1、ICS 29.240.01 F21 备案号:16985-2006中华人民共和国电力行业标准化指导性技术文件DL/ Z 981 - 2005 I IEC TR 62210: 2003 电力系统控制及其通信数据和通信安全Power system control and associated communication Data and communication security ( IEC TR 62210:2003, IDT) 2005-11-28发布2006-06-01实施11111JJ!lm111111 DL I Z 981 - 2005 目;欠前言.II 1 范围和目的.1 3 规范性引
2、用文件.1 4 术语、定义和缩略语25 安全问题介绍.66 安全分析过程队.67 本文件安全工作的焦点.13 8 安全隐患.17 9 IECTC切对未来安全防护工作的建议.,到附录AC资料性附录)防护方案是什么.M附录B(资料性附录TASE.2的防护方案26附录c(资料性附录)后果图示例.30 DL/Z981-2005 目IJ 本指导性技术文件是根据国家发展和改革委员会关于下达2004年行业标准项目计划通知(发改办工业2004872号文)的安排制定的。随着计算机、通信和网络技术的发展,电力系统使用计算机、通信和网络技术实现调度中心、电厂、变电站之间的数据通信越来越普遍。同时,由于Interne
3、t技术已得到广泛使用,E-mail、Web和PC的应用也日益普及,随之而来的是病毒和黑客等问题。为此,国际电工委员会57技术委员会(IECTC 57) 对有关电力系统控制的数据和通信安全进行了研究,并于2003年发布了技术报告IECTR 6221。他力系统控制及其通信数据和通信安全。此外,IECTC57还在进行数据和通信安全IEC60870-5安全及导则(57/675/NP)、数据和通信安全端对端网络管理的管理信息基本要求(57/676肘p)、数据和通信安全IEC61850协议集的安全(57/677肘P)、数据和通信安全包含MMS协议集的通信网络和系统安全(57/678刷P)、数据和通信安全包
4、含TCP/IP协议集的通信网络和系统的安全(57/679肘P)等安全文件的研究和编写工作。技术报告IECTR62210电力系统控制及其通信数据和通信安全是该系列文件的第一个。为防止电力二次系统的计算机感染病毒和受黑客攻击,我国对电力系统二次安全防护进行了深入研究,并在此基础上发布了一系列安全防护规定。这些安全防护规定涉及面比IECTR 62210广,内容也更深入。IECTR62210是在通信协议的应用层采取防护措施,与在国的安全防护规定有互补性,对我国电力系统二次安全防护具有指导意义。本指导性技术文件等同采用IECTR 62210: 2003电力系统控制及其通信数据和通信安全。本指导性技术文件
5、的附录A、附录B和附录C是资料性附录。本指导性技术文件由中国电力企业联合会提出。本指导性技术文件由全国电力系统控制及其通信标准化技术委员会归口并负责解释。本指导性技术文件起草单位:国家电力调度通信中心、中国电力科学研究院、国电自动化研究院、福建省电力调度通信中心、华东电力调度通信中心、华中电力调度通信中心。本指导性技术文件主要起草人:南贵林、杨秋恒、许慕梁、邓兆云、姚和平、李根蔚、韩水保、陶洪铸。II 1 范围和目的电力系统控制及其通信数据和通信安全DL/Z981-2005 本指导性技术文件适用于电力部门的计算机化的监视、控制、计量和保护系统。文件涉及这些系统的使用、访问以及内部和系统之间的通
6、信协议有关的安全方面问题。注:本文件不包含与物理安全问题相关的建议或开发准则。本文件讨论了对系统及其运行的实际威胁,举例说明了安全隐患和入侵的后果,讨论了改善目前状况的行动和应对措施,但解决方案将考虑作为将来的工作项目。2 概述安全性和可靠性一直是电力部门中系统设计和运行的重要问题。监视、保护以及控制系统都按尽可能高的安全性和可靠性要求进行设计,已经开发了接近于零的残留差错率的各种通信协议。采取这些措施的目的是为了使危及人体及设备的风险最小,并促进电网的高效运行。对易受攻击对象的物理威胁已经通过传统的方法,即靠封闭建筑物、围栏和警卫等方法处理,但忽略了通过搭接的通信电路伪造SCADA命令跳开关
