SCADA安全策略框架

謝子寧，程智謀

（廣東寶繹通信科技有限公司，廣東廣州510630）

1 SCADA管理控制

SCADA系統支撐著電力基礎設施的發電、傳輸、配電。SCADA的主要目的是監控基礎設施，任何通過數字電子方式實現的狀態、更改過程控制參數、展示、存儲、交換數據的行為都符合SCADA的定義。現代SCADA環境最顯而易見的一個問題是安全策略的缺失，其它問題則有脆弱的賬戶維護，不安全的網絡連接，以及缺少設備的維護和監控。

1.1 SCADA專門安全管理

SCADA系統需要一個獨立、專門的安全管理結構，保證所有SCADA特有的功能和需求可以有效被覆蓋。IT系統和SCADA系統之間的設計差異，導致它們的安全策略的制定也有所不同。IT系統和SCADA在實現目標和數據敏感度方面都有不同，SCADA經常用于控制時效性強的功能，當時間是非常關鍵的因子時，一些標準的IT安全方案就不適用在SCADA中應用。比如IT系統的病毒防護掃描有時會拖慢系統的運行，這對于一些SCADA平臺來說是不可以接受的。

1.2 執行層次

策略是任何可持續安全系統的基石，沒有安全策略和管理的系統，不能支撐可預見、可自保的安全體系，而且經驗告訴我們，沒有管理的信息網絡最終會出現漏洞。商業目的也是制定專用策略的驅動因素之一，作為商業應用，使用SCADA的環境要滿足SCADA網絡的辨別機密性、有效性和完整性需求，以及來自SCADA系統的有效數據。風險評估通過辨別系統哪些地方容易受到攻擊來指導策略的制定，風險評估過程包括評價、減少、轉送和遷移。安全策略則定位了減少、轉送和接收步驟，策略同時會詳述時間、人物以及評價是如何執行的。

正確的定義策略是創建一個可自保和可執行安全程序的第一步。一旦創建了策略，SCADA環境中的其他安全文檔（包括系統安全計劃和執行向導）也可以被明確。

1.3 策略簡介和背景

安全策略正式規定了一個組織里的人員什么可以做，什么不可以做，策略的制定是從商業目標和風險評估得出的。策略是一種規定，而不是建議或者指導書可以選擇是否遵循，它們要求明確而且持續地執行。隨著技術的發展和新需求的出現，策略也必須保持有效，所以策略必須隨時變更。如果不能及時更新，策略本身就會變得過時而失去它存在的意義。

1.4 重要的策略段落

策略指導書必須容易閱讀理解：

目的：解釋為什么需要這一份策略指導書。

范圍：策略覆蓋的人和物體。

策略：明確人員和設備，什么事情可以做、什么不可以。

職責：在這里詳述誰必須做什么。

參考：這里描述了因為組織架構，策略需要受到其它外部策略的約束。

修訂歷史：這里描述什么人什么時候修改了什么東西。

執行：這里描述了不遵守策略帶來的后果。

例外：可能不需要，但是如果存在這種情況，就需要在策略中明確，包括如何獲取例外的權限，什么人可以批準，已經批準的有效期。

2 SCADA安全策略框架

如圖1所示，根據此框架可以讓作者容易地創建安全策略，保證所有關鍵的段落都被覆蓋。這里展現的框架可以根據任何組織的需要進行裁剪，每一個段落不一定需要獨立的策略，一些組織也許只使用一個策略就適用所有子段落。圖1中的每一個段落將在下面加以說明。

圖1 系統安全框架

2.1 SCADA系統安全程序

安全框架的第一個部分用于介紹目標系統和為策略的其它部分提供背景，這一組包含的信息與策略聲明的關聯很少，但是為策略的其它部分提供了重要的細節和必要的概念。

（1）組織和關系

沒有SCADA系統是完全獨立運作的，定義組織的結構和與外界的關系很重要，需要辨別其它主體的強制性和可選策略標準，并加以遵循。組織的內部層次對于一個好的安全程序來說也是非常關鍵，必須定義個體的角色和職責，使得職責可以分配到隨后的策略段落中。

