彭 鑫，李 實(shí)，王 柱，陳 林，劉一寧，亓文利

（1.浙江國(guó)利網(wǎng)安科技有限公司，浙江 寧波 310000；2.嶺澳核電有限公司，廣東 深圳 518000；3.浙江中控技術(shù)股份有限公司，杭州 310000）

0 引言

相比傳統(tǒng)的火電、水電，核電資源消耗少、環(huán)境影響小、供應(yīng)能力強(qiáng)，已經(jīng)成為世界電力供應(yīng)的支柱之一。以中國(guó)為例，2019 年1 月～12 月，全國(guó)累計(jì)總發(fā)電量為71422.10 億千瓦時(shí)，運(yùn)行核電機(jī)組累計(jì)發(fā)電量為3481.31 億千瓦時(shí)，約占全國(guó)累計(jì)發(fā)電量的4.88%[1]。

但由于其燃料具有放射性，一旦泄漏對(duì)環(huán)境和人類健康將造成巨大危害。因此，核電控制網(wǎng)絡(luò)的安全性、控制指令的合規(guī)性成為核電控制網(wǎng)絡(luò)的重要考量。核電工控系統(tǒng)安全審計(jì)系統(tǒng)，可實(shí)時(shí)監(jiān)測(cè)核電網(wǎng)絡(luò)的安全性、合規(guī)性，快速對(duì)威脅做出響應(yīng)并對(duì)操作進(jìn)行回溯。

1 工控系統(tǒng)信息安全現(xiàn)狀及風(fēng)險(xiǎn)

1.1 核電站DCS系統(tǒng)

在國(guó)內(nèi)核電站的儀表及控制系統(tǒng)中，大多新建電站采用的是全數(shù)字化DCS（Distributed Control System）技術(shù)，即過(guò)程控制級(jí)分散配置。

整個(gè)DCS 系統(tǒng)由非安全相關(guān)儀控系統(tǒng) TXP（Operational I&C System）和安全相關(guān)儀控系統(tǒng)TXS（Safety I&C System）兩部分組成，主要用于監(jiān)測(cè)和控制核電廠釋熱和電能生產(chǎn)的主要和輔助過(guò)程，在所有運(yùn)行模式包括應(yīng)急情況下，維持電廠的安全性、可操作性和可靠性，并且在正常運(yùn)行工況下保證電廠的經(jīng)濟(jì)性[2]。

以本文應(yīng)用的某核電站為例，該站的TXP 系統(tǒng)采用了西門子AS620B 自動(dòng)化系統(tǒng)，其數(shù)據(jù)通信是由SINEC H1 總線系統(tǒng)構(gòu)成的電廠總線（Plant Bus）完成。TXP 系統(tǒng)中的SINEC H1 網(wǎng)絡(luò)是在IEEE802.3（Ethernet）基礎(chǔ)上建立的，形成開放式的通信網(wǎng)絡(luò)，采用樹形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提高網(wǎng)絡(luò)通信的實(shí)時(shí)性。為了增加可靠性，SINEC H1 使用環(huán)網(wǎng)設(shè)計(jì)，并形成SIMATIC NET 以太網(wǎng)結(jié)構(gòu)，能大幅提高通信網(wǎng)絡(luò)的容錯(cuò)能力，充分滿足通信網(wǎng)絡(luò)的單一故障準(zhǔn)則[3]。

根據(jù)核電站的儀表及控制系統(tǒng)需實(shí)現(xiàn)的功能要求，TXP 系統(tǒng)核心劃分為4 個(gè)處理層級(jí)，分別是過(guò)程儀表層、過(guò)程控制層、操作監(jiān)視層和高級(jí)應(yīng)用（信息管理）層，DCS 系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖1 所示。

圖1 DCS系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.1 DCS system network structure

1.2 網(wǎng)絡(luò)安全現(xiàn)狀及風(fēng)險(xiǎn)

隨著核電工業(yè)控制系統(tǒng)的智能化與信息化快速發(fā)展，工業(yè)網(wǎng)絡(luò)向互聯(lián)網(wǎng)延伸是趨勢(shì)所在。然而，現(xiàn)有的工業(yè)控制系統(tǒng)又往往存在運(yùn)行時(shí)間較長(zhǎng)，在運(yùn)行初期缺乏安全考量，在運(yùn)行后期缺乏安全更新和維護(hù)的情況，導(dǎo)致系統(tǒng)存在巨大的安全風(fēng)險(xiǎn)。一是網(wǎng)絡(luò)資產(chǎn)的固件（軟件）版本更新不及時(shí)，有許多漏洞可以被黑客利用；二是對(duì)網(wǎng)絡(luò)缺乏監(jiān)測(cè)，一些帶有病毒的可疑資產(chǎn)的接入會(huì)導(dǎo)致病毒傳播；三是對(duì)工控操作缺乏審計(jì)，一些不合規(guī)的工控操作也可能帶來(lái)潛在安全隱患。

