摘 要:本文主要針對目前在電力系統中廣泛應用的調度自動化系統中SCADA在與企業內部網、INTERNET 以及遠方訪問等進行互聯后所表現出來的安全脆弱性進行分析,并結合我公司的反病毒方案提出了一些降低風險的對策。
關鍵詞:調度自動化系統;SCADA;防火墻;IDS;企業網
0 引言
眾所周知,調度自動化系統中SCADA肩負著提供實時數據,監視系統運行狀況和故障分析幾大重要職能,是供電企業對電網進行監控的主要手段。因此,調度自動化系統中SCADA的安全性直接關系到電網的安全性。隨著企業
信息化步伐的加快和電力
市場化的發展,近期內調度
自動化系統中SCADA安全問題也日益突現出其重要戰略意義。
1999年10月,美國一名計算機黑客公開宣稱,他將披露一份報告,其中詳細介紹了怎樣入侵電力企業內部網絡以及怎樣關閉美國 30 多個供電公司電力網的方法。無獨有偶,美國一個聯邦調查機構也同時發出警告,認為“世界上任何一個地方的一個人,只需要一部電腦,一個調制解調器和一根電話線,就有可能造成一個大面積區域的電力故障”。這些消息在業內掀起了軒然大波,導致了業內人士對供電企業最核心的運行系統(通常指調度
自動化系統中SCADA,既監視控制和數據采集系統)安全狀況的廣泛關注。
本文章接下來的部分將探討調度自動化系統中SCADA網絡在網絡攻擊下所表現出來的安全風險,還有企業調度
自動化系統中SCADA網絡最普遍的薄弱環節所在,以及一些可以降低風險的補救策略。
在調度自動化系統中SCADA安全性問題上,管理人員通常有三個比較典型的概念誤區,常常是這些錯誤觀念阻礙了
信息安全技術在調度
自動化系統中SCADA中的廣泛應用。這些誤區是:
(1) 誤區之一:調度
自動化系統中SCADA是一個孤立的,物理隔離的系統。
大部分調度
自動化系統中SCADA通常建立于企業網絡以前,而且常常與企業內部網絡是分離的。這樣的結果是,管理員的日常操作會建立在一個假設上:這些系統既不能通過企業網絡訪問,也不能從外部遠程進行訪問。然而這恰恰是一個最普遍的謬誤。
在現實中,調度
自動化系統中SCADA網絡和企業
信息網絡經常是通過網橋相連的。這是因為兩個原因:
第一,由于企業信息管理的需求,調度自動化系統中SCADA工程師常常需要在企業內部
信息網的不同地點對調度自動化系統中SCADA進行監視和控制,由此許多公司對調度
自動化系統中SCADA建立了遠程訪問連接。
第二,為了使企業決策者能夠快速地訪問電力系統重要狀態數據(例如實時負荷,母線電壓等),通常企業信息部門會在調度自動化系統中SCADA網絡和企業
信息網絡之間增加一些數據的連接。一般說來,在增加這些數據鏈路的同時,管理員常常疏于對相應安全風險的全面認識。而且,對于一些針對調度
自動化系統中SCADA進行的非法入侵和訪問,企業的
信息網絡所采取的安全防御機制幾乎沒有什么作用。
(2)誤區之二:強有力的訪問控制可以保護 調度
自動化系統中SCADA和企業內部網之間的連接。
許多企業網絡和調度
自動化系統中SCADA之間進行互聯時,常常需要集成不同的系統和不同的通信標準,這樣的結果是需要在兩個完全不同的系統之間傳送數據。由于集成兩個迥然不同的系統是非常復雜的,網絡工程師常常將絕大部分精力放在數據的成功傳送上,一旦主要功能大功告成,則常常忽視甚至省略了安全風險防御機制這一部分的工作量。
這樣,對來自于企業網絡的非法訪問,幾乎沒有訪問控制機制能夠對調度自動化系統中SCADA起到保護作用,主要是由于網絡管理人員常常忽視這些系統的訪問連接點。盡管使用內部防火墻和入侵檢測系統(IDS)以及嚴格的口令管理辦法可以起到很大的防范作用,但是很少有企業能夠完全保護所有通向調度
自動化系統中SCADA的訪問入口。這樣就給無授權的非法訪問留下了空子。
(3)誤區之三:進入調度
自動化系統中SCADA需要專業知識,一般網絡黑客很難入侵和控制。
一些管理人員認為,調度自動化系統中SCADA的攻擊者缺乏對系統設計和實施相關
信息的了解,從而使入侵變得困難。這些想法是不正確的。 在一個互聯的環境中,系統的脆弱性也相應地增加。由于供電企業在國家基礎設施中是一個關鍵的組成部分,因此它們非常有可能成為有組織的“網絡恐怖分子”的目標。有區別于一般的無組織的黑客,這些攻擊者常常是意志堅強,資金充足,而且具有“局內人”的專業知識。而且,有備而來的入侵者幾乎肯定會使用各種可能的手段來得到有關調度
自動化系統中SCADA及其脆弱之處的詳細
信息,以達成實現供電運行故障的目標。
另一個越來越大的風險是,由于調度自動化系統中SCADA正逐漸成為一個開放的系統,與調度自動化系統中SCADA運作有關的資料隨處可得。一部分是因為自動化產品