（2）信息結構

SCADA信息結構會為所有策略閱讀者提供策略的共同參考點。此段落將會辨別通用名詞，和其它相關工程的性能標準。如果系統是由獨立的子系統組成，那么子系統之間的關系必須以條款的形式描述。

（3）數據分類和所有權

大多數系統會定義數據的類型以便可以方便識別不同數據類型，以及識別每一種類別需要的保護和存儲需求。每一種數據類型同樣需要一個指定的擁有者為數據負責，當數據被錯誤處理時進行糾正。數據類型可以是配置、歷史存檔、管理、實時等。

（4）風險管理

所有的系統安全管理都是圍繞著風險管理程序，同時也是安全技術和執行的驅動因素。所有風險管理程序的目標是創建一個可以接受的風險層次，貫穿識別、分析、以及轉送各個方面。風險、開支和性能這些是此消彼長的關系，必須加以討論取得平衡。

2.2 數據安全策略

數據安全策略決定了如何保護不同類別的數據。（1）數據備份策略

這個策略詳細定義了何種數據應該備份，多久一次，以及備份的地點。

（2）數據存儲和銷毀策略

數據在完成它的生命周期之前需要進行保護，包括創建、存儲和銷毀，銷毀和創建存儲一樣重要。

（3）惡意軟件保護策略

惡意代碼會給系統數據帶來不可修復的損壞，必須做好提前的控制，預防惡意代碼。

2.3 平臺安全策略

平臺安全會辨別SCADA系統需要的默認安全配置，明確賬戶的創建和銷毀流程。終端、服務器和SCADA設備（RTU、PLC、IED）分別會有自己的安全配置。重要的概念包括了病毒檢測、入侵檢測、訪問控制和信息加密。

2.4 通信安全策略

通信安全辨別數據在網絡傳輸的路線，詳述不同網絡下的保護機制，任何辨別安全地帶和明確外部接入授權。

（1）有線連接

此段落描述了自動化網絡中的所有連接，包括LAN、MAN和WAN，根據數據類別的不同進行加密。

（2）無線連接

因為無線傳輸媒介的特性，需要特別考慮如何通過無線網絡，以及無線連接是如何建立的。

（3）邊界策略

此策略定義了SCADA數據是如何與外界網絡進行輸出輸入的，識別需要的控制類型和控制的位置。安全地帶也會被明確以幫助判斷是否需要加密控制。

（4）遠程訪問

此處定義用戶可否、如何從遠程連接到自動化網絡，遠程連接對于覆蓋大范圍地理位置的系統維護是很常見的需求，同樣可以利用遠程連接完成系統升級和維護，此策略詳述如何請求連接，誰可以許可連接，以及有效的連接時間。

（5）外部連接

此段落描述了外來者是否、何時、如何訪問自動化網絡中的信息和設備，此策略包括了如何請求連接，什么人可以許可連接，以及連接的有效時間。

2.5 人員安全策略

自動化化系統的工作人員與傳統IT網絡相比有不同的功能和安全需求。此策略明確了SCADA工作人員的工作內容和聘用標準，包括了教育程度，背景調查等。

（1）可接受使用

此策略段落定義了用戶可以使用的網絡資源和設備，考慮到SCADA系統的關鍵性，不能將設備作為私人用途，系統軟件也必須是為SCADA定制的，所有人員必須簽訂必要的行為守則。

（2）賬戶和密碼

此策略段落描述了正確處理賬戶和密碼的方式，包括存儲、創建和共享。所有共享的密碼都應該在創建、存儲、更改方面有特別的要求。賬戶的創建和銷毀策略，描述了用戶如何使用他們的賬戶，什么人有責任創建和移除賬戶，賬戶的創建必須基于工作職能，其它的要求包括賬戶超時，登錄限制也應該在此明確。

