今日頭條
官方微信
官方抖音
案例頻道 1 引言
2010年10月,“震網”(Stuxnet)病毒造成伊朗核電站推遲發電,并對伊朗國內的工業造成大面積影響。Stuxnet病毒通過Windows漏洞感染計算機,該病毒可通過網絡、移動介質、西門子項目文件等方式進行傳播,它入侵電腦后會尋找廣泛用于工業控制系統的西門子軟件,通過對軟件重新編程實施攻擊,它能控制關鍵過程并開啟一連串執行程序,可導致的后果難以估計。“震網”(Stuxnet)病毒事件,為核電數字儀控系統信息安全敲響了警鐘。現在,國內外都把核電數字儀控系統信息安全防護建設提上了日程[1,2]。為了應對核電廠信息安全的新挑戰,美國核能研究院 NEI(Nuclear Energy Institute) 于 2007年 5月發布了“核電廠網絡信息安全導則”(Cyber Security Guidance for Nuclear PowerPlants)白皮書;同年12月,美國核管會NRC(Nuclear RegulatoryCommission)頒布了 DI&C-ISG01“核電廠網絡信息安全”(CyberSecurity)過渡性審查導則高度重視核電廠信息安全[3,6]。
2 核電數字化儀控系統
核電站全數字化儀控系統是以工業網絡為中心實現的實時分布式系統。系統采用分散控制、集中管理的分層分布式控制結構,包括運行和控制中心系統、電廠控制系統、保護和安全檢測系統、多樣化驅動系統、數據顯示和處理系統以及堆芯儀表系統等子系統。控制系統由工程師站、操作站、現場控制站、通信控制站打印服務站、系統服務器、管理網絡以及系統網絡等組成。整個系統共分為現場采集控制層、監控層和管理層三層網絡。管理層采用TCP/IP以太網;在監控層,操作站、工程師站、中央處理服務器以及不同系統之間采用工業以太網,有很強的網絡互聯能力;現場采集控制層采用高速現場總線。反應堆保護安全級系統與非安全級系統之間數據通信通過安全級網關執行[4,5]。從而可以看出,整個系統的網絡信息安全大多采用普通IT領域網絡信息安全技術,面對日益嚴重的黑客攻擊威脅,必須實施有效的防御手段。
3 核電儀控系統信息安全隱患分析
核電廠網絡信息安全的潛在威脅主要來自黑客攻擊、間諜(espionage)、蠕蟲和特洛伊木馬等[7]。
(1)黑客攻擊是通過攻擊核電廠自動化系統的要害或弱點,使得核電廠網絡信息的保密性、完整性、可靠性、可控性和可用性等受到傷害,造成不可估量的損失。黑客攻擊又分為來自外部的攻擊和來自內部的攻擊。來自外部的攻擊包括非授權訪問(指一個非授權用戶的入侵)和拒絕服務DoS(denial of service)攻擊(即黑客想辦法讓目標設備停止提供服務或資源訪問)。這樣設備則不能執行其正常功能,或它的動作妨礙了別的設備執行其正常功能,從而導致系統癱瘓,停止運行。來自內部的安全威脅主要是指由于自動化系統技術人員技術水平的局限性以及經驗的不足而可能導致各種意想不到的操作失誤,其勢必會對系統或信息安全產生較大的影響。
嚴重的黑客攻擊性質已經從單純的娛樂擴展到了犯罪、恐怖主義,甚至國家贊助的間諜活動。在這種情況下,核電廠自動化系統必須采取適當而有力的防御措施來應對黑客攻擊行為的不斷升級。
(2)蠕蟲是利用網絡缺陷進行繁殖的病毒程序,它們能利用網絡,從一臺設備傳播到其他設備,并自動計算網絡地址,不斷自我復制,通過網絡發送造成網絡阻塞,使網絡服務器不能訪問,甚至造成系統癱瘓。
對于工業自動化系統來說,當蠕蟲病毒大規模爆發時,交換機和路由器首先會受到影響, 蠕蟲病毒攻擊能夠導致整個網絡的路由振蕩,可能使信息管理層網絡的部分流量流入工業以太網,增加其通信負荷、影響其實時性。在控制層,工業以太網交換機連接的設備終端一旦感染病毒,病毒發作就會消耗帶寬和交換機資源。
