0引言
电力是人民生活、经济进步不可或缺的必需品,美国作为世界第一大经济体,提供可靠的电力供应是维持社会稳定、保证经济社会平稳发展的必然要求。但随着通用网络与信息技术在电力系统中的使用,病毒、网络攻击给电力生产带来了信息安全风险,尤其美国部分落后地区电网基础设施陈旧,测控与保护系统缺少安全防护机制,一旦遭受信息安全攻击,不仅造成本地区的电力故障,还可能影响北美地区的电力供应。2003年美国东北部和加拿大部分地区发生大面积停电就是典型的连锁反应事故。随着美国智能电网建设的推进,更加开放与友好的电网让美国的电力供应面临更多威胁。2009年的美国黑帽大会上就有人演示验证了蠕虫可以在24h内感染智能电表,使1.5万户家庭电力供应陷入瘫痪[1]。针对基础设施信息安全的严峻形势,美国联邦政府下属多个机构都对电力系统的信息安全给予高度重视,投入资金进行相关的研究与标准制定工作,经过近10a的发展,美国政府相关部门在工业控制尤其是电力系统信息安全防护方面,先后经历了交流研究、立法规范、推行标准和当前的智能电网安全试点投资建设阶段,目前信息安全工作已经取得了一定的成果,发布的标准和指南被世界范围内电力行业信息安全相关工作人员参考和使用。
本文在对美国电力行业信息安全相关政府部门和标准组织的工作进行总结的基础上,对影响力比较大的法规、标准、及相关指导文件进行了解读,并分析了美国电力行业信息安全工作的特点。
1美国电力行业信息安全管理模式
1.1美国电力行业信息安全研究与管理组织结构
美国联邦政府对电力系统的信息安全工作极为关注,国会发布多项法案,赋予下属多个部门管理权利与相关职能。在电力企业与机构信息安全监管方面,遵循已有的电力企业监管方式,授权联邦一级的联邦能源管理委员会(FederalEnergyRegulatoryCommission,FERC)监管包括信息安全标准在内的电力可靠性标准的推行。在电力行业信息安全研究与指导方面,美国能源部(DepartmentofEnergy,DOE)下属多个能源实验室从事信息安全的研究,研发的信息安全防护措施与技术直接用于电力相关示范项目中。在信息安全标准化方面,商务部下属美国国家标准技术研究院(NationalInstituteofStandardsandTechnology,NIST)致力于工业控制系统安全标准和智能电网信息安全标准的制定,形成了大量研究成果,为电力企业实施信息安全防护提供了指南。此外,美国国土安全部(DepartmentofHomelandSecurity,DHS)负责信息安全威胁分析与信息安全事件的应急响应,每年都组织包含电网等基础设施在内的大规模信息安全演练。
1.2国土安全部
美国国土安全部(DHS)是美国联邦政府的一个内阁部门,主要职责包括保护美国免受恐怖组织的攻击,同时在发生自然灾害时进行紧急响应。
DHS在2006年、2008年和2010年分别进行了3次网络风暴(cyberstorm)演习。网络风暴演习模拟美国关键基础设施遭受大规模网络攻击时,网络应急响应团体中各政府部分与相关企业联合应对的情况,旨在检测并加强政企合作的网络防灾和响应能力。
DHS还负责控制系统安全项目(controlsystemssecurityprogram,CSSP)的执行,通过联邦、州、地区政府部门和工业控制系统所有者、运营商和厂商的共同努力,降低关键基础设施面临的信息安全风险。项目下设工业控制系统联合工作组(industrialcontrolsystemsjointworkinggroup,CSJWG),为联邦机构内所有关键基础设施和重要能源部门(criticalinfrastructureandkeystructures,CIKR),以及工业控制系统私营企业提供交流的渠道,加速设计、开发和部署安全的工业控制系统,持续加强利益相关者在信息安全工作方面的合作。
1.1 能源部及相关单位
1.3.1美国能源部