市場競爭日益激烈,調度自動化系統中SCADA和遠方控制終端(RTU)之間的通信標準和協議在出版的技術手冊中毫不費力即可找到,其中包括控制中心之間的通信標準,警告信號的處理,控制命令的發出,以及數據的輪詢方式等等一系列重要技術標準。而且,調度自動化系統中SCADA的生產廠家常常出于方便用戶的考慮出版其產品的設計和維護手冊,發售工具軟件包以便于用戶在調度自動化系統中SCADA環境下進行二次開發,這一切都使調度
自動化系統中SCADA日益成為一個“透明運作”的系統,使其脆弱點暴露無遺。
最后,由于供電企業常常希望整個公司能夠充分利用調度自動化系統中SCADA提供的數據和
信息,由此造成調度自動化系統中SCADA傾向于向“開放式的標準系統”發展。這樣的結果導致了調度自動化系統中SCADA的安全性依賴于企業網絡的安全性。雖然要從專用的串行通信線路上入侵遠方終端(RTU)是很困難的,但是通過企業內部網絡“滲透”到調度自動化系統中SCADA的控制臺并且“偷窺”系統正在執行的操作并不困難。一旦攻擊者成功穿透到調度
自動化系統中SCADA操作員的工作站上,并且通過“偷窺”迅速學會操作命令,則他就可以易如反掌地對一個復雜系統發起攻擊。
如前所述,企業網絡和調度自動化系統中SCADA網絡常常互相聯系,這樣調度自動化系統中SCADA的安全等級就只能受制于企業網絡的安全等級。而來自電力
市場化的壓力使得電力企業網絡往往要具有向社會開放的訪問入口,這樣企業網的安全風險迅速增加。接下來的部分簡要提出了一些存在于“SCADA+企業網架構”中影響調度
自動化系統中SCADA安全的常見問題:
很多有關供電企業內部信息網的資料可以輕易地通過日常公共查詢而獲得。這些
信息有可能被用于對網絡的惡意攻擊。例如,這些脆弱之處可能是:
Ø 公共網頁上常常為網絡入侵者提供了一些有用的數據,例如公司結構,員工姓名,電子郵件地址,甚至是企業
信息網的系統名;
Ø 域名服務器(DNS)允許“區域傳送”功能(zone transfers)并提供 IP 地址,服務器名稱以及電子郵件地址;
(2)不安全的網絡架構
網絡架構的設計是相當關鍵的一環,而其中最重要的是對
互聯網,企業
信息網和調度自動化系統中SCADA網進行適當的分段隔離。網絡架構設計欠妥會致使來自
互聯網的入侵風險增加,從而最終危害調度
自動化系統中SCADA 網絡。下面是一些常見的網架設計缺陷所在:
Ø 作為企業網功能的一部分,在配置 FTP(文件傳輸協議),企業網頁和電子郵件服務器時,常常不經意地提供了訪問企業內部網的入口。這是不必要的;
Ø 企業內部網與一些商業聯系伙伴(如銀行,ISP 等機構)之間的數據連接沒有采用防火墻,入侵檢測系統(IDS)以及虛擬網(VPN)等等機制進行防御;
Ø 企業
信息網提供了一些不必要的 MODEM 撥號接入,這是很不安全的,而且這些 MODEM 撥號訪問常常是作為遠程維護功能而設,并沒有嚴格按照一般撥號接入的規定進行管理,留下毫無防范的入口;
Ø 防火墻和其他網絡訪問控制機制沒有在內部網段之間發揮作用,使得在不同的網絡分段之間沒有完全隔離;
Ø 調度
自動化系統中SCADA服務器的操作系統如WINDOWS NT,2000 或 XP 等存在已知的安全漏洞而沒有打上最新的補丁程序,缺省的NT 帳號和管理員帳號沒有刪除或改名。即使是運行于 UNIX 或 LINUX 平臺上也存在同樣的問題;
(3)缺乏實時有效的監控
Ø 造成缺乏實時有效的監控的原因之一是,由于來自
網絡安全防御設備的數據量極大,使得要區分出哪些是有關于供電企業
信息安全防御的幾乎是不可能的,這造成要對供電企業網絡進行有效的實時監控非常困難;
Ø 即使企業網絡安裝了入侵檢測系統,
網絡安全保安也只能識別以個別方式進行的攻擊,而對有組織的,形式隨時間變化的攻擊則無能為力。這也造成了防御的困難;
目前來說,對供電企業最有效的信息安全策略是,定期例行的
信息安全評估加上不間斷的安全體系升級,并且對整個系統進行實時監視。以下重點提出了一些主要步驟,可以將安全漏洞的數量和影響減小到盡可能低。
第一步:進行定期的危險點分析和評估 許多供電企業可能并沒有在定期的基礎上對調度
自動化系統中SCADA和 EMS 系統(能量管理系統)的危險點進行危險性評估。這項工作應盡快開展起來。另外,除了這兩個系統,其他如企業內部信息網(MIS),WEB 服務器,以及用戶
信息管理系統也應納入評估范疇來尋找可能尚未發現的安全漏洞。另外,公共網與外部網的連接,以及防火墻的配置等也需引起重視。
