核電廠工控系統(tǒng)信息安全防御技術(shù)探討

朱立群

(上海核工程研究設(shè)計院有限公司,上海 200233)

0 引言

核電廠所用燃料是放射性物質(zhì),如果直接接觸或泄漏,將對人和環(huán)境造成嚴(yán)重危害。以及工業(yè)控制系統(tǒng)對核電廠的安全、可靠、高效、經(jīng)濟(jì)運行起著關(guān)鍵作用。隨著現(xiàn)場總線的數(shù)字化控制系統(tǒng)在核電廠中的應(yīng)用,以及工業(yè)控制系統(tǒng)軟件平臺的開放,必須建設(shè)和完善工業(yè)控制系統(tǒng)的信息安全防護(hù)體系。

1 核電行業(yè)工業(yè)控制系統(tǒng)概念

1.1 核電行業(yè)工業(yè)控制系統(tǒng)的發(fā)展

在核電廠中,工業(yè)控制系統(tǒng)對工藝參數(shù)進(jìn)行監(jiān)測和控制,它具有保護(hù)、過程控制和監(jiān)測功能。工業(yè)控制系統(tǒng)主要包括安全級控制盤控制系統(tǒng)、非安全級分散控制系統(tǒng)(distributed control system,DCS)、多樣性驅(qū)動系統(tǒng)(diverse actuation system,DAS)、電廠控制系統(tǒng)(plant control system,PLS)、專用儀表與控制(instrument and control,I&C)等,并已成為核電廠重大基礎(chǔ)設(shè)施。隨著數(shù)字化技術(shù)在核電廠應(yīng)用,核電廠的工業(yè)控制系統(tǒng)向智能化邁進(jìn),其信息安全性和軟件可靠性越來越受到重視。

核電行業(yè)工業(yè)控制系統(tǒng)始終遵循故障安全、單一故障、多樣性、獨立性、冗余性、共模故障最小等設(shè)計原則，實現(xiàn)可用性、完整性、保密性等安全目標(biāo)。其發(fā)展經(jīng)歷了模擬型核電儀控系統(tǒng)、模擬加數(shù)字型核電儀控系統(tǒng)、數(shù)字化型核電儀控系統(tǒng)、數(shù)字加現(xiàn)場總線型核電儀控系統(tǒng)等階段。目前，現(xiàn)場總線控制系統(tǒng)已成為核電儀控系統(tǒng)的發(fā)展趨勢[1]。

現(xiàn)場總線是一種用于工業(yè)現(xiàn)場智能控制設(shè)備之間，以實現(xiàn)雙向串行多節(jié)點數(shù)字通信的網(wǎng)絡(luò)系統(tǒng)。智能化儀表、控制器、執(zhí)行器通過現(xiàn)場總線組成全數(shù)字化、雙向傳輸、多變量的通信網(wǎng)絡(luò)。通信網(wǎng)絡(luò)的開放性、功能塊的分散性以及數(shù)字化通信，是現(xiàn)場總線的重要特點。第一,它打破了數(shù)字化儀控系統(tǒng)專用通信網(wǎng)絡(luò)的局限,采用開放的標(biāo)準(zhǔn)協(xié)議實現(xiàn)信息共享,使具有相同功能的設(shè)備可以相互替換。第二,它將控制功能徹底下放到現(xiàn)場,取代了集中管理、分散控制結(jié)構(gòu),實現(xiàn)了全分布式控制結(jié)構(gòu),提高了系統(tǒng)的可靠性、擴(kuò)展性和靈活性。第三,它取代了傳統(tǒng)模擬信號及開關(guān)量信號,具有完全的數(shù)字計算和數(shù)字通信能力。

1.2 控制系統(tǒng)總體架構(gòu)

核電行業(yè)工業(yè)控制系統(tǒng)劃分為現(xiàn)場設(shè)備層、現(xiàn)場自動控制和保護(hù)層、監(jiān)督控制層、全廠信息管理層。壓水堆核電廠的工業(yè)控制系統(tǒng)如圖1所示。

圖1 壓水堆核電廠的工業(yè)控制系統(tǒng)示意圖

2 核電行業(yè)工業(yè)控制系統(tǒng)信息安全的威脅

核電廠信息安全的威脅主要來自黑客攻擊、數(shù)據(jù)操縱、病毒、蠕蟲和特洛伊木馬等，包括以下部分[2]。

①未識別關(guān)鍵監(jiān)測點和控制路徑，可能導(dǎo)致核電廠儀控系統(tǒng)關(guān)鍵控制路徑過飽和、關(guān)鍵監(jiān)測點出現(xiàn)故障、遭受攻擊時未能被及時發(fā)現(xiàn)，導(dǎo)致危害進(jìn)一步擴(kuò)大。