7、键开关的这种十分可能的恐怖威胁。在目前使用的协议中没有确保控制命令来自授权来源的功能。随着电力市场解除管制又带来新的威胁:了解竞争方的资产和其系统的运行有可能获利,获取这些信息是十分可能的现实。通信协议愈开放、愈标准化,集成到企业的和全球化的通信网络中的通信系统愈多,通信协议和系统就愈需要防范有意或无意的入侵。本文件讨论了电力部门的安全防护过程,涉及企业安全防护策略、通信网络安全以及端对端的应用安全等。整个系统的安全依赖于网络设备的安全,也就是依赖于能通信的所有设备的安全。安全的网络设备必须能进行“安全”的通信并能验证用户的访问级别。对各种入侵攻击的有效检测、记录和处理(起诉)必须作为主动审计
8、系统的一部分。对威胁的分析要基于系统的可能后果,也就是说,如一个非法入侵者既有野心又有智谋,会发生的最坏结果是什么?要把电力部门及其资产的易攻击性与威胁放在一起来分析。在分析了电力部门的各个系统中存在对易攻击点的威胁之后,本文件着重于GB18657, GB 1870 和DL790系列的通信协议,讨论了应对措施。本文件还提出了在这些通信协议中列入安全议题的新工作项目的建议。3 规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方是否使用这些文件的最新版本。凡是不注
9、日期的引用文件,其最新版本适用于本文件。GB 18657 (所有部分)远动设备和系统第5部分:传输协议(IDTIEC 60870-5) GB 18700 C所有部分)远动设备和系统第6部分:与ISO标准和I四T建议兼容的远动协议CIDTIEC 60870-6) DL/ Z 981 -2005 GB厅9387.1一1998信息技术开放系统互连基本参考模型第1部分:基本模型(IDTISO/IEC 7498一1:1994) GB厅9387.2-1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(IDTISO/IEC 7498-2: 1989) DL860 (所有部分)变电站通信网络和
10、系统(IDTIEC61850) DL 790 (所有部分)采用配电线载波的配电自动化(IDTIEC 61334) ISO/IEC 10181一1:1996信息技术开放系统互连开放型系统安全框架:概述ISO/IEC 10181-7: 1996信息技术开放系统互连开放型系统安全框架:安全审计和报警框架ISO/IEC 15408一1信息技术安全技术安全评估标准第1部分:引言和基本通用模式ISO/IEC 15408-2信息技术安全技术IT安全评估标准第2部分:安全功能需求ISO/IEC 15408-3信息技术安全技术IT安全评估标准第3部分安全保障需求4 术语、定义和缩略语下列术语和定义适用于本标准。
11、4.1 术语和定义4.1.1 可追溯性accountability确保一个实体的活动可以被唯一地追溯到该实体的特性。4.1:2 资产asset 对组织有经济价值的任何事物。ISO/IEC TR 13335-1: 1997 4.1.3 真实性authenticity确保一个主体或资源的身份与声称相一致的特性。真实性适用于实体,如用户、过程、系统和信息。4.1.4 违反授权authorization violation 为一个用途而被授权使用某个系统的实体,将该系统用于另一个未经授权的用途。4.1.5 可用性availability 只要被授权实体需要就能访问和使用的特性。IS07498-2: 1
