电力系统信息通信网络安全及防护研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(2)通过移动存储介质或移动终端进 行攻击。攻击者将病毒存入移动存储介 质 或 移 动 终 端 ,当 移 动 存 储 介 质 或 移 动 终 端 与 内 网 通 信 时 ,病 毒 利 用 网 络 设 备 漏 洞 注入内网。
(3)存在漏洞的网络设备也可能被内 部恶意攻击者利用并实施相应的攻击。 2.2 电力系统内部网络安全风险分析
Keywords:power system;network equipment;offline attack;localization of communication network equipment resource
0引言
20 世纪 50 年代,一些发达国家开始研究计算机技 术 在 企 业 经 营 、管 理 、设 计 、制 造 等 方 面 的 应 用 ,信 息 化 技术逐步从单机、信息孤岛发展到企业信息化集成。从 20 世纪 80 年代,我国开始将信息技术应用于各个领域, 由于起步较晚,在信息化建设过程中普遍借鉴和引入了 国外信息通信网络设备[1]资源。
文献标识码:A
文章编号:1004⁃373X(2014)18⁃0146⁃03
Security of information and communication network equipments in power systems
GAO Peng,LI Ni⁃ge,FAN Jie
(China Electric Power Research Institute,Nanjing 210000,China)
148
现代电子技术
2014 年第 37 卷
(3)在信息内网中存在用于内部通信的无线网络, 即“无线通信”,攻击者通过无线通信的方式直接对设备 和系统发起攻击。
3 电力系统信息通信网络安全防护措施Βιβλιοθήκη Baidu
根据电力系统信息通信网络设备使用现状,借鉴国 内外以及电力系统供应链安全管理的思想,结合电力信 息系统全生命周期过程,本文重点从网络设备的国产化 推 进 、采 购 安 全 管 控 、上 线 安 全 管 控 、运 行 监 控 安 全 管 控、下线安全管控等方面考虑对电力系统信息通信网络 进行安全防护 ,如 [8⁃11] 图 3 所示。
2014 年 2 月,中央成立了“网络安全和信息化领导 小 组 ”,突 出 体 现 了 信 息 网 络 安 全 在 国 家 安 全 中 的 重 要 地 位 。 网 络 安 全 和 信 息 化 是 一 项 艰 巨 的 工 作 ,因 为 它 涉及到所有的网络设备,设备的安全又是整体网络安全 的一个重要方面 。 [2⁃3] 同时,随着电力信息化技术的飞速 发 展 ,各 单 位 信 息 化 建 设 逐 步 深 入 ,电 力 作 为 关 系 人 民 生 产 、生 活 的 基 础 产 业 ,电 力 信 息 化 建 设 是 电 力 企 业 安 全生产及生产力水平的重要体现。然而,由于在信息化 建设中引入的国外信息通信网络设备厂商和产品的不
图 3 信息通信网络安全防护框架
3.1 网络设备国产化推进 网络设备国产化推进目的在于规避国外网络设备
安 全 风 险 的 不 可 控 性 ,确 保 电 力 系 统 网 络 设 备 可 控 、能 控、在控。电力企业可以联合国内厂商共同开展各种国 产 网 络 设 备 资 源 的 国 产 化 改 造 及 测 试 工 作 ,按 照“ 先 易 后难、先外网后内网”的原则,在保证电力系统正常运行 的前提下,进一步推进国产化进程。 3.2 网络设备采购安全管控
电力系统内生产控制大区和管理信 息大区中的信息内网构成了两个与互 联 网 隔 开 的“ 离 线 ”内 部 网 络 ,其 涉 及 的 无 线 电 信 号(无 线 电 磁 波)主 要 有: 2.4 GHz 电磁波:WLAN;1 900 MHz~2 GHz; 电 磁 波 :2G(GSM,GPRS,CDMA);3G(WCDMA, TD ⁃ SCDM A ,CDM A2000); 230 MHz,3~30 GHz 电磁波:电力微波。
收稿日期:2014⁃04⁃15
可 控 性 ,不 断 曝 出 国 外 厂 商 信 息 化 资 源 的 安 全 隐 患 ,关 乎企业、国家的信息网络安全保障问题也日益突出。近 年来,国家开始扶持国内厂商探索信息通信网络设备资 源的国产化[4⁃5],但是由于电力公司信息通信系统仍存在 一定数量的国外网络设备在使用,并且国外网络设备产 品的一些核心技术和标准长期被国外厂商掌控,所以对 于电力系统信息通信网络安全的研究与分析迫在眉睫。
1 电力系统国内外信息通信网络设备使用现状
