今日頭條
官方微信
官方抖音
案例頻道 1 引言
2010年10月,“震網(wǎng)”(Stuxnet)病毒造成伊朗核電站推遲發(fā)電,并對(duì)伊朗國(guó)內(nèi)的工業(yè)造成大面積影響。Stuxnet病毒通過Windows漏洞感染計(jì)算機(jī),該病毒可通過網(wǎng)絡(luò)、移動(dòng)介質(zhì)、西門子項(xiàng)目文件等方式進(jìn)行傳播,它入侵電腦后會(huì)尋找廣泛用于工業(yè)控制系統(tǒng)的西門子軟件,通過對(duì)軟件重新編程實(shí)施攻擊,它能控制關(guān)鍵過程并開啟一連串執(zhí)行程序,可導(dǎo)致的后果難以估計(jì)。“震網(wǎng)”(Stuxnet)病毒事件,為核電數(shù)字儀控系統(tǒng)信息安全敲響了警鐘。現(xiàn)在,國(guó)內(nèi)外都把核電數(shù)字儀控系統(tǒng)信息安全防護(hù)建設(shè)提上了日程[1,2]。為了應(yīng)對(duì)核電廠信息安全的新挑戰(zhàn),美國(guó)核能研究院 NEI(Nuclear Energy Institute) 于 2007年 5月發(fā)布了“核電廠網(wǎng)絡(luò)信息安全導(dǎo)則”(Cyber Security Guidance for Nuclear PowerPlants)白皮書;同年12月,美國(guó)核管會(huì)NRC(Nuclear RegulatoryCommission)頒布了 DI&C-ISG01“核電廠網(wǎng)絡(luò)信息安全”(CyberSecurity)過渡性審查導(dǎo)則高度重視核電廠信息安全[3,6]。
2 核電數(shù)字化儀控系統(tǒng)
核電站全數(shù)字化儀控系統(tǒng)是以工業(yè)網(wǎng)絡(luò)為中心實(shí)現(xiàn)的實(shí)時(shí)分布式系統(tǒng)。系統(tǒng)采用分散控制、集中管理的分層分布式控制結(jié)構(gòu),包括運(yùn)行和控制中心系統(tǒng)、電廠控制系統(tǒng)、保護(hù)和安全檢測(cè)系統(tǒng)、多樣化驅(qū)動(dòng)系統(tǒng)、數(shù)據(jù)顯示和處理系統(tǒng)以及堆芯儀表系統(tǒng)等子系統(tǒng)。控制系統(tǒng)由工程師站、操作站、現(xiàn)場(chǎng)控制站、通信控制站打印服務(wù)站、系統(tǒng)服務(wù)器、管理網(wǎng)絡(luò)以及系統(tǒng)網(wǎng)絡(luò)等組成。整個(gè)系統(tǒng)共分為現(xiàn)場(chǎng)采集控制層、監(jiān)控層和管理層三層網(wǎng)絡(luò)。管理層采用TCP/IP以太網(wǎng);在監(jiān)控層,操作站、工程師站、中央處理服務(wù)器以及不同系統(tǒng)之間采用工業(yè)以太網(wǎng),有很強(qiáng)的網(wǎng)絡(luò)互聯(lián)能力;現(xiàn)場(chǎng)采集控制層采用高速現(xiàn)場(chǎng)總線。反應(yīng)堆保護(hù)安全級(jí)系統(tǒng)與非安全級(jí)系統(tǒng)之間數(shù)據(jù)通信通過安全級(jí)網(wǎng)關(guān)執(zhí)行[4,5]。從而可以看出,整個(gè)系統(tǒng)的網(wǎng)絡(luò)信息安全大多采用普通IT領(lǐng)域網(wǎng)絡(luò)信息安全技術(shù),面對(duì)日益嚴(yán)重的黑客攻擊威脅,必須實(shí)施有效的防御手段。
3 核電儀控系統(tǒng)信息安全隱患分析
核電廠網(wǎng)絡(luò)信息安全的潛在威脅主要來自黑客攻擊、間諜(espionage)、蠕蟲和特洛伊木馬等[7]。
