国家能源局信息中心 陈雪鸿,叶世超
国网智能电网研究院 石聪聪
浅谈工业控制系统信息安全等级保护定级工作
国家能源局信息中心 陈雪鸿,叶世超
国网智能电网研究院 石聪聪
本文介绍了信息安全等级保护的概念和五个重要环节,工业控制系统在能源行业发展,电力行业网络与信息安全政策体系及定级工作,提出了确定工业控制系统定级对象的方法、流程和易存在的误区。
能源;工业控制系统;信息安全;等级保护;定级。
信息安全等级保护制度是我国在信息安全领域的一项基本制度。1994年,国务院印发《计算机信息系统安全保护条例》(国务院令147号),明确要求计算机信息系统实行等级保护。2003年,中央办公厅、国务院办公厅印发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),明确要求重点保护国家基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统安全,抓紧建立信息安全等级保护制度。我国先后制定出台了《信息安全等级保护管理办法》及《信息系统安全等级保护基本要求》等一系列等级保护规范性文件和标准,有力促进了等级保护工作。
信息系统等级保护工作主要分为定级、备案、建设整改、等级测评和监督检查五个环节。
定级工作:对信息系统进行定级是等级保护工作的基础,定级工作的流程是确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。
备案工作:信息系统定级以后,应到所在地区的市级以上公安机关办理备案手续,备案工作的流程是信息系统备案、受理、审核和备案信息管理等。
建设整改工作:信息系统安全等级定级以后,应根据相应等级的安全要求,开展信息系统安全建设整改工作;对于新建系统,在规划设计时应确定信息系统安全保护等级要求,按照等级要求,同步规划、同步设计、同步实施安全保护技术措施;对于在用系统,可以采取“分区、分域”的方法,按照“整体保护”原则进行整改方案设计,对信息系统进行加固改造。
等级测评工作:信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级测评过程可以分为四个活动:测评准备、方案编制、现场测评与分析、报告编制,常用的测评方法是访谈、检查和测试。
监督检查工作:公安机关依据有关规定,会同行业主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,监督、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
定级是开展信息安全等级保护工作的基础。根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:第一级为用户自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级为系统审计保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级为安全标记保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级为结构化保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级为访问验证保护级,信息系统受到破坏后,会对国家安全造成特别严重的损害。
能源行业是工业控制系统应用广泛的行业。能源是国民经济的命脉,是我国建成小康社会、实现“两个百年”奋斗目标和中华民族伟大复兴中国梦的重要保障。电力、煤炭、石油石化等能源工业作为国家的基础性和支柱性产业,为促进我国经济社会持续健康发展、人民生活水平不断提高发挥了重要作用。2013年,我国全年能源消费总量达37.5亿吨标准煤,约占全球能源消费总量的21%,发电量约53976亿千瓦时,约占世界发电量的24%,煤炭产量约36.8亿吨,约占世界煤炭总产量的46.8%,均居世界首位;石油产量约2.09亿吨,约占全球石油总产量的5.1%,居世界第四位,天然气产量约1171亿立方米,约占全球天然气总产量的3.5%,居世界第六位。
在“信息化带动工业化,以工业化促进信息化,走新型工业化道路”的政策引领下,两化融合为推动能源产业结构优化和健康发展,确保能源安全可靠供应,提高能源企业生产运营效率起了重要作用。随着智能电网、数字油气田、数字矿山等信息化工程快速推进,能源的开发、生产、利用、传输、消费等环节已高度依赖信息化。能源领域关键信息基础设施和重要信息资源已成为支撑能源生产供应的关键基础,没有能源领域网络安全就没有能源安全,没有能源安全就没有国家安全。
