纵深防御标准体系

采取纵深防御体系架构，确保核电可靠安全(缪学勤)AdoptingDefenceindepthArchitecture，EnsuringtheReliabilityandSecurityofNuclearPower摘要：核电安全关系国家安全，在建设核电厂时应优先考虑核电厂网络信息安全。因为工业网络安全有更高要求，所以工业网络开始转向基于工业防火墙/VPN技术相结合硬件处理方案。深入分析了核电厂网络安全关键威胁，比较全方面地叙述了工业网络信息安全中包含关键技术和处理方案，叙述了核电厂全数字化控制系统信息安全多层分布式纵深防御处理方案。采取基于硬件信息安全技术，创建核电厂纵深防御体系架构，确保核电厂可靠安全。关键词：核电厂信息安全黑客攻击硬件处理方案纵深防御体系架构0引言多年来，黑客攻击工厂企业网络事件逐年增加。据信息安全事件国际组织不完全统计，多年来世界各地共发生162起信息安全事件。近几年，美国公开报道、因黑客攻击造成巨大损失事件多达30起。听说，因为多种原因，还有很多起事件中受害企业不准报道，保守秘密。其中，1月，黑客攻击了美国电力设施，造成多个城市大面积停电，造成了严重经济损失。由此使得工业网络信息安全成为工业自动化领域新关注热点。1核电厂开始面临黑客攻击威胁6月，德国教授首次监测到专门攻击西门子企业工业控制系统”Stuxnet(震网)”病毒。该病毒利用Windows操作系统漏洞，透过USB传输，并试图从系统中窃取数据。到现在为止，”Stuxnet”病毒已经感染了全球超出45000个网络，关键集中在伊朗、印度尼西亚、印度和美国，而伊朗遭到攻击最为严重，其境内60%个人电脑感染了这种病毒。最近，经过大量数据分析研究发觉，该病毒能够经过伪装RealTek和JMicron两大企业数字署名，从而绕过安全产品检测；同时，该病毒只有在指定配置工业控制系统中才会被激活，对那些不属于自己打击对象系统，”Stuxnet”会在留下其”电子指纹”后绕过。由此，赛门铁克企业和卡巴斯基企业网络安全教授认为，该病毒是有史以来最高端”蠕虫”病毒，其目标可能是要攻击伊朗布什尔核电厂，图1所表示。因为这种”Stuxnet”病毒目标是攻击核电站，所以被形容为全球首个”计算机超级武器”或”网络炸弹”。”Stuxnet蠕虫”病毒专门寻求目标设施控制系统，借以控制核电设施冷却系统或涡轮机运作，最严重情况是病毒控制关键过程并开启一连串实施程序，使设施失控，最终造成整个系统自我毁灭。受”Stuxnet”病毒影响，伊朗布什尔核电厂于8月启用后发生了一连串故障。但因为发认为早，并立即采取方法，才没有造成严重后果。由此可见，出于多种目标部分黑客开始向工业领域渗透，把关键基础设施(如电力、核电、化工、炼油等)工业控制系统作为攻击目标。在这种情况下，美国发电厂和大型电力企业对网络安全尤其重视。，美国联邦能源管理委员会FERC(FederalEnergyRegulatoryCommission)正式同意了CIP002~CIP009关键基础设施保护8个强制性标准。CIP标准由北美电力可靠性保护协会NERC(NorthAmericanElectricReliabilityCouncil)负责制订。该标准是对大型电力系统有着深远影响网络安全标准，标准要求了大型电力系统确保进行安全可靠信息交换所需最低要求。美国联邦能源管理局向电力企业下达命令：每个发电、输电和配电部门，不管是否属于关键资产部门，全部必需在年底之前推行这些条例。电力供给和输配电部门必需采取明确安全防范方法，以确保连续供电。不符合该标准情况一经发觉，企业可能被处以高达天天100万美元罚款。伴随核电厂数字化、智能化程度提升和新通信方法出现，核电厂信息安全防护难度不停增加。