核電儀控系統(tǒng)的網(wǎng)絡安全監(jiān)測

李江海，郭 超，黃曉津，董 哲

（清華大學核能與新能源技術研究院，北京 100084）

核電儀控系統(tǒng)的網(wǎng)絡安全監(jiān)測

李江海，郭 超，黃曉津，董 哲

（清華大學核能與新能源技術研究院，北京 100084）

儀表和控制系統(tǒng)作為核電廠 “中樞神經(jīng)”的重要組成部分，對于核電廠安全穩(wěn)定的運行起到關鍵的作用。近年來，數(shù)字化儀控系統(tǒng)遇到網(wǎng)絡安全的新問題，即預防、檢測和應對針對儀控系統(tǒng)實施的運用數(shù)字化手段的惡意行為。這種網(wǎng)絡攻擊將致使電廠性能下降，實體設備受損，甚至引發(fā)事故工況。依據(jù)核電廠 “縱深防御”的安全設計理念和國內外法規(guī)標準的要求，提出應對核電儀控系統(tǒng)實施網(wǎng)絡安全監(jiān)測。網(wǎng)絡安全監(jiān)測的實施方案為，在儀控系統(tǒng)中部署入侵檢測系統(tǒng)，監(jiān)視并分析儀控系統(tǒng)事件，發(fā)現(xiàn)未經(jīng)授權訪問儀控系統(tǒng)資源的嘗試并給出報警。本文詳細分析了部署入侵檢測系統(tǒng)需要考慮的檢測點部署位置、監(jiān)測數(shù)據(jù)源、入侵檢測方法3個方面的問題，并給出了評價方式。

核電；數(shù)字化儀控系統(tǒng)；工控系統(tǒng)；信息安全；網(wǎng)絡安全；入侵檢測

儀表和控制系統(tǒng) （簡稱 “儀控系統(tǒng)”）作為核電廠 “中樞神經(jīng)”的重要組成部分，對于核電廠安全可靠的運行起到關鍵的作用。在數(shù)字化的趨勢中，計算機技術、網(wǎng)絡通信技術等信息技術越來越多地應用于儀控系統(tǒng)。數(shù)字化儀控系統(tǒng)與以往的模擬儀控系統(tǒng)相比，擁有更高的可靠性、更好的性能、以及自我診斷的能力。與此同時，這種基于計算機和網(wǎng)絡的儀控系統(tǒng)也面臨著網(wǎng)絡安全的新問題，即預防、檢測和應對針對儀控系統(tǒng)實施的運用數(shù)字化手段的惡意行為。

我國對儀控系統(tǒng)的網(wǎng)絡安全問題也高度重視，公安部、工信部、國家能源局等部委對于各個工業(yè)控制領域出臺相關文件指南。在核電領域，國家核安全局要求新建核電廠參照國際核電儀控網(wǎng)絡安全標準IEC 62645［3］開展設計或進行符合性分析。以IEC 62645—2014為基礎的能源行業(yè)標準 《核電廠儀表和控制系統(tǒng)計算機安全防范總體要求》（NB／T 20428—2017）于2017年4月1日由國家能源局發(fā)布。國防科工局已編制完成 《核設施計算機網(wǎng)絡安保管理規(guī)定》和相應的 《實施計劃》。

1 當前現(xiàn)狀

當前核電儀控系統(tǒng)一般采用孤島設計，儀控系統(tǒng)網(wǎng)絡與外部通信系統(tǒng)存在物理上的分隔，相互之間無通信或是只允許單向通信。這種孤島設計方案往往會讓人誤以為物理隔離模式能夠防范網(wǎng)絡攻擊。物理隔離對防范網(wǎng)絡攻擊確有益處，但僅依賴物理隔離來防范網(wǎng)絡攻擊遠遠不夠。這是因為：一方面，物理隔離無法切斷所有的網(wǎng)絡攻擊途徑；另一方面，置于物理隔離之中的儀控系統(tǒng)包含許多安全漏洞。

首先，儀控系統(tǒng)的生命周期中存在很多入侵途徑，這些攻擊途徑難以僅靠物理隔離就可切斷。比如：

1）開發(fā)實施期間時儀控系統(tǒng)中即植入病毒；

2）運行期間借助移動介質向儀控系統(tǒng)內傳播蠕蟲；

3）維護期間利用便攜計算機訪問儀控系統(tǒng)盜取信息；

4）采用社會工程學的方法借助人的力量對儀控系統(tǒng)實施網(wǎng)絡攻擊。

其次，許多行之有效的信息系統(tǒng)安全防范機制無法在儀控系統(tǒng)中實施。比如定期及時的操作系統(tǒng)更新和軟件安全升級，由于缺乏有效的補丁測試和管理分發(fā)機制，而無法在孤島運行的內網(wǎng)中實施。另外又如，儀控系統(tǒng)實時性的要求限制了防病毒軟件和防火墻的安裝應用，儀控系統(tǒng)操作便捷性的要求使得密碼設置簡單或長期不更改、高風險的自動登錄功能始終開啟。相較于現(xiàn)代的信息系統(tǒng)而言，用于監(jiān)測和控制的儀控系統(tǒng)固有地包含更多安全漏洞。

