SCADA安全策略框架

謝子寧，程智謀

（廣東寶繹通信科技有限公司，廣東廣州510630）

1 SCADA管理控制

SCADA系統(tǒng)支撐著電力基礎(chǔ)設(shè)施的發(fā)電、傳輸、配電。SCADA的主要目的是監(jiān)控基礎(chǔ)設(shè)施，任何通過(guò)數(shù)字電子方式實(shí)現(xiàn)的狀態(tài)、更改過(guò)程控制參數(shù)、展示、存儲(chǔ)、交換數(shù)據(jù)的行為都符合SCADA的定義。現(xiàn)代SCADA環(huán)境最顯而易見(jiàn)的一個(gè)問(wèn)題是安全策略的缺失，其它問(wèn)題則有脆弱的賬戶維護(hù)，不安全的網(wǎng)絡(luò)連接，以及缺少設(shè)備的維護(hù)和監(jiān)控。

1.1 SCADA專門安全管理

SCADA系統(tǒng)需要一個(gè)獨(dú)立、專門的安全管理結(jié)構(gòu)，保證所有SCADA特有的功能和需求可以有效被覆蓋。IT系統(tǒng)和SCADA系統(tǒng)之間的設(shè)計(jì)差異，導(dǎo)致它們的安全策略的制定也有所不同。IT系統(tǒng)和SCADA在實(shí)現(xiàn)目標(biāo)和數(shù)據(jù)敏感度方面都有不同，SCADA經(jīng)常用于控制時(shí)效性強(qiáng)的功能，當(dāng)時(shí)間是非常關(guān)鍵的因子時(shí)，一些標(biāo)準(zhǔn)的IT安全方案就不適用在SCADA中應(yīng)用。比如IT系統(tǒng)的病毒防護(hù)掃描有時(shí)會(huì)拖慢系統(tǒng)的運(yùn)行，這對(duì)于一些SCADA平臺(tái)來(lái)說(shuō)是不可以接受的。

1.2 執(zhí)行層次

策略是任何可持續(xù)安全系統(tǒng)的基石，沒(méi)有安全策略和管理的系統(tǒng)，不能支撐可預(yù)見(jiàn)、可自保的安全體系，而且經(jīng)驗(yàn)告訴我們，沒(méi)有管理的信息網(wǎng)絡(luò)最終會(huì)出現(xiàn)漏洞。商業(yè)目的也是制定專用策略的驅(qū)動(dòng)因素之一，作為商業(yè)應(yīng)用，使用SCADA的環(huán)境要滿足SCADA網(wǎng)絡(luò)的辨別機(jī)密性、有效性和完整性需求，以及來(lái)自SCADA系統(tǒng)的有效數(shù)據(jù)。風(fēng)險(xiǎn)評(píng)估通過(guò)辨別系統(tǒng)哪些地方容易受到攻擊來(lái)指導(dǎo)策略的制定，風(fēng)險(xiǎn)評(píng)估過(guò)程包括評(píng)價(jià)、減少、轉(zhuǎn)送和遷移。安全策略則定位了減少、轉(zhuǎn)送和接收步驟，策略同時(shí)會(huì)詳述時(shí)間、人物以及評(píng)價(jià)是如何執(zhí)行的。

正確的定義策略是創(chuàng)建一個(gè)可自保和可執(zhí)行安全程序的第一步。一旦創(chuàng)建了策略，SCADA環(huán)境中的其他安全文檔（包括系統(tǒng)安全計(jì)劃和執(zhí)行向?qū)В┮部梢员幻鞔_。