为了应对核电厂信息安全新挑战，美国核能研究院NEI(NuclearEnergyInstitute)于5月公布了”核电厂网络信息安全导则”(CyberSecurityGuidanceforNuclearPowerPlants)白皮书；同年12月，美国核管理委员会NRC(NuclearRegulatoryCommission)颁布了DI&CISG01”核电厂网络信息安全”(CyberSecurity)过渡性审查导则，高度重视核电厂信息安全。2核电厂全数字化控制系统核电站全数字化控制系统是以工业网络为中心实现实时分布式系统。系统采取分散控制、集中管理分层分布式控制结构，包含运行和控制中心系统、电厂控制系统、保护和安全检测系统、多样化驱动系统、数据显示和处理系统和堆芯仪表系统等子系统。控制系统由工程师站、操作站、现场控制站、通信控制站、打印服务站、系统服务器、管理网络和系统网络等组成。核电厂全数字化控制系统组成图2所表示。图2核电厂全数字化控制系统组成简图整个系统是基于Client/Server体系结构大型分布式控制系统，从逻辑结构上划分，系统共分为现场采集控制层、监控层和管理层三层网络。管理层采取TCP/IP以太网；在监控层，操作站、工程师站、中央处理服务器和不一样系统之间采取工业以太网，有很强网络互联能力；现场采集控制层采取高速现场总线。反应堆保护安全级系统和非安全级系统之间数据通信经过安全级网关实施。从而能够看出，整个系统网络信息安全大多采取一般IT领域网络信息安全技术，面对日益严重黑客攻击威胁，这些方法极难实现有效防御。3核电厂网络信息安全威胁分析核电厂网络信息安全潜在威胁关键来自黑客攻击、数据操纵(datamanipulation)、间谍(espionage)、病毒、蠕虫和特洛伊木马等。①黑客攻击是经过攻击核电厂自动化系统要害或弱点，使得核电厂网络信息保密性、完整性、可靠性、可控性和可用性等受到伤害，造成不可估量损失。黑客攻击又分为来自外部攻击和来自内部攻击。来自外部攻击包含非授权访问(指一个非授权用户入侵)和拒绝服务DoS(denialofservice)攻击(即黑客想措施让目标设备停止提供服务或资源访问)。这么一来，设备便不能实施它正常功效，或它动作妨碍了别设备实施其正常功效，从而造成系统瘫痪，停止运行。来自内部安全威胁关键是指因为自动化系统技术人员技术水平不足和经验不足而可能造成多种意想不到操作失误，其势必会对系统或信息安全产生较大影响。严重黑客攻击性质已经从单纯娱乐扩展到了犯罪、恐怖主义，甚至国家赞助间谍活动。在这种情况下，核电厂自动化系统必需采取合适而有力防御方法来应对黑客攻击行为不停升级。黑客攻击工业网络图3所表示。图3黑客攻击工业网络②数据操纵，即冒充自动化系统授权用户或系统组成部分，实施对自动化系统数据截获、重放或篡改，并造成一个非授权后果，造成重大损失。③计算机病毒是指编制或在计算机程序插入破坏计算机功效或毁坏数据、影响计算机使用并能够自我复制一组计算机指令或程序代码。按传染方法划分，计算机病毒可划分为引导型病毒、文件型病毒和混合型病毒。计算机病毒破坏性关键有两个方面：一是占用系统时间和空间资源；二是干扰或破坏系统运行、破坏或删除程序和数据文件，甚至破坏硬件。④蠕虫病毒是网络病毒中出现最早、传输最广泛一个病毒类型。蠕虫病毒是利用网络缺点进行繁殖病毒程序，它们能利用网络，从一台设备传输到其它设备，并自动计算网络地址，不停自我复制，经过网络发送造成网络阻塞，使网络服务器不能访问，甚至造成系统瘫痪。对于工业自动化系统来说，当蠕虫病毒大规模爆发时，交换机和路由器首先会受到影响，蠕虫病毒攻击能够造成整个网络路由振荡，可能使信息管理层网络部分流量流入工业以太网，增加其通信负荷、影响其实时性。在控制层，工业以太网交换机连接设备终端一旦感染病毒，病毒发作就会消耗带宽和交换机资源。⑤特洛伊木马病毒，顾名思义，就是一个伪装潜伏网络病毒，等候时机成熟就出来进行破坏。木马能修改注册表、驻留内存、在系统中安装后门程序、开机加载附带木马。