◆常箫 郑威 毛磊 马骏 张淑慧

信息安全对核电仪控系统网络可靠性的影响分析

◆常箫 郑威 毛磊 马骏 张淑慧

（上海核工程研究设计院有限公司 上海 200233）

核电仪控系统网络可靠性同生产活动息息相关，通常关注网络本身的连通性、容量和时延。由于核电仪控网络承担了生产特性，且网络攻击对仪控网络中控制器节点的破坏可能导致网络连通性未破坏的情况下生产活动遭受影响，因此本文将研究信息安全对核电仪控系统网络可靠性的影响，建立核电仪控系统网络可靠性模型，并提出核电仪控系统结合信息安全的网络可靠性指标，并针对网络攻击进行相应的影响分析。

信息安全；核电仪控系统；网络可靠性

1 引言

核电仪控系统网络承担着生产活动中重要的数据传输功能，是数字化电厂中的血液，因此核电仪控系统网络的可靠性同生产活动息息相关。目前核电厂采用冗余环形网络构建核电仪控系统网络[1]，每台设备挂载多台交换机，以保证环网中任意一条线路或交换机节点损坏时，仪控系统仍可正常工作。在实际运行中，光纤及交换机的可靠性经过测试后，出现故障的概率极低，同时出现多设备故障导致网络不可用的概率更低，一旦出现故障，可通过设备替换实现网络的快速恢复。同传统网络不同，核电仪控系统网络承担了生产活动的功能，挂载至交换机节点上的控制器在厂区中含有自身的功能和位置，承担不同系统功能和逻辑的控制器在网络拓扑中位于不同的节点，其控制流可能跨越多个交换机节点，因而导致环网中不同节点瘫痪对生产活动的影响程度不同。传统的网络可靠性通常关注网络本身的连通性、容量和时延[2-4]，在核电厂中，由于仪控网络承担了生产特性，网络自身的连通性、容量和时延难以完全表征其对生产活动的影响，因此评估核电仪控系统网络可靠性，需要纳入网络中挂载的控制器节点，以安全生产为目标进行全面考虑。

震网事件展示了网络攻击对仪控网络中仪控设备节点的破坏，在不影响网络因素的同时，对生产活动造成破坏。网络攻击是生产网络必须面临的重要威胁，环形网络的全通性极易将网络攻击传递到整个生产网络，且网络攻击可以在不影响网络的连通性、容量和可靠性的情况下破坏生产活动，因此本文将网络可靠性的指标范围进行了扩大，建立核电仪控系统网络可靠性模型，并提出核电仪控系统结合信息安全的网络可靠性指标，并针对网络攻击进行相应的影响分析。

2 核电仪控系统网络可靠性

2.1 定义

核电仪控系统网络主要承担核电厂安全生产中的数据传输功能，该网络同与其连通的核电仪控设备共同构成了监视、控制功能。核电仪控系统的功能正常与否关乎核电厂的安全生产情况，因此本文将核电仪控系统网络可靠性定义为：核电仪控系统维持安全生产的能力。

核电仪控系统的功能除了本身故障导致功能失效外，也包括由于网络攻击导致的功能失效、功能异常、功能失陷等情况。在面临网络攻击时，仪控系统本身的设备存在各种各样的漏洞，有些漏洞可被攻击者利用，并最终构成一条形成设备失陷、导致功能失陷的攻击链路。在仪控系统网络中，设备的漏洞、网络的拓扑和运行的环境通常处于长时间不变的状态，由此产生的攻击链路也是客观存在的，因此本文将此类特性定义为静态特性。

当核电仪控系统遭受网络攻击时，根据攻击者目的不同在网络中表现的情况不同。如DoS攻击可显著增加网络内的流量，而中间人攻击则会增加网络节点改变网络拓扑，针对特定设备的攻击则会导致设备的硬件或软件行为异常。这些因攻击产生的异常流量与行为，同正常的生产活动存在差别，本文将此类特性定义为动态特性。

因此，核电仪控系统网络可靠性应包含静态及动态两方面的特性，静态特性表征核电仪控系统的固有的维持安全生产的可靠能力，动态特性表征核电仪控系统当前维持安全生产的可靠程度。

2.2 网络可靠性模型

在核电仪控系统网络中，作为执行机构的核电仪控设备挂载于交换机上，表现为仪控网络中的边缘端点。作为指挥控制机构的操作员站、服务器挂载于交换机上，也表现为仪控网络中的边缘端点。因此核电仪控系统网络中控制功能的实现通常可视为数据流从边缘端点途径多个交换机到边缘端点。因此，本模型将核电仪控系统中的核电仪控设备、服务器、操作员站等数字设备视为边缘节点，将交换机视为中间节点，设备同设备之间的连线视为边，构成反映物理连接的拓扑网络结构，并利用该网络结构的特性抽象出网络可靠性模型。

2.2.1静态可靠性

核电仪控系统的静态可靠性表征核电仪控系统固有的维持安全生产的可靠能力，其抗攻击能力与网络中节点设备的特性息息相关。当攻击者进行网络攻击时，可利用网络中节点的漏洞进行入侵，利用通信链路进行跳转，最终到达边缘节点实施恶意攻击。因此仪控系统的静态可靠性主要分析核电仪控系统存在的攻击可能性及攻击产生的后果，计算对应的数学期望。

