由“震網”病毒事件淺議核電站信息安全現狀及監管

胡 江，孫國臣，張加軍，侯秦脈

（環境保護部核與輻射安全中心，北京100082）

1 “震網”病毒暴露工業控制領域的安全隱患

2010年6月，德國首先監測到“Stuxnet”病毒（中文名為“震網”病毒），隨后加拿大警告稱，“震網”病毒會針對西門子的SIMATIC“WinCC”或者“Step-7”軟件的SCADA系統發動惡意攻擊［1］。2010年11月，伊朗總統穆罕默德首次承認一種電腦病毒使位于納坦茲（Natanz）的工廠的離心機出現問題。該病毒已經使超過1 000臺用于鈾濃縮的離心機損壞?！罢鹁W”病毒攻擊離心機的方式非常巧妙。在入侵離心機的控制系統后，它首先記錄離心機的正常轉速，接著使離心機的速度周期性異常變換，但監控設備收到的卻是病毒發送的正常數據，因此離心機的異常運轉無法及時被察覺，最終導致了物理破壞［2］。

華盛頓郵報援引賽門鐵克公司研究員的評論稱，這個名為“震網”的蠕蟲病毒是已知的第一個旨在破壞工業控制系統的惡意軟件。該病毒的復雜程度和編寫過程中所需要的大量工藝流程信息都證明這不是普通黑客所為，而應該是某些國家或組織的制造的［3］。震網余波未平，2012年5月又有多家計算機安全公司宣布發現一種名為“火焰（Flame）”的全新計算機惡意程序，它已經使得伊朗和中東其他國家的上萬臺計算機被感染。有證據表明“火焰”和“震網”均由同一國家或組織控制，而“火焰”病毒的代碼量相當于“震網”病毒的20倍以上。

隨著工業系統數字化和網絡化的發展，工業系統受到的信息安全威脅和攻擊也越來越多，工業信息安全事件層出不窮。早在2007年3月，美國的愛達荷國家實驗室（INL）完成了一項代號為“極光（Aurora）”的實驗。實驗結果是一臺價值100萬美元的柴油發電機在受到網絡攻擊之后，開始震動搖晃，漸漸冒出白煙，最終完全停止運轉［4］。2008年，一名少年攻擊了波蘭Lodz的城鐵系統，用一個電視遙控器改變軌道扳道器，導致4節車廂出軌［5］。2013年4月11日，在阿姆斯特丹召開的黑客大會上，德國網絡安全專家Hugo Teso展示了如何利用一款Android手機上的APP和一臺無線電發射裝置來向商業飛機發送信號，從而影響飛機導航系統。他的模擬引起了霍尼韋爾等幾家航空儀控系統廠家的高度重視，目前美國聯邦航空管理局（FAA）和歐洲航空安全局（EASA）開始就此問題開始修改飛行安全程序［6］。

工業控制系統及工業通信信息的安全性已經成為迫在眉睫的問題，通過操縱鼠標鍵盤來使得城市交通混亂、股市崩潰、關鍵基礎設施停頓等科幻電影中出現的場景將不僅僅只是一種構想，而可能成為現實。

2 核電站的信息安全威脅

近幾年來，隨著核電站數字化網絡化程度的不斷提高，在提高控制精度、方便操作和維護的同時，核電站所面臨的信息安全威脅也越來越顯著。這里的信息安全既包括電廠內辦公通信所用的網絡及計算機安全，也包括工業控制系統的安全。目前的核電站已普遍使用基于計算機和聯網技術的數字化控制系統，常見的包括數據采集和監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）等?？刂葡到y的數字化打破了虛擬數字世界與實體物理世界的隔閡。數字化系統可以將數字信息通過PID、APC（Advanced Process Control）等控制算法運算后傳送至物理世界的各類閥門、泵等執行器執行動作。這種系統屬于信息物理系統（cyber-physical systems）。與單純的信息系統（cyber systems）不同，信息物理系統在受到信息攻擊后，會對物理世界造成破壞和損失［7］。核電站的工業控制系統若出現問題，可能對設備的可靠性和可用性造成影響，威脅電廠的安全運行。

雖然核電站在設計已經考慮了一些安全措施，但是隨著攻擊技術的發展以及控制系統本身的缺陷，仍使得核電站面臨著一定的風險，列舉一些簡單的例子：

（1）物理隔離存在風險。理論上看物理隔離可以實現內部信息系統與外部的隔絕，是絕對安全的。但是，實際上物理隔絕網絡也并不是絕對安全的。信息系統存在的一個重要價值就是為了存儲和共享信息，“信息孤島”沒有辦法滿足信息共享的需求。實際中，物理隔離網絡同外界，特別是互聯網往往存在著某種“邏輯聯系”，存在交流就產生了風險［8］。