12、989 4.1.6 安全底线控制baseline controls 为系统或组织所设定的最低的安全防护的集合。ISO/IEC TR 13335-1: 1997 4.1.7 机密性confidentiality使信息不被未经授权的个人、实体或过程使用或不泄露的特性。ISO 7498-2: 1989 4. 1.8 数据完整性dataintegrity 使数据不被未经授权方式改变或破坏的特性。2 ISO 7498-2: 1989 4.1.9 拒绝服务denial of service 授权的通信流被有意阻遏。4.1.10 窃昕eavesdropping信息被暴露于监视通信信号的未授权人员。4.1.1
13、1 黑害hack以下一种或多种威胁的组合:违反授权、信息泄露、完整性破坏和伪装。4.1.12 散列函数hash function 将大的(可能非常大的)数值集合的各数值映射到较小数值范围的数学函数。4.1.13 信息泄露informationleakage 未经授权实体获得安全信息或受限制的信息。4.1.14 完整性破坏integrity violation 信息被未经授权实体生成或修改。4.1.15 截获篡改intercept/alter通信包被截获、修改,然后像原通信包一样继续发送。4.1.16 伪装masquerade未经授权实体企图假装可信方的身份。4.1.17 可靠性reliabil
14、ity 预期行为和预期结果一致的特性。ISO/IEC TR 13335一1:1997 4.1.18 重放replay 通信包被记录,然后在不适当的时间再次传送。4.1.19 抵赖repudiation发生信息交换后,交换的两个实体之一否认这次交换或否认交换的内容。4.1. 20 残留风险residual risk 在实施安全防护后剩余的风险。ISO/IEC TR 13335-1: 1997 4.1.21 资源耗尽resource exhaustion 参见“拒绝服务”。DL/ Z 981-2005 3 DL/ Z 981一20054.1.22 风险risk某一给定威胁充分利用一个或一组资产的安
15、全隐患造成资产损失或破坏的可能。ISO/IEC TR 13335-1: 1997 4.1.23 安全审计员或安全审计程序security auditor 被允许访问安全审计的踪迹记录并以此生成审计报告的个人或过程。ISO届c10181一7:1996 4.1.24 安全机构security authority 负责定义、实施或强制执行安全防护策略的实体。4.1.25 安全域securitydomain 安全域是元素的集合、安全防护策略、安全机构以及与一套安全相关的活动。其中元素的集合按照安全防护策略从事指定的活动,安全防护策略由安全域的安全机构管理。4.1.26 安全域机构security do
16、main authority 安全域机构是负责实施安全域安全防护策略的安全机构。4.1. 27 安全令牌securitytoken 安全令牌是由一个或多个安全服务保护的一组数据,与提供这些安全服务使用的安全信息一起,在通信实体之间进行传送。4.1.28 安全相关事件security-related event 已经由安全防护策略规定为可能违反安全或与安全有关的任何事件。达到预定义的界限就是安全相关事件的实例。4.1.29 欺骗spoof 一种或多种以下威胁的组合:窃昕、信息泄露、完整性破坏、截获篡改及伪装。4.1.30 系统完整性system integrity 系统以不受损害方式执行其预定功
17、能的特性,不受有意或无意未经授权的系统操作影响。ISO/IEC TR 13335一1:1997 4.1.31 安全威胁threat 可能产生导致有损于系统或组织的有害偶发事件的因素。ISO/IEC TR 13335一1:1997 4.1.32 信任trust 当且仅当实体X就一组行为以一种特殊方式表现出它依赖于实体Y,就称实体X在这组行为上信任实体Y。4.1.33 可信实体trusted entity 4 DL I Z 981 - 2005 假设己适当地执行各种安全对策的实体。有了这假设,该实体可以有理由免除其他安全对策。例如:一个可信的授权实体声明一个用户被授权可以进行控制,因而不需采用通常
