李江海，郭 超，黃曉津，董 哲

（清華大學(xué)核能與新能源技術(shù)研究院，北京 100084）

核電儀控系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測(cè)

李江海，郭 超，黃曉津，董 哲

（清華大學(xué)核能與新能源技術(shù)研究院，北京 100084）

儀表和控制系統(tǒng)作為核電廠 “中樞神經(jīng)”的重要組成部分，對(duì)于核電廠安全穩(wěn)定的運(yùn)行起到關(guān)鍵的作用。近年來(lái)，數(shù)字化儀控系統(tǒng)遇到網(wǎng)絡(luò)安全的新問(wèn)題，即預(yù)防、檢測(cè)和應(yīng)對(duì)針對(duì)儀控系統(tǒng)實(shí)施的運(yùn)用數(shù)字化手段的惡意行為。這種網(wǎng)絡(luò)攻擊將致使電廠性能下降，實(shí)體設(shè)備受損，甚至引發(fā)事故工況。依據(jù)核電廠 “縱深防御”的安全設(shè)計(jì)理念和國(guó)內(nèi)外法規(guī)標(biāo)準(zhǔn)的要求，提出應(yīng)對(duì)核電儀控系統(tǒng)實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)。網(wǎng)絡(luò)安全監(jiān)測(cè)的實(shí)施方案為，在儀控系統(tǒng)中部署入侵檢測(cè)系統(tǒng)，監(jiān)視并分析儀控系統(tǒng)事件，發(fā)現(xiàn)未經(jīng)授權(quán)訪問(wèn)儀控系統(tǒng)資源的嘗試并給出報(bào)警。本文詳細(xì)分析了部署入侵檢測(cè)系統(tǒng)需要考慮的檢測(cè)點(diǎn)部署位置、監(jiān)測(cè)數(shù)據(jù)源、入侵檢測(cè)方法3個(gè)方面的問(wèn)題，并給出了評(píng)價(jià)方式。

核電；數(shù)字化儀控系統(tǒng)；工控系統(tǒng)；信息安全；網(wǎng)絡(luò)安全；入侵檢測(cè)

儀表和控制系統(tǒng) （簡(jiǎn)稱 “儀控系統(tǒng)”）作為核電廠 “中樞神經(jīng)”的重要組成部分，對(duì)于核電廠安全可靠的運(yùn)行起到關(guān)鍵的作用。在數(shù)字化的趨勢(shì)中，計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)等信息技術(shù)越來(lái)越多地應(yīng)用于儀控系統(tǒng)。數(shù)字化儀控系統(tǒng)與以往的模擬儀控系統(tǒng)相比，擁有更高的可靠性、更好的性能、以及自我診斷的能力。與此同時(shí)，這種基于計(jì)算機(jī)和網(wǎng)絡(luò)的儀控系統(tǒng)也面臨著網(wǎng)絡(luò)安全的新問(wèn)題，即預(yù)防、檢測(cè)和應(yīng)對(duì)針對(duì)儀控系統(tǒng)實(shí)施的運(yùn)用數(shù)字化手段的惡意行為。

我國(guó)對(duì)儀控系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題也高度重視，公安部、工信部、國(guó)家能源局等部委對(duì)于各個(gè)工業(yè)控制領(lǐng)域出臺(tái)相關(guān)文件指南。在核電領(lǐng)域，國(guó)家核安全局要求新建核電廠參照國(guó)際核電儀控網(wǎng)絡(luò)安全標(biāo)準(zhǔn)IEC 62645［3］開(kāi)展設(shè)計(jì)或進(jìn)行符合性分析。以IEC 62645—2014為基礎(chǔ)的能源行業(yè)標(biāo)準(zhǔn) 《核電廠儀表和控制系統(tǒng)計(jì)算機(jī)安全防范總體要求》（NB／T 20428—2017）于2017年4月1日由國(guó)家能源局發(fā)布。國(guó)防科工局已編制完成 《核設(shè)施計(jì)算機(jī)網(wǎng)絡(luò)安保管理規(guī)定》和相應(yīng)的 《實(shí)施計(jì)劃》。