總之，目前核電儀控系統(tǒng)內部存在諸多漏洞，外部卻單純依靠物理隔離阻擋網(wǎng)絡攻擊。這種情形如同一座城池只設置一道護城河，一旦被跨越之后便無任何防御措施，這與核電安全設計中重要的 “縱深防御”理念相違背。因此核電儀控系統(tǒng)有必要在物理隔離之外構筑新的網(wǎng)絡安全防線。對此，提出對核電儀控系統(tǒng)實施網(wǎng)絡安全監(jiān)測，全面監(jiān)視網(wǎng)絡安全狀況，檢測各類網(wǎng)絡攻擊。

2 實施依據(jù)

對核電儀控系統(tǒng)實施網(wǎng)絡安全監(jiān)測，有著多方面的法規(guī)依據(jù)。美國核管會 （NRC）在2010年發(fā)布的管理導則RG 5．71《核設施計算機網(wǎng)絡安全計劃》［4］附錄B “技術類控制措施”的B．5．2節(jié)中要求配置主機入侵檢測系統(tǒng)，附錄C“操作和管理類控制措施”的C．3．4中對全廠的入侵檢測系統(tǒng) （包括入侵防御系統(tǒng)）提出了管理方面要求。我國工信部在2016年11月發(fā)布的 《工業(yè)控制系統(tǒng)信息安全防護指南》［5］中也明確提出 “在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為” “在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備”。國際原子能機構 （IAEA）在即將出版的技術導則NST036《核設施儀控系統(tǒng)計算機安全》［6］的2．13節(jié)中也將闡述 “應考慮針對入侵和其他惡意行為的防護、檢測、緩解和恢復的軟硬件解決方案”。由此可見，國內外均要求在核電儀控系統(tǒng)中實施網(wǎng)絡安全監(jiān)測。

3 方案設計的考慮

我們提出的核電儀控系統(tǒng)網(wǎng)絡安全監(jiān)測方案是在儀控系統(tǒng)部署中入侵檢測系統(tǒng)，監(jiān)視并分析儀控系統(tǒng)事件，發(fā)現(xiàn)未經(jīng)授權訪問儀控系統(tǒng)資源的嘗試，給出實時或近乎實時的報警。部署入侵檢測系統(tǒng)需要考慮3個方面的問題：1）檢測點部署位置；2）監(jiān)測數(shù)據(jù)源；3）入侵檢測方法。

3．1 檢測點部署位置

檢測點可能的部署位置有3種：1）儀控主機端；2）主機或終端和儀控網(wǎng)絡之間；3）儀控網(wǎng)絡的旁路 （見圖1）。選擇部署位置，應該從對正常運行的影響以及對現(xiàn)有設施的改造程度兩個方面進行評價。

圖1 監(jiān)測點部署位置Fig．1 Deployment location of monitoring points

A位置儀控主機端的部署，是指在操作員站、工程師站、IO服務器等主機上添加軟件，監(jiān)控主機的活動，以發(fā)現(xiàn)異常行為。這種部署位置的優(yōu)點是既可以檢測來自網(wǎng)絡的外部攻擊，也可以檢測來自主機端的內部攻擊。其缺點是需要在主機端安裝額外的軟件，可能帶來軟件兼容和管理上的問題。B位置主機或終端和儀控網(wǎng)絡之間的部署，是指在主機或現(xiàn)場控制站和儀控網(wǎng)絡之間橋接新的硬件模塊，用以監(jiān)控進出主機或終端的網(wǎng)絡通信流。這種部署位置的優(yōu)點是進出主機或終端的全部網(wǎng)絡通信流均需流經(jīng)該監(jiān)控模塊，因此該模塊可同時執(zhí)行網(wǎng)絡入侵檢測和網(wǎng)絡入侵防護的功能。其缺點是對網(wǎng)絡通信流的處理可能會帶來數(shù)據(jù)包的時延，影響正常運行；同時在開啟入侵防護功能時，若防護策略不合適，可能干擾正常運行。C位置儀控網(wǎng)絡旁路的部署，是指在儀控網(wǎng)絡旁路安裝設備，監(jiān)控網(wǎng)絡通信流的備份。這種部署位置的優(yōu)點是實際的網(wǎng)絡通信流并不經(jīng)過該設備，因此不會對正常運行產(chǎn)生任何影響。其缺點是無法實現(xiàn)入侵防護功能。

