一種核電儀控系統(tǒng)網(wǎng)絡(luò)安全設(shè)計驗證方法

上海核工程研究設(shè)計院有限公司 鄭威 常簫 毛磊 馬駿 張淑慧

為了驗證網(wǎng)絡(luò)安全防護措施的有效性,設(shè)計和實現(xiàn)儀控系統(tǒng)網(wǎng)絡(luò)安全驗證工具是非常必要的。本文從儀控系統(tǒng)網(wǎng)絡(luò)安全設(shè)計驗證工具的需求出發(fā),對搭建儀控系統(tǒng)網(wǎng)絡(luò)安全仿真實驗平臺的技術(shù)進行了分析,提出了一種核電儀控系統(tǒng)網(wǎng)絡(luò)安全設(shè)計驗證方法。

0 引言

隨著數(shù)字化技術(shù)在核電行業(yè)的應(yīng)用,核電廠網(wǎng)絡(luò)安全問題日益突出。自2010年Stuxnet蠕蟲病毒攻擊伊朗核設(shè)施以后,國內(nèi)外各界更加重視核電廠網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全攻擊會影響到軟件和數(shù)據(jù)的可用性、完整性、機密性,對系統(tǒng)、網(wǎng)絡(luò)和相關(guān)設(shè)備的運行產(chǎn)生不利影響,對核電廠的核安全構(gòu)成威脅。

傳統(tǒng)IT系統(tǒng)的安全技術(shù)研究已經(jīng)日益成熟,但是信息系統(tǒng)與核電儀控系統(tǒng)存在本質(zhì)上的差異,不能將IT安全技術(shù)直接運用在儀控系統(tǒng)上,儀控系統(tǒng)的網(wǎng)絡(luò)安全需要結(jié)合自身特點來設(shè)計安全保護措施。為了驗證網(wǎng)絡(luò)安全防護措施設(shè)計的有效性,設(shè)計一套用于核電儀控系統(tǒng)網(wǎng)絡(luò)安全驗證平臺是非常必要和需要的。

1 核電儀控系統(tǒng)網(wǎng)絡(luò)安全設(shè)計驗證方法

1.1 設(shè)計驗證需求

網(wǎng)絡(luò)安全設(shè)計驗證用于驗證網(wǎng)絡(luò)安全的設(shè)計,從頂層安全設(shè)計、風(fēng)險分析到防護手段設(shè)計的驗證。設(shè)計驗證的實驗環(huán)境應(yīng)涵蓋整個典型的儀控控制系統(tǒng)網(wǎng)絡(luò)架構(gòu),包括過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層。過程監(jiān)控層、現(xiàn)場控制層采用真實的網(wǎng)絡(luò)和控制設(shè)備,現(xiàn)場設(shè)備層使用虛擬的仿真模型,如圖1。

圖1 驗證工具的環(huán)境需求Fig.1 Environmental requirements for verification tools

構(gòu)建一個真實網(wǎng)絡(luò)環(huán)境的缺點是周期長、難拓展、成本高、難調(diào)整;而全部通過仿真方法,仿真網(wǎng)絡(luò)的差異性會對準(zhǔn)確性產(chǎn)生影響。因此,采用虛實結(jié)合的半實物仿真方式,具有更高的可行性和可信度[1-2]。

本文提出采用搭建半實物仿真平臺進行設(shè)計驗證。設(shè)計驗證的過程需求和業(yè)務(wù)需求來源于三個方面:風(fēng)險分析建模的驗證、網(wǎng)絡(luò)安全防護手段有效性驗證、網(wǎng)絡(luò)安全與核安全協(xié)同設(shè)計研究驗證:

(1)風(fēng)險分析建模的驗證。通過開展攻擊模擬實驗驗證威脅假設(shè)、潛在攻擊路徑分析和攻擊后果分析。因此,網(wǎng)絡(luò)安全實驗平臺需要能夠較為真實地體現(xiàn)潛在的工藝業(yè)務(wù)場景,實現(xiàn)多種攻擊模擬,如中間人攻擊模擬、拒絕服務(wù)攻擊模擬、惡意內(nèi)部人員攻擊模擬等。通過安全分析工具例如FMEA、HAZOP、FTA、系統(tǒng)理論過程分析(SPTA)等專用工具方法進行安全危害評估,系統(tǒng)性地識別和列出那些行為和異常行為結(jié)合起來導(dǎo)致非預(yù)期結(jié)果的各種方式。需要分析信息安全攻擊事件后系統(tǒng)的行為,并識別系統(tǒng)中部件故障的發(fā)生機理,用于理解部件失效模式。

