> 首頁 > 關于優炫 > 公司動態 > 業界新聞 >

業界新聞

Industry News

能源行業信息安全備受矚目 系統安全加固勢在必行

2017-08-15

能源行業信息安全事件頻發

 

2014年6月,一種專門針對工控系統進行惡意攻擊的木馬病毒Havex出現,這種木馬可能有能力禁用水電大壩、使核電站過載,甚至可以做到按一下鍵盤就能關閉一個國家的電網。

 

2015年12月,烏克蘭電力部門遭受到BlackEnergy(黑色能量)攻擊,當時烏克蘭新聞媒體報道稱:“至少有三個電力區域被攻擊,并于當地時間15時左右導致了數小時的停電事故”;“攻擊者入侵了監控管理系統,超過一半的地區和部分伊萬諾-弗蘭科夫斯克地區斷電幾個小時。”

 

2017年6月,一種類似于“WannaCry”的新勒索病毒Petya出現。Petya的破壞性比傳統的勒索軟件更大,包括俄羅斯石油巨頭,烏克蘭國家電力公司、國家銀行等機構受到嚴重攻擊。

 

我國同樣遭受著工業控制系統信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠,工控系統分別感染Conficker病毒,都造成控制系統服務器與控制器通訊中斷。

 

因我國近年來沒有遭受大規模嚴重性網絡攻擊,所以能源行業對信息安全的重視程度并不高。一般來說,對安全的重視和實施來自三個方面:政策驅動、事件驅動和技術驅動。政策驅動方面,2014年我國成立了中央網絡安全和信息化領導小組,2017年6月1日開始實施《網絡安全法》。國家和政府層面對信息安全已經給予戰略層面的重視。

 

技術驅動層面,主要依托國產自主研發的信息安全廠商,這些企業受到國家政策層面的鼓勵和支持,在去IOE的大勢下逐漸崛起,并在各自優勢領域占據一席之地。優炫軟件在信息安全細分領域即數據安全成為領軍企業,在核心數據保護方面取得一定影響力,自然跟這種大勢所趨離不開關系

 

縱觀三大驅動,政策驅動和技術驅動在我國顯然已經走在事件驅動前面,事件驅動沒有很好的效應并非說明我國在能源信息安全方面有所建樹,只是我國信息化安全建設還處在初期階段,能源信息還未全面與國際接軌。其實事故出了之后,回頭再去看防護的成本微乎其微,上述所引事例都屬于事件驅動,事件驅動的弊病在于事不關己高高掛起,而安全問題的本質卻是防患于未然。針對事件驅動,我們應該轉變安全思維模式,建立主動保護意識,這也是優炫軟件作為核心數據保護領域中倡導的核心理念
 

 

業主管單位對能源信息安全的要求

對于能源行業,其信息安全發展基本由政策決定。國家和政府對能源行業的重視是由能源成為現代化基礎和動力所決定的。能源供應和安全事關我國現代化建設全局。因此,在國務院2014年印發的“能源發展戰略行動計劃(2014-2020年)”中提出了我國要加快構建清潔、高效、安全、可持續的現代能源體系。

 

關于等級保護的要求

2016年10月,工業和信息化部印發的《工業控制系統信息安全防護指南》,其中指出,工業控制系統應用企業應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任11個方面做好工控安全防護工作。要達到國家等級保護3至5級(特別是4級以上),或國際標準所定義的SL3級或SL4級信息安全等級,沒有國家及政府層面的介入,單憑企業的力量是難以實現的。由于國內工控安全的發展時間較短和研發投入不足,普遍缺乏針對工業特點的系列齊全的信息安全產品,如滿足2級、3級、4級不同等級保護要求的工控操作系統、數據庫系統等。

 

關于網絡安全法的要求

《網絡安全法》強化了網絡運行安全,重點保護關鍵信息基礎設施。《網絡安全法》第三章用了近三分之一的篇幅規范網絡運行安全,特別強調要保障關鍵信息基礎設施的運行安全。關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的系統和設施。網絡運行安全是網絡安全的重心,關鍵信息基礎設施安全則是重中之重,與國家安全和社會公共利益息息相關。為此,《網絡安全法》強調在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務,并配以國家安全審查、重要數據強制本地存儲等法律措施,確保關鍵信息基礎設施的運行安全。能源行業信息安全無疑就是關鍵信息基礎設施,是《網絡安全法》強調保護的重中之重。

 

關于行業標準的要求

西方國家在信息化方面走在我國前列,其信息安全建設也相對完善,國際標準組織在BS 7799標準基礎上,制定了信息安全管理體系ISO/IEC 27000系列國際標準。美國國家標準與技術研究院從20世紀80年代開始就陸續發布了一系列信息安全的報告,其中知名的有NIST SP800-82“工控系統(ICS)信息安全指南”等。IEC基于美國自動化國際學會ISA 99系列標準,先后制定了工控系統信息安全IEC 62443系列標準。英國于1995年就發布了關于信息安全管理系統的標準BS 7799。當前國內所發布的與工控系統信息安全相關的國家標準僅有2部,即GB/T 30976.1-2014“工控系統信息安全-第1部分:評估規范”和GB/T 30976.2-2014“工控系統信息安全-第2部分:驗收規范”。具體到能源行業,其針對性的專門信息安全防護標準國內幾乎沒有。

?

