SCADA安全策略框架

谢子宁，程智谋

（广东宝绎通信科技有限公司，广东广州510630）

1 SCADA管理控制

SCADA系统支撑着电力基础设施的发电、传输、配电。SCADA的主要目的是监控基础设施，任何通过数字电子方式实现的状态、更改过程控制参数、展示、存储、交换数据的行为都符合SCADA的定义。现代SCADA环境最显而易见的一个问题是安全策略的缺失，其它问题则有脆弱的账户维护，不安全的网络连接，以及缺少设备的维护和监控。

1.1 SCADA专门安全管理

SCADA系统需要一个独立、专门的安全管理结构，保证所有SCADA特有的功能和需求可以有效被覆盖。IT系统和SCADA系统之间的设计差异，导致它们的安全策略的制定也有所不同。IT系统和SCADA在实现目标和数据敏感度方面都有不同，SCADA经常用于控制时效性强的功能，当时间是非常关键的因子时，一些标准的IT安全方案就不适用在SCADA中应用。比如IT系统的病毒防护扫描有时会拖慢系统的运行，这对于一些SCADA平台来说是不可以接受的。

1.2 执行层次

策略是任何可持续安全系统的基石，没有安全策略和管理的系统，不能支撑可预见、可自保的安全体系，而且经验告诉我们，没有管理的信息网络最终会出现漏洞。商业目的也是制定专用策略的驱动因素之一，作为商业应用，使用SCADA的环境要满足SCADA网络的辨别机密性、有效性和完整性需求，以及来自SCADA系统的有效数据。风险评估通过辨别系统哪些地方容易受到攻击来指导策略的制定，风险评估过程包括评价、减少、转送和迁移。安全策略则定位了减少、转送和接收步骤，策略同时会详述时间、人物以及评价是如何执行的。

正确的定义策略是创建一个可自保和可执行安全程序的第一步。一旦创建了策略，SCADA环境中的其他安全文档（包括系统安全计划和执行向导）也可以被明确。

1.3 策略简介和背景

安全策略正式规定了一个组织里的人员什么可以做，什么不可以做，策略的制定是从商业目标和风险评估得出的。策略是一种规定，而不是建议或者指导书可以选择是否遵循，它们要求明确而且持续地执行。随着技术的发展和新需求的出现，策略也必须保持有效，所以策略必须随时变更。如果不能及时更新，策略本身就会变得过时而失去它存在的意义。

1.4 重要的策略段落

策略指导书必须容易阅读理解：

目的：解释为什么需要这一份策略指导书。

范围：策略覆盖的人和物体。

策略：明确人员和设备，什么事情可以做、什么不可以。

职责：在这里详述谁必须做什么。

参考：这里描述了因为组织架构，策略需要受到其它外部策略的约束。

修订历史：这里描述什么人什么时候修改了什么东西。

执行：这里描述了不遵守策略带来的后果。

例外：可能不需要，但是如果存在这种情况，就需要在策略中明确，包括如何获取例外的权限，什么人可以批准，已经批准的有效期。

2 SCADA安全策略框架

如图1所示，根据此框架可以让作者容易地创建安全策略，保证所有关键的段落都被覆盖。这里展现的框架可以根据任何组织的需要进行裁剪，每一个段落不一定需要独立的策略，一些组织也许只使用一个策略就适用所有子段落。图1中的每一个段落将在下面加以说明。

图1 系统安全框架

2.1 SCADA系统安全程序

安全框架的第一个部分用于介绍目标系统和为策略的其它部分提供背景，这一组包含的信息与策略声明的关联很少，但是为策略的其它部分提供了重要的细节和必要的概念。

（1）组织和关系

没有SCADA系统是完全独立运作的，定义组织的结构和与外界的关系很重要，需要辨别其它主体的强制性和可选策略标准，并加以遵循。组织的内部层次对于一个好的安全程序来说也是非常关键，必须定义个体的角色和职责，使得职责可以分配到随后的策略段落中。