②用戶、數(shù)據(jù)與設(shè)備認(rèn)證手段不足，導(dǎo)致核電控制系統(tǒng)信息泄漏，DCS、PLC、儀器、儀表、采集系統(tǒng)(QDP、ILC、BCC等)、核電廠專用控制系統(tǒng)PLS、TOS等關(guān)鍵系統(tǒng)、設(shè)備的控制指令被篡改，關(guān)鍵控制數(shù)據(jù)被篡改，從而失去控制。

③缺乏網(wǎng)絡(luò)通信數(shù)據(jù)完整性校驗，未實施數(shù)據(jù)流控制、未加密、弱加密，使數(shù)據(jù)在傳輸過程中可能會丟失、誤碼或者被篡改，甚至程序的邏輯被修改，從而對核電廠的正常運行產(chǎn)生安全威脅。

④可能導(dǎo)致核電廠工藝參數(shù)信息泄漏，生產(chǎn)系統(tǒng)遭受病毒攻擊，核心資產(chǎn)數(shù)據(jù)泄漏等后果。問題包括：未定義網(wǎng)絡(luò)邊界，不清楚攻擊源在哪里，存在泄密、攻擊、病毒等；存在許多不可控的安全隱患，如未定義生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的邊界。

⑤安全邊界防護(hù)設(shè)備或者策略配置不當(dāng)，如不根據(jù)核電廠的安全需求進(jìn)行合理的安全防護(hù)設(shè)計，或者防護(hù)設(shè)備策略配置不當(dāng)，可能導(dǎo)致其防護(hù)設(shè)備無法起到應(yīng)有的防護(hù)作用，甚至對核電廠的生產(chǎn)運行造成負(fù)面影響。例如在生產(chǎn)安全區(qū)內(nèi)部署不能滿足生產(chǎn)實時性的阻斷性防護(hù)設(shè)備，可能導(dǎo)致控制網(wǎng)絡(luò)中斷，最終造成生產(chǎn)事故。

⑥專用系統(tǒng)中存在非法流量。網(wǎng)絡(luò)缺少運行專用網(wǎng)絡(luò)協(xié)議，在專有的系統(tǒng)(如核心區(qū)的控制系統(tǒng))中，使控制系統(tǒng)和其他非控制系統(tǒng)的流量共線，導(dǎo)致安全級別高的系統(tǒng)可能受到來自安全級別低的系統(tǒng)的攻擊串染，并存在系統(tǒng)下發(fā)指令錯誤而導(dǎo)致系統(tǒng)淪陷的可能。

⑦如未梳理關(guān)鍵設(shè)備，就無法實現(xiàn)關(guān)鍵核心設(shè)備重點保護(hù)。一旦核電廠遭受攻擊，系統(tǒng)將全面癱瘓。

核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)漏洞一旦被利用，對其控制系統(tǒng)進(jìn)行攻擊，將可能造成大面積的安全事故。

3 核電行業(yè)信息安全防御技術(shù)

3.1 參考標(biāo)準(zhǔn)

IEC 62443《工業(yè)過程測量,控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》、IATF《信息保障技術(shù)框架》標(biāo)準(zhǔn)提供了帶有特定技術(shù)要求的安全保護(hù)等級，對工業(yè)控制系統(tǒng)的特定功能、數(shù)量和采集數(shù)據(jù)的敏感性以及修復(fù)安全漏洞進(jìn)行了區(qū)域劃分,分析了工業(yè)控制系統(tǒng)面臨的威脅。RG5.71介紹了一個完整的核設(shè)施的信息安全程序,提供了信息安全的計劃和模板,并根據(jù)NIST SP 800-82《工業(yè)控制系統(tǒng)安全指南》、NIST SP 800-53提出了核設(shè)施的信息安全控制項。

信息安全技術(shù)防護(hù)體系設(shè)計主要參照HAD 102-16 《核動力廠基于計算機(jī)的安全重要系統(tǒng)軟件》;GB/T 22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》技術(shù)要求進(jìn)行[3]。

