核電儀控系統保護輪廓概述

上海核工程研究設計院有限公司 常簫 鄭威 毛磊 馬駿 張淑慧

由于核電廠儀控系統網絡環境存在高實時性、高可靠性的要求，核電儀控設備應用信息安全控制手段存在成本高、效果低的問題，此外“震網”病毒揭示了網絡攻擊是如何從網絡蔓延至工藝，并造成了嚴重的損失，因此核電儀控設備需要行之有效的信息安全防護措施。本文從攻擊者的角度出發，以風險指引為基礎，使用殺傷鏈模型進行攻擊建模，結合核電儀控設備的保護輪廓模型，形成有效的信息安全控制手段應用模型。

由于核電儀控環境對網絡的高要求，核電儀控設備應用信息安全控制手段存在成本高、效果低的問題：（1）工藝參數刷新達毫秒級，無法容忍高時延—對網絡流量的加密速率要求極高；（2）DCS系統、PLC/控制器使用私有協議和工控協議—需要針對性的協議解析，安全產品難以支持；（3）數據流向復雜，設備涉及廠家繁多—難以制定和維護訪問控制策略；（4）儀控設備長時間持續運行—周期性系統更新和漏洞修補，漏洞長時間暴露；（5）智能儀表、PLC/控制器采用簡單的嵌入式設備—缺乏完善的安全防護策略和功能，廠家不具備修復漏洞的動力；（6）網絡邊界模糊，存在易被接觸的邊緣設備—網絡情況復雜，難以盤查及防護邊緣設備。

1 核電儀控信息安全防護現狀

目前電力行業儀控系統的網絡安全架構設計中，通常依據《電力監控系統安全防護總體方案》，設置“安全分區、網絡專用、橫向隔離、縱向認證”，依據電廠的安全功能劃分不同的區域，使用單向隔離裝置控制區域之間的數據流向，使得不同區域之間的網絡邊界收束為有限接口。

但目前架構中，仍存在以下問題[1-4]：

(1)核電儀控系統邊界防護能力薄弱。核電儀控系統的主機工控衛士通常只支持有限的操作系統，如Windows、Centos和Ubuntu等，可以部署在工程師站、操作員站、數據鏈服務器等設備上，但對于嵌入式系統如PLC/控制器、智能儀表等難以部署主機工控衛士，至于無系統邊緣數字設備更無法部署主機工控衛士。針對儀控系統來說，眾多的接入終端難以納入管控，邊界呈現模糊狀態。

(2)核電儀控系統網絡結構脆弱。核電儀控系統網絡通常為冗余網絡，保障部分網絡結構故障時可以切換至另一張網。所有的服務器和控制器/PLC均掛載在同一網絡內，網絡內未進行區域劃分和訪問控制。該網絡結構對于攻擊者而言，任何一臺失陷儀控設備均可達其他所有儀控設備，網絡內沒有能力阻止信息安全攻擊橫向移動。同時雙環網意味著單臺失陷設備可向任意IP發送拒絕服務攻擊，使得網絡擁塞，而維修人員無法通過單純的替換設備而恢復網絡處理能力。

(3)信息安全設備性價比低。在傳統網絡中，入侵檢測設備通常用于區域之間進行流量解析、行為分析，其網絡分為接入終端區、服務器區和互聯網接入區，其中服務器區內部流量可達萬兆，而終端區與互聯網接入區流量低于千兆。傳統網絡中主要針對跨越邊界的流量進行防御，流量低于千兆，因此性能需求較低，儀控網絡設計中旁路接入環網，需鏡像全網流量，流量極大，性能需求極高，其價格與低性能差距十幾倍，且由于網絡接入點極多，入侵檢測設備起到的作用十分有限。

(4)接入端口過多。核電儀控網絡中從底層的傳感器信號傳輸，到上層的光纖信號傳輸，均需要相應的I/O端口，如I/O卡件、網口、USB端口等，數量除目前已經使用的之外還要預留后期擴充改造的端口，這些端口因為種種原因通常不會封閉，除此之外供調試、運維使用的端口也不會封閉，進而成為攻擊者的攻擊入口。

