核電工控系統(tǒng)信息安全防護框架設計

馬陟 趙爽

摘要：結合國際標準IEC62443的思路提出一整套針對于核電工控系統(tǒng)信息安全防護的框架設計方案。論文首先介紹了核電工控系統(tǒng)信息安全現(xiàn)狀及其技術體系和管理體系，然后闡述了安全防護框架的設計思路，最后總結出該框架設計的特點及優(yōu)越性。

關鍵詞：核電；工控系統(tǒng)；信息安全；框架設計

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2018）03-0039-04

1 概述

中國作為最大的發(fā)展中國家，始終在確保安全的前提下，致力于開發(fā)利用核能，彌補能源需求缺口，應對氣候變化挑戰(zhàn)。中國是核能發(fā)展最快的國家，同時保持著良好核安全記錄。近年來，中國在核安全領域進展迅速。

2016年4月1日，在美國首都華盛頓舉行的第四屆核安全峰會上，習近平主席發(fā)表題為《加強國際核安全體系，推進全球核安全治理》的重要講話，總結和展望了中國的核安全工作并倡導國際社會做出更多努力。

核電工控系統(tǒng)信息安全是核安全的重要組成部分，專門針對核電工控系統(tǒng)的攻擊近年來屢見不鮮。

最著名的要數(shù)2010年爆發(fā)的震網(wǎng)病毒事件，其產(chǎn)生的巨大破壞性引起了世界各國的高度重視。而我國核電工控系統(tǒng)在設計之初較少考慮信息安全，市場上普遍只是采用工業(yè)防火墻等產(chǎn)品進行補救，而如何將信息安全技術融入到產(chǎn)品設計中，才能使系統(tǒng)達到整體上更高的性能和安全等級。

在核電生產(chǎn)網(wǎng)絡中，核電儀控系統(tǒng)采用通用的工業(yè)標準協(xié)議、網(wǎng)絡設備、Windows/Linux工作站及服務器，大部分是基于傳統(tǒng)信息化體系的平臺。因此核電工控系統(tǒng)除面臨工控網(wǎng)絡特有的安全威脅，還面臨Windows /Linux平臺漏洞、外部網(wǎng)絡攻擊、安全威脅、企業(yè)內(nèi)部的管理不到位等威脅，使得核電工控系統(tǒng)暴露在危險且復雜多變的環(huán)境中。隨著攻擊技術與手段日益先進、復雜、成熟，工控系統(tǒng)所面臨的安全威脅也將日益嚴峻。

2 核電工控系統(tǒng)信息安全技術體系

參照IEC62443國際標準給出工控系統(tǒng)信息安全技術體系，如圖1所示。

如圖1所示，工控系統(tǒng)信息安全技術體系分為六大類技術，每類技術又可以劃分為多項子技術，在工控系統(tǒng)中，應用這些技術可以全面覆蓋工控系統(tǒng)信息安全需求，保障工控系統(tǒng)的信息安全，六種技術的特點如下所示：

? 接入控制：為指引和控制設備間或系統(tǒng)間的信息流的過濾和阻斷技術，包括防火墻技術和虛擬網(wǎng)絡技術。

? 鑒權、認證：驗證試圖接入到工控系統(tǒng)的人或設備的合法性，確保只有認證通過的人有權進行操作。

? 密碼技術：實現(xiàn)數(shù)據(jù)加密、解密的過程，為確保信息在認證的路徑下傳輸或確保數(shù)據(jù)的正確和完整性。

? 監(jiān)控、審計、探測技術：提供分析安全脆弱性的能力、探測和分析可能的危險行為的能力。包括病毒檢測、入侵檢測、網(wǎng)絡和主機的審計、漏洞掃描等。

? 軟件安全技術：決定工控系統(tǒng)安全的關鍵因素，軟件技術可以實現(xiàn)一定程度上的接入控制，但也由于總是存在軟件錯誤或在設計階段就缺乏信息安全的考慮而成為漏洞的主要來源。

? 物理安全技術：限制對工控系統(tǒng)的物理接入以及有意、無意的物理破壞，是保護資源的人員、過程、措施和設備的組合。

為了便于讀者對核電工控信息安全技術體系各方面內(nèi)容有更直觀的了解，統(tǒng)計了各類技術對應的技術產(chǎn)品和手段列表如下所示，以供參考。

3 核電工控系統(tǒng)信息安全管理體系

管理體系包括以下十一個方面：

? 安全方針：信息安全總體目標、范圍以及信息安全重要性定義，同時也是管理層意圖的生命，安全方針的策略、原則、標準和復合型要求，應包括符合法律法規(guī)和合同要求，安全教育、培訓和意識要求，業(yè)務連續(xù)性管理以及違反信息安全方針的后果。

