摘要：本文系統(tǒng)性地對電力工控有關(guān)的海外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的來源、組成、核心內(nèi)容等方面進(jìn)行了梳理和解析，并結(jié)合國內(nèi)經(jīng)驗(yàn)，從系統(tǒng)結(jié)構(gòu)、設(shè)備本身、行為監(jiān)測、信任機(jī)制、應(yīng)急管理等方面探討了整體的安全防護(hù)方案。

關(guān)鍵詞：網(wǎng)絡(luò)安全；電力工控；標(biāo)準(zhǔn)；方案；海外

Abstract: In this paper, we systematically analyze the source, composition and core content of overseas cyber security standards related to power system, and discuss the whole cyber security scheme from the aspects of system structure, equipment, behavior monitoring, trust mechanism and emergency management based on domestic experience.

Key words: Cyber security; Power control; Standard; Scheme; Overseas

1　前言

海外電力工控系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)比較多，美國歐洲等地從地區(qū)或者不同角度來闡述對電網(wǎng)監(jiān)控網(wǎng)絡(luò)安全的要求和主張，國內(nèi)廠商在海外市場應(yīng)對的時(shí)候往往比較碎片化，難成體系。

本文對海外電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的主要標(biāo)準(zhǔn)進(jìn)行了梳理和解析，并結(jié)合國內(nèi)經(jīng)驗(yàn)，提煉網(wǎng)絡(luò)安全的本質(zhì)需求，從系統(tǒng)、設(shè)備本身、行為監(jiān)測、信任機(jī)制、應(yīng)急和管理等方面，探討說明適用海外的網(wǎng)絡(luò)安全解決方案。

2　海外安全標(biāo)準(zhǔn)

世界上和電力監(jiān)控系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要有5個，主要由美國和歐洲主導(dǎo)，來自于IEC、ISO、IEEE等標(biāo)準(zhǔn)機(jī)構(gòu)和政府法規(guī)，其中美國的有IEEE-1686、NERC-CIP、NIST-7628，歐洲的有IEC-62351、IEC-62443。

標(biāo)準(zhǔn)可以大致分為三類：

一是權(quán)威標(biāo)準(zhǔn)類：IEC和IEEE的標(biāo)準(zhǔn)已經(jīng)成為業(yè)界執(zhí)行的重要參考，如IEC-62351、IEC-62443、IEEE-1686。

二是強(qiáng)制執(zhí)行類：NERC-CIP是北美電力可靠性委員會的文件，在得到美國聯(lián)邦政府批準(zhǔn)后成為聯(lián)邦行政要求，具備強(qiáng)制效力。

三是技術(shù)指導(dǎo)類：NIST-7628是美國國家標(biāo)準(zhǔn)研究院的官方文件，是一份技術(shù)指導(dǎo)文件，不是標(biāo)準(zhǔn)和法律，沒有強(qiáng)制效力。

2.1　IEC-62351

IEC-62351標(biāo)準(zhǔn)的全稱為“電力系統(tǒng)管理及關(guān)聯(lián)的信息交換-數(shù)據(jù)和通信安全”，是IEC第57技術(shù)委員會WG15工作組為電力系統(tǒng)安全運(yùn)行針對有關(guān)通信協(xié)議（IEC -60870-5、IEC-60870-6、IEC-61850、IEC-61970、IEC-61968系列和DNP3）而開發(fā)的數(shù)據(jù)和通信安全標(biāo)準(zhǔn)。IEC-62351的目標(biāo)是基于公共IT網(wǎng)絡(luò)體系構(gòu)建加密認(rèn)證機(jī)制，為電力通信提供“端對端”的安全保障能力，包括站內(nèi)的過程層節(jié)點(diǎn)通信的兩端、站控層節(jié)點(diǎn)通信的兩端、主子站通信的兩端。

