首页 > 产业发展, 工控安全 > 他山之石:美国电网信息安全白皮书

他山之石:美国电网信息安全白皮书

2016年1月28日 发表评论 阅读评论 3,114次浏览    

作者:@IDF实验室 8w项目组


引言:

  最近乌克兰电网被黑事件和以色列电网遭受攻击的“传闻”,使以往仅仅是预测或者听闻的电网安全再度引发安全和社会业界的关注。作为人类社会文明特别是工业和信息文明标志的基础设施,其安全性和重要性可以说超越其他任何基础设施,特别是在人口密集的经济、科技、政治中心城市,通讯、交通、医疗、生活、教育,一旦出现大范围长时间的电力安全事故或故障,其后果难以估量。美剧《灭世》就曾经解构过这一恐怖的未来。而智能电网以及各种新能源的快速发展,必然带来电网基础设施及产业生态前所未有的巨变。对于追求极端国家民族秩序,试图重回旧时代的恐怖主义来言,如能对其敌对国家或者政府的电网发起成本低而影响巨大的网络攻击,让对手重回“石器时代”,无疑是极为富有诱惑力的。IDF实验室从2010年起就关注智能电网的相关技术以及安全影响,为此特编辑本文,对大洋彼岸的电力大国的信息安全治理与布局予以披露和介绍,供各界参考与借鉴。
  “他山之石,可以攻玉"——正如一位中国诗人说的那样:黑夜给了我黑色的眼睛,我却用它寻找光明。

usp003
 

1.1美国电网信息安全治理与组织

   在美国,与智能电网相关的美国机构主要有:

  usp001

 其中与电网信息安全关系较为密切的组织主要有:国家标准研究院(NIST)、美国联邦能源管理委员会(FERC)、北美电力可靠性协会(NERC)、美国电气和电子工程师协会(IEEE)、国际电工委员会(IEC)、全美公共事业管理委员会(NARUC)。

1.1.1 NIST

国家标准技术研究院(NIST)隶属于美国商务部,是政府标准化工作的主管部门。根据国会授权,制定事关国家重大利益的标准,协调联邦机构标准和私有部门标准的合格评定程序,推动美国标准化战略的实施,提升美国国家的竞争实力。

国家标准技术研究院的前身是美国国家标准局,是一个以研究为重点的组织,在美国科技界占有重要地位,近年来的年度平均预算约为9亿美元。

国家标准技术研究院最高领导层由院长、副院长和信息最高执行官三人组成。下设与信息技术有关的单位:Boulder实验室、技术服务部、技术研发部、电子与电工实验室、信息技术实验室。其它部门和实验室还有:Baldrige国家质量项目部、管理和财务部、生产发展合作部、生产工程实验室、化学科学技术实验室、材料科学工程实验室、物理实验室、建筑与防火研究室。组织结构如下图所示:

usp002

国家标准技术研究院代表政府参与标准化活动,从战略上对美国自愿性标准化活动实施科学有效的管理,并在美国政府和民间标准化机构之间架起沟通的桥梁,发挥纽带和协调作用,兼有“标准制定者”和“标准化活动管理者”的双重身份。

国家标准技术研究院是美国信息安全技术标准领域最具影响的标准化机构,在美国信息安全管理工作中扮演着十分重要的角色。它制定的信息安全规范和标准很多,主要涉及访问控制和认证技术、评价和保障、密码、电子商务、一般计算机安全、网络安全、风险管理、电讯、联邦信息处理等方面。

《2007能源自主与安全法》赋予了NIST“协调实现智能电网器件和系统互操作性的信息管理协议和模式标准框架的开发”的职责。NIST结合使用经济刺激法案中自己获得的拨款和来自能源部的1000万美元拨款来开展工作。

2009年 4月16日,美国国家标准与技术研究院(NIST)公布了分三阶段制定智能电网关键标准的规划。 

第一阶段的目标是促使公用事业机构、设备供应商、消费者、标准开发者和其他相关各方就智能电网标准达成一致。这个过程包括5月19-20日在华盛顿召开的大会。到秋初预期完成:智能电网架构;优先完成互操作和信息安全标准,以及一套支持实施的初步标准;其他标准需求的规划。 

第二阶段是发起成立一个正式伙伴关系组织,协调其他标准的开发,解决遗留问题和新技术的集成。 

第三阶段是到2010年底前制定测试和检验计划,保证智能电网设备和系统符合安全和互操作相关标准。

NIST还与美国电力科学研究院(EPRI)达成一份价值130万美元的协议,共同制定一份智能电网架构和标准路线图。

NIST于2009年9月发布了《NIST 智能电网互操作框架和标准路线图1.0》(草案),该报告指出了以下8个应该优先进行标准制定的领域:

需求响应和能源消费效率(Demand response and consumer energy efficiency)

广域事态感知(Wide-area situational awareness)

电能存储(Electric storage)

电能输送(Electric transportation)

高级计量基础设施(Advanced metering infrastructure)

配电网管理(Distribution grid management)

信息安全(Cyber security)

网络通信(Network communications) 

草稿定义了可用于智能电网的77个现存标准,并准备在2010年底前优先完成以下14项缺失标准的撰写:

智能电表升级标准(Smart meter upgradeability standard) (已完成) 

价格和产品定义通用规范(Common specification for price and product definition) ( 2010年初) 

能源交易通用调度机制(Common scheduling mechanism for energy transactions )(2009年末)

配电网管理通用信息模型(Common information model for distribution grid management)( 2010年底)

需求响应信号标准(Standard demand response signals) ( 2010年1月) 

能源使用信息标准(Standard for energy use information) ( 2010年1月) 

IEC 61850 对象/ DNP3 映射(IEC 61850 Objects / DNP3 Mapping) (2010) 

时间同步(Time synchronization) (2010中期) 

输配电系统模型映射(Transmission and distribution power systems models mapping) (2010年底) 

智能电网中IP协议簇使用指南(Guidelines for use of IP protocol suite in the Smart Grid )(2010年中期) 

智能电网无线通信使用准则(Guidelines for use of wireless communications in the Smart Grid) (2010中期) 

电能存储互连指引(Electric storage interconnection guidelines) (2010中期) 

插电式电动车互操作标准(Interoperability standards to support plug-in electric vehicles)(2010年9月) 

仪表数据图标准 (2010年底) 

2009年9月,NIST“网络安全协同工作组”还发布了《智能电网网络安全战略和要求》(NISTIR 7628)。该报告在网络安全风险管理框架和策略的基础上,进行了智能电网私有性影响评估(Privacy Impact Assessment)和逻辑界面分析(Logical Interface Analysis),提出了先进测量基础设施(Advanced Metering Infrastructure)的安全需求。

NIST强调,网络安全不仅来自于少数分子的蓄意破坏,也常来自于因错误操作、设备故障或自然灾害引起的信息基础设施损坏。信息基础设施方面存在的漏洞可能允许攻击者渗透网络、获取控制软件或改变配置条件,以不可预期的方式破坏智能电网。因此,包括NIST、国土安全部、能源部、能源管委会在内的美国联邦政府已经认识到了解决潜在网络安全威胁的重要性。其他网络威胁还包括:(1)网络复杂性增加会产生薄弱环节,并暴露给潜在的攻击者,以及产生一些无意的错误;(2)网络互联可能产生共同性薄弱环节;(3)受通信中断和恶意软件影响的风险增加,可能导致软件和系统的完整性和功能性受损;(4)潜在攻击者发挥破坏作用的网络接入点和路径增加;(5)包含客户私人信息在内的数据保密性受损。

随着智能电网的采用和推广,信息技术与电讯部门将会越来越直接地参与到相关工作。这些部门已经建立的网络安全的标准将在解决相关的薄弱环节和开展评估项目方面发挥作用。除了与这些部门面临的相同薄弱环节之外,由于具有系统复杂、利益相关团体众多和高度时间敏感性操作要求等特点,智能电网在网络安全方面面临的薄弱环节更多。

报告提出了先进测量设施在安全方面的要求,具体涉及以下7个方面:(1)系统与通信保护;(2)信息与文档管理;(3)系统发展与维护;(4)事故响应;(5)系统与信息完整性;(6)系统准入控制;(7)审计与核查。

1.1.2 FERC

美国联邦能源管理委员会(FERC)是一个内设于美国能源部的独立监管机构。根据能源部组织法案于1977年10月1日成立。主要职责是负责依法制定联邦政府职权范围内的能源监管政策及实施监管,具体包括监管跨州的电力销售、批发电价、水电建设许可证、天然气定价和石油管道运输费,负责批准和许可液化天然气接收站、跨州的天然气管道和非联邦的水电项目。其职能还包括:监管用于跨州贸易的天然气的传输和销售;监管跨州贸易中的管道石油的运输;监管跨州贸易中的电力传输和批发;私营、市和州的水电项目的许可和核查;批准跨州天然气管道和储备设施的选址和废弃,保证LNG接收站的安全运行和可靠;确保跨州的高压输电系统可靠性;监控和调查能源市场;对于违反FERC能源法规的能源实体和个人处以民事惩罚;监督与天然气和水电项目有关的环境事务以及重要的电力政策倡议;管理受监管公司的会计、财务报告和行为。

FERC主要拥有以下权力:市场准入审批,价格监管,受理业务申请,受理举报投诉,行使行政执法与行政处罚等。此外,FERC还负责就监管事务进行听证和争议处理等。 

1、市场准入。如对石油市场的准入,监管内容包括从业资格的认证审定,组织油气资源勘探、开发的招标和许可证发放,对矿权使用和油气资源的合理开发和利用实施监督管理,对作为矿区使用费征收依据的油气产量水平进行评估等。 

2、价格监管。主要监管管道输油公司的运营和费率、管道服务和开放;监控天然气管道输送价格,制定费率或价格公式,提出最高限制或最低限价等。 

3、受理业务申请。联邦能源监管委员会和各州公用事业监管委员会对能源市场的监管主要是通过受理业务申请和处理举报投诉这两种形式实现的。企业要办理业务许可事项,如更改电力价格、天然气价格或者服务条款,要求监管机构对纠纷进行裁决,或者消费者要求相关的公司进行赔偿等事项,都需要向监管机构提交文字申请材料。对重要公共设施和重大项目实行监管,包括审批长距离油气管道、液化天然气接收站的建设和运行,决定海上石油设施的建设与停用,监管长距离油气管道的运营等,对生产者之间、生产者与消费者之间发生的纠纷进行调解和仲裁。 