? 信息安全組織機構：包括內(nèi)部組織、外部組織以及合作團隊的管理。

? 資產(chǎn)管理：考慮資產(chǎn)負責和信息分類。

? 人力資源管理：考慮任用前、任用中和任用的終止或變更。

? 物理和環(huán)境安全：考慮安全區(qū)域和設備安全。

? 通信和操作管理：考慮操作規(guī)程和職責、第三方服務交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意和移動代碼、備份、網(wǎng)絡安全管理、介質處置、信息交換、電子商務服務、監(jiān)視等。

? 訪問控制：考慮訪問控制業(yè)務要求、用戶訪問管理、用戶職責、網(wǎng)絡訪問控制、操作系統(tǒng)訪問控制、應用和信息訪問控制、移動計算和遠程工作等。

? 信息系統(tǒng)獲取、開發(fā)、維護：考慮控制系統(tǒng)安全要求、應用中的正確處理、密碼控制、系統(tǒng)文件安全、開發(fā)和支持過程中的安全、技術脆弱性管理等。

? 信息安全事件管理：考慮報告信息安全事態(tài)和弱點、信息安全事件和改進管理等。

? 業(yè)務連續(xù)性管理：考慮業(yè)務連續(xù)性管理信息安全方面。

? 符合性：考慮符合法律要求，符合安全策略和標準及技術符合性、控制系統(tǒng)審計符合性等。

如下圖所示，工控信息安全管理體系使用傳統(tǒng)PDCA管理模型，實現(xiàn)全周期信息安全管理，保障工控系統(tǒng)的可用性、完整性、保密性。

工控系統(tǒng)信息安全管理體系文件分為四級：方針策略、程序文件、操作手冊、記錄文件。

一級文件：方針策略文件。全公司范圍內(nèi)的工控系統(tǒng)信息安全方針，需要從公司整體角度考慮來制定，應該能夠反映最高管理者對工控系統(tǒng)信息安全工作下達的旨意，應該能為所有下級文件的編寫指引方向。包含工控系統(tǒng)信息安全方針的工控系統(tǒng)信息安全管理手冊，由工控系統(tǒng)信息安全委員會負責制定、修改和審批，是對工控系統(tǒng)信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)工控系統(tǒng)信息安全管理體系是按照既定目標要求建立并運行的。工控系統(tǒng)信息安全手冊應該是每個員工都持有的，是員工在工控系統(tǒng)信息安全方面的行動綱領。

三級文件：具體的作業(yè)指導書。這些文件牽涉到與具體部門特定工作或系統(tǒng)相關的作業(yè)規(guī)范（操作步驟和方法），可以由各個部門自行制定，是對各個程序文件所規(guī)定的領域內(nèi)工作的細化描述。

四級文件：各種記錄文件，包括實施各項流程的記錄和表格，應該成為工控系統(tǒng)信息安全管理體系得以持續(xù)運行的有力證據(jù)，由各個相關部門自行維護。

為了便于讀者對核電信息安全管理體系各方面內(nèi)容有更直觀的了解，統(tǒng)計了信息安全管理文件如下所示，以供參考。

4 核電工控系統(tǒng)信息安全框架設計

4.1 分區(qū)域結構

為了讓安全分析和設計更加具有層次，需要對核電廠網(wǎng)絡進行詳盡的分區(qū)分域，具體要參照廠家提供的網(wǎng)絡拓撲圖。原則是參考圖4分區(qū)域模型，依次按照企業(yè)、廠區(qū)、機組、系統(tǒng)、系統(tǒng)再劃分（現(xiàn)場監(jiān)控層、現(xiàn)場控制層、現(xiàn)場設備層）共5個層次，往往在現(xiàn)場控制層要把工程師站再單獨劃分區(qū)域進行保護。分區(qū)域結構在同一級區(qū)域內(nèi)采取基本相同的安全策略，子區(qū)域繼承母區(qū)域的防護需求。

區(qū)域識別后，需要明確各區(qū)域的設備類型、業(yè)務模型以及制定各區(qū)域的安全策略。

區(qū)域劃分后，需要對區(qū)域間的信息流進行分析，根據(jù)需要劃分管道或通道，得到協(xié)議的詳細文檔或內(nèi)容、通訊機制，理清各管道所承擔業(yè)務，采取綜合考慮功能、性能與安全的防護策略。