18、需要的质询认证过程。实体可能违反安全防护策略,例如执行安全防护策略所不允许的动作或者无法执行安全防护策略所允许的动作。4.1.34 脆弱性vuJnerability 脆弱性包括资产或一组资产的弱点,它可用威胁说明。 ISO/IEC TR 13335 -1 : 1997 4.1.35 ios m阳町川则肌mmm盯m川四川阳阳OASIS PLC POTS pp RTU SCAD A ST 3中所规定的配置和指导下所Open Access Same-Time Information System (user)Programmable Logic Controller Plain Old Teleph
19、one System Protection Profile Remote Terminal Unit Supervisory Control And Data Acquisition Security Target 明网电压制造报文规范中电压Windows盯,是微软视窗个人计算机操作系统,专为需要先进性能的个人用户或商务而设计开放访问即时信息系统(用户)可编程逻辑控制器普通老式电话系统防护方案远方终端设备监视控制和数据采集安全目标5 DL/ Z 981 -2005 TASE Telecontrol Application Service Element TCP/IP Transmission
20、Control Protocol/lntemetworking Protocol TOE Target of Evaluation TRANSCO Transmission Company VAA Virtual Application Association VOE Vinual Distribution Equipment WAN Wide Area Network 5 安全问题介绍远动应用服务元素传输控制协议网间协议评估目标输电公司虚拟应用关联虚拟配电设备广域网通信和信息安全正成为商业或私有部门信息网络的一个基本要求。对于用通信和信息技术作为关键服务基础设施或关键服务组成部分的部门特别是
21、这样。中断这些服务(例如中断供气、供水、供电可能影响到广大地区及大量的个人和公司。无论在公司内部还是公司之间,通信网络化和信息交换在电力基础设施内正日益普遍。尽管在过去,公用事业部门牢牢把握着他们的信息并且控制着他们通信基础设施的大部分,但这已成为历史。在共享通信网络以及公共网络上信息交换愈来愈多。这种趋势使不可信方(如黑客、低素质的员工和恐怖分子)会考虑采取系统性的攻击。这种趋势以及大量可在攻击中使用的技术,预示着攻击数量会更多,攻击得逞的几率也会上升。注:几乎没有能推导出未来威胁模型或攻击模型的公开的可用信息。然而,这方面信息的缺乏并不意味着没有发生攻击,而只说明公用事业部门检测攻击的工作
22、不到位,或这类攻击的信息没有公开发表。另外,攻击几率不断t升的趋势可能反映财务动机在不断增长(例如由于解除管制)和容易进行攻击(例如由于技术进步)。不像军队那样,计算机或公用事业部门的信息系统和协议的大多数用户基本上或还没有意识到对他们的信息和基础设施的可能威胁。更糟的是,虽然用户有时意识到但不重视着手解决已知的安全风险。目前,偶发事件(检测到的攻击)的次数还相对较低。然而,检测出的攻击日益增多而且已经证实主要基础设施(如煤气、水和电)都是极易被攻击的。可以从多方面考虑安全问题,本文件仅涉及通信安全。它不涉及计算机系统内与信息安全有关的安全问题,而只针对信息通过IECTC 57规定的些协议传送
23、时的信息安全。本文件的使用方法:本文件是用于向IECTC 57及其工作组提出建议,可视为建立新工作项目的基础,而不应视为已经完善。应进步考虑与其他IEC技术委员会CTC)建立密切的联系,这样,他们也能考虑本文件提出的建议。6 安全分析过程本文件的建议将直接影响常规的企业安全防护过程,而且必须以与这个过程一致的方式来构想建议。因此,理解典型的企业安全防护过程的需求以及它们对本文件范围的影响是很重要的。图l描给了那些通常认为是常规企业的安全防护策略,这些企业需要建立相对“安全”的公司基础设施。图1清楚地表明,为了建立安全的企业基础设施,企业安全防护策略必须先由企业管理者制定和采纳。企业安全防护策略
