核電站非安全級DCS網(wǎng)絡(luò)和主機信息安全防護

薛文俊，韓新宇，徐 勇

（國核自儀系統(tǒng)工程有限公司，上海 200241）

0 引言

在傳統(tǒng)觀念中，核電站控制系統(tǒng)一般部署專用設(shè)備，運行專用協(xié)議，并且與互聯(lián)網(wǎng)完全隔離。因此，對于核電站控制系統(tǒng)而言，信息安全防護問題未曾受到足夠的重視，但是下面這則新聞也許將提醒核電從業(yè)人員是時候采用全新的觀念來看待核電站控制系統(tǒng)的信息安全防護問題了。

2018年8月3 日晚間，臺積電在臺灣北、中、南三處重要生產(chǎn)基地，同時因勒索病毒入侵而導(dǎo)致生產(chǎn)線停擺，約造成17.6億人民幣損失。臺積電的辦公網(wǎng)絡(luò)和產(chǎn)線控制網(wǎng)絡(luò)是隔離的，而且生產(chǎn)線控制網(wǎng)絡(luò)也不會與互聯(lián)網(wǎng)直接連接完全封閉，此次勒索病毒感染事件極有可能是內(nèi)部人員攜帶勒索病毒的移動存儲設(shè)備，而恰巧部分終端未合規(guī)所引發(fā)的勒索病毒攻擊事件。

1 電力行業(yè)信息系統(tǒng)安全等級保護基本要求

國家能源局作為發(fā)電企業(yè)的上級主管單位，按照公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》要求，結(jié)合行業(yè)信息系統(tǒng)特點和工作實踐，依據(jù)《信息系統(tǒng)安全等級保護基本要求》《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定》《電力二次系統(tǒng)安全防護規(guī)定》等，組織編制了《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》，并于2012年11月正式印發(fā)施行[1]。核電發(fā)電企業(yè)作為發(fā)電企業(yè)的一支，同樣要求施行“電力等保要求”。

“電力等保要求”在主體框架結(jié)構(gòu)上，以層面、控制點和項為支撐點。其中，層面表示在整體上大的安全層面，一共分為10大安全層面，其中技術(shù)部分分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)5大安全層面。

根據(jù)“電力等保要求”，核電站非安全級DCS屬于生產(chǎn)控制類信息系統(tǒng)，并且可以將核電站非安全級DCS定義為保護等級3級。

2 網(wǎng)絡(luò)安全

2.1 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是“電力等保要求”技術(shù)部分的5大安全層面之一。網(wǎng)絡(luò)安全為核電站非安全級DCS在網(wǎng)絡(luò)環(huán)境的安全運行提供支持。通信和計算機網(wǎng)絡(luò)是保障生產(chǎn)控制類業(yè)務(wù)穩(wěn)定運行的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全事故將導(dǎo)致網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)完整性、機密性和網(wǎng)絡(luò)服務(wù)的可用性遭受極大破壞。網(wǎng)絡(luò)安全防護的重點之一是保障網(wǎng)絡(luò)邊界的安全性，結(jié)合《電力監(jiān)控系統(tǒng)安全防護規(guī)定》中網(wǎng)絡(luò)分區(qū)、邊界隔離與加密認證等具體要求，嚴格落實安全控制策略；另一個防護重點是網(wǎng)絡(luò)內(nèi)部對各類安全策略、機制、措施和網(wǎng)絡(luò)設(shè)備自身防護能力進行規(guī)范要求，從而抵御各類來自網(wǎng)絡(luò)內(nèi)外部的攻擊行為[1]。

2.2 網(wǎng)絡(luò)安全實踐

核電站非安全級DCS由3個基本子系統(tǒng)組成：過程控制系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和操作管理系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)主要用于連接系統(tǒng)各節(jié)點，實現(xiàn)系統(tǒng)的網(wǎng)絡(luò)通訊[2]。