1.3 策略簡(jiǎn)介和背景

安全策略正式規(guī)定了一個(gè)組織里的人員什么可以做，什么不可以做，策略的制定是從商業(yè)目標(biāo)和風(fēng)險(xiǎn)評(píng)估得出的。策略是一種規(guī)定，而不是建議或者指導(dǎo)書可以選擇是否遵循，它們要求明確而且持續(xù)地執(zhí)行。隨著技術(shù)的發(fā)展和新需求的出現(xiàn)，策略也必須保持有效，所以策略必須隨時(shí)變更。如果不能及時(shí)更新，策略本身就會(huì)變得過(guò)時(shí)而失去它存在的意義。

1.4 重要的策略段落

策略指導(dǎo)書必須容易閱讀理解：

目的：解釋為什么需要這一份策略指導(dǎo)書。

范圍：策略覆蓋的人和物體。

策略：明確人員和設(shè)備，什么事情可以做、什么不可以。

職責(zé)：在這里詳述誰(shuí)必須做什么。

參考：這里描述了因?yàn)榻M織架構(gòu)，策略需要受到其它外部策略的約束。

修訂歷史：這里描述什么人什么時(shí)候修改了什么東西。

執(zhí)行：這里描述了不遵守策略帶來(lái)的后果。

例外：可能不需要，但是如果存在這種情況，就需要在策略中明確，包括如何獲取例外的權(quán)限，什么人可以批準(zhǔn)，已經(jīng)批準(zhǔn)的有效期。

2 SCADA安全策略框架

如圖1所示，根據(jù)此框架可以讓作者容易地創(chuàng)建安全策略，保證所有關(guān)鍵的段落都被覆蓋。這里展現(xiàn)的框架可以根據(jù)任何組織的需要進(jìn)行裁剪，每一個(gè)段落不一定需要獨(dú)立的策略，一些組織也許只使用一個(gè)策略就適用所有子段落。圖1中的每一個(gè)段落將在下面加以說(shuō)明。

圖1 系統(tǒng)安全框架

2.1 SCADA系統(tǒng)安全程序

安全框架的第一個(gè)部分用于介紹目標(biāo)系統(tǒng)和為策略的其它部分提供背景，這一組包含的信息與策略聲明的關(guān)聯(lián)很少，但是為策略的其它部分提供了重要的細(xì)節(jié)和必要的概念。

（1）組織和關(guān)系

沒(méi)有SCADA系統(tǒng)是完全獨(dú)立運(yùn)作的，定義組織的結(jié)構(gòu)和與外界的關(guān)系很重要，需要辨別其它主體的強(qiáng)制性和可選策略標(biāo)準(zhǔn)，并加以遵循。組織的內(nèi)部層次對(duì)于一個(gè)好的安全程序來(lái)說(shuō)也是非常關(guān)鍵，必須定義個(gè)體的角色和職責(zé)，使得職責(zé)可以分配到隨后的策略段落中。

（2）信息結(jié)構(gòu)

SCADA信息結(jié)構(gòu)會(huì)為所有策略閱讀者提供策略的共同參考點(diǎn)。此段落將會(huì)辨別通用名詞，和其它相關(guān)工程的性能標(biāo)準(zhǔn)。如果系統(tǒng)是由獨(dú)立的子系統(tǒng)組成，那么子系統(tǒng)之間的關(guān)系必須以條款的形式描述。

（3）數(shù)據(jù)分類和所有權(quán)

大多數(shù)系統(tǒng)會(huì)定義數(shù)據(jù)的類型以便可以方便識(shí)別不同數(shù)據(jù)類型，以及識(shí)別每一種類別需要的保護(hù)和存儲(chǔ)需求。每一種數(shù)據(jù)類型同樣需要一個(gè)指定的擁有者為數(shù)據(jù)負(fù)責(zé)，當(dāng)數(shù)據(jù)被錯(cuò)誤處理時(shí)進(jìn)行糾正。數(shù)據(jù)類型可以是配置、歷史存檔、管理、實(shí)時(shí)等。

