雙因素身份認證在DCS工程師站的應用研究

賀 凱，黃 鵬，王遠兵, 張 誼

（1.生態環境部 華北核與輻射安全監督站，北京 100029；2.中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

0 引言

核電廠安全級DCS工程師站用于安全級DCS系統自身參數和工程應用數據的配置和管理，滿足工程設計、系統調試、運營維護等各階段的功能要求。工程師站提供人機界面和輔助工具，支持、輔助工程人員、維護人員進行工程應用設計、開發與維護。工程師站在核電廠安全級DCS中所處的典型位置如圖1所示。從圖中可以看出，工程師站是唯一可對工程數據進行修改且對控制站有影響的人機接口（HMI）。

圖1 工程師站位置Fig.1 Location of the engineering station

基于工程師站所處的位置和執行的功能，如果意圖不軌的人員獲得工程師站的權限，或工程師站被入侵，則會對工程數據的“有效性”進行篡改，就有可能給安全級系統帶來致命的影響。因此，工程師站應進行身份認證，防止非授權的訪問并進行權限控制，并嚴格控制工程師站的權限分配機制。但是根據工程師站運行環境的不同，其遭受到的威脅也不同。因此，工程師站身份認證的方式應進行綜合性的考慮。

1 身份認證簡介

1.1 身份認證定義

身份認證，顧名思義，就是證明是否是所聲稱的那個人或物的過程。近年來，隨著計算機網絡及通信技術的高速發展，人們生活越來越多地借助開放的網絡進行經營和日常活動。身份認證越來越重要，可以說是整個信息安全體系的基礎[1]。控制系統的工程師站為避免未授權的人對其進行訪問，會對訪問及訪問權限進行控制，訪問控制策略一般是通過用戶名和密碼進行認證。

上文所述的基于用戶名和密碼進行認證的方式即為密碼認證，是最簡單和最常見的身份認證方式。密碼認證技術基于對請求訪問設備的人員所知道的內容來確定訪問者身份的真實性，例如個人識別碼（PIN）或密碼。

1.2 攻擊類別

IEC62443-3-3中對安全防范等級做了相應的描述，將信息安全攻擊分為了4個等級：

◆ 偶然的、輕度的攻擊。

◆ 有意的、利用較少資源和一般技術的、簡單手段的，可能達到較小破壞后果的攻擊。

◆ 惡意的、利用中等資源、工業控制系統特殊技術的、復雜手段的，可能達到較大破壞后果的攻擊。

◆ 惡意的、利用較多資源、工業控制系統特殊技術的復雜手段與工具，可能達到重大破壞后果的攻擊[2]。

表1 認證技術方法的對比Table 1 Comparison of authentication technologies

一般工控系統面臨的信息安全攻擊是前兩者，相比之下，因核電自身的重要戰略地位[3]，其受到了更多國際上的關注。核電廠DCS遭受到的威脅，除普通的隨機攻擊、惡意攻擊外，還會受到政治因素的影響，如國際勢力的惡意破壞。因此，還可能受到后兩者類別的攻擊，如敵對國家間諜的滲透攻擊。因此，核電廠DCS工程師站除了使用簡單的密碼認證外，還需根據風險分析，考慮使用其他認證方式。

1.3 身份認證的要素

一般來說，身份認證包含3個因素：

第一，用戶所知道的某個秘密信息，如用戶口令。

第二，用戶所持有的某個秘密信息（硬件），即用戶必須持有合法的隨身攜帶的物理介質，如磁卡、智能卡、USBkey或用戶所申請領取的公鑰證書。

第三，用戶所具有的某些生物特征，如指紋、聲音、DNA圖案，視網膜掃描等[4]。

即“所知”“所有”和“獨有”，上文提到的用戶名和密碼的認證方式就是采用了“所知”的認證因素。3種認證因素的優缺點如表1所示。

從表1可見，一種技術的缺陷可能從另一種技術得到補充，每種技術都有其特定的運行環境差異。因此，在使用技術措施進行身份認證時，應考慮其運行的環境等眾多因素[5]。

采用了其中的一種方式即為單因素認證方式，結合多種方式即為多因素身份認證。多因素身份認證是種強身份認證方式，比普通的單因素身份認證技術有著更高的安全性[4]。

2 風險分析

2.1 工程師站安全目標

核電廠安全級DCS工程師站主要信息安全目標有如下幾個方面：

◆ 保證數據的完整性；保證工程數據不被非授權的修改。

◆ 保證數據的機密性：工程數據（包含工藝參數、過程信息和歷史記錄等）不會被暴露給未授權的第三方知道。

◆ 保證工程師站的可靠性：工程師站能夠實現其預定的功能。

◆ 保證工程師站的可用性：授權的個體能夠訪問工程師站特定的數據和服務。

2010年爆發的“震網”病毒，通過周期性地改變離心機的頻率，最終導致離心機損壞。顯然攻擊的發起者對地下工廠的運行數據非常熟悉，可以說是精確制導。因此，保護數據（如運行環境、工藝參數）不被其他組織知曉，是安全的第一步。