美国能源部(DOE)是美国联邦政府的能源主管部门,主要负责制定和实施国家综合能源战略和政策。具体职责包括:收集、分析和研究能源信息,提出能源政策方案,制定能源发展与能源安全战略,研究开发安全、环保和有竞争力的能源新产品等。在推进电力安全防护工作方面,DOE在2003年就提出了《保护SCADA系统信息安全的21步》,还资助美国电力科学研究院(ElectricPowerResearchInstitute,EPRI)和多个能源实验室进行电力系统信息安全风险与防护技术的研究。
1.3.2美国联邦能源管理委员会
美国联邦能源管理委员会(FERC)是一个内设于美国能源部的独立监管机构,前身是成立于1920年的联邦电力委员会(FederalPowerCommission,FPC)。委员会的主要职责是负责依法制定联邦政府职权范围内的能源监管政策并实施监管,具体包括监管跨州的电力销售、批发电价、水电建设许可证、天然气定价和石油管道运输费。
《2005年能源政策法案》授权FERC监督主干电网强制可靠性标准的实施。2007年7月,FERC批准由北美电力可靠性组织(NorthAmericanElectricReliabilityCorporation,NERC)制定的《关键设施保护》(criticalinfrastructureprotection,CIP)标准为强制标准,要求各相关企业执行,旨在保护电网,预防由于薄弱的访问控制、软件漏洞或其他控制系统漏洞而导致的信息系统攻击事件的发生。1.3.3北美电力可靠性协会北美电力可靠性组织(NERC)是一个非营利性组织,其前身是1968年6月成立的国家电力可靠性委员会(NationalElectricReliabilityCouncil,NERC)。1965年发生美国东北部大停电之后,各电力企业为促进北美电力传输的可靠性、保证电网输电能力,联合成立了该委员会。1981年由于加拿大和墨西哥的加入,NERC改名为北美电力可靠性协会(NorthAmericanElectricReliabilityCouncil)。NERC的主要工作包括组织制定电力系统运行标准、监督和推进标准的执行、评估系统的能力和提供培训服务。NERC还对重大的电力系统故障进行调查和分析,以防类似事件的再次发生。NERC的成立极大地推动了电力系统可靠性理论的研究及其在工程实际中的应用,同时也带动了世界各国电力可靠性管理工作的开展。
《2005年美国能源政策法案》提出成立“电力可靠性组织”(electricreliabilityorganization,ERO),制定并推行强制可靠性标准。2006年,NERC被授予该职能。2007年,NERC正式更名为北美电力可靠性组织。NERC发布的一系列CIP标准,被FERC认证为强制标准,在美国50个州和加拿大部分省份强制执行。美国的电力公司一旦违反这些标准,将被处罚最高每天100万USD的罚金。
1.4美国电力行业信息安全标准研究与制定机构
1.4.1美国国家标准技术研究院
美国国家标准与技术研究院(NIST)是美国商务部下属非监管联邦机构,其前身是1901年成立的美国国家标准局(NationalBureauofStandards,NBS),1988年更名为美国国家标准与技术研究院。
NIST的职责是指导美国使用已有和新兴的信息技术来满足国家在社会、经济和政治等方面的要求。根据《2002年联邦信息安全管理法案》,NIST加强了信息安全标准、指南和相关技术的研究,完成了NISTSP800系列出版物。其中,NISTSP800-82《工业控制系统安全指南》和NISTSP800-53《联邦信息系统推荐安全措施》2份出版物与电力工业信息安全密切相关。
根据《2007年能源独立与安全法案》,NIST“主要负责协调开发一个包括协议和信息管理的模型标准框架,实现智能电网设备和系统的互操作性”。为了完成法案提出的要求,NIST制定了3阶段的工作计划,以快速建立一套最初的标准,并形成有效的工作流程,随着技术的革新持续对标准进行制订和实施。NIST为商业和其他智能电网利益相关者提供了一个开放的公共交流平台,通过该平台,相关人员可以对已有的标准进行识别,分析缺失的标准并提出亟需制定的标准。目前NIST已发布了NISTIR7628《智能电网信息安全指南》。