(1)黑客攻擊是通過攻擊核電廠自動(dòng)化系統(tǒng)的要害或弱點(diǎn),使得核電廠網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性和可用性等受到傷害,造成不可估量的損失。黑客攻擊又分為來自外部的攻擊和來自內(nèi)部的攻擊。來自外部的攻擊包括非授權(quán)訪問(指一個(gè)非授權(quán)用戶的入侵)和拒絕服務(wù)DoS(denial of service)攻擊(即黑客想辦法讓目標(biāo)設(shè)備停止提供服務(wù)或資源訪問)。這樣設(shè)備則不能執(zhí)行其正常功能,或它的動(dòng)作妨礙了別的設(shè)備執(zhí)行其正常功能,從而導(dǎo)致系統(tǒng)癱瘓,停止運(yùn)行。來自內(nèi)部的安全威脅主要是指由于自動(dòng)化系統(tǒng)技術(shù)人員技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足而可能導(dǎo)致各種意想不到的操作失誤,其勢(shì)必會(huì)對(duì)系統(tǒng)或信息安全產(chǎn)生較大的影響。
嚴(yán)重的黑客攻擊性質(zhì)已經(jīng)從單純的娛樂擴(kuò)展到了犯罪、恐怖主義,甚至國(guó)家贊助的間諜活動(dòng)。在這種情況下,核電廠自動(dòng)化系統(tǒng)必須采取適當(dāng)而有力的防御措施來應(yīng)對(duì)黑客攻擊行為的不斷升級(jí)。
(2)蠕蟲是利用網(wǎng)絡(luò)缺陷進(jìn)行繁殖的病毒程序,它們能利用網(wǎng)絡(luò),從一臺(tái)設(shè)備傳播到其他設(shè)備,并自動(dòng)計(jì)算網(wǎng)絡(luò)地址,不斷自我復(fù)制,通過網(wǎng)絡(luò)發(fā)送造成網(wǎng)絡(luò)阻塞,使網(wǎng)絡(luò)服務(wù)器不能訪問,甚至造成系統(tǒng)癱瘓。
對(duì)于工業(yè)自動(dòng)化系統(tǒng)來說,當(dāng)蠕蟲病毒大規(guī)模爆發(fā)時(shí),交換機(jī)和路由器首先會(huì)受到影響, 蠕蟲病毒攻擊能夠?qū)е抡麄€(gè)網(wǎng)絡(luò)的路由振蕩,可能使信息管理層網(wǎng)絡(luò)的部分流量流入工業(yè)以太網(wǎng),增加其通信負(fù)荷、影響其實(shí)時(shí)性。在控制層,工業(yè)以太網(wǎng)交換機(jī)連接的設(shè)備終端一旦感染病毒,病毒發(fā)作就會(huì)消耗帶寬和交換機(jī)資源。
(3)特洛伊木馬,就是一種偽裝潛伏的網(wǎng)絡(luò)病毒,等待時(shí)機(jī)成熟就出來進(jìn)行破壞。木馬能駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機(jī)加載附帶的木馬。木馬病毒的發(fā)作要在用戶的設(shè)備里運(yùn)行客戶端程序,一旦發(fā)作,就可設(shè)置后門,將該用戶的隱私定時(shí)地發(fā)送到木馬程序指定的地址,一般同時(shí)還內(nèi)置可進(jìn)入該用戶設(shè)備的端口,并可任意控制此計(jì)算機(jī)設(shè)備進(jìn)行文件刪除、復(fù)制和修改密碼等非法操作。
4 核電儀控系統(tǒng)信息安全防護(hù)方案
為解決核電數(shù)字儀控系統(tǒng)的信息安全隱患,必須采取分層次的縱深防御策略,從而使管理者能夠在每層監(jiān)視系統(tǒng)。核電數(shù)字儀控系統(tǒng)信息安全防護(hù)應(yīng)關(guān)注如下方面:確保數(shù)據(jù)的完整性;遠(yuǎn)程訪問的安全性;控制系統(tǒng)網(wǎng)絡(luò)設(shè)備和使用者的驗(yàn)證和認(rèn)證。
