核電工控系統的工控安全審計系統研發與應用

彭 鑫，李 實，王 柱，陳 林，劉一寧，亓文利

（1.浙江國利網安科技有限公司，浙江 寧波 310000；2.嶺澳核電有限公司，廣東 深圳 518000；3.浙江中控技術股份有限公司，杭州 310000）

0 引言

相比傳統的火電、水電，核電資源消耗少、環境影響小、供應能力強，已經成為世界電力供應的支柱之一。以中國為例，2019 年1 月～12 月，全國累計總發電量為71422.10 億千瓦時，運行核電機組累計發電量為3481.31 億千瓦時，約占全國累計發電量的4.88%[1]。

但由于其燃料具有放射性，一旦泄漏對環境和人類健康將造成巨大危害。因此，核電控制網絡的安全性、控制指令的合規性成為核電控制網絡的重要考量。核電工控系統安全審計系統，可實時監測核電網絡的安全性、合規性，快速對威脅做出響應并對操作進行回溯。

1 工控系統信息安全現狀及風險

1.1 核電站DCS系統

在國內核電站的儀表及控制系統中，大多新建電站采用的是全數字化DCS（Distributed Control System）技術，即過程控制級分散配置。

整個DCS 系統由非安全相關儀控系統 TXP（Operational I&C System）和安全相關儀控系統TXS（Safety I&C System）兩部分組成，主要用于監測和控制核電廠釋熱和電能生產的主要和輔助過程，在所有運行模式包括應急情況下，維持電廠的安全性、可操作性和可靠性，并且在正常運行工況下保證電廠的經濟性[2]。

以本文應用的某核電站為例，該站的TXP 系統采用了西門子AS620B 自動化系統，其數據通信是由SINEC H1 總線系統構成的電廠總線（Plant Bus）完成。TXP 系統中的SINEC H1 網絡是在IEEE802.3（Ethernet）基礎上建立的，形成開放式的通信網絡，采用樹形網絡拓撲結構，提高網絡通信的實時性。為了增加可靠性，SINEC H1 使用環網設計，并形成SIMATIC NET 以太網結構，能大幅提高通信網絡的容錯能力，充分滿足通信網絡的單一故障準則[3]。

根據核電站的儀表及控制系統需實現的功能要求，TXP 系統核心劃分為4 個處理層級，分別是過程儀表層、過程控制層、操作監視層和高級應用（信息管理）層，DCS 系統網絡結構如圖1 所示。

圖1 DCS系統網絡結構Fig.1 DCS system network structure

1.2 網絡安全現狀及風險

隨著核電工業控制系統的智能化與信息化快速發展，工業網絡向互聯網延伸是趨勢所在。然而，現有的工業控制系統又往往存在運行時間較長，在運行初期缺乏安全考量，在運行后期缺乏安全更新和維護的情況，導致系統存在巨大的安全風險。一是網絡資產的固件（軟件）版本更新不及時，有許多漏洞可以被黑客利用；二是對網絡缺乏監測，一些帶有病毒的可疑資產的接入會導致病毒傳播；三是對工控操作缺乏審計，一些不合規的工控操作也可能帶來潛在安全隱患。

隨著控制網絡逐漸開放，工控漏洞逐漸增加，工控網絡的風險也逐漸增大，對工控網絡安全進行加固的重要性不言而喻。

1.3 網絡安全監測的必要性

在工控網絡設置的各個區域里，控制層是重中之重。以本文應用的某核電站TXP 系統為例，過程控制層與操作監視層之間的數據交互和通訊流量是系統安全的重點監控對象，在這個區域設置一個安全監測系統是非常有必要的。一個安全監測系統，除了要監測網絡中的安全風險，還需要監測工控操作的合規性，這樣才能保證整個DCS 系統控制網絡安全運行。

本文設計的工控安全審計系統，對過程控制層與操作監視層之間的通訊流量和數據交互進行采集和分析，完成DCS 系統內的工控行為審計和網絡安全監測，對不合規的工控操作和網絡中存在的安全風險，以實時告警的形式提示用戶。

2 工控安全審計系統設計

部署于核電工控系統的工控安全審計系統，原理是通過對核電控制網絡的數據包進行實時旁路數據采集，對數據包的內容進行識別和解析，與用戶配置的安全審計策略進行匹配，實現網絡的實時監控和分析，能夠檢測和發現各種異常數據報文、異常的網絡行為、非法入侵等安全風險，幫助用戶快速做出響應，保障核電網絡的安全運行。

