摘要：本文系統性地對電力工控有關(guān)的海外網(wǎng)絡(luò )安全標準的來(lái)源、組成、核心內容等方面進(jìn)行了梳理和解析，并結合國內經(jīng)驗，從系統結構、設備本身、行為監測、信任機制、應急管理等方面探討了整體的安全防護方案。

關(guān)鍵詞：網(wǎng)絡(luò )安全；電力工控；標準；方案；海外

Abstract: In this paper, we systematically analyze the source, composition and core content of overseas cyber security standards related to power system, and discuss the whole cyber security scheme from the aspects of system structure, equipment, behavior monitoring, trust mechanism and emergency management based on domestic experience.

Key words: Cyber security; Power control; Standard; Scheme; Overseas

1　前言

海外電力工控系統相關(guān)的網(wǎng)絡(luò )安全標準比較多，美國歐洲等地從地區或者不同角度來(lái)闡述對電網(wǎng)監控網(wǎng)絡(luò )安全的要求和主張，國內廠(chǎng)商在海外市場(chǎng)應對的時(shí)候往往比較碎片化，難成體系。

本文對海外電力監控系統網(wǎng)絡(luò )安全的主要標準進(jìn)行了梳理和解析，并結合國內經(jīng)驗，提煉網(wǎng)絡(luò )安全的本質(zhì)需求，從系統、設備本身、行為監測、信任機制、應急和管理等方面，探討說(shuō)明適用海外的網(wǎng)絡(luò )安全解決方案。

2　海外安全標準

世界上和電力監控系統相關(guān)的網(wǎng)絡(luò )安全標準主要有5個(gè)，主要由美國和歐洲主導，來(lái)自于IEC、ISO、IEEE等標準機構和政府法規，其中美國的有IEEE-1686、NERC-CIP、NIST-7628，歐洲的有IEC-62351、IEC-62443。

標準可以大致分為三類(lèi)：

一是權威標準類(lèi)：IEC和IEEE的標準已經(jīng)成為業(yè)界執行的重要參考，如IEC-62351、IEC-62443、IEEE-1686。

二是強制執行類(lèi)：NERC-CIP是北美電力可靠性委員會(huì )的文件，在得到美國聯(lián)邦政府批準后成為聯(lián)邦行政要求，具備強制效力。

三是技術(shù)指導類(lèi)：NIST-7628是美國國家標準研究院的官方文件，是一份技術(shù)指導文件，不是標準和法律，沒(méi)有強制效力。

2.1　IEC-62351

IEC-62351標準的全稱(chēng)為“電力系統管理及關(guān)聯(lián)的信息交換-數據和通信安全”，是IEC第57技術(shù)委員會(huì )WG15工作組為電力系統安全運行針對有關(guān)通信協(xié)議（IEC -60870-5、IEC-60870-6、IEC-61850、IEC-61970、IEC-61968系列和DNP3）而開(kāi)發(fā)的數據和通信安全標準。IEC-62351的目標是基于公共IT網(wǎng)絡(luò )體系構建加密認證機制，為電力通信提供“端對端”的安全保障能力，包括站內的過(guò)程層節點(diǎn)通信的兩端、站控層節點(diǎn)通信的兩端、主子站通信的兩端。

IEC-62351的核心內容有四個(gè)部分：

（1）IEC-62351-3：使用傳輸層安全協(xié)議TLS，提供基于TCP/IP的身份認證、機密性、完整性；

（2）IEC-62351-4：提供MMS的安全規范；

（3）IEC-62351-5：提供IEC60870-5的安全規范，串口、網(wǎng)絡(luò )；

（4）IEC -62351-6：提供GOOSE/SV的安全規范；

IEC-62351對電力監控常見(jiàn)通信規約的安全映射關(guān)系如圖1所示。

圖1 IEC-62351對通信規約的安全關(guān)系

電力監控系統的網(wǎng)絡(luò )攻擊界面很大部分來(lái)自于對通信傳輸協(xié)議的竊聽(tīng)、偽裝、重放等，應對措施主要就是傳輸加密、身份認證、訪(fǎng)問(wèn)控制、數字簽名等，而IEC-62351的核心機制就是認證和加密，如IEC-62351-3/-4的T-Profile基于TLS1.2實(shí)現，密碼學(xué)套件采用TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，IEC-62351-3/-4的A-Profile基于RSA公鑰算法，IEC-62351-6采用HMAC簽名機制實(shí)現對GOOSE、SV的認證。

