> 首页 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

能源行业信息安全备受瞩目 系统安全加固势在必行

2017-08-15

能源行业信息安全事件频发

 

2014年6月,一种专门针对工控系统进行恶意攻击的木马病毒Havex出现,这种木马可能有能力禁用水电大坝、使核电站过载,甚至可以做到按一下键盘就能关闭一个国家的电网。

 

2015年12月,乌克兰电力部门遭受到BlackEnergy(黑色能量)攻击,当时乌克兰新闻媒体报道称:“至少有三个电力区域被攻击,并于当地时间15时左右导致了数小时的停电事故”;“攻击者入侵了监控管理系统,超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。”

 

2017年6月,一种类似于“WannaCry”的新勒索病毒Petya出现。Petya的破坏性比传统的勒索软件更大,包括俄罗斯石油巨头,乌克兰国家电力公司、国家银行等机构受到严重攻击。

 

我国同样遭受着工业控制系统信息安全漏洞的困扰,比如2010年齐鲁石化、2011年大庆石化炼油厂,工控系统分别感染Conficker病毒,都造成控制系统服务器与控制器通讯中断。

 

因我国近年来没有遭受大规模严重性网络攻击,所以能源行业对信息安全的重视程度并不高。一般来说,对安全的重视和实施来自三个方面:政策驱动、事件驱动和技术驱动。政策驱动方面,2014年我国成立了中央网络安全和信息化领导小组,2017年6月1日开始实施《网络安全法》。国家和政府层面对信息安全已经给予战略层面的重视。

 

技术驱动层面,主要依托国产自主研发的信息安全厂商,这些企业受到国家政策层面的鼓励和支持,在去IOE的大势下逐渐崛起,并在各自优势领域占据一席之地。优炫软件在信息安全细分领域即数据安全成为领军企业,在核心数据保护方面取得一定影响力,自然跟这种大势所趋离不开关系

 

纵观三大驱动,政策驱动和技术驱动在我国显然已经走在事件驱动前面,事件驱动没有很好的效应并非说明我国在能源信息安全方面有所建树,只是我国信息化安全建设还处在初期阶段,能源信息还未全面与国际接轨。其实事故出了之后,回头再去看防护的成本微乎其微,上述所引事例都属于事件驱动,事件驱动的弊病在于事不关己高高挂起,而安全问题的本质却是防患于未然。针对事件驱动,我们应该转变安全思维模式,建立主动保护意识,这也是优炫软件作为核心数据保护领域中倡导的核心理念
 

 

业主管单位对能源信息安全的要求

对于能源行业,其信息安全发展基本由政策决定。国家和政府对能源行业的重视是由能源成为现代化基础和动力所决定的。能源供应和安全事关我国现代化建设全局。因此,在国务院2014年印发的“能源发展战略行动计划(2014-2020年)”中提出了我国要加快构建清洁、高效、安全、可持续的现代能源体系。

 

关于等级保护的要求

2016年10月,工业和信息化部印发的《工业控制系统信息安全防护指南》,其中指出,工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面做好工控安全防护工作。要达到国家等级保护3至5级(特别是4级以上),或国际标准所定义的SL3级或SL4级信息安全等级,没有国家及政府层面的介入,单凭企业的力量是难以实现的。由于国内工控安全的发展时间较短和研发投入不足,普遍缺乏针对工业特点的系列齐全的信息安全产品,如满足2级、3级、4级不同等级保护要求的工控操作系统、数据库系统等。

 

关于网络安全法的要求

《网络安全法》强化了网络运行安全,重点保护关键信息基础设施。《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。为此,《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。能源行业信息安全无疑就是关键信息基础设施,是《网络安全法》强调保护的重中之重。

 

关于行业标准的要求

西方国家在信息化方面走在我国前列,其信息安全建设也相对完善,国际标准组织在BS 7799标准基础上,制定了信息安全管理体系ISO/IEC 27000系列国际标准。美国国家标准与技术研究院从20世纪80年代开始就陆续发布了一系列信息安全的报告,其中知名的有NIST SP800-82“工控系统(ICS)信息安全指南”等。IEC基于美国自动化国际学会ISA 99系列标准,先后制定了工控系统信息安全IEC 62443系列标准。英国于1995年就发布了关于信息安全管理系统的标准BS 7799。当前国内所发布的与工控系统信息安全相关的国家标准仅有2部,即GB/T 30976.1-2014“工控系统信息安全-第1部分:评估规范”和GB/T 30976.2-2014“工控系统信息安全-第2部分:验收规范”。具体到能源行业,其针对性的专门信息安全防护标准国内几乎没有。