隨著控制網(wǎng)絡(luò)逐漸開放，工控漏洞逐漸增加，工控網(wǎng)絡(luò)的風(fēng)險(xiǎn)也逐漸增大，對(duì)工控網(wǎng)絡(luò)安全進(jìn)行加固的重要性不言而喻。

1.3 網(wǎng)絡(luò)安全監(jiān)測(cè)的必要性

在工控網(wǎng)絡(luò)設(shè)置的各個(gè)區(qū)域里，控制層是重中之重。以本文應(yīng)用的某核電站TXP 系統(tǒng)為例，過(guò)程控制層與操作監(jiān)視層之間的數(shù)據(jù)交互和通訊流量是系統(tǒng)安全的重點(diǎn)監(jiān)控對(duì)象，在這個(gè)區(qū)域設(shè)置一個(gè)安全監(jiān)測(cè)系統(tǒng)是非常有必要的。一個(gè)安全監(jiān)測(cè)系統(tǒng)，除了要監(jiān)測(cè)網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)，還需要監(jiān)測(cè)工控操作的合規(guī)性，這樣才能保證整個(gè)DCS 系統(tǒng)控制網(wǎng)絡(luò)安全運(yùn)行。

本文設(shè)計(jì)的工控安全審計(jì)系統(tǒng)，對(duì)過(guò)程控制層與操作監(jiān)視層之間的通訊流量和數(shù)據(jù)交互進(jìn)行采集和分析，完成DCS 系統(tǒng)內(nèi)的工控行為審計(jì)和網(wǎng)絡(luò)安全監(jiān)測(cè)，對(duì)不合規(guī)的工控操作和網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，以實(shí)時(shí)告警的形式提示用戶。

2 工控安全審計(jì)系統(tǒng)設(shè)計(jì)

部署于核電工控系統(tǒng)的工控安全審計(jì)系統(tǒng)，原理是通過(guò)對(duì)核電控制網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行實(shí)時(shí)旁路數(shù)據(jù)采集，對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行識(shí)別和解析，與用戶配置的安全審計(jì)策略進(jìn)行匹配，實(shí)現(xiàn)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控和分析，能夠檢測(cè)和發(fā)現(xiàn)各種異常數(shù)據(jù)報(bào)文、異常的網(wǎng)絡(luò)行為、非法入侵等安全風(fēng)險(xiǎn)，幫助用戶快速做出響應(yīng)，保障核電網(wǎng)絡(luò)的安全運(yùn)行。

2.1 工控安全審計(jì)系統(tǒng)架構(gòu)

為了實(shí)現(xiàn)上述功能，工控安全審計(jì)系統(tǒng)設(shè)計(jì)了數(shù)據(jù)采集層、核心層、審計(jì)/檢測(cè)層和可視化層4 層架構(gòu)，如圖2所示。

圖2 工控安全審計(jì)系統(tǒng)的架構(gòu)Fig.2 The architecture of the industrial control security audit system

數(shù)據(jù)采集層，主要用于采集原始的數(shù)據(jù)報(bào)文并進(jìn)行簡(jiǎn)單的預(yù)處理。以某核電站的系統(tǒng)部署為例，工控網(wǎng)絡(luò)數(shù)據(jù)會(huì)通過(guò)旁路的方式，從交換機(jī)的鏡像口來(lái)進(jìn)行實(shí)時(shí)地采集。

核心層主要用于處理采集到的報(bào)文信息，包含工控協(xié)議識(shí)別、工控協(xié)議解析、工控會(huì)話識(shí)別、工控資產(chǎn)識(shí)別和工控報(bào)文匹配幾個(gè)模塊。核心層會(huì)對(duì)工控協(xié)議進(jìn)行識(shí)別并深度解析，匹配多種網(wǎng)絡(luò)攻擊的數(shù)據(jù)報(bào)文特征，同時(shí)結(jié)合報(bào)文指紋特征，識(shí)別工控資產(chǎn)的信息。