1 當(dāng)前現(xiàn)狀

當(dāng)前核電儀控系統(tǒng)一般采用孤島設(shè)計(jì)，儀控系統(tǒng)網(wǎng)絡(luò)與外部通信系統(tǒng)存在物理上的分隔，相互之間無(wú)通信或是只允許單向通信。這種孤島設(shè)計(jì)方案往往會(huì)讓人誤以為物理隔離模式能夠防范網(wǎng)絡(luò)攻擊。物理隔離對(duì)防范網(wǎng)絡(luò)攻擊確有益處，但僅依賴物理隔離來(lái)防范網(wǎng)絡(luò)攻擊遠(yuǎn)遠(yuǎn)不夠。這是因?yàn)椋阂环矫?，物理隔離無(wú)法切斷所有的網(wǎng)絡(luò)攻擊途徑；另一方面，置于物理隔離之中的儀控系統(tǒng)包含許多安全漏洞。

首先，儀控系統(tǒng)的生命周期中存在很多入侵途徑，這些攻擊途徑難以僅靠物理隔離就可切斷。比如：

1）開(kāi)發(fā)實(shí)施期間時(shí)儀控系統(tǒng)中即植入病毒；

2）運(yùn)行期間借助移動(dòng)介質(zhì)向儀控系統(tǒng)內(nèi)傳播蠕蟲(chóng)；

3）維護(hù)期間利用便攜計(jì)算機(jī)訪問(wèn)儀控系統(tǒng)盜取信息；

4）采用社會(huì)工程學(xué)的方法借助人的力量對(duì)儀控系統(tǒng)實(shí)施網(wǎng)絡(luò)攻擊。

其次，許多行之有效的信息系統(tǒng)安全防范機(jī)制無(wú)法在儀控系統(tǒng)中實(shí)施。比如定期及時(shí)的操作系統(tǒng)更新和軟件安全升級(jí)，由于缺乏有效的補(bǔ)丁測(cè)試和管理分發(fā)機(jī)制，而無(wú)法在孤島運(yùn)行的內(nèi)網(wǎng)中實(shí)施。另外又如，儀控系統(tǒng)實(shí)時(shí)性的要求限制了防病毒軟件和防火墻的安裝應(yīng)用，儀控系統(tǒng)操作便捷性的要求使得密碼設(shè)置簡(jiǎn)單或長(zhǎng)期不更改、高風(fēng)險(xiǎn)的自動(dòng)登錄功能始終開(kāi)啟。相較于現(xiàn)代的信息系統(tǒng)而言，用于監(jiān)測(cè)和控制的儀控系統(tǒng)固有地包含更多安全漏洞。

總之，目前核電儀控系統(tǒng)內(nèi)部存在諸多漏洞，外部卻單純依靠物理隔離阻擋網(wǎng)絡(luò)攻擊。這種情形如同一座城池只設(shè)置一道護(hù)城河，一旦被跨越之后便無(wú)任何防御措施，這與核電安全設(shè)計(jì)中重要的 “縱深防御”理念相違背。因此核電儀控系統(tǒng)有必要在物理隔離之外構(gòu)筑新的網(wǎng)絡(luò)安全防線。對(duì)此，提出對(duì)核電儀控系統(tǒng)實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)，全面監(jiān)視網(wǎng)絡(luò)安全狀況，檢測(cè)各類網(wǎng)絡(luò)攻擊。

2 實(shí)施依據(jù)