(5)信息安全設備引入的額外風險。信息安全設備通常基于Windows或Linux開發，設備具備操作系統擁有的共通漏洞，同時信息安全設備廠商通常不會將設備管理權限交于用戶，導致后期運維及加固存在一定的困難。信息安全設備中使用到病毒庫、特征庫及補丁庫的設備，需要及時更新，而廠商發布更新的速度往往以天為單位。頻繁更新則容易從互聯網引入信息安全威脅，更新遲緩則容易使得信息安全設備防護效果不盡人意。

因此針對核電儀控設備的信息安全防護，需要從設備本身面臨的威脅入手，針對性的進行分析與防護。

2 保護輪廓及安全組件概念

《GB/T 18336.1-2015 信息技術 安全技術 信息技術安全評估準則 第1部分：簡介和一般模型》中建立IT安全評估的一般概念和原則。18336中提出了保護輪廓這一概念，意為針對一類特定的評估目標（TOE），列出與實現無關的安全需求陳述。其中的評估目標（TOE）被定義為一組可能包含指南的軟件、固件和/或硬件的集合[5]。

《GB/T 18336.2-2015 信息技術 安全技術 信息技術安全評估準則 第2部分：安全功能組件》中定義的安全功能組件表達了安全要求，這些要求試圖對抗針對假定的TOE運行環境中的威脅，并/或涵蓋了所有已標識的組織安全策略和假設[6]。

在應用中，保護輪廓通常依據評估目標的業務流程提出對應的安全需求，對應的安全需求需要選取安全功能組件進行表達，之后選取安全功能組件對應的具體信息安全防護手段，即可實現對該目標的信息安全防護。

安全功能組件以功能類的結構進行表示，主要包括以下幾類。(1)FAU 安全審計：能夠自己診斷自身運行的正常和異常，并形成分類分級的告警；(2)FCO類 通信：原發和接受的抗抵賴；(3)FCS類 密碼支持：支持完整的密鑰體系，包括密鑰的生成、分發、存取、銷毀及密碼算法等；(4)FDP類 用戶數據保護：對于靜態數據的保護，比如文件，數據庫等；(5)FIA類 標識與鑒別：對操作人員的識別；(6)FMT類 安全管理：對安全數據的保護；(7)FPR類 隱私：用戶數據與業務數據的分離；(8)FPT類 TSF保護：內部安全數據的保護；(9)FRU類 資源利用：資源的優先級和配額控制；（10）FTA類 TOE訪問：訪問連接建立的控制；(11)FTP類 可信路徑/信道：設備互認證。

3 基于風險指引的核電儀控系統設備信息安全防護手段應用方法

3.1 儀控設備保護輪廓建模

針對單一設備，該客體具備網絡通信、接口（USB等）和人機操作面三個交互點，針對單一設備的安全功能組件如圖1。(1)可回溯：所有對客體的操作過程應可以識別威脅和攻擊，并進行記錄，以便事后審計（FAU）；(2)權限管理：確保正確授權的用戶可以訪問客體數據，并且數據不被未授權者竊取或破壞（FIA、FDP）；(3)資源管理：資源可分級，不同的用戶具備相互獨立的資源（FMT、FRU）；(4)通信管理：僅能通過受控的通道進行相互通訊，通信信道需具備信息保障、糾錯、路徑可行能力（FCO、FTA、FTP）；(5)輸出數據保障：對輸出數據實現完整性和防篡改保障（FPT）；(6)密碼管理：服從密碼體系管理，使用密碼進行通信加密和存儲加密（FCS）。

