较为封闭,厂站端与调 度主站之间通信、DCS 不同 DPU 信息之间多采用专用的 通信协议,但是,上位机软件与 DCS 通信多采用通用的 OPC 或者 MODBUS 进行通过,为了确保上位机与下午 机的 DPU 之间通信的可靠性,在系统校验存在异常时或 者网络问题导致的通信不畅时,多采用多次重传的机制, 另一方面相关上位机与 DPU 之间通信之间交互存在潜在 的未声明的通信端口。而对于工业环境中的网络设备一般 不会基于业务的通信过程的安全性来考虑,网络的有效隔 离,整个控制网络处于一个大的冲突域,在极端的通信环 境中,有可能引起整个网络的广播风暴,一起网络通信的 阻塞,最终一起 DPU 之间通信无法进行有效的通信,导 致发电机组的故障,影响电网的稳定。从最近几年发生的 发电侧的安全事件中已经出现了,网络广播风暴所导致的 通信终端,最终引起发电机组故障,影响到区域性电网的 运行。
对于主控系统内流量的监测、辅控系统内流量的监测、主 控系统与辅控系统之间流量的监测和现场总线的流量进 行监控,形成通信过程中的流量基线,对于流量过载情况 及时进行预警。同时,可以对于系统内出现的非正常通信 规约的流量进行有效的监控预警,避免由于上位机无意开 启的端口的通信行为,对网络流量带宽的消耗。另一方面, 也可以通过网络异常流量的感知发现其中存在潜在的恶 意行为提供分析参考依据。
[图片上传失败...(image-bef79b-1668211416846)] 主机进程的白名单 对于工控系统来说,上位机服务器对安装软件一般有比较 的严格的限制,但是,移动介质和网络的通信的不可控因 素的存在。另一方面,基于 windows 开发的易用性,多 数上位机软件是基于 windows 开发的,并且普遍采用较 早的 windows 系统,移动介质使用的不可控及运维过程 的不可控都会为移动代码的执行制造了潜在的“温床”。 对于上位机服务器安装相关的安全管控软件,建立可信的
�进程白名单,限制移动代码在控制系统的执行。安装在上 位机的安全管控软件,一定要在实验环境中进行了充分测
试,在确信不会对实际生产业务的运行产生影响的情况才 能部署到实际的生产环境中。上位机的安全管控软件只允 许白名单中的软件被执行(授权的组态软件等),只允许 那些被认为安全和在“运行认可名单”中的程序和执行文 件通过,反之将被阻止,从而实现系统保护。
- 基于行为的安全管控 工控系统中各个组件之间的通信需要按照相关的操作规 程要求来建立相关通信的通道。并且不同的组件之间的通 信行为和操作行为相对固定,如一个继电保护的开分闸操 作只能在相关的操作规程要求下执行相关的动作,并且相 关的动作可执行的范围是规程要求的范围。 如在规程要求的范围外的操作,如执行定值修改的动作, 如修改 PMU 的定值,完全可能引起电网中继电保护的连 续跳闸甚至于引起越级跳闸的情况出现,甚至于引起电 网的震荡。与规程结合的操作度量和构建一套基于行为的 基线模型,在出现与规程操作不一致的操作时,系统应该 可以对相关的高危操作进行告警,同时管控中心下发相关 的管控指令到行为管控执行装置来阻断相关的高危操作, 避免由于恶意操作所带来的生产安全事故。
- 工控安全综合管控系统 集中监控措施目的主要是采集并监测工业设备的调试信 息与日志信息,采集相关网络设备和安全设备的日志信 息,通过对设备重要性、安全威胁、安全脆弱性的综合计 算,提供设备性能与日志的综合管理,关注于设备的运行 状况与安全事件,在监管设备服务能力的同时分析是否存 在异常的事件发生,协助运维人员快速解决故障及安全事 件;对工控网络流数据进行采集与协议解析清晰呈现出网 络行为的性质,及时发现网络中的异常通信行为,并支持 流行为的历史追溯,增强对异常行为的检测与定位能力; 综合的风险管理呈现当前网络中的主要威胁与脆弱性和 当前安全状况。