對(duì)核電儀控系統(tǒng)實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)，有著多方面的法規(guī)依據(jù)。美國(guó)核管會(huì) （NRC）在2010年發(fā)布的管理導(dǎo)則RG 5．71《核設(shè)施計(jì)算機(jī)網(wǎng)絡(luò)安全計(jì)劃》［4］附錄B “技術(shù)類控制措施”的B．5．2節(jié)中要求配置主機(jī)入侵檢測(cè)系統(tǒng)，附錄C“操作和管理類控制措施”的C．3．4中對(duì)全廠的入侵檢測(cè)系統(tǒng) （包括入侵防御系統(tǒng)）提出了管理方面要求。我國(guó)工信部在2016年11月發(fā)布的 《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》［5］中也明確提出 “在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為” “在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備”。國(guó)際原子能機(jī)構(gòu) （IAEA）在即將出版的技術(shù)導(dǎo)則NST036《核設(shè)施儀控系統(tǒng)計(jì)算機(jī)安全》［6］的2．13節(jié)中也將闡述 “應(yīng)考慮針對(duì)入侵和其他惡意行為的防護(hù)、檢測(cè)、緩解和恢復(fù)的軟硬件解決方案”。由此可見(jiàn)，國(guó)內(nèi)外均要求在核電儀控系統(tǒng)中實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)。

3 方案設(shè)計(jì)的考慮

我們提出的核電儀控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)方案是在儀控系統(tǒng)部署中入侵檢測(cè)系統(tǒng)，監(jiān)視并分析儀控系統(tǒng)事件，發(fā)現(xiàn)未經(jīng)授權(quán)訪問(wèn)儀控系統(tǒng)資源的嘗試，給出實(shí)時(shí)或近乎實(shí)時(shí)的報(bào)警。部署入侵檢測(cè)系統(tǒng)需要考慮3個(gè)方面的問(wèn)題：1）檢測(cè)點(diǎn)部署位置；2）監(jiān)測(cè)數(shù)據(jù)源；3）入侵檢測(cè)方法。

3．1 檢測(cè)點(diǎn)部署位置

檢測(cè)點(diǎn)可能的部署位置有3種：1）儀控主機(jī)端；2）主機(jī)或終端和儀控網(wǎng)絡(luò)之間；3）儀控網(wǎng)絡(luò)的旁路 （見(jiàn)圖1）。選擇部署位置，應(yīng)該從對(duì)正常運(yùn)行的影響以及對(duì)現(xiàn)有設(shè)施的改造程度兩個(gè)方面進(jìn)行評(píng)價(jià)。

圖1 監(jiān)測(cè)點(diǎn)部署位置Fig．1 Deployment location of monitoring points

A位置儀控主機(jī)端的部署，是指在操作員站、工程師站、IO服務(wù)器等主機(jī)上添加軟件，監(jiān)控主機(jī)的活動(dòng)，以發(fā)現(xiàn)異常行為。這種部署位置的優(yōu)點(diǎn)是既可以檢測(cè)來(lái)自網(wǎng)絡(luò)的外部攻擊，也可以檢測(cè)來(lái)自主機(jī)端的內(nèi)部攻擊。其缺點(diǎn)是需要在主機(jī)端安裝額外的軟件，可能帶來(lái)軟件兼容和管理上的問(wèn)題。B位置主機(jī)或終端和儀控網(wǎng)絡(luò)之間的部署，是指在主機(jī)或現(xiàn)場(chǎng)控制站和儀控網(wǎng)絡(luò)之間橋接新的硬件模塊，用以監(jiān)控進(jìn)出主機(jī)或終端的網(wǎng)絡(luò)通信流。這種部署位置的優(yōu)點(diǎn)是進(jìn)出主機(jī)或終端的全部網(wǎng)絡(luò)通信流均需流經(jīng)該監(jiān)控模塊，因此該模塊可同時(shí)執(zhí)行網(wǎng)絡(luò)入侵檢測(cè)和網(wǎng)絡(luò)入侵防護(hù)的功能。其缺點(diǎn)是對(duì)網(wǎng)絡(luò)通信流的處理可能會(huì)帶來(lái)數(shù)據(jù)包的時(shí)延，影響正常運(yùn)行；同時(shí)在開(kāi)啟入侵防護(hù)功能時(shí)，若防護(hù)策略不合適，可能干擾正常運(yùn)行。C位置儀控網(wǎng)絡(luò)旁路的部署，是指在儀控網(wǎng)絡(luò)旁路安裝設(shè)備，監(jiān)控網(wǎng)絡(luò)通信流的備份。這種部署位置的優(yōu)點(diǎn)是實(shí)際的網(wǎng)絡(luò)通信流并不經(jīng)過(guò)該設(shè)備，因此不會(huì)對(duì)正常運(yùn)行產(chǎn)生任何影響。其缺點(diǎn)是無(wú)法實(shí)現(xiàn)入侵防護(hù)功能。

