核电站工控信息安全风险与探讨.docx

在过去的几年里，世界各地区因伊朗的“震网病毒”事件惶惶不安，随着工业革命新一轮的浪潮，国家关键基础设施安全与国家安全一并提上日程，各国之间网络空间战拉开序幕。过去采用纯物理隔离的工业控制系统安全防护方式，看似无懈可击，实则在新一轮的技术革命中不堪一击，显得无力而苍白。各国之间能源竞争白热化，纷纷动手抢占资源的至高点。而安全是保证国家和平发展的前提。核电站往往让大众感到神秘而敬畏，核电站最大的影响是核事故、核灾难。核电站事故不但会影响周边环境，其影响甚至会超出国界。核安全要求在核电站设计、制造、建造、运行和监督管理中，将风险降低到能够实现的最低水平。为此，必须基于人们对核安全的根本目标和原则的理解，正确认识它们之间的相互关系。对核电站规定了三个安全目标：第一个是总的核安全目标，即实现核电站的安全、稳定、可靠运行，其余两个是解释总的目标的辅助性目标，为辐射防护目标和技术安全目标。总的核安全目标由辐射防护目标和技术安全目标所支持：1. 辐射防护目标保证在所有运行状态下，核电站内的辐射照射或由于该核电站任何计划排放放射性物质引起的辐射照射保持低于规定限制并且合理可行尽量低，保证减轻任何事故的放射性后果。2. 安全技术目标采取一切合理可行的措施防止核电站事故，并在一旦发生事故时减轻其后果，对于在设计核电站时考虑过的所有可能事故，包括概率很低的事故，要以高可信任度保证任何放射性后果尽可能小且低于规定限制，并保证有严重放射性后果的事故发生的概率极低。而网络安全是保证安全目标的最重要一环，没有网络安全就没有核电站的安全，安全目标也难以保证。PICS工作站用以提供详细的信息和控制手段来操作电厂运行，如果PICS不可用时，就用后备的常规控制盘安全信息控制系统(SICS)来对电厂进行控制，包括在事故后工况下对电厂物理参数进行显示，以帮助员工对电厂的状态进行监视；包括集中必要的控制命令把反应堆维持在稳定的负荷状态运行一定的时期，并在正常或异常工况下将反应堆带到安全停堆状态。PICS系统的主要功能是为操纵员在所有的电厂工况（正常、DBC和DEC）下能对电厂进行监控。并通过人机界面设备向机组人员提供信息, SICS提供了安全级人机界面，以执行Fl级和F2级满足抗震要求的控制及信息功能。在正常工况下，如果PICS不可用时，维持电厂在稳定的功率状态运行一段时间；在事故工况下（DBC2到DBC4），且PICS不可用时，将电厂带到并维持在安全停堆状态；在DEC-B（严重事故）工况下控制和监视电厂。对于控制系统安全，核心关键安全设备的重要性不言而喻，在核电站中核心关键安全设备的选型应遵循以下原则。1.国产化原则如核电站系统中使用的安全产品应当优先选用国产产品，以杜绝国外供货方提供的产品存在后门以及其它安全隐患。产品应获得国家相关部门的批准或认证。2.成熟性原则如核电站系统采取的安全产品以及解决方案，在技术上必须是成熟的，而且是被检验确实能够解决安全问题、并且在相关项目上有大规模实施以及成功应用的案例。3.适用性原则安全产品应当适用于工控系统，支持系统的工业协议（如Modbus、Profibus、S7协议等），产品能够审计及监测系统流量。4.可靠性原则核电站系统配置的安全产品必须能够适应核系统的工作场景，具备良好的电磁兼容性以及连续工作不中断的能力，并且具备在一些场景下的旁路功能。通常，串行通信模块每个接口可单独配置为RS-232 或RS-485，且每个通信接口可以单独设置波特率、通信协议等通信参数。COM通过扩展I/O总线，利用MODBUS、自定义通信协议等协议将第三方设备的数据连入自动化控制系统。而PROFIBUS现场总线接口，PROFIBUS主站通信模块为PROFIBUS从站设备及支持MPI协议的PLC与自动控制系统之间提供通讯接口。同时，PROFIBUS-DP 主站接口，负责与PROFIBUS 从站的通信，并可通过扩展I/O总线将PROFIBUS设备连入自动控制系统。类似的还有FF、HART等。控制器是控制站执行控制任务的核心部件，依据用户可组态的控制策略对现场对象进行实时控制，实现连续控制、顺序控制、逻辑控制等各种类型的回路控制任务，并可实现数据采集、运算输出、故障检测与报警、信息传送等功能。控制器对网络、冗余通道、RAM、RTC、组态数据等进行周期性的自检，并在工作控制器检测到故障时，自动切换到备用控制器。在输入故障时，信号可按组态处在三种情况：保持、量程上限或者量程下限。在输出故障时，信号可根据组态保持或者输出预设安全值。