（2）信息结构

SCADA信息结构会为所有策略阅读者提供策略的共同参考点。此段落将会辨别通用名词，和其它相关工程的性能标准。如果系统是由独立的子系统组成，那么子系统之间的关系必须以条款的形式描述。

（3）数据分类和所有权

大多数系统会定义数据的类型以便可以方便识别不同数据类型，以及识别每一种类别需要的保护和存储需求。每一种数据类型同样需要一个指定的拥有者为数据负责，当数据被错误处理时进行纠正。数据类型可以是配置、历史存档、管理、实时等。

（4）风险管理

所有的系统安全管理都是围绕着风险管理程序，同时也是安全技术和执行的驱动因素。所有风险管理程序的目标是创建一个可以接受的风险层次，贯穿识别、分析、以及转送各个方面。风险、开支和性能这些是此消彼长的关系，必须加以讨论取得平衡。

2.2 数据安全策略

数据安全策略决定了如何保护不同类别的数据。（1）数据备份策略

这个策略详细定义了何种数据应该备份，多久一次，以及备份的地点。

（2）数据存储和销毁策略

数据在完成它的生命周期之前需要进行保护，包括创建、存储和销毁，销毁和创建存储一样重要。

（3）恶意软件保护策略

恶意代码会给系统数据带来不可修复的损坏，必须做好提前的控制，预防恶意代码。

2.3 平台安全策略

平台安全会辨别SCADA系统需要的默认安全配置，明确账户的创建和销毁流程。终端、服务器和SCADA设备（RTU、PLC、IED）分别会有自己的安全配置。重要的概念包括了病毒检测、入侵检测、访问控制和信息加密。

2.4 通信安全策略

通信安全辨别数据在网络传输的路线，详述不同网络下的保护机制，任何辨别安全地带和明确外部接入授权。

（1）有线连接

此段落描述了自动化网络中的所有连接，包括LAN、MAN和WAN，根据数据类别的不同进行加密。

（2）无线连接

因为无线传输媒介的特性，需要特别考虑如何通过无线网络，以及无线连接是如何建立的。

（3）边界策略

此策略定义了SCADA数据是如何与外界网络进行输出输入的，识别需要的控制类型和控制的位置。安全地带也会被明确以帮助判断是否需要加密控制。

（4）远程访问

此处定义用户可否、如何从远程连接到自动化网络，远程连接对于覆盖大范围地理位置的系统维护是很常见的需求，同样可以利用远程连接完成系统升级和维护，此策略详述如何请求连接，谁可以许可连接，以及有效的连接时间。

（5）外部连接

此段落描述了外来者是否、何时、如何访问自动化网络中的信息和设备，此策略包括了如何请求连接，什么人可以许可连接，以及连接的有效时间。

2.5 人员安全策略

自动化化系统的工作人员与传统IT网络相比有不同的功能和安全需求。此策略明确了SCADA工作人员的工作内容和聘用标准，包括了教育程度，背景调查等。

（1）可接受使用

此策略段落定义了用户可以使用的网络资源和设备，考虑到SCADA系统的关键性，不能将设备作为私人用途，系统软件也必须是为SCADA定制的，所有人员必须签订必要的行为守则。

（2）账户和密码

此策略段落描述了正确处理账户和密码的方式，包括存储、创建和共享。所有共享的密码都应该在创建、存储、更改方面有特别的要求。账户的创建和销毁策略，描述了用户如何使用他们的账户，什么人有责任创建和移除账户，账户的创建必须基于工作职能，其它的要求包括账户超时，登录限制也应该在此明确。

（3）培训

工作人员必须熟悉系统的安全需要和理解为什么需要安全控制。此策略段落列出了培训的类型，培训的频率和必须培训的人员。

2.6 配置管理策略

此策略段落保证可持续配置管理过程的执行。策略需要列出维持一个可持续安全系统的所有必要文档和过程，包括了修订过程的细节，安全计划的时间线，执行指导，以及更改控制和更改评价的因素。