對(duì)上述3種部署位置的評(píng)價(jià)具體可見(jiàn)表1。從對(duì)正常運(yùn)行的影響角度來(lái)評(píng)價(jià)，A、B位置的部署均可能對(duì)正常運(yùn)行產(chǎn)生影響，C位置的部署不會(huì)對(duì)正常運(yùn)行產(chǎn)生任何影響。從對(duì)現(xiàn)有設(shè)施改造程度來(lái)評(píng)價(jià)，A位置部署只需安裝額外軟件，可不必安裝新的硬件，除非是需要各主機(jī)的協(xié)作而新增網(wǎng)絡(luò)帶寬或是中心管理。B位置部署需要新增監(jiān)控模塊硬件，并且改變現(xiàn)有的接線，改造程度高。C位置部署需增加監(jiān)控模塊硬件，但不必改變現(xiàn)有接線，可以通過(guò)網(wǎng)絡(luò)交換機(jī)端口鏡像的功能復(fù)制全部網(wǎng)絡(luò)通信流，改造程度為中等。

表1 檢測(cè)點(diǎn)3種部署位置的比較Table 1 Comparison of three deployment locations of monitoring points

3．2 監(jiān)測(cè)數(shù)據(jù)源

用于入侵檢測(cè)的數(shù)據(jù)源可以是主機(jī)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)。主機(jī)數(shù)據(jù)只能通過(guò)A位置部署進(jìn)行采集，而網(wǎng)絡(luò)數(shù)據(jù)則主要通過(guò)B、C位置部署進(jìn)行采集。

（1）主機(jī)數(shù)據(jù)

用于入侵檢測(cè)的主機(jī)數(shù)據(jù)，可以是日志文件，包括操作系統(tǒng)的審計(jì)記錄和控制軟件的日志記錄；也可以是文件相關(guān)的信息，比如通過(guò)文件的校驗(yàn)和判斷文件是否被篡改、其完整性是否被破壞。主機(jī)數(shù)據(jù)對(duì)于檢測(cè)內(nèi)部攻擊具有不可替代的作用。但需注意攻擊者可能會(huì)偽造主機(jī)數(shù)據(jù)以隱蔽自己的行動(dòng)。

（2）網(wǎng)絡(luò)數(shù)據(jù)

用于入侵檢測(cè)的網(wǎng)絡(luò)數(shù)據(jù)，即為儀控網(wǎng)絡(luò)通信流中的數(shù)據(jù)包。對(duì)數(shù)據(jù)包的利用，可以由淺至深分為幾個(gè)層次。

第一層是利用網(wǎng)絡(luò)通信流的信息，獲取這類信息只需用到一般的網(wǎng)絡(luò)流統(tǒng)計(jì)和普通報(bào)文分析。這類信息包括如網(wǎng)絡(luò)通信的流量、流的持續(xù)時(shí)間、平均包間隔時(shí)間等時(shí)間相關(guān)量，還包括如源地址、目的地址、源端口、目的端口、拓?fù)浣Y(jié)構(gòu)等空間相關(guān)量［7］。通常來(lái)講，僅利用通信流的信息進(jìn)行入侵檢測(cè)其誤報(bào)率和漏報(bào)率都比較高。但對(duì)于核電儀控系統(tǒng)而言，運(yùn)行時(shí)工作流程比較固定，操作對(duì)象也比較固定，因此網(wǎng)絡(luò)通信流的時(shí)間和空間分布也相對(duì)穩(wěn)定，僅利用通信流信息即可比較準(zhǔn)確地檢測(cè)出一般性的特征明顯的攻擊，如常見(jiàn)的大流量攻擊等。