所以身份認證的主要目的是保護工程數據不被篡改，保護功能能正常執行、工程數據不被泄露以及權限控制。提高身份認證安全性的目的是為了增加攻擊的難度，使攻擊者需花費更多的資源才能達到攻擊目的。

2.2 工程師站全生命周期危害分析

核電廠安全級DCS工程師站整個生命周期經歷的過程如圖2所示。其中，①～④過程中未包含工程文件；⑤設計工作在日常辦公環境中進行，未在工程師站上開展；⑥～?的過程中包含了工程文件。以下對各個階段所受到的身份認證危害進行分析。

◆ ①～③階段為采購階段，由商務采購工程師站所需的主機，并由電腦供應商對操作系統進行安裝和配置。本階段活動沒有身份認證相關活動，無身份認證相關風險。

◆ ④階段為配置階段，由生產人員負責安裝工程師站所需的軟件，并對軟件、主機、用戶等進行配置，本階段配置的用戶認證方式可能存在缺陷，導致用戶認證方式未能達到預期需求，可由檢驗和測試活動發現并解決。

在文獻[21]中，同機器移動工序采用的是直接利用空閑時間的方法，只有當式(3)滿足時，才對關鍵工序進行移動。該方法遺漏了不滿足式(3)，但同樣能夠改進當前解的有效移動操作，特別是對于塊首工序和塊尾工序。為此，本文在FJSP同機器移動工序進行鄰域搜索時，采用綜合利用空閑時間方法，實現針對FJSP更為強化的鄰域結構。引入文獻[24]中，針對JSP的新型鄰域結構，根據關鍵工序的類型定義相應的移動操作，擴大有效移動范圍。同機器移動工序實現方式如圖10所示，具體移動操作如下：

◆ ⑤階段為設計階段，工程設計人員在日常辦公環境中進行工程創建和工程設計，設計過程中可能造成未授權的個體對工程數據進行訪問，工程數據外泄。針對此風險可通過增加辦公區域的安保措施來預防，工程數據的正確性有驗證與確認（V&V）活動進行驗證。

◆ ⑥階段為工廠測試階段，將工程數據導入到工程師站中，工程測試人員使用工程師站展開測試工作，測試過程環境相對設計階段而言稍復雜一些，需要較低的認證安全需求，防止測試人員越權操作，修改組態數據。

圖2 工程師站生命周期Fig.2 Lifecycle of the engineering station

◆ ⑦階段為運輸階段，一般都采用三方物流公司負責運輸的方式，此階段相比而言不受控，比較容易遭受到國際勢力的滲透，且此時可利用的攻擊工具也較多，需要較高的認證安全需求。

◆ ⑧～⑨階段為現場安裝及聯合調試，此時環境比較復雜，各方人員魚龍混雜，易造成工程數據的泄露和被篡改，需要較高的認證安全需求。

◆ ⑩為運行維護階段，一般會按照電廠的規程進行維護，且核電廠安保環境較好，為保護數據不被非授權的修改，需要較低的認證安全需求。

◆ ?為退役階段，如果工程師站未妥善安置，工程師站中的工程數據和歷史數據可能存在泄露的風險，增加身份認證的安全性能，一定程度地減少泄露的風險。

3 認證方式研究

3.1 認證位置

根據工程師站軟件的邏輯區域，將工程師站劃分為4個區域，如圖3所示。

◆ Level0：啟動層和BIOS層。

◆ Level1：主機操作系統層。

◆ Level2：工程師站軟件操作層。

◆ Level3：工程師站軟件核心功能操作層（修改軟件邏輯，工程師站用戶管理等）。

工程師站可執行身份認證功能的位置包含：

◆ 利用工程師站主機進行認證。

◆ 利用工程師站軟件的用戶管理功能進行認證。

圖3 工程師站邏輯分區Fig.3 Logic zone of the engineering station

利用工程師站軟件進行多因素身份認證，對工程師站軟件提出了新的需求，增加了開發難度，提高成本，增加了研發周期，可以對工程數據的訪問權限進行很好地控制。利用主機進行多因素身份認證，技術比較成熟，直接可用的產品相對較多，但無法對工程數據的訪問權限進行控制。