對上述3種部署位置的評價具體可見表1。從對正常運行的影響角度來評價，A、B位置的部署均可能對正常運行產(chǎn)生影響，C位置的部署不會對正常運行產(chǎn)生任何影響。從對現(xiàn)有設施改造程度來評價，A位置部署只需安裝額外軟件，可不必安裝新的硬件，除非是需要各主機的協(xié)作而新增網(wǎng)絡帶寬或是中心管理。B位置部署需要新增監(jiān)控模塊硬件，并且改變現(xiàn)有的接線，改造程度高。C位置部署需增加監(jiān)控模塊硬件，但不必改變現(xiàn)有接線，可以通過網(wǎng)絡交換機端口鏡像的功能復制全部網(wǎng)絡通信流，改造程度為中等。

表1 檢測點3種部署位置的比較Table 1 Comparison of three deployment locations of monitoring points

3．2 監(jiān)測數(shù)據(jù)源

用于入侵檢測的數(shù)據(jù)源可以是主機數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)。主機數(shù)據(jù)只能通過A位置部署進行采集，而網(wǎng)絡數(shù)據(jù)則主要通過B、C位置部署進行采集。

（1）主機數(shù)據(jù)

用于入侵檢測的主機數(shù)據(jù)，可以是日志文件，包括操作系統(tǒng)的審計記錄和控制軟件的日志記錄；也可以是文件相關的信息，比如通過文件的校驗和判斷文件是否被篡改、其完整性是否被破壞。主機數(shù)據(jù)對于檢測內部攻擊具有不可替代的作用。但需注意攻擊者可能會偽造主機數(shù)據(jù)以隱蔽自己的行動。

（2）網(wǎng)絡數(shù)據(jù)

用于入侵檢測的網(wǎng)絡數(shù)據(jù)，即為儀控網(wǎng)絡通信流中的數(shù)據(jù)包。對數(shù)據(jù)包的利用，可以由淺至深分為幾個層次。

第一層是利用網(wǎng)絡通信流的信息，獲取這類信息只需用到一般的網(wǎng)絡流統(tǒng)計和普通報文分析。這類信息包括如網(wǎng)絡通信的流量、流的持續(xù)時間、平均包間隔時間等時間相關量，還包括如源地址、目的地址、源端口、目的端口、拓撲結構等空間相關量［7］。通常來講，僅利用通信流的信息進行入侵檢測其誤報率和漏報率都比較高。但對于核電儀控系統(tǒng)而言，運行時工作流程比較固定，操作對象也比較固定，因此網(wǎng)絡通信流的時間和空間分布也相對穩(wěn)定，僅利用通信流信息即可比較準確地檢測出一般性的特征明顯的攻擊，如常見的大流量攻擊等。

第二層是利用通信流數(shù)據(jù)包中的工控通信協(xié)議相關信息，獲取這類信息需要依據(jù)工控通信協(xié)議對數(shù)據(jù)包的報文進行深度包解析，從而得到如協(xié)議類型、協(xié)議各域的值等信息。由于工控通信協(xié)議設計時主要考慮設備之間的通信效率，并未考慮安全性，因此并未設置加密、認證等安全機制，數(shù)據(jù)包的報文極易被竊取、篡改或偽造。利用這一弱點，攻擊者可發(fā)動針對工控協(xié)議的畸形報文攻擊，引發(fā)被攻擊對象無法處理報文而癱瘓。通過對工控通信協(xié)議相關信息的分析，可以檢測出不符合協(xié)議標準結構的數(shù)據(jù)包。

第三層是利用通信流數(shù)據(jù)包中的被控物理對象相關信息，獲取這類信息需要了解被控系統(tǒng)或過程的控制組態(tài)。通過控制組態(tài)，將深度包解析得到的協(xié)議相關數(shù)據(jù)恢復為具有實際物理含義的測量值或控制指令，比如溫度值、壓力值、閥門開關狀態(tài)、電機啟停命令、變頻器調速等等。能夠在這個層面上發(fā)動的攻擊需要對控制流程有深入的了解，如 “震網(wǎng)”病毒等。通過對被控物理對象相關信息的分析，可以檢測出不符合控制流程的數(shù)據(jù)包。

3．3 入侵檢測方法

總的來說，入侵檢測方法可以分為兩大類：基于異常的檢測和基于特征的檢測?；诋惓５臋z測，是指先收集系統(tǒng)在一段時間內正常運行時的數(shù)據(jù)，以此建立合法行為模型，以該模型為基準用統(tǒng)計檢驗的方式測試當前運行數(shù)據(jù)，判斷其中是否存在惡意行為?；谔卣鞯臋z測，是指使用一組已知的惡意數(shù)據(jù)模式與當前運行數(shù)據(jù)進行比較，確定是否存在惡意行為。這兩種檢測方法各有優(yōu)劣：基于特征的檢測方法，高效而準確，但只能識別已知的攻擊；基于異常的檢測方法，則可以識別出未知的攻擊，但如果建立的合法行為模型不全面則會帶來較多的誤報。

