1　引言

   2010年10月，“震網(wǎng)”（Stuxnet）病毒造成伊朗核電站推遲發(fā)電，并對伊朗國內的工業(yè)造成大面積影響。Stuxnet病毒通過(guò)Windows漏洞感染計算機，該病毒可通過(guò)網(wǎng)絡(luò )、移動(dòng)介質(zhì)、西門(mén)子項目文件等方式進(jìn)行傳播，它入侵電腦后會(huì )尋找廣泛用于工業(yè)控制系統的西門(mén)子軟件，通過(guò)對軟件重新編程實(shí)施攻擊，它能控制關(guān)鍵過(guò)程并開(kāi)啟一連串執行程序，可導致的后果難以估計。“震網(wǎng)”（Stuxnet）病毒事件，為核電數字儀控系統信息安全敲響了警鐘?，F在，國內外都把核電數字儀控系統信息安全防護建設提上了日程[1，2]。為了應對核電廠(chǎng)信息安全的新挑戰，美國核能研究院 NEI(Nuclear Energy Institute) 于 2007年 5月發(fā)布了“核電廠(chǎng)網(wǎng)絡(luò )信息安全導則”(Cyber Security Guidance for Nuclear PowerPlants)白皮書(shū)；同年12月，美國核管會(huì )NRC(Nuclear RegulatoryCommission)頒布了 DI&C-ISG01“核電廠(chǎng)網(wǎng)絡(luò )信息安全”(CyberSecurity)過(guò)渡性審查導則高度重視核電廠(chǎng)信息安全[3，6]。

  2　核電數字化儀控系統

   核電站全數字化儀控系統是以工業(yè)網(wǎng)絡(luò )為中心實(shí)現的實(shí)時(shí)分布式系統。系統采用分散控制、集中管理的分層分布式控制結構，包括運行和控制中心系統、電廠(chǎng)控制系統、保護和安全檢測系統、多樣化驅動(dòng)系統、數據顯示和處理系統以及堆芯儀表系統等子系統?？刂葡到y由工程師站、操作站、現場(chǎng)控制站、通信控制站打印服務(wù)站、系統服務(wù)器、管理網(wǎng)絡(luò )以及系統網(wǎng)絡(luò )等組成。整個(gè)系統共分為現場(chǎng)采集控制層、監控層和管理層三層網(wǎng)絡(luò )。管理層采用TCP/IP以太網(wǎng)；在監控層，操作站、工程師站、中央處理服務(wù)器以及不同系統之間采用工業(yè)以太網(wǎng)，有很強的網(wǎng)絡(luò )互聯(lián)能力；現場(chǎng)采集控制層采用高速現場(chǎng)總線(xiàn)。反應堆保護安全級系統與非安全級系統之間數據通信通過(guò)安全級網(wǎng)關(guān)執行[4，5]。從而可以看出，整個(gè)系統的網(wǎng)絡(luò )信息安全大多采用普通IT領(lǐng)域網(wǎng)絡(luò )信息安全技術(shù)，面對日益嚴重的黑客攻擊威脅，必須實(shí)施有效的防御手段。

   3　核電儀控系統信息安全隱患分析

   核電廠(chǎng)網(wǎng)絡(luò )信息安全的潛在威脅主要來(lái)自黑客攻擊、間諜(espionage)、蠕蟲(chóng)和特洛伊木馬等[7]。

   （1）黑客攻擊是通過(guò)攻擊核電廠(chǎng)自動(dòng)化系統的要害或弱點(diǎn)，使得核電廠(chǎng)網(wǎng)絡(luò )信息的保密性、完整性、可靠性、可控性和可用性等受到傷害，造成不可估量的損失。黑客攻擊又分為來(lái)自外部的攻擊和來(lái)自?xún)炔康墓?。?lái)自外部的攻擊包括非授權訪(fǎng)問(wèn)(指一個(gè)非授權用戶(hù)的入侵)和拒絕服務(wù)DoS(denial of service)攻擊(即黑客想辦法讓目標設備停止提供服務(wù)或資源訪(fǎng)問(wèn))。這樣設備則不能執行其正常功能，或它的動(dòng)作妨礙了別的設備執行其正常功能，從而導致系統癱瘓，停止運行。來(lái)自?xún)炔康陌踩{主要是指由于自動(dòng)化系統技術(shù)人員技術(shù)水平的局限性以及經(jīng)驗的不足而可能導致各種意想不到的操作失誤，其勢必會(huì )對系統或信息安全產(chǎn)生較大的影響。

