发电和水行业的网络安全最终用户和供应商该如何应对安全问题.PDFVIP

白皮书 发电和水行业的网络安全 最终用户和供应商该如何应对安全问题 本手册主要阐述以下内容：系统的网络安全一直没有得到足够的 2. 标准化—正在进行中 重视，提高网络安全性，任重道远。各种不同的标准带来了行业迷 目前，开放式标准在控制系统行业受到了很大关注，原因是多方面 局，对此我们会给出务实的建议供最终用户以及供应商参考。最 的。对运行寿命达几十年的系统而言，只有开放式标准才能保护用户 后，我们将以欧洲一家发电厂作为真实案例做出标准评估。 投资，降低系统技术被荒废的风险。例如：开放式通讯协议提高了不 同供应商产品之间的相互可操作性；不同供应商之间的产品可以相互 替代，所以产品之间的兼容性也相应提高。使用开放式安全标准，可 1. 简介 以减少不同产品信息不对称给用户读取数据带来的困难，降低用户的 近年来，工业自动化和控制系统 （IACS ）的网络安全问题备受行业 交易成本。业内目前正在进行大量的标准和规定的制定工作，但其目 关注。虽然系统受到攻击的确凿数据并不多，IACS 已公开的漏洞也 的不尽相同。 相对较少，但业内专家一直认为，IACS的网络安全性有待加强[1], [2], [3], [4]。NERC CIP 这类规范就是在这种情况下产生的；同时也出现 1. 一般情况下，一个国家制定规范的目的在于确保该国所依赖的关 了像ISA99/ IEC 62443 及IEC 62351 这类致力于提高工业网络安全 键基础设施的持续可靠运行，即安全运行。监管部门一般通过奖 水平的标准[5]。尽管如此，工业标准所肩负的任务还远远没有完成， 励遵守者，或惩罚违反者来推行规范。后者的应用更多一些此类 适用于所有标准和规范的通用方法也还未出现。而且，我们不能简单 网络安全规范有：ENERC CIP，主要适用于北美的电力行业，以及 地把已装系统更换成配有安全设计的新系统。即便已装系统还可以 CFATS，主要针对美国境内的特殊化学品。 有更多改进，但安全问题仍然不能很好的解决。 2. 有一类标准是由委员会制定统一认可的最低标准，希望以此来提 本文将详细阐述相关工业标准和规定的价值及作用，提高网络安全 高行业的安全水平。但是，制定这些标准的机构并没有强制执行 性将面临的困难，建设工业网络安全过程中各主体的责任，以及应如 标准的权力。标准只有在被规范引用之后，才具有强制力。因此， 何提高已装系统的安全水平。最后，我们将向您展示一个应用现有标 这些标准通常用于自我约束（如，某一行业推行了标准，不遵守 准，与用户共建安全网络的实际案例。 标准的就会被市场排挤），一般由相关利益团体，如行业协会，从 国家或国际层面发布。此类标准包括用于控制系统安全的 ISA99 标准，BDEW （德国联邦能源和水资源协会）的《安全控制与电力 通讯系统要求》白皮书，以及DHS 控制系统网络安全获取语言。 发电和水行业的网络安全 最终用户和供货商该如何应对安全问题 3. 另一类标准的目的是实现系统安全功能之间的相互操作。这些标 欧盟FP7资助的ESCoRTS 项目编撰了一个包含37 个标准和规范的 准通常会设定通讯协议，或通讯协议的安全功能。建立这些标 手册[6] ，描述了每个标准所解决的问题、适用的范围及其状态，并对 准的机构通常是国际工业协会，或者专业的标准化组织，如 ISO 每个标准作了简单的评述。该手册虽然还没有 100% 完成，但其长度 和 IEC1，或特殊技术的用户团体，如 DNP 用户组。同样，这些 已经体现了现有标准和规范的数量之多。 标准只有被监管部门引用之后才具有强制力。这类标准包括 EC62351 系列，及DNP 安全规范。 虽然现有