静态可靠性的计算过程如下：

1）资产赋值：资产赋值包含多维度的综合考量，在网络拓扑中视为节点，因此资产的赋值可视为多参数的数据对。在静态可靠性中，资产赋值需包括设备本身故障概率，设备被攻破的可能性和设备被攻破后产生的后果。其中设备本身的故障概率属于产品标准属性；设备被攻破的可能性取决于自身存在的漏洞情况及物理关联关系，只有存在攻击链路上的漏洞将被计入赋值；设备被攻破后产生的后果取决于其自身在生产中的重要程度及其自身所处的网络位置，在不考虑相同漏洞导致的共因问题的前提下，可仅依靠单节点故障进行赋值。资产的数据对可以依据情况进行扩充，计算时依据相同因素进行计算，综合可靠性的计算可将多参数对以赋值权重的方式计算多元素的数学期望。

2）通信链路计算：对于网络攻击，脆弱性的利用是通过特定协议和端口发动的，依赖现存的网络通路。利用网络可靠性构建的系统模型，可构建基于物理拓扑的邻接矩阵，从每个边缘节点出发，对邻接矩阵进行深度搜索和广度搜索，搜索出这个边缘节点可到达的所有边缘节点和路径，这些路径便是当前网络中存在的通信链路。

3）攻击路径裁剪：通信链路的联通仅表示边缘节点之间可以进行通讯，对于攻击者而言，应用该通信链路，需要满足一定的前提条件，即该通信链路上存在攻击路径。攻击路径是攻击者从入口抵达目标的一条攻击路径，在路径中的每一个节点、每一条线路均需要具备相应的可供攻击者利用的漏洞。基于资产赋值的分析结果，构成仪控系统的攻击面，基于通信链路，可得出攻击面中可形成的具体的攻击路径。攻击路径形成后，可以得出包括节点和边的多元数组。由于不同位置的节点和承载不同功能的节点对整体仪控系统造成的影响不同，因此可依据攻击路径上目标节点的影响性对攻击路径进行裁剪，筛选出所需关注的攻击路径。每条攻击路径均可依据节点及参数对计算相应属性，攻击路径的综合可靠性为攻击路径中所有节点综合可靠性的加权数学期望，其中目标节点的权重占比最高。

4）已采取安全措施分析：根据法律和标准要求，在仪控系统网络中会部署安全控制措施以缩小攻击面，限制攻击路径。在使用防火墙串接的网络中，通信链路会被限制为不同的通信域，在通信域之间只有特定的IP、端口的流量可被放行，由此导致网络从全连接变为有限连接的拓扑图，依据通信链路横向移动的网络攻击也会受限于网络通路，导致攻击链路被切断。此外，部分安全设备可以及时修补节点的漏洞，或是利用授权认证的方式阻断攻击的执行阶段，入侵检测或抗DoS攻击设备，可以阻止某些类型的网络攻击。因此，已采用的安全措施对仪控系统的安全具有一定的提升作用，针对安全措施的类型，可以进一步裁剪第3步识别出的攻击链路。

5）汇总计算：通过上述1～4的评估工作，可最后得到一个不受监控或不受管理的攻击路径的集合。对于这样的攻击路径计算出其攻击数学期望的总和即为这个系统的静态可靠性量化值。对于这个量化值，可以对每个路径的边缘节点解释这些攻击发生后，会产生何种故障后果。

2.2.2动态可靠性

竹韵有些犯难了，自己跟海力不过是普通主雇关系，上班拿了工资奖金，岂能再收他如此贵重的礼物？从马丽亚眼里的敌视来看，她已经隐隐感觉出了些什么。但是，不收又如何拒绝呢？何不暂时把电脑收下，今后努力工作来回报公司，或者今后用工资付帐也行，其实她也早就想给龙斌买台电脑了。想到这里，她伸手接过电脑，脸上也露出了笑容。

核电仪控系统的动态可靠性表征核电仪控系统当前维持安全生产的可靠程度，其观测的指标与系统运维过程息息相关。在核电仪控系统中，通常使用报警来预示操纵员系统已经开始偏离正常工作状态，但在发生网络攻击时，其报警系统很可能被抑制，操纵员难以察觉自身被欺骗，因此动态可靠性需要以推断、预测的方式侧面监测系统的状态。由于静态可靠性属于系统本身的固有能力，因此动态可靠性需要基于静态可靠性做出进一步的当前状态诊断，计算方法需要依托于静态可靠性已建立的模型。

动态可靠性的计算过程如下：

1）监控指标：网络攻击过程中，通常会对核电仪控系统造成影响。

A.网络结构：新设备的引入、新通信的增加都是网络结构变化的特征。在这个方面，通过解析流量，实时计算邻接矩阵的节点度数和边界数可发现。正常情况下，系统的节点度数和边界数是不变的。