   嚴重的黑客攻擊性質(zhì)已經(jīng)從單純的娛樂(lè )擴展到了犯罪、恐怖主義，甚至國家贊助的間諜活動(dòng)。在這種情況下，核電廠(chǎng)自動(dòng)化系統必須采取適當而有力的防御措施來(lái)應對黑客攻擊行為的不斷升級。

   （2）蠕蟲(chóng)是利用網(wǎng)絡(luò )缺陷進(jìn)行繁殖的病毒程序，它們能利用網(wǎng)絡(luò )，從一臺設備傳播到其他設備，并自動(dòng)計算網(wǎng)絡(luò )地址，不斷自我復制，通過(guò)網(wǎng)絡(luò )發(fā)送造成網(wǎng)絡(luò )阻塞，使網(wǎng)絡(luò )服務(wù)器不能訪(fǎng)問(wèn)，甚至造成系統癱瘓。

   對于工業(yè)自動(dòng)化系統來(lái)說(shuō)，當蠕蟲(chóng)病毒大規模爆發(fā)時(shí)，交換機和路由器首先會(huì )受到影響， 蠕蟲(chóng)病毒攻擊能夠導致整個(gè)網(wǎng)絡(luò )的路由振蕩，可能使信息管理層網(wǎng)絡(luò )的部分流量流入工業(yè)以太網(wǎng)，增加其通信負荷、影響其實(shí)時(shí)性。在控制層，工業(yè)以太網(wǎng)交換機連接的設備終端一旦感染病毒，病毒發(fā)作就會(huì )消耗帶寬和交換機資源。

   （3）特洛伊木馬，就是一種偽裝潛伏的網(wǎng)絡(luò )病毒，等待時(shí)機成熟就出來(lái)進(jìn)行破壞。木馬能駐留內存、在系統中安裝后門(mén)程序、開(kāi)機加載附帶的木馬。木馬病毒的發(fā)作要在用戶(hù)的設備里運行客戶(hù)端程序，一旦發(fā)作，就可設置后門(mén)，將該用戶(hù)的隱私定時(shí)地發(fā)送到木馬程序指定的地址，一般同時(shí)還內置可進(jìn)入該用戶(hù)設備的端口，并可任意控制此計算機設備進(jìn)行文件刪除、復制和修改密碼等非法操作。

  4　核電儀控系統信息安全防護方案

   為解決核電數字儀控系統的信息安全隱患，必須采取分層次的縱深防御策略，從而使管理者能夠在每層監視系統。核電數字儀控系統信息安全防護應關(guān)注如下方面：確保數據的完整性；遠程訪(fǎng)問(wèn)的安全性；控制系統網(wǎng)絡(luò )設備和使用者的驗證和認證。

   系統性的核電控制系統信息安全防御策略應從減少控制系統網(wǎng)絡(luò )易受攻擊的接口面開(kāi)始。第一階段是建立具體的控制系統安全規則，這些規則詳細描述哪些設備、協(xié)議和應用可以在控制系統上運行；誰(shuí)有訪(fǎng)問(wèn)這些設備的權限，且從哪里訪(fǎng)問(wèn)；使用者可以被允許執行哪些操作。下一階段是確定適當的區域實(shí)施如上的規則，可通過(guò)在已有的控制系統的設備上或添加新的設備上進(jìn)行適當的配置來(lái)實(shí)現。第三階段是監控規則的實(shí)施，定位違規的區域且反饋給規則的制定者，以此來(lái)確保規則的有效性。信息安全是一個(gè)連續的過(guò)程，因此需要連續的監控和調整。下文將詳細解釋這些階段和可用于確保核電數字儀控系統信息安全的技術(shù)。

   第一步：識別關(guān)鍵資產(chǎn)

   規則的制定者首先應識別需要保護的資產(chǎn)以及保護級別。在核電數字儀控系統中，存在實(shí)時(shí)服務(wù)器，現場(chǎng)設備和外圍設備如路由器和交換機等。對通信功能的折中將影響現場(chǎng)設備的安全性。攻擊者通常以易受攻擊的非主要應用為目標，因此數字儀控系統中任何與網(wǎng)絡(luò )訪(fǎng)問(wèn)相關(guān)的設備必須被識別為信息安全關(guān)鍵設備。由于控制系統中很多服務(wù)器采用通用的操作系統和應用軟件，因此對這些服務(wù)器采取信息安全防護措施，以此來(lái)防御蠕蟲(chóng)，木馬的威脅。