电力行业,可以粗略分为电网企业、发电企业、电力设计施工等辅业企业。支撑电力发、输、变、配、用以及调度等各环节跨企业连接的电力监控系统已成为电力生产运行控制不可或缺的重要组成部分。各电力企业经营管理的信息化工作也成果显著,为电力工业发展和管理变革提供强有力的支撑和保障。石油石化行业,中国石油化工集团公司、中国石油天然气集团公司和中国海洋石油集团公司等企业建成了支撑生产运行、经营管理的信息系统,即以ERP为核心的经营管理平台、以生产执行系统(MES)为核心的生产营运平台和信息基础设施与运维平台,实现了信息系统在油田、炼油、化工、销售全产业链的覆盖应用,智能油气田、智能炼化、销售电商平台、一体化客户管理、全球供应链与物流等信息化工作取得初步进展,正在促进引领石油石化行业的发展。煤炭行业,多数大型企业建成了集自动化控制、监测监控、调度指挥、诊断维护等多业务于一体的综合信息化自动化管控平台,煤炭工业的信息化工作已融入煤炭安全生产、经营管理、节能环保的各个环节。
现代电力生产具有高度信息化、网络化的特征,信息技术应用广泛,信息安全问题也得到及时密切的关注。电力信息系统分为管理信息类系统和生产控制类系统。管理信息类系统是指支持电力企业的经营、管理和运营的信息系统,如门户网站系统、电力营销管理系统、财务管理系统、人力资源管理系统等。此类系统往往部署于管理信息大区。生产控制类系统(俗称电力二次系统)是用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备,如电力调度数据网络、电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统等。此类系统原则上部署于生产控制大区。2005年至2012年,原电监会先后印发《电力二次系统安全防护规定》(5号令)和《关于印发〈电力二次系统安全防护总方案〉等安全防护方案的通知》(电监安全[2006]34号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号)、《电力行业信息系统安全等级保护定级工作指导意见》(电监信息[2007]44号)、《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号)、《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)等文件,全面推进电力二次系统安全防护、信息安全等级保护建设工作,规范了包括生产控制系统在内的电力行业等级保护定级备案、建设整改、等级测评、督导检查、人才队伍建设等工作。
2013年,国务院将现国家能源局、电监会的职责整合,重新组建国家能源局。2014年,国家能源局对原有文件进行修(制)订,印发了《电力行业网络与信息安全管理办法》(国能安全[2014]317号)、《电力行业信息安全等级保护管理办法》(国能安全[2014]318号),并以国家发改委令的形式印发了《电力监控系统安全防护规定》(国家发改委令第14号),对电力行业网络与信息安全相关工作做出了新的规范。总结电力行业网络与信息安全政策体系如图1所示。
图1 电力行业网络与信息安全监管政策体系
在电力行业网络与信息安全体系中,其最有特色是电力监控系统(电力二次系统)安全防护,其从行业层面印发的文件如图2所示。
图2 电力二次系统安全防护体系
电力监控系统(电力二次系统安全防护体系)主要包括以下内容:
《电力二次系统安全防护规定》,2005年印发,为电力二次系统安全防护的基础性文件。
《电力二次系统安全防护总体方案》等共计6个安全防护配套方案,2006年印发,规范了省级以上调度中心、地县级调度中心、变电站、发电厂和配电二次系统安全防护工作。
《电力负荷管理系统安全防护补充技术规定》,2011年发布,规范了电力负荷管理系统安全防护工作。
《中长期电力交易系统安全防护补充技术规定》,2011年发布,规范了中长期电力交易系统安全防护工作。
《核电站二次系统安全防护技术规定(试行)》,2012年发布,规范了核电站电力二次系统安全防护工作。
《风电、光伏和燃气电厂二次系统安全防护技术规定(试行)》,2012年发布,规范了风电、光伏发电、燃气电厂的电力二次系统安全防护工作。
《电力二次系统安全防护评估规范(试行)》,2012年发布,规范了电力二次系统安全防护评估工作。
《电力监控系统安全防护规定》(国家发改委令第14号),2014年8月1日发布,将电力二次系统更名为电力监控系统,给予电力监控系统新的定义,规范了电力监控系统安全防护工作。
《电力监控系统安全防护总体防护及其他安全防护方案和评估规范》,2015年发布,其是对《电力二次系统安全防护总体方案》及配套方案的修订,适应了新一代电力监控系统的安全防护工作。
2007年,原电监会印发《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2014]34号)、《电力行业信息系统安全等级保护定级工作指导意见》(电监信息[2007]44号),成为电力行业信息系统安全保护定级工作的政策性文件。各重点电力企业据此开展了信息安全等级保护定级工作。根据电力信息系统业务信息安全和系统服务安全被破坏时对公民、法人和其他组织的合法权益,社会秩序、公共利益和国家安全的侵害程度,管理类电力信息系统可分为1~3级,生产控制类电力信息系统可分为1~4级。根据电力行业信息系统实际情况和保护侧重点的不同,技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)。在系统定级时,可按不同安全保护等级的组合进行定级,如表1所示。
表1 各等级信息系统定级结果组合