关于系统安全防护的要求

电力信息安全事故频发,很多信息安全事故,都与操作系统安全等级较低,管理员权限过大有直接关系,国家发改委、国家能源局,国家电网等部门高度重视,连续发文,要求进行操作系统加固。提升操作系统的安全等级,确保监控系统核心数据和核心业务的安全。

 

国家发改委【2014】14号令 《电力监控系统安全防护规定》:“安全分区、网络专用、横向隔离、纵向认证、综合防护”。综合防护:综合防护是结合国家信息安全等级保护工作的相关要求对工业控制领域关键业务系统从主机层面实现对操作系统安全等级提升、恶意代码防范、远程主机入侵防范、应用安全控制、安全审计等多个层面进行信息安全防护的过程。14号令要求生产控制大区内所有服务器应当部署主机加固。

 

国能安全【2015】36号文件 《电力监控系统安全防护总体方案》要求主机加固:生产控制大区主机操作系统应当进行安全加固。加固方式包括:安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应用程序。关键控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。

 

国家电网调度中心【2016年】102号文件 《国调中心关于加强电力监控系统安全防护常态化管理的通知》。通知要求并网发电厂,按照发改委14号令和能源局36号文件的要求,把监控系统的主机加固、安全审计和漏洞扫描等产品,进行常态化部署。

 

 

部署操作系统安全增强系统的重要性

国家对于操作系统的安全防护主要出于以下几方面的考虑:

(1) 美国出口中国的操作系统的安全级别低,只是C2级别的,更高级别的操作系统不出口中国,这种C2级别系统本身就有很多的漏洞,入侵者很容易通过这些系统漏洞侵入主机。

(2) 很多用户的核心业务服务器,由于本身业务原因,不能及时安装由操作系统厂商提供的补丁,造成利用漏洞攻击核心系统的风险增加。

(3) 网络级(防火墙、入侵检测)或应用级(杀毒、网管)安全产品只能实现网络边界处或应用层的保护,不能保护核心系统。

(4) 在信息化建设的过程中,接触主机的外部人员多(如设备的调试安装),对信息安全造成一定威胁。

 

所以需要提升现有操作系统的安全等级。通过操作系统加固,构建一个从网络边界到核心的防护体系,操作系统加固产品与防火墙,隔离网闸,入侵防御等产品相辅相成、互为配合,确保核心数据和核心业务的安全。

 

图片关键词

  

优炫操作系统安全增强系统(RS-CDPS)能够实现行业主管对于操作系统安全防护的要求:实现USB管控;采用白名单过滤技术;基于MD5技术提供文件完整性检查;提供非法外联阻断和告警功能;产品具有公安部销售许可证和检测报告,满足国网、南网、五大集团要求。

 

图片关键词

 

此外,该产品还可构建可信操作系统(遵循CC标准,达到相关行业的等级保护要求);强制安全实现,权限分离,最小特权,细粒度的访问控制,操作系统安全级别从C2级提升到B1级;核心数据主动防护;防BOF攻击,密码与登录策略管理,文件/进程/权限/网络访问;保护核心数据不受泄漏,篡改和被破坏的威胁;分布部署,集中化管理;细粒度、高可靠的审计;多平台支持Windows, Linux, Solaris, HP-UX, Tru64, Unixware, AIX。

 

结语

能源行业信息安全问题备受国家重视,国家从政策层面、等级保护、网络安全层面、电力系统防护层面都给予一定的要求和规范,但由于业信息安全技术发展待成熟,无法快速达成推广普及的程度。目前大多数地方电力企业依据地方主导机构比如省评测中心和省调度中心的要求进行信息安全部署和规划。而优炫软件布局较早,已经与山西、陕西、宁夏、青海等省市开展关于电力二次系统安全防护解决方案的大量试点,优炫操作系统安全增强系统(RS-CDPS)已经获得普遍推广和使用,并取得良好的用户反馈