4、受理举报投诉。主要有两种方式:热线电话和书面举报投诉。对电网接入、互联纠纷、供电服务质量、电费账单等的投诉举报案件,90%以上通过非正式的程序进行解决。如果非正式协调不能解决,则进入监管机构的正式程序,通常由监管机构的行政法官进行听证和裁决,直至最终上诉到法院判决。

5、行政执法与处罚。联邦能源监管委员会和各州公用事业监管委员会,除拥有市场准入的审批权和定价权以外,还拥有强大的执法队伍和行政处罚权力。根据2005年新颁布的《能源政策法》,联邦能源监管委员会可以对每件市场违规案件处以每天100万美元的罚款,对恶意操纵市场的企业负责人给予处罚。

2008年1月,FERC通过了由NERC制定的 “关键基础设施保护”(CIP)标准,旨在保护电网,预防由于薄弱的访问控制、软件漏洞或数据控制系统方面的其他漏洞而导致的计算机攻击。

为推进和加快智能电网标准化进程,FERC在2009年3月发布了智能电网政策声明与行动计划提议(Smart Grid Policy)。联邦能源管理委员会认为,应主要通过以下四个方面实现智能电网的标准治理。

信息安全(Cyber security):要能够保证可互操作性标准与协议能够与所有现行的可靠性标准保持一致,如与现有的关键基础架构保护(CIP)标准等的兼容。联邦能源管理委员会同时还提出了智能电网技术必须解决的其他问题,如通信数据的完整性、智能网格设备的物理保护、防止未经授权者使用等。

系统间通信和协调能力(Inter-system Communication and Coordination):要开发通用框架标准和通信软件模型,以使智能电网各组成部分能够在巨大的能源系统中顺畅地通信。

广域情景意识(Wide-Area Situational Awareness):互联的系统要能够彼此实时可见,且保证可靠的相互协调性。要保证电力系统的工作人员拥有必要的设备和技术,可以完整地看到整个系统并进行有效地监控和操作,还要能够分析系统中出现的异常情况和事故等问题并有效地解决。各个区域性转送组织(RTO)之间要具有良好的通信和协同能力,联邦能源管理委员会鼓励区域性转送组织在这方面起主导作用。

传统电力系统与高新技术之间的协调(Coordination of Bulk Power Systems with New and Emerging Technologies):技术与标准要能够帮助引入或者扩展可再生资源、响应需求和电能存储技术,以解决电力系统运营的问题,顺应技术发展的趋势。

除此之外,联邦能源管理委员会还要求智能电网的开发信息要与能源部的智能电网研究信息进行共享、在设计时要考虑电网的后续升级、公共事业机构要优先使用智能电网技术等。

NERC与FERC的关系如下:

• FERC管理联邦大型能源系统,认可NERC代表行业作为电力可靠性组织。 

• FERC可要求标准被强制执行,但不制定标准。

• NERC制定标准,但不能要求其强制执行。

• NERC为大型电力系统制定的安全标准,FERC既可以选择接受,也可以选择拒绝,或者建议进行修改。 

1.1.3 NERC 电力可靠性协会

1968年,美国成立了电力可靠性协会(National Electric Reliability Council,NERC),1981年由于加拿大和墨西哥的加入,改名为北美电力可靠性协会(North American Electric Reliability Council,NERC),NERC的成立极大地推动了电力系统可靠性理论的研究及其在工程实际中的应用,同时也带动了世界各国电力可靠性管理工作的开展。

现在北美电力可靠性协会理事会有30位成员组成,分别来自九个区域性的可靠性协会,爱迪生电气研究所、加拿大的魁北克、新墨西哥电力公司以及独立的电力生产企业的代表等。

NERC总部设有20位专责人员及10多位秘书,组成的日常办事机构即执行委员会。该委员会下设工程委员会和运行委员会。

工程委员会的主要职责是:

(1)协调各地区的电力规划和工程设计;

(2)进行电力系统可靠性评估和负荷预测分析;

(3)组织进行发电、输电及配电系统可靠性分析计算的计算方法的研究及其软件的开发;

(4)协调、分析和评价各地区的可靠性准则;

(5)管理可靠性数据库并对数据进行分析,做出各种分析报告。

运行委员会的主要职责是:

(1)负责协调互联的大电力系统的运行,交换运行状况信息;

(2)评议各地区电力系统运行准则和方法;

(3)改进电力系统运行准则、导则;

(4)开展多地区电力系统运行情况的调查研究,参加电力系统事故调查,并做出事故调查报告,促进电力系统的安全可靠运行。

NERC有一个专门解决电力控制系统安全问题的工作组,提出了一系列“关键基础设施保护”(CIP)标准,包括重大网络攻击鉴定(Critical cyberasset identification)、安全管理控制(Security management controls)、人员与培训(Personnel and training)、电子安全界限(Electronic security perimeters)、重大网络攻击下的物理安全保障(Physical security of critical cyberassets)、系统安全管理(Systems security management)、事件报告和响应计划(Incident reporting and response planning)、重大网络攻击恢复流程( Recovery plans for critical cyberassets)等。FERC于2007年7月20日发布了一份通知,表示批准和认可NERC CIP标准。

2009年5月,美国智能电网建设的第一批标准中,包含NERC制定的CIP系列标准(CIP 002-009)。

1.1.4 IEEE 美国电气和电子工程师协会(IEEE)

美国电气和电子工程师协会(IEEE)是一个国际性的电子技术与信息科学工程师的协会,是世界上最大的专业技术组织之一(成员人数),拥有来自175个国家的36万会员(到2005年)。1963年1月1日由美国无线电工程师协会(IRE,创立于1912年)和美国电气工程师协会(AIEE,创建于1884年)合并而成,它有一个区域和技术互为补充的组织结构,以地理位置或者技术中心作为组织单位(例如IEEE 费城分会和IEEE计算机协会)。它管理着推荐规则和执行计划的分散组织(例如IEEE-USA 明确服务于美国的成员、专业人士和公众)。 总部在美国纽约市。 IEEE在150多个国家中它拥有300多个地方分会。透过多元化的会员,该组织在太空、计算机、电信、生物医学、电力及消费性电子产品等领域中都是主要的权威。专业上它有35个专业学会和两个联合会。IEEE发表多种杂志,学报,书籍和每年组织300多次专业会议。IEEE定义的标准在工业界有极大的影响。 

IEEE制定了全世界电子和电气还有计算机科学领域30%的文献, 另外它还制定了超过900个现行工业标准。每年它还发起或者合作举办超过300次国际技术会议。IEEE由37个协会组成,还组织了相关的专门技术领域, 每年本地组织有规律的召开超过300次会议。 IEEE出版广泛的同级评审期刊,是主要的国际标准机构(900现行标准,700研发中标准)。

IEEE由主席和执行委员会共同领导。重大事项由理事会和代表大会进行决策,日常事务由执行委员会负责完成。设有超导,智能运输系统,神经网络和传感器四个委员会和38个专业分学会,如动力工程、航天和电子系统、计算机、通信、广播、电路与系统、控制系统、电子装置、电磁兼容、工业电子学、信息理论、工程管理、微波理论和技术、核和等离子科学、海洋工程、电力电子学、可靠性、用户电子学等。IEEE还按10个地区划分,共有300多个地方分部。代表大会由来自10个地区学会和10个技术分部的代表构成。IEEE北京分部于1985年成立。

IEEE在信息安全标准制定方面主要贡献是制订了无线网络安全方面的诸多标准。目前已通过的信息安全标准有:《ANSI/IEEE802.10a-1999 可通过的局域网/城域网安全》,《ANSI/IEEE 802.10e-1994 IEEE 802 LANs中的V2.0的安全数据交换次级层管理》,《ANSI/IEEE 802.10g-1995互通LAN安全标准》,《ANSI/IEEE 802.1AE-2006局域网和城域网标准:媒体访问控制的安全》,《IEEE C2-2002-2001 国家电气安全编码》,《IEEE1228-1994计算机软件安全方案》等。

目前IEEE致力于制定一套智能电网的标准和互通原则(IEEEP2030),涵盖电力工程(power engineering),信息技术(information technology)和互通协议(communications)三个方面标准和原则。

1.1.5 IEC 国际电工委员会

IEC是国际电工委员会(International Electrotechnical Commission)的缩写,是非政府性国际组织联合国社会经济理事会的甲级咨询机构,正式成立于1906年成月,是世界上成立最早的专门国际标准化机构。总部设在日内瓦。1947年ISO成立后,IEC曾作为电工部门并入ISO,但在技术上、财务上仍保持其独立性。根据1976年ISO与IEC的新协议,两组织都是法律上独立的组织,IEC负责有关电工、电子领域的国际标准化工作,其他领域则由ISO负责。 IEC的宗旨是促进电工、电子领域中标准化及有关方面问题的国际合作,增进相互了解。为实现这一目的,出版包括国际标准在内的各种出版物,并希望各国家委员会在其本国条件许可的情况下,使用这些国际标准。IEC的工作领域包括了电力、电子、电信和原子能方面的电工技术。现已制订国际电工标准3000多个。

IEC的最高权力机构是理事会。目前有67个成员国,称为IEC国家委员会,每个国家只能有一个机构作为其成员。每个成员国都是理事会成员,理事会会议一年一次,称为IEC年会,轮流在各个成员国召开。 理事会主要官员由现任主席和前任主席、现任副主席、司库、秘书长及各国家委员会代表组成。 理事会负责制定IEC政策和长期战略目标及财政目标;选举理事局、标准管理局及合格评定局成员和主席;修改IEC章程及程序规则等。闭会期间,将所有管理工作委托给理事局,而标准化和合格评定领域的具体管理工作,分别由标准化管理局(SMB)和合格评定委员会(CAB)负责。

IEC下设技术委员会(TC)、分技术委员会(SC)和工作组(WG)。每一个技术委员会负责一个专业的技术标准编制工作,其工作范围由执行委员会指定。

IEC于2009年初成立了智能电网战略小组。在其4月份的会议中,开发了IEC标准化框架。IEC的框架第1版的相关标准,包括发展能源系统和通用实例,控制中心,变电站,变电站外,安全,硬化、编码,分布式资源和计量的方法。此外,一项用于指导各IEC技术委员会制定统一的支持智能电网的全球标准的计划正在编写当中。