（a）可能存在非法外連的情況，即沒有按照物理隔離的要求，使物理隔離內網和外網之間存在了通信通道，這樣使得物理隔離失去原本的意義，應該嚴格予以杜絕。

（b）可能存在一機雙網的問題，即一臺主機交替接入互聯網或其他公共信息網與物理隔離內網，使得入侵者有機會借此機會入侵、滲透、搜集甚至攻擊內部網絡。

（c）可能受到擺渡攻擊。擺渡攻擊是指移動存儲介質像渡船一樣在不同網絡之間傳輸文檔和惡意程序，從而打破網絡隔離，實現竊取機密或實施攻擊的目的。由于現在U盤、移動硬盤等移動存儲介質的普遍使用，這種數據交換的隨機性、不可控性越來越強。

（d）WIFI的廣泛使用使得受到無線網絡攻擊可能性增加。核電廠開始使用WIFI作為無線通訊的手段之一，而WIFI的加密技術并不完全可靠，即使是使用了較先進的WPA2加密技術，也存在被破解的可能性。另外，由于很多DCS設備均為國外廠商生產，如果在設備內預置WIFI模塊，需要時再激活進行通訊，將會使得電廠的實體保護及網絡安全防線形同虛設。

（2）工業控制系統固有缺陷。目前防火墻技術是IT行業內廣泛應用的防護手段，但防火墻存在限制數據流通與允許流通之間的矛盾，而工業信息系統要求小的信息時延；系統軟件要減少更改以減少外部信息進入的機會，但這與要及時更新升級相矛盾；一些工業控制軟件基于Unix／Linux系統，Unix／Linux系統一方面大大減少了誤中Windows病毒的概率，但是由于其獨特性，容易被單獨研究而爆出漏洞，而安全相關廠家對這種系統的關注度不夠，使用者誤以為安全無誤而產生麻痹大意的思想，長期沒有更新系統，反而使最安全的地方變成了最危險的地方。

（3）專業性攻擊的日益簡單化。黑客技術已經不再是過去人們所認為的那種需要很高深的計算機安全知識才能掌握的尖端技術。目前網上有大量的黑客工具軟件供普通民眾下載，一個網民不需要多少時間就能學會發動一次分布式拒絕服務DDoS攻擊。而且隨著越來越多采用TCP／IP協議的工業控制系統接入互聯網，這些系統可能會通過Shodan搜索引擎直接搜索到，這將導致其面臨更多的攻擊。

（4）核電站工業控制系統的標準化。標準化的工業控制系統往往具有更高的穩定性，但是也更容易受到攻擊，因為攻擊者可以很容易找到相關的技術資料并尋找類似系統進行試驗。另外，如果所有核電站都使用一款基于WinCC服務器的軟件，而攻擊者利用了一個Windows 0day漏洞，那么可能會導致多個核電廠同時受到攻擊。

針對工業系統的惡意攻擊還具有針對性和隱藏性，這是不同于商業網絡威脅的兩大特點。不像其他的病毒或木馬以獲取商業利益為目的或出于黑客自身惡作劇的心理，工業病毒有著極精準的目的性，例如“震網”病毒的目的其實就是伊朗的核電站和離心機。而與之相伴的就是其隱蔽性，即在沒有找到目標之前不會表現出危害特性。這一特點使得此類威脅一般難以發現。綠盟安全技術研究院的技術報告指出，近年來針對關鍵信息基礎設施（CII），尤其是針對工業控制系統（SCADA）的攻擊越來越引人關注［9］。核電站屬于典型的關鍵信息基礎設施，其安全性不僅關系到電力供應，還會對社會輿論公眾信心產生極大影響。而此類CII由于已經采取一些安全措施，因此攻擊者往往采用APT攻擊的方式。APT是指一個特定組織，具備相應的能力和意圖，并持續和有效的針對特定實體的威脅。這類攻擊需要大量的人力和財力支持，雖然可能性很小，但其攻擊能力也并非常規防護措施所能阻擋，一旦發生，危害巨大。

綜上所述，要對核電站的信息安全包括工業控制系統的安全給予更充分的重視。

3 美國對核電站數字化系統安全和網絡安全監管的發展歷史

2001年的“9·11”恐怖襲擊給美國全國帶來了巨大的震動，核電站作為核心要害設施，其安全性得到了公眾和核能業界的極大關注。雖然沒有受到網絡襲擊，但核能業界已經意識到需要一個可靠的程序來確保核電站的信息安全。為了響應“9·11”襲擊，根據情報執法機構提供的信息，美國核管會NRC于2002年2月發布了NRC Order EA-02-026“核電站臨時安全及安保補充措施（Interim Safeguards and Security Compensatory Measures for Nuclear Power Plants）”。這個文件包括指導核電站業主來處理某些網絡安全漏洞的特別要求［10］。