第二層是利用通信流數(shù)據(jù)包中的工控通信協(xié)議相關(guān)信息，獲取這類信息需要依據(jù)工控通信協(xié)議對(duì)數(shù)據(jù)包的報(bào)文進(jìn)行深度包解析，從而得到如協(xié)議類型、協(xié)議各域的值等信息。由于工控通信協(xié)議設(shè)計(jì)時(shí)主要考慮設(shè)備之間的通信效率，并未考慮安全性，因此并未設(shè)置加密、認(rèn)證等安全機(jī)制，數(shù)據(jù)包的報(bào)文極易被竊取、篡改或偽造。利用這一弱點(diǎn)，攻擊者可發(fā)動(dòng)針對(duì)工控協(xié)議的畸形報(bào)文攻擊，引發(fā)被攻擊對(duì)象無(wú)法處理報(bào)文而癱瘓。通過(guò)對(duì)工控通信協(xié)議相關(guān)信息的分析，可以檢測(cè)出不符合協(xié)議標(biāo)準(zhǔn)結(jié)構(gòu)的數(shù)據(jù)包。

第三層是利用通信流數(shù)據(jù)包中的被控物理對(duì)象相關(guān)信息，獲取這類信息需要了解被控系統(tǒng)或過(guò)程的控制組態(tài)。通過(guò)控制組態(tài)，將深度包解析得到的協(xié)議相關(guān)數(shù)據(jù)恢復(fù)為具有實(shí)際物理含義的測(cè)量值或控制指令，比如溫度值、壓力值、閥門(mén)開(kāi)關(guān)狀態(tài)、電機(jī)啟停命令、變頻器調(diào)速等等。能夠在這個(gè)層面上發(fā)動(dòng)的攻擊需要對(duì)控制流程有深入的了解，如 “震網(wǎng)”病毒等。通過(guò)對(duì)被控物理對(duì)象相關(guān)信息的分析，可以檢測(cè)出不符合控制流程的數(shù)據(jù)包。

3．3 入侵檢測(cè)方法

總的來(lái)說(shuō)，入侵檢測(cè)方法可以分為兩大類：基于異常的檢測(cè)和基于特征的檢測(cè)?；诋惓５臋z測(cè)，是指先收集系統(tǒng)在一段時(shí)間內(nèi)正常運(yùn)行時(shí)的數(shù)據(jù)，以此建立合法行為模型，以該模型為基準(zhǔn)用統(tǒng)計(jì)檢驗(yàn)的方式測(cè)試當(dāng)前運(yùn)行數(shù)據(jù)，判斷其中是否存在惡意行為?；谔卣鞯臋z測(cè)，是指使用一組已知的惡意數(shù)據(jù)模式與當(dāng)前運(yùn)行數(shù)據(jù)進(jìn)行比較，確定是否存在惡意行為。這兩種檢測(cè)方法各有優(yōu)劣：基于特征的檢測(cè)方法，高效而準(zhǔn)確，但只能識(shí)別已知的攻擊；基于異常的檢測(cè)方法，則可以識(shí)別出未知的攻擊，但如果建立的合法行為模型不全面則會(huì)帶來(lái)較多的誤報(bào)。

入侵檢測(cè)方法的選擇，應(yīng)依據(jù)檢測(cè)數(shù)據(jù)源的特點(diǎn)。對(duì)于數(shù)據(jù)流模式簡(jiǎn)單固定的數(shù)據(jù)源，盡量采用基于異常的檢測(cè)；對(duì)于數(shù)據(jù)流模式復(fù)雜多變的數(shù)據(jù)源，可以采用基于特征的檢測(cè)。比如對(duì)于儀控主機(jī)的日志文件數(shù)據(jù)，由于主機(jī)上軟件比較單一，軟件的操作也必須遵循規(guī)程，因此能夠根據(jù)這些知識(shí)建立主機(jī)操作的合法行為模型，用于進(jìn)行異常檢測(cè)。又如對(duì)于網(wǎng)絡(luò)數(shù)據(jù)中與被控物理對(duì)象相關(guān)的信息，被控物理系統(tǒng)和過(guò)程受系統(tǒng)擾動(dòng)或量測(cè)噪聲影響存在較強(qiáng)的不確定性，因此直接根據(jù)對(duì)象模型建立合法行為模型比較困難，采用統(tǒng)計(jì)方法或機(jī)器學(xué)習(xí)的方法所建立的合法行為模型的漏報(bào)率和誤報(bào)率需要進(jìn)一步考察；相反超限檢測(cè)這種基于特征的方法就能發(fā)揮作用。