系統(tǒng)性的核電控制系統(tǒng)信息安全防御策略應(yīng)從減少控制系統(tǒng)網(wǎng)絡(luò)易受攻擊的接口面開始。第一階段是建立具體的控制系統(tǒng)安全規(guī)則,這些規(guī)則詳細(xì)描述哪些設(shè)備、協(xié)議和應(yīng)用可以在控制系統(tǒng)上運(yùn)行;誰(shuí)有訪問這些設(shè)備的權(quán)限,且從哪里訪問;使用者可以被允許執(zhí)行哪些操作。下一階段是確定適當(dāng)?shù)膮^(qū)域?qū)嵤┤缟系囊?guī)則,可通過在已有的控制系統(tǒng)的設(shè)備上或添加新的設(shè)備上進(jìn)行適當(dāng)?shù)呐渲脕韺?shí)現(xiàn)。第三階段是監(jiān)控規(guī)則的實(shí)施,定位違規(guī)的區(qū)域且反饋給規(guī)則的制定者,以此來確保規(guī)則的有效性。信息安全是一個(gè)連續(xù)的過程,因此需要連續(xù)的監(jiān)控和調(diào)整。下文將詳細(xì)解釋這些階段和可用于確保核電數(shù)字儀控系統(tǒng)信息安全的技術(shù)。
第一步:識(shí)別關(guān)鍵資產(chǎn)
規(guī)則的制定者首先應(yīng)識(shí)別需要保護(hù)的資產(chǎn)以及保護(hù)級(jí)別。在核電數(shù)字儀控系統(tǒng)中,存在實(shí)時(shí)服務(wù)器,現(xiàn)場(chǎng)設(shè)備和外圍設(shè)備如路由器和交換機(jī)等。對(duì)通信功能的折中將影響現(xiàn)場(chǎng)設(shè)備的安全性。攻擊者通常以易受攻擊的非主要應(yīng)用為目標(biāo),因此數(shù)字儀控系統(tǒng)中任何與網(wǎng)絡(luò)訪問相關(guān)的設(shè)備必須被識(shí)別為信息安全關(guān)鍵設(shè)備。由于控制系統(tǒng)中很多服務(wù)器采用通用的操作系統(tǒng)和應(yīng)用軟件,因此對(duì)這些服務(wù)器采取信息安全防護(hù)措施,以此來防御蠕蟲,木馬的威脅。
第二步:分析網(wǎng)絡(luò)
為制定綜合性的規(guī)則,網(wǎng)絡(luò)管理者需要能夠比對(duì)所有子網(wǎng)信息分析工具。由于多數(shù)設(shè)備易于被主動(dòng)掃描工具影響正常運(yùn)行,被動(dòng)掃描和辨識(shí)工具是唯一的選擇。
網(wǎng)絡(luò)分析工具需記錄所有網(wǎng)絡(luò)活動(dòng)信息包括設(shè)備類型、操作__系統(tǒng)、協(xié)議和應(yīng)用者等。通過網(wǎng)絡(luò)分析來建立基準(zhǔn),以此來跟蹤網(wǎng)絡(luò)上的服務(wù)器、控制設(shè)備以及組件間通信的協(xié)議與服務(wù)。
通過迅速定位網(wǎng)絡(luò)中的新組件,網(wǎng)絡(luò)管理者可以確定這些組件已經(jīng)受到保護(hù),并且可以跟蹤其狀態(tài)。
第三步:創(chuàng)建網(wǎng)絡(luò)管理規(guī)則
一旦辨識(shí)了設(shè)備、網(wǎng)絡(luò)、應(yīng)用和使用者,則可以制定相應(yīng)的信息安全規(guī)則來保護(hù)系統(tǒng)。
第四步:創(chuàng)建嚴(yán)謹(jǐn)防御邊界
在某些情況下,需要從企業(yè)網(wǎng)或因特網(wǎng)訪問控制系統(tǒng),因此需要?jiǎng)?chuàng)建嚴(yán)謹(jǐn)?shù)男畔踩烙吔纭_吔绶阑饓Ρ仨殑?chuàng)建至少三個(gè)安全區(qū)域——控制系統(tǒng)網(wǎng)絡(luò)組件信息安全區(qū),隔離區(qū)(DMZ),不可靠區(qū)。