3.2 認證分析

工程師站多因素身份認證方式不能盲目地追求高安全性，還應從實際出發，考慮便利性、可靠性和成本等方面，在滿足需求的情況下盡量簡單。

多因素身份認證方式不是簡單地使用3種方式進行組合。如使用單因素進行身份認證，則表明其信息安全需求較低，簡單的用戶名和密碼的方式已經能夠實現認證功能，使用硬件認證或生物認證會使得成本較高，反而會很“雞肋”。同樣的道理，一般的雙因素認證也是采用密碼認證+其他一種認證方式。因此，可用于核電廠安全級DCS工程師站的認證方式共有如下4種：

◆ 方案1：密碼認證，適合于一般的安全需求。

◆ 方案2：密碼認證+硬件認證，適合于較高的安全需求。

◆ 方案3：密碼認證+生物識別，適合于較高的安全需求。

◆ 方案4：密碼認證+硬件認證+生物識別，適合于很高的安全需求。

根據上文對工程師站身份認證的風險分析可知，核電廠安全級DCS工程師站就目前情況而言不需采用三因素認證即方案4的認證方式。安全級DCS工程師站正常運行時獨立運行，不與其他控制系統或互聯網連接，為“孤島模式”，在大多數情況下，使用方案1即可。考慮到運輸過程中的風險和現場聯調時環境的復雜性，需要較高的安全需求，可采用雙因素的認證方式，目前很多電廠業主也將雙因素認證的要求寫入到技術規格書中。

雙因素認證方式即為方案2和方案3所述。方案2的一般做法為密碼認證+USBkey，目前USBkey認證方式已經非常成熟，實現也較為簡單，軟件進程也不會對工程師站的功能造成影響，但是引入USBkey認證需要預留USB接口，會額外帶來新的接口問題。

如果采用移動工程師站（主機為筆記本），方案3的一般做法為密碼認證+指紋/面部識別，指紋/面部識別可以集成到主機本身，相比而言不會帶來新的接口問題，亦不會對工程師站的功能造成影響，但是指紋/面部識別的可靠性較差，尤其是面部識別，對環境有較高的要求。如果采用固定式工程師站（主機為臺式機），考慮到目前電腦制造商一般未在主機中集成生物識別模塊，采用方案3同樣需要預留接口，同時需要外接認證設備，會增加設計的復雜性。

3.3 認證方案

結合以上分析，考慮到核電廠安全級DCS工程師站的運行環境，應對權限分配的問題，提出下列“縱深防御”的身份認證方案：

Level0層雙因素認證+Level1層單因素認證+Level2層單因素認證+Level3層雙因素認證。

Level0層采用BIOS密碼認證+USBkey認證的方式，在進入操作系統前進行認證，防止操作系統的功能失效導致Level1層認證失敗；Level1層采用用戶名和密碼的單因素身份認證方式，防止對主機的非授權訪問，同時若主機超過10min無任何操作，自動鎖定當前用戶；Level2層采用用戶名和密碼的單因素身份認證，防止對工程文件的非授權訪問；Level3層采用密碼認證+USBkey認證的雙因素認證方式，對工程師站的核心功能進行保護，防止越權操作。同時Level2層和Level3層的認證為強制認證，如果不經過Level2層/Level3層認證，則無法對工程師站的內容進行訪問，避免底層繞過認證直接訪問數據。

3.4 遺留問題

雙因素認證方式同時也會帶來新的問題，如USBkey的管理問題，接口的管理問題和外接設備的管理問題。如果考慮工程軟件設計人員、生產人員、測試人員、調試人員以及電廠維護人員監守自盜，違反保密規定，蓄意破壞或竊取工程數據，則上述身份認證方式只能起到一定程度的保護。因此，除了制定身份認證的技術措施以外，對就職人員的崗位鑒定、保密培訓等一系列的管理措施也同樣重要。

4 結束語

采用雙因素甚至三因素的身份認證方式可以提高身份認證的安全性，一定程度地減少工程數據被篡改以及數據被泄露的風險，增加攻擊難度，但是單憑身份認證無法保證數據安全，建立良好的管理措施能有效地避免大多數的攻擊。同時，身份認證策略帶來了密碼分發管理，硬件設備管理的新問題。密碼和認證設備的管理如果不得當，雙因素認證也同樣形同虛設。因此，需要制定相關的管理措施。

除此之外，其他信息安全技術保護手段也需要被應用，如入侵檢測系統，漏洞掃描分析系統，安全審計系統等。同時，需要密切關注信息安全的發展與國內外形勢，形勢的變化、技術的發展可能對身份認證提出了新的挑戰和要求。