(2)網(wǎng)絡(luò)安全防護手段正確性和有效性研究。通過模擬攻擊實驗驗證網(wǎng)絡(luò)安全防護手段實施的正確性和有效性,例如安全區(qū)域的劃分與隔離、訪問控制、身份鑒別、網(wǎng)絡(luò)邊界防護、安全策略配置、主機加固措施、實時的網(wǎng)絡(luò)監(jiān)測、系統(tǒng)預(yù)警和應(yīng)急響應(yīng)等[3-4]。

(3)網(wǎng)絡(luò)安全與核安全協(xié)同設(shè)計驗證研究。當(dāng)存在需要兼顧核安全的同時,網(wǎng)絡(luò)安全的設(shè)計需要以核安全為主,需要進一步驗證核安全功能是否受到影響,在不宜設(shè)置網(wǎng)絡(luò)安全措施之處,是否有其他的執(zhí)行安全功能或者縱深防御功能能有效阻塞網(wǎng)絡(luò)攻擊的蔓延,降低安全風(fēng)險。

綜上所述,設(shè)計驗證平臺需要滿足真實性、可重復(fù)性、準(zhǔn)確性、安全性的要求,盡可能的真實重現(xiàn)控制系統(tǒng)結(jié)構(gòu)、工藝系統(tǒng)功能及流程,提供準(zhǔn)確的記錄、分析的能力,并且不能對系統(tǒng)硬件造成不可逆的破壞。在滿足上述要求的情況下,開展風(fēng)險分析、防護手段有效性驗證和網(wǎng)絡(luò)安全與核安全協(xié)同設(shè)計驗證研究。

1.2 設(shè)計驗證平臺功能需求

本文提出儀控系統(tǒng)網(wǎng)絡(luò)安全半實物仿真平臺的設(shè)計方案,功能需求如下:

(1)工藝系統(tǒng)建模功能需求。系統(tǒng)需具備工藝系統(tǒng)建模能力,通過組態(tài),提供工藝流程的仿真和控制能力,以模擬遭受攻擊后的工藝場景。

(2)安全防護手段驗證需求。設(shè)計驗證工具需要對網(wǎng)絡(luò)安全防護手段的有效性進行評估和驗證。網(wǎng)絡(luò)安全防護手段包括訪問控制、審計、通信保護、身份鑒定和認(rèn)證、系統(tǒng)加固等內(nèi)容,依據(jù)等級保護標(biāo)準(zhǔn)的要求,形成安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心支持下的防護體系。

防護手段的驗證包括兩個層次:一是合規(guī)性檢查;二是有效性檢查。合規(guī)性檢查主要依賴標(biāo)準(zhǔn)檢查工具進行標(biāo)準(zhǔn)符合性評估,不屬于設(shè)計驗證的范疇。

有效性檢查需要基于核安全的安全分析進行驗證,以驗證網(wǎng)絡(luò)安全的問題不會影響核安全,風(fēng)險分析中的風(fēng)險緩解措施的實施是否真正緩解了風(fēng)險?；蛘哒f從另一個角度來解釋,造成最嚴(yán)重的功能喪失或者嚴(yán)重后果的安全功能有沒有做到真正的防護。

(3)核安全和網(wǎng)絡(luò)安全協(xié)同設(shè)計驗證需求。一種新的安全防護有效性設(shè)計策略是,網(wǎng)絡(luò)安全和核安全協(xié)作實現(xiàn)核電廠安全。因此這類驗證需要綜合考慮核安全設(shè)計以及網(wǎng)絡(luò)安全設(shè)計。核安全中相關(guān)功能已經(jīng)能一定程度上應(yīng)對網(wǎng)絡(luò)安全攻擊了,其他網(wǎng)絡(luò)安全措施的實現(xiàn)是否影響了原核安全設(shè)計的準(zhǔn)則,是否對原核安全功能的產(chǎn)生影響需要進一步試驗驗證。此類驗證是核電儀控系統(tǒng)安全防護的基本原則。