24、的规则涉及安全域、安全域机构、安全审计员(或安全审计程序)的责任规定和指派。此外,一旦企业安全防护策略付诸行动和实施,通常就决定了可接受的残留风险。很明显,企业会制定自己的安全防护策略,不一定要依靠本文件的建议。然而,向企业管理者说明本文件论及的通信协议相关的威胁和后果,却在本文件的范围内。所以,企业安全防护策略应仔细对照本文件的以下部分:6 IT,开发者,厂商安全的网络设备厂商图1常规的企业安全过程a)定义(见4.1):有助于建立一致的词汇表:DL/ Z 981-2005 b)在防护方案(PP)中考虑的特定威胁(见7.2.3):列出了这种威胁的集合及它们的定义,这些在本文件中论及:c)安全隐
25、患(见第8章):涉及己知存在于本文件讨论的通信协议中的通信系统安全隐患:d)安全分析过程(见第6章):也许这是企业安全防护策略编制人员所关心的,但这更应是企业安全防护策略团队其他成员关心的。企业的安全防护策略往往针对某个防护目标层面,因此应使用所关心的章节以有助于对防护目标制订方案,并告知企业的管理者。不管怎样,企业防护目标都要转化为在网络安全、应用安全以及安全网络设备防护过程中的实施策略以及各安全对策。应用安全主要涉及端对端的应用层面的安全。安全防护步骤需要强有力和明确的指导,这样主计算机的应用才只需要一些适当的限制、维护和审计。本文件不讨论基于主机应用的防护技术和方法。在企业安全防护过程中
26、网络安全通常涉及对防火墙和子网的访问。在这个域中的安全防护策略必须解决由一个子网到另一个子网的访问权限问题。本文件对网络安全的企业安全防护策略过程没有任何直接影响。然而,应用的用户和通过远程通信与终端设备和应用批准的权限之间的关系很密切。所以,在制定安全防护策略时主要应考虑以下问题:a)某些应用可能需要根据使用哪台主机或终端来确定安全权限。例如,在SCADA主站中,可以允许任何经认证的终端或用户看SCADA信息,但是,只有位于物理安全(如控制中心)环境中的终端才有权真正控制远方设备或进行远方应用,或改变其配置。制。在以上例子中,即使应用的用户有相应的权限,这权限还会进一步受到执行应用的主机或终
27、端的限b)某些应用可能需要制定它们自己的安全防护策略,虽然这很少见。对不一定能确定应用用户的共享应用尤其如此(如NT的服务)。因此,建议在构建应用安全防护策略时要考虑的层次是:a)能否通过远方应用进行用户认证并把它转换成可用信息:b)用户认证的场所能否确定:c)应用执行的网络位置能否确定。从通信的角度看,最安全的是制定这样的安全防护策略:可以通过远方设备或远方应用来认证用户7 DL/Z981-2005 而不仅认证用于连接的节点。安全网络设备:本文件主要论及可以增强电力部门联网设备的安全性的问题、技术和建议。根据本文件的目的,“联网设备”是指任何能互相通信的设备。本文件的读者应明确,通信系统的总
28、体安全将由联网设备的安全程度来决定,这点很重要。这主要是因为设备是大多数信息的来源,也是能直接影响电力部门服务的实体(例如断开个开关导致了停电)。所以,重要的是这些设备有能力鉴别用户的访问级别。另外,更为重要的是这些设备能成为审计过程的一部分,从而使攻击能被迅速检测、应对和起诉。多数电力部门不愿在安全防护方面开销额外费用,然而安全教育和本文件将论及许多问题,并就为什么说目前实施得不够作有力的陈述。主动审计:作为连续的企业安全防护过程的一部分,对任何一套安全防护策略和实施都必须不断进行监视和修正。如没有能力去审计和分析安全攻击、系统的运行及系统的薄弱点,一个安全的系统最终将变得不安全。为了具备主
