基于国密技术的 工业系统远程通信安全防护 技术方案 2019年1月
1 基于国密技术的 工业系统远程通信安全防护 技术方案 2019年1月
目录 前言 2、方案概述. 3、系统方案 31、系统现状 32、安全风险 32、设计依据 33、分区要求 34、防护策略 4456789 3.5、防护结构 36、通信流程 10 4、技术介绍 11 4.1、主站通信安全网关 42、远动通信安全终端 4.3、安全隔离装置 13 5、相关认证
2 ⽬ 录 1、前言.......................................................................................................3 2、方案概述................................................................................................3 3、系统方案................................................................................................4 3.1、系统现状 4 3.2、安全风险 5 3.2、设计依据 6 3.3、分区要求 7 3.4、防护策略 8 3.5、防护结构 9 3.6、通信流程 10 4、技术介绍..............................................................................................11 4.1、主站通信安全网关 11 4.2、远动通信安全终端 12 4.3、安全隔离装置 13 5、相关认证 ............................................................................................. 15
1、前言 工业控制系统是国家安全战略的重要组成部分,一旦工控系统出现信息安 全漏洞,将对工业生产和国家经济安全造成重大隐患。为保障我国工业控制系 统的安全稳定运行,国务院下发了《关于大力推进信息化发展和切实保障信息 安全的若干意见》,工业和信息化部发布了《关于加强工控系统信息安全管理 的通知》,文件强调“工业控制系统系统信息安全事关工业生产运行、国家经 济安全和人民生命财产的安全,必须切实加强工业控制系统信息安全管理。” 为了保障电力系统配电网安全稳定运行,国家电监会颁发了《电力二次系 统安全防护总体方案》,国家电网公司制定发布了《关于加强配电网自动化系 统安全防护工作的通知》,文件明确“防止通过公共网络对子站进行攻击,造 成用户供电中断;防止通过公共网络和用户终端入侵主站,造成更大范围的安 全风险”的目标,并着重强调:配电网自动化系统主站与子站及终端应当使用 认证加密技术进行安全防护 当前,监控类系统远程通信普遍缺乏有效的工业安全防御和数据通信保密 措施,系统数据通信大都采用标准规约,并用明文方式传送,中间传输过程非 常容易被截取,通信通道被渗透并且篡改运行命令等,这将导致控制命令或敏 感数据的暴露从而使网络安全威胁进一步加大,基于国密技术的远动通信安全 防护方案,可以有效解决上述问题。 2、方案概述 本安全防护方案遵循国密规范并使用国密SML/SM/SM3算法,安全防护系 统由主站远动通信安全网关和远动通信安全终端两部分组成,采用基于数字证 书进行身份认证,结合数据加解密及网络隔离技术,在主站侧及终端设备测均 釆取安全防护措施,实现对远程通信系统数据报文的真实性、完整性保护,抵