1.1.6 NARUC 全美公共事业管理委员协会

全美公共事业管理委员协会(简称NARUC),成立于1889年,是一个非盈利性组织,是由美国的能源部,国土安全部,环保部门等联邦单位资助的,其行使国家公共事业机构监管权利,公共事业机构是指提供诸如能源、通信、供水和运输等基本服务的机构,日常工作涉及基础设施,环境,管理设计,融资,安全和煤气,水,电,电信部门的其他问题。NARUC的成员包括50个州,哥伦比亚特区,波多黎各区,维尔京群岛等,超过200个成员。

全美公共事业管理委员协会的使命是通过提高公共事业的服务质量和服务效能从而实现公众利益。根据国家法律,NARUC所有成员都有义务确保公共设施的建立、维护都能符合法律要求,并确保受监管公用事业费率收取费用是公平,公正,合理的,确保这种服务的价格和条件是公平、合理和非歧视性的,且为所有消费者提供的。

NARUC制定电力可靠性方面的国家标准,各州政府可根据实际情况制定标准,其标准是对国家标准的补充。国家没有对电网配电方面制定标准,主要还是由州政府管理制定的,各州政府缺乏电网信息安全管理人员和技术人员,联邦政府正在组织对州政府的电网信息安全管理人员和技术人员进行培训。目前州政府正与联邦政府沟通,希望由联邦政府尽快帮忙制定标准。

usp004

 

1.2主要信息安全标准

1.2.1 NERC CIP 002-009

为保证北美互联电网系统的完整性和电力传输的可靠性,北美电力可靠性委员会(NERC)于2006年6月发布了重要架构防护标准(CIP),整个标准分为8个部分,提出了一系列关于人员与培训、电力资产识别和系统管理等方面的要求。美国联邦能源管理委员会(FERC)于2007年7月20日发布了一份通知,表示批准和认可 NERC CIP标准。

从内容上来讲,NERC的CIP可靠性标准通过禁止对电力系统重要资产和重要信息资产的未授权的逻辑或物理接入,来实现大规模电力系统的可靠性和安全操作,更多的是强调保护电力系统的完整性,而没有包含保证电网安全的整体防护框架或保证具体功能或组建安全性的措施。

从应用范围上来讲,NERC的CIP可靠性标准的执行对象只限于对大规模电力系统的用户、电网管理者和运行部门,其主要目的是规范电网资产管理者和运行部门的行为,而不对设备和系统的设计方、制造方和集成方进行要求。

CIP系列标准的各部分题目和描述如下:

  • CIP-002-1—Critical Cyber Asset Identification—网络安全——关键网络资产识别:

要求责任实体通过一种基于风险的评价方法识别自己的关键资产和关键网络资产。

CIP-003-1—Security Management Controls—网络安全——安全管理控制:

要求责任实体制定和执行安全管理控制,用以保护根据CIP-002-1识别的关键网络资产。

  • CIP-004-1—Personnel and Training—网络安全——人员和培训:

要求有权访问关键网络资产的人员接受身份认证和犯罪审查。同时要求员工接受培训。

  • CIP-005-1—Electronic Security Perimeter(s)—网络安全——电子安全周界:

要求识别和保护电子安全周界和访问点。电子安全周界涵盖了按CIP-002-1要求的方法识别的关键资产。

  • CIP-006-1—Physical Security of Critical Cyber Assets—网络安全——关键网络资产的物理安全:

要求责任实体制定和保持一项物理安全计划,确保电子安全周界内所有网络资产均被保持在一个经确定的物理安全周界内。

  • CIP-007-1—Systems Security Management—网络安全——系统安全管理:

要求责任实体为确保被识别为关键网络资产的系统以及电子安全周界内的非关键网络资产的安全定义方法、程序和规程。

  • CIP-008-1—Incident Reporting and Response Planning—网络安全——事故报告和响应规划:

要求责任实体识别、划分、响应和报告与关键网络资产相关的网络安全事故。

  • CIP-009-1—Recovery Plans for Critical Cyber Assets—网络安全——关键网络资产恢复计划:

要求通过已经成形的业务连续性和灾难恢复技术和实践规范建立关键网络资产恢复计划。

1.2.2 NIST 系列

在NIST的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。 目前,NIST SP 800系列已经出版了102本同信息安全相关的正式文件,形成了从计划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。其中与智能电网信息安全密切相关的是NIST SP800-82《工控系统安全指南》和NIST SP 800-53《联邦信息系统推荐安全措施》。

此外,NIST的跨机构协同报告或者内部报告(NIST IR)描述了对某一特殊领域的研究。这些报告包括NIST在某一领域内的中期或最终研究成果。目前,NIST共出版了59份同信息安全相关的IR。在2009年9月,NIST发布了一份跨机构协同报告草案,名为《智能电网信息安全策略与要求》,指导后续的智能电网信息安全工作。

  • DRAFT NIST IR7628 

NIST 第7628 号跨机构协同报告(NISTIR 7628)《智能电网网络安全策略与要求》是描述了CSCTG 为智能电网制定的信息安全整体战略的初步报告。这份初步报告精选了当前收集到的最新电网场景用例、其他相关信息安全评估和规划文档中的要求和脆弱性,以及为给智能电网提供充分保护所需要用于对要求进行裁剪的其他信息。预计将于2010 年年初推出的本报告下一版草案将包含智能电网的整体安全构架和安全要求。

《NIST智能电网互操作标准框架与路线图》描述了用于智能电网的高级参考模型,确定了大约80项支持智能电网发展的标准,以及14个需优先发展的问题,并讨论了网络安全方面的风险管理框架与策略。其中《IEC 62351 Parts 1-8 Information security for power system control operations》定义了电力系统控制运行的信息安全性,《IEEE 1686-2007 Security for intelligent electronic devices (IEDs)》定义了智能电子装置的安全性,《NERC CIP 002-009 Cyber security standards for the bulk power system》主干电力系统的网络安全,《NIST SP 800-53, NIST SP 800-82 Cyber security standards and guidelines for federal information systems, including those for the bulk power system》则定义包括哪些主干电力系统的联邦信息系统的网络空间安全性标准及导则。

《智能电网网络安全策略与要求》在网络安全风险管理框架和策略的基础上,进行了智能电网私有性影响评估(Privacy Impact Assessment)和逻辑界面分析(Logical Interface Analysis),提出了先进测量基础设施(Advanced Metering Infrastructure)的安全需求。

NIST强调,网络安全不仅来自于少数分子的蓄意破坏,也常来自于因错误操作、设备故障或自然灾害引起的信息基础设施损坏。信息基础设施方面存在的漏洞可能允许攻击者渗透网络、获取控制软件或改变配置条件,以不可预期的方式破坏智能电网。因此,包括NIST、国土安全部、能源部、能源管委会在内的美国联邦政府已经认识到了解决潜在网络安全威胁的重要性。

其他网络威胁还包括:(1)网络复杂性增加会产生薄弱环节,并暴露给潜在的攻击者,以及产生一些无意的错误;(2)网络互联可能产生共同性薄弱环节;(3)受通信中断和恶意软件影响的风险增加,可能导致软件和系统的完整性和功能性受损;(4)潜在攻击者发挥破坏作用的网络接入点和路径增加;(5)包含客户私人信息在内的数据保密性受损。

随着智能电网的采用和推广,信息技术与电讯部门将会越来越直接地参与到相关工作。这些部门已经建立的网络安全的标准将在解决相关的薄弱环节和开展评估项目方面发挥作用。

除了与这些部门面临的相同薄弱环节之外,由于具有系统复杂、利益相关团体众多和高度时间敏感性操作要求等特点,智能电网在网络安全方面面临的薄弱环节更多。

报告提出了先进测量设施在安全方面的要求,具体涉及以下7个方面:(1)系统与通信保护;(2)信息与文档管理;(3)系统发展与维护;(4)事故响应;(5)系统与信息完整性;(6)系统准入控制;(7)审计与核查。

  • NIST SP800-82 DRAFT Guide to Industrial Control Systems (ICS) Security-工业控制系统安全指南草案

NIST于2009年9月发布了最终版的NIST SP800-82草案。该草案为工业控制系统,包括SCADA,DCS和其他控制系统组件如PLC,提供安全指南,同时提出这些设备或系统独一无二的特性、可靠性及安全需求。SP 800-82在内容上首先概括了目前已有的工业控制系统和典型系统拓扑,然后指出了这些系统存在的脆弱性和面临的威胁,最后给出了一些降低风险的建议。在降低风险的建议部分,主要讨论了NIST SP 800-53中指定的安全措施。

  • NIST SP800-53 Recommended Security Controls for Federal Information Systems and Organizations Revision 3 APPENDIX I   INDUSTRIAL CONTROL SYSTEMS — 联邦信息系统与机构的推荐安全措施 附录I 工业控制系统

NIST SP 800-53是为保障联邦政府信息系统安全而制定的,作用是为信息系统安全措施的选择提供指导,它将安全措施分为了三类:管理,操作和技术。

 NIST SP 800-53的附录I针对工业控制系统提出了基于其特点的信息系统安全措施裁剪指南、安全基准措施补充和安全措施补充说明,便于工业控制系统的使用者和所有者可以从NIST SP800-53中筛选出适合自己系统的安全控制措施。

 

1.3美国智能电网的安全风险管理策略

1.3.1美国智能电网概况

1.3.1.1美国智能电网的概念

美国DOE(能源部)的报告《The Smart Grid: An Introduction》中定义:“智能电网使用数字技术,改进电力系统的可靠性、安全性和效率:从大型发电、配电系统到电力用户,以及不断增加的分布式发电和储能资源数量”。 

usp006

图 美国能源部(DOE)智能电网组成

美国能源部国家能源技术实验室(National Energy Technology Laboratory,NETL)给出了智能电网框架—-“现代电网的系统视图”,作为概念和指南,被智能电网领域其它参与者广泛接受。

美国能源部国家能源技术实验室“现代电网”中的技术定义包括了以下5 个重要组成部分:

