電力監控系統屬于工業控制系統的一種��,是指用于監視和控制電力生產及供應過程的�����、基于計算機及網絡技術的業務系統及智能設備���,以及作為基礎支撐的通信及數據網絡等�。
為了加強電力監控系統的信息安全管理��,防范黑客及惡意代碼等對電力監控系統的攻擊及侵害���,保障電力系統的安全穩定運行��,在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置��,在安全接入區與生產控制大區中其他部門的聯接處必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置��。
電力專用橫向單向安全隔離裝置實現生產控制大區與外部網絡的物理隔離�,但來自生產控制大區內部的安全威脅可能比很多外部攻擊更強烈��,更有破壞力�。
維基解密了一個美國中央情報局CIA關于“野蠻袋鼠” 黑客程序項目的檔案��。該150頁文件詳細描述了美國情報機構是如何遠程滲透入侵隔離的計算機網絡的�����。其中一個組件代號“激動猿猴”(Shattered Assurance)的工具����,它可以快速感染插入電腦的U盤��,當受感染的U盤插入物理隔離的內網電腦時����,將惡意軟件部署到這些電腦當中�。這意味著大部分物理�、邏輯隔離網絡已經不再安全��,即使用了安全隔離裝置隔離的網絡也已經不那么可靠���。
對于管理著關鍵基礎架構和制造過程的電力監控系統網絡來說��,尤其如此���。例如:一個不懷好意的雇員�,且了解電力監控系統并能夠訪問生產控制大區內部網絡的雇員就可以引起多種破壞��,從而導致產品損壞�����、財務損失�����、設備破壞����,甚至威脅人的生命�����。與傳統信息安全相比��,可以說工控安全是人命關天的大事��。
工業控制系統網絡更易遭受內部攻擊
對于工業控制系統網絡的漏洞而言���,如下要點值得注意:
1. 對工業控制系統的遠程訪問很尋常
雖然對運營技術網絡和設備的外部連接可以提升工作效率���,卻也產生了新的攻擊面��。遠程訪問往往是由工程師實施的�����,其目的是為了促進特定項目的進展��,或是其它特定需要�����,如使用進口生產設備��,外國廠家現場運維費用昂貴��,為了規避昂貴的現場運維費用采用遠程運維的方式����。雖有相關部門發文明令禁止遠程運維的行為�,但一些電廠特別是新能源電廠私建�、偷建遠程運維網絡現象是存在的����。然而��,很多情況下����,在項目結束后����,卻無人監視這種訪問的使用���。由此造成了對這些環境的惡意的和危險的訪問��。
有些企業曾經相信:只要將工業網絡和IT網絡及外部的互聯網分離開��,就可以高枕無憂�,但如今�����,企業也不再相信那些過時的安全措施���。今天���,攻擊和漏洞幾乎無處不在�����,由此使得內部人員和外部攻擊可以攻擊工業控制系統網絡�����。
2. 工業控制系統網絡缺乏傳統的IT安全控制和監視
由于缺乏這種控制�����,工業控制系統網絡的管理員或專責就無法強化訪問��、安全和對相關更改進行管理的策略��。還有另一個問題:這些網絡并沒有可供獲取的日志或蹤跡���,也就無法知道誰在什么時間訪問了網絡以及此人做了哪些更改�����。
因而��,在發生事件并導致了運營中斷時����,企業會發現要決定攻擊源幾乎是不可能的��?��?梢曅缘娜狈ψ柚沽斯蛦T進行快速響應���,也帶來了高昂的成本���。
3. 無法洞察對過程控制器的更改
工業控制系統網絡往往缺乏事件日志或審計線索�����,因而在對關鍵控制設備做出更改后�����,就無法提供信息�。這種變更可能不僅是由雇員做出的����,還可以由集成商或是在本地工作的第三方承包商做出��。如果上述任何一方對這些系統做出了惡意的變更����,要檢測出來就非常困難���,而且可能導致設備被關閉����,直至問題得以解決���。
這個盲點可以很輕易地就被一個別有用心的內部人員或前雇員所利用���。
需要什么才能檢測內部攻擊?
1. 實時監視工業控制系統活動
企業需要對工業控制系統網絡進行專門的監視和控制技術����,從而為可疑或惡意活動提供深度的實時洞察���,并采取預防性的行動以限制或阻止破壞��。這種監視包括監視特定廠商的私有控制協議(可用來對工業控制器做出工程上的變更)��。此外����,對經由直接的物理訪問對關鍵控制設備做出的更改進行捕捉也非常重要�����,因為這些設備無法通過網絡實施監視�����。
2. 檢測異常��、惡意活動和未授權的訪問
為確認異常通信和惡意活動��,例如���,惡意軟件通過網絡傳播��、對關鍵設備的非法變更���、未經授權的控制工程活動等��,企業需要精細的安全策略����。
3. 檢測經由可信的內部人員做出的未經授權的變更
除了檢測異常���,企業還應當能夠跟蹤對控制器的所有訪問��,并且為了確認人為錯誤和未授權的變更�,還要查看所發生的全部變化�����。
正如對網絡攻擊一樣�,通過監視����、觀察��、警告����、審計等活動�,企業可以在損害發生之前就檢測并減輕內部人員威脅�����。(文:信息安全部)