29、动审计过程和连续的企业安全防护过程,必须有人专门致力于这项工作。因此,需要对电力部门进行与采取这样措施有关的风险的教育。在还没有遭受一次得逞的攻击之前,要证明这种过程的投入效益,即使不是完全不可能,也是很困难的。需要用如不实施安全防护过程会具有怎样可能风险的代价来证明它。该过程的所有部分都需要仔细研究,并针对特定的环境进行取舍。但是所有方面都需要加以分析,并在某些方面着手解决。6.1 网络拓扑可以用很多不同方式来观察通信拓扑结构。就高层说来,分析信息源和使用者之间的信息流是必需的。见图2。8 客户账户和商务活动图2中有以下几种主要业务实体:图2业务信息流a)客户:这个业务实体代表电力和服务的消
30、费者。有一些为客户期望的服务类型,从出电费账单到电力质量控制作为送电的一部分来提供。客户通常期望以下服务:1)账户和商务活动:包括客户服务、出单和购电售电(电力中介)。在这些活动之间进行信息交换的方法通常是电话、传真或电子邮件。但发展趋势是通过互联网或其他电子商务方法进行信息交换。此外,这些信息交换现在不仅可通过电力部门的业务功能提供,也可由第三方提供。在许多DL/ Z 981 -2005 情况下,两个相互竞争的组织常常可以在同一信息基础设施上和同一客户进行信息交换。2)计量和控制活动:这些活动主要与控制供电和控制送达终端客户的电力质量的通信有关。即使可以委托第三方监视营业表计信息,但抄表是当
31、地配电部门的责任。b)第三方:解除电力行业管制的趋势导致多种业务实体出现,这些实体代理电力部门,执行第三方表计的读数和出单,还提供其他服务。第三方与客户以及电力部门业务功能交换信息,也可能直接监视营业表计和电力的质量。c)电力部门业务功能:这些功能向客户和第二方(按法律要求)提供信息。在解除管制的环境中,可能需要将这些活动的一部分看作相当于第三方。d)电力部门控制功能:这些功能是当前提供的典型的SCADA、EMS、DMS功能。控制功能包括决定发电,配电或电力产品的质量的所有活动。而通信活动的范围包括配电自动化、电力部门到电力部门、电力部门到变电站、电力部门到发电厂等。本文件的主题是确定在IEC
32、TC57范围内使用的通信类型和对这些技术的威胁的影响。然而,许多威胁涉及到通信体系结构和通信拓扑结构中的弱点。在最高层,如图2所示,业务实体之间任何直接或间接的接口点出现安全相关事件的几率都很高。然而,为了保护接口点上己有的信息,以及为了推荐适当的安全防护策略规则,需要讨论这些接口点的实际通信拓扑结构。客户对可能的三种不同的业务实体实际上有两个主要接口点,如图2所示。然而,用于账户活动和商务活动功能的拓扑结构通常基于电子商务或因特网技术(或拓扑结构)。但是,计量和控制功能表现为类似于电力部门所使用的质量、配电、输电、发电和变电站那样的拓扑结构。图3表示连接一个或多个设备或数据源的主通信路径和可
33、选的第二通信路径。这些路径中任何一条都可能是引入安全威胁的接口。对每个接口点,甚至对实际设备,都需评估它的风险。作为安全分析的一部分,协议和通信介质也往往会涉及风险。本技术文件的范围是根据这些因素确定主要威胁的影响,并在此分析基础上提出安全底线控制的建议。1个接口对n个设备接口点图3通常的通信拓扑6.2 基于用户后果的安全分析设备很明显,信息的重要性以及公司因此而愿意为保护信息付出的努力是极具主观性的。信息的重要是由实体或被攻击方根据得逞的攻击对其业务或其利益的后果决定的。为此制订了基于被攻击方和后果的安全分析方法。6.2.1 被攻击方被攻击方的定义是:业务过程会遭受攻击得逞影响的任何实体。对
34、本技术文件。来说,图2中能识别为被攻击方的是:a)发电公司(GENCO):这些业务实体的最终产品是电力,它们在发电设施上常投资很多。b)输电公司(TRANSCO):这些业务实体的最终产品是传输发电公司生产的电能。一般是向配电公司传输电能。输电公司常是发电公司的客户。1)被攻击方和业务过程的定义及叙述可能随区域而不同。详情要向相应的区域管理机构查询。9 DL/Z981-2005 c)配电公司(DISCO):这些业务实体的最终产品是把电能交付给客户。这些被攻击方在很大地域范围内分布有资产及通信的要求,并服务于很多客户。配电公司是输电公司的客户。d)数据汇集者:这些业务实体为每个供电商汇集客户抄表数