(3)特洛伊木馬,就是一種偽裝潛伏的網絡病毒,等待時機成熟就出來進行破壞。木馬能駐留內存、在系統中安裝后門程序、開機加載附帶的木馬。木馬病毒的發作要在用戶的設備里運行客戶端程序,一旦發作,就可設置后門,將該用戶的隱私定時地發送到木馬程序指定的地址,一般同時還內置可進入該用戶設備的端口,并可任意控制此計算機設備進行文件刪除、復制和修改密碼等非法操作。
4 核電儀控系統信息安全防護方案
為解決核電數字儀控系統的信息安全隱患,必須采取分層次的縱深防御策略,從而使管理者能夠在每層監視系統。核電數字儀控系統信息安全防護應關注如下方面:確保數據的完整性;遠程訪問的安全性;控制系統網絡設備和使用者的驗證和認證。
系統性的核電控制系統信息安全防御策略應從減少控制系統網絡易受攻擊的接口面開始。第一階段是建立具體的控制系統安全規則,這些規則詳細描述哪些設備、協議和應用可以在控制系統上運行;誰有訪問這些設備的權限,且從哪里訪問;使用者可以被允許執行哪些操作。下一階段是確定適當的區域實施如上的規則,可通過在已有的控制系統的設備上或添加新的設備上進行適當的配置來實現。第三階段是監控規則的實施,定位違規的區域且反饋給規則的制定者,以此來確保規則的有效性。信息安全是一個連續的過程,因此需要連續的監控和調整。下文將詳細解釋這些階段和可用于確保核電數字儀控系統信息安全的技術。
第一步:識別關鍵資產
規則的制定者首先應識別需要保護的資產以及保護級別。在核電數字儀控系統中,存在實時服務器,現場設備和外圍設備如路由器和交換機等。對通信功能的折中將影響現場設備的安全性。攻擊者通常以易受攻擊的非主要應用為目標,因此數字儀控系統中任何與網絡訪問相關的設備必須被識別為信息安全關鍵設備。由于控制系統中很多服務器采用通用的操作系統和應用軟件,因此對這些服務器采取信息安全防護措施,以此來防御蠕蟲,木馬的威脅。
第二步:分析網絡
為制定綜合性的規則,網絡管理者需要能夠比對所有子網信息分析工具。由于多數設備易于被主動掃描工具影響正常運行,被動掃描和辨識工具是唯一的選擇。
網絡分析工具需記錄所有網絡活動信息包括設備類型、操作__系統、協議和應用者等。通過網絡分析來建立基準,以此來跟蹤網絡上的服務器、控制設備以及組件間通信的協議與服務。
通過迅速定位網絡中的新組件,網絡管理者可以確定這些組件已經受到保護,并且可以跟蹤其狀態。
第三步:創建網絡管理規則
一旦辨識了設備、網絡、應用和使用者,則可以制定相應的信息安全規則來保護系統。
第四步:創建嚴謹防御邊界
在某些情況下,需要從企業網或因特網訪問控制系統,因此需要創建嚴謹的信息安全防御邊界。邊界防火墻必須創建至少三個安全區域——控制系統網絡組件信息安全區,隔離區(DMZ),不可靠區。
即使所有的外部訪問來自企業網,邊界防火墻仍必須以企業網是不可靠為前提來建立相互的非信任規則。隔離區應包括非安全網絡可訪問的安全訪問認證設備、認證工作站或服務器。安全區的任何設備僅可通過隔離區的一個設備進行訪問。通過保護和連續監控隔離區的設備,可有效阻止基于網絡的攻擊。如上所述,關鍵是邊界設備不僅提供安全區和基于流的防火墻,還必須檢測它正在保護的協議和應用。
推薦使用綜合性的基于特定目的專用網安全解決方案來保護核電站控制系統。解決方案應為控制系統相關的網絡協議(如Modbus等)提供強健的防火墻功能。此外,它還應實時升級來防御最新的應用對控制系統網絡的攻擊。
第五步:確保身份管理和防止設備欺詐
儀控系統網絡的入侵多數是來自無意不當使用導致的。員工可能使用移動存儲設備時引入了蠕蟲或木馬。這些蠕蟲能夠掃描控制系統并產生惡意數據流量。因此,為確保區域內的信息安全,必須對接入點認證和健康檢查。
網絡訪問控制(NAC)解決方案應綜合使用用戶身份辨識、設備信息安全、訪問點的狀態和位置信息等方法。
在控制系統中添加信息安全組件或設備時,必須確保這些組件或設備不能影響控制系統的性能和可用性。因此建議使用被動型的入侵檢測技術,并且綜合網絡訪問控制服務器的安全規則來約束訪問。
