核電儀控系統的網絡安全監測

李江海，郭 超，黃曉津，董 哲

（清華大學核能與新能源技術研究院，北京 100084）

核電儀控系統的網絡安全監測

李江海，郭 超，黃曉津，董 哲

（清華大學核能與新能源技術研究院，北京 100084）

儀表和控制系統作為核電廠 “中樞神經”的重要組成部分，對于核電廠安全穩定的運行起到關鍵的作用。近年來，數字化儀控系統遇到網絡安全的新問題，即預防、檢測和應對針對儀控系統實施的運用數字化手段的惡意行為。這種網絡攻擊將致使電廠性能下降，實體設備受損，甚至引發事故工況。依據核電廠 “縱深防御”的安全設計理念和國內外法規標準的要求，提出應對核電儀控系統實施網絡安全監測。網絡安全監測的實施方案為，在儀控系統中部署入侵檢測系統，監視并分析儀控系統事件，發現未經授權訪問儀控系統資源的嘗試并給出報警。本文詳細分析了部署入侵檢測系統需要考慮的檢測點部署位置、監測數據源、入侵檢測方法3個方面的問題，并給出了評價方式。

核電；數字化儀控系統；工控系統；信息安全；網絡安全；入侵檢測

儀表和控制系統 （簡稱 “儀控系統”）作為核電廠 “中樞神經”的重要組成部分，對于核電廠安全可靠的運行起到關鍵的作用。在數字化的趨勢中，計算機技術、網絡通信技術等信息技術越來越多地應用于儀控系統。數字化儀控系統與以往的模擬儀控系統相比，擁有更高的可靠性、更好的性能、以及自我診斷的能力。與此同時，這種基于計算機和網絡的儀控系統也面臨著網絡安全的新問題，即預防、檢測和應對針對儀控系統實施的運用數字化手段的惡意行為。

我國對儀控系統的網絡安全問題也高度重視，公安部、工信部、國家能源局等部委對于各個工業控制領域出臺相關文件指南。在核電領域，國家核安全局要求新建核電廠參照國際核電儀控網絡安全標準IEC 62645［3］開展設計或進行符合性分析。以IEC 62645—2014為基礎的能源行業標準 《核電廠儀表和控制系統計算機安全防范總體要求》（NB／T 20428—2017）于2017年4月1日由國家能源局發布。國防科工局已編制完成 《核設施計算機網絡安保管理規定》和相應的 《實施計劃》。

1 當前現狀

當前核電儀控系統一般采用孤島設計，儀控系統網絡與外部通信系統存在物理上的分隔，相互之間無通信或是只允許單向通信。這種孤島設計方案往往會讓人誤以為物理隔離模式能夠防范網絡攻擊。物理隔離對防范網絡攻擊確有益處，但僅依賴物理隔離來防范網絡攻擊遠遠不夠。這是因為：一方面，物理隔離無法切斷所有的網絡攻擊途徑；另一方面，置于物理隔離之中的儀控系統包含許多安全漏洞。

首先，儀控系統的生命周期中存在很多入侵途徑，這些攻擊途徑難以僅靠物理隔離就可切斷。比如：

1）開發實施期間時儀控系統中即植入病毒；

2）運行期間借助移動介質向儀控系統內傳播蠕蟲；

3）維護期間利用便攜計算機訪問儀控系統盜取信息；

4）采用社會工程學的方法借助人的力量對儀控系統實施網絡攻擊。

其次，許多行之有效的信息系統安全防范機制無法在儀控系統中實施。比如定期及時的操作系統更新和軟件安全升級，由于缺乏有效的補丁測試和管理分發機制，而無法在孤島運行的內網中實施。另外又如，儀控系統實時性的要求限制了防病毒軟件和防火墻的安裝應用，儀控系統操作便捷性的要求使得密碼設置簡單或長期不更改、高風險的自動登錄功能始終開啟。相較于現代的信息系統而言，用于監測和控制的儀控系統固有地包含更多安全漏洞。

總之，目前核電儀控系統內部存在諸多漏洞，外部卻單純依靠物理隔離阻擋網絡攻擊。這種情形如同一座城池只設置一道護城河，一旦被跨越之后便無任何防御措施，這與核電安全設計中重要的 “縱深防御”理念相違背。因此核電儀控系統有必要在物理隔離之外構筑新的網絡安全防線。對此，提出對核電儀控系統實施網絡安全監測，全面監視網絡安全狀況，檢測各類網絡攻擊。

2 實施依據

對核電儀控系統實施網絡安全監測，有著多方面的法規依據。美國核管會 （NRC）在2010年發布的管理導則RG 5．71《核設施計算機網絡安全計劃》［4］附錄B “技術類控制措施”的B．5．2節中要求配置主機入侵檢測系統，附錄C“操作和管理類控制措施”的C．3．4中對全廠的入侵檢測系統 （包括入侵防御系統）提出了管理方面要求。我國工信部在2016年11月發布的 《工業控制系統信息安全防護指南》［5］中也明確提出 “在工業控制網絡部署網絡安全監測設備，及時發現、報告并處理網絡攻擊或異常行為” “在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備”。國際原子能機構 （IAEA）在即將出版的技術導則NST036《核設施儀控系統計算機安全》［6］的2．13節中也將闡述 “應考慮針對入侵和其他惡意行為的防護、檢測、緩解和恢復的軟硬件解決方案”。由此可見，國內外均要求在核電儀控系統中實施網絡安全監測。