NRC隨后在2003年4月發布了后續的Order EA-03-086，此文件將網絡攻擊納入核電站設計基準威脅（DBT），并對有關網絡攻擊的設計基準威脅做出進一步的定義［11］。按照10CFR73.1的要求，業主必須能夠應對額外的網絡攻擊。

2004年10月，NRC發布NUREG／CR-6847，“美國核電站網絡安全自我評估方法（Cyber Security Self-Assessment Method for US Nuclear Power Plants）”。這一文件由于涉及國家安全，沒有向公眾開放。美國核能研究所（NEI）與NRC和西北太平洋國家研究所集中力量對四座核電站開展了安全措施檢查和潛在缺陷測試。2005年開發了NEI04-04，“反應堆網絡安全（Cyber Security for Power Reactors）”，該程序為核電業主單位提供了開發并維護核電廠網絡安全的辦法［12］。

在2006年1月，NRC發布管理導則1.152（Regulatory Guide 1.152）第2版，“核電站安全系統計算機使用準則（Criteria for Use of Computers in Safety Systems of Nuclear Power Plants）”。RG1.152第2版為核電站業主在數字化儀控系統的設計、開發和應用實施等方面提供指導。導則特別強調了安全系統內的那些不能充分滿足IEEE Std 7-4.3.2-2003的內容（目前國內所使用的GB／T 13629—2008“核電廠安全系統的數字計算機的使用準則”就來自IEEE的此項標準）。RG1.152第2版包含了對于評估安全系統的管理準則，確保開發環境是被保護的，以應對無文件證明的、不需要的代碼或其他會危及安全系統運行的代碼［13］。

2007年3月，NRC發布Branch Technical Position（BTP）7-14第5版，“數字化儀控系統的軟件審評指導（Guidance on Software Reviews for Digital Computer Based Instrumentation and Control Systems）”。BTP7-14提供了針對評估核電站安全相關數字化儀控系統的軟件生命周期過程的指導［14］。

2009年3月，NRC發布10CFR73.54，“數字化計算機、通訊系統和網絡的保護（Protection of Digital Computer and Communication Systems and Networks）”。2009年9月，NEI08-09第三版“核反應堆網絡安全計劃（Cyber Security Plan for Nuclear Power Reactors）”發布，該文件幫助核電站業主構建和實施滿足10CFR73.54要求的網絡安全計劃。

2010年1月，NRC發布RG5.71，“核設施的網絡安全程序（Cyber Security Programs for Nuclear Facilities）”。RG5.71描述了由防御架構和一系列基于標準的安全控制組成的監管立場防御策略，其中采用了2008年版的NIST SP800-53和NIST SP800-82所提供的標準。它強調建立并貫徹一個網絡安全程序。通過對關鍵數字化資產（Critical Digital Assets，CDAs）的識別確定，建立一整套縱深防御策略和安全防御架構，借助技術和管理手段，實現對網絡安全的有效控制［15］。

2011年6月，NRC將RG1.152升級為第三版。RG1.152第三版強調建立一個保護數字化安全系統的開發和運行環境（SDOE），針對數字化安全系統的生命周期各階段存在的可能導致系統可靠性降級的弱點和漏洞提出要求。整個生命周期包括概念階段（Concept Phase）、需求階段（Requirement Phase）、設計階段（Design Phase）、實施階段（Implementation）、測試階段（Test Phase）、安裝檢驗和驗收階段（Installation，checkout，and acceptance testing Phase）、運行階段（Operation Phase）、維護階段（Maintenance Phase）、退役階段（Retirement Phase）［16］。

相關監管導則發布的時間軸如圖1、圖2所示。

圖1 相關管理導則發布時間軸1Fig.1 Related regulatory guides timeline 1

圖2 相關管理導則發布時間軸2Fig.2 Related regulatory guides timeline 2

4 對我國核電廠信息安全監管的一些思考

我國早期建設的秦山核電站和大亞灣核電站采用的主要是使用模擬信號的儀控系統，而田灣核電站是第一個采用全數字化DCS系統的核電站。DCS系統其實早已在其他工業領域廣泛使用，核電行業出于安全性和可靠性的保守考慮，在DCS系統得到充分驗證后才應用在核電領域。近年來，數字化控制的巨大優點和可靠性得到了業內的普遍認同，除了新建電廠均采用全數字化儀控系統外，老的核電站也開始逐步改造，將數字化系統部分地應用在電廠中。但是數字化儀控系統和網絡技術的快速發展，結合我國的現實國情，使得我國核電站的信息安全面臨著以下幾個嚴峻的問題：