对于在电力行业中有重要应用的信息系统,原电监会印发的《电力行业信息系统安全等级保护定级指导意见)(电监[2007]44号)给出了详细的安全保护级别的定级建议,一般来说,省级及以上电网调度自动化系统应定级为4级,地市级调度自动化系统、配网自动化、电力负荷管理,单机容量300兆瓦及以上的火电机组监控系统,总装机1000兆瓦及以上的水电机组监控系统,总装机2000兆瓦及以上的梯级调度监控系统,电能量计量系统、省级及以上调度生产管理系统,总装机1000兆瓦及以上的发电厂SIS系统、核电站环境监测系统,省级及以上单位电力市场交易系统等,集团公司门户应定级为3级,其它为2级。
2007年,电力行业开展了第一次全面定级工作。在全国开展的第一次定级工作中,电力信息系统定级最为广泛彻底,摸清了底数,找准了重点,定级工作取得了积极成效。之后几年中电力信息系统发生了一些变化:(1)统一设计、统一开发、集中部署的信息化建设模式,使信息系统的集成度大幅提高,通常只在总部和省级所属单位实行两级部署;(2)电网调度自动化专业的管理模式与其技术支持系统的体系结构均发生显著改变,无人变电站数量增多。2012年,根据电力信息系统发展特点,原电监会适时对系统定级进行调整,主要调整为:(1)隶属于电网公司的变电自动化系统纳入相关调度自动化系统作为子站进行保护,不再作为独立系统进行单独定级;(2)新一代智能电网调度技术支持系统按照分区功能定级,I区实时监控与预警为四级、II区调度计划与安全校核为三级、III区调度管理为二级;(3)集团公司营销管理系统和ERP系统调整为三级。可以说,电力行业经过2007年的全面定级和2012的定级调整,基本完成了电力工控系统的定级,在已定级的信息系统中,电力工控系统占比70%以上。
随着信息化技术的发展,以自动化技术为代表的自动控制系统在工业控制领域得到了广泛的应用。国外在工控系统信息安全防护领域的标准研究工作开展较早,进展较快。总体来看,在共性的信息安全方面,大多利用已有的信息安全标准为工控系统信息安全保障体系建设提供标准支持,而在工控业务应用安全方面大多有针对性地制定相关信息安全标准。目前国际上有很多组织从事工业控制系统的安全问题研究。根据现有资料,对工业控制系统安全的标准化工作主要来自以下组织:
(1)国际电工委员会(IEC,International Electro Technical Commission)
(2)国际自动化协会(ISA,the International Society of Automation)
(3)美国国家标准技术研究院(NIST,National Institute of Standards and Technology)
(4)北美电力可靠性委员会(NERC,North American Electric Reliability Council)
在这其中,以IEC 62443《工业通讯网络-网络和系统安全》系列标准得到国内外工控领域的认可,62443是IEC TC 65 WG10为实现工业控制系统的安全保护而正在制定的标准,旨在提出一整套建立工业自动化系统的安全保障措施,涉及安全规程的建立运行,以及对工业自动化控制系统的安全技术要求,明确可采用的安全技术及应用方法。全国工业过程测量和控制标准化技术委员会SAC/TC124在将62443系列标准在国内转化中做了大量工作,已印发GB/T 30976.1-2014《工业控制系统信息安全第1部分:评估规范》和GB/T 30976.2-2014《工业控制系统信息安全第2部分:验收规范》 ,在此我们引述62443关于工业控制系统的定义:
工业自动化和控制系统industrial automation and control system指对工业生产过程安全(safety)、信息安全(security)和可靠运行产生作用和影响的人员、硬件、策略和软件的集合。系统包括,但不限于:分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端单元(RTU)、智能电子设备、监控和数据采集(SCADA)等。其对应的逻辑架构如图3所示。
由上述定义和工业企业信息系统逻辑图可以看出,此定义的工业控制系统不能直接作为等级保护定级对象,当以工业控制系统作为等级保护定级对象时,需要按照 《 信息系统安全等级保护定级指南 》(GB/T 22040-2008)要求对定级对象进行梳理。回顾一下计算机信息系统和等级保护对象的定义:
计算机信息系统computer information system:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。(引自GB17859-1999)
等级保护对象target of classified security :信息安全等级保护工作直接作用的具体的信息和信息系统。(引自GB/T 22040-2008)
作为定级对象的信息系统应具有如下基本特征:
(1)具有唯一确定的安全责任单位。
(2)具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
(3)承载单一或相对独立的业务应用。