（4）風(fēng)險(xiǎn)管理

所有的系統(tǒng)安全管理都是圍繞著風(fēng)險(xiǎn)管理程序，同時(shí)也是安全技術(shù)和執(zhí)行的驅(qū)動(dòng)因素。所有風(fēng)險(xiǎn)管理程序的目標(biāo)是創(chuàng)建一個(gè)可以接受的風(fēng)險(xiǎn)層次，貫穿識(shí)別、分析、以及轉(zhuǎn)送各個(gè)方面。風(fēng)險(xiǎn)、開(kāi)支和性能這些是此消彼長(zhǎng)的關(guān)系，必須加以討論取得平衡。

2.2 數(shù)據(jù)安全策略

數(shù)據(jù)安全策略決定了如何保護(hù)不同類別的數(shù)據(jù)。（1）數(shù)據(jù)備份策略

這個(gè)策略詳細(xì)定義了何種數(shù)據(jù)應(yīng)該備份，多久一次，以及備份的地點(diǎn)。

（2）數(shù)據(jù)存儲(chǔ)和銷毀策略

數(shù)據(jù)在完成它的生命周期之前需要進(jìn)行保護(hù)，包括創(chuàng)建、存儲(chǔ)和銷毀，銷毀和創(chuàng)建存儲(chǔ)一樣重要。

（3）惡意軟件保護(hù)策略

惡意代碼會(huì)給系統(tǒng)數(shù)據(jù)帶來(lái)不可修復(fù)的損壞，必須做好提前的控制，預(yù)防惡意代碼。

2.3 平臺(tái)安全策略

平臺(tái)安全會(huì)辨別SCADA系統(tǒng)需要的默認(rèn)安全配置，明確賬戶的創(chuàng)建和銷毀流程。終端、服務(wù)器和SCADA設(shè)備（RTU、PLC、IED）分別會(huì)有自己的安全配置。重要的概念包括了病毒檢測(cè)、入侵檢測(cè)、訪問(wèn)控制和信息加密。

2.4 通信安全策略

通信安全辨別數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)穆肪€，詳述不同網(wǎng)絡(luò)下的保護(hù)機(jī)制，任何辨別安全地帶和明確外部接入授權(quán)。

（1）有線連接

此段落描述了自動(dòng)化網(wǎng)絡(luò)中的所有連接，包括LAN、MAN和WAN，根據(jù)數(shù)據(jù)類別的不同進(jìn)行加密。

（2）無(wú)線連接

因?yàn)闊o(wú)線傳輸媒介的特性，需要特別考慮如何通過(guò)無(wú)線網(wǎng)絡(luò)，以及無(wú)線連接是如何建立的。

（3）邊界策略

此策略定義了SCADA數(shù)據(jù)是如何與外界網(wǎng)絡(luò)進(jìn)行輸出輸入的，識(shí)別需要的控制類型和控制的位置。安全地帶也會(huì)被明確以幫助判斷是否需要加密控制。

（4）遠(yuǎn)程訪問(wèn)

此處定義用戶可否、如何從遠(yuǎn)程連接到自動(dòng)化網(wǎng)絡(luò)，遠(yuǎn)程連接對(duì)于覆蓋大范圍地理位置的系統(tǒng)維護(hù)是很常見(jiàn)的需求，同樣可以利用遠(yuǎn)程連接完成系統(tǒng)升級(jí)和維護(hù)，此策略詳述如何請(qǐng)求連接，誰(shuí)可以許可連接，以及有效的連接時(shí)間。

（5）外部連接

此段落描述了外來(lái)者是否、何時(shí)、如何訪問(wèn)自動(dòng)化網(wǎng)絡(luò)中的信息和設(shè)備，此策略包括了如何請(qǐng)求連接，什么人可以許可連接，以及連接的有效時(shí)間。

2.5 人員安全策略

自動(dòng)化化系統(tǒng)的工作人員與傳統(tǒng)IT網(wǎng)絡(luò)相比有不同的功能和安全需求。此策略明確了SCADA工作人員的工作內(nèi)容和聘用標(biāo)準(zhǔn)，包括了教育程度，背景調(diào)查等。

