電力工業(yè)控制系統(tǒng)數(shù)字資產(chǎn)定義與識(shí)別

鄭威 常簫 毛磊 馬駿 張淑慧

(上海核工程研究設(shè)計(jì)院有限公司,上海 200233)

0 引言

自2010年Stuxnet蠕蟲病毒攻擊伊朗核設(shè)施以后,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題受到越來越多的關(guān)注和重視。網(wǎng)絡(luò)安全攻擊會(huì)影響到軟件和數(shù)據(jù)的可用性、完整性、機(jī)密性,對系統(tǒng)、網(wǎng)絡(luò)和相關(guān)設(shè)備的運(yùn)行產(chǎn)生不利影響,對運(yùn)行安全構(gòu)成威脅。

電力工業(yè)控制系統(tǒng)數(shù)字資產(chǎn)是關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)的重要組成對象,是網(wǎng)絡(luò)安全控制手段的應(yīng)用主體,是攻擊者的攻擊目標(biāo)。本文梳理了國內(nèi)外工業(yè)控制系統(tǒng)以及電力網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)中關(guān)于數(shù)字資產(chǎn)的定義,提出了電力工業(yè)控制系統(tǒng)數(shù)字資產(chǎn)的識(shí)別方法。

1 工業(yè)控制系統(tǒng)數(shù)字資產(chǎn)定義

1.1 資產(chǎn)定義分析

GB/T 30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分:評估規(guī)范[1]。

根據(jù)《GB/T 30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分:評估規(guī)范》,工業(yè)控制系統(tǒng)定義為:對工業(yè)生產(chǎn)過程安全(safety)、信息安全(security)和可靠運(yùn)行產(chǎn)生作用和影響的人員、硬件和軟件的集合。包括但不限于:(1)工業(yè)控制系統(tǒng)包括分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、智能電子設(shè)備(IED)、監(jiān)視控制與數(shù)據(jù)采集(SCADA)系統(tǒng),運(yùn)動(dòng)控制(MC)系統(tǒng)、網(wǎng)絡(luò)電子傳感和控制,監(jiān)視和診斷系統(tǒng);(2)相關(guān)的信息系統(tǒng),例如先進(jìn)控制或者多變量控制、在線優(yōu)化器、專用設(shè)備監(jiān)視器、圖形界面、過程歷史記錄、制造執(zhí)行系統(tǒng)(MES)和企業(yè)資源計(jì)劃(ERP)管理系統(tǒng);(3)相關(guān)的部門、人員、網(wǎng)絡(luò)或機(jī)器接口,為連續(xù)的、批處理、離散的和其他過程提供控制、安全和制造操作功能。

本文關(guān)注信息安全防護(hù)的實(shí)體設(shè)備,即作為控制手段實(shí)施對象的工業(yè)控制設(shè)備,因此本文定義工控?cái)?shù)字資產(chǎn)為工業(yè)控制系統(tǒng)的子集,即對工業(yè)生產(chǎn)過程安全(Safety)、信息安全(Security)和可靠運(yùn)行產(chǎn)生作用和影響的硬件和軟件的集合。

GB/T 22239-2019,信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[2]。

該標(biāo)準(zhǔn)中,信息安全應(yīng)用層次為系統(tǒng)級,定義等級保護(hù)對象為:等級保護(hù)對象是指網(wǎng)絡(luò)安全等級保護(hù)工作中的對象,通常是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng),主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

在等級保護(hù)中,參考IEC62264-1,將工業(yè)控制系統(tǒng)從上到下分為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層。其中業(yè)務(wù)資源層主要包括ERP系統(tǒng)功能單元,用于為企業(yè)決策層提供決策運(yùn)行手段;生產(chǎn)管理層主要包括MES系統(tǒng)功能單元,用于對生產(chǎn)過程進(jìn)行管理,如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等;過程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI系統(tǒng)功能單元,用于對生產(chǎn)過程數(shù)據(jù)進(jìn)行采集與監(jiān)控,并利用HMI系統(tǒng)實(shí)現(xiàn)人機(jī)交互;現(xiàn)場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執(zhí)行設(shè)備進(jìn)行控制;現(xiàn)場設(shè)備層主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元,用于對生產(chǎn)過程進(jìn)行感知與操作。

該標(biāo)準(zhǔn)對信息安全研究的顆粒度為系統(tǒng),物理實(shí)體視為系統(tǒng)的一個(gè)子項(xiàng),從上到下落實(shí)信息安全相關(guān)要求。工控?cái)?shù)字資產(chǎn)可視為組成整體的元素。