關于系統安全防護的要求

電力信息安全事故頻發,很多信息安全事故,都與操作系統安全等級較低,管理員權限過大有直接關系,國家發改委、國家能源局,國家電網等部門高度重視,連續發文,要求進行操作系統加固。提升操作系統的安全等級,確保監控系統核心數據和核心業務的安全。

 

國家發改委【2014】14號令 《電力監控系統安全防護規定》:“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”。綜合防護:綜合防護是結合國家信息安全等級保護工作的相關要求對工業控制領域關鍵業務系統從主機層面實現對操作系統安全等級提升、惡意代碼防范、遠程主機入侵防范、應用安全控制、安全審計等多個層面進行信息安全防護的過程。14號令要求生產控制大區內所有服務器應當部署主機加固。

 

國能安全【2015】36號文件 《電力監控系統安全防護總體方案》要求主機加固:生產控制大區主機操作系統應當進行安全加固。加固方式包括:安全配置、安全補丁、采用專用軟件強化操作系統訪問控制能力、以及配置安全的應用程序。關鍵控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證。

 

國家電網調度中心【2016年】102號文件 《國調中心關于加強電力監控系統安全防護常態化管理的通知》。通知要求并網發電廠,按照發改委14號令和能源局36號文件的要求,把監控系統的主機加固、安全審計和漏洞掃描等產品,進行常態化部署。

 

 

部署操作系統安全增強系統的重要性

國家對于操作系統的安全防護主要出于以下幾方面的考慮:

(1) 美國出口中國的操作系統的安全級別低,只是C2級別的,更高級別的操作系統不出口中國,這種C2級別系統本身就有很多的漏洞,入侵者很容易通過這些系統漏洞侵入主機。

(2) 很多用戶的核心業務服務器,由于本身業務原因,不能及時安裝由操作系統廠商提供的補丁,造成利用漏洞攻擊核心系統的風險增加。

(3) 網絡級(防火墻、入侵檢測)或應用級(殺毒、網管)安全產品只能實現網絡邊界處或應用層的保護,不能保護核心系統。

(4) 在信息化建設的過程中,接觸主機的外部人員多(如設備的調試安裝),對信息安全造成一定威脅。

 

所以需要提升現有操作系統的安全等級。通過操作系統加固,構建一個從網絡邊界到核心的防護體系,操作系統加固產品與防火墻,隔離網閘,入侵防御等產品相輔相成、互為配合,確保核心數據和核心業務的安全。

 

圖片關鍵詞

  

優炫操作系統安全增強系統(RS-CDPS)能夠實現行業主管對于操作系統安全防護的要求:實現USB管控;采用白名單過濾技術;基于MD5技術提供文件完整性檢查;提供非法外聯阻斷和告警功能;產品具有公安部銷售許可證和檢測報告,滿足國網、南網、五大集團要求。

 

圖片關鍵詞

 

此外,該產品還可構建可信操作系統(遵循CC標準,達到相關行業的等級保護要求);強制安全實現,權限分離,最小特權,細粒度的訪問控制,操作系統安全級別從C2級提升到B1級;核心數據主動防護;防BOF攻擊,密碼與登錄策略管理,文件/進程/權限/網絡訪問;保護核心數據不受泄漏,篡改和被破壞的威脅;分布部署,集中化管理;細粒度、高可靠的審計;多平臺支持Windows, Linux, Solaris, HP-UX, Tru64, Unixware, AIX。

 

結語

能源行業信息安全問題備受國家重視,國家從政策層面、等級保護、網絡安全層面、電力系統防護層面都給予一定的要求和規范,但由于業信息安全技術發展待成熟,無法快速達成推廣普及的程度。目前大多數地方電力企業依據地方主導機構比如省評測中心和省調度中心的要求進行信息安全部署和規劃。而優炫軟件布局較早,已經與山西、陜西、寧夏、青海等省市開展關于電力二次系統安全防護解決方案的大量試點,優炫操作系統安全增強系統(RS-CDPS)已經獲得普遍推廣和使用,并取得良好的用戶反饋

 

150武器幻化赚钱吗