核電工控系統信息安全防護框架設計

馬陟 趙爽

摘要：結合國際標準IEC62443的思路提出一整套針對于核電工控系統信息安全防護的框架設計方案。論文首先介紹了核電工控系統信息安全現狀及其技術體系和管理體系，然后闡述了安全防護框架的設計思路，最后總結出該框架設計的特點及優越性。

關鍵詞：核電；工控系統；信息安全；框架設計

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2018）03-0039-04

1 概述

中國作為最大的發展中國家，始終在確保安全的前提下，致力于開發利用核能，彌補能源需求缺口，應對氣候變化挑戰。中國是核能發展最快的國家，同時保持著良好核安全記錄。近年來，中國在核安全領域進展迅速。

2016年4月1日，在美國首都華盛頓舉行的第四屆核安全峰會上，習近平主席發表題為《加強國際核安全體系，推進全球核安全治理》的重要講話，總結和展望了中國的核安全工作并倡導國際社會做出更多努力。

核電工控系統信息安全是核安全的重要組成部分，專門針對核電工控系統的攻擊近年來屢見不鮮。

最著名的要數2010年爆發的震網病毒事件，其產生的巨大破壞性引起了世界各國的高度重視。而我國核電工控系統在設計之初較少考慮信息安全，市場上普遍只是采用工業防火墻等產品進行補救，而如何將信息安全技術融入到產品設計中，才能使系統達到整體上更高的性能和安全等級。

在核電生產網絡中，核電儀控系統采用通用的工業標準協議、網絡設備、Windows/Linux工作站及服務器，大部分是基于傳統信息化體系的平臺。因此核電工控系統除面臨工控網絡特有的安全威脅，還面臨Windows /Linux平臺漏洞、外部網絡攻擊、安全威脅、企業內部的管理不到位等威脅，使得核電工控系統暴露在危險且復雜多變的環境中。隨著攻擊技術與手段日益先進、復雜、成熟，工控系統所面臨的安全威脅也將日益嚴峻。

2 核電工控系統信息安全技術體系

參照IEC62443國際標準給出工控系統信息安全技術體系，如圖1所示。

如圖1所示，工控系統信息安全技術體系分為六大類技術，每類技術又可以劃分為多項子技術，在工控系統中，應用這些技術可以全面覆蓋工控系統信息安全需求，保障工控系統的信息安全，六種技術的特點如下所示：

? 接入控制：為指引和控制設備間或系統間的信息流的過濾和阻斷技術，包括防火墻技術和虛擬網絡技術。

? 鑒權、認證：驗證試圖接入到工控系統的人或設備的合法性，確保只有認證通過的人有權進行操作。

? 密碼技術：實現數據加密、解密的過程，為確保信息在認證的路徑下傳輸或確保數據的正確和完整性。

? 監控、審計、探測技術：提供分析安全脆弱性的能力、探測和分析可能的危險行為的能力。包括病毒檢測、入侵檢測、網絡和主機的審計、漏洞掃描等。

? 軟件安全技術：決定工控系統安全的關鍵因素，軟件技術可以實現一定程度上的接入控制，但也由于總是存在軟件錯誤或在設計階段就缺乏信息安全的考慮而成為漏洞的主要來源。

? 物理安全技術：限制對工控系統的物理接入以及有意、無意的物理破壞，是保護資源的人員、過程、措施和設備的組合。

為了便于讀者對核電工控信息安全技術體系各方面內容有更直觀的了解，統計了各類技術對應的技術產品和手段列表如下所示，以供參考。

3 核電工控系統信息安全管理體系

管理體系包括以下十一個方面：

? 安全方針：信息安全總體目標、范圍以及信息安全重要性定義，同時也是管理層意圖的生命，安全方針的策略、原則、標準和復合型要求，應包括符合法律法規和合同要求，安全教育、培訓和意識要求，業務連續性管理以及違反信息安全方針的后果。

? 信息安全組織機構：包括內部組織、外部組織以及合作團隊的管理。

? 資產管理：考慮資產負責和信息分類。

? 人力資源管理：考慮任用前、任用中和任用的終止或變更。

? 物理和環境安全：考慮安全區域和設備安全。

? 通信和操作管理：考慮操作規程和職責、第三方服務交付管理、系統規劃和驗收、防范惡意和移動代碼、備份、網絡安全管理、介質處置、信息交換、電子商務服務、監視等。

? 訪問控制：考慮訪問控制業務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統訪問控制、應用和信息訪問控制、移動計算和遠程工作等。