（1）可接受使用

此策略段落定義了用戶可以使用的網(wǎng)絡(luò)資源和設(shè)備，考慮到SCADA系統(tǒng)的關(guān)鍵性，不能將設(shè)備作為私人用途，系統(tǒng)軟件也必須是為SCADA定制的，所有人員必須簽訂必要的行為守則。

（2）賬戶和密碼

此策略段落描述了正確處理賬戶和密碼的方式，包括存儲(chǔ)、創(chuàng)建和共享。所有共享的密碼都應(yīng)該在創(chuàng)建、存儲(chǔ)、更改方面有特別的要求。賬戶的創(chuàng)建和銷毀策略，描述了用戶如何使用他們的賬戶，什么人有責(zé)任創(chuàng)建和移除賬戶，賬戶的創(chuàng)建必須基于工作職能，其它的要求包括賬戶超時(shí)，登錄限制也應(yīng)該在此明確。

（3）培訓(xùn)

工作人員必須熟悉系統(tǒng)的安全需要和理解為什么需要安全控制。此策略段落列出了培訓(xùn)的類型，培訓(xùn)的頻率和必須培訓(xùn)的人員。

2.6 配置管理策略

此策略段落保證可持續(xù)配置管理過(guò)程的執(zhí)行。策略需要列出維持一個(gè)可持續(xù)安全系統(tǒng)的所有必要文檔和過(guò)程，包括了修訂過(guò)程的細(xì)節(jié)，安全計(jì)劃的時(shí)間線，執(zhí)行指導(dǎo)，以及更改控制和更改評(píng)價(jià)的因素。

2.7 審查策略

審查和評(píng)估對(duì)系統(tǒng)來(lái)說(shuō)都很重要。審查將決定策略的細(xì)節(jié)，比如安全計(jì)劃、執(zhí)行指導(dǎo)是否被正確地在系統(tǒng)內(nèi)實(shí)施。評(píng)估則保證系統(tǒng)信息和功能的保護(hù)是有效的，同時(shí)審查策略定義了審查和評(píng)估活動(dòng)的范圍。

（1）內(nèi)部和外部審查

在一個(gè)綜合的風(fēng)險(xiǎn)管理程序里，內(nèi)部審查和外部審查都有重要的位置，此段落詳述了各種必要審查，以及識(shí)別負(fù)責(zé)執(zhí)行必要審查的組織。

（2）合格鑒定

如果需要對(duì)一個(gè)組織進(jìn)行合格鑒定，此段落描述了責(zé)任主體，時(shí)間線和相關(guān)條目。

（3）事故報(bào)告

事故事件的責(zé)任個(gè)體在此段落明確，事故細(xì)節(jié)的保護(hù)級(jí)別在此段落被定義，同時(shí)必須制定事故反應(yīng)流程，快速定位問(wèn)題和保留證據(jù)。

（4）記錄策略

此策略定義記錄的要求，比如什么東西會(huì)被記錄，儲(chǔ)存的要求，以及修訂的要求。

（5）入侵檢測(cè)

入侵檢測(cè)是重要的檢測(cè)不恰當(dāng)行為的工具，SCADA會(huì)根據(jù)其自身的要求和限制為IDS要求特定的策略。

（6）評(píng)估

此段落明確責(zé)任主體，時(shí)間線和數(shù)據(jù)保護(hù)的評(píng)估程序。

2.8 應(yīng)用程序策略

應(yīng)用程序策略保證應(yīng)用程序是按照自動(dòng)化系統(tǒng)的要求進(jìn)行配置和使用的。此策略覆蓋了程序級(jí)別的范圍控制細(xì)節(jié)，應(yīng)用程序培訓(xùn)，以及測(cè)試和開(kāi)發(fā)要求。

