一、安保
安保程序提供了对人员生命和财产的安全和保护。执行发电、输电和配电系统的责任范围要超出原来,扩展至数据中心。入侵者可能有意或无意造成某条线路使能,危及生命。同样,一条线路可能失能,也会造成传输和控制系统的损坏,危及雇员和公众的安全。
使用多种新信息通信技术使网络的安保问题更为复杂,网络漏洞可以用网络通信的安保评估检测发现。很多组织已经针对网络安保进行了多年研究,总结出了分析报告和应用指南。特别是北美电气可靠性公司(NERC)发布了关键基础架构保护(CIP)可靠性标准和国家标准和技术研究院(NIST)牵头成立了网络安保工作组(WG)。
物理安保也需要得到关注。至少在四个方面:1)环境设计,2)机械和电子访问控制,3) 侵入检测,4)视频监视。物理安保不在这个指南过多涉及。数据私密和网格安保涉及到现存于所有三种智能电网基础架构的远景中,这在相关的电力、通信和信息网络中讨论。
商业驱动正在趋向自动决策,取代人工判断,所以ICT基础架构越来越影响电力系统结果的可靠性。新型智能电网的多种特性使电力系统非常依赖ICT基础架构,需要各种连接相互依附与适应,实现不同功能和应用的集成。
ICT的这种进化也暴露出电网运行和商业程序的弱点,可能会遭受攻击以及操作失误、设备失效和自然灾害等负面影响。做为要求,电网应该具有深度的弹性,抵御诸如安保和安全事故发生,并且具有积极预防、及时检测和快速恢复的能力。
电力系统具有独特的绩效和可靠性需求。通常,在老式和分散的现场设备中,只有有限的计算、存储和通信能力,安保功能仅在商业应用中部署,在电力系统中使用的不够充分。很多老式电子设备(LED),采用慢速的串行连接,而且在控制系统的通信协议中,如SCADA常用的Modbus协议或分布网络协议(DNP3)缺少安保功能,也没有部署传统的ICT安保。
安保是一种端到端的要求。它要确保重要基础设施和关键资源的验证访问控制,授权访问保密的市场和用户数据,可靠与及时地得到设备状态通知,可靠的关键系统备份和审计能力,对至关重要事件的检测和重建,按深度的多重安保能力和数据跨网的一致性互操作。
做为结果,电力基础架构正在把原来的电力互连系统转变为复杂的、有多样性、相互连接、相互独立又相互适配的系统。如NERC CIP法规要求和来自其他工业与标准组织的应用指南,鼓励对这种复杂系统实施安保,针对老式的基础架构进行设计、测试、部署和运行。
安保和保护具有在运行和商业系统两个方面的要求。特别能够区分攻击和错误类型,不同的性能指标和组织策略具有不同的安保要求。最小的基础架构应具有动态部署、信任虚拟安保、侵入保护系统和非常规保护系统。已有自上而下和自下而上的智能电网安保分析方法。NIST和其他组织正使用这些方法评估用于智能电网的安保技术,像访问控制、验证和加密等。
二、安保分类
联邦信息处理标准199(FIP)的使用起着一个重要作用,在没有人员和资产的危险时,要确保系统的可用性。使用基于危险的分析方法,按生命周期对系统进行评估是一个起点。安保的等级取决于组织的需求。
对通信系统或系统本身的不同数据流,需要指定一个安保类别,由一个链接或特定系统的影响等级组成。这通常与使用的区域划分相关。安保类别按三类安保对象:机密性、完整性和可用性的影响分成了三个等级,低(L)、中(M)或高(H)表示了对安保对象在组织运行、组织资产或个人影响的大小,有了一个对安保对象区域(比如每个安保对象区域,影响等级可能是L、M或H)划分的概念。安保类别的指定可以按表中内容进行初评,由组织按用例、已有架构或需要认证来确定,或者按关键架构的保护来识别。(见表)
[DividePage:NextPage]
表-对安保对象可能影响定义
三、安保的原则与智能电网的实践
安保管理包括危险管理、信息安保计划和策略、程序、标准、指南、基线、信息分类、安保组织和安保培训。这些元素构成了一个组织安保项目的基础。安保项目的目的是保护人员和资产。资产可以是有形的(计算机、设备、设施、供给),也可以是无形的(声誉、数据、知识产权)。
设计和实施智能电网的安保项目,应采用一种系统方法,满足商业需求并保护组织及应用。每个组织应该建立自己的网络安保策略,并把它做为实施整体安保项目的一部分。
开发安保项目的应用指南已经由ISO 17799提出,这是最通用的国际标准,源自英国的BS 7799标准。新的系列标准:ISO/IEC 27000安保系列标准,已做为参考标准加入到NIST智能电网网络安保策略和要求文件之中。ISO/IEC 27000包含了信息安保标准,由国际标准化组织(ISO)和国际电工委员会(IEC)共同颁布。
下面是ISO/IEC的安保系列标准,可以用于实施安保蓝图中的项目:
? ISO/IEC 27000 — 信息安保管理系统 — 概述和词汇;