2.1 工控安全審計系統架構

為了實現上述功能，工控安全審計系統設計了數據采集層、核心層、審計/檢測層和可視化層4 層架構，如圖2所示。

圖2 工控安全審計系統的架構Fig.2 The architecture of the industrial control security audit system

數據采集層，主要用于采集原始的數據報文并進行簡單的預處理。以某核電站的系統部署為例，工控網絡數據會通過旁路的方式，從交換機的鏡像口來進行實時地采集。

核心層主要用于處理采集到的報文信息，包含工控協議識別、工控協議解析、工控會話識別、工控資產識別和工控報文匹配幾個模塊。核心層會對工控協議進行識別并深度解析，匹配多種網絡攻擊的數據報文特征，同時結合報文指紋特征，識別工控資產的信息。

審計/檢測層主要用于處理核心層解析的信息，對核心層的信息進行分析和整合。其包含工控事件審計、IT 事件審計、工控會話分析、工控流量分析、工控威脅檢測、網絡攻擊檢測、資產漏洞檢測、網絡事件檢測幾個模塊，能全息記錄網絡中的工控OT 操作和IT 事件。同時支持實時、多維地分析網絡的安全情況，檢測網絡中已被攻陷的資產和潛在的安全風險。

可視化層主要用于實現工控網絡可視化。該層會提取審計檢測層的數據，并將其轉換成可視化拓撲圖、表格等數據。可視化部分包含工控資產可視化、工控操作可視化、工控漏洞可視化、工控流量可視化、工控會話可視化、報表定制模塊。

工控安全審計系統的研發，主要是核心層和審計/檢測層的實現。本文的后續章節，將對核心層和審計/檢測層的實現進行詳細說明。

2.2 工控安全審計系統核心層

核心層主要用于解析采集到的報文信息，主要包含鏈路層協議信息、傳輸層協議信息、應用層信息等。

核心層支持工控協議的識別和解析。對于工控協議識別，核心層設計了兩種方法：一種方法是通過指定端口加上報文頭部信息識別，典型的應用是MODBUS 協議；另一種方法針對動態端口或者鏈路層協議，通過報文頭部信息識別，典型的應用是本文中提到的SINEC H1 協議。

對于工控協議解析，核心層使用深度報文解析DPI（Deep Packet Inspection）技術。DPI 技術主要針對應用層報文分析，識別各種應用及其內容。核心層實現了包含AC（Aho-Corasick）算法、BM（Boyer-Moore）算法、正則匹配算法在內的多種DPI 算法，用于解析工控數據報文的工控操作功能碼、操作地址、數值等信息。同時，核心層還會通過DPI 算法，將應用層的報文特征與內置的威脅報文特征庫比對，發現網絡中存在的風險，例如掃描探測、僵尸木馬蠕蟲病毒攻擊等。

核心層支持識別并維護會話信息。對于一個會話，在建立連接后，其五元組（源IP、源端口、目的IP、目的端口、協議）信息就不會產生變化。核心層會識別五元組信息，將采集到的數據包維護至特定會話中，實時跟蹤會話的狀態和流量，為審計/檢測層的整合和分析提供支撐。

核心層還支持識別資產信息，采集到的報文中，往往包含一些資產特征的指紋信息，比如IP、協議信息。核心層會通過這一類指紋信息進行簡單的資產信息識別，為后續的資產漏洞檢測和資產可視化提供支撐。

2.3 工控安全審計系統審計/檢測層

審計/檢測層主要用于處理核心層解析的信息，對核心層的信息進行分析和整合。

審計/檢測層支持工控點表匹配算法，會將核心層解析的數據包與用戶導入的點表信息進行匹配，生成包含變量讀取、組態變更、配置變更、上傳下載、命令寫入等OT操作事件，并標注操作的實際對象，將工控操作轉化為用戶可以認知的審計信息。同時，審計/檢測層還支持IT 事件審計，包含DNS 請求事件、HTTP 請求事件、TELNET連接事件等審計。

工控和非工控事件的審計是工控安全審計系統的基礎功能，用于全息記錄網絡中的各種操作，便于用戶追溯，同時對于工控關鍵操作、弱口令等事件也為用戶做網絡合規性評估提供參考。

對于控制系統會話和流量信息，審計/檢測層通過深度流量分析DFI（Deep Flow Inspection）技術，追蹤網絡中的工控會話，對其會話狀態、會話流量進行分析，并建立流量基線模型。審計/檢測層的DPI 算法，支持固化基線和動態基線兩種模型。對于偏離流量基線的情況，例如某資產突然出現大流量，某一條工控會話長時間沒有流量，都會及時分析并提示用戶。