1.4.2国际自动化协会
国际自动化协会(InternationalSocietyofAutomation,ISA)成立于1945年,是一家全球性的非盈利组织。主要从事自动化行业技术标准化工作。除了制定标准,ISA还从事认证、培训、会议组织、技术刊物出版等工作。
ISA的前身是美国仪表协会,2000年随着研究范围的扩大,更名为美国仪器、系统和自动化协会,后在2008年又更名为国际自动化协会。ISA下属ISA99委员会从事包括电网调度系统在内的工业控制系统的信息安全标准化工作,目前正在制定ISA99《工业自动化与控制系统安全》标准系列。
2美国电力行业信息安全工作主要成果
2.1关键设施保护CIP标准
2.1.1CIP标准的制定过程介绍
目前在全美强制推广的CIP标准最初名称是NERC1300,2005年NERC对NERC1300进行了更新并更名为CIP,分为CIP002-009共8个部分草案。CIP编制的目标是保证电网的可靠运行,覆盖对象包括供电公司、发电厂、电网运营商等电力企业。2006年4月,在经过4个版本的讨论与修改后,CIP标准第1版发布,同时发布了符合性实施计划[1'实施截止日期根据企业的不同定在2009—2010年之间。
2007年7月20日,FERC针对NERCCIP标准发布了一份《公共制定规则通知》[11],将NERCCIP作为强制性标准进行推行,但对标准的8个部分提出了59项修改内容,要求CIP在2009年前进行修改。2008年末,CIP的修改进入了实质性阶段,在2009年9月末发布了CIP第2版,即CIP002-2至CIP009-2。但在标准的执行过程中,针对CIP执行效果不佳的问题,NERC对CIP标准要求进行了细化和调整,2011年1月发布了CIP第4版。
2.1.2CIP标准内容介绍
NERCCIP标准的核心部分是CIP-002至CIP-009,8个要求部分分别覆盖资产识别、安全管理、人员管理、访问控制、物理安全、系统安全、应急响应与灾难恢复,具体内容描述见表1。在提出要求的基础上,NERC制定了符合性实施计划,将标准的执行分为了资产评估、基本符合、符合和通过审计4个阶段,对不同的电力企业制定了不同的执行时间表和审计截止日期,电力企业在审计截止日期之前将CIP中要求的材料提交到NERC或州代理权威机构。
2.1.3CIP标准存在的问题
尽管CIP作为全美强制推行的第一个电力系统信息安全标准,已经在管理层面取得了重大突破,但是CIP在内容上仍存在很多不足。
首先,CIP-002《关键网络资产识别》中只要求电力企业自己选用风险评估方法识别重要的信息资产,而且倾向于防护基于通用网络技术的信息系统主机、终端,但对于继电保护装置、测控装置、变压器等重要的电力系统组件,CIP中却没有提到。电力企业可以根据自己的评估方法接受一定的信息安全风险,自主确定需要保护的资产。但是在实际操作中,很多电力企业都声称在进行了风险评估之后,没有需要保护的重要资产。比如在美国东南最大的一个区域,所有电力企业(包括核电在内),都认为他们的发电系统对电网的可靠性没有影响,系统满足#-1定律,单一故障并不影响整个系统的稳定性,所以这些系统不属于重要资产[12]。但是他们并没有考虑到安全故障同时发生的情况。试想如果多个电站控制系统中都被植入了木马,而且同时发作,出现的状况将不亚于2003年的东北大停电。2009年4月,NERC的副主席兼首席安全官向NERC提交了一封信,信中称70%的美国电厂都认为自己的系统不是NERC的关键系统,30%的输电资产也被所属电力公司认为是非关键资产,而由于CIP没有覆盖配电,所以100%配电系统都不属于关键资产[13]。FERC在《公共制定规则通知》中对CIP的宽松条款表示不满,要求NERC重新考虑修改事宜,经过多版更新,目前的CIP第4版中虽然对资产进行了更近一步的定义,但是发电厂的资产基线设定值高达1500MW,仍有很多的发电设备将在防护要求之外,而且标准依旧没有考虑配电设施。