REGULATORY GUIDE 5.71 Cyber Security Programs for Nuclear Facilities[3]。

在RG5.71中,關(guān)鍵數(shù)字資產(chǎn)定義為:(1)執(zhí)行核安全、實(shí)物保護(hù)和應(yīng)急響應(yīng)功能的數(shù)字資產(chǎn);(2)可能對核安全、實(shí)物保護(hù)和應(yīng)急響應(yīng)功能,或執(zhí)行相關(guān)功能的關(guān)鍵系統(tǒng)和/或重要數(shù)字資產(chǎn)產(chǎn)生不利影響的數(shù)字資產(chǎn);(3)為關(guān)鍵系統(tǒng)和/或重要數(shù)字資產(chǎn)遭受網(wǎng)絡(luò)攻擊提供路徑的數(shù)字資產(chǎn),通過該數(shù)字資產(chǎn)提供的路徑可能導(dǎo)致?lián)p害、降級核安全、實(shí)物保護(hù)和應(yīng)急響應(yīng)功能;(4)支持關(guān)鍵系統(tǒng)和/或重要數(shù)字資產(chǎn)的數(shù)字資產(chǎn);(5)保護(hù)上述任何數(shù)字資產(chǎn)免受網(wǎng)絡(luò)攻擊的數(shù)字資產(chǎn)。

NUREG/CR-6847 Cyber Security Self-Assessment Method for U.S. Nuclear Power Plants[4]。

在NUREG 6847中提出了核電廠信息安全自評估方法。在該標(biāo)準(zhǔn)中,NUREG-6847使用識(shí)別關(guān)鍵數(shù)字資產(chǎn)、檢查和驗(yàn)證關(guān)鍵數(shù)字資產(chǎn)、評估脆弱性來進(jìn)行風(fēng)險(xiǎn)評估。

NUREG 6847中提出,關(guān)鍵數(shù)字資產(chǎn)是由關(guān)鍵系統(tǒng)中扮演操作和維護(hù)功能角色的一個(gè)或一些數(shù)字設(shè)備組成的。

NUREG 6847將關(guān)鍵數(shù)字資產(chǎn)視為同一類型的數(shù)字設(shè)備的集合,并針對同一類型的數(shù)字設(shè)備進(jìn)行脆弱性的評估。

IEC 62443-1 Industrial Communication Networks–Network and System Security–Part 1-1 Terminology Concepts and Models[5]。

在該標(biāo)準(zhǔn)中,將資產(chǎn)定義為:組織擁有或控制的物理或邏輯對象,對組織擁有實(shí)際的或可預(yù)見的價(jià)值。

在該標(biāo)準(zhǔn)中,將工業(yè)控制系統(tǒng)中的資產(chǎn)定義為與控制有關(guān)的對象,意味著在工業(yè)場景中資產(chǎn)除了本身屬性之外,還承擔(dān)著整體功能的部分屬性,兩者組合為工控場景下的特性。

1.2 電力工控?cái)?shù)字資產(chǎn)總結(jié)

根據(jù)上文中對不同標(biāo)準(zhǔn)中資產(chǎn)定義的研究,得出以下結(jié)論:

針對組織來說,所有有價(jià)值的東西稱為資產(chǎn)。

在電力工控場景內(nèi),數(shù)字資產(chǎn)是對工業(yè)生產(chǎn)過程安全(safety)、信息安全(security)和可靠運(yùn)行產(chǎn)生作用和影響的硬件和軟件的集合。在電力行業(yè),可以參照《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》(國能安全【2015】36號(hào))[6],確定需要進(jìn)行網(wǎng)絡(luò)安全防護(hù)的電力監(jiān)控系統(tǒng),給出了不同系統(tǒng)的等級保護(hù)推薦定級,可根據(jù)需要安全防護(hù)的系統(tǒng),再對數(shù)字資產(chǎn)進(jìn)行進(jìn)一步識(shí)別。

數(shù)字資產(chǎn)依據(jù)其執(zhí)行的功能不同,可分為一般數(shù)字資產(chǎn)和關(guān)鍵數(shù)字資產(chǎn)。依據(jù)RG5.71,將執(zhí)行關(guān)鍵功能的數(shù)字資產(chǎn)進(jìn)行分類和識(shí)別,其價(jià)值不僅包括維持工廠正常控制形成的數(shù)字資產(chǎn)價(jià)值,還包括因?yàn)槠浔黄茐暮髮⒃斐芍卮笥绊懚纬闪烁哂谝话銛?shù)字資產(chǎn)的價(jià)值。關(guān)鍵數(shù)字資產(chǎn)視為同一類型的數(shù)字設(shè)備的集合,用于執(zhí)行某一特定的關(guān)鍵功能。

