电力关键信息基础设施网络安全直接影响金融、能源、通信、交通等其他国家关键基础设施安全,关系国家安全、经济发展和国计民生,历来都是网络战和网络攻击的首选目标。近年来,针对电力的网络安全攻击事件频发,电力工控安全已成为网络安全斗争的主战场。
2010年11月伊朗核电站遭受“震网病毒”攻击,大量设备遭到破坏。
2015年12月乌克兰至少三个区的电力系统遭受恶意软件攻击,造成大规模停电事件。
2016年以色列电力供应系统遭重大网络攻击。
2017年6月,一款针对电网高度定制化恶意程序“Industroyer”公开。
2019年6月15日,《纽约时报》报道美国加大对俄罗斯的网络攻击力度。
切实做好电力工控系统安全防护,迫在眉急。
电力监控系统安全检查主要包括六大部分:评估准备、现场评估、风险分析、安全建议、安全整改、评估报告编制。
人员构成
评估人员:由专业评估机构或内部人员组成的评估队伍。
系统管理人员:待评系统的运行维护、管理人员。
如何确定
通过评估组的工作会议进行确定
确定原则
应能代表待评估系统的所有关键资产,包括:网络范围、主机范围、应用系统范围、制度与管理范围。
确定后配合要求
评估范围确定后,待评系统管理人员需要根据选定的内容进行资料的准备工作,包括:网络拓扑结构图、电力监控系统资产清单、应用系统的说明文档、组织机构设置说明等内容。
评估工具
通用脆弱性评估工具
表单工具
《系统威胁统计表》、《系统资产调查表》、《安全管理访谈表》
工具使用注意事项
不得对生产控制大区在线运行系统进行自动化工具评估!
如何准备
在被评估方的配合下制定应急预案
对在线系统进行扫描单独提交流程
向主管领导汇报
按照管理制度履行相关操作手续进行登记
资产识别
《电力监控系统资产清单列表》
资产赋值
赋值人员要求
对业务系统进行充分了解和分析的基础上进行
赋值方法
以业务系统为主线的方法,将每一项电力监控系统资产按照所属业务系统进行归类,在业务系统划分的基础上评估系统的安全性。
《资产赋值表》
威胁统计
《系统威胁统计表》
统计方法
通过访谈以及现场访谈和观察的方式
资料需求
威胁列表、信息系统日志、系统环境说明
威胁赋值
《资产威胁赋值表》
《电力监控系统分区情况记录》
评估依据
政策依据《电力监控系统安全防护总体方案》-36号文
被评估单位提供—电力监控系统现状说明
分区表
配电监控
变电站
评估依据
政策依据《电力监控系统安全防护总体方案》-36号文
被评估单位提供—电力监控系统现状说明
《电力监控系统分区边界完整性审计记录》
分析方法
通过对电力监控系统的业务数据流和业务网络结构的审核,对电力监控系统的节点间通信关系进行分析,以确定某一安全区中的那些业务系统功能模块需要同其他安全区进行通信,以及这些通信间的安全需求。
《电力监控系统通信关系表》
节点
变电
配电
评估依据
政策依据《电力监控系统安全防护总体方案》-36号文
被评估单位提供—电力监控系统现状说明
《电力监控系统边界点审计记录》
设备安全漏洞扫描
扫描目标来源
《电力监控系统资产清单》
扫描注意事项
需要得到操作许可
准备应急预案
《设备漏洞扫描结果》
设备审计
审计方法
人工登录主机或网络设备
审计注意事项
在审计前需要得到操作许可
审计目标来源
《电力监控系统资产清单》、《主机或网络审计检查列表》
《设备审计结果》
包括对调度数据网、本地局域网的网络结构、网络设备的安全性、网络管理情况~网络配置评估等评估内容
《网络安全评估记录》
评估标准参照
《GB/T22080-2008信息安全管理体系要求》
《电力监控系统安全防护总体方案》
评估方法
调查问卷
人工访谈
评估内容
安全管理制度文档分析
分析内容
已制定和采用的安全管理制度文档以及制度的执行情况
业务系统管理分析
分析内容
对具体业务系统的管理制度、岗位职责定义文档出发,并通过实际的观察和访谈确认系统管理的情况。