电力系统信息通信网络使用的硬件设备主要涉及 网 络 设 备 、通 信 设 备 、主 机 及 服 务 器 和 存 储 设 备 ,详 见 图 1。引入的国外硬件设备主要涉及小型机、高端服务 器 、高 端 存 储 设 备 以 及 部 分 网 络 设 备 等 产 品 ,小 型 机 以 及高端存储设备短期国内厂家还无法与国外厂家相比, 而其他设备如服务器、低端存储设备、网络设备,目前国 内产品功能和性能已能达到电力行业相关要求。尤其 是网络设备,随着国内相关网络设备产品功能和性能的 日益完善,在电力系统信息通信网络中已经具备取代国 外网络设备的能力。电力系统目前使用的国外信息通
网络设备采购安全管控主要规范网络设备在资质 审核、设备选型、安全准入等方面的要求,确保采购的网 络设备符合安全性要求。在采购产品前先建立健全信 息化网络设备资源的安全准入机制;在设备选型环节对 网 络 设 备 供 应 商 企 业 安 全 资 质 、人 员 安 全 指 标 、服 务 质 量 评 价 、网 络 设 备 资 格 准 入 条 件 进 行 审 查 ,对 关 键 设 备 开展产品预先选型和全面安全检测,及时发现各种潜在 的 安 全 后 门 、策 略 配 置 及 恶 意 代 码 风 险 ;在 招 标 采 购 环 节明确网络设备的投标安全技术要求,并在采购合同中 明确对厂商保密条款和安全责任的约束。 3.3 网络设备上线安全管控
Abstract:With the rapid development of information technology in power industry,research for the network security has become an unavoidable task. The usage of domestic and international information and communication network equipments in elec⁃ tric power system is introduced. The security risks caused by foreign network equipments in Chinese power system are analyzed. The risk of the power system network and the urgent needs of network equipment localization are revealed in the analysis. The se⁃ curity risks of internal networks in power systems are also analyzed in this paper. The specific measures of whole process securi⁃ ty control for network equipments are proposed. This paper provide a reference for power system network security.
2 电力系统信息通信网络安全风险分析
2.1 电力系统信息通信网络安全风险概述 即 使 自“ 十 一 五 ”以 来 ,电 力 公 司 完 成 了 内 外 网 隔
离,全面构建了以“三道防线”为核心的等级保护纵深防 御体系,“三道防线”有效保障了核心业务系统及数据安 全,同时基本杜绝了外部人员直接访问信息内网以及生 产控制大区网络的可能性 。 [4,7] 但是,电力系统安全实验 室通过对国内外网络设备安全风险进一步分析发现,如 果设备存在安全漏洞或被事先植入后门、木马等恶意程 序 ,即 使 在 物 理 隔 离 情 况 下 ,依 然 可 以 通 过 如 下 方 式 进
图 2 电力系统无线通信情况
由此分析可知,“离线攻击”可能会对电力系统内部 网络造成威胁,主要存在以下几个方面的风险:
(1)在信息内网中存在大量的国外网络设备、移动 存 储 介 质 和 移 动 终 端 ,存 在 被 植 入 后 门 的 风 险 ,攻 击 者 通过激活后门注入病毒或控制设备发起攻击。
(2)在信息内网中存在大量的“电磁辐射”,存在遭 受“辐射攻击”的风险,攻击者通过接收各类设备的辐射 激活后门或注入病毒发起攻击。
行攻击: (1) 采 用 电 磁 辐 射 或 无 线 电 信 号 激 活 漏 洞 。 攻 击
者利用工程手段在硬件设备中事先加入可唤醒的程序 和 指 令 ,并 放 宽 硬 件 设 备 的 信 号 辐 射 标 准 ,使 其 随 时 可 以被探测以便利用,然后通过对设备发送的电磁信号进 行侦收和破译,利用无线辐射病毒激活后门。
图 1 电力系统主要硬件产品厂商情况
