电力工业控制系统数字资产定义与识别

郑威 常箫 毛磊 马骏 张淑慧

(上海核工程研究设计院有限公司,上海 200233)

0 引言

自2010年Stuxnet蠕虫病毒攻击伊朗核设施以后,工业控制系统网络安全问题受到越来越多的关注和重视。网络安全攻击会影响到软件和数据的可用性、完整性、机密性,对系统、网络和相关设备的运行产生不利影响,对运行安全构成威胁。

电力工业控制系统数字资产是关键基础设施网络安全防护的重要组成对象,是网络安全控制手段的应用主体,是攻击者的攻击目标。本文梳理了国内外工业控制系统以及电力网络安全相关标准中关于数字资产的定义,提出了电力工业控制系统数字资产的识别方法。

1 工业控制系统数字资产定义

1.1 资产定义分析

GB/T 30976.1-2014工业控制系统信息安全第1部分:评估规范[1]。

根据《GB/T 30976.1-2014工业控制系统信息安全第1部分:评估规范》,工业控制系统定义为:对工业生产过程安全(safety)、信息安全(security)和可靠运行产生作用和影响的人员、硬件和软件的集合。包括但不限于:(1)工业控制系统包括分布式控制系统(DCS)、可编程逻辑控制器(PLC)、智能电子设备(IED)、监视控制与数据采集(SCADA)系统,运动控制(MC)系统、网络电子传感和控制,监视和诊断系统;(2)相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统;(3)相关的部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。

本文关注信息安全防护的实体设备,即作为控制手段实施对象的工业控制设备,因此本文定义工控数字资产为工业控制系统的子集,即对工业生产过程安全(Safety)、信息安全(Security)和可靠运行产生作用和影响的硬件和软件的集合。

GB/T 22239-2019,信息安全技术信息系统安全等级保护基本要求[2]。

该标准中,信息安全应用层次为系统级,定义等级保护对象为:等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。

在等级保护中,参考IEC62264-1,将工业控制系统从上到下分为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层。其中业务资源层主要包括ERP系统功能单元,用于为企业决策层提供决策运行手段;生产管理层主要包括MES系统功能单元,用于对生产过程进行管理,如制造数据管理、生产调度管理等;过程监控层主要包括监控服务器与HMI系统功能单元,用于对生产过程数据进行采集与监控,并利用HMI系统实现人机交互;现场控制层主要包括各类控制器单元,如PLC、DCS控制单元等,用于对各执行设备进行控制;现场设备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作。

该标准对信息安全研究的颗粒度为系统,物理实体视为系统的一个子项,从上到下落实信息安全相关要求。工控数字资产可视为组成整体的元素。

REGULATORY GUIDE 5.71 Cyber Security Programs for Nuclear Facilities[3]。

在RG5.71中,关键数字资产定义为:(1)执行核安全、实物保护和应急响应功能的数字资产;(2)可能对核安全、实物保护和应急响应功能,或执行相关功能的关键系统和/或重要数字资产产生不利影响的数字资产;(3)为关键系统和/或重要数字资产遭受网络攻击提供路径的数字资产,通过该数字资产提供的路径可能导致损害、降级核安全、实物保护和应急响应功能;(4)支持关键系统和/或重要数字资产的数字资产;(5)保护上述任何数字资产免受网络攻击的数字资产。

NUREG/CR-6847 Cyber Security Self-Assessment Method for U.S. Nuclear Power Plants[4]。

在NUREG 6847中提出了核电厂信息安全自评估方法。在该标准中,NUREG-6847使用识别关键数字资产、检查和验证关键数字资产、评估脆弱性来进行风险评估。

NUREG 6847中提出,关键数字资产是由关键系统中扮演操作和维护功能角色的一个或一些数字设备组成的。

NUREG 6847将关键数字资产视为同一类型的数字设备的集合,并针对同一类型的数字设备进行脆弱性的评估。

IEC 62443-1 Industrial Communication Networks–Network and System Security–Part 1-1 Terminology Concepts and Models[5]。

在该标准中,将资产定义为:组织拥有或控制的物理或逻辑对象,对组织拥有实际的或可预见的价值。

在该标准中,将工业控制系统中的资产定义为与控制有关的对象,意味着在工业场景中资产除了本身属性之外,还承担着整体功能的部分属性,两者组合为工控场景下的特性。

1.2 电力工控数字资产总结

根据上文中对不同标准中资产定义的研究,得出以下结论:

针对组织来说,所有有价值的东西称为资产。

在电力工控场景内,数字资产是对工业生产过程安全(safety)、信息安全(security)和可靠运行产生作用和影响的硬件和软件的集合。在电力行业,可以参照《电力监控系统安全防护总体方案》(国能安全【2015】36号)[6],确定需要进行网络安全防护的电力监控系统,给出了不同系统的等级保护推荐定级,可根据需要安全防护的系统,再对数字资产进行进一步识别。

数字资产依据其执行的功能不同,可分为一般数字资产和关键数字资产。依据RG5.71,将执行关键功能的数字资产进行分类和识别,其价值不仅包括维持工厂正常控制形成的数字资产价值,还包括因为其被破坏后将造成重大影响而形成了高于一般数字资产的价值。关键数字资产视为同一类型的数字设备的集合,用于执行某一特定的关键功能。

1.3 电力工控数字资产识别方法

在电力工控系统领域中,分布式控制系统(DCS)、监视控制与数据采集(SCADA)系统、过程控制系统(PCS)等工业控制系统可视为多种工艺设备和仪控网络相互组合协作,通过工业控制软件实现具体功能。由于攻击者进行攻击时往往由系统中防护薄弱的设备入手,利用网络实现信息安全攻击,达到窃取、更改或破坏的目的。因此信息安全控制手段更多的应用于具体的设备,这些设备的相互协作构成了整个系统的功能,而保护系统内的关键设备可以有效地降低攻击的效果。在本文中,根据其设备类型将其分解为以下电力工控数字资产:

(1)可编程控制器:指PLC或DCS控制器。此类系统有硬件和固件,可安装简单的应用程序,接受TCP/IP网络通信,可对于TCP/IP通信和电信号进行应用程序控制下的互相转换。(2)网络设备:可配置策略,用于传输网络通信(3)工控机:有硬件和操作系统,可安装软件。在工控场景中表现为工程师站、操纵员站等上位机。(4)应用程序:安装在工控机和可编程控制器上,处理信号,存储数据。在工控场景中包含组态软件、仪控系统监控软件、运维软件等。(5)数据采集设备:包括远程终端装置(TRU)、无线传感器和智能仪表。

识别并归类以上电力工控数字资产,本文提出以下步骤:(1)识别与电力生产相关的控制系统、通信网络;(2)识别对电力生产相关功能造成影响的系统,和影响其通信网络的系统;(3)识别支持电力生产相关系统和其通信网络的系统;(4)识别保护电力生产相关系统和其通信网络的系统;(5)在步骤1-4中识别的系统内,识别与电力生产相关的设备;(6)识别对电力生产相关功能造成影响的设备,和影响其通信网络的设备;(7)识别支持电力生产相关功能的设备;(8)识别保护电力生产相关设备和通信网络的设备,如图1所示。

图1 资产识别过程Fig.1 Asset identification process

2 总结

本文从工业控制系统数字资产的定义出发,梳理了GB/T30976、GB/T22239、RG5.71、IEC 62443、NUREG/CR-6847等标准中关于数字资产的定义,提出了电力工控数字资产的一般识别方法。