木马病毒发作要在用户设备里运行用户端程序，一旦发作，就可设置后门，将该用户隐私定时地发送到木马程序指定地址，通常同时还内置可进入该用户设备端口，并可任意控制此计算机设备进行文件删除、复制和修改密码等非法操作。4IT信息网络和工业自动化网络间关键差异众所周知，在办公应用环境，计算机病毒和蠕虫往往会造成企业网络故障，所以办公网络信息安全越来越受到重视，通常采取杀毒软件和防火墙等软件方案处理安全问题。在工业应用环境中，恶意软件入侵将会造成生产线停顿，造成严重后果。所以，工业网络安全有更高要求，办公应用信息安全处理方案已不能满足这些要求。办公网络和工业网络关键差异如表1所表示。表1办公室和工业环境中信息安全处理方案要求5工业网络信息安全转向硬件处理方案51网络安全软件处理方案早期，工业自动化系统曾采取办公环境使用网络安全软件处理方案。软件关键包含杀毒程序，它们通常被安装在基于Windows控制器、机器人或工业PC上。不过，因为在工厂中多种多样设备大多是混合使用，所以，它们之间可能会产生相反作用，从而影响被保护系统。比如，美国一家过程自动化工厂在一台工业PC上安装了杀毒程序，该杀毒软件妨碍了一个关键锅炉系统紧急停机，造成了严重后果；另一个例子是某制造工厂在多台工业PC上安装了杀毒程序，因为多个杀毒软件实施时进程之间可能会发生冲突，使得工厂流水线不能开启，造成巨大损失。52工业网络安全硬件处理方案为了确保工业自动化系统信息安全，工业网络现在全部转向采取基于硬件防火墙和VPN(virtualprivatenetwork)技术。硬件防火墙关键是在优化过Intel架构专业工业控制计算机硬件平台上，集成防火墙软件形成产品。硬件防火墙含有高速、高安全性和高稳定性等优点。硬件平台通常均采取几百兆甚至上千兆高速CPU芯片，以多芯片模式工作，部分甚至采取了ASIC芯片来提升系统处理能力；硬件平台操作系统通常针对安全需要作了最小化优化，而且结合防火墙这一唯一功效环境要求，在采集数据包底层驱动上也作了优化。在存放方面，采取Flash存放，使系统关键数据存放相对传统技术，在读写速度和稳定性上全部有很大提升。另外，加固设备外壳、标准设计尺寸和优化电源，使硬件防火墙更适适用于大型工业生产环境。防火墙关键采取简单包过滤、代理服务和状态检测三种安全控制技术来控制网络中流量输入和输出。其中，状态检测技术是包过滤和代理服务技术相结合产物，兼具系统处理速度快和安全性高特点，是目前硬件防火墙中比较广泛应用主流安全控制技术。防火墙工作模式关键包含防火墙安全分区、组网方法、对VPN加密隧道支持、业务流控制和虚拟子系统设置，和为提升系统可靠性采取双机倒换保护等内容。在组网方面，硬件防火墙接口能够工作在透明桥接、路由和网络地址转换（NAT）三种模式下，路由模式是防火墙一般使用接口模式。VPN是一个在公用网络上建立专用网络技术。之所以称为虚拟网，关键是因为整个VPN网络任意两个节点之间连接并没有传统专网所需端到端物理链路，而是架构在公用网络平台(如Internet等)之上逻辑网络，用户数据在逻辑链路中传输。这种逻辑路径也被称为隧道(tunnel)。VPN关键功效是：①经过隧道或虚电路实现网络互联；②数据加密、信息认证和身份认证；③能够进行访问控制、网络监控和故障诊疗。VPN能够帮助远程用户、工厂企业分支机构和供给商等和工厂企业内部网络建立可信安全连接，并确保数据安全传输。对于工业自动化系统而言，为了确保数据不被窃听，VPN在站点之间建立了一个虚拟通道，数据在这个隧道中传送。这么机制意味着每个地方所使用网络协议全部是无关。为了确保因特网上数据传输安全，在发送之前对数据进行加密，接收者对数据进行解密。在隧道两端能够连接单个站点或完整局域网。连接端点是特殊VPN网关。为了预防对数据通信监听或操纵，这些VPN网关使用所谓隧道协议在协议层对所要传输数据进行加密。