（3）培訓

工作人員必須熟悉系統的安全需要和理解為什么需要安全控制。此策略段落列出了培訓的類型，培訓的頻率和必須培訓的人員。

2.6 配置管理策略

此策略段落保證可持續配置管理過程的執行。策略需要列出維持一個可持續安全系統的所有必要文檔和過程，包括了修訂過程的細節，安全計劃的時間線，執行指導，以及更改控制和更改評價的因素。

2.7 審查策略

審查和評估對系統來說都很重要。審查將決定策略的細節，比如安全計劃、執行指導是否被正確地在系統內實施。評估則保證系統信息和功能的保護是有效的，同時審查策略定義了審查和評估活動的范圍。

（1）內部和外部審查

在一個綜合的風險管理程序里，內部審查和外部審查都有重要的位置，此段落詳述了各種必要審查，以及識別負責執行必要審查的組織。

（2）合格鑒定

如果需要對一個組織進行合格鑒定，此段落描述了責任主體，時間線和相關條目。

（3）事故報告

事故事件的責任個體在此段落明確，事故細節的保護級別在此段落被定義，同時必須制定事故反應流程，快速定位問題和保留證據。

（4）記錄策略

此策略定義記錄的要求，比如什么東西會被記錄，儲存的要求，以及修訂的要求。

（5）入侵檢測

入侵檢測是重要的檢測不恰當行為的工具，SCADA會根據其自身的要求和限制為IDS要求特定的策略。

（6）評估

此段落明確責任主體，時間線和數據保護的評估程序。

2.8 應用程序策略

應用程序策略保證應用程序是按照自動化系統的要求進行配置和使用的。此策略覆蓋了程序級別的范圍控制細節，應用程序培訓，以及測試和開發要求。

（1）SCADA應用程序

SCADA特定應用程序需要管理員權限。這些應用程序可能允許數據分離，不同用戶登錄和密碼保護。此段落專注于專門的SCADA設備和功能接口的應用程序。

（2）支持應用程序

支持應用程序，比如辦公軟件、數據庫，以及登錄，需要有不同的安全指導書，這些應用程序通常不與SCADA設備和自動化功能直接接入，但是可能于運行同時運行了SCADA應用程序。

2.9 物理安全策略

將網絡安全保護和物理安全保護分開是不切實際的，多數情況下物理安全可以讓網絡安全保護更加高效。SCADA系統所使用的設備必須盡可能避免物理損傷，非授權的訪問，即使是合法的訪問也需要在控制和監控下進行。

（1）設備丟棄

物理設備丟棄處理和數據丟棄一樣重要。物理設備在被移出系統之前必須被清理。此策略指導操作人員如果存在系統不再需要的設備，應該如何進行處置，重要的概念包括清理、跟蹤和丟棄技術。

（2）SCADA系統資產保護SCADA設備的標準與系統內的辦公設備有不同的要求，因此這些不同的設備特性要求不同的保護指導。

2.1 0 手動操作策略

考慮到自動化系統的重要性，系統崩潰的時候，自動化系統必須依然可以被操作，手動操作需要考慮的是手動備份的流程、命令鏈路、周期性檢測、手動操作培訓、災難恢復策略等。

3 結 論

由于在電力系統中SCADA系統的獨特重要性，其網絡安全性應該引起日益廣泛的關注。因此，供電企業應該立刻與信息安全專家聯手，對當前應用的SCADA系統安全性進行全面的分析，評估系統當前的安全性等級，并且制定策略來降低風險。本文所展現的安全策略框架，在發展SCADA策略中是很有價值的工具。此框架保證覆蓋所有安全的關鍵領域的同時，提供了靈活的定制性，以便適應不同的策略需求，稍加裁剪可以應用與不同的環境中。

［1］ GB／T 15498-1995.電網調度自動化與信息化技術標準［S］.中國電力出版社.

［2］ Integrating Security into SCADA Solutions［Z］.Bernie Robert-son.

［3］ Sustainable Security for Infrastructure SCADA［Z］.Jason Stamp.

［4］ A Short Primer for Developing Security Policies［Z］.Michele D.Guel，SANS Institute.

［5］ Urgent Action Standard 1200，North American Electric Reli-ability Council（NERC）［Z］.