(4)攻擊仿真需求。攻擊仿真需要實現(xiàn)針對儀控系統(tǒng)典型的模擬網(wǎng)絡(luò)安全攻擊,以模擬各類假設(shè)威脅。

首先,進行基本的攻擊,常見的攻擊有針對計算機網(wǎng)絡(luò)帶寬的攻擊和連通性能攻擊、獲取操作權(quán)限控制計算機、獲取數(shù)據(jù)庫權(quán)限等奪權(quán)的攻擊方式。還需驗證中間人攻擊等高級攻擊方式,包括對底層設(shè)備控制指令的篡改和設(shè)備狀態(tài)向人機界面反饋參數(shù)的篡改。

(5)數(shù)據(jù)采集和分析需求。在試驗的過程中需要持續(xù)地評估儀控系統(tǒng)的性能、評估安全防護措施的運行情況,因此需要增設(shè)安全探針,包括流量和主機探針,針對儀控系統(tǒng)和安全設(shè)備的運行狀態(tài)進行綜合監(jiān)視和評價。并可視化展現(xiàn)攻擊仿真的攻擊鏈路情況,并驗證安全態(tài)勢分析和網(wǎng)絡(luò)預(yù)警分析模型算法。

1.3 設(shè)計驗證平臺的架構(gòu)

本文構(gòu)建一個設(shè)計驗證平臺,包含上位機、交換機、控制器等真實網(wǎng)絡(luò)和控制設(shè)備,以及底層工藝仿真模型,和電子沙盤展示系統(tǒng)。在這個系統(tǒng)中部署核電廠工藝,設(shè)計攻擊事件,并利用惡意代碼工具進行攻擊的模擬和展示,如圖2。

圖2 設(shè)計驗證平臺架構(gòu)Fig.2 Design verification platform architecture

設(shè)計驗證平臺應(yīng)實現(xiàn)柔性化可編程可組態(tài)。通過對仿真系統(tǒng)的編程,輸入點可進行數(shù)據(jù)模擬,可以調(diào)節(jié)不同輸入點組合、運算后,實現(xiàn)多個輸出,并可實現(xiàn)對人機顯示界面的組態(tài),從而實現(xiàn)不同的工藝場景。設(shè)計驗證工具需實現(xiàn)與工藝仿真模型的接口通信,通過輸入輸出數(shù)據(jù),實現(xiàn)與工藝仿真模型的聯(lián)動。

設(shè)計驗證平臺具有以下業(yè)務(wù)功能:

(1)工藝系統(tǒng)實現(xiàn):實現(xiàn)核電廠工藝系統(tǒng)場景,并實時展示網(wǎng)絡(luò)安全攻擊對電廠工藝的真實影響,通過工藝仿真模型的仿真得以實現(xiàn)。

(2)電子沙盤展示:完成工藝正常工作和異常情況的展示效果。人機界面的設(shè)計包括信息顯示,以及報警、數(shù)據(jù)存儲等功能。電子沙盤的組成包括大屏幕、操作站、控制盤臺等。

(3)攻擊工具:實現(xiàn)典型的網(wǎng)絡(luò)安全攻擊方式,開展設(shè)計驗證。

(4)安全防護設(shè)備部署和策略設(shè)計:可以進行工控信息安全產(chǎn)品的部署和防護策略管理。

(5)風(fēng)險評估系統(tǒng):實現(xiàn)資產(chǎn)分析、攻擊鏈路分析,防護手段合規(guī)性檢查,網(wǎng)絡(luò)安全風(fēng)險計算。

(6)安全預(yù)警分析:實現(xiàn)當(dāng)前系統(tǒng)的態(tài)勢分析,預(yù)警潛在的安全攻擊事件。

2 總結(jié)

本文從儀控系統(tǒng)網(wǎng)絡(luò)安全設(shè)計驗證平臺的需求出發(fā),對搭建儀控系統(tǒng)網(wǎng)絡(luò)安全仿真實驗平臺的技術(shù)方案進行了分析,提出了儀控系統(tǒng)網(wǎng)絡(luò)安全半實物仿真實驗平臺的需求和架構(gòu)。

引用

[1] 蘇暢,熊申鐸,羅安琴,等.電廠工控信息安全半實物仿真模型研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018(10):5-9.

[2] 周靜,瞿婷婷,衛(wèi)佳駿,等.工業(yè)控制系統(tǒng)信息安全測試床的實現(xiàn)[J].工業(yè)控制計算機,2015(8):45-46.

[3] Regulatory Guide 5.71(U.S. NRC 5.71),Cyber Security Programs for Nuclear Facilities,U.S.Nuclear Regulatory Commission(NRC)[S].2010.

[4] GB/T22239信息安全技術(shù)-信息系統(tǒng)安全等級保護基本要求[S].2008.