2013 年 1 月 ,新 华 通 信 社《参 考 要 闻》发 布 了 题 为 《路 透 社 称 美 实 验 室 以 国 家 安 全 为 由 移 除 中 国 产 设 备》 的 报 道 ,称 美 国 洛 斯·阿 拉 莫 斯 国 家 核 武 器 实 验 室 近 日 以国家安全考虑为由,移除了其信息系统中至少两种由 中国华三通信技术公司生产的网络设备[6]。由此可见国 外实验室对信息系统网络设备安全的重视,结合相关事 件对的启示,国家电网公司组织信息安全实验室对电力 系统信息通信网络设备的应用情况和存在风险进行了 梳理分析。尤以国外网络设备 Cisco 为例,截至 2012 年 底 ,来 自 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心(CN⁃ CERT/CC)漏洞库公开的 Cisco 系列网络设备漏洞就有 165 个,主要涉及的漏洞类型包括拒绝服务漏洞、身份 验证绕过漏洞以及远程控制漏洞,如被利用可导致网络 通 信 中 断 、网 络 设 备 瘫 痪 甚 至 远 程 执 行 恶 意 程 序 等 后 果。同时,国外网络设备可能存在未被发现的安全漏洞 或者事先植入的恶意代码,所以加快实施电力系统网络 设备国产化对于保障网络安全非常必要。
第 18 期
高 鹏,等:电力系统信息通信网络安全及防护研究
147
信网络设备包括 Cisco,IBM,HP,Juniper 等厂商,主要以 Cisco 网 络 设 备 为 主 ,占 国 外 信 息 通 信 网 络 设 备 的 95.82%。使用的国内信息通信网络设备包括 H3C、华为、 迈普、中兴、烽火等厂商,主要以 H3C、华为网络设备为主, H3C 网络设备占国内信息通信网络设备的 65.17%;华为 网络设备占国内信息通信网络设备的 22.48%。
内外信息通信网络设备使用情况;分析国外网络设备在电力系统中的安全风险,表明了电力系统网络的风险以及网络设备
国产化实施的迫切需求;分析电力系统内部网络存在的安全风险;提出了网络设备全过程安全管控的具体措施,为电力系统
网络安全防护提供参考。
关键词:电力系统;网络设备;离线攻击;通信网络设备资源国产化
中图分类号:TN713⁃34
2014 年 9 月 15 日 第 37 卷第 18 期
146
现代电子技术 Modern Electronics Technique
Sep. 2014 Vol. 37 No.18
电力系统信息通信网络安全及防护研究
高 鹏,李尼格,范 杰
(中国电力科学研究院,江苏 南京 210000)
摘 要:随着电力行业信息化建设的快速发展,针对网络安全的研究已成为一个不可忽视的问题。介绍了电力系统国
(3)存在漏洞的网络设备也可能被内 部恶意攻击者利用并实施相应的攻击。 2.2 电力系统内部网络安全风险分析
Keywords:power system;network equipment;offline attack;localization of communication network equipment resource
0引言
20 世纪 50 年代,一些发达国家开始研究计算机技 术 在 企 业 经 营 、管 理 、设 计 、制 造 等 方 面 的 应 用 ,信 息 化 技术逐步从单机、信息孤岛发展到企业信息化集成。从 20 世纪 80 年代,我国开始将信息技术应用于各个领域, 由于起步较晚,在信息化建设过程中普遍借鉴和引入了 国外信息通信网络设备[1]资源。
文献标识码:A
文章编号:1004⁃373X(2014)18⁃0146⁃03
Security of information and communication network equipments in power systems
GAO Peng,LI Ni⁃ge,FAN Jie
(China Electric Power Research Institute,Nanjing 210000,China)
148
现代电子技术
2014 年第 37 卷
(3)在信息内网中存在用于内部通信的无线网络, 即“无线通信”,攻击者通过无线通信的方式直接对设备 和系统发起攻击。
3 电力系统信息通信网络安全防护措施Βιβλιοθήκη Baidu
根据电力系统信息通信网络设备使用现状,借鉴国 内外以及电力系统供应链安全管理的思想,结合电力信 息系统全生命周期过程,本文重点从网络设备的国产化 推 进 、采 购 安 全 管 控 、上 线 安 全 管 控 、运 行 监 控 安 全 管 控、下线安全管控等方面考虑对电力系统信息通信网络 进行安全防护 ,如 [8⁃11] 图 3 所示。
2014 年 2 月,中央成立了“网络安全和信息化领导 小 组 ”,突 出 体 现 了 信 息 网 络 安 全 在 国 家 安 全 中 的 重 要 地 位 。 网 络 安 全 和 信 息 化 是 一 项 艰 巨 的 工 作 ,因 为 它 涉及到所有的网络设备,设备的安全又是整体网络安全 的一个重要方面 。 [2⁃3] 同时,随着电力信息化技术的飞速 发 展 ,各 单 位 信 息 化 建 设 逐 步 深 入 ,电 力 作 为 关 系 人 民 生 产 、生 活 的 基 础 产 业 ,电 力 信 息 化 建 设 是 电 力 企 业 安 全生产及生产力水平的重要体现。然而,由于在信息化 建设中引入的国外信息通信网络设备厂商和产品的不