参数量测: 各种先进的传感器、表计与监视系统, 用以监视设备健康状态与网络状态、支持继电保护、计量电能。

集成通信: 能实现即插即用的开放式架构, 全面集成的高速双向通信技术。

电力设备: 基于最新的材料、超导、储能、电力电子与微电子学科研究成果而制造出的各种新型电力系统设施。

先进应用: 基于各种先进理论和算法的电力系统分布式智能、高级应用软件, 用以监视关键设备、支持各类事件的快速诊断与及时响应, 促进资产管理、系统与市场运行效率的提高。

决策支持: 先进的可视化展示、电力系统仿真与培训工具, 增强各级运行人员的决策能力。

1.3.1.2美国智能电网的特征

美国智能电网强调的七个原则特征及其益处如下表所示。

原则特征

描述

益处

自愈

智能电网应该能够监控自身的运营,检测、分析和解决问题,并识别潜在问题,以避免系统崩溃。当需要时,智能电网应能够还原智能电网网络。

促进节约成本、可靠性以及富余电力的营销

最小化服务中断

鼓励末端电力用户参与

将会为用户、电力系统和环境带来益处。在现代智能电网中,通过智能元件通知用户价格和负载情况,因此用户能够在他们的需求和电力系统需求之间做出平衡。在智能电网中,实现这个功能,需要需求管理、决策营销和实时定价

用户更加明智地使用,帮助电力公司更加有效地生产,带来广泛的环境效益

抗攻击

使电力系统更加弹性,最小化攻击后果,并尽快复原系统

电网阻止或抵挡物理或网络攻击

提供21世纪需要的电能质量

在电力配送过程中,最小化谐波、畸变、不稳定、电压跌落和突波。这个特征需要更加高级的元件,如FACTS、DVR、SVC

避免停机时间的生产率丢失,尤其在数字设备环境中

接纳所有的发电和储能方式

使智能电网能够整合间歇性可再生能源技术,如太阳能和风能

多样化的“即插即用”资源使得发电和储能有了更多的选项,包括新的更加有效、清洁的能源

拓展市场

将带来更多的参与者和选项,使得系统更加有效,需要但不限于分布式发电技术,实时定价和用户响应。

电网的开放访问市场揭示出浪费和效率低下,并将它们淘汰出市场,同时提供新的用户选择,如绿色电力产品 

最优化资产,有效运营

以最小代价实现现代电网的功能,需要网络和组件评估、最优化算法和先期决策营销

以最小代价运营和利用资产

 需要现代技术支持表1中的七个关键特征。智能电网需要的关键技术在2007 Energy Independence and Security Act(ESIA)的Title XIII中描述:综合通信、传感和测量、高级组件、高级控制方法、改进接口和决策支持。

1.3.1.3美国智能电网实例

  • Smart Grid City

 SmartGridCityTM是美国第一个完全整合的智能电网。Boulder和Colorado已经被选作SmartGridCityTM的站点。

 SmartGridCityTM是一个多阶段项目,预期在2009年12月完成。在第一阶段,初始的安装是为了测试和度量用户的反应,包括升级两个变电站、五条馈线和Boulder将近15000哥表计;第二阶段是完全部署阶段,两个变电站、20条馈线和35000建筑(premises)。

  • Austin Energy(奥斯汀能源)

    Austin Energy的智能电网最开始是一个企业体系结构计划,使用面向服务的体系结构(SOA)重新审视公司的商业过程。Austin继续通过不同的需求响应、分布式发电和可再生能源计划使用户选择成为可能。从2008年8月其的技术部署包括130000智能表计和70000智能继电器。计划要求到2009年初,部署270000智能表计和70000智能继电器,以及10000新的输电和配电网传感器;到那时,100% Austin Energy的用户将享受到智能电网技术的服务。

  • 美国PJM公司

全球领先的美国PJM( 宾夕法尼亚— 新泽西— 马里兰互联电网) 公司在2006 年底完成了一个战略发展项目, 从多个维度对自身的发展进行了规划。它的主要愿景包括: 实现企业经营的信息化, 电网资产可以支持自动化运行, 打通能源价值链各环节并实现业务的综合集成, 建设新的控制中心; 组建智能电网工作组, 为PJM 区域内的输电资产所有者建设智能电网制定一致的方法论, 同时也为在PJM管辖区域建设智能电网提供建议方案。

PJM 智能电网有两个组成维度,即技术构成与业务构成。PJM的业务组成主要包括系统运行、市场运行、电网规划与企业管理等四个部分, 从PJM智能电网愿景内容来看, 实际上它涵盖了PJM业务的方方面面。不仅如此, 虽然PJM 本身不拥有资产, 但在它为管辖区域所提供的智能电网建议方案中可以看到含有资产管理的内容。因此智能电网涵盖的业务环节重点是系统运行、市场运行、电网规划与资产管理, 同时通过实现此类业务信息与企业后台管理环节的有效集成与共享, 智能电网还能够帮助建成信息化电力企业。

1.3.2 美国智能电网信息安全面临的新挑战

1.3.2.2 美国智能电网对信息化和信息安全工作带来的挑战

随着智能电网的电力传输系统用于双轨传送电力和信息,信息技术和电信基础设施成为能源部门基础设施的关键。智能电网中信息流的宽度和有效深度远远强于传统电网可能涉及的范围,数据将在智能电网内的各个部分间流动,一个典型的智能电网信息传输路径示意图如下所示:

usp007

 
   

智能电网的建设在为电力企业以及用户带来效益和实惠的同时,也带来新的安全风险,具体包括:

(1)电力系统复杂度的增加,增加了安全防护的难度

智能电网的安全问题越来越得到关注,虽然欧美已经提出了一些安全策略,但还没有形成统一的智能电网安全标准规范体系。美国标准技术研究所(NIST)在2009年9月份发表了一篇涉及智能电网安全方面的文章(《智能电网信息安全策略与要求》),不过目前还只是初稿,有待进一步的修订、完善。缺乏一套完整的安全标准规范体系,智能电网今后的安全性将无法得到保障,这也是智能电网将会面临的一个非常严峻的问题。

(2)智能电网安全标准规范的缺乏

随着智能电网规模的扩大,互联大电网的形成,电力系统结构的复杂性将显著增加,电网的安全稳定性与脆弱性问题将会越显突出。同时复杂度的增加,将导致接口数量激增、电力子系统之间的耦合度更高,因此很难在系统内部进行安全域的划分,这使得安全防护变得尤为复杂。

(3)网络环境更加复杂,攻击手段智能化

智能电网的建设,信息集成度更高,网络环境更加复杂,病毒、黑客的攻击规模与频繁度会越来越高;此外随着很多新的信息通信技术的采用,比如WIFI、CDMA、3G等,它们在为智能电网的生产、管理、运行带来支撑的同时,也会将新的信息安全风险引入到智能电网的各个环节;为了提高数据的传输效率,智能电网可能会使用公共互联网来传输重要数据,这也将会对智能电网的安全稳定运行造成潜在的威胁,甚至可能会造成电网运行的重大事故。不安全的智能网络技术将会给黑客提供他们所附属的不安全网络的快速通道。而且未来有组织的攻击越来越多,网络攻击的手段也会更加多样化和智能化,这都将会给电力系统带来严峻考验。

(4)用户侧的安全威胁

未来用户和电网之间将会出现更加广泛的联系,实现信息和电能的双向互动。基于AMI系统,用户侧的智能设备(比如智能电器、插拔式电动车等)都将直接连到电力系统。这不可避免地给用户带来安全隐患,一方面用户与电力公司之间的信息交互涉及到公共互联网,用户的隐私将会受到威胁;另一方面家用的智能设备充分暴露在电力系统中,易受到黑客的攻击。因此智能电网中端到端的安全就显得非常关键。

(5)智能终端的安全漏洞

随着大量智能、可编程设备的接入,以实现对电网运行状态实时监控、进行故障定位以及故障修复等,从而提高电网系统的效率和可靠性。这些智能设备一般都可以支持远程访问,比如远程断开/连接、软件更新升级等。这将会带来额外的安全风险,利用某些软件漏洞,黑客可以入侵这些智能终端,操纵和关闭某些功能,暴露用户的使用记录,甚至可以通过入侵单点来控制局部电力系统。因此这些智能终端可能会成为智能电网内新的攻击点。面对更加复杂的接入环境、灵活多样的接入方式,数量庞大的智能接入终端对信息的安全防护提出了新的要求。

除此之外智能电网的信息安全问题还涉及其他因素,如心怀不满的员工、工业间谍和恐怖分子发动的攻击,而且还必须涉及因用户错误、设备故障和自然灾害引起的对信息基础设施的无意破坏。脆弱性可能会使攻击者得以渗透网络,访问控制软件,改动负荷条件,进而以无法预计的方式造成电网瘫痪。电网面临的其他风险还包括:

  • 电网不断增加的复杂性,有可能引入脆弱性,使电网越来越多地暴露在潜在攻击者和无意错误之下;
  • 相互连接的网络,会造成各网络共有的脆弱性发作;
  • 引发通信中断和恶意软件肆虐的脆弱性日渐增多,有可能导致拒绝服务或破坏软件和系统的完整性;
  • 供潜在敌对分子恶意利用的入口点和通道越来越多;
  • 破坏数据保密性的潜在可能性,其中包括对用户隐私权的侵犯。

1.3.3 美国智能电网应对策略

1.3.3.1加快智能电网标准的制定

美国政府委托美国标准技术研究所(NIST)牵头加快制定智能电网的标准,目前发布了《智能电网互操作性标准的框架和路线图版本1.0(草案)》和《智能电网信息安全策略与要求(草案)》。这些标准的制定,将促使智能电网的网络安全策略的实施,提高智能电网的安全性。

在智能电网信息安全领域,NIST的标准研究和制定路径如下: 

  • 智能电网应用场景提取 
  • 执行智能电网的风险评估 
  • 开发与智能电网接口界面相关的安全架构 
  • 识别智能电网安全需求,采取降低风险的措施为智能电网提供必要的保护 
  • 智能电网安全符合性评估