3 方案設計的考慮

我們提出的核電儀控系統網絡安全監測方案是在儀控系統部署中入侵檢測系統，監視并分析儀控系統事件，發現未經授權訪問儀控系統資源的嘗試，給出實時或近乎實時的報警。部署入侵檢測系統需要考慮3個方面的問題：1）檢測點部署位置；2）監測數據源；3）入侵檢測方法。

3．1 檢測點部署位置

檢測點可能的部署位置有3種：1）儀控主機端；2）主機或終端和儀控網絡之間；3）儀控網絡的旁路 （見圖1）。選擇部署位置，應該從對正常運行的影響以及對現有設施的改造程度兩個方面進行評價。

圖1 監測點部署位置Fig．1 Deployment location of monitoring points

A位置儀控主機端的部署，是指在操作員站、工程師站、IO服務器等主機上添加軟件，監控主機的活動，以發現異常行為。這種部署位置的優點是既可以檢測來自網絡的外部攻擊，也可以檢測來自主機端的內部攻擊。其缺點是需要在主機端安裝額外的軟件，可能帶來軟件兼容和管理上的問題。B位置主機或終端和儀控網絡之間的部署，是指在主機或現場控制站和儀控網絡之間橋接新的硬件模塊，用以監控進出主機或終端的網絡通信流。這種部署位置的優點是進出主機或終端的全部網絡通信流均需流經該監控模塊，因此該模塊可同時執行網絡入侵檢測和網絡入侵防護的功能。其缺點是對網絡通信流的處理可能會帶來數據包的時延，影響正常運行；同時在開啟入侵防護功能時，若防護策略不合適，可能干擾正常運行。C位置儀控網絡旁路的部署，是指在儀控網絡旁路安裝設備，監控網絡通信流的備份。這種部署位置的優點是實際的網絡通信流并不經過該設備，因此不會對正常運行產生任何影響。其缺點是無法實現入侵防護功能。

對上述3種部署位置的評價具體可見表1。從對正常運行的影響角度來評價，A、B位置的部署均可能對正常運行產生影響，C位置的部署不會對正常運行產生任何影響。從對現有設施改造程度來評價，A位置部署只需安裝額外軟件，可不必安裝新的硬件，除非是需要各主機的協作而新增網絡帶寬或是中心管理。B位置部署需要新增監控模塊硬件，并且改變現有的接線，改造程度高。C位置部署需增加監控模塊硬件，但不必改變現有接線，可以通過網絡交換機端口鏡像的功能復制全部網絡通信流，改造程度為中等。

表1 檢測點3種部署位置的比較Table 1 Comparison of three deployment locations of monitoring points

3．2 監測數據源

用于入侵檢測的數據源可以是主機數據或網絡數據。主機數據只能通過A位置部署進行采集，而網絡數據則主要通過B、C位置部署進行采集。

（1）主機數據

用于入侵檢測的主機數據，可以是日志文件，包括操作系統的審計記錄和控制軟件的日志記錄；也可以是文件相關的信息，比如通過文件的校驗和判斷文件是否被篡改、其完整性是否被破壞。主機數據對于檢測內部攻擊具有不可替代的作用。但需注意攻擊者可能會偽造主機數據以隱蔽自己的行動。

（2）網絡數據

用于入侵檢測的網絡數據，即為儀控網絡通信流中的數據包。對數據包的利用，可以由淺至深分為幾個層次。

第一層是利用網絡通信流的信息，獲取這類信息只需用到一般的網絡流統計和普通報文分析。這類信息包括如網絡通信的流量、流的持續時間、平均包間隔時間等時間相關量，還包括如源地址、目的地址、源端口、目的端口、拓撲結構等空間相關量［7］。通常來講，僅利用通信流的信息進行入侵檢測其誤報率和漏報率都比較高。但對于核電儀控系統而言，運行時工作流程比較固定，操作對象也比較固定，因此網絡通信流的時間和空間分布也相對穩定，僅利用通信流信息即可比較準確地檢測出一般性的特征明顯的攻擊，如常見的大流量攻擊等。

第二層是利用通信流數據包中的工控通信協議相關信息，獲取這類信息需要依據工控通信協議對數據包的報文進行深度包解析，從而得到如協議類型、協議各域的值等信息。由于工控通信協議設計時主要考慮設備之間的通信效率，并未考慮安全性，因此并未設置加密、認證等安全機制，數據包的報文極易被竊取、篡改或偽造。利用這一弱點，攻擊者可發動針對工控協議的畸形報文攻擊，引發被攻擊對象無法處理報文而癱瘓。通過對工控通信協議相關信息的分析，可以檢測出不符合協議標準結構的數據包。