评估内容
对业务系统软件提供的安全功能和自身的安全配置进行审核,以确定这些业务系统软件安全缺陷
评估方法
人工审核
《业务系统软件安全评估记录》
评估内容
对现有安全技术措施,如安全分区情况、安全隔离装置、防火墙和防病毒系统等部署情况、管理与运维情况等进行审核,确定防护措施是否发挥了应有作用。
《现有安全措施审计记录》
评估方法
人工审核
评估资产列表
如何整理
针对评估范围中的资产,对资产根据业务、类型进行分类,形成具体的资产或资产组;根据资产或资产组承载的业务和数据、所处的位置进行资产赋值的调整,确定出可计算的资产价值;
威胁分析表
如何分析
针对具体的资产或资产组,根据现场识别和赋值的威胁列表判断资产面临的威胁情况,并对现场所赋的威胁可能性和威胁影响值进行调整;
脆弱性列表
针对具体的资产或资产组,整理脆弱性列表,并进行管理、运维和技术的分析,分析其产生原因和被利用的后果;
安全事件的损失
根据资产值和脆弱性严重程度,采用矩阵法或者相乘法计算安全事件的损失;
安全事件发生的可能性
根据威胁出现的频率等级和脆弱性严重程度,采用矩阵法或者相乘法计算安全事件发生的可能性。
风险值
风险等级
计算方法
风险计算可采用矩阵法或者相乘法,在符合国标要求下不限定计算方法。通过安全事件损失值和安全事件发生可能性计算相应的风险值,并根据风险值确定风险等级.风险计算的原理方法参见5.2和附录C1.5。
分析原理
对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等;
对不可接受的风险进行安全整改后的残余风险要进行评估,确保其在可接受的范围内。
决策基础
风险排序
根据风险计算结果,按照给资产造成的损失大小对风险进行排序,并计算消除或降低风险所需的成本,在此基础上决定对风险采取的处理方法:
风险决策原则
风险决策是提出安全建议的基础,科学、合理的风险决策是提高安全建议质量、防止过度防护和防护不足的保障。
矩阵法
风险矩阵图,又称风险矩阵法(Risk Matrix),是一种能够把危险发生的可能性和伤害的严重程度综合评估风险大小的定性的风险评估分析方法。它是一种风险可视化的工具,主要用于风险评估领域。
相乘法
需求分析
(1)需求分析:需求分析根据风险分析的结论将电力监控系统的防护需求进行归纳和总结,并根据评估结果进行了现状分析、可行性分析和紧迫性分析;
安全建议
(2)安全建议:裉据需求分析的结论针对不同评估节点提出安全防护措施;
实施计划
(3)实施计划:根据可行性分析和紧迫性分析结论提出安全建议的实施计划。
安全建议报告
被评估单位应根据安全建议方案制定整改计划、落实整改措施,不断提高电力监控系统安全防护能力。
可以参考以下的评估报告模板进行报告编制。
虽然对于电力行业或工控行业近年来也有一些新的标准发布,但是这篇为什么选择36号文来写,我个人认为36号文是电力系统网络安全检查评估最全面,行业融合度最高的一部标准,通过这部标准,更能加深对电力系统业务及电力行业安全的认识。但是在检查过程中要真正落地实施,还需要安全从业人员更多去研究,探讨更多的安全检查评估方法,既能真正发现隐患,又能把检查对系统的影响程度降到最低。
附录B电力监控系统安全防护脆弱性评估表(主要指标)
链接:https://pan.baidu.com/s/1Juh0Kjfu2rX6h1t4I1KdVw
提取码:dvb1
威胁调查与赋值表
链接:https://pan.baidu.com/s/1ar5FsEcrfDb7rm6_imYemA
提取码:rpxz
资产调查表
链接:https://pan.baidu.com/s/16Xlk0hkHLkemZSyDaPBSmA
提取码:xbne
*本文原创作者:云火安全实验室,本文属于FreeBuf原创奖励计划,未禁许可禁止转载