? ISO/IEC 27001 — 信息安保管理系统 — 要求;
? ISO/IEC 27002 — 用于信息安保管理实践的规则;
? ISO/IEC 27003 — 信息安保管理系统实施指南;
? ISO/IEC 27004 — 信息安保管理 — 测量;
? ISO/IEC 27005 — 信息安保危险管理;
? ISO/IEC 27006 — 对信息安保管理系统提供审计和认证机构的要求;
? ISO/IEC 27011 — 基于ISO/IEC 27002电信组织的信息安保管理指南;
? ISO/IEC 27033-1 – 网络安保概述和概念。
关于ISO/IEC 27000系列标准和正在开发新标准的更多信息可以在ISO/IEC网站查询: ()。
在图1的蓝图中(来自ISO/IEC 17799)展示了安保方案、程序和组件,组织可以把它用于评估安保流程是否完整,是否满足商业要求。蓝图可以按用户要求进行定制,满足组织提出的要求。比如,如果某组织不用身份管理,就不需要这方面的安保项目。
[DividePage:NextPage]
图1 — 映射安保和商业要求的蓝图
四、安保流程
实施完整的智能电网、信息安保需要独特的安保流程。
信息安保由防止非授权使用、误用、更改或拒用数据等方法组成。关键的信息安保程序见图2,包括:
1. 危险评估。使用评估决定组织信息资产的价值,信息披露的危险,可能出现的漏洞和整个危险对组织的重要性。按照危险管理的方法完成评估。
2. 策略与规划。策略定义了怎样实施安保。策略定义了适当的机制保护信息和系统,以及物理安保。包括的方面诸如:技术类型、最佳实践、预防测量、人员素质、事故响应、行政管理等。
3. 实施和部署。组织实施要有相应的奖惩措施,保证安保策略、标准和测量产生实效。
4. 培训。基本知识培训应成为一种常规机制,为雇员提供必要的安保知识。
5. 审计。这个功能确保控制是按策略正确地配置与执行,并且这个过程能够监视。随着审计过程的完成,新一轮的评估过程又将开始,周而复始地不断优化。
图2— 安保流程的连续周期
[DividePage:NextPage]
五、安保工程
针对安保工程的需要,特别是智能电网的要求。安保工程要求考虑下面每个任务的安保:
a) 用户要求定义了系统期望的任务目的、环境、约束和测量有效性和适应性。需要回答的问题包括:
1) 操作的分配和部署:系统在哪儿使用?
2) 任务的内容和情节:系统怎样完成任务的目标?
3) 系统绩效和KPI:哪些是系统完成任务的关键参数?
4) 利用环境:怎样使用不同的系统组件?
5) 有效性要求:系统执行任务的有效性或效率是多少?
6) 运行生命周期:用户使用系统的年限是多少?
7) 环境:期望系统有效运行的环境是什么?
b) 功能要求描述了什么工作必须做,按照需要完成的任务、行动或行为来鉴别。
c) 非功能要求描述了诸如可伸缩、互操作、性能等,使用特定的标准而不是用行为来判断功能的执行。
d) 绩效要求描述了必须执行任务的效果;需要测量的内容有数量、质量、覆盖、时间线或准备情况。在该要求分析期间,绩效要与所有基于系统生命周期的相关功能交互;根据评估结果决定确定性等级,根据成功与否决定危险性等级,以及与其他要求的关系。
e) 设计要求描述了构建、使用和购买产品的要求,以及如何执行在技术手册中表述的过程。
f) 派生要求描述了由高级用户扩展或转换的要求。
g) 分配要求描述了如何把一个高级要求分解成多个低级要求。
h) 安保要求描述了信息技术系统和工业控制系统需要:
1) 防止服务和生产的中断;
2) 防止非授权对系统和信息的更改;
3) 防止非授权对系统和信息的披露。
在电力系统的特定情况下,扩展的安保要求包括下面服务:
- 预防、遏制和恢复服务;
- 串级事件发展;
- 由不恰当的本地行为加重了扰动/噪音;
- 调整应答;
- 近于实时、瞬间响应;
- 不规则检测和通知服务;
- 恢复和返回服务;
- 事件收集和跟踪服务。
安保目的通常针对信息安保的属性:
- 机密性;
- 整体性;
- 可用性。
安保要求分为下面部分:
- 功能要求有:
- 决定逻辑和物理数据结构;
- 定义用户角色;
- 决定访问需要;
- 对数据访问映射用户;
- 定义数据访问标准;
- 确定数据所有者;
- 确定安保策略;
- 定义用于特殊商业方案(如门户、控制、市场等)的安保要求。
- 保证要求有:
- 决定关注(数据保护等级)的等级;
- 决定数据的安保概率;
- 决定安保数据对商业的影响。
因此,用于智能电网系统的安保工程要保证在各种威胁的面前系统是可靠的。系统和应用对错误必须具有弹性。另外,安保工程在二十一世纪的责任是确保系统在不断进化和面对各种威胁时能够保护系统。
(罗克韦尔自动化 华镕)
京公网安备 11011202001138号