2.2　IEC-62443

IEC-62443標準的全稱(chēng)是“工業(yè)過(guò)程測量、控制和自動(dòng)化與系統信息安全”， IEC/TC65在制定“工業(yè)過(guò)程測量、控制和自動(dòng)化”的標準過(guò)程中，遇到了網(wǎng)絡(luò )安全的問(wèn)題，因此在2003年9月成立了IEC/SC65C/WG13工作組研究制定工業(yè)控制系統的網(wǎng)絡(luò )安全標準問(wèn)題。IEC在2005年成立了IEC/TC65/WG10工作組，專(zhuān)門(mén)進(jìn)行“系統及網(wǎng)絡(luò )信息安全”的標準制定工作，并在2006年第一次發(fā)布IEC-62443的標準。

IEC-62443標準的中心思想是如何對工業(yè)控制系統的產(chǎn)品開(kāi)發(fā)、產(chǎn)品集成、實(shí)施和運維等全生命周期環(huán)節中實(shí)現和評價(jià)相關(guān)角色的網(wǎng)絡(luò )安全能力。IEC-62443的重點(diǎn)不是安全技術(shù)，而是對安全能力的評估，所以其核心內容是“網(wǎng)絡(luò )安全保證等級SAL”的評價(jià)模型。

IEC-62443的標準架構如圖2所示。

圖2 IEC-62443的內容架構

IEC-62443標準的主要內容有4個(gè)部分：

（1）IEC-62443-1系列：主要是概念和模型的定義，包括安全目標、風(fēng)險評估、全生命周期、安全成熟度模型。尤其是基于7個(gè)基本要求（FR）的安全保證等級（SAL），從7個(gè)FR方面將系統的網(wǎng)絡(luò )安全能力定義為SAL的4個(gè)等級；

（2）IEC-62443-2系列：主要是講在集成和實(shí)施、運維中如何實(shí)現網(wǎng)絡(luò )安全，目標對象主要是集成商服務(wù)商和業(yè)主的安全能力。包括在工業(yè)控制系統中如何部署網(wǎng)絡(luò )安全、如何進(jìn)行補丁管理，以及安全策略和操作規程；

（3）IEC-62443-3系列：主要是講產(chǎn)品級的系統集成如何實(shí)現網(wǎng)絡(luò )安全，包括產(chǎn)品系統集成的安全工具、技術(shù)措施等如何去滿(mǎn)足安全保證等級，目標對象主要是產(chǎn)品級的系統集成商；

（4）IEC-62443-4系列：主要是單個(gè)產(chǎn)品或者獨立組件如何實(shí)現網(wǎng)絡(luò )安全，包括具體產(chǎn)品開(kāi)發(fā)和技術(shù)設計上的網(wǎng)絡(luò )安全要求，比如主機、嵌入式裝置等，目標對象是單個(gè)產(chǎn)品或者獨立組件的制造商和供應商。

IEC-62443標準的網(wǎng)絡(luò )安全保證等級（SAL）的評價(jià)模型如下：

（1）SAL分為4種類(lèi)型：目標SAL、設計SAL、達到SAL、能力SAL。分別對應全生命周期的不同階段；

（2）SAL的4個(gè)等級：SAL1：抵御偶然性的攻擊；SAL2：抵御簡(jiǎn)單的故意攻擊；SAL3：抵御復雜的調用中等規模資源的故意攻擊；SAL4：抵御復雜的調用大規模資源的故意攻擊；

（3）SAL的評價(jià)值的矢量模型：FR { IAC、UC、DI、DC、RDF、TRE、RA}，其中，IAC為標識與鑒別控制，UC為用戶(hù)控制，DI為數據完整性，DC為數據保密性，RDF為受限制的數據流，TRE為事件實(shí)時(shí)響應，RA為資源可用性。 IEC-62443中的設備供應商、系統集成商、業(yè)主的角色和關(guān)系如圖3所示。

圖3 安全角色關(guān)系

IEC-62443強調的是工控系統全生命周期的安全實(shí)現和評估，業(yè)主（AO）、設備供應商（PS）、系統集成商（SI）在工控系統全生命周期各個(gè)階段的角色交付關(guān)系如圖4所示。

圖4 全生命周期中安全角色交付關(guān)系

2.3　IEEE-1686

IEEE-1686標準的全稱(chēng)是“智能電子設備網(wǎng)絡(luò )安全功能標準”，IEEE在NERC-CIP（北美關(guān)鍵基礎設施保護計劃）通過(guò)美國聯(lián)邦政府批準成為強制要求后，為適應NERC-CIP而制定的網(wǎng)絡(luò )安全標準。

IEEE-1686標準是針對IED設備的，IEEE-1686的目標是建立在電力行業(yè)中對IED設備的安全要求和安全特征基線(xiàn)，以便在采購和測試中引用該標準去實(shí)現合規的網(wǎng)絡(luò )安全計劃。

