上海核工程研究设计院有限公司 常箫 郑威 毛磊 马骏 张淑慧

由于核电厂仪控系统网络环境存在高实时性、高可靠性的要求，核电仪控设备应用信息安全控制手段存在成本高、效果低的问题，此外“震网”病毒揭示了网络攻击是如何从网络蔓延至工艺，并造成了严重的损失，因此核电仪控设备需要行之有效的信息安全防护措施。本文从攻击者的角度出发，以风险指引为基础，使用杀伤链模型进行攻击建模，结合核电仪控设备的保护轮廓模型，形成有效的信息安全控制手段应用模型。

由于核电仪控环境对网络的高要求，核电仪控设备应用信息安全控制手段存在成本高、效果低的问题：（1）工艺参数刷新达毫秒级，无法容忍高时延—对网络流量的加密速率要求极高；（2）DCS系统、PLC/控制器使用私有协议和工控协议—需要针对性的协议解析，安全产品难以支持；（3）数据流向复杂，设备涉及厂家繁多—难以制定和维护访问控制策略；（4）仪控设备长时间持续运行—周期性系统更新和漏洞修补，漏洞长时间暴露；（5）智能仪表、PLC/控制器采用简单的嵌入式设备—缺乏完善的安全防护策略和功能，厂家不具备修复漏洞的动力；（6）网络边界模糊，存在易被接触的边缘设备—网络情况复杂，难以盘查及防护边缘设备。

1 核电仪控信息安全防护现状

目前电力行业仪控系统的网络安全架构设计中，通常依据《电力监控系统安全防护总体方案》，设置“安全分区、网络专用、横向隔离、纵向认证”，依据电厂的安全功能划分不同的区域，使用单向隔离装置控制区域之间的数据流向，使得不同区域之间的网络边界收束为有限接口。

但目前架构中，仍存在以下问题[1-4]：

(1)核电仪控系统边界防护能力薄弱。核电仪控系统的主机工控卫士通常只支持有限的操作系统，如Windows、Centos和Ubuntu等，可以部署在工程师站、操作员站、数据链服务器等设备上，但对于嵌入式系统如PLC/控制器、智能仪表等难以部署主机工控卫士，至于无系统边缘数字设备更无法部署主机工控卫士。针对仪控系统来说，众多的接入终端难以纳入管控，边界呈现模糊状态。

(2)核电仪控系统网络结构脆弱。核电仪控系统网络通常为冗余网络，保障部分网络结构故障时可以切换至另一张网。所有的服务器和控制器/PLC均挂载在同一网络内，网络内未进行区域划分和访问控制。该网络结构对于攻击者而言，任何一台失陷仪控设备均可达其他所有仪控设备，网络内没有能力阻止信息安全攻击横向移动。同时双环网意味着单台失陷设备可向任意IP发送拒绝服务攻击，使得网络拥塞，而维修人员无法通过单纯的替换设备而恢复网络处理能力。

(3)信息安全设备性价比低。在传统网络中，入侵检测设备通常用于区域之间进行流量解析、行为分析，其网络分为接入终端区、服务器区和互联网接入区，其中服务器区内部流量可达万兆，而终端区与互联网接入区流量低于千兆。传统网络中主要针对跨越边界的流量进行防御，流量低于千兆，因此性能需求较低，仪控网络设计中旁路接入环网，需镜像全网流量，流量极大，性能需求极高，其价格与低性能差距十几倍，且由于网络接入点极多，入侵检测设备起到的作用十分有限。

(4)接入端口过多。核电仪控网络中从底层的传感器信号传输，到上层的光纤信号传输，均需要相应的I/O端口，如I/O卡件、网口、USB端口等，数量除目前已经使用的之外还要预留后期扩充改造的端口，这些端口因为种种原因通常不会封闭，除此之外供调试、运维使用的端口也不会封闭，进而成为攻击者的攻击入口。

(5)信息安全设备引入的额外风险。信息安全设备通常基于Windows或Linux开发，设备具备操作系统拥有的共通漏洞，同时信息安全设备厂商通常不会将设备管理权限交于用户，导致后期运维及加固存在一定的困难。信息安全设备中使用到病毒库、特征库及补丁库的设备，需要及时更新，而厂商发布更新的速度往往以天为单位。频繁更新则容易从互联网引入信息安全威胁，更新迟缓则容易使得信息安全设备防护效果不尽人意。

因此针对核电仪控设备的信息安全防护，需要从设备本身面临的威胁入手，针对性的进行分析与防护。

2 保护轮廓及安全组件概念

《GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型》中建立IT安全评估的一般概念和原则。18336中提出了保护轮廓这一概念，意为针对一类特定的评估目标（TOE），列出与实现无关的安全需求陈述。其中的评估目标（TOE）被定义为一组可能包含指南的软件、固件和/或硬件的集合[5]。

《GB/T 18336.2-2015 信息技术 安全技术 信息技术安全评估准则 第2部分：安全功能组件》中定义的安全功能组件表达了安全要求，这些要求试图对抗针对假定的TOE运行环境中的威胁，并/或涵盖了所有已标识的组织安全策略和假设[6]。

在应用中，保护轮廓通常依据评估目标的业务流程提出对应的安全需求，对应的安全需求需要选取安全功能组件进行表达，之后选取安全功能组件对应的具体信息安全防护手段，即可实现对该目标的信息安全防护。