B.流量性能：实时监测流量，并将流量值对邻接矩阵进行赋值。再采用交换机的背板流量和节点网卡性能上限作为性能上限。由此可发现哪些网络通信已经逼近网络传输能力的上限。

C.节点性能：采用性能使用百分比来表示当前节点的性能值，将每个节点的性能百分比为元素，考察节点状态是否异常变化，某些性能占用过高或过低，节点是否重启或关机。

D.流量内容：利用入侵检测系统实施监测网络流量的内容特征，对流量中的异常行为和对应的攻击方式进行告警，该告警信息预示着当前网络存在已知的网络攻击。

E.事件日志：利用日志审计系统收集全网设备的日志，对其中的异常行为和异常事件进行告警，该告警信息预示着当前网络的设备面临着未知风险。

2）攻击分析：在监控指标中，在节点、网络和流量三个层次上进行了监控，可通过监测指标的变化对应到确定的设备。在网络攻击中，恶意攻击往往由多个极端构成，使用多种攻击手段，用来实现不同的战略目标，如探测，横向移动，提权，伪造和破坏等，在不同的攻击阶段中其表现的攻击特征也不相同，其攻击手段可以自由组合，因此除已知特征内容的恶意攻击外，对未知的恶意攻击，其对设备的影响各不相同。根据监控指标的变化，可以首先定位已表现出受攻击的设备，再依据指标变化的形式列举出可能遭受的攻击类型。

3）可靠性计算：针对每一种列出的攻击类型，对应到遭受攻击的设备上，再依据设备定位存在的攻击路径。针对目前可影响的攻击路径，在可靠性计算中将其权值按照可能性赋值，其他攻击路径赋值为0，得出当前的动态可靠性。

3 信息安全对核电仪控系统网络可靠性的影响分析

以核电仪控系统中主给水和启动给水系统为例，本文构筑如图1的简化模型：

图1 主给水和启动给水仪控系统示意图

主给水回路和启动给水回路分别由工艺设备泵和阀控制送往蒸汽发生器的水流，其中主给水回路的工艺设备控制逻辑及反馈信号由PLC1完成，启动给水回路的工艺设备控制逻辑及反馈信号由PLC2完成，PLC1和PLC2通过环网与操作员站网络连通。本模型假设环网内存在一台受感染主机，作为网络攻击的发起方。

攻击场景：受感染主机针对核电仪控系统网络实施拒绝服务攻击，阻塞PLC1和PLC2的通信端口。

由于该攻击机理为受感染主机大量发送TCP连接请求阻塞PLC1和PLC2相应端口，因此数据包可由受感染主机到达PLC1和PLC2，同时操作员站数据包也可达PLC1和PLC2，但由于PLC1和PLC2相应的链接资源耗尽，导致数据包到达但被丢弃。由于网络攻击，导致了PLC1和PLC2处于异常工作状态，从而无法控制主给水和启动给水的工艺设备泵和阀，导致了生产可靠性遭受影响。从网络可靠性模型的静态可靠性角度分析，该简单系统本身存在受感染主机经环网与PLC1和PLC2连接的通信链路，受感染主机本身存在导致自身失陷的漏洞，导致网络接口受控，同时通信链路中不存在过滤flood的策略，最终导致受感染主机可以成功利用拒绝服务耗尽PLC1和PLC2的资源，阻断操作员对主给水和启动给水泵、阀的控制。从网络可靠性模型的动态可靠性角度分析，当网络攻击发生时，可观察到从受感染主机向PLC1和PLC2发送了大量特定格式的数据包，流量水平对比正常显著增高；同时可观察到PLC1和PLC2的网络处理使用资源显著提高，或者在组态软件中观察到PLC1和PLC2处于离线状态；向PLC1和PLC2发送端口连通性测试包，结果返回失败。

本场景的解决手段为，在环网中增加flood过滤策略，从而使得数据包在通信链路侧被丢弃；修补受感染主机的漏洞，弥补失陷漏洞。通过两种方法，可以显著提高该简单模型对于拒绝服务攻击的防御能力，提高网络可靠性。

4 总结

本文探讨了网络可靠性的含义，在仪控系统网络中将该概念扩展到维持安全生产的能力，并对核电仪控系统建立了网络可靠性模型，提出静态可靠性和动态可靠性两类指标体系，并利用简化模型主给水和启动给水系统做演示，描述了网络攻击对仪控系统的影响，印证包含信息安全的网络可靠性概念的重要性，分析了信息安全对网络可靠性的影响。

[1]陈明虎，赵阳，周玲，等.基于双活冗余技术的核电厂非安全级数字化仪控系统组网方式研究[J].科技视界，2020（05）：99-102.

[2]方涛.核电站数字化控制系统可靠性评价方法的研究[D].华北电力大学，2013.

[3]黄宁，伍志韬.网络可靠性评估模型与算法综述[J].系统工程与电子技术，2013（3512）：2651-2660.

[4]陈荣根.基于BDD的网络可靠性分析方法研究[D].浙江师范大学，2014.

本文受国家科技重大专项“2018ZX06002007-001-001 核电站数字化仪控系统信息安全总体需求研究”经费资助