其次,CIP标准中要求的安全机制都是适用于商用信息系统的防病毒、安全配置等通用措施,主要用于解决调度中心的服务器和工作站的安全问题,而不是防护电厂和变电站的现场设备的。但对于目前美国变电站和电厂中的大部分现场控制器和可编程逻辑控制器(programmablelogiccontroller,PLC)等众多计算机处理能力低、结构简单的设备,这些措施则无法实施。而且,随着智能电网的推行,底层设备的智能化而引入的信息安全风险也是CIP标准必须面对的问题。
再次,CIP标准没有考虑配电系统和电力市场交易系统。配电的监控系统也是连接在NERC的调度通信网上的,配电监控系统的安全同样影响电网的安全。开放接入实时信息系统(openaccesssame-timeinformationsystem,OASIS)作为市场交易系统的一种,就在CIP的管理范围之外,它们一边连着EMS/SCADA系统,另一边就连着互联网,对电网的安全构成极大威胁。
根据NERC2011年3月发布的标准符合度情况统计数据,从2010年起,各电力企业和机构的CIP不符合项以每月100个的速度增长,而且这些不符合项中超过一半都还没有整改。CIP标准本身的缺陷和推行不力问题,使得美国国内很多专家对CIP是否真的能够提升全美电力系统的信息安全水平产生了巨大质疑。
2.2 NISTSP800-53和NISTIR7628
2.2.1 NISTSP800-53介绍
在美国国会将NERCCIP提升为强制要求的过程中,信息安全界始终有呼声推举安全防护覆盖面更广的NISTSP800-53作为强制标准。
NISTSP800-53是为了支持《2002年联邦信息安全管理法案》而制定的,该法案要求所有联邦机构都开发、记录并实施信息系统安全项目。作为法案实施的一部分,NIST提出了“风险管理框架”,将法案相关的标准和指南进行整合,帮助各机构制定实施信息安全项目,在法案的要求下,所有的联邦机构都必须强制执行。NISTSP800-53是“风险管理框架”的基础,其中包含管理、操作和技术3类安全控制措施(图2),为机构实施信息安全项目提供了基本信息安全控制点。
2.2.2 NISTIR7628介绍
在美国政府将智能电网列入国家重点发展产业的同时,NIST为智能电网信息安全战略规划发布了一份报告NISTIR7628《智能电网信息安全指南》。作为国家层面智能电网信息安全防护战略规划与指南,NISTIR7628中提出了一个普适性的框架,电力企业可以根据该框架制定基于自身特征、风险与脆弱性的信息安全战略规划。而相关的电力设备厂商和管理部门也可以将该报告中的安全措施作为工作指南的基本素材。
NIST编制NISTIR7628的目的是对NISTSP1108《智能电网互操作标准框架与路线图》进行补充。NISTSP1108提出信息安全是需要优先解决的标准工作专题,NISTIR7628在此基础上,对智能电网的信息安全进行了深入的分析,提供了用于指导智能电网风险管理的相关内容。NISTIR7628的编制工作自2009年3月启动,经过了多轮公开讨论与修改,第3版最终在2010年8月发布。
NISTIR7628报告第3版全文分为3个分册。第1分册描述了用于识别高层安全要求的风险评估步骤,提出了智能电网概念模型和7个智能电网域、域中以及域间接口的逻辑接口架构,并将这些接口分为了22类,对每一类接口制定了高层安全要求。在第1分册的最后对智能电网系统与设备中的加密与密钥管理问题进行了讨论。第2分册主要对用户的隐私问题进行了讨论。报告中对智能电网中新技术、个人信息、社区信息、人们在居所中的行为、电动汽车的使用情况等信息涉及的隐私问题进行了分析。根据被普遍使用的隐私原则,建议电力企业对智能电网业务流程中的包含个人信息的数据流进行跟踪,将隐私风险降到最低,另外还建议电力企业对用户和相关人员进行智能电网隐私风险的培训,指导他们降低此类风险。第3分册是对前2册中提出高层安全要求的需求分析和其他相关资料的汇编。其中包含脆弱性分类方法和报告编制采用的“自下向上”的安全分析方法。此外,还包含了智能电网信息安全新技术研发专题,指明了保证高层可靠性与安全的技术方向。最后,对识别和梳理智能电网信息安全标准的过程进行了描述。