（1）SCADA應(yīng)用程序

SCADA特定應(yīng)用程序需要管理員權(quán)限。這些應(yīng)用程序可能允許數(shù)據(jù)分離，不同用戶登錄和密碼保護(hù)。此段落專注于專門的SCADA設(shè)備和功能接口的應(yīng)用程序。

（2）支持應(yīng)用程序

支持應(yīng)用程序，比如辦公軟件、數(shù)據(jù)庫(kù)，以及登錄，需要有不同的安全指導(dǎo)書，這些應(yīng)用程序通常不與SCADA設(shè)備和自動(dòng)化功能直接接入，但是可能于運(yùn)行同時(shí)運(yùn)行了SCADA應(yīng)用程序。

2.9 物理安全策略

將網(wǎng)絡(luò)安全保護(hù)和物理安全保護(hù)分開(kāi)是不切實(shí)際的，多數(shù)情況下物理安全可以讓網(wǎng)絡(luò)安全保護(hù)更加高效。SCADA系統(tǒng)所使用的設(shè)備必須盡可能避免物理?yè)p傷，非授權(quán)的訪問(wèn)，即使是合法的訪問(wèn)也需要在控制和監(jiān)控下進(jìn)行。

（1）設(shè)備丟棄

物理設(shè)備丟棄處理和數(shù)據(jù)丟棄一樣重要。物理設(shè)備在被移出系統(tǒng)之前必須被清理。此策略指導(dǎo)操作人員如果存在系統(tǒng)不再需要的設(shè)備，應(yīng)該如何進(jìn)行處置，重要的概念包括清理、跟蹤和丟棄技術(shù)。

（2）SCADA系統(tǒng)資產(chǎn)保護(hù)SCADA設(shè)備的標(biāo)準(zhǔn)與系統(tǒng)內(nèi)的辦公設(shè)備有不同的要求，因此這些不同的設(shè)備特性要求不同的保護(hù)指導(dǎo)。

2.1 0 手動(dòng)操作策略

考慮到自動(dòng)化系統(tǒng)的重要性，系統(tǒng)崩潰的時(shí)候，自動(dòng)化系統(tǒng)必須依然可以被操作，手動(dòng)操作需要考慮的是手動(dòng)備份的流程、命令鏈路、周期性檢測(cè)、手動(dòng)操作培訓(xùn)、災(zāi)難恢復(fù)策略等。

3 結(jié) 論

由于在電力系統(tǒng)中SCADA系統(tǒng)的獨(dú)特重要性，其網(wǎng)絡(luò)安全性應(yīng)該引起日益廣泛的關(guān)注。因此，供電企業(yè)應(yīng)該立刻與信息安全專家聯(lián)手，對(duì)當(dāng)前應(yīng)用的SCADA系統(tǒng)安全性進(jìn)行全面的分析，評(píng)估系統(tǒng)當(dāng)前的安全性等級(jí)，并且制定策略來(lái)降低風(fēng)險(xiǎn)。本文所展現(xiàn)的安全策略框架，在發(fā)展SCADA策略中是很有價(jià)值的工具。此框架保證覆蓋所有安全的關(guān)鍵領(lǐng)域的同時(shí)，提供了靈活的定制性，以便適應(yīng)不同的策略需求，稍加裁剪可以應(yīng)用與不同的環(huán)境中。

［1］ GB／T 15498-1995.電網(wǎng)調(diào)度自動(dòng)化與信息化技術(shù)標(biāo)準(zhǔn)［S］.中國(guó)電力出版社.

［2］ Integrating Security into SCADA Solutions［Z］.Bernie Robert-son.

［3］ Sustainable Security for Infrastructure SCADA［Z］.Jason Stamp.

［4］ A Short Primer for Developing Security Policies［Z］.Michele D.Guel，SANS Institute.

［5］ Urgent Action Standard 1200，North American Electric Reli-ability Council（NERC）［Z］.