審計(jì)/檢測(cè)層主要用于處理核心層解析的信息，對(duì)核心層的信息進(jìn)行分析和整合。其包含工控事件審計(jì)、IT 事件審計(jì)、工控會(huì)話分析、工控流量分析、工控威脅檢測(cè)、網(wǎng)絡(luò)攻擊檢測(cè)、資產(chǎn)漏洞檢測(cè)、網(wǎng)絡(luò)事件檢測(cè)幾個(gè)模塊，能全息記錄網(wǎng)絡(luò)中的工控OT 操作和IT 事件。同時(shí)支持實(shí)時(shí)、多維地分析網(wǎng)絡(luò)的安全情況，檢測(cè)網(wǎng)絡(luò)中已被攻陷的資產(chǎn)和潛在的安全風(fēng)險(xiǎn)。

可視化層主要用于實(shí)現(xiàn)工控網(wǎng)絡(luò)可視化。該層會(huì)提取審計(jì)檢測(cè)層的數(shù)據(jù)，并將其轉(zhuǎn)換成可視化拓?fù)鋱D、表格等數(shù)據(jù)。可視化部分包含工控資產(chǎn)可視化、工控操作可視化、工控漏洞可視化、工控流量可視化、工控會(huì)話可視化、報(bào)表定制模塊。

工控安全審計(jì)系統(tǒng)的研發(fā)，主要是核心層和審計(jì)/檢測(cè)層的實(shí)現(xiàn)。本文的后續(xù)章節(jié)，將對(duì)核心層和審計(jì)/檢測(cè)層的實(shí)現(xiàn)進(jìn)行詳細(xì)說(shuō)明。

2.2 工控安全審計(jì)系統(tǒng)核心層

核心層主要用于解析采集到的報(bào)文信息，主要包含鏈路層協(xié)議信息、傳輸層協(xié)議信息、應(yīng)用層信息等。

核心層支持工控協(xié)議的識(shí)別和解析。對(duì)于工控協(xié)議識(shí)別，核心層設(shè)計(jì)了兩種方法：一種方法是通過(guò)指定端口加上報(bào)文頭部信息識(shí)別，典型的應(yīng)用是MODBUS 協(xié)議；另一種方法針對(duì)動(dòng)態(tài)端口或者鏈路層協(xié)議，通過(guò)報(bào)文頭部信息識(shí)別，典型的應(yīng)用是本文中提到的SINEC H1 協(xié)議。

對(duì)于工控協(xié)議解析，核心層使用深度報(bào)文解析DPI（Deep Packet Inspection）技術(shù)。DPI 技術(shù)主要針對(duì)應(yīng)用層報(bào)文分析，識(shí)別各種應(yīng)用及其內(nèi)容。核心層實(shí)現(xiàn)了包含AC（Aho-Corasick）算法、BM（Boyer-Moore）算法、正則匹配算法在內(nèi)的多種DPI 算法，用于解析工控?cái)?shù)據(jù)報(bào)文的工控操作功能碼、操作地址、數(shù)值等信息。同時(shí)，核心層還會(huì)通過(guò)DPI 算法，將應(yīng)用層的報(bào)文特征與內(nèi)置的威脅報(bào)文特征庫(kù)比對(duì)，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)，例如掃描探測(cè)、僵尸木馬蠕蟲病毒攻擊等。

核心層支持識(shí)別并維護(hù)會(huì)話信息。對(duì)于一個(gè)會(huì)話，在建立連接后，其五元組（源IP、源端口、目的IP、目的端口、協(xié)議）信息就不會(huì)產(chǎn)生變化。核心層會(huì)識(shí)別五元組信息，將采集到的數(shù)據(jù)包維護(hù)至特定會(huì)話中，實(shí)時(shí)跟蹤會(huì)話的狀態(tài)和流量，為審計(jì)/檢測(cè)層的整合和分析提供支撐。

核心層還支持識(shí)別資產(chǎn)信息，采集到的報(bào)文中，往往包含一些資產(chǎn)特征的指紋信息，比如IP、協(xié)議信息。核心層會(huì)通過(guò)這一類指紋信息進(jìn)行簡(jiǎn)單的資產(chǎn)信息識(shí)別，為后續(xù)的資產(chǎn)漏洞檢測(cè)和資產(chǎn)可視化提供支撐。