NISTIR7628最大的贡献之一是形成了智能电网的安全要求指南,这些安全要求的内容主要是出自NISTSP800-53附录I中工业控制系统的安全要求,是对NIST之前工业控制系统安全研究成果的继承。尽管这份报告内容翔实丰富,且对于实际防护具有指导意义,但与NISTSP800-53遭遇的尴尬境地一样,美国政府想在电力行业内推行NISTIR7628中的要求仍需要长时间的考量和多方利益的权衡。
2.3 ISA99和旧C62443的推进
除了政府层面从保卫国家基础设施安全的角度关注电力系统以及智能电网的安全防护外,安全厂商、监控系统与设备制造商也意识到了电力系统的安全产品与解决方案市场潜力巨大,在基于原有信息安全技术提供测控系统及设备附加安全服务的同时,厂商通过参与民间电力系统信息安全技术标准化工作来占领技术制高点,扩大影响力,提升自身竞争力。
ISA下属ISA99委员会从事工业控制系统的信息安全标准化工作,正在制定的标准系列ISA99《工业自动化与控制系统安全》未来将被IEC等同采用为IEC62443《工业通信网络一网络和系统安全》。
ISA99委员会在其工作计划中提到,未来《工业自动化与控制系统安全》系列标准包含有常识与术语、安全项目的建立与运行、系统的等级与要求和终端设备的技术要求等4部分内容,标准结构见图3。
在ISA99委员会进行标准制定的同时,ISA下属安全合规性委员会(ISAsecuritycomplianceinstitute,ISCI)成立了嵌入式设备安全保证(embeddeddevicesecurityassurance,EDSA)认证项目,提出了嵌入式设备安全功能要求、嵌入式设备开发要求和嵌入式设备网络协议健壮性要求等一系列嵌入式设备测评准则和流程文档,在一定程度上为嵌入式设备的厂商提供了设备安全功能指南。
设备与系统安全机制的标准化和对电力通信规约的安全改造标准化,可以从底层直接实现系统建设与更新过程中安全技术的产业化集成,对提高电力系统的安全风险抵御能力具有重要意义。ISA99委员会早在1997年就发布了工业控制与自动化信息安全技术的报告,是最早进行相关研究的组织之一,因此业界一直对由厂商和研究机构组成的ISA99委员会寄予巨大期望,希望该委员会制定的标准能够从本质上提高工业控制系统的信息安全技术防护能力。在欧洲和亚洲具有巨大影响力的IEC的加入,也为ISA99在全球的推广提供了有力的支持。但是由于工作量巨大,标准工作组内部组织不力,ISA99标准的编制工作进展缓慢,目前还没有成型的实质性成果发布。
3美国电力行业信息安全工作的特点
3.1 厂商掌握核心信息安全技术
由于美国信息技术发展起步较早,美国IT厂商掌握着大量信息安全的核心技术,而且信息安全的标准化工作都主要是美国有实力的厂商主导。以目前唯一发布的电力系统信息安全技术标准,电力规约通信安全标准IEC62351[2Q]为例,IEC62351-3《包含TCP/IP协议的安全规范》中使用的方法为“传输层安全协议”(transportlayersecurity,TLS)[21],TLS协议是Certicom公司1999年在Internet工程任务组(Internetengineeringtaskforce,IETF)提出的。另外,Cisco、Microsoft等国外公司都掌握大量通信信息安全核心技术。
除了掌握核心技术知识产权,大量美国厂商还引领着信息安全技术的发展方向。随着电力监控终端的处理能力的提高和一次设备的智能化,设备自身面临的安全风险逐渐增多,大量自动控制系统生产厂商都在致力于将信息安全功能作为设备的增值能力,意图从系统底层奠定智能电网信息安全的基础。全球嵌入式及移动应用软件制造商WindRiver于2011年2月宣布与全球最大的专业安全技术公司McAfee达成一项战略合作协议,针对各类非PC设备,尤其是嵌入式及移动设备,共同开发、营销专属的安全防护解决方案并提供相关支持。
3.2 国家层面电力安全项目扶持力度大