IEC-62351的核心內(nèi)容有四個部分：

（1）IEC-62351-3：使用傳輸層安全協(xié)議TLS，提供基于TCP/IP的身份認(rèn)證、機(jī)密性、完整性；

（2）IEC-62351-4：提供MMS的安全規(guī)范；

（3）IEC-62351-5：提供IEC60870-5的安全規(guī)范，串口、網(wǎng)絡(luò)；

（4）IEC -62351-6：提供GOOSE/SV的安全規(guī)范；

IEC-62351對電力監(jiān)控常見通信規(guī)約的安全映射關(guān)系如圖1所示。

圖1 IEC-62351對通信規(guī)約的安全關(guān)系

電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)攻擊界面很大部分來自于對通信傳輸協(xié)議的竊聽、偽裝、重放等，應(yīng)對措施主要就是傳輸加密、身份認(rèn)證、訪問控制、數(shù)字簽名等，而IEC-62351的核心機(jī)制就是認(rèn)證和加密，如IEC-62351-3/-4的T-Profile基于TLS1.2實(shí)現(xiàn)，密碼學(xué)套件采用TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，IEC-62351-3/-4的A-Profile基于RSA公鑰算法，IEC-62351-6采用HMAC簽名機(jī)制實(shí)現(xiàn)對GOOSE、SV的認(rèn)證。

2.2　IEC-62443

IEC-62443標(biāo)準(zhǔn)的全稱是“工業(yè)過程測量、控制和自動化與系統(tǒng)信息安全”， IEC/TC65在制定“工業(yè)過程測量、控制和自動化”的標(biāo)準(zhǔn)過程中，遇到了網(wǎng)絡(luò)安全的問題，因此在2003年9月成立了IEC/SC65C/WG13工作組研究制定工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)問題。IEC在2005年成立了IEC/TC65/WG10工作組，專門進(jìn)行“系統(tǒng)及網(wǎng)絡(luò)信息安全”的標(biāo)準(zhǔn)制定工作，并在2006年第一次發(fā)布IEC-62443的標(biāo)準(zhǔn)。

IEC-62443標(biāo)準(zhǔn)的中心思想是如何對工業(yè)控制系統(tǒng)的產(chǎn)品開發(fā)、產(chǎn)品集成、實(shí)施和運(yùn)維等全生命周期環(huán)節(jié)中實(shí)現(xiàn)和評價(jià)相關(guān)角色的網(wǎng)絡(luò)安全能力。IEC-62443的重點(diǎn)不是安全技術(shù)，而是對安全能力的評估，所以其核心內(nèi)容是“網(wǎng)絡(luò)安全保證等級SAL”的評價(jià)模型。

IEC-62443的標(biāo)準(zhǔn)架構(gòu)如圖2所示。

圖2 IEC-62443的內(nèi)容架構(gòu)

IEC-62443標(biāo)準(zhǔn)的主要內(nèi)容有4個部分：

（1）IEC-62443-1系列：主要是概念和模型的定義，包括安全目標(biāo)、風(fēng)險(xiǎn)評估、全生命周期、安全成熟度模型。尤其是基于7個基本要求（FR）的安全保證等級（SAL），從7個FR方面將系統(tǒng)的網(wǎng)絡(luò)安全能力定義為SAL的4個等級；

（2）IEC-62443-2系列：主要是講在集成和實(shí)施、運(yùn)維中如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，目標(biāo)對象主要是集成商服務(wù)商和業(yè)主的安全能力。包括在工業(yè)控制系統(tǒng)中如何部署網(wǎng)絡(luò)安全、如何進(jìn)行補(bǔ)丁管理，以及安全策略和操作規(guī)程；

（3）IEC-62443-3系列：主要是講產(chǎn)品級的系統(tǒng)集成如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，包括產(chǎn)品系統(tǒng)集成的安全工具、技術(shù)措施等如何去滿足安全保證等級，目標(biāo)對象主要是產(chǎn)品級的系統(tǒng)集成商；

（4）IEC-62443-4系列：主要是單個產(chǎn)品或者獨(dú)立組件如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，包括具體產(chǎn)品開發(fā)和技術(shù)設(shè)計(jì)上的網(wǎng)絡(luò)安全要求，比如主機(jī)、嵌入式裝置等，目標(biāo)對象是單個產(chǎn)品或者獨(dú)立組件的制造商和供應(yīng)商。

IEC-62443標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全保證等級（SAL）的評價(jià)模型如下：

（1）SAL分為4種類型：目標(biāo)SAL、設(shè)計(jì)SAL、達(dá)到SAL、能力SAL。分別對應(yīng)全生命周期的不同階段；

（2）SAL的4個等級：SAL1：抵御偶然性的攻擊；SAL2：抵御簡單的故意攻擊；SAL3：抵御復(fù)雜的調(diào)用中等規(guī)模資源的故意攻擊；SAL4：抵御復(fù)雜的調(diào)用大規(guī)模資源的故意攻擊；