图 3 信息通信网络安全防护框架
3.1 网络设备国产化推进 网络设备国产化推进目的在于规避国外网络设备
安 全 风 险 的 不 可 控 性 ,确 保 电 力 系 统 网 络 设 备 可 控 、能 控、在控。电力企业可以联合国内厂商共同开展各种国 产 网 络 设 备 资 源 的 国 产 化 改 造 及 测 试 工 作 ,按 照“ 先 易 后难、先外网后内网”的原则,在保证电力系统正常运行 的前提下,进一步推进国产化进程。 3.2 网络设备采购安全管控
电力系统内生产控制大区和管理信 息大区中的信息内网构成了两个与互 联 网 隔 开 的“ 离 线 ”内 部 网 络 ,其 涉 及 的 无 线 电 信 号(无 线 电 磁 波)主 要 有: 2.4 GHz 电磁波:WLAN;1 900 MHz~2 GHz; 电 磁 波 :2G(GSM,GPRS,CDMA);3G(WCDMA, TD ⁃ SCDM A ,CDM A2000); 230 MHz,3~30 GHz 电磁波:电力微波。
收稿日期:2014⁃04⁃15
可 控 性 ,不 断 曝 出 国 外 厂 商 信 息 化 资 源 的 安 全 隐 患 ,关 乎企业、国家的信息网络安全保障问题也日益突出。近 年来,国家开始扶持国内厂商探索信息通信网络设备资 源的国产化[4⁃5],但是由于电力公司信息通信系统仍存在 一定数量的国外网络设备在使用,并且国外网络设备产 品的一些核心技术和标准长期被国外厂商掌控,所以对 于电力系统信息通信网络安全的研究与分析迫在眉睫。
1 电力系统国内外信息通信网络设备使用现状
电力系统信息通信网络使用的硬件设备主要涉及 网 络 设 备 、通 信 设 备 、主 机 及 服 务 器 和 存 储 设 备 ,详 见 图 1。引入的国外硬件设备主要涉及小型机、高端服务 器 、高 端 存 储 设 备 以 及 部 分 网 络 设 备 等 产 品 ,小 型 机 以 及高端存储设备短期国内厂家还无法与国外厂家相比, 而其他设备如服务器、低端存储设备、网络设备,目前国 内产品功能和性能已能达到电力行业相关要求。尤其 是网络设备,随着国内相关网络设备产品功能和性能的 日益完善,在电力系统信息通信网络中已经具备取代国 外网络设备的能力。电力系统目前使用的国外信息通
网络设备采购安全管控主要规范网络设备在资质 审核、设备选型、安全准入等方面的要求,确保采购的网 络设备符合安全性要求。在采购产品前先建立健全信 息化网络设备资源的安全准入机制;在设备选型环节对 网 络 设 备 供 应 商 企 业 安 全 资 质 、人 员 安 全 指 标 、服 务 质 量 评 价 、网 络 设 备 资 格 准 入 条 件 进 行 审 查 ,对 关 键 设 备 开展产品预先选型和全面安全检测,及时发现各种潜在 的 安 全 后 门 、策 略 配 置 及 恶 意 代 码 风 险 ;在 招 标 采 购 环 节明确网络设备的投标安全技术要求,并在采购合同中 明确对厂商保密条款和安全责任的约束。 3.3 网络设备上线安全管控
Abstract:With the rapid development of information technology in power industry,research for the network security has become an unavoidable task. The usage of domestic and international information and communication network equipments in elec⁃ tric power system is introduced. The security risks caused by foreign network equipments in Chinese power system are analyzed. The risk of the power system network and the urgent needs of network equipment localization are revealed in the analysis. The se⁃ curity risks of internal networks in power systems are also analyzed in this paper. The specific measures of whole process securi⁃ ty control for network equipments are proposed. This paper provide a reference for power system network security.