? 信息系統獲取、開發、維護：考慮控制系統安全要求、應用中的正確處理、密碼控制、系統文件安全、開發和支持過程中的安全、技術脆弱性管理等。

? 信息安全事件管理：考慮報告信息安全事態和弱點、信息安全事件和改進管理等。

? 業務連續性管理：考慮業務連續性管理信息安全方面。

? 符合性：考慮符合法律要求，符合安全策略和標準及技術符合性、控制系統審計符合性等。

如下圖所示，工控信息安全管理體系使用傳統PDCA管理模型，實現全周期信息安全管理，保障工控系統的可用性、完整性、保密性。

工控系統信息安全管理體系文件分為四級：方針策略、程序文件、操作手冊、記錄文件。

一級文件：方針策略文件。全公司范圍內的工控系統信息安全方針，需要從公司整體角度考慮來制定，應該能夠反映最高管理者對工控系統信息安全工作下達的旨意，應該能為所有下級文件的編寫指引方向。包含工控系統信息安全方針的工控系統信息安全管理手冊，由工控系統信息安全委員會負責制定、修改和審批，是對工控系統信息安全管理體系框架的整體描述，以此表明確定范圍內工控系統信息安全管理體系是按照既定目標要求建立并運行的。工控系統信息安全手冊應該是每個員工都持有的，是員工在工控系統信息安全方面的行動綱領。

三級文件：具體的作業指導書。這些文件牽涉到與具體部門特定工作或系統相關的作業規范（操作步驟和方法），可以由各個部門自行制定，是對各個程序文件所規定的領域內工作的細化描述。

四級文件：各種記錄文件，包括實施各項流程的記錄和表格，應該成為工控系統信息安全管理體系得以持續運行的有力證據，由各個相關部門自行維護。

為了便于讀者對核電信息安全管理體系各方面內容有更直觀的了解，統計了信息安全管理文件如下所示，以供參考。

4 核電工控系統信息安全框架設計

4.1 分區域結構

為了讓安全分析和設計更加具有層次，需要對核電廠網絡進行詳盡的分區分域，具體要參照廠家提供的網絡拓撲圖。原則是參考圖4分區域模型，依次按照企業、廠區、機組、系統、系統再劃分（現場監控層、現場控制層、現場設備層）共5個層次，往往在現場控制層要把工程師站再單獨劃分區域進行保護。分區域結構在同一級區域內采取基本相同的安全策略，子區域繼承母區域的防護需求。

區域識別后，需要明確各區域的設備類型、業務模型以及制定各區域的安全策略。

區域劃分后，需要對區域間的信息流進行分析，根據需要劃分管道或通道，得到協議的詳細文檔或內容、通訊機制，理清各管道所承擔業務，采取綜合考慮功能、性能與安全的防護策略。

區域的劃分，有利于理清安全需求，展開詳細的安全設計。

企業層和廠區層，采用出入口控制和視頻監控等多種物理安全手段，企業總部和各廠區間采用VPN方式進行通信，廠區內用VLAN對不同職能部門進行業務劃分；

核電機組間多采用物理隔離的方式，當有多個機組共用一套工控系統的情況也應達到邏輯隔離，核電機組的網絡與廠區信息網絡一般不互聯，如果互聯考慮部署安全隔離交換設備；

核電各系統之間存在強耦合關系，多相互作為輸入和輸出，考慮在系統間通道上使用網關等設備限定數據流向和傳輸格式；

系統各層之間，考慮采用工業防火墻等邊界防護手段；

特殊區域如工程師站由于具有組態和配置等關鍵功能，除了對其關鍵數據和通信設有常規保護外，還經常設有特殊安全保護機制，例如組態生成文件的安全性檢查就不是常規主機安全產品可以做到的。

需要注意和區分的是，按照核設施實物保護標準劃分的等級，核電廠從物理安全的角度可劃分為5個區域，分別是要害區、保護區、控制區、員工區、公共區。

上述企業層對應實物保護的公共區和員工區；

廠區層對應實物保護的控制區和保護區；

100MW以上核電機組及其相關工控系統集中在要害區。依據核電廠實物保護標準，包括核電廠的主控室、核反應堆及輔助廠房、核燃料庫房、安全級發電機房、安全級冷卻劑循環泵、高放廢液處理設備、乏燃料元件處理主工藝廠房、保衛控制中心等。