   第二步：分析網(wǎng)絡(luò )

   為制定綜合性的規則，網(wǎng)絡(luò )管理者需要能夠比對所有子網(wǎng)信息分析工具。由于多數設備易于被主動(dòng)掃描工具影響正常運行，被動(dòng)掃描和辨識工具是唯一的選擇。

   網(wǎng)絡(luò )分析工具需記錄所有網(wǎng)絡(luò )活動(dòng)信息包括設備類(lèi)型、操作__系統、協(xié)議和應用者等。通過(guò)網(wǎng)絡(luò )分析來(lái)建立基準，以此來(lái)跟蹤網(wǎng)絡(luò )上的服務(wù)器、控制設備以及組件間通信的協(xié)議與服務(wù)。

  通過(guò)迅速定位網(wǎng)絡(luò )中的新組件，網(wǎng)絡(luò )管理者可以確定這些組件已經(jīng)受到保護，并且可以跟蹤其狀態(tài)。

  第三步：創(chuàng )建網(wǎng)絡(luò )管理規則

  一旦辨識了設備、網(wǎng)絡(luò )、應用和使用者，則可以制定相應的信息安全規則來(lái)保護系統。

  第四步：創(chuàng )建嚴謹防御邊界

  在某些情況下，需要從企業(yè)網(wǎng)或因特網(wǎng)訪(fǎng)問(wèn)控制系統，因此需要創(chuàng )建嚴謹的信息安全防御邊界。邊界防火墻必須創(chuàng )建至少三個(gè)安全區域——控制系統網(wǎng)絡(luò )組件信息安全區，隔離區（DMZ），不可靠區。

  即使所有的外部訪(fǎng)問(wèn)來(lái)自企業(yè)網(wǎng)，邊界防火墻仍必須以企業(yè)網(wǎng)是不可靠為前提來(lái)建立相互的非信任規則。隔離區應包括非安全網(wǎng)絡(luò )可訪(fǎng)問(wèn)的安全訪(fǎng)問(wèn)認證設備、認證工作站或服務(wù)器。安全區的任何設備僅可通過(guò)隔離區的一個(gè)設備進(jìn)行訪(fǎng)問(wèn)。通過(guò)保護和連續監控隔離區的設備，可有效阻止基于網(wǎng)絡(luò )的攻擊。如上所述，關(guān)鍵是邊界設備不僅提供安全區和基于流的防火墻，還必須檢測它正在保護的協(xié)議和應用。

   推薦使用綜合性的基于特定目的專(zhuān)用網(wǎng)安全解決方案來(lái)保護核電站控制系統。解決方案應為控制系統相關(guān)的網(wǎng)絡(luò )協(xié)議（如Modbus等）提供強健的防火墻功能。此外，它還應實(shí)時(shí)升級來(lái)防御最新的應用對控制系統網(wǎng)絡(luò )的攻擊。

  第五步：確保身份管理和防止設備欺詐

   儀控系統網(wǎng)絡(luò )的入侵多數是來(lái)自無(wú)意不當使用導致的。員工可能使用移動(dòng)存儲設備時(shí)引入了蠕蟲(chóng)或木馬。這些蠕蟲(chóng)能夠掃描控制系統并產(chǎn)生惡意數據流量。因此，為確保區域內的信息安全，必須對接入點(diǎn)認證和健康檢查。

  網(wǎng)絡(luò )訪(fǎng)問(wèn)控制（NAC）解決方案應綜合使用用戶(hù)身份辨識、設備信息安全、訪(fǎng)問(wèn)點(diǎn)的狀態(tài)和位置信息等方法。

   在控制系統中添加信息安全組件或設備時(shí)，必須確保這些組件或設備不能影響控制系統的性能和可用性。因此建議使用被動(dòng)型的入侵檢測技術(shù)，并且綜合網(wǎng)絡(luò )訪(fǎng)問(wèn)控制服務(wù)器的安全規則來(lái)約束訪(fǎng)問(wèn)。