入侵檢測方法的選擇，應依據(jù)檢測數(shù)據(jù)源的特點。對于數(shù)據(jù)流模式簡單固定的數(shù)據(jù)源，盡量采用基于異常的檢測；對于數(shù)據(jù)流模式復雜多變的數(shù)據(jù)源，可以采用基于特征的檢測。比如對于儀控主機的日志文件數(shù)據(jù)，由于主機上軟件比較單一，軟件的操作也必須遵循規(guī)程，因此能夠根據(jù)這些知識建立主機操作的合法行為模型，用于進行異常檢測。又如對于網(wǎng)絡數(shù)據(jù)中與被控物理對象相關的信息，被控物理系統(tǒng)和過程受系統(tǒng)擾動或量測噪聲影響存在較強的不確定性，因此直接根據(jù)對象模型建立合法行為模型比較困難，采用統(tǒng)計方法或機器學習的方法所建立的合法行為模型的漏報率和誤報率需要進一步考察；相反超限檢測這種基于特征的方法就能發(fā)揮作用。

4 結束語

本文分析綜述了對核電儀控系統(tǒng)實施網(wǎng)絡安全監(jiān)測的依據(jù)和要求，提出了網(wǎng)絡安全檢測方案，分析了部署入侵檢測系統(tǒng)需要考慮的三方面問題，并針對每個方面問題給出評價方式。

［1］ICS－CERT．Stuxnet malware mitigation ［R／OL］．U．S．Industrial Control Systems Cyber Emergency Response Team，2010．https：／／icS－cert．uS－cert．gov／advisories／ICSA－10－238－01B．

［2］ICS－CERT．Cyber－attack against Ukrainian critical infrastructure ［R／OL ］．U．S．Industrial Control Systems Cyber Emergency Response Team，2016．https：／／icS－cert．uS－cert．gov／alerts／IR－ALERT－H－16－056－01．

［3］IEC TC 45／SC 45A．Nuclear power plantS－Instrumentation and control systemS－Requirements for security pro－grammes for computer－based systems （IEC 62645）．International Electrotechnical Commission，2014．

［4］NRC．Cyber security programs for nuclear facilities（RG 5．71）．U．S．Nuclear Regulatory Commission，2010．

［5］工業(yè)和信息化部 ．工業(yè)控制系統(tǒng)信息安全防護指南［S］．北京：工業(yè)和信息化部，2016．

［6］IAEA．Computer security of instrumentation and control systems at nuclear facilities （NST036） ［S］．International Atomic Energy Agency，to be published．

［7］STALLINGS W，BROWN L．計算機安全 ［M］．北京：電子工業(yè)出版社，2013．

Cyber Security Monitoring for I＆C Systems of NPPs

LI Jiang－h(huán)ai，GUO Chao，HUANG Xiao－jin，DONG Zhe
（Institute of Nuclear and New Energy Technology of Tsinghua University，Beijing 100084，China）

The instrumentation and control（I＆C）system serves as the important part of the “central nervous system”of a nuclear power plant（NPP）．It is critical for the safe and stable operation of nuclear power plants．The transition from analog systems to digital I＆C systems has brought in the new issue of cyber security．The cyber security problem is that the operation of I＆C systems is possible to be interfered by the malicious cyber intrusions from either outsiders or insiders．These cyber intrusions may lead to the degradation of plant performance，the equipment damage，or even accident condition．We propose to conduct the cyber security monitoring for I＆C systems of nuclear power plants in accordance with the concept of defense－in－depth and the requirement of regulations and standards．The implementation of cyber security monitoring is to deploy the intrusion detection system that monitors and analyzes I＆C systems events，for the purpose of finding and providing warnings of attempts to access I＆C systems resources in an unauthorized manner．Three aspects of intrusion detection systems including the deployment，the data source，and the intrusion detection are analyzed in detail and the assessment criterion are given．

nuclear power；I＆C systems；ICS；computer security；cyber security；intrusion detection

TL36 Article character：A Article ID：1674－1617 （2017）03－0332－04

TL36

A

1674－1617 （2017）03－0332－04

10．12058／zghd．2017．0332

2017－7－16

李江海 （1981—），男，湖北人，博士，助理研究員，現(xiàn)主要從事核電儀控系統(tǒng)的計算機安全研究工作 （E－mail：lijianghai＠tsinghua．edu．cn）。

（責任編輯：白佳）