对比工控系统与等级保护定级指南中所确定计算机信息系统的定义,不难发现做好工控系统定级工作,需要明确工控系统的定级对象,可编程逻辑控制器(PLC)、远程终端单元(RTU),智能电子设备不具备(2)的特征,不能作为单独的系统进行定级,而SCADA和DCS虽具备(2)的特征,即有计算机信息系统的基本要素,但作为定级对象,在实施过程中需要考虑基本特征(1)和(3),故需要明确待定级工控系统的管理边界、物理边界和逻辑边界。大部分工业企业由生产管理部门管理第0~3层,第4层以上通常归由信息部门管理。而从(3)原则来看,第0~2层及第3层中监督控制即构成了单一或相对独立的业务应用。综上所述,具有相对独立应用,由生产管理部门管理或运维,由现场层、控制层、监视层组成的SCADA(图4给出了一个典型实现,可以看出其基本部件包含现场层、控制层、监视层和承载网络)或DCS(图5给出了一个典型实现,其基本部件包含现场层和控制层合一的现场层、监视层和承载网络,如PLC既可认为是现场设备,也可认为是控制设备)可作为定级对象。在工业企业中,SCADA或DCS是和特定的工业业务应用密不可分的,如SCADA在电力行业中典型应用是作为能量管理系统、配电自动化系统的基础平台,在石油行业典型应用中是作为油气传输SCADA系统,在自来水行业典型应用是作为水质监测SCADA,在实际定级备案中,往往会以其应用进行系统命名,如在电网企业中,备案中使用能量管理系统或新一代智能电网调度技术支持系统作为调度SCADA系统的名称。
图3 工业企业信息系统逻辑图
图4 SCADA系统典型实现拓扑图
图5 DCS实现举例
确定了工业控制系统定级对象后,需要确定此系统的安全保护等级,确定信息系统安全保护等级的一般流程如下:
(1)确定作为定级对象的信息系统;
(2)确定业务信息安全受到破坏时所侵害的客体;
(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
(4)得到业务信息安全保护等级;
(5)确定系统服务安全受到破坏时所侵害的客体;
(6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
(7)得到系统服务安全保护等级;
(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
就信息安全三个特性对于系统的重要程度而言,通用IT系统一般是按照机密性、完整性、可用性的次序递增,而对于工业控制系统而言,一般是按照可用性、完整性、机密性的次序递增,因此在开展工业控制系统定级工作中,注意其业务信息安全被破坏对客体的侵害程度不大于其系统服务安全被破坏对客体的侵害程度,即如以SnAmGl表示系统的定级组合,n表示业务信息安全保护等级,m表示系统服务安全保护等级,l表示系统的安全保护等级,那么n m, l = max (n, m)。
此外,在开展工业控制系统定级工作过程中,还应避免以下误区:
(1)认为工业控制系统不同于信息系统,不需要定级。传统工业控制系统与通用IT系统不同,但在两化融合过程中,工业控制系统大量采用信息技术和网络技术实现工业控制系统的互联互通,这种互联互通将传统IT系统所面临的威胁和脆弱性引入了工业控制系统,这样的工业控制系统也具备了信息系统的基本要素。同时开展工业控制系统定级工作,也有利于行业和国家信息安全监管部门确定重点保护对象,形成国家、行业、企业三级的信息安全防护管理机制。
(2)将工业控制系统所界定的范围划分过宽。将第0至5层认为为一个工控系统,实际执行结果会造成工业企业仅有一个信息系统,与信息系统作为定级对象所确定的(1)、(2)、(3)基本特征不符,也于实行计算机信息系统分等级保护的精神不符,这样实际上是按企业分等级保护。
自2007年开始,公安部组织开展重要信息系统安全等级保护定级工作以来,多个重点行业分别开展了等级保护定级工作。对于工业控制系统的定级工作,其定级标准存有争议,全国信息安全标准化技术委员会(TC260)曾于2012年确定工业控制系统安全等级保护定级指南的立项工作,但工业控制系统等级保护定级指南尚未出台。工业控制信息系统作为信息系统的一类,其定级依然可以按照国标 《 信息系统安全等级保护定级指南 》(GB/T 22040-2008)和行业定级指南等进行定级。在开展工控系统定级时,可根据其管理边界确定不同工控系统是否可作为一个大工控系统的子系统统一定级,如将给水、除灰系统作为辅助控制系统的子系统或子模块的前题是给水、除灰、辅助控制系统为同一管理机构进行管理或运维,根据是否承载单一或相对独立的业务应用来确定待定级系统的物理边界和逻辑边界。总之,开展工业控制系统定级是开展工业控制系统等级保护工作的基础,各工控行业可根据国家标准结合行业特点,在实践中不断总结与调整,真正实现等级保护的实施原则“自主保护、重点保护、同步建设、动态调整”。
陈雪鸿,高级工程师,硕士,现就职于国家能源局信息中心,主要研究方向为电力信息化及其信息安全。
叶世超,博士,现就职于国家能源局信息中心,主要研究方向为电力信息化及其信息安全。
石聪聪,硕士,现就职于国网智能电网研究院,主要研究方向为电力信息化及其信息安全。