審計/檢測層通過實現高性能策略匹配引擎，支持基于安全策略的工控威脅檢測，包含工控網絡威脅檢測和工控操作威脅檢測。引擎會匹配用戶配置的黑白名單策略，生成相應的風險告警來提示用戶。具體的，引擎會基于用戶設置的資產白名單匹配，提示用戶可疑資產接入；基于用戶設置的通信關系白名單匹配，提示用戶異常通信；基于用戶配置的工控功能碼黑/白名單匹配，提示用戶非法工控操作；基于用戶配置的操作地址和值域范圍，提示用戶工控閾值超限。

審計/檢測層還實現了資產漏洞檢測功能，即根據核心層資產識別的信息，匹配內置的漏洞庫信息，識別當前資產的已知漏洞，并提示用戶進行固件升級或硬件更換。

3 工控安全審計策略

如2.3 章節所述，工控安全審計系統通過高性能的策略匹配引擎，會對用戶配置的安全審計策略進行匹配，并生成相應的工控網絡威脅告警和工控操作威脅告警。安全審計策略通過黑/白名單的方式配置，具體實現上，分為工控資產白名單、工控通信白名單、工控操作功能碼黑/白名單和工控閾值黑/白名單。

3.1 工控安全審計策略配置

工控安全審計策略的配置，即黑/白名單的配置，根據工控網絡的特點，可以分為工控網絡策略和工控操作策略。在工控網絡策略的配置上，工控安全審計系統設計了白名單的方式。具體的，設計了工控資產白名單，即工控資產的IP 或者mac 地址白名單，以及工控通信關系白名單，即工控通信關系的白名單。

在工控操作策略上，工控安全審計系統設計了黑/白名單的方式。具體的，設計了工控操作的黑/白名單，即工控操作功能碼的黑/白名單以及工控操作閾值的黑/白名單，即工控的讀寫操作的閾值范圍。

3.2 工控安全審計策略匹配

在工控安全審計策略配置后，工控安全審計系統的高性能策略匹配引擎會對報文進行檢測和匹配。根據用戶配置的黑/白名單，產生相應的事件告警來提示用戶。

工控安全審計策略的黑/白名單和相應的告警事件如圖3 所示。

圖3 黑/白名單和告警事件Fig.3 Black/white list and alarm events

3.3 工控安全審計策略自學習

對于用戶來說，工控安全審計策略的配置是繁瑣且耗時的，尤其是對于網絡中資產梳理不清晰的用戶，要配置完整的黑/白名單策略具有一定的困難性。

為了解決策略配置繁瑣的問題，提升用戶的使用體驗，安全審計系統設計了自學習功能，通過學習可信流量，一段時間后會自動學習安全審計策略，用戶只需要確認策略的有效性并做簡單的修改，就可以完成適合工控網絡的審計策略集。

4 工控安全審計系統應用

工控安全審計系統一般通過旁路的方式接入控制網絡交換機側，實時采集并分析控制網絡的流量。本章節以某核電站的部署為例，介紹審計系統的一種應用場景。

4.1 工控安全審計系統部署

在某核電站的TXP 系統部署中，安全審計系統工會通過旁路的方式，接入過程控制層與操作監視層的核心交換機來進行實時的數據采集，部署的拓撲如圖4 所示。

圖4 TXP系統中部署工控安全審計系統Fig.4 Deploying an industrial control security audit system in the TXP system

4.2 工控安全審計系統策略配置

在工控安全審計系統部署后，首先開啟自學習的模式，學習可信流量48h，并自動生成工控資產白名單和通信關系白名單。隨后用戶確認自學習的白名單，設置工控操作黑名單，并導入點表信息。

一組工控操作白名單策略的截圖如圖5 所示。

圖5 一組工控操作白名單策略Fig.5 A set of whitelist strategies for industrial control operations

后續工控安全審計系統即可切換至審計模式進行審計，用戶實時關注dashboard 的告警信息和資產評分，并對潛在風險或失陷主機進行安全處理。

5 結語

本文對核電站的控制系統進行了分析，闡述了對工控安全網絡加固的重要性。工控安全審計系統是對工控安全網絡加固的一種重要手段，文中詳細介紹了一種工控安全審計系統的實現方法和應用，通過部署工控安全審計系統，可以實現核電控制網絡的網絡事件審計及網絡安全性、合規性的監測。