標準主要內容有：

（1）定義了IED設備中有關(guān)網(wǎng)絡(luò )安全的功能和特性。包括IED的訪(fǎng)問(wèn)、操作、配置、固件修訂、數據檢索的安全性、以及IED之間的通信加密；

（2）規定了IED供應商應該提供的與IED訪(fǎng)問(wèn)、操作、配置、固件修訂、數據檢索有關(guān)的所有活動(dòng)的保護措施，審計機制以及告警機制。

標準具體內容有：

（1）IED的訪(fǎng)問(wèn)控制：密碼建設、用戶(hù)數量、授權級別、RBAC訪(fǎng)問(wèn)授權、數據查看、配置更改、訪(fǎng)問(wèn)超時(shí)等；

（2）IED的安全審計：事件記錄、存儲能力、用戶(hù)識別、事件類(lèi)型、審核日志等；

（3）IED的監督報警：如登錄失敗、未授權訪(fǎng)問(wèn)、時(shí)間超出范圍等；

（4）IED的配置軟件：簽名認證、密碼、配置訪(fǎng)問(wèn)權限、下載、使用監控等；

（5）IED的通信：對通信端口的配置能力和服務(wù)開(kāi)啟關(guān)閉能力等。

2.4　NERC-CIP

NERC-CIP全稱(chēng)為“北美關(guān)鍵基礎設施保護”，NERC北美電力可靠性委員會(huì )是非營(yíng)利性監管機構，職責在于開(kāi)發(fā)并執行可靠性標準，保障電網(wǎng)可靠性。NERC職責范圍在北美大陸，包括美國、加拿大、墨西哥，NERC受美國聯(lián)邦政府、加拿大政府的監管。NERC在2006年發(fā)布了CIP。NERC-CIP在2007年得到美國FERC（聯(lián)邦能源監管委員會(huì )）的批準，成為美國法規，成為北美通行標準。

NERC-CIP是NERC對關(guān)鍵基礎設施的安全保護規定，主要是針對電網(wǎng)運營(yíng)的功能實(shí)體責任實(shí)體，具體實(shí)體可以包括：電力資產(chǎn)業(yè)主、電力傳輸運營(yíng)商、設備運營(yíng)商、設備和系統制造商、系統集成服務(wù)商、電網(wǎng)結算單位等。

NERC-CIP的目標是保障電網(wǎng)的可靠性安全性，網(wǎng)絡(luò )安全是其主要內容，但不是全部，即使是其中的網(wǎng)絡(luò )安全，也不僅僅是狹義上的技術(shù)上的網(wǎng)絡(luò )安全，范圍要更加寬一點(diǎn)。

標準的主要內容包括技術(shù)和管理的要求、監督執行兩個(gè)層面：

（1）技術(shù)和管理的要求：對產(chǎn)品和系統的電子安全邊界的設計和實(shí)現、物理訪(fǎng)問(wèn)的識別和監控、端口信息保護、漏洞的檢查和管理、日志記錄、事件的報告和響應機制、備份和恢復規劃、變更的管理、脆弱性評估、供應鏈管理等，以及人員意識、培訓制度、文檔資料。

（2）監督執行：明確適用對象、責任主體、監管機構、證據要求、評估流程、違規程度評價(jià)等。

2.5　NIST-7628

NIST-7628標準全稱(chēng)是美國國家標準技術(shù)研究院第7628號技術(shù)報告，全稱(chēng)為“智能電網(wǎng)信息安全指南”，2010年NIST在制定《智能電網(wǎng)互操作標準框架和路線(xiàn)圖1.0》報告時(shí)在智能電網(wǎng)互操作性專(zhuān)家組（SGIP）下面建立信息安全工作組（CSWG）起草7628號報告，因此7628號報告是《框架和路線(xiàn)圖》的姊妹篇。信息安全工作組CSWG有475名成員，有廣泛代表性，涉及到設備供應商、集成服務(wù)商、標準組織、行業(yè)監管部門(mén)、政府機構等。

標準報告分析了智能電網(wǎng)的邏輯結構和信息安全需求，并提出了智能電網(wǎng)信息安全防護的策略和架構，報告共分為3卷。報告本質(zhì)上就是一份美聯(lián)邦官方的研究報告，目的在于協(xié)助電網(wǎng)領(lǐng)域相關(guān)者去識別風(fēng)險、落實(shí)網(wǎng)絡(luò )安全要求，報告沒(méi)有強制性，是一份智能電網(wǎng)的網(wǎng)絡(luò )安全指南，NIST-7628號報告的作用更多地是作為官方權威的研究報告，給出了智能電網(wǎng)的網(wǎng)絡(luò )安全分析的框架，幫助電網(wǎng)相關(guān)者去制定符合自己情況可有效實(shí)施的網(wǎng)絡(luò )安全戰略和措施。電網(wǎng)相關(guān)者包括設備制造商、電網(wǎng)運營(yíng)商、集成服務(wù)商、監管部門(mén)、學(xué)術(shù)機構、標準組織機構等。