而在实际生产中，核电站数字化控制系统存在以下信息安全风险：首先，工控计算机和工业以太网，可能遭到与攻击民用/商用计算机和网络手段相同的攻击；其次，针对工业控制系统中的组态及系统配置管理软件的攻击，可以改变控制系统内在逻辑，从根本上破坏控制系统应用功能；再次，核电站数字化控制系统与其他系统接口通常采用基于RS-485、232的现场总线（如Probus、Modbus等），极易遭到窃听和恶意攻击，如果不考虑信息安全防护措施，将成为极易被攻击的薄弱点。此外，核电站数字化仪控系统实时性高，且要求连续运行，不能采用目前传统的加密、解密设备，从而无法保障信源认证、消息完整性检验和信息内容保密。常规防病毒软件也会极大的损害核电站控制系统的实时性。所以从信息安全角度来讲，以当前国内核电站数字化控制系统的现状，信息安全风险极高。由于现场运维人员缺乏对技术网络和过程状态的了解，导致如工业网络中出现未授权的网络设备、未经授权的网络通信、操作员或工程师失误向控制设备发送破坏性的命令，缺乏DCSPLC来往通信控制技术过程的命令和参数值的监测、事件缺乏取证数据、出现可疑的技术过程参数时缺乏有关安全威胁数据、缺乏PLCDCS等修改尝试和危险过程控制命令时的活动数据、缺乏重新配置或更改DCSPLC状态的命令审计，包括终止、暂停、变更DCSPLC、固件变更、控制过程参数和算法，在工业控制系统网络保护设计的过程中，通过过程控制的抽象层运行，分析和检测流量来源，同时对工业网络和工业控制过程进行完整性控制。另外，核电站其非安全区本身的架构设计存在缺陷，还有诸多的系统漏洞，以及管理上的隐患。给神秘的核电站，带来了安全危机。在架构设计上缺陷如： 未识别关键监测点和控制路径，可能导致核电站仪控系统关键控制路径业务过饱和，关键监测点出现故障，遭受攻击时未能被及时发现，导致危害进一步扩大。 用户、数据与设备认证手段不足，导致核电控制系统信息泄露，DCS、PLC、仪器、仪表、采集系统（KDO、KME、EPP、LSS、TRA等）、核电站专用控制系统KSN、KDA等关键系统、设备控制指令被篡改，关键控制数据被篡改，失去控制。 缺乏网络通信数据完整性校验，未实施数据流控制，未加密，弱加密，数据在传输过程中可能会有丢失或者误码或者被篡改，甚至程序的逻辑被修改，从而对核电站的正常运行产生难以应对的安全威胁。 未定义网络边界，不清楚攻击源在哪里，泄密、攻击、病毒等等，存在许许多多不可控的安全隐患，如未定义生产网络和办公网络的边界，可能导致核电站工艺参数信息泄露，生产系统遭受病毒攻击，核心资产数据泄密等等。 安全边界防护设备或者策略配置不当，如不根据核电站的安全需求进行合理的安全防护设计，或者防护设备策略配置不当，可能导致其防护设备起不到应有的防护作用，甚至对核电站的生产运行造成负面的影响，例如在生产安全区内部署不能满足生产实时性的阻断性防护设备，可能导致控制网络中断，最终造成生产事故，再如，防护设备自身存在Bug，导致其Bug被黑客或对手利用，对核电站造成损害。 专用系统中存在非法流量，专网中没有运行专用网络协议，在专有的系统中，如生产区的控制系统中，将控制系统和其他非控制系统的流量走共同的线缆，导致安全级别高的系统可能受到来自安全级别低的系统的攻击串染。没有走专有的协议，同样存在系统下发指令错误，导致系统沦陷的可能。 关键设备未梳理出来，就做不到关键核心设备重点保护，一旦核电站遭受攻击，系统将全面瘫痪。在非安全区的核电设备存在诸如以下漏洞，其漏洞一旦没利用，对其控制系统进行攻击，将可能造成大面积的生产安全事故。系统自身的漏洞如： 缓冲区溢出 拒绝服务 非标准报文处理 未及时升级补丁包遗留的操作系统漏洞 运行不必要的服务 未有适当的日志记录另外按照漏洞可能造成的危害，核电站工控系统技术漏洞可分为非授权执行、非授权写入、非授权读取和拒绝服务四大类威胁： 非授权执行指的是ShellCode执行、命令注入等可以直接对系统造成较大程度控制的漏洞。 非授权写入指的是能以某种方式在系统上写入文件、修改用户密码和系统配置等，但无法直接执行代码的漏洞。 非授权读取指的是能读取指定或任意文件、内存信息等漏洞。 拒绝服务负载过大导致软件无法正常工作。核电系统漏洞被攻击路径： 服务器漏洞这是指位于提供网络服务的进程中的漏洞，攻击者可以通过网络在另一台电脑上直接进行攻击，进而获取远程服务器上存储的重要数据甚至控制权限。由于远程服务器面临整个因特网上的网络访问，相应的风险威胁很高。 客户端漏洞很多是基于浏览器的，这类漏洞需要诱使用户访问某个恶意网页才会被触发。包括ActiveX控件、跨站脚本攻击、JAVA插件和flash插件或者浏览器自身的问题。用户的系统将面临被控制的风险，用户的登陆凭证、账户、口令可能被窃取。