输电设施的网络安全边界防护
蓝天掩映下的高防护等级变电站. Sources: Alleksander/iStock/Getty Images
摘要
这个文章由三部分组成,它讨论了输电设备网络边界安全防护相关的要求、安全架构和控制措施。虽然输电运营商大多数已经部署了这些网络安全控制系统,但国家网络安全和通信集成中心(NCCIC)的工业控制系统网络应急准备小组(ICS-CERT)仍然将网络安全边界防护确定为主要问题。本文探讨了为什么网络边界防护难以正确和一致地执行,以及在评估网络边界防护系统时要检查的区域。同时,还提出、分析和更新网络安全边界防护装置和配置的若干示例以解决问题。
第一部分介绍了“应急准备小组”报告中列出的六个指标中的第一个:工业控制系统(ICS)网络安全边界防护不足。
第二部分探讨了报告中的下列指标,以及应采取哪些措施来减轻相关风险:
» 工业控制系统与企业网络或不受信任的网络(如互联网)没有逻辑分离
» 没有专用的跳转服务器来提供对工业控制系统数据的访问
第三部分讨论了报告中概述的以下三个指标,以及应采取哪些措施来减轻相关风险:
» 为跳转服务器和企业网络使用相同的用户身份验证凭据。
» 允许“边界穿越设备”的通信流(端口和服务)太多。
» 非军事区(DMZ)提供的安全服务不足,无法支持工业控制系统系统补丁和更新。
本文最早发表于“2018年,CIGRE美国国家委员会未来电网研讨会”。
第一部分
电力传输设施的基本安全控制之一是网络安全边界防护的设计和部署。北美电力可靠性公司NERC的“关键基础设施保护”(CIP)标准CIP-005-5详细介绍了用于定义“网络安全分区”(ESP)的要求。此要求适用于对大系统(BES)具有较高或中等影响的输变电设施,以及相关的、具有路由协议的、可连接的网络资产。
在NERC CIP-005-5的指南和技术基础上,NERC为网络安全分区提供如下功能:
» 定义大电力系统网络的安全防护分区。
» 为电力公司提供标准化定义,以确定哪些系统或网络资产必须在保护范围内,以及它们必须满足哪些要求。
» 定义相关联网络资产必须满足特定关键基础设施保护要求的范围。
» 定义对大系统影响最大部分的网络安全边界,及其必须满足的分区内安全防护要求(最高等级的安全防护)。
过去,安全网络设计有许多经验参考来定义其边界。1994年,Bellovin和Cheswick将“安全域”定义为一组受共同管理控制的机器,具有共同的安全策略和安全级别。这个定义今天仍然适用。
既然在全球范围内已经安装了数百万个边界防护设备,并其存在也有相当长的时间,为什么网络安全边界防护会称为“国家网络安全和通信集成中心的应急准备小组”在执行安全评估时确定的主要问题?其2016年报告中描述了如下一些指标:
» 工业控制系统网络的网络安全边界防护不足。
» 工业控制系统与企业网络或不受信任的网络(如互联网)之间没有逻辑分离。
» 没有专用的跳转服务器来提供对工业控制系统数据的访问。
» 为跳转服务器和企业网络使用相同的用户身份验证凭据。
» 允许边界设备的通信流(端口和服务)太多。
» 非军事区(DMZ)提供的安全服务不足,无法支持工业控制系统系统补丁和更新。
在这里,我们探讨第一个指标,以及应采取哪些措施来减轻相关风险。本文的第二部分将探讨另外两个指标。
网络安全边界防护不足
第一个指标表明,在许多情况下,网络安全边界防护配置不正确,并允许从其他安全分区(如企业网络)甚至可能允许与Internet连接的设备进行过多访问。
要审查的第一个领域是变电站网络上存在的接入点的数量、位置和类型。此接入点配置取决于通信类型和协议以及操作要求。例如,输电设施通常具有用于SCADA信息的主备两个通道,并且在某些情况下,它们可能必须提供对数据点子集的第三方访问。图1显示了这种潜在配置的一个简单示例。
图1:简单的变电站网络图
在此示例中,我们确定了两个潜在的接入点——防火墙以太网端口和远程终端单元(RTU)上的串行端口。有几个区域需要其他信息来确定此配置的真实风险级别:
» 防火墙配置
» 调制解调器和RTU配置
» 物理访问
防火墙需要正确配置以保护变电站网络免受未经授权的访问。防火墙应配置为仅允许从公司有限数量的预定义设备进行网络访问; 在理想情况下,只允许通过额外身份验证和远程访问流量加密的跳转服务器的访问。
所有对防火墙配置的更改必须确保通过管理过程审核和批准。无法跟踪系统的所有更改是安全系统随着时间的推移变得不那么有效的一个主要因素。
防火墙还应限制变电站网络所需的网络端口和服务。例如,如果没有允许,那么对变电站网络上的设备进行HTTP或HTTPS访问就应该被禁止。
防火墙本身通常需要管理控制台与远程位置的各个防火墙设备之间的通信。了解防火墙设备之间需要哪些服务以进行操作并确认需要这些服务非常重要。防火墙可能具有一组默认启用的隐含规则,通常不会显示在活动防火墙规则的管理控制台视图上或操作员控制台上。请仔细检查您的防火墙配置,例如:
» 接受控制连接
» 接受更新连接
» 接受动态路由更新
» 接受域名服务
» 接受Web连接以进行防火墙管理
全面了解防火墙系统的管理体系结构对于维护所有接入点的安全配置至关重要。某些防火墙具有应用于特定控制台或实例管理的所有设备的全局参数,而其他实现定义了需要针对启用的每个单独设备或软件功能进行自定义的参数。配置管理过程提供检查和平衡,以确保防火墙设备保持正确配置。
验证您的防火墙设计和维护过程是否确实需要所有已启用的服务,并禁用所有不需要的服务。
调制解调器和RTU配置应该要求身份验证以建立拨号连接。虽然连接可能看起来只是SCADA数据,但应检查RTU上的配置以确定是否可以通过拨号连接进行远程访问。某些RTU和串行协议允许同时传输数据和控制命令。
最后,对变电站、控制网络的物理访问控制是一项主要的安全设计要求——否则知识渊博的攻击者可以快速访问许多设备或安装自己的远程访问设备,以便以后远程控制网络。
第二部分
没有工业控制系统网络的逻辑分离
第二个指标讨论了工业控制系统网络与公司或其他网络甚至互联网之间缺乏逻辑分离的问题。虽然这可能听起来像以前的指标,但在防火墙逻辑网络隔离之外还包含其他几个元素。
逻辑网络隔离可涉及网络中多个位置、若干不同的设计元素。随着新技术发展,几乎在传统分层网络模型的每一层都实现了虚拟化。因此,重要的是要审查每一层的逻辑隔离。
在以太网中,逻辑隔离从数据链路层开始。如美国国家标准与技术研究院(NIST)SP 800-82 R2开发的工业控制系统安全指南所示,VLAN可以在第二层为工业控制系统网络提供逻辑分离和隔离流量。工业控制系统网络不应在其设计中使用默认VLAN,因为添加到网络的许多设备将默认为VLAN 1,因此可能直接接入系统变为活动状态。
在许多现代变电站网络中,以太网网络用于承载IEC 61850协议流量,其中包括使用通用面向对象变电站事件(GOOSE)的对延时敏感的继电保护和控制功能,因此虚拟局域网的正确设计和分离( VLAN)对于正常运行至关重要。VLAN应按操作功能分组,参与与特定功能关联的GOOSE消息传递的所有设备应属于相同的VLAN和服务等级优先级,以避免时间延迟问题。
大多数网络交换机允许定义端口和VLAN访问控制列表,或允许VLAN成员资格的禁用端口列表。建议使用这些机制来限制物理端口的VLAN成员资格,以最大限度地减少设备配置错误和VLAN上流量不当的可能性。与前面描述的防火墙管理任务一样,强大的配置管理过程有助于确保正确地配置了网络交换机。
来到网络层,我们引入了在局域网之间路由流量的传输。这是防火墙和路由器将网段进行安全分区的传统位置。路由网络是NERC CIP标准中的一个重要区别,并强调了与可路由网络协议相关的额外风险。
第三层网络安全边界防护的一些基本架构和设计选择包括:
» 默认拒绝所有网络流量,并通过白名单允许网络连接,以确保只允许批准的连接。
» 在工业控制系统安全域和所有其他安全域之间定义非军事区(DMZ)。本文的第3部分——“支持工业控制系统系统维护的安全服务不足”详细介绍了该体系结构。
» 仅允许需要批准和定期审核的特定、预定义源和目标地址之间的通信。
» 禁用控制和故障排除服务和协议,如SNMP和DNS。
» 根据组织的运营优先级,将防火墙和路由器等边界设备配置为在预定状态下完全禁用。
» 使用与公司网络寻址根本不同的、单独网络地址来配置工业控制系统安全域设备。
在传输层和应用层,重点应放在纵深防御上,并提供操作系统和应用软件的安全配置。由于本系列的重点是网络安全边界防护,因为工业控制系统安全域中可能安装了大量操作系统和应用软件包,因此没有具体细节。但是,有一些架构元素可以应用于传输层和应用层:
» 开发并实施一组有效的策略,过程和流程,用于描述和管理工业控制系统安全域的安全程序。
» 在整个工业控制系统系统中实施最小特权原则。仅配置实现系统操作要求所需的通信和应用程序访问和功能。例如,通常不需要允许操作员帐户进行配置更改,或允许保护继电器直接与收费表通信; 因此,应该有一个访问控制列表或防火墙规则,以防止这种类型的通信发生。作为相应的问题,如果在网络上检测到这种类型的访问或流量,则应立即调查原因,因为恶意代码可能正在尝试配置或与将响应的任何设备通信。
» 实施和实施配置和变更管理流程,为所有硬件和软件配置提供审核和批准元素,并帮助维持可接受的风险级别。
» 实施积极的补丁和漏洞管理程序,以评估,检测和修补工业控制系统安全域中所有元素的漏洞。
» 实施广泛的安全监控系统,包括网络安全监控,集中日志管理以及安全事件和事件监控。
没有用于工业控制系统访问的专用跳转服务器