區(qū)域的劃分，有利于理清安全需求，展開詳細的安全設計。

企業(yè)層和廠區(qū)層，采用出入口控制和視頻監(jiān)控等多種物理安全手段，企業(yè)總部和各廠區(qū)間采用VPN方式進行通信，廠區(qū)內(nèi)用VLAN對不同職能部門進行業(yè)務劃分；

核電機組間多采用物理隔離的方式，當有多個機組共用一套工控系統(tǒng)的情況也應達到邏輯隔離，核電機組的網(wǎng)絡與廠區(qū)信息網(wǎng)絡一般不互聯(lián)，如果互聯(lián)考慮部署安全隔離交換設備；

核電各系統(tǒng)之間存在強耦合關系，多相互作為輸入和輸出，考慮在系統(tǒng)間通道上使用網(wǎng)關等設備限定數(shù)據(jù)流向和傳輸格式；

系統(tǒng)各層之間，考慮采用工業(yè)防火墻等邊界防護手段；

特殊區(qū)域如工程師站由于具有組態(tài)和配置等關鍵功能，除了對其關鍵數(shù)據(jù)和通信設有常規(guī)保護外，還經(jīng)常設有特殊安全保護機制，例如組態(tài)生成文件的安全性檢查就不是常規(guī)主機安全產(chǎn)品可以做到的。

需要注意和區(qū)分的是，按照核設施實物保護標準劃分的等級，核電廠從物理安全的角度可劃分為5個區(qū)域，分別是要害區(qū)、保護區(qū)、控制區(qū)、員工區(qū)、公共區(qū)。

上述企業(yè)層對應實物保護的公共區(qū)和員工區(qū)；

廠區(qū)層對應實物保護的控制區(qū)和保護區(qū)；

100MW以上核電機組及其相關工控系統(tǒng)集中在要害區(qū)。依據(jù)核電廠實物保護標準，包括核電廠的主控室、核反應堆及輔助廠房、核燃料庫房、安全級發(fā)電機房、安全級冷卻劑循環(huán)泵、高放廢液處理設備、乏燃料元件處理主工藝廠房、保衛(wèi)控制中心等。

所以，本文所述工控系統(tǒng)，主要集中在核電廠要害區(qū)，本文所述分區(qū)域與實物保護分區(qū)并不矛盾，請讀者注意與基于核電廠實物保護分區(qū)結構進行縱深防御的模型進行區(qū)分。

4.2 防護架構

核電工業(yè)控制系統(tǒng)體系龐大，總體分層部署圖簡化了的網(wǎng)絡拓撲以方便讀者理解本方案針對核電工控信息安全的總體防護設計。圖4是總體防護架構的邏輯劃分與抽象。

基于核電工控系統(tǒng)架構圖，標出了核電工控系統(tǒng)中各關鍵位置實施的信息安全技術手段，它們的作用如下：

接入控制，考慮核電系統(tǒng)與系統(tǒng)之間，系統(tǒng)內(nèi)層與層之間的邊界防護；

鑒權認證，重點解決用戶操作或監(jiān)控現(xiàn)場設備時需要進行的身份認證；

密碼技術，提供用戶以及設備的身份認證、下行消息認證、數(shù)據(jù)存儲加密以及安全事件追溯能力；

監(jiān)控、審計、探測，監(jiān)控整個工控系統(tǒng)的網(wǎng)絡流量以及所有工控設備的內(nèi)存占用率等信息，審計用戶行為包括登錄、操作、使用規(guī)程等，探測系統(tǒng)的漏洞和工控系統(tǒng)內(nèi)部以及從外部可能入侵的行為；

軟件安全，重點防范軟件可能存在的漏洞和后門程序；

物理安全，一方面監(jiān)視核電工控系統(tǒng)設備和環(huán)境，快速反應安保事件；一方面給重要設備標識和加鎖，避免非法媒介和設備的接入和出現(xiàn)人員惡意或無意的錯誤操作。