當許多供電企業進行信息網建設時面臨很多選擇,包括信息安全軟件,網絡設備,系統配置等等方面的問題。雖然防火墻,入侵檢測系統,虛擬內部網等等可以保護系統免受惡意攻擊,然而選擇了不適當的網絡產品,或者是配置使用不當都有可能嚴重阻礙安全體系的效率。因此,為了將與網絡結構設計有關的缺陷降低到最小,企業應該與
信息安全專業人員聯手,在建設網絡的同時保證其安全性不打折扣。
第三步:加強安全管理 企業在其
信息網絡內布設了網絡安全系統之后,對于網絡安全設備的正確管理和監視就變得非常復雜和重要。我們必須認識到,如果只是采取了“純技術性”的解決方案而不進行密切的管理和監視,安全設備的有效率會大大降低。因此,最好的辦法是雇傭有經驗的IT安全專業人員來進行網絡設備的監視。但是這樣作對許多企業來說成本太高。國外的做法是,對于很多對安全性要求較高的公司,有專門的公司提供安全設備和系統的管理和監視服務。這樣的服務保證了公司安全體系正確的配置和補漏,而且實時監視安全系統的運行情況和檢測惡意攻擊。對于我們國內的企業,可以借鑒這樣的經驗,與網絡安全公司進行合作,或者在公司內設立網絡安全專職工程師崗位,專門進行
網絡安全監視和事故預防。這樣可以以相對較低的成本得到完善的安全管理和實施實時監控,同時,也提升了已有
信息安全機制的性能和作用,實現了安全系統的增值。
4 我公司調度自動化系統中SCADA的安全策略根據我公司目前有6個服務器,70個工作站的網絡狀況,特推薦kaspersky網絡版系統解決方案,系統結構圖如下:
1 鳳陽供電公司kaspersky反病毒產品布置圖
u 防病毒集中管理控制系統
使用產品:Kaspersky的Administration Kit;
系統最低需求:支持TCP/IP協議的本地網絡;
MS Window 95/98/Me/NT/2000/XP操作系統;
如果要安裝在MS Windows NT 4.0的機器上,必須預裝service pack 3.0以上。
u 管理工作站
16 Mb可用內存,10Mb可用的硬盤空間;
Kaspersky AV Server程序:
5Mb可用內存,1Mb可用的硬盤空間;
部署方式:在鳳陽供電局內外網絡管理平臺上安裝Administration Kit,負責集中管理所屬網絡中所有的防毒軟件。
使用產品:Kaspersky Anti-Virus for NT/ Server;
系統最低需求:Windows NT/2000/2003 Server:Windows NT 4.0打SP6補丁;
本地機器的管理員帳戶;
Internet Explorer v4.01(SP2)或以上;
至少32 Mb內存,至少25 Mb硬盤空間;
監視器的分辨率至少設置為800×600;
奔騰486(或兼容)以上處理器;至少64 Mb內存;
至少30 MB硬盤空間;
部署方式:
在所有Windows NT服務器上,安裝Kaspersky Anti-Virus for NT Server。
可滿足的需求:實時檢測并清除文件服務器中的病毒。
使用產品:Kaspersky Anti-Virus for Workstation;
系統最低需求:
Windows 9x/Me/NT Workstation/2000 Pro/XP Home/XP Pro;
Windows NT 4.0 Workstation加SP3以上補丁;
Windows NT 4.0 Workstation 或者Windows 2000/XP Pro的本地管理員帳戶;
IE的版本在4.01以上;
至少32 Mb內存;至少25 Mb剩余硬盤空間;
部署方式:在連網的Windows客戶端上安裝KAV for Windows workstation;
可滿足的需求:
對企業內的聯網客戶端/工作站進行防毒控制。
可自動更新所有客戶端上的防毒軟件,使防毒工作完全
自動化。
我公司運行到現在,沒出現一起調度
自動化系統中SCADA及企業
信息網絡的安全事故。
5 結論
由于在電力系統中調度自動化系統中SCADA的獨特重要性,其
網絡安全性應該引起日益廣泛的關注。因此,供電企業應該立刻與信息安全專家聯手,對當前應用的調度自動化系統中SCADA安全性進行全面的分析,評估系統當前的安全性等級,并且制定計劃來降低風險。我們必須認識到,企業信息安全并不僅僅停留在內部信息網的層面。我們應將
信息產業領域的安全政策和規程引入到調度自動化系統中SCADA和工業自動化領域中來,將調度
自動化系統中SCADA和企業
信息網作為一個整體來進行風險分析,并制定整體的防范措施。
