摘 要:本文主要针对目前在电力系统中广泛应用的调度自动化系统中SCADA在与企业内部网、INTERNET 以及远方访问等进行互联后所表现出来的安全脆弱性进行分析,并结合我公司的反病毒方案提出了一些降低风险的对策。
关键词:调度自动化系统;SCADA;防火墙;IDS;企业网
0 引言
众所周知,调度自动化系统中SCADA肩负着提供实时数据,监视系统运行状况和故障分析几大重要职能,是供电企业对电网进行监控的主要手段。因此,调度自动化系统中SCADA的安全性直接关系到电网的安全性。随着企业
信息化步伐的加快和电力
市场化的发展,近期内调度
自动化系统中SCADA安全问题也日益突现出其重要战略意义。
1999年10月,美国一名计算机黑客公开宣称,他将披露一份报告,其中详细介绍了怎样入侵电力企业内部网络以及怎样关闭美国 30 多个供电公司电力网的方法。无独有偶,美国一个联邦调查机构也同时发出警告,认为“世界上任何一个地方的一个人,只需要一部电脑,一个调制解调器和一根电话线,就有可能造成一个大面积区域的电力故障”。这些消息在业内掀起了轩然大波,导致了业内人士对供电企业最核心的运行系统(通常指调度
自动化系统中SCADA,既监视控制和数据采集系统)安全状况的广泛关注。
本文章接下来的部分将探讨调度自动化系统中SCADA网络在网络攻击下所表现出来的安全风险,还有企业调度
自动化系统中SCADA网络最普遍的薄弱环节所在,以及一些可以降低风险的补救策略。
在调度自动化系统中SCADA安全性问题上,管理人员通常有三个比较典型的概念误区,常常是这些错误观念阻碍了
信息安全技术在调度
自动化系统中SCADA中的广泛应用。这些误区是:
(1) 误区之一:调度
自动化系统中SCADA是一个孤立的,物理隔离的系统。
大部分调度
自动化系统中SCADA通常建立于企业网络以前,而且常常与企业内部网络是分离的。这样的结果是,管理员的日常操作会建立在一个假设上:这些系统既不能通过企业网络访问,也不能从外部远程进行访问。然而这恰恰是一个最普遍的谬误。
在现实中,调度
自动化系统中SCADA网络和企业
信息网络经常是通过网桥相连的。这是因为两个原因:
第一,由于企业信息管理的需求,调度自动化系统中SCADA工程师常常需要在企业内部
信息网的不同地点对调度自动化系统中SCADA进行监视和控制,由此许多公司对调度
自动化系统中SCADA建立了远程访问连接。
第二,为了使企业决策者能够快速地访问电力系统重要状态数据(例如实时负荷,母线电压等),通常企业信息部门会在调度自动化系统中SCADA网络和企业
信息网络之间增加一些数据的连接。一般说来,在增加这些数据链路的同时,管理员常常疏于对相应安全风险的全面认识。而且,对于一些针对调度
自动化系统中SCADA进行的非法入侵和访问,企业的
信息网络所采取的安全防御机制几乎没有什么作用。
(2)误区之二:强有力的访问控制可以保护 调度
自动化系统中SCADA和企业内部网之间的连接。
许多企业网络和调度
自动化系统中SCADA之间进行互联时,常常需要集成不同的系统和不同的通信标准,这样的结果是需要在两个完全不同的系统之间传送数据。由于集成两个迥然不同的系统是非常复杂的,网络工程师常常将绝大部分精力放在数据的成功传送上,一旦主要功能大功告成,则常常忽视甚至省略了安全风险防御机制这一部分的工作量。
这样,对来自于企业网络的非法访问,几乎没有访问控制机制能够对调度自动化系统中SCADA起到保护作用,主要是由于网络管理人员常常忽视这些系统的访问连接点。尽管使用内部防火墙和入侵检测系统(IDS)以及严格的口令管理办法可以起到很大的防范作用,但是很少有企业能够完全保护所有通向调度
自动化系统中SCADA的访问入口。这样就给无授权的非法访问留下了空子。
(3)误区之三:进入调度
自动化系统中SCADA需要专业知识,一般网络黑客很难入侵和控制。
一些管理人员认为,调度自动化系统中SCADA的攻击者缺乏对系统设计和实施相关
信息的了解,从而使入侵变得困难。这些想法是不正确的。 在一个互联的环境中,系统的脆弱性也相应地增加。由于供电企业在国家基础设施中是一个关键的组成部分,因此它们非常有可能成为有组织的“网络恐怖分子”的目标。有区别于一般的无组织的黑客,这些攻击者常常是意志坚强,资金充足,而且具有“局内人”的专业知识。而且,有备而来的入侵者几乎肯定会使用各种可能的手段来得到有关调度
自动化系统中SCADA及其脆弱之处的详细
信息,以达成实现供电运行故障的目标。
另一个越来越大的风险是,由于调度自动化系统中SCADA正逐渐成为一个开放的系统,与调度自动化系统中SCADA运作有关的资料随处可得。一部分是因为自动化产品