某DCS平臺網(wǎng)絡(luò)系統(tǒng)如下，監(jiān)控環(huán)網(wǎng)拓撲結(jié)構(gòu)如圖1所示，信息環(huán)網(wǎng)拓撲結(jié)構(gòu)與監(jiān)控環(huán)網(wǎng)一致。監(jiān)控環(huán)網(wǎng)主要用于傳輸生產(chǎn)控制類業(yè)務(wù)實時數(shù)據(jù)；信息環(huán)網(wǎng)主要用于歷史數(shù)據(jù)、打印數(shù)據(jù)、日志審計數(shù)據(jù)，以及設(shè)備運行狀態(tài)數(shù)據(jù)等的傳輸。信息環(huán)網(wǎng)與監(jiān)控環(huán)網(wǎng)物理隔離，用于分擔(dān)網(wǎng)絡(luò)負載。監(jiān)控環(huán)網(wǎng)與信息環(huán)網(wǎng)均采用冗余配置，有效避免單點故障。

2.2.1 區(qū)域劃分

根據(jù)“電力等保要求”，對DCS進行區(qū)域劃分，同時還需考慮與DCS接口的其他儀控系統(tǒng)的區(qū)域劃分。原則上通過區(qū)域化的方式，簡化同一區(qū)域中連接安全的管理要求。安全防護問題大多是由網(wǎng)絡(luò)連接引起的，分配在同一區(qū)域的數(shù)字設(shè)備應(yīng)具有相同的保護等級。主要關(guān)注不同區(qū)域之間設(shè)備連接的安全性。

圖1 某DCS平臺監(jiān)控環(huán)網(wǎng)拓撲示意圖Fig.1 DCS Monitoring network topology diagram

DCS主要劃分至生產(chǎn)控制大區(qū)（控制區(qū)），但是用于運行支持中心、技術(shù)支持中心和應(yīng)急信息系統(tǒng)的電廠數(shù)據(jù)服務(wù)器將劃分至生產(chǎn)控制大區(qū)（非控制區(qū)）。與DCS接口的其他儀控系統(tǒng)主要劃分至生產(chǎn)控制大區(qū)（控制區(qū)），但是“氣象和環(huán)境監(jiān)測系統(tǒng)”將劃分至管理信息大區(qū)。因此，當其他系統(tǒng)與DCS存在接口時，必須要考慮這些系統(tǒng)是否存在與不安全網(wǎng)絡(luò)連接的可能性。

2.2.2 邊界防護

在生產(chǎn)控制大區(qū)（控制區(qū)）內(nèi)，當核電站安全級系統(tǒng)“保護和安全監(jiān)測系統(tǒng)”與DCS存在接口時，原則上不得向“保護和安全監(jiān)測系統(tǒng)”發(fā)送任何類型的網(wǎng)絡(luò)數(shù)據(jù)流（如確認、信號通知），甚至是任何類型的“握手”協(xié)議（包括TCP/IP），包括采用控制連接指示的協(xié)議，即只允許嚴格的單向通訊。因此，在此接口處部署單向網(wǎng)關(guān)，在實現(xiàn)功能安全的同時保證了信息安全。

當某儀控系統(tǒng)與DCS存在接口，并且采用接口服務(wù)器實現(xiàn)協(xié)議轉(zhuǎn)換時，通常此儀控系統(tǒng)內(nèi)的計算機無法納入DCS的主機安全防護體系內(nèi)，因此宜在接口處部署工業(yè)防火墻，實現(xiàn)邏輯隔離。目前，市場主流的工業(yè)防火墻均支持深度工業(yè)協(xié)議的解析，例如對于標準MODBUS TCP協(xié)議，能夠解析當前數(shù)據(jù)流中的功能碼，并且結(jié)合用戶配置的規(guī)則，執(zhí)行允許或阻止動作。

原則上不允許其他區(qū)域的數(shù)據(jù)流流入生產(chǎn)控制大區(qū)（控制區(qū)），因此在生產(chǎn)控制大區(qū)（控制區(qū)）邊界處部署單向網(wǎng)關(guān)。如果生產(chǎn)控制大區(qū)（控制區(qū)）必須從其他區(qū)域獲取數(shù)據(jù)，宜部署反向網(wǎng)閘，使得通信過程支持身份鑒別和數(shù)據(jù)加密傳輸。