由于需要客户端主动触发漏洞，对应的风险相对于前者较低。 本地漏洞这是指必须登录到安装软件的核电站设备操作系统上才能利用的漏洞，该类漏洞主要用来提权。因利用条件苛刻，通常攻击者先利用远程漏洞获得远程执行登录或者远程执行权限。然后再利用本地漏洞进行提权，将已获得的控制权限扩大化。由于需要先获取本地登录，对应的风险相对于前者较低。作为关乎国家安全最最关键的核心关键基础设施，核电站工控系统安全对国家安全、社会经济具有重要的影响，通过分析其系统中存在的风险，其安全防护机制亟待完善和提高。1. 管理上应具备以下管理措施 信息安全领导小组 相应的安全管理制度 安全应急预案 安全审计流程 系统配置备份 内部外部之间的沟通 信息安全基本技能培训，信息安全意识培训，信息安全管理培训 外包开发，制定安全开发规范，外包软件采购验收计划 系统改造时的安全变更制度规范 针对运营环境变更的硬性指标总制度 应制定关键数据资产及通信保护方针和规程 应制定身份识别和验证保护方针和规程2. 关键数据资产的划分以及信息安全防御模型目前核电站数字化控制系统的信息安全标准尚无专门标准规范进行规定，为此也无专门设计的防御策略。在此根据核电站工艺系统“纵深防御”模型，设计核电站控制系统信息安全纵深防御模型。纵深防御原为军事术语。我国的核安全法规HAF102核动力厂设计安全规定要求核电站必须具有5层纵深防御的措施，该概念在核电站的另一个典型应用是在设计中设置的多道实体屏障。通过燃料元件包壳-压力边界-安全壳的三重纵深防御，大大降低大规模放射性物质释放的风险。核电站信息安全纵深防御模型对核电站内的数字设备进行分层，并针对每一层的情况确定不同网络层的边界，建立信息安全多层的纵深防御模型。针对每一层网络，确定该层络的信息安全要求，分配在同一层的数字设备具有相同的保护等级，确定该层网络缓解安全风险的方法。同时确定网络间的接口安全要求、网络间的隔离要求，确定是否需要部署物理隔离、逻辑隔离等网关设备。核电站数字化仪控系统平台纵深防御模型见下图：核电站数字化仪控系统平台纵深防御模型1. 纵深防御模型分析Level 0 工艺系统接口层此层网络属于核心网络，最高等级的保护区域,。这层网络包含了反应堆安全仪控控制系统（TXS）以及厂级监控系统数据。其所有的网络设施应当位于核电站的保护区域内，非授权人员无法访问该网络。并且需要物理隔离手段。同时针对网络威胁提供最高等级的防护。Level 0的主要安全手段包括： 使用单向网关或类似技术向Level 1单向传输； 物理方式或逻辑方式保护设备端口； 所有设备柜配置开门报警系统； 与低层网络之间的设备保持实体隔离； 通过只带有监听功能的设备，被动监测Level 0的安全状况；Level 1 自动控制和保护层Level 1提供核电站的常规岛数字控制系统（TXP）以及辅助系统的控制系统。Level 1的主要信息安全手段可以包括： 通过专有隔离装置与Level 3连接； 网络设备应该静态配置，并且禁用不使用的端口； 与低层网络之间的设备保持物理隔离； 部署身份认证系统，授权访问相关设备以及功能； 卸载不需要的程序应用以及操作系统功能。卸载非必要和不使用的应用以及操作系统功能，建立白名单系统，授权以外的程序不允许运行。Level 2 控制和监视层Level 2主要为电站的实时生产信息管理系统，实时接收来自一二层的生产数据。这一层的安全防护主要有： 通过专有隔离装置与Level 3连接； SICS和PICS行为、指令、流量实时监测审计； 深度解析工控协议，阻断不信任异常行为； 建立主机面正常行为白名单模型，将风险隔离在模型之外； 网络设备应该静态配置，并且禁用不使用的端口； 卸载不需要的程序应用以及操作系统功能，建立白名单系统，授权以外的程序不允许运行。Level 3 全厂信息管理层（包括MIS系统等）Level 3分别部署生产局域网和企业广域网，主要包括生产模拟机系统、通信、管理信息系统等，提供适当的信息安全保护，依赖于纵深防御技术，使用替代的冗余设备和方法来缓解风险，也可以使用IT行业通用的保护手段进行信息安全保护。 与Level2通信链路实施隔离措施，实现分层安全防护； 建立主机面正常行为白名单模型，将风险隔离在模型之外； 部署统一安全管理，实现策略、日志、告警的统一管理、收集、分析。威努特纵深防御核心技术理念：运用白名单的思想，通过对工控网络流量、工作站软件运行状态等进行监控，运用大数据技术收集并分析流量数据及工作站状态，建立工控系统及网络正常工作的安全模型，进而构筑工业控制系统的网络 “安全白环境”。 只有可信任的设备，才允