1.3.3.2加强智能电网组件和系统的全面评估

由于智能电网包括来自IT、通讯和能源部门的系统和组件,风险管理框架被应用于可适用的资产、系统和网络基础上,其目标是确保完成智能电网组件和系统的全面评估。

在典型的风险管理过程中,资产、系统和网络得到查明,风险被评估(包括脆弱性,影响和威胁);安全要求被具体说明;以及针对在系统生命周期上的有效性、授权和监控,安全控制被选择和实施。当安全需求被具体说明时,针对智能电网的风险评估过程将被完成。这些需求在风险评估的基础上被选择,并将作为一个整体被应用到智能电网中。

1.3.4美国智能电网信息安全包含的方面

(略,免费索取完整版请以中国大陆单位邮箱并附联系确[email protected]

1.4 传统电网的主要信息安全风险与安全防护措施

传统的电力网络是繁杂的,更多的依赖人为的操作。而公共电力发展,特别是变电站的发展趋势则是高度集中化、自动化以及很强的交互性,这就迫切要求采用规范统一的通信架构。该提议可以追溯到上世纪80年代末,由北美国电力科学研究院拟定。由此出现的是标准通信架构(UCA2.0),现在称为国标IEC 61850。通过该标准的大量应用,电力发展了电网保护和自动化,提高了操作的可靠性和效率。

usp008

 

然而,在电力控制发展的数十年里,各国能源部门受到无数次对控制系统的有针对性的攻击。目前的保障措施,如根据低频减载,孤岛计划和其他特殊保护制度,都需要及时更新并补充制度条款,以防止防护措施不完善所带来的网络威胁。 但是100%的安全是不存在的,威胁是伴随业务的持续性而必然存在的。

美国于2007年开展了“曙光计划”,美国能源部测试了网络的安全性,展示了如何利用一个存在威胁的电网网络漏洞来破坏发电机。并以此估计,如果一次成功对北美第三电网进行攻击,将会带来实际3个月超过7000亿美元损失费用。这是由于电力控制的高速发展,促使电力业务的控制能力需求越来越强烈,大量通用的IP网技术得到广泛应用。随着IP网应用的普及和深入,针对IP网安全的攻击技术的研究也日新月异。而今,针对电力的外部系统的攻击在不断增多,越来越多的SCADA系统成为潜在的攻击的对象。

由于业务的连续性要求越来越高,对电网网络安全的保障要求越来越突出。而网络渗透对工业的侵害缺少监管,911事件的出现加剧了网络安全问题,大量的网络攻击促使能源部门必须从根本上改善其整体的安全防范,来解决相关的安全事宜。

而智能电网的提出,更是加强了网络安全的现实需求。美国政府必须改善电力行业网络中,以避免安全问题带来的停电事件。

2008年1月:美国联邦能源管制委员会(FERC)批准8个新标准,关于强制性保护关键基础设施(总监督)的可靠性标准,以防止可能出现的干扰,预防网络攻击影响国家的电力网络。 

标准是由北美电力可靠性公司(自然环境研究理事会)执定,它已经成为了联邦能源管制委员会电力可靠性组织指定的标准文件。

根据标准文件,政府规定电网供应商需进行:

  • 安全风险评估对网络攻击脆弱性进行评估; 
  • 通过安全风险评估消除重大安全漏洞; 
  • 开发安全系统,以检测并阻止可能的网络安全袭击; 
  • 预警,控制和断然拒绝攻击,然后,联邦紧急事务管理局的工作与重建基本功能; 
  • 建立安全测试体系,以确保新的系统和改变不影响系统的安全控制。

usp012

1.4.1 安全威胁 

(*有删节,免费索取完整版请以中国大陆单位邮箱并附联系确[email protected]

1.4.3 智能电网灾难备份与灾难恢复

2010年5月17-19日,美国在加州举行国家电网灾难备份与灾难恢复研讨会。由美国国土安全部主办,美国海军研究中心、美国空军联合协办。

电力供应是现代工业和信息社会的基础,经济安全也离不开电力保障。不幸的是,在美国、加拿大以及墨西哥的相当一部分地区,那些用于发电、输电、变电的设备仍在采用几十年前的技术,有的设备甚至在1940年就投入使用。随着无所不在的计算机和互联网的快速发展,以及日益呈现上升趋势的电动汽车,电力基础设施将超负荷运转。此外,电网已经发展成为一个十分依赖技术,经济和管理的公共产业,这就使得电网更容易遭受到例如“百年一遇洪水”等突发性灾难的影响。目前,电网缺乏灾难恢复能力,非常脆弱的小波动,将会造成大面积的瘫痪。

这次研讨会的目的是展示和讨论新技术,同时科学家、政客讨论了灾难备份、灾难重建相关话题。为期3天的研讨会集中讨论了如何将美国电网建设成为一个更灵活、更强大、更坚强的系统。具体来说,我们将与输电、配电、变电、电网部署方案、建筑设计方案、监管政策、潜在的开发技术等相关的安全因素,均纳入了本次讨论内容。

特别引人注目的课题有:智能电网技术(传感技术、计算机控制、超导数据传输、分布式发电);网络安全(网络架构、系统测试、恶意软件防范、信息安全保障、风险评估、标准化建设);自适应系统理论(高优化容灾系统–HOT系统,自主灾难恢复系统 – SOC系统);社会和经济问题(电动汽车、政策调控、前景预计),以及灾难备份与恢复相关的分析方法和工具。 

这次会议于2010年5月17号下午1时,由奥巴马总理的特别助理Richard Reed在开幕式宣读奥巴马总理对电网建设的相关政策,于2010年5月19日星期三12点闭幕。

usp009 

智能电网实现了完全智能化、自动化的控制,创建了高度自动化、反映迅速并具备灾难恢复能力的电网。智能输电网实现了集中化的管理,生产管理系统更加智能化,分布更广、用户更多、交互性更强。

  • 智能-当电网发生异常状况,需要进行断电重启或断电时,速度比手工操作快得多
  • 电网互动-将实时用电需求量与发电量相平衡=>一个效率更高的电网系统
  • 互操作-“开源电网”无缝集成了多种能源电力设备(天然气、热电、水电),也为例如风能、太阳能、电动车、微型燃气轮机、燃料电池等绿色能源技术提供了发展平台
  • 友好的消费者-提供选择;消费管理;需求相应;自我服务;提升与客户的交流;提高预测恢复时间的准确性

1.5 美国智能电网信息安全技术研究

1.5.1网络攻防关键技术

美国将网络攻防关键技术视为网络战争技术的基础,以下从网络攻击和网络防御两个方面介绍有关网络战关键技术。

usp011

  • 网络攻击关键技术

网络攻击从攻击者的角度可分为被动攻击、主动攻击、邻近攻击、内部人员攻击和分发攻击等;从攻击对象的角度可分为对硬件设备的攻击、对网络协议的攻击、对应用系统的攻击、对信息内容的攻击、对主机操作系统的攻击和对服务进程的攻击等;从攻击的后果可分为网络信息系统或信息的保密性、完整性、可用性、可靠性等被破坏。网络攻击的关键技术主要有:

    1、探测侦察技术。主要用于收集目标系统的各种信息,为人侵和攻击网络提供帮助。探测侦察是实施网络攻击的前提,通过探测侦察,可以发现有价值的目标以及目标网络的漏洞和拓扑结构等。探测侦察技术主要有:战略侦察技术,即利用公开的搜索引擎、域名查询、DNS查询、网络勘察软件等技术,从计算机网络所连接的无边界网络中寻找攻击目标,并尽可能多的了解与目标网络体系、攻击价值相关的各种信息,以便确定目标。外围侦察技术。即采用流量分析、拓扑分析、加密数据流破解和认证信息获取等技术手段,以被动攻击的方式对特定目标实施侦察,从中获取目标活动的规律特点、在网络体系中的作用、使用的安全保密机制等,以便锁定目标,确定攻击战术。“火力侦察”技术,即针对攻击目标主机,采用直接接触性技术手段,探测与获取目标的重要信息,以获取网络攻击的主动权,相关技术主要有扫描技术和窃听技术。侦察分析技术,即通过对各种侦察手段所获信息的综合研究与科学分析,形成对目标的完整描述与整体认识,相关技术包括目标网络主机拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞利用研究技术等。

    2、漏洞挖掘技术。主要利用多种技术方法找出现有计算机系统在硬件、软件、网络协议设计与实现过程中或系统安全策略上存在的缺陷和不足,特别是那些鲜为人知的漏洞,以便利用漏洞获得计算机系统的额外权限,在未经授权的情况下访问或提高访问权限,从而取得网络攻击主动权。主要的测试方法有白盒测试、灰盒测试和黑盒测试。漏洞挖掘技术主要有:漏洞快速利用技术,即利用新漏洞发现后厂商修补漏洞前的短暂时间差,对系统发起快速攻击。人工分析技术,是攻击者在分析、寻找安全漏洞时常用的方法,主要包括:外部观察,了解文件类型、行为和外部接口;静态分析,检查程序用了哪些外部函数;静态考查更多的外部接口;通过反汇编,静态考查所发现的兴趣点;在静态分析基础上动态考查程序是否有溢出、格式串等问题。专业检测技术,比较成熟的静态漏洞检测技术有源代码扫描、反汇编扫描和浸透分析等,比较成熟的动态漏洞检测技术有环境错误注入。软件自动测试技术,以微软的SLAM比较典型,是检测并显示静态源文本及模型错误的静态分析工具,其基本理论是程序分析、模型校验和自动推演。

    3、密码破解技术。密码破解技术一方面用于直接获取目标系统普通或特权账户的访问权限,另一方面通过密码分析技术实现密码攻击,在破解密码体制的基础上,完成对系统的入侵、破坏或目标信息的获取。随着网络安全技术的完善,安全认证与访问控制已成为计算机信息系统管理不可或缺的重要安全措施,从而使密码破解成为网络攻击的重要技术。密码解破技术主要有:口令攻击技术,口令是网络对抗攻击面临的第一道防线,直接进行口令攻击的主要技术有字典式攻击、暴力攻击、登录特洛伊木马攻击、驻留攻击和监听攻击等。序列密码攻击技术,主要用于分析密钥流发生器,攻击类型有:利用密钥流序列统计弱点预测密钥流序列;使用等价的简单结构序列密码和更大的内部状态尺寸重构密钥流序列;重构秘密密钥且对每个新的随机密钥不必重复进行。通用的序列密码攻击技术有相关攻击、高阶相关攻击、穷尽密钥搜索、周期和统计攻击、线性复杂度、最大阶复杂度、重放密钥攻击、侧通道攻击等。分组密码攻击技术,其分析思路和技术主要有插值攻击、滑动攻击、代数攻击、明文相关重复码分析等;分组密码安全性研究的重点主要包括强力攻击、差分密码分析、线性密码分析、方表攻击、相关密钥攻击等。