3.2 威脅工業(yè)控制系統(tǒng)信息安全的應(yīng)對措施

基于IEC 62443標(biāo)準(zhǔn)的信息安全威脅的應(yīng)對措施如表1所示。

表1 信息安全威脅的應(yīng)對措施

為了加強(qiáng)核電廠信息系統(tǒng)安全防護(hù)，抵御黑客及惡意代碼等對核電廠信息系統(tǒng)發(fā)起的惡意破壞、攻擊以及他非法操作，防止核電廠信息系統(tǒng)癱瘓和失控，對工業(yè)控制系統(tǒng)設(shè)備進(jìn)行分層。各層之間采取邊界防護(hù)措施。部署電力專用橫向單向安全隔離裝置,采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻，實現(xiàn)邏輯隔離、報文過濾、訪問控制等功能。工業(yè)控制系統(tǒng)與外部網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程通信時,應(yīng)當(dāng)采用認(rèn)證、加密、訪問控制等技術(shù)措施，實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)[4-6]。

①現(xiàn)場設(shè)備層(Level 0)。

現(xiàn)場總線技術(shù)通信協(xié)議無保密性,不排除人為利用現(xiàn)場總線的通信連接對工業(yè)控制系統(tǒng)進(jìn)行攻擊,或事先在總線智能設(shè)備上植入木馬程序攻擊工業(yè)控制系統(tǒng)。這層網(wǎng)絡(luò)屬于核心網(wǎng)絡(luò)，是最高等級保護(hù)區(qū)域，包含了保護(hù)和安全控制系統(tǒng)(protection and safety mornitoring system,PMS)以及廠級監(jiān)控系統(tǒng)數(shù)據(jù)。其所有的網(wǎng)絡(luò)設(shè)施應(yīng)當(dāng)位于核電廠的保護(hù)區(qū)域內(nèi)，非授權(quán)人員無法訪問該網(wǎng)絡(luò)；此外，需要采用物理隔離手段。

②現(xiàn)場自動控制和保護(hù)層(Level 1) 。

現(xiàn)場自動控制和保護(hù)層提供核電廠的常規(guī)島汽輪機(jī)控制和診斷系統(tǒng)(TOS)以及輔助系統(tǒng)的控制系統(tǒng)?，F(xiàn)場自動控制和保護(hù)層的主要信息安全手段包括：通過專有隔離裝置與全廠信息管理層連接；網(wǎng)絡(luò)設(shè)備靜態(tài)配置，并且禁用不使用的端口；與低層網(wǎng)絡(luò)之間的設(shè)備保持物理隔離；部署身份認(rèn)證系統(tǒng)，授權(quán)訪問相關(guān)設(shè)備及功能；卸載不需要的程序應(yīng)用以及操作系統(tǒng)功能。

③監(jiān)督控制層(Level 2) 。

監(jiān)督控制層主要為核電廠的實時生產(chǎn)信息管理系統(tǒng)，實時接收來自現(xiàn)場設(shè)備層、現(xiàn)場自動控制和保護(hù)層的生產(chǎn)數(shù)據(jù)。監(jiān)督控制層的安全防護(hù)主要有：

通過專有隔離裝置與全廠信息管理層連接；指令、流量實時監(jiān)測審計；深度解析工業(yè)控制系統(tǒng)協(xié)議，阻斷不信任異常行為；建立主機(jī)正常行為白名單模型，將風(fēng)險隔離在模型外；網(wǎng)絡(luò)設(shè)備靜態(tài)配置，并禁用不使用的端口；卸載不需要的程序應(yīng)用及操作系統(tǒng)功能，建立白名單系統(tǒng)，確保授權(quán)以外的程序不允許運行。

④全廠信息管理層(Level 3)。

全廠信息管理層安全防護(hù)主要有：與監(jiān)督控制層通信鏈路實施隔離，實現(xiàn)分層安全防護(hù)；建立主機(jī)面正常行為白名單模型，將風(fēng)險隔離在模型外；部署統(tǒng)一安全管理，實現(xiàn)策略、日志、告警的統(tǒng)一管理、收集、分析。

4 結(jié)束語

從目前的核電廠總體設(shè)計上分析,通過冗余序列、多樣性、故障安全、隔離、單一故障設(shè)計,已基本消除了工業(yè)控制系統(tǒng)信息安全事件引發(fā)嚴(yán)重核事故的風(fēng)險。但是信息安全事件可以擾亂操作和秩序,對核電廠各方面帶來嚴(yán)重影響,造成混亂?？刹扇〉男畔踩雷o(hù)措施主要有安全區(qū)的劃分、邊界安全防護(hù)、入侵檢測、主機(jī)與網(wǎng)絡(luò)設(shè)備加固、應(yīng)用安全控制、安全審計、專用安全產(chǎn)品的管理、備用與容災(zāi)、惡意代碼防范、設(shè)備安全測試和檢定及漏洞整改等。