35、据,大批量地处理数据,计算支付给每个发电公司、输电公司和配电公司的电能和传输设施的使用费用。e)表计服务提供者:这些业务实体提供安装、维护(表计运行)以及读取客户表计(数据收集)的服务。f)供电商:这些业务实体从批发市场上购电再售给各终端客户,他们的运营不受网络地域限制,并向配电公司支付系统使用费。g)风险管理市场参与者:这些业务实体以出售、交易、中介或其他派生的财务行为而参与市场。派生财务行为的例子是期货、期权、现买现卖、期货的期权、以货易货或设立和交易其他有价证券。他们的目的是控制与前期的电能购销合同相关的电能价格波动和非预期事件的风险。h)终端客户:这些是业务实体或个人,他们购买电能或电
36、力部门的服务,并需确认合同的约定是否在履行。每个被攻击方可能要求来自一个或多个业务活动的信息。因而,为了确定本技术文件应当集中分析的范围,己设计出这些活动的矩阵表。表1是为一般的被攻击方和业务过程考虑的矩阵表。“”号表明某特定被攻击方需要的或能提供的与该特定业务过程有关的信息。被攻击方或业务过程的区域性变化可以通过这些类别的组合形成。表1确定业务过程重要性的矩阵表被攻击万业务过程发电公司配电公司输电公司数据表计供电商风险管理终端客户购电售电 x 发电(包括电力质量)x x x x x 输电(包括电力质量)x x x x x x 配电(包括电力质量) x x x 交易计量(营业抄表)x x x
37、x x 资产管理x x x 节能x x x 信息挖掘x x 第二方资产借用a x 风险管理 x x x a这方面的例子是为用于其他业务过程的资源提供互联网连接。被攻击方并不与业务组织一一对应,这一点对于理解表1是很重要的。例如,似乎应将“”号放在“第三方资产借用”行和“配电公司”列交叉点的方块中,因为具有配电公司作用的业务组织会对借出它的配电线路(例如用以承载消息通信)感兴趣。然而,提供消息传送市场的业务活动是供电商的活动,不是配电公司的活动。这样,即使该业务组织或许被认为是配电公司而不是供电商,“”号还是在“供电商”列中,而不在“配电公司”列中。10 根据对被攻击方利害关系和业务过程的分析,
38、需要防护的最重要的业务过程是:a)发电:b)输电:c)供电:d)交易计量;e)资产管理:f)节能。6.3 需要考虑的后果DL/ Z 981 -2005 为了进行基于后果的安全分析,要确定被攻击方和他们的业务实践需考虑的主要后果。对于在IEC厅C57中被推荐为今后安全工作的焦点的那些业务过程,需要考虑的主要的后果的类别是:财务、资产破坏及降级,以及无法恢复服务。6.3.1 财务类后果财务类后果包括导致个被攻击方财务损失或另一个被攻击方获益的任何活动。财务后果也受到资产损失或资产降级的影响(见6.3.2)。产生财务后果的活动或事件如下:6.3.1.1 收入损失收入损失可能由以下些因素引起:a)不断
39、增加的竞争例如,由于被攻击方的系统缺乏安全防护,竞争者合法地或非法地入侵被攻击方的市场。这也可能是被攻击方本身信息泄漏的结果。b)客户流失可能由于以下事件而使被攻击方的客户不稳定:一一一合同争议:一一定价无竞争力:一一缺乏信任,例如由消费者信用低引起:一一服务的可靠性降低:一一JG交付服务的能力:一一对市场波动和趋势的反应迟缓:一一对消费需求的反应迟缓。c)无能力赢得客户被攻击方可能因为与上述类似的原因而不能赢得客户,例如对市场波动和趋势的反应迟缓、定价无竞争力等。不能赢得客户也可以由客户流失,信誉败坏导致。6.3.1.2 收益率降低收益率可能由于以下原因降低:a)产品资源成本上升:b)现金周
40、转困难。这可能由于一些事件引起:例如内部人士的电力期货交易买空卖空,对账单数据库的攻击导致无法开账单等。6.3.1.3 篡改生产数据和消费数据可能由于以下原因引起:a)抄表信息错误,例如故意篡改消费数据或生产数据:b)需求预测错误:c)在汇集或开账单时改动计量信息;d)信息丢失。6.3.1.4 人为的股票价值降低以上任何活动或事件都可以导致股票价值降低,然而也有其他违法事件可以人为地引起股票价值变动:a)谣言;11 DL I Z 981 - 2005 b)分析人员的预测。6.3.2 资产破坏或降级本类后果包括所有因无法完成资产所需要的服务或运作而有意地或无意地导致资产破坏或降级的活动。这类活动