2.2.3 網(wǎng)絡(luò)入侵防護

部署網(wǎng)絡(luò)準入控制策略，在用戶訪問網(wǎng)絡(luò)之前確保用戶的身份是可信的。在實際核電站運維場景中，可能出現(xiàn)因設(shè)備故障需要供應(yīng)商進行排錯的情況，避免移動終端隨意接入DCS網(wǎng)絡(luò)非常重要。當終端接入DCS網(wǎng)絡(luò)時，首先由終端設(shè)備和交換機進行交互通訊。然后，網(wǎng)絡(luò)接入設(shè)備將終端信息發(fā)送給策略服務(wù)器，對接入終端和終端使用者進行檢查。當終端和終端使用者符合策略服務(wù)器上定義的策略后，策略服務(wù)器會通知網(wǎng)絡(luò)接入設(shè)備，對終端進行授權(quán)和訪問控制。在部署網(wǎng)絡(luò)準入控制策略的基礎(chǔ)上，對那些未開放給運維的交換機端口，增加IP/MAC綁定策略，實現(xiàn)雙重保護，并且能夠有效避免ARP欺騙攻擊。

部署入侵檢測策略，及時有效地對異常網(wǎng)絡(luò)運行工況進行報警。采取旁路部署的方式，用于避免入侵檢測工作影響生產(chǎn)業(yè)務(wù)的正常運行。在設(shè)置入侵檢測策略的原則時，既要考慮支持DCS實際使用工業(yè)協(xié)議的深度檢測，也要考慮支持木馬、蠕蟲等常規(guī)入侵行為的甄別，這將有效減少入侵檢測的誤報率。

目前，主流入侵檢測產(chǎn)品通常采用特征庫比對的方式進行實現(xiàn)，實際誤報率較為嚴重，可能使得運維人員面對持續(xù)的、大量的、重復(fù)的報警事件而無從下手。因此，在部署入侵檢測策略時，建議結(jié)合白名單策略一同實施，由此可以有效提高運維工作的效率。

部署終端非法外聯(lián)報警策略，及時有效地對異常網(wǎng)絡(luò)數(shù)據(jù)進行報警。對于核電站而言，通過管理手段或許能夠有效地降低人員私自將DCS網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)。那么為什么仍然要檢測終端非法外聯(lián)的行為，主要原因是及時發(fā)現(xiàn)可能存在的高級持續(xù)性威脅攻擊。圖2展示了一個典型的高級持續(xù)性威脅攻擊的分析模型，俗稱KILL CHAIN。在KILL CHAIN的第6個環(huán)節(jié)“命令與控制”中，將為攻擊者建立可遠程控制目標系統(tǒng)的路徑，具體的通信行為包含主動外聯(lián)命令控制服務(wù)器等。因此，檢測終端非法外聯(lián)的行為，對于及時發(fā)現(xiàn)可能存在的高級持續(xù)性威脅攻擊有著較大的幫助。

3 主機安全

3.1 主機安全概述

主機安全同樣是“電力等保要求”技術(shù)部分的5大安全層面之一。主機安全包括服務(wù)器、工作站等在內(nèi)的計算機設(shè)備所運行的操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全。操作系統(tǒng)是管理和分配計算機軟硬件資源，提供人機接口和軟硬件接口的計算機程序，任何計算機軟件都必須在操作系統(tǒng)的支持下才能運行。數(shù)據(jù)庫系統(tǒng)包括數(shù)據(jù)庫及其管理軟件，其核心功能是存儲、維護和為應(yīng)用系統(tǒng)提供數(shù)據(jù)。對于定義為電力生產(chǎn)控制類信息系統(tǒng)的核電站非安全級DCS來說，主機系統(tǒng)是其構(gòu)成的關(guān)鍵部分，是承載各類業(yè)務(wù)應(yīng)用和服務(wù)的軟硬件平臺，也是信息安全保障的重點[1]。