（1）我國一些核電站的儀控系統在初始設計時準備應用在封閉環境或專網環境中，所以安全防范措施程度較低。但是隨著時代的發展和需求的演變，應用環境發生了變化，與其他網絡建立了連接，卻沒有對安全機制進行足夠的強化，這就形成了安全上的弱點；

（2）國內使用的工控系統普遍采用西方電子設備廠商的系統和設備，國內廠商缺乏核心知識產權和關鍵技術，使得我們在技術和設備上都受制于人。如果進口設備內置了無線通信模塊，我們很難察覺；

（3）國內對于網絡安全以及工業控制系統安全的研究起步晚、層次低，在產品、技術、操作系統、網絡架構、企業自身管理水平以及一線操作人員的技術素養等方面都還存在諸多不足。

因此，我們需要對核電站的信息安全保持高度關注。近日，國家成立了中央網絡安全和信息化小組來統籌協調國內的網絡安全和信息化的重大問題，這反映了國家對網絡安全問題的高度重視。作為核安全監管當局也應該更加重視核電廠的信息安全問題，從思想上認識到信息安全對核安全的重要意義，認識到核電廠信息安全對國家安全的重要意義。由于信息技術發展迅猛的特點，要求監管也要緊跟時代，以最新的標準進行要求，調動整個業界對此問題給予重視。同時積極開展研究，加強與有關部門的合作，尋求技術支持，同時借鑒參考國際先進監管水平及國內其他行業的經驗，有針對性地建立我國核電廠信息安全風險評估模型，對各電廠開展評估和檢查，落實整改，這樣才能保證對核安全的有效監管和強力保障，確保核電站的安全運行。

［1］ Government of Canada PSC.AVl0-023：Siemens SIMATIC WinCC or Siemens Step 7software vulnerabilities［EB／OL］.（2011-10-22）.http：／／www.publicsafety.gc.ca／prg／em／ccirc／2010／av10-023-eng.aspx.

［2］ ALBRIGHT D，BRANNAN P，WALROND C.Did Stuxnet take out 1，000centrifuges at the Natanz enrichment plant？［R］.USA：Institute for Science and International Security，2010.

［3］ ERDBRlNK T，NAKASHIMA E.Iran struggling to contain”foreign-made””Stuxnet”computer virus［N］.The Washington Post，2010-09-27.

［4］ CNN.Mouse click could plunge city into darkness，experts say［EB／OL］.（2007-09-27）.http：／／edition.cnn.com／2007／us／09／27'power.at.risk／index.html.

［5］ 唐文.工業基礎設施信息安全［J］.2011.

［6］ “PlaneSploit，Hugo Teso's App，Lets Android Users Hack Airplanes”Huffington Post.［EB／OL］.［2013-04-11］.http：／／www.huffingtonpost.ca／2013／04／11／planesploitapp-plane-hack＿n＿3063587.html.

［7］ 李江海，黃曉津.核電數字化控制系統安全綜述［J］.原子能科學技術，2012，46（B09）：411-416.

［8］ 宋純梁，黃威，吳灝.物理隔離網絡的安全風險研究［J］.計算機工程與設計，2008，29（23）：5943-5946.

［9］ 張瑋.網絡攻擊防范技術研究與實現［J］.學位論文.重慶大學，2007.

［10］ U.S.Nuclear Regulatory Commission（NRC），Order EA-02-026，Feb.2002.

［11］ U.S.Nuclear Regulatory Commission（NRC），Order EA-03-086，Apr.2003.

［12］ Nuclear Energy Institute（NEI），“Cyber security program for power reactors.”Std.NEI04-04，Feb.2005.

［13］ Guide R.1.152revision 2［J］.Criteria for Use of Computers in Safety Systems of Nuclear Power Plants，US Nuclear Regulatory Commission，2006，12（10）.

［14］ U.S.Nuclear Regulatory Commission（NRC），Branch Technical Position 7-14，Mar.2007.

［15］ Guide R.5.71［J］.Cyber Security Programs for Nuclear Facilities，US Nuclear Regulatory Commission（January 2010），2010.

［16］ Guide R.1.152revision 3［J］.Criteria for Use of Computers in Safety Systems of Nuclear Power Plants，US Nuclear Regulatory Commission，（June 2011），2011.