4 結(jié)束語(yǔ)

本文分析綜述了對(duì)核電儀控系統(tǒng)實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)的依據(jù)和要求，提出了網(wǎng)絡(luò)安全檢測(cè)方案，分析了部署入侵檢測(cè)系統(tǒng)需要考慮的三方面問(wèn)題，并針對(duì)每個(gè)方面問(wèn)題給出評(píng)價(jià)方式。

［1］ICS－CERT．Stuxnet malware mitigation ［R／OL］．U．S．Industrial Control Systems Cyber Emergency Response Team，2010．https：／／icS－cert．uS－cert．gov／advisories／ICSA－10－238－01B．

［2］ICS－CERT．Cyber－attack against Ukrainian critical infrastructure ［R／OL ］．U．S．Industrial Control Systems Cyber Emergency Response Team，2016．https：／／icS－cert．uS－cert．gov／alerts／IR－ALERT－H－16－056－01．

［3］IEC TC 45／SC 45A．Nuclear power plantS－Instrumentation and control systemS－Requirements for security pro－grammes for computer－based systems （IEC 62645）．International Electrotechnical Commission，2014．

［4］NRC．Cyber security programs for nuclear facilities（RG 5．71）．U．S．Nuclear Regulatory Commission，2010．

［5］工業(yè)和信息化部 ．工業(yè)控制系統(tǒng)信息安全防護(hù)指南［S］．北京：工業(yè)和信息化部，2016．

［6］IAEA．Computer security of instrumentation and control systems at nuclear facilities （NST036） ［S］．International Atomic Energy Agency，to be published．

［7］STALLINGS W，BROWN L．計(jì)算機(jī)安全 ［M］．北京：電子工業(yè)出版社，2013．

Cyber Security Monitoring for I＆C Systems of NPPs

LI Jiang－h(huán)ai，GUO Chao，HUANG Xiao－jin，DONG Zhe
（Institute of Nuclear and New Energy Technology of Tsinghua University，Beijing 100084，China）

The instrumentation and control（I＆C）system serves as the important part of the “central nervous system”of a nuclear power plant（NPP）．It is critical for the safe and stable operation of nuclear power plants．The transition from analog systems to digital I＆C systems has brought in the new issue of cyber security．The cyber security problem is that the operation of I＆C systems is possible to be interfered by the malicious cyber intrusions from either outsiders or insiders．These cyber intrusions may lead to the degradation of plant performance，the equipment damage，or even accident condition．We propose to conduct the cyber security monitoring for I＆C systems of nuclear power plants in accordance with the concept of defense－in－depth and the requirement of regulations and standards．The implementation of cyber security monitoring is to deploy the intrusion detection system that monitors and analyzes I＆C systems events，for the purpose of finding and providing warnings of attempts to access I＆C systems resources in an unauthorized manner．Three aspects of intrusion detection systems including the deployment，the data source，and the intrusion detection are analyzed in detail and the assessment criterion are given．

nuclear power；I＆C systems；ICS；computer security；cyber security；intrusion detection

TL36 Article character：A Article ID：1674－1617 （2017）03－0332－04

TL36

A

1674－1617 （2017）03－0332－04

10．12058／zghd．2017．0332

2017－7－16

李江海 （1981—），男，湖北人，博士，助理研究員，現(xiàn)主要從事核電儀控系統(tǒng)的計(jì)算機(jī)安全研究工作 （E－mail：lijianghai＠tsinghua．edu．cn）。

（責(zé)任編輯：白佳）