2.3 工控安全審計(jì)系統(tǒng)審計(jì)/檢測(cè)層

審計(jì)/檢測(cè)層主要用于處理核心層解析的信息，對(duì)核心層的信息進(jìn)行分析和整合。

審計(jì)/檢測(cè)層支持工控點(diǎn)表匹配算法，會(huì)將核心層解析的數(shù)據(jù)包與用戶導(dǎo)入的點(diǎn)表信息進(jìn)行匹配，生成包含變量讀取、組態(tài)變更、配置變更、上傳下載、命令寫入等OT操作事件，并標(biāo)注操作的實(shí)際對(duì)象，將工控操作轉(zhuǎn)化為用戶可以認(rèn)知的審計(jì)信息。同時(shí)，審計(jì)/檢測(cè)層還支持IT 事件審計(jì)，包含DNS 請(qǐng)求事件、HTTP 請(qǐng)求事件、TELNET連接事件等審計(jì)。

工控和非工控事件的審計(jì)是工控安全審計(jì)系統(tǒng)的基礎(chǔ)功能，用于全息記錄網(wǎng)絡(luò)中的各種操作，便于用戶追溯，同時(shí)對(duì)于工控關(guān)鍵操作、弱口令等事件也為用戶做網(wǎng)絡(luò)合規(guī)性評(píng)估提供參考。

對(duì)于控制系統(tǒng)會(huì)話和流量信息，審計(jì)/檢測(cè)層通過(guò)深度流量分析DFI（Deep Flow Inspection）技術(shù)，追蹤網(wǎng)絡(luò)中的工控會(huì)話，對(duì)其會(huì)話狀態(tài)、會(huì)話流量進(jìn)行分析，并建立流量基線模型。審計(jì)/檢測(cè)層的DPI 算法，支持固化基線和動(dòng)態(tài)基線兩種模型。對(duì)于偏離流量基線的情況，例如某資產(chǎn)突然出現(xiàn)大流量，某一條工控會(huì)話長(zhǎng)時(shí)間沒(méi)有流量，都會(huì)及時(shí)分析并提示用戶。

審計(jì)/檢測(cè)層通過(guò)實(shí)現(xiàn)高性能策略匹配引擎，支持基于安全策略的工控威脅檢測(cè)，包含工控網(wǎng)絡(luò)威脅檢測(cè)和工控操作威脅檢測(cè)。引擎會(huì)匹配用戶配置的黑白名單策略，生成相應(yīng)的風(fēng)險(xiǎn)告警來(lái)提示用戶。具體的，引擎會(huì)基于用戶設(shè)置的資產(chǎn)白名單匹配，提示用戶可疑資產(chǎn)接入；基于用戶設(shè)置的通信關(guān)系白名單匹配，提示用戶異常通信；基于用戶配置的工控功能碼黑/白名單匹配，提示用戶非法工控操作；基于用戶配置的操作地址和值域范圍，提示用戶工控閾值超限。

審計(jì)/檢測(cè)層還實(shí)現(xiàn)了資產(chǎn)漏洞檢測(cè)功能，即根據(jù)核心層資產(chǎn)識(shí)別的信息，匹配內(nèi)置的漏洞庫(kù)信息，識(shí)別當(dāng)前資產(chǎn)的已知漏洞，并提示用戶進(jìn)行固件升級(jí)或硬件更換。

3 工控安全審計(jì)策略

如2.3 章節(jié)所述，工控安全審計(jì)系統(tǒng)通過(guò)高性能的策略匹配引擎，會(huì)對(duì)用戶配置的安全審計(jì)策略進(jìn)行匹配，并生成相應(yīng)的工控網(wǎng)絡(luò)威脅告警和工控操作威脅告警。安全審計(jì)策略通過(guò)黑/白名單的方式配置，具體實(shí)現(xiàn)上，分為工控資產(chǎn)白名單、工控通信白名單、工控操作功能碼黑/白名單和工控閾值黑/白名單。

3.1 工控安全審計(jì)策略配置

工控安全審計(jì)策略的配置，即黑/白名單的配置，根據(jù)工控網(wǎng)絡(luò)的特點(diǎn)，可以分為工控網(wǎng)絡(luò)策略和工控操作策略。在工控網(wǎng)絡(luò)策略的配置上，工控安全審計(jì)系統(tǒng)設(shè)計(jì)了白名單的方式。具體的，設(shè)計(jì)了工控資產(chǎn)白名單，即工控資產(chǎn)的IP 或者mac 地址白名單，以及工控通信關(guān)系白名單，即工控通信關(guān)系的白名單。