第三層是利用通信流數據包中的被控物理對象相關信息，獲取這類信息需要了解被控系統或過程的控制組態。通過控制組態，將深度包解析得到的協議相關數據恢復為具有實際物理含義的測量值或控制指令，比如溫度值、壓力值、閥門開關狀態、電機啟停命令、變頻器調速等等。能夠在這個層面上發動的攻擊需要對控制流程有深入的了解，如 “震網”病毒等。通過對被控物理對象相關信息的分析，可以檢測出不符合控制流程的數據包。

3．3 入侵檢測方法

總的來說，入侵檢測方法可以分為兩大類：基于異常的檢測和基于特征的檢測?；诋惓５臋z測，是指先收集系統在一段時間內正常運行時的數據，以此建立合法行為模型，以該模型為基準用統計檢驗的方式測試當前運行數據，判斷其中是否存在惡意行為。基于特征的檢測，是指使用一組已知的惡意數據模式與當前運行數據進行比較，確定是否存在惡意行為。這兩種檢測方法各有優劣：基于特征的檢測方法，高效而準確，但只能識別已知的攻擊；基于異常的檢測方法，則可以識別出未知的攻擊，但如果建立的合法行為模型不全面則會帶來較多的誤報。

入侵檢測方法的選擇，應依據檢測數據源的特點。對于數據流模式簡單固定的數據源，盡量采用基于異常的檢測；對于數據流模式復雜多變的數據源，可以采用基于特征的檢測。比如對于儀控主機的日志文件數據，由于主機上軟件比較單一，軟件的操作也必須遵循規程，因此能夠根據這些知識建立主機操作的合法行為模型，用于進行異常檢測。又如對于網絡數據中與被控物理對象相關的信息，被控物理系統和過程受系統擾動或量測噪聲影響存在較強的不確定性，因此直接根據對象模型建立合法行為模型比較困難，采用統計方法或機器學習的方法所建立的合法行為模型的漏報率和誤報率需要進一步考察；相反超限檢測這種基于特征的方法就能發揮作用。

4 結束語

本文分析綜述了對核電儀控系統實施網絡安全監測的依據和要求，提出了網絡安全檢測方案，分析了部署入侵檢測系統需要考慮的三方面問題，并針對每個方面問題給出評價方式。

［1］ICS－CERT．Stuxnet malware mitigation ［R／OL］．U．S．Industrial Control Systems Cyber Emergency Response Team，2010．https：／／icS－cert．uS－cert．gov／advisories／ICSA－10－238－01B．

［2］ICS－CERT．Cyber－attack against Ukrainian critical infrastructure ［R／OL ］．U．S．Industrial Control Systems Cyber Emergency Response Team，2016．https：／／icS－cert．uS－cert．gov／alerts／IR－ALERT－H－16－056－01．

［3］IEC TC 45／SC 45A．Nuclear power plantS－Instrumentation and control systemS－Requirements for security pro－grammes for computer－based systems （IEC 62645）．International Electrotechnical Commission，2014．

［4］NRC．Cyber security programs for nuclear facilities（RG 5．71）．U．S．Nuclear Regulatory Commission，2010．

［5］工業和信息化部 ．工業控制系統信息安全防護指南［S］．北京：工業和信息化部，2016．

［6］IAEA．Computer security of instrumentation and control systems at nuclear facilities （NST036） ［S］．International Atomic Energy Agency，to be published．

［7］STALLINGS W，BROWN L．計算機安全 ［M］．北京：電子工業出版社，2013．

Cyber Security Monitoring for I＆C Systems of NPPs

LI Jiang－hai，GUO Chao，HUANG Xiao－jin，DONG Zhe
（Institute of Nuclear and New Energy Technology of Tsinghua University，Beijing 100084，China）

The instrumentation and control（I＆C）system serves as the important part of the “central nervous system”of a nuclear power plant（NPP）．It is critical for the safe and stable operation of nuclear power plants．The transition from analog systems to digital I＆C systems has brought in the new issue of cyber security．The cyber security problem is that the operation of I＆C systems is possible to be interfered by the malicious cyber intrusions from either outsiders or insiders．These cyber intrusions may lead to the degradation of plant performance，the equipment damage，or even accident condition．We propose to conduct the cyber security monitoring for I＆C systems of nuclear power plants in accordance with the concept of defense－in－depth and the requirement of regulations and standards．The implementation of cyber security monitoring is to deploy the intrusion detection system that monitors and analyzes I＆C systems events，for the purpose of finding and providing warnings of attempts to access I＆C systems resources in an unauthorized manner．Three aspects of intrusion detection systems including the deployment，the data source，and the intrusion detection are analyzed in detail and the assessment criterion are given．

nuclear power；I＆C systems；ICS；computer security；cyber security；intrusion detection

TL36 Article character：A Article ID：1674－1617 （2017）03－0332－04

TL36

A

1674－1617 （2017）03－0332－04

10．12058／zghd．2017．0332

2017－7－16

李江海 （1981—），男，湖北人，博士，助理研究員，現主要從事核電儀控系統的計算機安全研究工作 （E－mail：lijianghai＠tsinghua．edu．cn）。

（責任編輯：白佳）