3 1、前言 工业控制系统是国家安全战略的重要组成部分,一旦工控系统出现信息安 全漏洞,将对工业生产和国家经济安全造成重大隐患。为保障我国工业控制系 统的安全稳定运行,国务院下发了《关于大力推进信息化发展和切实保障信息 安全的若干意见》,工业和信息化部发布了《关于加强工控系统信息安全管理 的通知》,文件强调“工业控制系统系统信息安全事关工业生产运行、国家经 济安全和人民生命财产的安全,必须切实加强工业控制系统信息安全管理。” 为了保障电力系统配电网安全稳定运行,国家电监会颁发了《电力二次系 统安全防护总体方案》,国家电网公司制定发布了《关于加强配电网自动化系 统安全防护工作的通知》,文件明确“防止通过公共网络对子站进行攻击,造 成用户供电中断;防止通过公共网络和用户终端入侵主站,造成更大范围的安 全风险”的目标,并着重强调:配电网自动化系统主站与子站及终端应当使用 认证加密技术进行安全防护。 当前,监控类系统远程通信普遍缺乏有效的工业安全防御和数据通信保密 措施,系统数据通信大都采用标准规约,并用明文方式传送,中间传输过程非 常容易被截取,通信通道被渗透并且篡改运行命令等,这将导致控制命令或敏 感数据的暴露从而使网络安全威胁进一步加大,基于国密技术的远动通信安全 防护方案,可以有效解决上述问题。 2、方案概述 本安全防护方案遵循国密规范并使用国密SM1/SM2/SM3算法,安全防护系 统由主站远动通信安全网关和远动通信安全终端两部分组成,采用基于数字证 书进行身份认证,结合数据加解密及网络隔离技术,在主站侧及终端设备测均 采取安全防护措施,实现对远程通信系统数据报文的真实性、完整性保护,抵
御外部对远程通信系统发起的恶意破坏和攻击,保证主站系统和终端的信息安 全,降低和杜绝网络风险,减少信息安全事故隐患。 本安全防护方案总体设计符合国家密码管理机构的技术要求,与采用软件 算法(AES+RSA)的方案相比具备更高的安全强度,能满足远程通信系统安全 防护的实际需要 3、系统方案 3.1、系统现状 远程通信系统通常采用逐级组网结构,即由远程监控中心、当地监控系统 及分机控制器等组成,集团数据中心需要远程接收当地监控系统或者终端监控 设备的运行数据报文,通信介质为开放网络或互联网络。 远程通信系统通信架构如下: 远程监控中心 GPRS无线 测地1 监测地 终端 端}终端 终端 端!1终端 终端!终端!{终端
4 御外部对远程通信系统发起的恶意破坏和攻击,保证主站系统和终端的信息安 全,降低和杜绝网络风险,减少信息安全事故隐患。 本安全防护方案总体设计符合国家密码管理机构的技术要求,与采用软件 算法(AES+RSA)的方案相比具备更高的安全强度,能满足远程通信系统安全 防护的实际需要。 3、系统方案 3.1、系统现状 远程通信系统通常采用逐级组网结构,即由远程监控中心、当地监控系统 及分机控制器等组成,集团数据中心需要远程接收当地监控系统或者终端监控 设备的运行数据报文,通信介质为开放网络或互联网络。 远程通信系统通信架构如下: 终端 终端 终端 终端 终端 终端 终端 终端 终端 监测地1 监测地2 监测地3 GPRS无线 远程监控中心
图1、远程通信系统架构 3.2、安全风险 在当前的远程通信系统通信结构中,主要的网络安全风险有三个方面, 如下图所示: 远程监控中心 监控室 值班员站 值班员站 通信服务器 商用交换机 服务器 冗余服务器 工业交换机 工业交换机 <..GPRS无线公网网络 1、渗透潜入攻击。 2、窃听控制篡改命令 采集终端 采集终端 采集终端 采集终端 采集终端
3.2、安全风险 图1、远程通信系统架构 在当前的远程通信系统通信结构中,主要的网络安全风险有三个方面, 如下图所示: 远程监控中心 监控室 值班员站 值班员站 通信服务器 商用交换机 服务器 冗余服务器 工业交换机 工业交换机 GPRS无线公网网络 1、渗透潜入攻击。 2、窃听控制篡改命令 采集终端 采集终端 采集终端 采集终端 采集终端 5