41、或事件有:a)不恰当的资产运作:b)不恰当的资产维护;c)没有得到适当的保护或安全防护:d)人力资源过度消耗。可能会受到攻击并应成为分析的组成部分的典型资产有:a)电力系统资源(电力线路、变压器、发电机、母线等):b)控制系统CSCADA,EMS等):c)抄表系统(数据来集、表计等):d)信息系统(例如OASIS)。表2表明了这些资产和它们的信息与具体的业务过程的关系。另外,表中也注明了己知的有关IEC技术委员会CIECTC)。表2资产与业务过程的关系发电机电力线变压器开关设备抄表值EMS SCAD A CIEC CIEC CIEC CIEC (IEC 信息系统资产的业务过程CIEC CIEC
42、 TCxx) TC 38) TC 14) TC 17) TC13) TC57) TC57) CIEC CIEC CIEC CIEC CIEC (TC ) TC57) TC57) TC 57) TC 57) TC57) 购电售电1 1 1 1 发电(包括电力质量)过1 1 1 1 斗1 输电(包括电力质量)1 1 1 1 1 1 1 配电(包括电力质量)1 1 1 1 1 1 1 交易计量(营业抄表)1 1 1 1 1 资产管理斗1 1 1 1 1 1 1 节能1 1 1 1 1 信息挖掘1 1 1 第二方资产借用1 1 1 风险管理1 1 1 6.3.3 无法恢复服务本类后果包括有意或无意地导
43、致被攻击方无法维持必需服务的各种活动。导致这种情况的活动或事件有:12 a)相关服务或运行必需的信息丢失:b)由于对电网状态理解不正确而导致信息错误:c)资产损失或降级(参看6.3.2);d)人员动作不恰当(或不动作):e)不能对收到的正确信息作出反应(例如数据泛滥):f)通信容量耗尽:g)其他资源枯竭。6.4 后果和安全威胁现在已经定义了进行基于可能业务后果的安全分析的必要条件。它们是:a)确认在通信环境中的被攻击方:b)确认与被攻击方有关的业务过程:c)确认对业务过程会产生不利影响的后果:d)确认能使后果成为现实的事件。如攻击得逞,下一步是确定能使后果成为现实的安全威胁。图4给出了“无法恢
44、复服务”后果的一部分的示例分析。DL I Z 981 - 2005 图4表明“资产损失”能导致无单如服务(归来。义步是分析什么事件或什么事件序列会导致“资产损失”。会导致“资产损失”的事i非列可他服务”或“违反授权”的工缸逞琐的后果。,hrii 坠口至少要检测)的那些主要安全威胁,需作出更详细更完整的后果图。7 本文件安全工作的焦点如要对IECTC 57主持下所有协议进行全面的安全分析,并提出防护措施建议,需要编写数量惊人的文件。另外,发布本文件有时间限制,只能对一些重点进行分析。因此,本文件的重点在于采用各种IECTC 57协议的通信框架时,被认为是最易受攻击的范围,以及可以最大程度降低风险
45、的防护措施。为了确定本文件的重点,下面按照通信模型简要说明通常考虑的威胁和风险。所考虑的通信参考模型为OSl7层通信参考模型(ISO/IEC 7 498一1)。13 DL/ Z 981 -2005 7.1 应用层安全焦点的论证应指出,根据后果分析,可能需要应对不同的各种攻击。然而,一般安全技术或防护技术通常适用于以下几层:物理层、传输层、应用层。对通信模型安全矩阵表的仔细研究表明,在应用域或用户域内适当采用安全功能,就可以应对绝大多数可能发生的典型的安全威胁。另外,只有在应用层的采取安全防护措施,才能使未经授权的访问和非法使用带来的安全风险降到最低。表3详述了己知的与OSI层儿个通信功能有关的典型安全风险。本技术文件将着重于应用层的安拿问题。建议将来进行更低层的工作,考虑从传输层开始。表3通信模型安全矩阵表层通信功能典型风险典型安全攻击伪装信息泄漏a