在工控操作策略上，工控安全審計(jì)系統(tǒng)設(shè)計(jì)了黑/白名單的方式。具體的，設(shè)計(jì)了工控操作的黑/白名單，即工控操作功能碼的黑/白名單以及工控操作閾值的黑/白名單，即工控的讀寫操作的閾值范圍。

3.2 工控安全審計(jì)策略匹配

在工控安全審計(jì)策略配置后，工控安全審計(jì)系統(tǒng)的高性能策略匹配引擎會(huì)對(duì)報(bào)文進(jìn)行檢測(cè)和匹配。根據(jù)用戶配置的黑/白名單，產(chǎn)生相應(yīng)的事件告警來(lái)提示用戶。

工控安全審計(jì)策略的黑/白名單和相應(yīng)的告警事件如圖3 所示。

圖3 黑/白名單和告警事件Fig.3 Black/white list and alarm events

3.3 工控安全審計(jì)策略自學(xué)習(xí)

對(duì)于用戶來(lái)說(shuō)，工控安全審計(jì)策略的配置是繁瑣且耗時(shí)的，尤其是對(duì)于網(wǎng)絡(luò)中資產(chǎn)梳理不清晰的用戶，要配置完整的黑/白名單策略具有一定的困難性。

為了解決策略配置繁瑣的問(wèn)題，提升用戶的使用體驗(yàn)，安全審計(jì)系統(tǒng)設(shè)計(jì)了自學(xué)習(xí)功能，通過(guò)學(xué)習(xí)可信流量，一段時(shí)間后會(huì)自動(dòng)學(xué)習(xí)安全審計(jì)策略，用戶只需要確認(rèn)策略的有效性并做簡(jiǎn)單的修改，就可以完成適合工控網(wǎng)絡(luò)的審計(jì)策略集。

4 工控安全審計(jì)系統(tǒng)應(yīng)用

工控安全審計(jì)系統(tǒng)一般通過(guò)旁路的方式接入控制網(wǎng)絡(luò)交換機(jī)側(cè)，實(shí)時(shí)采集并分析控制網(wǎng)絡(luò)的流量。本章節(jié)以某核電站的部署為例，介紹審計(jì)系統(tǒng)的一種應(yīng)用場(chǎng)景。

4.1 工控安全審計(jì)系統(tǒng)部署

在某核電站的TXP 系統(tǒng)部署中，安全審計(jì)系統(tǒng)工會(huì)通過(guò)旁路的方式，接入過(guò)程控制層與操作監(jiān)視層的核心交換機(jī)來(lái)進(jìn)行實(shí)時(shí)的數(shù)據(jù)采集，部署的拓?fù)淙鐖D4 所示。

圖4 TXP系統(tǒng)中部署工控安全審計(jì)系統(tǒng)Fig.4 Deploying an industrial control security audit system in the TXP system

4.2 工控安全審計(jì)系統(tǒng)策略配置

在工控安全審計(jì)系統(tǒng)部署后，首先開啟自學(xué)習(xí)的模式，學(xué)習(xí)可信流量48h，并自動(dòng)生成工控資產(chǎn)白名單和通信關(guān)系白名單。隨后用戶確認(rèn)自學(xué)習(xí)的白名單，設(shè)置工控操作黑名單，并導(dǎo)入點(diǎn)表信息。

一組工控操作白名單策略的截圖如圖5 所示。

圖5 一組工控操作白名單策略Fig.5 A set of whitelist strategies for industrial control operations

后續(xù)工控安全審計(jì)系統(tǒng)即可切換至審計(jì)模式進(jìn)行審計(jì)，用戶實(shí)時(shí)關(guān)注dashboard 的告警信息和資產(chǎn)評(píng)分，并對(duì)潛在風(fēng)險(xiǎn)或失陷主機(jī)進(jìn)行安全處理。

5 結(jié)語(yǔ)

本文對(duì)核電站的控制系統(tǒng)進(jìn)行了分析，闡述了對(duì)工控安全網(wǎng)絡(luò)加固的重要性。工控安全審計(jì)系統(tǒng)是對(duì)工控安全網(wǎng)絡(luò)加固的一種重要手段，文中詳細(xì)介紹了一種工控安全審計(jì)系統(tǒng)的實(shí)現(xiàn)方法和應(yīng)用，通過(guò)部署工控安全審計(jì)系統(tǒng)，可以實(shí)現(xiàn)核電控制網(wǎng)絡(luò)的網(wǎng)絡(luò)事件審計(jì)及網(wǎng)絡(luò)安全性、合規(guī)性的監(jiān)測(cè)。