所以，本文所述工控系統，主要集中在核電廠要害區，本文所述分區域與實物保護分區并不矛盾，請讀者注意與基于核電廠實物保護分區結構進行縱深防御的模型進行區分。

4.2 防護架構

核電工業控制系統體系龐大，總體分層部署圖簡化了的網絡拓撲以方便讀者理解本方案針對核電工控信息安全的總體防護設計。圖4是總體防護架構的邏輯劃分與抽象。

基于核電工控系統架構圖，標出了核電工控系統中各關鍵位置實施的信息安全技術手段，它們的作用如下：

接入控制，考慮核電系統與系統之間，系統內層與層之間的邊界防護；

鑒權認證，重點解決用戶操作或監控現場設備時需要進行的身份認證；

密碼技術，提供用戶以及設備的身份認證、下行消息認證、數據存儲加密以及安全事件追溯能力；

監控、審計、探測，監控整個工控系統的網絡流量以及所有工控設備的內存占用率等信息，審計用戶行為包括登錄、操作、使用規程等，探測系統的漏洞和工控系統內部以及從外部可能入侵的行為；

軟件安全，重點防范軟件可能存在的漏洞和后門程序；

物理安全，一方面監視核電工控系統設備和環境，快速反應安保事件；一方面給重要設備標識和加鎖，避免非法媒介和設備的接入和出現人員惡意或無意的錯誤操作。

4.3 典型應用部署

在接入控制方面，在非安全級儀控系統二層與三層之間、在非安全級與專用儀控系統之間、非安全級與安全級儀控系統之間部署了安全隔離網關，邏輯隔離不同主機系統，實現協議擺渡，控制數據的流向，是系統間的邊界防護設備；在核島與常規島實時服務器連接二層信息網絡的接口處部署工業防火墻，重點過濾監控層經由實時數據庫對于現場設備的監控指令；在一層控制系統網絡和二層信息網絡主干道上，部署安全工業以太網交換機，高效率完成內部傳播的病毒過濾以及分布式拒絕服務攻擊；在工控系統網絡與辦公系統網絡的連接處部署安全路由器，提供高效的基本的包過濾服務和拒絕服務攻擊的防護。

在鑒權認證方面，在二層信息網絡上部署權限管理服務器負責管理核電人員、角色、權限的對應關系；在操作系統配置上以及應用軟件的登錄模塊上制定登錄機制；關鍵主機、服務器與工控設備應分配證書，以提供身份認證和消息認證；有無線連接的設備時，支持802.1X協議認證以檢驗接入裝置的合法性。

在密碼設計方面，在一二層網絡上部署密鑰管理系統，負責對工控系統密鑰產生、密鑰分發、密鑰存儲、密鑰更新、密鑰銷毀、密鑰使用等過程的管理。

在監控、審計、探測方面，在二層信息網部署工業集中管理平臺，對安全設備和安全行為進行集中監控和審計；在主機和服務器上部署防病毒軟件，探測和監控主機安全狀態；在工控網入口處部署網絡入侵檢測系統，對流入工控網的流量進行入侵行為的探測以及與安全隔離網關及防火墻聯動阻止入侵行為，在每臺終端和服務器部署并合理配置主機入侵檢測系統，有效發現和報告網絡攻擊；漏洞掃描系統，掃描和發現工控系統軟件和協議的漏洞；自動化軟件管理工具，用于軟件的生命周期管理、版本管理、補丁管理；在所有網絡主機上部署配置管理工具，固化操作系統安全以及設置審計策略等；在網絡中的所有工業交換機的鏡像處部署工業監測預警系統，對工業控制系統內部所有網絡流量進行監測和報警；在工控機房和工控現場部署無線檢測裝置探測非法網絡和連接的存在。

在軟件安全防護方面，保證核電工控系統中使用的主機和服務器以及外接設備，使用充分考慮了信息安全的安全設備和安全操作系統。

在物理安全防護方面，在工業控制系統內部部署統一視頻監控系統和各個室的出入口控制裝置，限制了對工控系統的物理接入以及有意、無意的物理破壞，為迅速響應核安保事件提供條件并為違反信息安全規定的行為提供證據。

5 框架設計特點和優越性

本方案不局限于傳統信息系統對信息安全的理解，而是站在工控用戶角度綜合考慮了核電行業安全問題的合理解決途徑。鑒于物理安全、軟件漏洞、防火墻以及入侵檢測系統等都簡單地按照傳統等級保護思路進行劃分容易產生混淆，本文借鑒IEC62443標準，整理核電工控系統的信息安全防護框架。

本框架設計與基于等級保護設計的思路雖有映射關系，然而更從工控用戶的需求出發，不僅幫助工控客戶合理地分析、解決工控安全問題，也對安全公司的產品策劃和落地解決方案的編寫具有一定指導意義。

參考文獻：

[1] IEC62443-3-1 2009，《工業過程測量、控制和自動化網絡與系統信息安全》.

[2] 肖建榮.工業控制系統信息安全[M].電子工業出版社，2015.

[3] 核安全導則 501/2 核實施實物保護.

[4] 4GB/T 30976.1-2014，工業控制系統信息安全 第1部分：評估規范.