VPN网关和防火墙是一类比较成熟网络安全产品。对于工厂企业自动化系统而言，只有把两种安全产品配合起来使用，才能实现一个较完整安全处理方案。在这方面，有两种做法：一个是把VPN网关作为一个独立设备和防火墙配合使用；另一个是在防火墙内集成VPN网关方案。后者含有以下优点：能够保护VPN网关免受DoS攻击；对VPN加密隧道承载数据能够施加安全控制；能够简化组网路由，提升效率；能够共享用户认证信息；有利于统一日志和网络管理。硬件防火墙系统在性能上不停提升，除了能够满足高带宽接口环境要求之外，也为采取多个较小型防火墙网络环境提供了防火墙设备集成可能，从而能够实现小型分布式信息安全系统架构。6创建多层纵深防御体系架构为了提升工业控制系统及其工业通信网络信息安全性，国际电工委员会制订了IEC62443“用于工业过程测量和控制网络和系统信息安全”国际标准。该标准要求工业控制系统分成5层，每层全部要采取信息安全防护方法，以组成多层分布式纵深防御体系架构。在第5企业层，工厂企业防火墙用于保护整个企业防御Internet安全威胁；在第3/4监控层，管理层到控制系统含有DMZ(demilitarizedzone)隔离区防火墙，用于保护整个控制系统；在第1/2现场设备层，分布式安全组件则用于保护诸如PLC或DCS等关键设备。工业网络安全分布式纵深防御体系结构图4所表示。图4工业网络安全分布式纵深防御体系结构依据上述信息安全标准概念，德国Innominate企业研发了FLMGUARD安全组件。该组件能够使用在这种分布式架构中，它们保护部分系统网络、每一个生产单元或一个单独自动化设备。FLMGUARD平台是一个独立系统，它能够直接集成到连接至工业网络工业计算机，若有需要，也能够PCI卡型式完成集成。FLMGUARD组件基于硬件安全协议实现，既不需要修改计算机配置，也不需要定时进行软件升级。相对于被保护系统所使用处理机和操作系统，它是完全独立系统，不会对系统产生负面影响。因为采取分布式安全系统架构是为每个工业系统中央计算机、控制计算机或生产机器人分配一个其本身安全组件，所以，它含有独立安全等级，并特地配置了访问权和其它方面中央管理功效。FLMGUARD安全组件使用被其保护计算机相同IP地址，所以它不会被入侵者识别，避免了随之而来攻击。同时，FLMGUARD配置了基于KasperskyLab技术病毒扫描器，用于监视数据源，以识别协议中病毒(如HTTP、SMTP和FTP)，使得工业自动化系统能够全方面防御DoS、分布式拒绝服务DDoS(distributeddenialofservice)和网络病毒攻击。7结束语为了确保电力企业可靠安全，美国联邦能源管理局已要求电力企业严格建立”企业信息安全框架ESF(enterprisesecurityframework)”，以指导企业在安全建设之初即依据业务发展需要，明确风险情况和安全需求，确立企业信息安全架构蓝图及建设路线图，并依据实际情况和需要选择对应安全功效组件。核电厂应该顺应上述需求，采取国际标准要求信息安全技术和安全组件系列，从技术上实施系统安全防护，核电厂应设置多道安全防线，提升系统入侵检测能力、事件反应能力和快速恢复能力，形成综合、立体网络安全技术防护体系，使得核电厂信息安全走向纵深防御阶段。参考文件[1]PigginR.Stuxnetbestpracticetosecureindustrialcontrolsystems[J].IndustrialEthernetBook，(61).[2]张淑慧，任永忠.AP1000核电厂仪控系统介绍[J].自动化仪表，，31(10)：48-51.[3]WelanderP.Cybersecurityhitshome[J].ControlEngineering，，56(1)：40-43.[4]SiemensO.Hardwareroutetothevirusprotect