市场竞争日益激烈,调度自动化系统中SCADA和远方控制终端(RTU)之间的通信标准和协议在出版的技术手册中毫不费力即可找到,其中包括控制中心之间的通信标准,警告信号的处理,控制命令的发出,以及数据的轮询方式等等一系列重要技术标准。而且,调度自动化系统中SCADA的生产厂家常常出于方便用户的考虑出版其产品的设计和维护手册,发售工具软件包以便于用户在调度自动化系统中SCADA环境下进行二次开发,这一切都使调度
自动化系统中SCADA日益成为一个“透明运作”的系统,使其脆弱点暴露无遗。
最后,由于供电企业常常希望整个公司能够充分利用调度自动化系统中SCADA提供的数据和
信息,由此造成调度自动化系统中SCADA倾向于向“开放式的标准系统”发展。这样的结果导致了调度自动化系统中SCADA的安全性依赖于企业网络的安全性。虽然要从专用的串行通信线路上入侵远方终端(RTU)是很困难的,但是通过企业内部网络“渗透”到调度自动化系统中SCADA的控制台并且“偷窥”系统正在执行的操作并不困难。一旦攻击者成功穿透到调度
自动化系统中SCADA操作员的工作站上,并且通过“偷窥”迅速学会操作命令,则他就可以易如反掌地对一个复杂系统发起攻击。
如前所述,企业网络和调度自动化系统中SCADA网络常常互相联系,这样调度自动化系统中SCADA的安全等级就只能受制于企业网络的安全等级。而来自电力
市场化的压力使得电力企业网络往往要具有向社会开放的访问入口,这样企业网的安全风险迅速增加。接下来的部分简要提出了一些存在于“SCADA+企业网架构”中影响调度
自动化系统中SCADA安全的常见问题:
很多有关供电企业内部信息网的资料可以轻易地通过日常公共查询而获得。这些
信息有可能被用于对网络的恶意攻击。例如,这些脆弱之处可能是:
Ø 公共网页上常常为网络入侵者提供了一些有用的数据,例如公司结构,员工姓名,电子邮件地址,甚至是企业
信息网的系统名;
Ø 域名服务器(DNS)允许“区域传送”功能(zone transfers)并提供 IP 地址,服务器名称以及电子邮件地址;
(2)不安全的网络架构
网络架构的设计是相当关键的一环,而其中最重要的是对
互联网,企业
信息网和调度自动化系统中SCADA网进行适当的分段隔离。网络架构设计欠妥会致使来自
互联网的入侵风险增加,从而最终危害调度
自动化系统中SCADA 网络。下面是一些常见的网架设计缺陷所在:
Ø 作为企业网功能的一部分,在配置 FTP(文件传输协议),企业网页和电子邮件服务器时,常常不经意地提供了访问企业内部网的入口。这是不必要的;
Ø 企业内部网与一些商业联系伙伴(如银行,ISP 等机构)之间的数据连接没有采用防火墙,入侵检测系统(IDS)以及虚拟网(VPN)等等机制进行防御;
Ø 企业
信息网提供了一些不必要的 MODEM 拨号接入,这是很不安全的,而且这些 MODEM 拨号访问常常是作为远程维护功能而设,并没有严格按照一般拨号接入的规定进行管理,留下毫无防范的入口;
Ø 防火墙和其他网络访问控制机制没有在内部网段之间发挥作用,使得在不同的网络分段之间没有完全隔离;
Ø 调度
自动化系统中SCADA服务器的操作系统如WINDOWS NT,2000 或 XP 等存在已知的安全漏洞而没有打上最新的补丁程序,缺省的NT 帐号和管理员帐号没有删除或改名。即使是运行于 UNIX 或 LINUX 平台上也存在同样的问题;
(3)缺乏实时有效的监控
Ø 造成缺乏实时有效的监控的原因之一是,由于来自
网络安全防御设备的数据量极大,使得要区分出哪些是有关于供电企业
信息安全防御的几乎是不可能的,这造成要对供电企业网络进行有效的实时监控非常困难;
Ø 即使企业网络安装了入侵检测系统,
网络安全保安也只能识别以个别方式进行的攻击,而对有组织的,形式随时间变化的攻击则无能为力。这也造成了防御的困难;
目前来说,对供电企业最有效的信息安全策略是,定期例行的
信息安全评估加上不间断的安全体系升级,并且对整个系统进行实时监视。以下重点提出了一些主要步骤,可以将安全漏洞的数量和影响减小到尽可能低。
第一步:进行定期的危险点分析和评估 许多供电企业可能并没有在定期的基础上对调度
自动化系统中SCADA和 EMS 系统(能量管理系统)的危险点进行危险性评估。这项工作应尽快开展起来。另外,除了这两个系统,其他如企业内部信息网(MIS),WEB 服务器,以及用户
信息管理系统也应纳入评估范畴来寻找可能尚未发现的安全漏洞。另外,公共网与外部网的连接,以及防火墙的配置等也需引起重视。