在许多情况下,防火墙规则被定义为允许员工从任何远程位置访问工业控制系统安全域并连接到设备以提供故障排除和其他维护功能的最大灵活性。但是,NERC CIP的主要设计目标之一是尽可能降低在网络安全分区之外提供可路由协议的风险。
NERC CIP-005-5描述了驻留在工业控制系统安全域和公司网络之间的中间系统或跳转服务器的实现,并且用作想要访问工业控制系统安全域中的设备的远程用户的代理。这消除了外部设备与工业控制系统安全域中所有设备之间的任何直接连接。
这种交互式远程访问架构有几个好处:
» 防火墙规则对工业控制系统安全域的入站流量的限制性更大——所有远程访问都被迫使用跳转服务器作为网络连接的源。
» 跳转服务器可以在尝试连接到工业控制系统安全域中的设备之前强制执行多因素身份验证。
» 跳转服务器可以配置为使用远程计算机和跳转服务器之间的加密连接来保护身份验证凭据和其他敏感信息。
基于这些优势,对大容量电力系统(BES)有一定影响的网络系统及其相关的网络资产需要使用跳转服务器进行远程交互访问。
第三部分
使用通用身份验证凭据
该指标指的是在公司网络和跳转服务器上使用相同的用户名和密码。这个问题的一个非常明显的例子是2015年12月的乌克兰电网攻击。在对此事件的分析中,电力信息共享和分析中心(EISAC)审查了用于获取访问权限的攻击技术——使用恶意软件破解企业网络密码,然后转而努力访问SCADA调度工作站和服务器所在的控制网络。
显然多步身份验证是一种很好的做法,如果在两个身份验证域中使用相同的用户名,则攻击者可以可以很容易获得对跳转服务器的访问权限。如果身份验证管理有效,用户名中没有重复,则跳转服务器的整体安全状态以及工业控制系统安全域的总体安全状态会增加。
应根据配置管理过程审查和批准对身份验证和授权系统的任何管理更改,因为验证系统失败可能会对其造成影响。此外,使用LDAP,Active Directory或RADIUS等集中身份验证服务可以更轻松地进行凭据维护,并更轻松地自动执行已禁用和已删除的用户帐户。一些跳转服务器还提供管理智能电子设备(IED)上的默认或其他通用帐户的能力,例如保护继电器、故障记录器和仪表。根据变电站中的IED数量,这可能是一个有价值的功能,因为NERC CIP要求每15个日历月对这些帐户进行密码更改。
边界设备的网络服务过多
该指标与工业控制系统安全域的逻辑隔离需求有关,但更侧重于最小化对DMZ中所容纳的服务器的访问以及每个工业控制系统安全域的访问点。在许多情况下,这些服务器的处理方式与公司网络上的服务器类似,后者为广泛的用户类别提供许多不同的服务。企业服务器通常允许默认访问,而不使用白名单,因为几乎所有员工每天都使用这些服务器。只有真正需要访问的设备才能访问工业控制系统安全域内的专用服务器,并且只能使用操作所需的最少数量的服务。
例如,位于DMZ中的跳转服务器只能由具有工业控制系统安全域帐户的经过批准的用户访问,并且只能从公司网络上的某些位置访问。财务部门没有理由访问跳转服务器,因此应限制访问这些部门帐户和IP地址。
安全服务不足以支持工业控制系统系统维护
工业控制系统系统设计的一个常见做法是允许对硬件和软件供应商进行仅出站访问,以进行修补和软件更新,包括反恶意软件签名。虽然这对于支持这些维护活动听起来是合理的,但它还允许直接从工业控制系统设备到不安全的网络进行通信,并为攻击者提供访问工业控制系统安全域提供了可能。
更好的解决方案是在DMZ上提供这些服务。该架构如下面的工业控制系统安全指南(NIST SP 800-82 R2)中所示。工业控制系统安全域中的设备将访问位于DMZ中的一个或多个服务器,以支持硬件和软件修补,反恶意软件签名更新和其他数据交换服务,例如数据历史记录。公司网络可以访问数据历史记录并向DMZ中的其他服务器提供更新,但不允许直接访问工业控制系统安全域中的任何服务器。
图2:支持控制网络的DMZ网络(来自NIST SP 800-82 R2)
Cybersecurity Boundary Protection for Transmission Facilities
Jeff Pack | Mar 08, 2019
https://www.tdworld.com/substations/cybersecurity-boundary-protection-transmission-facilities-part-one
https://www.tdworld.com/substations/cybersecurity-boundary-protection-transmission-facilities-part-two
https://www.tdworld.com/substations/cybersecurity-boundary-protection-transmission-facilities-part-three
长按二维码关注“输配电世界”微信公众号,获得更多最新的文章