美国联邦政府安排多个部门从事电力系统信息安全的相关工作,并对工业控制系统安全研究、智能电网标准化和企业技术研发项目提供强大的资金支持。早在2004年,DHS就向11家小公司提供了10万USD基金进行包括入侵检测系统(intrusiondetectionsystems,IDS)和密码算法在内的SCADA系统安全相关研究。2005年,为支持研究机构从事SCADA系统安全研究,DHS和NIST共同出资850万USD作为由Sandia实验室领导的信息架构保护协会(instituteforinformationinfrastructureprotection,I3P)2a期的研究经费。2007年,DOE向5个项目提供了790万USD进行电网以及其他能源基础设施的安全设备集成与先进技术应用。2009年底奥巴马提出政府将拨款34亿USD带动美国智能电网建设,2010年美国能源部为10个智能电网信息安全项目提供了3040万USD作为资金支持。2009年底确定的智能电网示范项目中很多项目都不同程度地包含信息安全的工作,其中DOE提供850多万USD示范项目基金,采用波音公司的军用级别信息安全软件技术改进区域输电系统计划与运行软件。美国多个部门连续在财年预算中提供工业控制和电力系统信息安全的项目基金,鼓励企业和学术机构从事相关的研究和研发工作,当前美国在电力系统信息安全方面的国际领先地位与政府的大力扶持密不可分。
3.3 电力行业信息安全监管力度较弱
美国在电力行业市场化进程中,随着民间资本的流入,政府对电力企业的监管控制程度都不同程度地降低了。在信息安全工作方面,尽管多部门齐抓共管,但在实际工作中国家层面各政府部门并不能强制要求电力企业如何进行信息安全防护工作,主要措施还是提供信息安全防护标准、指南,并且通过推动标准、指南的产业化应用逐步实现电力企业安全防护能力的提升。虽然FERC在强制推行CIP标准,但CIP的强度与我国的《电力二次系统安全防护规定》及配套方案相比,在控制力度和技术措施细度方面存在巨大差距,即使贯彻实行,也难以达到防御集团式攻击的能力。而且,FERC的监管权利有限,只能被动等待电力企业上报自审结果,并不具备有力的强制性监管方式,即使电力企业对实际标准执行工作敷衍了事,FERC也无可奈何。
3.4 电力企业信息安全工作基础较差
在电力市场竞争中,大部分美国电力企业更关注经济效益。由于受到20世纪90年代电力改革的影响,部分州的电网运营商利润被挤压,高额负债无法偿还、设备无法更新、电网老化严重和数字化程度低等现状严重制约美国电网的发展。在这样的形势下,企业投资者不愿意也没有资金从事信息安全防护工作。虽然近几年国家加大了这方面的资金投入,但对于大量的电力企业来说,信息安全的经验积累和意识转变仍需要时间。
在IT基础设施方面,大部分美国电力企业不具备用于生产控制业务的专用网络,仍使用互联网实现生产控制系统的广域连接,使得控制系统暴露在互联网上,为电网的生产控制引入巨大的风险。而且,目前各公司对信息安全工作的理解和重视程度不同,设定的信息安全防护目标和实现的防护效果也差异很大,防护薄弱的节点必然会成为整个北美互连电网抵御信息安全攻击的“短板”。
4结语
为保障国家基础设施的安全,抵御来自恐怖分子和敌对国家的信息安全攻击,美国政府很早就提出了信息安全深度防护战略,而且多个部门开展电力系统信息安全防护工作,立项研究、组织交流、模拟攻击演练,提高全行业以及国会对电网安全的关注,提升相关企业和公共事业部门工作人员的信息安全意识。科研机构与标准化组织在国家的扶持下,进行了系统调研、威胁分析、措施筛选和技术开发工作,并发布了多份引领国际电力系统信息安全防护水平的出版物,强制或指导电力企业提高信息安全防护能力。但由于管理体制的因素,无法建立上下统一的监管体系,使得相关标准没有得到切实贯彻执行。而且,电力企业在没有直接经济效益的信息安全防护工作上投入严重不足,虽然国家拥有国际领先的防护技术,也无法在行业推行应用。通过对美国电力行业信息安全工作现状的分析得出,要全面提升国家电力系统的信息安全防护水平,需要有力的监管体制与工作机制,先进适用的技术标准与方案,还要电力企业高度的信息安全