图2、远程通信系统网络风险分布图 1、窃听远程控制:由于当地监控系统与远程采集终端之间采用互联网方 式通讯,并且采用自定义通信协议明码传输,没有进行严格的身份识别,报 文很容易被伪造,攻击者通过窃听系统通信规约,然后篡改或重放控制指令 数据 病毒木马传播:由于当地监控系统与互联网存在直接接口,因此病毒 木马有可能进入监控系统,可以利用网络协议漏洞进行拒绝服务攻击,使主 机过载从而使通信瘫痪,同时一旦用户名与密码等泄露,攻击者就可接管后 台软件并发出非法控制指令。 3、针对规约攻击:以公网为窃听与攻击平台,首先窃听监控系统通信规 约,然后篡改或重放控制命令数据,导致系统设备误操作或失控,从而引起 系统安全事故。 上述风险带来的后果,轻则造成远程通信系统的功能失效,重则导致终 端及监控系统设备停止工作,引起设备运行安全事故。 3.2、设计依据 1)《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国 家经贸委[2002第30号令; 2)《电力工业中涉及的国家秘密及具体范围的规定》,电力工业部和 国家保密局1996年发布 3)《工信部451号文》关于工业信息系统安全防护建议 4)《监控系统安全防护规定》(发改委14号令)国家发展和改革委员 会2014年发布
图2、远程通信系统网络风险分布图 1、窃听远程控制:由于当地监控系统与远程采集终端之间采用互联网方 式通讯,并且采用自定义通信协议明码传输,没有进行严格的身份识别,报 文很容易被伪造,攻击者通过窃听系统通信规约,然后篡改或重放控制指令 数据。 2、病毒木马传播:由于当地监控系统与互联网存在直接接口,因此病毒 木马有可能进入监控系统,可以利用网络协议漏洞进行拒绝服务攻击,使主 机过载从而使通信瘫痪,同时一旦用户名与密码等泄露,攻击者就可接管后 台软件并发出非法控制指令。 3、针对规约攻击:以公网为窃听与攻击平台,首先窃听监控系统通信规 约,然后篡改或重放控制命令数据,导致系统设备误操作或失控,从而引起 系统安全事故。 上述风险带来的后果,轻则造成远程通信系统的功能失效,重则导致终 端及监控系统设备停止工作,引起设备运行安全事故。 3.2、设计依据 1) 《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国 家经贸委[2002]第30号令; 2) 《电力工业中涉及的国家秘密及具体范围的规定》,电力工业部和 国家保密局1996年发布。 3) 《工信部451号文》关于工业信息系统安全防护建议 4) 《监控系统安全防护规定》(发改委14号令)国家发展和改革委员 会2014年发布 6
5)《国家能源局关于印发监控系统安全防护总体方案》(发改委14号 令配套文件、国能36号文)国家能源局2015年发布。 3.3、分区要求 根据《国家能源局关于印发监控系统安全防护总体方案》的相关要求, 主要包含控制区、非控制区和管理信息大区,相关分区主要包括以下业务系 统和功能模块。 控制区:监控系统、无功电压控制、发电功率控制、升压站监控系统、 继电保护和相量测量装置(PMU)等。 非控制区:预测系统、状态监测系统、采集装置和故障录波装置等。 管理信息大区:天气预报系统、检修管理系统、和管理信息系统(MIS)
5) 《国家能源局关于印发监控系统安全防护总体方案》(发改委14号 令配套文件、国能36号文)国家能源局2015年发布。 3.3、分区要求 根据《国家能源局关于印发监控系统安全防护总体方案》的相关要求, 主要包含控制区、非控制区和管理信息大区,相关分区主要包括以下业务系 统和功能模块。 控制区:监控系统、无功电压控制、发电功率控制、升压站监控系统、 继电保护和相量测量装置(PMU)等。 非控制区:预测系统、状态监测系统、采集装置和故障录波装置等。 管理信息大区:天气预报系统、检修管理系统、和管理信息系统(MIS) 等
根据以上要求可以看出,监控系统如需要通过公网或者电信运营商公网网 络连接需要部署通道加密装置,在非控制区与管理信息区需采用专用隔离装置 连接。 3.4、防护策略 按照相关信息安全防护要求,结合远程通信系统的实际情况,建议采取的 安全防护策略如下 (1)将当地监控系统内网与公网进行有效网络隔离 (2)在通道建立过程中基于证书身份验证 (3)采用密文传输,保证通信数据的机密性、完整性、不可否认性