1.3 電力工控?cái)?shù)字資產(chǎn)識(shí)別方法

在電力工控系統(tǒng)領(lǐng)域中,分布式控制系統(tǒng)(DCS)、監(jiān)視控制與數(shù)據(jù)采集(SCADA)系統(tǒng)、過程控制系統(tǒng)(PCS)等工業(yè)控制系統(tǒng)可視為多種工藝設(shè)備和儀控網(wǎng)絡(luò)相互組合協(xié)作,通過工業(yè)控制軟件實(shí)現(xiàn)具體功能。由于攻擊者進(jìn)行攻擊時(shí)往往由系統(tǒng)中防護(hù)薄弱的設(shè)備入手,利用網(wǎng)絡(luò)實(shí)現(xiàn)信息安全攻擊,達(dá)到竊取、更改或破壞的目的。因此信息安全控制手段更多的應(yīng)用于具體的設(shè)備,這些設(shè)備的相互協(xié)作構(gòu)成了整個(gè)系統(tǒng)的功能,而保護(hù)系統(tǒng)內(nèi)的關(guān)鍵設(shè)備可以有效地降低攻擊的效果。在本文中,根據(jù)其設(shè)備類型將其分解為以下電力工控?cái)?shù)字資產(chǎn):

(1)可編程控制器:指PLC或DCS控制器。此類系統(tǒng)有硬件和固件,可安裝簡單的應(yīng)用程序,接受TCP/IP網(wǎng)絡(luò)通信,可對于TCP/IP通信和電信號(hào)進(jìn)行應(yīng)用程序控制下的互相轉(zhuǎn)換。(2)網(wǎng)絡(luò)設(shè)備:可配置策略,用于傳輸網(wǎng)絡(luò)通信(3)工控機(jī):有硬件和操作系統(tǒng),可安裝軟件。在工控場景中表現(xiàn)為工程師站、操縱員站等上位機(jī)。(4)應(yīng)用程序:安裝在工控機(jī)和可編程控制器上,處理信號(hào),存儲(chǔ)數(shù)據(jù)。在工控場景中包含組態(tài)軟件、儀控系統(tǒng)監(jiān)控軟件、運(yùn)維軟件等。(5)數(shù)據(jù)采集設(shè)備:包括遠(yuǎn)程終端裝置(TRU)、無線傳感器和智能儀表。

識(shí)別并歸類以上電力工控?cái)?shù)字資產(chǎn),本文提出以下步驟:(1)識(shí)別與電力生產(chǎn)相關(guān)的控制系統(tǒng)、通信網(wǎng)絡(luò);(2)識(shí)別對電力生產(chǎn)相關(guān)功能造成影響的系統(tǒng),和影響其通信網(wǎng)絡(luò)的系統(tǒng);(3)識(shí)別支持電力生產(chǎn)相關(guān)系統(tǒng)和其通信網(wǎng)絡(luò)的系統(tǒng);(4)識(shí)別保護(hù)電力生產(chǎn)相關(guān)系統(tǒng)和其通信網(wǎng)絡(luò)的系統(tǒng);(5)在步驟1-4中識(shí)別的系統(tǒng)內(nèi),識(shí)別與電力生產(chǎn)相關(guān)的設(shè)備;(6)識(shí)別對電力生產(chǎn)相關(guān)功能造成影響的設(shè)備,和影響其通信網(wǎng)絡(luò)的設(shè)備;(7)識(shí)別支持電力生產(chǎn)相關(guān)功能的設(shè)備;(8)識(shí)別保護(hù)電力生產(chǎn)相關(guān)設(shè)備和通信網(wǎng)絡(luò)的設(shè)備,如圖1所示。

圖1 資產(chǎn)識(shí)別過程Fig.1 Asset identification process

2 總結(jié)

本文從工業(yè)控制系統(tǒng)數(shù)字資產(chǎn)的定義出發(fā),梳理了GB/T30976、GB/T22239、RG5.71、IEC 62443、NUREG/CR-6847等標(biāo)準(zhǔn)中關(guān)于數(shù)字資產(chǎn)的定義,提出了電力工控?cái)?shù)字資產(chǎn)的一般識(shí)別方法。