標準的主要內容有：

NIST-7628號報告的主要內容有三卷，分別為：

（1）第一卷：智能電網(wǎng)信息安全戰略、架構和高層要求。描述智能電網(wǎng)的信息安全戰略和具體任務(wù)，標準從安全角度定義智能電網(wǎng)的邏輯架構和接口，對電網(wǎng)涉及者及其行為進(jìn)行安全建模，構建了“發(fā)電、輸電、配電、用電、營(yíng)銷(xiāo)、運營(yíng)、服務(wù)”7個(gè)域，以及22個(gè)邏輯接口。戰略涉及“預防、檢測、響應、恢復”4個(gè)方面。具體任務(wù)涉及用例分析、風(fēng)險識別、隱私評價(jià)、標準對照、架構設計、合規性評價(jià)等；

（2）第二卷：隱私和智能電網(wǎng)。標準分析評估了智能電網(wǎng)涉及隱私的風(fēng)險和問(wèn)題，包括智能電網(wǎng)相關(guān)個(gè)人及群體、個(gè)人住宅、電動(dòng)汽車(chē)等的信息隱私問(wèn)題和相關(guān)法律問(wèn)題，以及智能電網(wǎng)互聯(lián)互動(dòng)帶來(lái)的隱私潛在問(wèn)題，美國的一些法律，具體場(chǎng)景的隱私定義和例子等；

（3）第三卷：支持性分析和參考文獻。

3　安全方案的探討

從上述安全標準中可以看到，在NERC-CIP、IEC-62443、IEC-62351等標準中均體現了結構安全的思路，包括多道防御、系統邊界防護、安全域劃分、加密認證技術(shù)等，在IEC-62351、IEEE-1686中體現了本體安全的思路，包括加密認證、訪(fǎng)問(wèn)控制、角色權限、日志審計等技術(shù)，在NIST中有提及到行為監測的行為安全思路，但是總的來(lái)講行為安全在標準中還是比較弱。在NERC-CIP、NIST中有應急、快速恢復的應急處置的要求，而在IEC-62443、NERC-CIP、NIST等標準中均有關(guān)于產(chǎn)品研發(fā)的安全管理、集成實(shí)施的安全管理等要求。

各項電力工控安全標準均比較具體地描述了某一個(gè)或一些方面的安全要求，但對從技術(shù)、到管理、到應急處置等全方位的網(wǎng)絡(luò )安全需求，尚缺乏整體的安全防護方案。通過(guò)海外電力工控安全標準的解讀分析，結合國內電力系統二次安防的規范和工程實(shí)踐，可以梳理出整體解決方案如圖5所示。

圖5 整體安全方案

（1）結構安全：作為系統的邊界防護，是第一道防線(xiàn)，包括安全區設計、安全區邊界防護措施、調試維護邊界防護措施等；

（2）本體安全：作為系統的設備防護，是第二道防線(xiàn)，IED本體的安全設計、可信設計；

（3）行為安全：系統的行為安全設計和監測，包括系統信任鏈構建、系統運行過(guò)程的安全監測、系統運行的安全風(fēng)險評估、行為安全性的審計；

（4）應急備用，安全管理：系統在緊急情況下的恢復能力，系統及供應組件在全生命周期的安全管理和服務(wù)支持能力。

該方案可以實(shí)現從系統邊界到設備本體、再到交互過(guò)程的層層設防，體現安全防線(xiàn)的層次累積效應，可以從空間的靜態(tài)部署到時(shí)間上的動(dòng)態(tài)過(guò)程監測，從通信過(guò)程到數據傳輸等多個(gè)維度來(lái)保障安全，可以從行為監測和風(fēng)險評估、可信鏈傳遞來(lái)實(shí)現主動(dòng)的風(fēng)險預警和安全免疫，方案表述了一種多層次多維度的主動(dòng)安全防護體系。

作者簡(jiǎn)介

湯震宇（1975-），男，江蘇常州人，高級工程師，碩士，現任南京南瑞繼保電氣有限公司網(wǎng)絡(luò )安全產(chǎn)品經(jīng)理，主要研究方向為電力監控通信、網(wǎng)絡(luò )安全。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》