    4、渗透控制技术。渗透控制是网络攻击的重要阶段,目的是利用各种技术手段进入目标主机或网络系统,并提升权限,达成远程控制,实现进一步的攻击。渗透控制技术主要有:欺骗植入技术,指攻击者利用IP欺骗、Web欺骗、DNS欺骗、ARP(地址转换协议)欺骗、电子邮件欺骗等各种方式进入目标主机,并将恶意代码植入系统内,实现对目标的攻击和控制。数据驱动渗透技术,指攻击者采用溢出利用技术、格式化字符串利用技术、输入验证利用技术、同步漏洞利用技术、信任漏洞利用技术等,通过向某个程序发送数据,从而得到访问目标系统的权限,实现对目标的攻击和控制。后门技术,是攻击者对目标实现控制的主要技术,具有代表性的后门技术是各种特洛伊木马。常见的木马有远程访问型、密码发送型、健盘记录型、毁坏型等。目前特洛伊木马正朝着跨平台、模块化、病毒式感染、即时通知、加密隐藏和秘密信道技术通联等方面发展。分布式攻击控制技术,指攻击者通过控制和协调分布在Internet上的大量攻击工具实现对目标网络的攻击。如攻击者通过传播僵尸程序可使大量主机感染僵尸,使用加密控制信道技术可以保障控制命令的隐匿和安全,使用P2P网络可以进行传播,以便在需要的时候接收攻击者的命令发动攻击。

    5、代码传播技术。网络攻击特别是网络战概念中的攻击,是通过各种各样的恶意代码来实现。随着代码传播技术的发展,以前需要依靠人工启动攻击软件工具发起的攻击,现在依靠攻击工具本身的智能就可以发起攻击。主要的代码传播技术有:自动传播技术,自动传播是病毒、蠕虫等恶意代码与生俱来的特性,利用自动传播方式需要不断完善目标选择技术,以便在最短时间内找获目标。目标选择技术主要有:随机选择技术、顺序选择技术、基于网络信息的选择技术、基于DNS的选择技术、基于目标库的选择技术、分布式选择技术和被动式选择技术等。非触发传播技术,该技术不需要目标用户的任何操作,通过复杂的移动应用技术生成攻击武器,在移动代码执行过程中可主动向访问服务器的用户传播。受控传播技术,该技术具有一定的方向性,侵入计算机系统后,可以潜藏在连接互联网的计算机中,接受机外遥控信息,收集目标计算机密码和重要信息。无线传播技术,随着战场无线网络的广泛应用和无线局域网的大量部署,通过无线链路实施攻击代码传播已成为重要的攻击途径,相关技术包括无线注入和移动平台间的传播等。

    6、目标破坏技术。对目标网络实施破坏是网络攻击的主要目的。通过对目标系统的破坏或以目标系统为跳板向其他系统发起攻击,可以导致目标服务终止、目标系统瘫痪、目标网络瘫痪等不同的结果。目标破坏技术主要有:阻塞类破坏技术,包括拒绝服务、蠕虫、病毒等攻击手段。针对特定目标的阻塞类攻击工具有网络炸弹,电子邮件炸弹等。控制类破坏技术,它是在取得对系统的控制权后实施,依据控制权限的不同,既可以针对特定目标,也可以针对整个受控网络;既可以是暂时性的,也可以是毁灭性的。

    7、攻击隐藏技术。指攻击者保护自己的技术。网络攻击者在发起攻击之前,必须确定使用什么样的隐藏技术与隐藏策略,以避免被目标网络安全管理员发现、追踪以及法律部门的取证。攻击隐藏技术主要有:攻击位置隐藏技术,由于在网络上标明位置的是IP地址,因此IP地址隐藏成为攻击位置隐藏技术所要解决的关键问题,主要技术有代理利用技术和木马程序利用技术。攻击行为隐藏技术,它是为了保证攻击的各个环节不被管理者发现而采取的技术,如在目标主机或服务器中实施窗体隐藏、文件隐藏、进程隐藏以及进程插入、加壳、注册表加载项隐藏,在网络上实施通信流量限制和隐藏等。比较完善的攻击行为隐藏技术是利用内核套件直接控制操作系统内核,已有的Rootkit几乎可以隐藏任何软件。攻击痕迹清除技术,即在攻击完成后,运用痕迹清除技术消除攻击留下的痕迹,以避免被目标发现,同时保留隐蔽通道,为再次进入目标系统提供方便。主要技术有日志清理和文件信息伪装等。

    8、安防突破技术。随着网络攻防技术的不断发展,安全防护技术也在不断完善。目前,安防突破技术主要有:反检测技术,通常采用能够隐藏攻击工具的线程捆绑技术、加密技术、反跟踪技术等,使杀毒软件和防火墙得不到足够的信息,从而难以区分程序是否合法;使对方不可能找到唯一的代码串和偏移来确定病毒的特征,使静态扫描技术失效;使分析者无法动态跟踪病毒的运行,无从知道病毒的工作原理而难以防范。动态行为技术,针对安全防范技术对攻击特征码的识别和静态检测,动态行为技术能够按照不同的方法更改它们的特征。如随机选择和预定决策路径或通过入侵者直接控制,可以改变它们的模式和行为;加密变形在传播感染不同文件时会构造解密功能相同但代码不同的解密子,以便对抗静态扫描。攻击工具模块化技术,该技术能够通过升级或对部分模块的替换完成快速更改,实现在不同平台上运行。例如,攻击工具采用IRC和HTTP等标准协议进行数据和命令传输,目标对象想要从正常的网络流量中分析出攻击特征就更加困难。尤其是攻击工具的组织化、网络化,使攻击工具由许多不同功能的组件构成,当攻击被某一台主机清除后,其破坏能力不受影响,因为分布在网络上的其它攻击工具可通过网络系统重新感染目标。

    9、战果评估技术。网络攻击是否造成了敌方网络拥塞,非法窃取和删改是否破坏了敌方核心数据的可用性、保密性和完整性,网络攻击是否需要改变部署和制定新的战术,都需要运用战果评估技术给予明确的答案。战果评估技术主要有:评估体系研究,它是攻击效果评估的依据,构建评估体系的指标包括攻击前提条件、攻击消耗资源、攻击技术水平、攻击产生后果、攻击目标等级、攻击模型关联性等多个方面。网络测量技术,不同的攻击方式会对网络性能造成不同的影响,如阻塞攻击会使网络吞吐量下降,时间延迟增加,响应时间变长;控制攻击会使网络流量、行为等出现异常;敌方面对攻击如果采取关闭网络节点、端口等防卫措施,会使网络拓扑改变等等。网络测量技术可以实现对上述情况的远程监测,实时掌握网络战场的变化,其主要技术有主动测量和被动测量。

  • 网络防御关键技术

    网络防御体系是信息安全保障的重要组成部分,它依赖于人、操作和技术来共同实现。重点是对信息基础设施实施“纵深防御战略”,做到多层防护。涉及的领域包括网络与基础设施防御、区域边界防御、计算环境防御和支持性基础设施防御等。网络防御技术主要有:

    1、攻击检测技术。通过技术检测发现安全漏洞和外来攻击,可进一步加强防护,健全安全策略。典型的攻击检测技术主要有:风险评估,指预测计算机系统和网络资源缺失或遭受破坏对整个系统所造成的损失,它对威胁脆弱点以及由此带来的风险进行评判,是建立安全防御体系的前提。风险评估方法主要有定量评估、定性评估以及定量与定性相结合的评估等。病毒检测技术,主要有文件完整性检测技术、基于特征码的病毒静态检测技术等。为防范未知病毒,目前正在研究或部分进入实用阶段的病毒检测技术有检测可疑操作指令的启发式检测技术,阻断恶意行为的行为阻塞技术,通过跟踪病毒自身解密过程检测多态病毒和未知病毒的虚拟机检测技术,检测变形病毒的“归0技术”,借鉴生物医学模型的计算机病毒免疫技术以及利用数字签名技术的防病毒研究等。入侵检测技术,主要用于检测网络系统中发生的攻击行为或异常行为,并进行阻断、记录、报警等响应。其技术包括基于主机、基于网络、状态分析、文件一致性检查、低速区域网络检测、大范围网络的高速入侵检测等。目前正在发展的还有分布式入侵检测与大规模入侵检测技术以及针对高速网络的实时检测技术等。在入侵分析技术方面,统计学方法、神经网络、免疫系统、基因算法、基于Agent的检测、数据挖掘技术等新兴理论得到逐步应用。在实际应用方面,正在构筑的入侵防护系统,可以预先对入侵活动和攻击性网络流进行拦截。

    2、攻击防范技术。攻击防范是在因特网基于IP的无边界网络上构建的有效防线。其主要技术有:密码与加密技术,即通过寻求产生安全}生高的密码算法,满足对信息加密或认证的要求。它不仅能够保证机密信息的安全,还能够完成数字签名、身份验证、系统安全等功能。密码加密技术主要包括公钥、私钥、密码基础设施等。认证与控制技术,认证是系统核查用户身份证明的过程,常用的认证技术按物理介质划分,主要有口令、磁卡、条码卡、IC卡、智能令牌、指纹、密码表等;按身份认证过程与系统的通信次数分,有一次认证、两次认证;按身份认证所应用的系统划分,有单机系统身份认证和网络系统身份认证;按身份认证的基本原理划分,有静态身份认证和动态身份认证。目前代表身份认证发展方向的技术主要有:动态口令、基于智能卡的认证、基于生物特征的认证等。访问控制是信息系统安全的核心策略之一,主流的访问控制技术包括自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制、基于组机制的Ntree访问控制等。访问控制的实现技术有访问控制表、能力表、授权关系表等。防火墙技术,主要用于在两个或多个网络间加强访问控制,保护网络不受外来攻击,是网络安全防护的手段之一。防火墙技术主要有分组过滤、应用代理、状态检测和自备安全操作系统等。目前需要加强和完善的重点是:防攻击技术、防扫描技术、防欺骗技术、包擦洗和协议正常化技术等。