即使所有的外部訪問來自企業(yè)網(wǎng),邊界防火墻仍必須以企業(yè)網(wǎng)是不可靠為前提來建立相互的非信任規(guī)則。隔離區(qū)應(yīng)包括非安全網(wǎng)絡(luò)可訪問的安全訪問認(rèn)證設(shè)備、認(rèn)證工作站或服務(wù)器。安全區(qū)的任何設(shè)備僅可通過隔離區(qū)的一個(gè)設(shè)備進(jìn)行訪問。通過保護(hù)和連續(xù)監(jiān)控隔離區(qū)的設(shè)備,可有效阻止基于網(wǎng)絡(luò)的攻擊。如上所述,關(guān)鍵是邊界設(shè)備不僅提供安全區(qū)和基于流的防火墻,還必須檢測(cè)它正在保護(hù)的協(xié)議和應(yīng)用。
推薦使用綜合性的基于特定目的專用網(wǎng)安全解決方案來保護(hù)核電站控制系統(tǒng)。解決方案應(yīng)為控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)協(xié)議(如Modbus等)提供強(qiáng)健的防火墻功能。此外,它還應(yīng)實(shí)時(shí)升級(jí)來防御最新的應(yīng)用對(duì)控制系統(tǒng)網(wǎng)絡(luò)的攻擊。
第五步:確保身份管理和防止設(shè)備欺詐
儀控系統(tǒng)網(wǎng)絡(luò)的入侵多數(shù)是來自無意不當(dāng)使用導(dǎo)致的。員工可能使用移動(dòng)存儲(chǔ)設(shè)備時(shí)引入了蠕蟲或木馬。這些蠕蟲能夠掃描控制系統(tǒng)并產(chǎn)生惡意數(shù)據(jù)流量。因此,為確保區(qū)域內(nèi)的信息安全,必須對(duì)接入點(diǎn)認(rèn)證和健康檢查。
網(wǎng)絡(luò)訪問控制(NAC)解決方案應(yīng)綜合使用用戶身份辨識(shí)、設(shè)備信息安全、訪問點(diǎn)的狀態(tài)和位置信息等方法。
在控制系統(tǒng)中添加信息安全組件或設(shè)備時(shí),必須確保這些組件或設(shè)備不能影響控制系統(tǒng)的性能和可用性。因此建議使用被動(dòng)型的入侵檢測(cè)技術(shù),并且綜合網(wǎng)絡(luò)訪問控制服務(wù)器的安全規(guī)則來約束訪問。
第六步:設(shè)立安全遠(yuǎn)程訪問多種情況需要遠(yuǎn)程訪問,如電廠操作員或工程師需要遠(yuǎn)程監(jiān)視設(shè)備狀態(tài)或收集電廠數(shù)據(jù),或者設(shè)備商需要診斷或解決操作問題。為最小化遠(yuǎn)程訪問的不當(dāng)使用以及可能帶來的危害,使用者必須被限制,且使用者只能使用特定的經(jīng)過授權(quán)的功能。
第七步:監(jiān)控和匯報(bào)
一旦定義了訪問規(guī)則,防火墻、交換機(jī)和入侵檢測(cè)設(shè)備將執(zhí)行這些規(guī)則,同時(shí)作為監(jiān)控站來記錄任何違反規(guī)則的情況。融合__了來自網(wǎng)絡(luò)訪問控制設(shè)備信息的入侵檢測(cè)分析器,對(duì)使用網(wǎng)絡(luò)的用戶進(jìn)行深入的分析,如它們正在使用什么應(yīng)用程序,以及它們來自哪里。
網(wǎng)絡(luò)管理員也應(yīng)該有檢測(cè)和報(bào)告工具來幫助追蹤在控制系統(tǒng)網(wǎng)絡(luò)上的服務(wù),并對(duì)新服務(wù)的調(diào)度或者現(xiàn)有服務(wù)的改變發(fā)出警告。網(wǎng)絡(luò)或現(xiàn)有服務(wù)的改變可能表明已經(jīng)有攻擊連接到了該設(shè)備,或者是某雇員正在不恰當(dāng)?shù)厥褂迷撓到y(tǒng)而對(duì)整個(gè)組織結(jié)構(gòu)產(chǎn)生了危險(xiǎn)。分析器也應(yīng)檢測(cè)其它熟知的卻可能未被發(fā)現(xiàn)的攻擊。這些可能包括一個(gè)正嘗試連接到熟知的惡意主機(jī)或網(wǎng)絡(luò)的系統(tǒng),如那些被大家熟知的運(yùn)行BOTNET命令并控制信道的網(wǎng)絡(luò)。從而可以防御黑客攻擊。