（3）SAL的評價(jià)值的矢量模型：FR { IAC、UC、DI、DC、RDF、TRE、RA}，其中，IAC為標(biāo)識與鑒別控制，UC為用戶控制，DI為數(shù)據(jù)完整性，DC為數(shù)據(jù)保密性，RDF為受限制的數(shù)據(jù)流，TRE為事件實(shí)時(shí)響應(yīng)，RA為資源可用性。 IEC-62443中的設(shè)備供應(yīng)商、系統(tǒng)集成商、業(yè)主的角色和關(guān)系如圖3所示。

圖3 安全角色關(guān)系

IEC-62443強(qiáng)調(diào)的是工控系統(tǒng)全生命周期的安全實(shí)現(xiàn)和評估，業(yè)主（AO）、設(shè)備供應(yīng)商（PS）、系統(tǒng)集成商（SI）在工控系統(tǒng)全生命周期各個階段的角色交付關(guān)系如圖4所示。

圖4 全生命周期中安全角色交付關(guān)系

2.3　IEEE-1686

IEEE-1686標(biāo)準(zhǔn)的全稱是“智能電子設(shè)備網(wǎng)絡(luò)安全功能標(biāo)準(zhǔn)”，IEEE在NERC-CIP（北美關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃）通過美國聯(lián)邦政府批準(zhǔn)成為強(qiáng)制要求后，為適應(yīng)NERC-CIP而制定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

IEEE-1686標(biāo)準(zhǔn)是針對IED設(shè)備的，IEEE-1686的目標(biāo)是建立在電力行業(yè)中對IED設(shè)備的安全要求和安全特征基線，以便在采購和測試中引用該標(biāo)準(zhǔn)去實(shí)現(xiàn)合規(guī)的網(wǎng)絡(luò)安全計(jì)劃。

標(biāo)準(zhǔn)主要內(nèi)容有：

（1）定義了IED設(shè)備中有關(guān)網(wǎng)絡(luò)安全的功能和特性。包括IED的訪問、操作、配置、固件修訂、數(shù)據(jù)檢索的安全性、以及IED之間的通信加密；

（2）規(guī)定了IED供應(yīng)商應(yīng)該提供的與IED訪問、操作、配置、固件修訂、數(shù)據(jù)檢索有關(guān)的所有活動的保護(hù)措施，審計(jì)機(jī)制以及告警機(jī)制。

標(biāo)準(zhǔn)具體內(nèi)容有：

（1）IED的訪問控制：密碼建設(shè)、用戶數(shù)量、授權(quán)級別、RBAC訪問授權(quán)、數(shù)據(jù)查看、配置更改、訪問超時(shí)等；

（2）IED的安全審計(jì)：事件記錄、存儲能力、用戶識別、事件類型、審核日志等；

（3）IED的監(jiān)督報(bào)警：如登錄失敗、未授權(quán)訪問、時(shí)間超出范圍等；

（4）IED的配置軟件：簽名認(rèn)證、密碼、配置訪問權(quán)限、下載、使用監(jiān)控等；

（5）IED的通信：對通信端口的配置能力和服務(wù)開啟關(guān)閉能力等。

2.4　NERC-CIP

NERC-CIP全稱為“北美關(guān)鍵基礎(chǔ)設(shè)施保護(hù)”，NERC北美電力可靠性委員會是非營利性監(jiān)管機(jī)構(gòu)，職責(zé)在于開發(fā)并執(zhí)行可靠性標(biāo)準(zhǔn)，保障電網(wǎng)可靠性。NERC職責(zé)范圍在北美大陸，包括美國、加拿大、墨西哥，NERC受美國聯(lián)邦政府、加拿大政府的監(jiān)管。NERC在2006年發(fā)布了CIP。NERC-CIP在2007年得到美國FERC（聯(lián)邦能源監(jiān)管委員會）的批準(zhǔn)，成為美國法規(guī)，成為北美通行標(biāo)準(zhǔn)。

NERC-CIP是NERC對關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)規(guī)定，主要是針對電網(wǎng)運(yùn)營的功能實(shí)體責(zé)任實(shí)體，具體實(shí)體可以包括：電力資產(chǎn)業(yè)主、電力傳輸運(yùn)營商、設(shè)備運(yùn)營商、設(shè)備和系統(tǒng)制造商、系統(tǒng)集成服務(wù)商、電網(wǎng)結(jié)算單位等。