安全功能组件以功能类的结构进行表示，主要包括以下几类。(1)FAU 安全审计：能够自己诊断自身运行的正常和异常，并形成分类分级的告警；(2)FCO类 通信：原发和接受的抗抵赖；(3)FCS类 密码支持：支持完整的密钥体系，包括密钥的生成、分发、存取、销毁及密码算法等；(4)FDP类 用户数据保护：对于静态数据的保护，比如文件，数据库等；(5)FIA类 标识与鉴别：对操作人员的识别；(6)FMT类 安全管理：对安全数据的保护；(7)FPR类 隐私：用户数据与业务数据的分离；(8)FPT类 TSF保护：内部安全数据的保护；(9)FRU类 资源利用：资源的优先级和配额控制；（10）FTA类 TOE访问：访问连接建立的控制；(11)FTP类 可信路径/信道：设备互认证。

3 基于风险指引的核电仪控系统设备信息安全防护手段应用方法

3.1 仪控设备保护轮廓建模

针对单一设备，该客体具备网络通信、接口（USB等）和人机操作面三个交互点，针对单一设备的安全功能组件如图1。(1)可回溯：所有对客体的操作过程应可以识别威胁和攻击，并进行记录，以便事后审计（FAU）；(2)权限管理：确保正确授权的用户可以访问客体数据，并且数据不被未授权者窃取或破坏（FIA、FDP）；(3)资源管理：资源可分级，不同的用户具备相互独立的资源（FMT、FRU）；(4)通信管理：仅能通过受控的通道进行相互通讯，通信信道需具备信息保障、纠错、路径可行能力（FCO、FTA、FTP）；(5)输出数据保障：对输出数据实现完整性和防篡改保障（FPT）；(6)密码管理：服从密码体系管理，使用密码进行通信加密和存储加密（FCS）。

图1 信息安全控制手段应用模型Fig.1 Application model of information security control methods

3.2 信息安全控制手段应用模型

如图1所示，根据杀伤链模型，将各个阶段对应的攻击手段映射到单一设备的保护轮廓模型中，将保护轮廓对应的安全功能对应到攻击手段上，以此实现针对某一类攻击的有效防护。

4 针对单个PLC的信息安全控制手段分析

PLC通常包括输入部分、输出部分、电源部分和内部编程器。其中输入部分通过AI、DI卡件从按钮开关、继电器触点等仪表设备采集读数；输出部分利用AO、DO发送特定的电流、电压等信号传递到阀门、断路器等执行机构；构成PLC主体的编程器是一个小型的嵌入式系统，包含中央处理器、系统程序存储器和用户程序存储器，存储器存储逻辑运算，中央处理器依照固定的周期，从输入部分读入参数，进行逻辑运算并产生输出信号。

PLC通常通过网线同工程师站、操作员站连接，工程师站可以利用组态程序修改PLC内部的组态程序。

PLC的业务如下：(1)自动运行：读入输入信息，结合输入信息，通过计算后产生输出信息，存入输出部分；(2)手动控制：上位机通过网络发送指令，PLC将指令存入输入部分，通过计算后产生输出信息，存入输出部分；(3)固件/组态图更新：通过网络，从上位机得到固件或组态图，并进行固件或组态图的更新；(4)调试：通过网络，从上位机（工程师站）获得指令，修改输入信息，并计算后得出输出信息，或直接进行组态逻辑修改；(5)备份：从网络口输出固件或组态图，到上位机，进行备份。

根据杀伤链进行建模，该PLC可被以下几条攻击方法攻击，可建立攻击链。(1)目标侦查—端口扫描；(2)载荷投送—利用TCP协议横向移动；(3)漏洞利用—利用嵌入式操作系统漏洞，将武器复制到存储器；或利用固件漏洞，将PLC更新为恶意固件；(4)安装植入—病毒程序，感染、破坏逻辑图程序；或构造武器环境；隐蔽化；(5)指挥与控制—利用TCP协议远程控制；或是利用嵌入式操作系统特定环境触发；(6)目标行动—执行拒绝服务攻击；执行中间人攻击；下发恶意命令；感染上位机。

建立PLC的保护轮廓，如图2所示，在输入和输出部分需要建立会话管理机制和可信路径，在同上位机的连接中需要保障通信会话的安全以及上位机的身份认证，PLC将自身的日志发送至上位机以保证安全审计能力，PLC自身内部数据需要密码保护，内部存储数据具备校验机制，对输出数据保证其完整性和机密性。

图2 PLC信息安全控制手段应用Fig.2 PLC information security control means application

将攻击手段对应到保护轮廓中，可以进行如下信息安全控制手段的配置：

（1）FCO通信。端口扫描：无法防护，需要防火墙支持；

（2）FIA标示与鉴别。横向移动：配置系统访问的账户及权限，限制PLC同其他PLC或服务器建立连接；远程控制：配置系统访问的账户及权限，限制PLC接收非目标服务器的控制命令；

（3）FAU安全审计。隐蔽化：配置PLC发送日志至上位机，上位机定期审计；

（4）FTA TOE访问。中间人攻击：配置其他设备，禁用ARP协议，执行设备与命令发送设备通过身份认证建立连接；拒绝服务攻击：无法防护，需要防火墙支持；下发恶意命令：无法防护，时候应急响应处置；

（5）FDP用户数据保护。漏洞利用：及时修补漏洞；恶意固件：固件升级前先进行文件校验，以确保固件未被替换；病毒程序：定期进行病毒查杀。

5 总结

本文从核电仪控系统网络信息安全防护现状的脆弱性出发，结合杀伤链模型，针对核电仪控系统单一设备进行业务流程分析及安全需求分析，建立攻击技术与保护轮廓的映射，最终建立基于风险指引型核电仪控系统保护轮廓。本文以单个PLC进行举例说明，对其进行业务分析，建立基于风险指引的保护轮廓，并依据该保护轮廓进行了信息安全防护手段应用实施分析，验证保护轮廓应用方法。利用该方法，可以有效地解决单一设备信息安全控制手段应用有效性差的问题，有效提高防护效果及防护效率。