5 信息安全生命周期管理
儀控系統(tǒng)開發(fā)、運(yùn)行和維護(hù)的生命周期內(nèi),為確保信息安全需注意以下問題:在軟件開發(fā)過程中,軟件中不包含惡意代碼,防止和偵測(cè)安裝到系統(tǒng)中的軟件的惡意改動(dòng),防止在系統(tǒng)運(yùn)行過程中對(duì)軟件進(jìn)行任何惡意篡改。驗(yàn)證和確認(rèn)團(tuán)隊(duì)也要確認(rèn)在代碼復(fù)查的時(shí)候沒有加入無文檔記錄的、惡意的代碼。對(duì)于改動(dòng)過的軟件,驗(yàn)證和確認(rèn)團(tuán)隊(duì)比較改動(dòng)之前和之后的源代碼,確保沒有受影響的模塊沒有被改動(dòng)。
6 總結(jié)
為使國(guó)內(nèi)儀控系統(tǒng)設(shè)計(jì)人員充分意識(shí)到核電儀控系統(tǒng)存在的信息安全隱患,本文對(duì)核電站數(shù)字儀控系統(tǒng)面臨的信息安全隱患進(jìn)行了分析;提出核電站儀控系統(tǒng)信息安全防護(hù)方案;并簡(jiǎn)述了儀控系統(tǒng)開發(fā)、運(yùn)行和維護(hù)的生命周期內(nèi),為確保信息安全需注意哪些問題。
參考文獻(xiàn):
[1] IEC/TS 62443-1-1-2009,工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全[S]
[2] IEC/TS 62443-1-3-2009,工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全
[S][3] LAITH MOHAMMAD AL-BARAKAT. A testbed to simulate cyber attackson nuclear power plants[D].University of Illinois at Urbana-Champaign, 2011.
[4] Yu-Jen Chen, Gen-Yih Liao, Tsung-Chieh Cheng. risk assessment oninstrumentation and control network security management system for nuclearpower plants[C].Annual International Carnahan Conference on SecurityTechnology, 2009.
[5] David Watts. Security & Vulnerability in Electric Power Systems[C].NorthAmerican Power Symposium, University of Missouri-Rolla in Rolla, Missouri, 2003.
[6] CYBER SECURITY PROGRAMS FOR NUCLEAR FACILITIES. NRCREGULATORY GUIDE 5.71[R].
[7] 繆學(xué)勤.采用縱深防御體系架構(gòu)-確保核電可靠安全[J].自動(dòng)化儀表,2011,32 (2)
張勇濤(1983-)男,河南濮陽(yáng)人,博士,現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司,主要從事核電儀控系統(tǒng)控制網(wǎng)絡(luò)的研究。
摘自《自動(dòng)化博覽》2013年3月
北京市公安局海淀分局備案號(hào):11010802023656號(hào)