4.3 典型應用部署

在接入控制方面，在非安全級儀控系統(tǒng)二層與三層之間、在非安全級與專用儀控系統(tǒng)之間、非安全級與安全級儀控系統(tǒng)之間部署了安全隔離網(wǎng)關，邏輯隔離不同主機系統(tǒng)，實現(xiàn)協(xié)議擺渡，控制數(shù)據(jù)的流向，是系統(tǒng)間的邊界防護設備；在核島與常規(guī)島實時服務器連接二層信息網(wǎng)絡的接口處部署工業(yè)防火墻，重點過濾監(jiān)控層經(jīng)由實時數(shù)據(jù)庫對于現(xiàn)場設備的監(jiān)控指令；在一層控制系統(tǒng)網(wǎng)絡和二層信息網(wǎng)絡主干道上，部署安全工業(yè)以太網(wǎng)交換機，高效率完成內(nèi)部傳播的病毒過濾以及分布式拒絕服務攻擊；在工控系統(tǒng)網(wǎng)絡與辦公系統(tǒng)網(wǎng)絡的連接處部署安全路由器，提供高效的基本的包過濾服務和拒絕服務攻擊的防護。

在鑒權認證方面，在二層信息網(wǎng)絡上部署權限管理服務器負責管理核電人員、角色、權限的對應關系；在操作系統(tǒng)配置上以及應用軟件的登錄模塊上制定登錄機制；關鍵主機、服務器與工控設備應分配證書，以提供身份認證和消息認證；有無線連接的設備時，支持802.1X協(xié)議認證以檢驗接入裝置的合法性。

在密碼設計方面，在一二層網(wǎng)絡上部署密鑰管理系統(tǒng)，負責對工控系統(tǒng)密鑰產(chǎn)生、密鑰分發(fā)、密鑰存儲、密鑰更新、密鑰銷毀、密鑰使用等過程的管理。

在監(jiān)控、審計、探測方面，在二層信息網(wǎng)部署工業(yè)集中管理平臺，對安全設備和安全行為進行集中監(jiān)控和審計；在主機和服務器上部署防病毒軟件，探測和監(jiān)控主機安全狀態(tài)；在工控網(wǎng)入口處部署網(wǎng)絡入侵檢測系統(tǒng)，對流入工控網(wǎng)的流量進行入侵行為的探測以及與安全隔離網(wǎng)關及防火墻聯(lián)動阻止入侵行為，在每臺終端和服務器部署并合理配置主機入侵檢測系統(tǒng)，有效發(fā)現(xiàn)和報告網(wǎng)絡攻擊；漏洞掃描系統(tǒng)，掃描和發(fā)現(xiàn)工控系統(tǒng)軟件和協(xié)議的漏洞；自動化軟件管理工具，用于軟件的生命周期管理、版本管理、補丁管理；在所有網(wǎng)絡主機上部署配置管理工具，固化操作系統(tǒng)安全以及設置審計策略等；在網(wǎng)絡中的所有工業(yè)交換機的鏡像處部署工業(yè)監(jiān)測預警系統(tǒng)，對工業(yè)控制系統(tǒng)內(nèi)部所有網(wǎng)絡流量進行監(jiān)測和報警；在工控機房和工控現(xiàn)場部署無線檢測裝置探測非法網(wǎng)絡和連接的存在。

在軟件安全防護方面，保證核電工控系統(tǒng)中使用的主機和服務器以及外接設備，使用充分考慮了信息安全的安全設備和安全操作系統(tǒng)。

在物理安全防護方面，在工業(yè)控制系統(tǒng)內(nèi)部部署統(tǒng)一視頻監(jiān)控系統(tǒng)和各個室的出入口控制裝置，限制了對工控系統(tǒng)的物理接入以及有意、無意的物理破壞，為迅速響應核安保事件提供條件并為違反信息安全規(guī)定的行為提供證據(jù)。

5 框架設計特點和優(yōu)越性

本方案不局限于傳統(tǒng)信息系統(tǒng)對信息安全的理解，而是站在工控用戶角度綜合考慮了核電行業(yè)安全問題的合理解決途徑。鑒于物理安全、軟件漏洞、防火墻以及入侵檢測系統(tǒng)等都簡單地按照傳統(tǒng)等級保護思路進行劃分容易產(chǎn)生混淆，本文借鑒IEC62443標準，整理核電工控系統(tǒng)的信息安全防護框架。

本框架設計與基于等級保護設計的思路雖有映射關系，然而更從工控用戶的需求出發(fā)，不僅幫助工控客戶合理地分析、解決工控安全問題，也對安全公司的產(chǎn)品策劃和落地解決方案的編寫具有一定指導意義。

參考文獻：

[1] IEC62443-3-1 2009，《工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全》.

[2] 肖建榮.工業(yè)控制系統(tǒng)信息安全[M].電子工業(yè)出版社，2015.

[3] 核安全導則 501/2 核實施實物保護.

[4] 4GB/T 30976.1-2014，工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范.