圖1 信息安全控制手段應用模型Fig.1 Application model of information security control methods

3.2 信息安全控制手段應用模型

如圖1所示，根據殺傷鏈模型，將各個階段對應的攻擊手段映射到單一設備的保護輪廓模型中，將保護輪廓對應的安全功能對應到攻擊手段上，以此實現針對某一類攻擊的有效防護。

4 針對單個PLC的信息安全控制手段分析

PLC通常包括輸入部分、輸出部分、電源部分和內部編程器。其中輸入部分通過AI、DI卡件從按鈕開關、繼電器觸點等儀表設備采集讀數；輸出部分利用AO、DO發送特定的電流、電壓等信號傳遞到閥門、斷路器等執行機構；構成PLC主體的編程器是一個小型的嵌入式系統，包含中央處理器、系統程序存儲器和用戶程序存儲器，存儲器存儲邏輯運算，中央處理器依照固定的周期，從輸入部分讀入參數，進行邏輯運算并產生輸出信號。

PLC通常通過網線同工程師站、操作員站連接，工程師站可以利用組態程序修改PLC內部的組態程序。

PLC的業務如下：(1)自動運行：讀入輸入信息，結合輸入信息，通過計算后產生輸出信息，存入輸出部分；(2)手動控制：上位機通過網絡發送指令，PLC將指令存入輸入部分，通過計算后產生輸出信息，存入輸出部分；(3)固件/組態圖更新：通過網絡，從上位機得到固件或組態圖，并進行固件或組態圖的更新；(4)調試：通過網絡，從上位機（工程師站）獲得指令，修改輸入信息，并計算后得出輸出信息，或直接進行組態邏輯修改；(5)備份：從網絡口輸出固件或組態圖，到上位機，進行備份。

根據殺傷鏈進行建模，該PLC可被以下幾條攻擊方法攻擊，可建立攻擊鏈。(1)目標偵查—端口掃描；(2)載荷投送—利用TCP協議橫向移動；(3)漏洞利用—利用嵌入式操作系統漏洞，將武器復制到存儲器；或利用固件漏洞，將PLC更新為惡意固件；(4)安裝植入—病毒程序，感染、破壞邏輯圖程序；或構造武器環境；隱蔽化；(5)指揮與控制—利用TCP協議遠程控制；或是利用嵌入式操作系統特定環境觸發；(6)目標行動—執行拒絕服務攻擊；執行中間人攻擊；下發惡意命令；感染上位機。

建立PLC的保護輪廓，如圖2所示，在輸入和輸出部分需要建立會話管理機制和可信路徑，在同上位機的連接中需要保障通信會話的安全以及上位機的身份認證，PLC將自身的日志發送至上位機以保證安全審計能力，PLC自身內部數據需要密碼保護，內部存儲數據具備校驗機制，對輸出數據保證其完整性和機密性。

圖2 PLC信息安全控制手段應用Fig.2 PLC information security control means application

將攻擊手段對應到保護輪廓中，可以進行如下信息安全控制手段的配置：

（1）FCO通信。端口掃描：無法防護，需要防火墻支持；

（2）FIA標示與鑒別。橫向移動：配置系統訪問的賬戶及權限，限制PLC同其他PLC或服務器建立連接；遠程控制：配置系統訪問的賬戶及權限，限制PLC接收非目標服務器的控制命令；

（3）FAU安全審計。隱蔽化：配置PLC發送日志至上位機，上位機定期審計；

（4）FTA TOE訪問。中間人攻擊：配置其他設備，禁用ARP協議，執行設備與命令發送設備通過身份認證建立連接；拒絕服務攻擊：無法防護，需要防火墻支持；下發惡意命令：無法防護，時候應急響應處置；

（5）FDP用戶數據保護。漏洞利用：及時修補漏洞；惡意固件：固件升級前先進行文件校驗，以確保固件未被替換；病毒程序：定期進行病毒查殺。

5 總結

本文從核電儀控系統網絡信息安全防護現狀的脆弱性出發，結合殺傷鏈模型，針對核電儀控系統單一設備進行業務流程分析及安全需求分析，建立攻擊技術與保護輪廓的映射，最終建立基于風險指引型核電儀控系統保護輪廓。本文以單個PLC進行舉例說明，對其進行業務分析，建立基于風險指引的保護輪廓，并依據該保護輪廓進行了信息安全防護手段應用實施分析，驗證保護輪廓應用方法。利用該方法，可以有效地解決單一設備信息安全控制手段應用有效性差的問題，有效提高防護效果及防護效率。