NERC-CIP的目標(biāo)是保障電網(wǎng)的可靠性安全性，網(wǎng)絡(luò)安全是其主要內(nèi)容，但不是全部，即使是其中的網(wǎng)絡(luò)安全，也不僅僅是狹義上的技術(shù)上的網(wǎng)絡(luò)安全，范圍要更加寬一點(diǎn)。

標(biāo)準(zhǔn)的主要內(nèi)容包括技術(shù)和管理的要求、監(jiān)督執(zhí)行兩個層面：

（1）技術(shù)和管理的要求：對產(chǎn)品和系統(tǒng)的電子安全邊界的設(shè)計(jì)和實(shí)現(xiàn)、物理訪問的識別和監(jiān)控、端口信息保護(hù)、漏洞的檢查和管理、日志記錄、事件的報(bào)告和響應(yīng)機(jī)制、備份和恢復(fù)規(guī)劃、變更的管理、脆弱性評估、供應(yīng)鏈管理等，以及人員意識、培訓(xùn)制度、文檔資料。

（2）監(jiān)督執(zhí)行：明確適用對象、責(zé)任主體、監(jiān)管機(jī)構(gòu)、證據(jù)要求、評估流程、違規(guī)程度評價(jià)等。

2.5　NIST-7628

NIST-7628標(biāo)準(zhǔn)全稱是美國國家標(biāo)準(zhǔn)技術(shù)研究院第7628號技術(shù)報(bào)告，全稱為“智能電網(wǎng)信息安全指南”，2010年NIST在制定《智能電網(wǎng)互操作標(biāo)準(zhǔn)框架和路線圖1.0》報(bào)告時(shí)在智能電網(wǎng)互操作性專家組（SGIP）下面建立信息安全工作組（CSWG）起草7628號報(bào)告，因此7628號報(bào)告是《框架和路線圖》的姊妹篇。信息安全工作組CSWG有475名成員，有廣泛代表性，涉及到設(shè)備供應(yīng)商、集成服務(wù)商、標(biāo)準(zhǔn)組織、行業(yè)監(jiān)管部門、政府機(jī)構(gòu)等。

標(biāo)準(zhǔn)報(bào)告分析了智能電網(wǎng)的邏輯結(jié)構(gòu)和信息安全需求，并提出了智能電網(wǎng)信息安全防護(hù)的策略和架構(gòu)，報(bào)告共分為3卷。報(bào)告本質(zhì)上就是一份美聯(lián)邦官方的研究報(bào)告，目的在于協(xié)助電網(wǎng)領(lǐng)域相關(guān)者去識別風(fēng)險(xiǎn)、落實(shí)網(wǎng)絡(luò)安全要求，報(bào)告沒有強(qiáng)制性，是一份智能電網(wǎng)的網(wǎng)絡(luò)安全指南，NIST-7628號報(bào)告的作用更多地是作為官方權(quán)威的研究報(bào)告，給出了智能電網(wǎng)的網(wǎng)絡(luò)安全分析的框架，幫助電網(wǎng)相關(guān)者去制定符合自己情況可有效實(shí)施的網(wǎng)絡(luò)安全戰(zhàn)略和措施。電網(wǎng)相關(guān)者包括設(shè)備制造商、電網(wǎng)運(yùn)營商、集成服務(wù)商、監(jiān)管部門、學(xué)術(shù)機(jī)構(gòu)、標(biāo)準(zhǔn)組織機(jī)構(gòu)等。

標(biāo)準(zhǔn)的主要內(nèi)容有：

NIST-7628號報(bào)告的主要內(nèi)容有三卷，分別為：

（1）第一卷：智能電網(wǎng)信息安全戰(zhàn)略、架構(gòu)和高層要求。描述智能電網(wǎng)的信息安全戰(zhàn)略和具體任務(wù)，標(biāo)準(zhǔn)從安全角度定義智能電網(wǎng)的邏輯架構(gòu)和接口，對電網(wǎng)涉及者及其行為進(jìn)行安全建模，構(gòu)建了“發(fā)電、輸電、配電、用電、營銷、運(yùn)營、服務(wù)”7個域，以及22個邏輯接口。戰(zhàn)略涉及“預(yù)防、檢測、響應(yīng)、恢復(fù)”4個方面。具體任務(wù)涉及用例分析、風(fēng)險(xiǎn)識別、隱私評價(jià)、標(biāo)準(zhǔn)對照、架構(gòu)設(shè)計(jì)、合規(guī)性評價(jià)等；