圖2 KILL CHAINFig.2 KILL CHAIN

3.2 主機安全實踐

核電站非安全級DCS將依據(jù)集中管理的思路，實施主機安全防護。

提供防病毒和補丁的集中管理。DCS通過部署防病毒服務(wù)器實現(xiàn)主機防病毒的集中管理，以及操作系統(tǒng)補丁的集中管理。商用計算機系統(tǒng)與DCS工作站在防病毒策略和補丁升級策略上是完全不同的。由于工業(yè)控制系統(tǒng)強調(diào)可用性，尤其要避免因系統(tǒng)不可用而引起的業(yè)務(wù)中斷，DCS工作站宜舍棄對疑似病毒行為的實時攔截，僅要求報警指示，并且還宜舍棄對操作系統(tǒng)補丁的及時修復(fù)，必須在驗證預(yù)計修復(fù)的操作系統(tǒng)補丁不會影響生產(chǎn)業(yè)務(wù)系統(tǒng)正常運行后，階段性的批量修復(fù)這些操作系統(tǒng)補丁[3]。

提供主機安全策略的集中管理。DCS通過部署域控制器實現(xiàn)主機安全策略的集中管理。任何位于Administrators組的賬號均是攻擊者的首要目標，口令破解仍舊是攻擊者獲取操作系統(tǒng)最高權(quán)限的最有效方式之一。盡管通過周期性的更換口令，設(shè)定口令歷史限制，可以非常有效地保護賬戶口令，但是這些措施將使運維工作變得十分低效，并且容易出錯。因而通過域控制器統(tǒng)一管理賬號和口令，既能夠有效實現(xiàn)口令安全，同時也為運維工作帶來便利。值得注意的是，為了避免域控制器的單點故障，部署冗余域控制器十分必要。

提供主機運行狀態(tài)的集中管理。在傳統(tǒng)IT主機運維過程中，普遍重視主機運行狀態(tài)，但在工業(yè)控制領(lǐng)域由于主機運行場景固定，反而不受重視。主機運行狀態(tài)主要包括存活狀態(tài)、CPU使用率、內(nèi)存使用率，以及磁盤使用率等。就實現(xiàn)技術(shù)而言，普遍采用SNMP協(xié)議（簡單網(wǎng)絡(luò)管理協(xié)議）獲取主機的運行狀態(tài)。值得注意的是，由于目前Windows操作系統(tǒng)不支持SNMP V3版本，無法實現(xiàn)用戶身份鑒別和數(shù)據(jù)加密傳輸。僅能采用SNMP V2版本，其中Community不允許采用默認值Public和Private。

提供日志審計的集中管理。針對“電力等保要求”的審計要求，部署日志服務(wù)器是一種高效的實現(xiàn)方法。部署日志服務(wù)器將提供兩個優(yōu)勢：① 統(tǒng)一采集和存儲日志，這將有利于保護日志，有效預(yù)防日志在本地存儲時存在的丟失問題，并且還可以通過設(shè)置日志的訪問控制策略，實現(xiàn)審計角色的獨立性；② 關(guān)聯(lián)分析，目前信息安全防護方案已經(jīng)不再僅僅局限于發(fā)現(xiàn)和解決局部異常工況，而是要從局部異常工況推演全局系統(tǒng)是否正在受到高級持續(xù)性威脅攻擊，顯然分布式的日志系統(tǒng)幾乎無法滿足此項要求。

4 結(jié)束語

本文著重探討了核電站非安全級DCS信息安全防護中的網(wǎng)絡(luò)和主機安全防護措施。筆者認為，核電站非安全級DCS網(wǎng)絡(luò)和主機信息安全防護有以下幾個難點：① 信息安全防護措施不能影響業(yè)務(wù)系統(tǒng)的可用性。因此，原則上盡量采取旁路部署的方式，采取異常報警的方式，避免主動攔截。即使嚴格按照上述原則，在現(xiàn)場部署前仍然要進行長期兼容性測試，尤其需要明確額外部署的信息安全商業(yè)現(xiàn)貨運行時的行為特征，建議通過分析信息安全業(yè)務(wù)日志、數(shù)據(jù)載荷等方式實現(xiàn)；② 信息安全防護措施要將防護高級持續(xù)性威脅攻擊作為防護背景，當高級持續(xù)性威脅攻擊投入足夠多的資源時，僅僅依靠已知的信息安全防護措施幾乎不可能防御，但是及時發(fā)現(xiàn)異常工況，有助于盡早甄別出高級持續(xù)性威脅攻擊，以此達到控制后果和降低損失的目的；③ 平衡安全性和便捷性，不建議無節(jié)制的追求安全性，使得運維工作的成本極其高昂。