    3、应急恢复技术。是指对突发安全事件进行响应、处理、恢复、跟踪的方法及过程。虽然保护网络安全的技术迅速发展,但实践证明,现实中再昂贵的安全保护也无法发现和抵御所有危害,因此完善的网络安全体系要求必须建立应急响应体系。应急恢复技术主要有:应急响应技术,它是防御方应对攻击所采用的技术。在技术实现上主要采取以下几种方式:通知警报响应,即发现入侵后实时报警;人工手动响应,即接到报警后手工清除攻击,切断网络,查找攻击的来源;自动响应,即对检测出的入侵或攻击行为实施自动隔离、自动阻断以至尝试某些反击等;大规模互联网络环境下的入侵响应,即通过整合防火墙、路由、安全管理系统等多种网络安全技术,提供更灵活、更优化的入侵响应措施。安全联动机制,即在相关组织间、组织内各部门间协调人力与信息资源,共同应对网络安全事件,既提供安全事件应急响应服务,又能实现信息共享、交换和分析。备份与恢复技术,它是保护和备份重要数据,保证网络灾难过后能够迅速恢复工作所采取的防御措施。传统的备份与恢复技术主要有主机备份、局域网备份和远程备份等。近年来随着网络存储技术的发展,又出现了诸如存储区域网、数据复制与实时热备份、分布式数据库、数据网格等自动恢复技术。入侵容忍,它是在系统受到攻击,某些部分受到破坏或被恶意攻击者操控时,通过触发一些防止系统失效的机制,保证系统继续提供正常的或降级的服务,不改变系统数据的机密性、完整性等安全属性的措施。主要技术研究包括自适应入侵容忍服务器体系结构、wi11ow体系结构、随机自适应人侵容忍系统、DoS入侵容忍分级自适应控制系统、入侵容忍数据库系统和实现容入侵与容错服务冗余的中间件体系结构等。

    4、相关安全技术。计算机网络已成为国家重要信息基础设施,构建新一代可信计算环境是信息技术领域的重要课题之一。目前,可信计算、可信网络、安全操作系统、安全路由器及安全数据库等方面的技术研究日趋兴盛,通过IPv6等下一代网络技术来改善网络安全状况的愿望也十分强烈。如:可信计算技术,它通过对用户身份进行鉴别,并与内部各元素互相认证,确保平台启动链中的软件未被篡改,并且具备由权威机构颁发的唯一身份标识,不再依赖现有不固定也不唯一的IP地址。其目标是致力于建成新一代具有安全、信任能力的硬件运算平台,提高系统内核的安全性和抗攻击能力。实现方法是通过在每一台计算机安装可信赖的智能芯片,在计算机内部建立一个特别区域,让软件在其中安全执行,这个受保护的空间可防止未经授权的应用软件删改数据。基于可信技术的硬操作系统能够检测到未授权的访问企图,从而在软件状态发生变化之前将其改变。将来,这个模块还可以被直接内建在CPU、显卡、硬盘、声卡等计算机硬件里。可信计算的主要技术包括可信计算平台模块PTM技术、可信操作系统技术、系统芯片(SOC)设计与测试的基础理论和关键技术等。IPv6技术是为解决IPv4网络存在的各种问题而提出的新技术,它通过巨大的地址空间、更具唯一性的地址配置、更严格的安全认证管理来实现网络的可控性。特别是通过工Psec安全协议集,可增强系统的安全性和认证功能;通过引入诸如邻居发现、路由首部与扩展首部、隐私保护、过渡机制等新的特性,增强信息传输的可靠性与保密性。

1.5.2 信息安全保密技术

    在计算机网络高速发展的情况下,加密是实现数据保密性、完整性最有效的方法。鉴于高速通信网络对加密技术的新要求,美国正致力于研发一种密码要素可变的加密技术,NSA和Sandia国家实验室均参与了该项技术的研究。据悉,目前已制造出几种密钥捷变加密样机,如Milkbush、Enigma2和可伸缩ATM加密机等。

    另一方面,在网络攻击活动日益增多的情况下,计算机系统的脆弱性成为五角大楼最为担心的问题。为确保信息安全,美国防部大力开发计算机网络安全保密系统。具体工作包括

  • 设置新的报警系统。

    美国防部为改进计算机网络遭受攻击的反映方式,设置了新的报警系统,使所有指挥层以标准化程序做出一致性反应,不仅提供防御措施,为国防部建立应对各种信息安全威胁的行动标准,还可在网络防护过程中明确相关作业指挥官的职责,并使作战人员在网络遭受攻击时仍可顺利获取信息。

  • 开发自动入侵探测环境系统。

   该系统能在一台标准显示器中无缝隙集成各种入侵探测装置,收集来自不同类型传感器的数据,分析比较并统一输入,在多个作战级将输人数据显示为单一的入侵检测报告,大大增强了国防部检測网络入侵的能力,提高了报告网络遭受攻击的及时性。

  • 部署主动网络防御系统。

    该系统能跟踪发现攻击的源头,并实时还击。其中,“移动代理”程序能探查到连接网络的路由器;“全面探查”;程序能扫描网络传输的数据,找到正在发生或将要发生的网络人侵线索;“指示和标记”程序能探测到数据包中的可疑行动并找到攻击源头。

  • 研制国土安全指挥控制系统。

    美国防部筹资5 38 0万美元研制的“国土安全指挥控制系统”,把各种数据信息、各个网络系统甚至是各种软件综合到一起,可及时跟踪了解各种情况。

  • 开发网络安全新技术。

    美国Invitica网络公司开发的网络安全新技术,通过不断改变用户的IP地址,使网络处于变动状态,从而防止他人入侵用户网站。美国SRI国际公司和国防高级研究计划局开发的“祖母绿”新型计算机网络安全技术,  以异常情况为基础,可在网络的多个系统中部署,实时确定计算机受攻击的范围,探测计算机系统从未经历的新攻击。

研制防止敌方“入侵”计算机的数据库和信息库。该数据库和信息库可以保护关键的指挥和控制系统,当系统受到攻击时,能够脱离操作并自动与空军信息战中心和计算机应急分队等连接,利用最新的对抗信息来更新数据库,达到保护计算机和网络不受攻击的目的。

1.5.3 漏洞挖掘技术

    2002年,美国国防部高级研究计划局在OpenBSD源码审核成功和Linux安全审核计划的启发下,开展了针对Linux缺陷分析Sardonix项目。2004年,美国国土安全部高级研究计划局在赛博安全研发计划中,将软件二进制代码模型检查、开源软件加固计划、Copilot高保障性与独立安全审核系统、基于静态与运行相结合防止SQL代码注入方法等,列为漏洞发现与修复项目。2006年,《美国联邦赛博安全和信息保障研发计划》将研究检测漏洞和恶意代码方法、技术和工具,为软件安全提供保障能力,作为漏洞与恶意代码检测研究的主要目标,提出要改进安全漏洞源码、目标码以及二进制码扫描分析工具和自动化测试工具性能,解决漏洞挖掘错报率高、适应性差等技术问题,重点攻研恶意代码检测仿真、代码扫描、功能提取、隐信道检测与追踪等有发展前景的技术。同时,还要改善分析工具的互操作性,解决反汇编、调试和程序切片(slicer)工具的一体化问题。

    基于开源软件在政府机构中的广泛使用和UNIX操作系统存在的大量缺陷,在公共领域主要支持开源软件漏洞研究工作。如“开源软件漏洞发现和修补加固计划”,就是一个包括对约40个开源软件包进行例行安全审核的项目。该项目2006年初启动,投入资金124万美元,计划3年完成。它通过对开源软件项目所涉及的约1750万行代码进行扫描分析,达到改善其安全性和可靠性的目的。

    另外,漏洞利用库与漏洞利用框架的研究也在不断深入。具有代表性的是Metasploit架构研究,已成为渗透测试、漏洞利用开发和漏洞研究的有力工具。Immunity公司的CANVAS,包括数百种漏洞利用,是自动化的漏洞利用系统和开发架构。

1.5.4 网际安全研究

   美国众议院科学与技术委员会于09年11月通过了一项新的法案,增加了NIST在网际安全(cybersecurity)方面的职能。根据此法案,NIST将负责指定一个计划来协调政府和国际组织间在开发新的网际安全标准方面的合作。同时, NIST也将于政府机构,业界和学术界共同合作,对网际安全风险和最佳实践等,进行公众教育。

usp013

(1)加强顶层领导。通过以下事项来加强对网络空间安全的领导:设立一个总统的网络空间安全政策官员和支持机构;审查法律和政策;加强联邦对网络空间安全的领导力,强化对联邦的问责制;提升州、地方和部落政府的领导力。

(2)建立数字国家的能力。提升公众的网络安全意识,加强网络安全教育,扩大联邦信息技术队伍,使网络安全成为各级政府领导人的一种责任。

(3)共担网络安全责任。改进私营部门和政府的合作关系,评估公私合作中存在的潜在障碍,与国际社会有效合作。

(4)建立有效的信息共享和应急响应机制。建立事件响应框架,加强事件响应方面的信息共享,提高所有基础设施的安全性。

(5)鼓励创新。通过创新来解决网络空间安全问题,制定全面、协调并面向新一代技术的研发框架,建立国家的身份管理战略,将全球化政策与供应链安全综合考虑,保持国家安全/应急战备能力。

(6)行动计划。提出了近期行动计划10项和中期行动计划14项。

1.5.5 网络末端安全防护技术

    网络末端安全防护技术,重点关注网络末端计算机及其操作系统,相关的使用人员,多种安全风险途径,信息资产的完整性和保密性,网络末端安全行为的可追究性等方面的问题。防止对网络末端用户恶意信息盗取、信息破坏和信息篡改等攻击行为,防止网络末端用户通过网络将内部机密信息有意或无意泄漏出去,防止网络末端用户对内部重要数据服务器进行攻击和破坏,并对安全事件进行审计跟踪。在制定技术策略时,尤其要重视以下系统的安全。