（2）第二卷：隱私和智能電網(wǎng)。標(biāo)準(zhǔn)分析評估了智能電網(wǎng)涉及隱私的風(fēng)險(xiǎn)和問題，包括智能電網(wǎng)相關(guān)個人及群體、個人住宅、電動汽車等的信息隱私問題和相關(guān)法律問題，以及智能電網(wǎng)互聯(lián)互動帶來的隱私潛在問題，美國的一些法律，具體場景的隱私定義和例子等；

（3）第三卷：支持性分析和參考文獻(xiàn)。

3　安全方案的探討

從上述安全標(biāo)準(zhǔn)中可以看到，在NERC-CIP、IEC-62443、IEC-62351等標(biāo)準(zhǔn)中均體現(xiàn)了結(jié)構(gòu)安全的思路，包括多道防御、系統(tǒng)邊界防護(hù)、安全域劃分、加密認(rèn)證技術(shù)等，在IEC-62351、IEEE-1686中體現(xiàn)了本體安全的思路，包括加密認(rèn)證、訪問控制、角色權(quán)限、日志審計(jì)等技術(shù)，在NIST中有提及到行為監(jiān)測的行為安全思路，但是總的來講行為安全在標(biāo)準(zhǔn)中還是比較弱。在NERC-CIP、NIST中有應(yīng)急、快速恢復(fù)的應(yīng)急處置的要求，而在IEC-62443、NERC-CIP、NIST等標(biāo)準(zhǔn)中均有關(guān)于產(chǎn)品研發(fā)的安全管理、集成實(shí)施的安全管理等要求。

各項(xiàng)電力工控安全標(biāo)準(zhǔn)均比較具體地描述了某一個或一些方面的安全要求，但對從技術(shù)、到管理、到應(yīng)急處置等全方位的網(wǎng)絡(luò)安全需求，尚缺乏整體的安全防護(hù)方案。通過海外電力工控安全標(biāo)準(zhǔn)的解讀分析，結(jié)合國內(nèi)電力系統(tǒng)二次安防的規(guī)范和工程實(shí)踐，可以梳理出整體解決方案如圖5所示。

圖5 整體安全方案

（1）結(jié)構(gòu)安全：作為系統(tǒng)的邊界防護(hù)，是第一道防線，包括安全區(qū)設(shè)計(jì)、安全區(qū)邊界防護(hù)措施、調(diào)試維護(hù)邊界防護(hù)措施等；

（2）本體安全：作為系統(tǒng)的設(shè)備防護(hù)，是第二道防線，IED本體的安全設(shè)計(jì)、可信設(shè)計(jì)；

（3）行為安全：系統(tǒng)的行為安全設(shè)計(jì)和監(jiān)測，包括系統(tǒng)信任鏈構(gòu)建、系統(tǒng)運(yùn)行過程的安全監(jiān)測、系統(tǒng)運(yùn)行的安全風(fēng)險(xiǎn)評估、行為安全性的審計(jì)；

（4）應(yīng)急備用，安全管理：系統(tǒng)在緊急情況下的恢復(fù)能力，系統(tǒng)及供應(yīng)組件在全生命周期的安全管理和服務(wù)支持能力。

該方案可以實(shí)現(xiàn)從系統(tǒng)邊界到設(shè)備本體、再到交互過程的層層設(shè)防，體現(xiàn)安全防線的層次累積效應(yīng)，可以從空間的靜態(tài)部署到時(shí)間上的動態(tài)過程監(jiān)測，從通信過程到數(shù)據(jù)傳輸?shù)榷鄠€維度來保障安全，可以從行為監(jiān)測和風(fēng)險(xiǎn)評估、可信鏈傳遞來實(shí)現(xiàn)主動的風(fēng)險(xiǎn)預(yù)警和安全免疫，方案表述了一種多層次多維度的主動安全防護(hù)體系。

作者簡介

湯震宇（1975-），男，江蘇常州人，高級工程師，碩士，現(xiàn)任南京南瑞繼保電氣有限公司網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理，主要研究方向?yàn)殡娏ΡO(jiān)控通信、網(wǎng)絡(luò)安全。

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第六輯）》