2 电力系统信息通信网络安全风险分析
2.1 电力系统信息通信网络安全风险概述 即 使 自“ 十 一 五 ”以 来 ,电 力 公 司 完 成 了 内 外 网 隔
离,全面构建了以“三道防线”为核心的等级保护纵深防 御体系,“三道防线”有效保障了核心业务系统及数据安 全,同时基本杜绝了外部人员直接访问信息内网以及生 产控制大区网络的可能性 。 [4,7] 但是,电力系统安全实验 室通过对国内外网络设备安全风险进一步分析发现,如 果设备存在安全漏洞或被事先植入后门、木马等恶意程 序 ,即 使 在 物 理 隔 离 情 况 下 ,依 然 可 以 通 过 如 下 方 式 进
图 2 电力系统无线通信情况
由此分析可知,“离线攻击”可能会对电力系统内部 网络造成威胁,主要存在以下几个方面的风险:
(1)在信息内网中存在大量的国外网络设备、移动 存 储 介 质 和 移 动 终 端 ,存 在 被 植 入 后 门 的 风 险 ,攻 击 者 通过激活后门注入病毒或控制设备发起攻击。
(2)在信息内网中存在大量的“电磁辐射”,存在遭 受“辐射攻击”的风险,攻击者通过接收各类设备的辐射 激活后门或注入病毒发起攻击。
行攻击: (1) 采 用 电 磁 辐 射 或 无 线 电 信 号 激 活 漏 洞 。 攻 击
者利用工程手段在硬件设备中事先加入可唤醒的程序 和 指 令 ,并 放 宽 硬 件 设 备 的 信 号 辐 射 标 准 ,使 其 随 时 可 以被探测以便利用,然后通过对设备发送的电磁信号进 行侦收和破译,利用无线辐射病毒激活后门。
图 1 电力系统主要硬件产品厂商情况
2013 年 1 月 ,新 华 通 信 社《参 考 要 闻》发 布 了 题 为 《路 透 社 称 美 实 验 室 以 国 家 安 全 为 由 移 除 中 国 产 设 备》 的 报 道 ,称 美 国 洛 斯·阿 拉 莫 斯 国 家 核 武 器 实 验 室 近 日 以国家安全考虑为由,移除了其信息系统中至少两种由 中国华三通信技术公司生产的网络设备[6]。由此可见国 外实验室对信息系统网络设备安全的重视,结合相关事 件对的启示,国家电网公司组织信息安全实验室对电力 系统信息通信网络设备的应用情况和存在风险进行了 梳理分析。尤以国外网络设备 Cisco 为例,截至 2012 年 底 ,来 自 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心(CN⁃ CERT/CC)漏洞库公开的 Cisco 系列网络设备漏洞就有 165 个,主要涉及的漏洞类型包括拒绝服务漏洞、身份 验证绕过漏洞以及远程控制漏洞,如被利用可导致网络 通 信 中 断 、网 络 设 备 瘫 痪 甚 至 远 程 执 行 恶 意 程 序 等 后 果。同时,国外网络设备可能存在未被发现的安全漏洞 或者事先植入的恶意代码,所以加快实施电力系统网络 设备国产化对于保障网络安全非常必要。
第 18 期
高 鹏,等:电力系统信息通信网络安全及防护研究
147
信网络设备包括 Cisco,IBM,HP,Juniper 等厂商,主要以 Cisco 网 络 设 备 为 主 ,占 国 外 信 息 通 信 网 络 设 备 的 95.82%。使用的国内信息通信网络设备包括 H3C、华为、 迈普、中兴、烽火等厂商,主要以 H3C、华为网络设备为主, H3C 网络设备占国内信息通信网络设备的 65.17%;华为 网络设备占国内信息通信网络设备的 22.48%。
内外信息通信网络设备使用情况;分析国外网络设备在电力系统中的安全风险,表明了电力系统网络的风险以及网络设备
国产化实施的迫切需求;分析电力系统内部网络存在的安全风险;提出了网络设备全过程安全管控的具体措施,为电力系统
网络安全防护提供参考。
关键词:电力系统;网络设备;离线攻击;通信网络设备资源国产化
中图分类号:TN713⁃34
2014 年 9 月 15 日 第 37 卷第 18 期
146
现代电子技术 Modern Electronics Technique
Sep. 2014 Vol. 37 No.18
电力系统信息通信网络安全及防护研究
高 鹏,李尼格,范 杰
(中国电力科学研究院,江苏 南京 210000)
摘 要:随着电力行业信息化建设的快速发展,针对网络安全的研究已成为一个不可忽视的问题。介绍了电力系统国