第六步:設立安全遠程訪問多種情況需要遠程訪問,如電廠操作員或工程師需要遠程監視設備狀態或收集電廠數據,或者設備商需要診斷或解決操作問題。為最小化遠程訪問的不當使用以及可能帶來的危害,使用者必須被限制,且使用者只能使用特定的經過授權的功能。
第七步:監控和匯報
一旦定義了訪問規則,防火墻、交換機和入侵檢測設備將執行這些規則,同時作為監控站來記錄任何違反規則的情況。融合__了來自網絡訪問控制設備信息的入侵檢測分析器,對使用網絡的用戶進行深入的分析,如它們正在使用什么應用程序,以及它們來自哪里。
網絡管理員也應該有檢測和報告工具來幫助追蹤在控制系統網絡上的服務,并對新服務的調度或者現有服務的改變發出警告。網絡或現有服務的改變可能表明已經有攻擊連接到了該設備,或者是某雇員正在不恰當地使用該系統而對整個組織結構產生了危險。分析器也應檢測其它熟知的卻可能未被發現的攻擊。這些可能包括一個正嘗試連接到熟知的惡意主機或網絡的系統,如那些被大家熟知的運行BOTNET命令并控制信道的網絡。從而可以防御黑客攻擊。
5 信息安全生命周期管理
儀控系統開發、運行和維護的生命周期內,為確保信息安全需注意以下問題:在軟件開發過程中,軟件中不包含惡意代碼,防止和偵測安裝到系統中的軟件的惡意改動,防止在系統運行過程中對軟件進行任何惡意篡改。驗證和確認團隊也要確認在代碼復查的時候沒有加入無文檔記錄的、惡意的代碼。對于改動過的軟件,驗證和確認團隊比較改動之前和之后的源代碼,確保沒有受影響的模塊沒有被改動。
6 總結
為使國內儀控系統設計人員充分意識到核電儀控系統存在的信息安全隱患,本文對核電站數字儀控系統面臨的信息安全隱患進行了分析;提出核電站儀控系統信息安全防護方案;并簡述了儀控系統開發、運行和維護的生命周期內,為確保信息安全需注意哪些問題。
參考文獻:
[1] IEC/TS 62443-1-1-2009,工業通信網絡 網絡和系統安全[S]
[2] IEC/TS 62443-1-3-2009,工業通信網絡 網絡和系統安全
[S][3] LAITH MOHAMMAD AL-BARAKAT. A testbed to simulate cyber attackson nuclear power plants[D].University of Illinois at Urbana-Champaign, 2011.
[4] Yu-Jen Chen, Gen-Yih Liao, Tsung-Chieh Cheng. risk assessment oninstrumentation and control network security management system for nuclearpower plants[C].Annual International Carnahan Conference on SecurityTechnology, 2009.
[5] David Watts. Security & Vulnerability in Electric Power Systems[C].NorthAmerican Power Symposium, University of Missouri-Rolla in Rolla, Missouri, 2003.
[6] CYBER SECURITY PROGRAMS FOR NUCLEAR FACILITIES. NRCREGULATORY GUIDE 5.71[R].
[7] 繆學勤.采用縱深防御體系架構-確保核電可靠安全[J].自動化儀表,2011,32 (2)
張勇濤(1983-)男,河南濮陽人,博士,現就職于北京廣利核系統工程有限公司,主要從事核電儀控系統控制網絡的研究。
摘自《自動化博覽》2013年3月
北京市公安局海淀分局備案號:11010802023656號