当许多供电企业进行信息网建设时面临很多选择,包括信息安全软件,网络设备,系统配置等等方面的问题。虽然防火墙,入侵检测系统,虚拟内部网等等可以保护系统免受恶意攻击,然而选择了不适当的网络产品,或者是配置使用不当都有可能严重阻碍安全体系的效率。因此,为了将与网络结构设计有关的缺陷降低到最小,企业应该与
信息安全专业人员联手,在建设网络的同时保证其安全性不打折扣。
第三步:加强安全管理 企业在其
信息网络内布设了网络安全系统之后,对于网络安全设备的正确管理和监视就变得非常复杂和重要。我们必须认识到,如果只是采取了“纯技术性”的解决方案而不进行密切的管理和监视,安全设备的有效率会大大降低。因此,最好的办法是雇佣有经验的IT安全专业人员来进行网络设备的监视。但是这样作对许多企业来说成本太高。国外的做法是,对于很多对安全性要求较高的公司,有专门的公司提供安全设备和系统的管理和监视服务。这样的服务保证了公司安全体系正确的配置和补漏,而且实时监视安全系统的运行情况和检测恶意攻击。对于我们国内的企业,可以借鉴这样的经验,与网络安全公司进行合作,或者在公司内设立网络安全专职工程师岗位,专门进行
网络安全监视和事故预防。这样可以以相对较低的成本得到完善的安全管理和实施实时监控,同时,也提升了已有
信息安全机制的性能和作用,实现了安全系统的增值。
4 我公司调度自动化系统中SCADA的安全策略根据我公司目前有6个服务器,70个工作站的网络状况,特推荐kaspersky网络版系统解决方案,系统结构图如下:
1 凤阳供电公司kaspersky反病毒产品布置图
u 防病毒集中管理控制系统
使用产品:Kaspersky的Administration Kit;
系统最低需求:支持TCP/IP协议的本地网络;
MS Window 95/98/Me/NT/2000/XP操作系统;
如果要安装在MS Windows NT 4.0的机器上,必须预装service pack 3.0以上。
u 管理工作站
16 Mb可用内存,10Mb可用的硬盘空间;
Kaspersky AV Server程序:
5Mb可用内存,1Mb可用的硬盘空间;
部署方式:在凤阳供电局内外网络管理平台上安装Administration Kit,负责集中管理所属网络中所有的防毒软件。
使用产品:Kaspersky Anti-Virus for NT/ Server;
系统最低需求:Windows NT/2000/2003 Server:Windows NT 4.0打SP6补丁;
本地机器的管理员帐户;
Internet Explorer v4.01(SP2)或以上;
至少32 Mb内存,至少25 Mb硬盘空间;
监视器的分辨率至少设置为800×600;
奔腾486(或兼容)以上处理器;至少64 Mb内存;
至少30 MB硬盘空间;
部署方式:
在所有Windows NT服务器上,安装Kaspersky Anti-Virus for NT Server。
可满足的需求:实时检测并清除文件服务器中的病毒。
使用产品:Kaspersky Anti-Virus for Workstation;
系统最低需求:
Windows 9x/Me/NT Workstation/2000 Pro/XP Home/XP Pro;
Windows NT 4.0 Workstation加SP3以上补丁;
Windows NT 4.0 Workstation 或者Windows 2000/XP Pro的本地管理员帐户;
IE的版本在4.01以上;
至少32 Mb内存;至少25 Mb剩余硬盘空间;
部署方式:在连网的Windows客户端上安装KAV for Windows workstation;
可满足的需求:
对企业内的联网客户端/工作站进行防毒控制。
可自动更新所有客户端上的防毒软件,使防毒工作完全
自动化。
我公司运行到现在,没出现一起调度
自动化系统中SCADA及企业
信息网络的安全事故。
5 结论
由于在电力系统中调度自动化系统中SCADA的独特重要性,其
网络安全性应该引起日益广泛的关注。因此,供电企业应该立刻与信息安全专家联手,对当前应用的调度自动化系统中SCADA安全性进行全面的分析,评估系统当前的安全性等级,并且制定计划来降低风险。我们必须认识到,企业信息安全并不仅仅停留在内部信息网的层面。我们应将
信息产业领域的安全政策和规程引入到调度自动化系统中SCADA和工业自动化领域中来,将调度
自动化系统中SCADA和企业
信息网作为一个整体来进行风险分析,并制定整体的防范措施。