   第六步：設立安全遠程訪(fǎng)問(wèn)多種情況需要遠程訪(fǎng)問(wèn)，如電廠(chǎng)操作員或工程師需要遠程監視設備狀態(tài)或收集電廠(chǎng)數據，或者設備商需要診斷或解決操作問(wèn)題。為最小化遠程訪(fǎng)問(wèn)的不當使用以及可能帶來(lái)的危害，使用者必須被限制，且使用者只能使用特定的經(jīng)過(guò)授權的功能。

  第七步：監控和匯報

  一旦定義了訪(fǎng)問(wèn)規則，防火墻、交換機和入侵檢測設備將執行這些規則，同時(shí)作為監控站來(lái)記錄任何違反規則的情況。融合__了來(lái)自網(wǎng)絡(luò )訪(fǎng)問(wèn)控制設備信息的入侵檢測分析器，對使用網(wǎng)絡(luò )的用戶(hù)進(jìn)行深入的分析，如它們正在使用什么應用程序，以及它們來(lái)自哪里。

   網(wǎng)絡(luò )管理員也應該有檢測和報告工具來(lái)幫助追蹤在控制系統網(wǎng)絡(luò )上的服務(wù)，并對新服務(wù)的調度或者現有服務(wù)的改變發(fā)出警告。網(wǎng)絡(luò )或現有服務(wù)的改變可能表明已經(jīng)有攻擊連接到了該設備，或者是某雇員正在不恰當地使用該系統而對整個(gè)組織結構產(chǎn)生了危險。分析器也應檢測其它熟知的卻可能未被發(fā)現的攻擊。這些可能包括一個(gè)正嘗試連接到熟知的惡意主機或網(wǎng)絡(luò )的系統，如那些被大家熟知的運行BOTNET命令并控制信道的網(wǎng)絡(luò )。從而可以防御黑客攻擊。

  5　信息安全生命周期管理

  儀控系統開(kāi)發(fā)、運行和維護的生命周期內，為確保信息安全需注意以下問(wèn)題：在軟件開(kāi)發(fā)過(guò)程中，軟件中不包含惡意代碼，防止和偵測安裝到系統中的軟件的惡意改動(dòng)，防止在系統運行過(guò)程中對軟件進(jìn)行任何惡意篡改。驗證和確認團隊也要確認在代碼復查的時(shí)候沒(méi)有加入無(wú)文檔記錄的、惡意的代碼。對于改動(dòng)過(guò)的軟件，驗證和確認團隊比較改動(dòng)之前和之后的源代碼，確保沒(méi)有受影響的模塊沒(méi)有被改動(dòng)。

  6　總結

  為使國內儀控系統設計人員充分意識到核電儀控系統存在的信息安全隱患，本文對核電站數字儀控系統面臨的信息安全隱患進(jìn)行了分析；提出核電站儀控系統信息安全防護方案；并簡(jiǎn)述了儀控系統開(kāi)發(fā)、運行和維護的生命周期內，為確保信息安全需注意哪些問(wèn)題。

  參考文獻：

  [1] IEC/TS 62443-1-1-2009,工業(yè)通信網(wǎng)絡(luò ) 網(wǎng)絡(luò )和系統安全[S]

  [2] IEC/TS 62443-1-3-2009,工業(yè)通信網(wǎng)絡(luò ) 網(wǎng)絡(luò )和系統安全

  [S][3] LAITH MOHAMMAD AL-BARAKAT. A testbed to simulate cyber attackson nuclear power plants[D].University of Illinois at Urbana-Champaign, 2011.

  [4] Yu-Jen Chen, Gen-Yih Liao, Tsung-Chieh Cheng. risk assessment oninstrumentation and control network security management system for nuclearpower plants[C].Annual International Carnahan Conference on SecurityTechnology, 2009.

  [5] David Watts. Security & Vulnerability in Electric Power Systems[C].NorthAmerican Power Symposium, University of Missouri-Rolla in Rolla, Missouri, 2003.

  [6] CYBER SECURITY PROGRAMS FOR NUCLEAR FACILITIES. NRCREGULATORY GUIDE 5.71[R].

  [7] 繆學(xué)勤.采用縱深防御體系架構-確保核電可靠安全[J].自動(dòng)化儀表,2011,32 (2）

張勇濤(1983-)男，河南濮陽(yáng)人，博士，現就職于北京廣利核系統工程有限公司，主要從事核電儀控系統控制網(wǎng)絡(luò )的研究。

   摘自《自動(dòng)化博覽》2013年3月