根据以上要求可以看出,监控系统如需要通过公网或者电信运营商公网网 络连接需要部署通道加密装置,在非控制区与管理信息区需采用专用隔离装置 连接。 3.4、防护策略 按照相关信息安全防护要求,结合远程通信系统的实际情况,建议采取的 安全防护策略如下: (1) 将当地监控系统内网与公网进行有效网络隔离。 (2) 在通道建立过程中基于证书身份验证。 (3) 采用密文传输,保证通信数据的机密性、完整性、不可否认性。 8
数据通信加密与身份认证的技术手段如下: (1)采用基于国产对称密码算法(国密SM1)实现远程监控系统主站与终端 之间的数据加密通信 (2)采用基于国产非对称密码算法(国密SM2)的数字签名机制实现终端 与主站的双向接入身份认证。 (3)采用国密 IPSEC ESP协议实现对下行和上传报文的安全保护,包括加 密、完整性校验及抗重放攻击 (4)对监控系统主站及终端进行统一安全管理。密钥安全管理具备便于维 护与管理的特点,不会因局部安全问题影响整个系统的安全性。 3.5丶防护结构 根据远程通信系统的情况,建议安全防护结构如下: 远端数据采集单元 中央控制室(安全区1) △她 值班员站 离装置 理 马 信 自 网 镜像服务器 服务器 冗余服务器 光纤网络 ;(安全区|1)
9 数据通信加密与身份认证的技术手段如下: (1) 采用基于国产对称密码算法(国密SM1)实现远程监控系统主站与终端 之间的数据加密通信。 (2) 采用基于国产非对称密码算法(国密SM2)的数字签名机制实现终端 与主站的双向接入身份认证。 (3) 采用国密IPSEC ESP协议实现对下行和上传报文的安全保护,包括加 密、完整性校验及抗重放攻击。 (4) 对监控系统主站及终端进行统一安全管理。密钥安全管理具备便于维 护与管理的特点,不会因局部安全问题影响整个系统的安全性。 3.5、防护结构 根据远程通信系统的情况,建议安全防护结构如下: 安全终端 隔离装置 远端数据采集单元 1 GPRS网 络 中央控制室(安全区I) 1 值班员站 值班员站 通信服务器 2 隔离装置 管 理 信 息 网 镜像服务器 服务器 冗余服务器 光纤网络 (安全区III) 终端安全
图3、远程通信系统安全防护架构1 1、在 远程监控系统前置网段增加一台远动通信安全网关,每个远端釆集终端 通过远动通信安全模块无线连接,主站远动通信安全网关与终端安全终端 配合,共同实现远程通信系统的数据加解密、身份鉴别、报文完整性保护 和抗重放攻击功能。 2、为保证当地监控系统内网与公网隔离,通过隔离装置实现安全隔离, 以防病毒木马通过管理网对监控系统内网的数据渗透。 3.6丶通信流程 远程监控系统主站对采集终端下行信息尤为重要,但是未经防护的主站下 发的控制指令采用开放通信规约,以明文的形式通过公网介质进行传输,数据 没有得到安全有效的保护,可能被冒充主站对终端进行非法操作。同理,终端 发送的上行数据如未作安全保护措施,可能被黑客恶意仿造大量上行数据(重 放攻击),影响主站前置机正常处理数据能力,甚至会影响主站控制指令执行 的生成判据。本系统方案防护流程示意图如下 Internet 监控系统 采集终端网 新增加的头PSec头被封装的原始P包 10
10 图3、远程通信系统安全防护架构1 1、在 远程监控系统前置网段增加一台远动通信安全网关,每个远端采集终端 通过远动通信安全模块无线连接,主站远动通信安全网关与终端安全终端 配合,共同实现远程通信系统的数据加解密、身份鉴别、报文完整性保护 和抗重放攻击功能。 2、为保证当地监控系统内网与公网隔离,通过隔离装置实现安全隔离, 以防病毒木马通过管理网对监控系统内网的数据渗透。 3.6、通信流程 远程监控系统主站对采集终端下行信息尤为重要,但是未经防护的主站下 发的控制指令采用开放通信规约,以明文的形式通过公网介质进行传输,数据 没有得到安全有效的保护,可能被冒充主站对终端进行非法操作。同理,终端 发送的上行数据如未作安全保护措施,可能被黑客恶意仿造大量上行数据(重 放攻击),影响主站前置机正常处理数据能力,甚至会影响主站控制指令执行 的生成判据。本系统方案防护流程示意图如下: 安 全 采集终端 网 关 公网地址 承载协议 隧道协议 私网地址 乘客协议 监控系统 Internet 安 全 终 端 新增加的IP头 IPSec头 被封装的原始IP包