2.7 审查策略

审查和评估对系统来说都很重要。审查将决定策略的细节，比如安全计划、执行指导是否被正确地在系统内实施。评估则保证系统信息和功能的保护是有效的，同时审查策略定义了审查和评估活动的范围。

（1）内部和外部审查

在一个综合的风险管理程序里，内部审查和外部审查都有重要的位置，此段落详述了各种必要审查，以及识别负责执行必要审查的组织。

（2）合格鉴定

如果需要对一个组织进行合格鉴定，此段落描述了责任主体，时间线和相关条目。

（3）事故报告

事故事件的责任个体在此段落明确，事故细节的保护级别在此段落被定义，同时必须制定事故反应流程，快速定位问题和保留证据。

（4）记录策略

此策略定义记录的要求，比如什么东西会被记录，储存的要求，以及修订的要求。

（5）入侵检测

入侵检测是重要的检测不恰当行为的工具，SCADA会根据其自身的要求和限制为IDS要求特定的策略。

（6）评估

此段落明确责任主体，时间线和数据保护的评估程序。

2.8 应用程序策略

应用程序策略保证应用程序是按照自动化系统的要求进行配置和使用的。此策略覆盖了程序级别的范围控制细节，应用程序培训，以及测试和开发要求。

（1）SCADA应用程序

SCADA特定应用程序需要管理员权限。这些应用程序可能允许数据分离，不同用户登录和密码保护。此段落专注于专门的SCADA设备和功能接口的应用程序。

（2）支持应用程序

支持应用程序，比如办公软件、数据库，以及登录，需要有不同的安全指导书，这些应用程序通常不与SCADA设备和自动化功能直接接入，但是可能于运行同时运行了SCADA应用程序。

2.9 物理安全策略

将网络安全保护和物理安全保护分开是不切实际的，多数情况下物理安全可以让网络安全保护更加高效。SCADA系统所使用的设备必须尽可能避免物理损伤，非授权的访问，即使是合法的访问也需要在控制和监控下进行。

（1）设备丢弃

物理设备丢弃处理和数据丢弃一样重要。物理设备在被移出系统之前必须被清理。此策略指导操作人员如果存在系统不再需要的设备，应该如何进行处置，重要的概念包括清理、跟踪和丢弃技术。

（2）SCADA系统资产保护SCADA设备的标准与系统内的办公设备有不同的要求，因此这些不同的设备特性要求不同的保护指导。

2.1 0 手动操作策略

考虑到自动化系统的重要性，系统崩溃的时候，自动化系统必须依然可以被操作，手动操作需要考虑的是手动备份的流程、命令链路、周期性检测、手动操作培训、灾难恢复策略等。

3 结 论

由于在电力系统中SCADA系统的独特重要性，其网络安全性应该引起日益广泛的关注。因此，供电企业应该立刻与信息安全专家联手，对当前应用的SCADA系统安全性进行全面的分析，评估系统当前的安全性等级，并且制定策略来降低风险。本文所展现的安全策略框架，在发展SCADA策略中是很有价值的工具。此框架保证覆盖所有安全的关键领域的同时，提供了灵活的定制性，以便适应不同的策略需求，稍加裁剪可以应用与不同的环境中。

［1］ GB／T 15498-1995.电网调度自动化与信息化技术标准［S］.中国电力出版社.

［2］ Integrating Security into SCADA Solutions［Z］.Bernie Robert-son.

［3］ Sustainable Security for Infrastructure SCADA［Z］.Jason Stamp.

［4］ A Short Primer for Developing Security Policies［Z］.Michele D.Guel，SANS Institute.

［5］ Urgent Action Standard 1200，North American Electric Reli-ability Council（NERC）［Z］.