    一是操作系统安全。强制安装个人防火墙以及防病毒、防垃圾邮件和防间谍软件;强制进行系统补丁升级与防病毒软件更新;采取GHOST或其它软件对系统进行备份,定期进行刷新恢复;强制定期更换系统登陆密码;删除GUEST等无用用户;关闭不必要的系统服务,尽量简化系统管理,配置操作系统、运行程序、系统进程、系统服务、注册表等安全访问策略;限制安装应用软件。

    二是网络访问安全。为上网终端配置网络准入规则,限制非法外联;简化网络管理构架,限制网络末端多点连出;面向所有参与实体,加强身份认证管理;细化应用层安全控制策略,进一步提升边界防御能力;部署有效的网关级杀毒引擎,减少利用电子邮件对网络末端计算机进行病毒传播的安全威胁。

    三是网络末端信息数据安全。利用文件驱动、应用程序、临时文件和API钩子等技术,完成末端数据加密,实现对数据信息的强制保护和控制;利用磁盘加密技术,对所有文件进行强制保护,结合用户或客户端认证技术,实现对网络末端用户磁盘数据的全面保护;按照相关标准清除已经删除的各种数据,对敏感数据应进行三次覆盖,对包含机密信息的网络末端用户,采取更高级别的废弃数据文件清理措施;设置查看、浏览、打印、复制、时间限制等信息安全访问权限,从核心业务流信息的产生、传播、使用、销毁等各个环节进行安全控制与管理。

    四是接口控制。在重要网络中,对网络末端计算机的USB、串口、并口、COM、CDROM等外设接口进行控制,使终端用户无法使用相应接口的硬件设备,防止从网络末端非法接入因特网和机密信息的泄漏。

    五是移动存储设备控制。规定用户终端对移动存储设备的使用权限,确保客户端不能随意使用移动存储设备;对移动存储设备的数据输入/输出进行审计,对使用的设备进行密级识别认证,确保只有经过认证的设备才能在安安控制域中使用;利用屏蔽物理接口、锁定没备驱动软件、网络阻挡等技术手段,防止信息转载到移动硬盘、PDA、数码相机及其它外部移动设备所引起的信息资产被窃取和泄漏。

    六是监控与审计。对网络末端实施监控和审计,对计算机终端采取集中管理控制策略,监控系统的访问和使用,检测与访问控制策略不符的情况。监控范围包括与末端计算机有关的外设、应用程序、网络访问、信息资源、系统补丁和病毒升级包等。监控内容包括操作系统和应用程序补丁、木马程序、防病毒软件版本、病毒特征库版本、违规软件安装、共享目录、屏幕保护密码、监控软件安装等。同时对终端用户的行为进行实时监控,确保用户只能进行安全策略所允许的操作,当网络末端加入其它网络或脱网运行时,要有相应的保护和监管策略;能及时发现接入网络的无监控软件的非法计算机,并予以报警,主动阻断其网络连接。审计功能包括对网络末端进行安全监控,并将监控事件记录下来,形成完整的日志;按照多种条件进行搜索查询,并生成多种形式的报表,自动上传到第三方服务器,由专门人员进行日志分析整理;发现违反安全策略的行为和需要改进的地方,及时凋整安全防御策略或在出现安全事故时提供证据。对敏感网络末端用户,还应从HTTP、FTP、EMAIL等出口,对外发信息进行监控,对敏感关键字进行延迟审计。

网络末端安全技术防护是一个非常细致的问题,要实现全面安全防护,最好的办法是建立一个网络末端安全保障系统。其服务端配置在网络末端各个计算机系统中,控制管理端能够同保护网络边界和网络基础设施的安全产品与技术结合起来,共同组成网络安全保障体系,提升信息安全保障能力,对抗来自网络内外的各种安全威胁。

1.5.6 网络测量技术

网络测量是指通过收集数据或分组的踪迹,定量分析不同网络应用在网络中的分组活动情况,从而获取网络行为第一手指标参数的手段。网络测量和网络行为分析技术最初主要着眼发现网络瓶颈,优化网络配置,加强网络管理,为Internet流量工程和网络行为学研究提供基础辅助依据和验证平台,为开发高性能网络设备和设计网络协议提供理论基础。随着网络测量技术的发展,网络测量在保障网络安全,防范大规模网络攻击方面的重要作用,特别是对网络对抗与信息战的支持作用,受到了更多关注,针对Internet的测量与分析已成为学术界、企业界和国家政府部门普遍关注的重要问题之一。

面对日益严重的网络安全威胁,利用大规模网络测量可以对网络流量与网络拓扑的变化进行分析,对网络在异常环境下的可生存性做出分析与评估,为防范大规模网络攻击提供预警手段,使国家对网络管理更具宏观控制力。网络测量在网络安全管理与防护中,至少具有以下几个方面的应用:

(一)网络监视。在对网络长期观测并掌握其正常行为、异常行为及其动态变化模式的基础上,通过对用户、操作系统、路由器和数据库的网络测量,可对网络故障和异常事件做出评价和报告。

(二)网络质量控制和辅助管理。根据长期观察所得到的路由数据实施网络选路,有利于制定安全策略,研究网络被破坏后的网络资源自组织等。

(三)防范大规模网络攻击。通过在大范围内进行网络行为监控,判断有无入侵活动和是否受到攻击,为防范大规模网络攻击提供预警手段。

(四)为网络安全评估提供依据和技术手段。利用网络测量技术时网络脆弱性进行分析,评估网络和基于主机的系统潜在的安全隐患,提高防护水平。

(五)攻击源定位。通过对网络攻击行为的实时监测,发现攻击源头的地理空间位置,并根据需要进行反向跟踪。

(六)支持网络攻击与对抗。利用非合作探测工具,隐藏探测者的踪迹或身份,实现无踪迹探测,进而掌握对方网络拓扑结构及应用状况;通过部署具有抗毁性、可升级的单点及分布式探测体系结构,对获取的信息进行有效组织,实现对网络对抗中战场态势的掌握;根据网络测量结果,研究如何实施信息隐匿、阻塞和伪装,实现主动防御。

网络测量对于研究Internet拓扑结构和流量特征,优化网络结构,实施有效管理,保障网络安全,具有非常重要的意义。由于Interne t的不断庞大和复杂,采用单一测量工具已经无法满足网络测量的要求,需要构建Internet测量基础设施,包括必要的测量平台和数据收集平台及其对平台的控制。为此,从上个世纪90年代开始,国外研究机构已经着手构建网络测量基础设施,构建的基础设施和研究项目主要有:

  • 美国国家Internet测量基础框架(NIMI)

由美国国家科学基金(NSF)和美国国防部高级计划局(DARPA)资助,其目标是建立一个全球化、分布式、大规模、可扩展、动态的Internet测量基础架构。NIMI由分布在北美和亚洲的大量网络探测点NPD构成,NPD之间相互交换测量信息以获取对网络全局的认识。主要特点是:支持多种测度标准,设计了通用测量“引擎”以支持不断出现的新测量标准;较好解决了大规模网络中测量点的协调问题,其原型系统己支持1 03规模的测量点;由管理人员全权控制,并能通过访问控制列表进行基于策略的授权;交换的测量数据包含有证书信息认证;第三方测量工具能够以工具包的形式加入NIMI。该项目分Mafk I、Mark II、Mark III三个阶段实施,并逐步迈向智能化。

  • 端到端性能监控项目PingER

由斯坦福线性加速器中心发起,采用主动测量方式发送ICMP数据包,用ping测量RTT、丢包率等,进而推算系统的性能。在全球14个国家部署了34个监测点,可以监测74个国家3300条链路的网络性能。该项目采用泊松分布的采样序列,加入跟踪器,同时考虑了采样速率和开销大小的影响。此外,斯坦福线性加速器中心与美国能源部等,还运用PingER工具建立了一个测量架构IEPM。

  • 被动共享网络发现SPAN

由Berkeley大学和IBM共同开发,采用被动共享测量,通过发送UDP,TCP分组,让客户机向性能服务器汇报网络性能,同时在网关加设了性能捕获主机辅助测量。

  • 网络分析基础结构NAI

由美国应用网络研究国家实验室NLANR测量和运营分析小组MOAT开发,目的是通过原始数据的收集和公布,支持网络测量可视化的研究与分析。NLANR主要包括基于主动测量的.AMF和基于被动测量的PMA两个子项目。AMF旨在测量和分析通过高速网络互联的网络节点间的性能,在全球部署了近150个监测器,采用主动测量方式测量网络回路延迟、丢包率、拓扑结构和网络吞吐量等网络性能参数。PMA旨在深入研究Internet网络形态和健壮性,为高性能网络提供协作性的服务支持,其监测生成的被动报文头跟踪数据,为在高速网络环境下研究网络流量、链路负载等网络性能提供参数。

  • surveyor工程

是非盈利性国际学术研究组织Advanced Network & Services Inc开发的研究项目,旨在建立用于长期测量广域网端到端单向延迟、丢包率和路由信息的测量框架,己在全球建成多个测量节点的测量平台。它采用IPPM(IETF网络协议性能指标)己经定义好的标准测量方法,利用主动测量方式获得拓扑和性能数据。其特色是采用标准的测量方法,利用GPS进行时钟同步,单向测量准确率较高,测量结果具有可比性。

  • RIPE—RIS项目

主要测量通过控制信息监视方式收集的拓扑和路由数据,提供互联网上实时的BGP路由信息,并可以让用户选择时间段,其收集的路由数据更加丰富。

usp005

总结:IDF实验室认为,智能电网安全防护复杂度和难度 、安全标准匮乏、攻击手段智能化、来自用户侧的威胁增加、终端设备漏洞等将大大提升信息安全在智能电网中的比重,其安全治理应学习美国等发达国家的经验,结合我国电网和用电布局特点,积极开展:1、国际安全威胁情报与组织的研究与交流;2、为有能力和操守的安全企业与民间机构提供攻击和研究实验环境;3、协同各方修订电网安全灾备应急预案,在重点城市开展有效的公共安全演习与教育。

(全文完,免费索取完整版请以中国大陆单位邮箱并附联系确[email protected]

usp010

 [email protected] 共同呵护未来

IDF 二维码 小

                                                      

版权声明:自由转载-非商用-非衍生-保持署名 | Creative Commons BY-NC-ND 3.0
  1. 本文目前尚无任何评论.