上海核工程研究設計院有限公司 鄭威 常簫 毛磊 馬駿 張淑慧

為了驗證網絡安全防護措施的有效性,設計和實現儀控系統(tǒng)網絡安全驗證工具是非常必要的。本文從儀控系統(tǒng)網絡安全設計驗證工具的需求出發(fā),對搭建儀控系統(tǒng)網絡安全仿真實驗平臺的技術進行了分析,提出了一種核電儀控系統(tǒng)網絡安全設計驗證方法。

0 引言

隨著數字化技術在核電行業(yè)的應用,核電廠網絡安全問題日益突出。自2010年Stuxnet蠕蟲病毒攻擊伊朗核設施以后,國內外各界更加重視核電廠網絡安全問題。網絡安全攻擊會影響到軟件和數據的可用性、完整性、機密性,對系統(tǒng)、網絡和相關設備的運行產生不利影響,對核電廠的核安全構成威脅。

傳統(tǒng)IT系統(tǒng)的安全技術研究已經日益成熟,但是信息系統(tǒng)與核電儀控系統(tǒng)存在本質上的差異,不能將IT安全技術直接運用在儀控系統(tǒng)上,儀控系統(tǒng)的網絡安全需要結合自身特點來設計安全保護措施。為了驗證網絡安全防護措施設計的有效性,設計一套用于核電儀控系統(tǒng)網絡安全驗證平臺是非常必要和需要的。

1 核電儀控系統(tǒng)網絡安全設計驗證方法

1.1 設計驗證需求

網絡安全設計驗證用于驗證網絡安全的設計,從頂層安全設計、風險分析到防護手段設計的驗證。設計驗證的實驗環(huán)境應涵蓋整個典型的儀控控制系統(tǒng)網絡架構,包括過程監(jiān)控層、現場控制層和現場設備層。過程監(jiān)控層、現場控制層采用真實的網絡和控制設備,現場設備層使用虛擬的仿真模型,如圖1。

圖1 驗證工具的環(huán)境需求Fig.1 Environmental requirements for verification tools

構建一個真實網絡環(huán)境的缺點是周期長、難拓展、成本高、難調整;而全部通過仿真方法,仿真網絡的差異性會對準確性產生影響。因此,采用虛實結合的半實物仿真方式,具有更高的可行性和可信度[1-2]。

本文提出采用搭建半實物仿真平臺進行設計驗證。設計驗證的過程需求和業(yè)務需求來源于三個方面:風險分析建模的驗證、網絡安全防護手段有效性驗證、網絡安全與核安全協(xié)同設計研究驗證:

(1)風險分析建模的驗證。通過開展攻擊模擬實驗驗證威脅假設、潛在攻擊路徑分析和攻擊后果分析。因此,網絡安全實驗平臺需要能夠較為真實地體現潛在的工藝業(yè)務場景,實現多種攻擊模擬,如中間人攻擊模擬、拒絕服務攻擊模擬、惡意內部人員攻擊模擬等。通過安全分析工具例如FMEA、HAZOP、FTA、系統(tǒng)理論過程分析(SPTA)等專用工具方法進行安全危害評估,系統(tǒng)性地識別和列出那些行為和異常行為結合起來導致非預期結果的各種方式。需要分析信息安全攻擊事件后系統(tǒng)的行為,并識別系統(tǒng)中部件故障的發(fā)生機理,用于理解部件失效模式。

(2)網絡安全防護手段正確性和有效性研究。通過模擬攻擊實驗驗證網絡安全防護手段實施的正確性和有效性,例如安全區(qū)域的劃分與隔離、訪問控制、身份鑒別、網絡邊界防護、安全策略配置、主機加固措施、實時的網絡監(jiān)測、系統(tǒng)預警和應急響應等[3-4]。

(3)網絡安全與核安全協(xié)同設計驗證研究。當存在需要兼顧核安全的同時,網絡安全的設計需要以核安全為主,需要進一步驗證核安全功能是否受到影響,在不宜設置網絡安全措施之處,是否有其他的執(zhí)行安全功能或者縱深防御功能能有效阻塞網絡攻擊的蔓延,降低安全風險。

綜上所述,設計驗證平臺需要滿足真實性、可重復性、準確性、安全性的要求,盡可能的真實重現控制系統(tǒng)結構、工藝系統(tǒng)功能及流程,提供準確的記錄、分析的能力,并且不能對系統(tǒng)硬件造成不可逆的破壞。在滿足上述要求的情況下,開展風險分析、防護手段有效性驗證和網絡安全與核安全協(xié)同設計驗證研究。

1.2 設計驗證平臺功能需求

本文提出儀控系統(tǒng)網絡安全半實物仿真平臺的設計方案,功能需求如下:

(1)工藝系統(tǒng)建模功能需求。系統(tǒng)需具備工藝系統(tǒng)建模能力,通過組態(tài),提供工藝流程的仿真和控制能力,以模擬遭受攻擊后的工藝場景。

(2)安全防護手段驗證需求。設計驗證工具需要對網絡安全防護手段的有效性進行評估和驗證。網絡安全防護手段包括訪問控制、審計、通信保護、身份鑒定和認證、系統(tǒng)加固等內容,依據等級保護標準的要求,形成安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心支持下的防護體系。

防護手段的驗證包括兩個層次:一是合規(guī)性檢查;二是有效性檢查。合規(guī)性檢查主要依賴標準檢查工具進行標準符合性評估,不屬于設計驗證的范疇。

有效性檢查需要基于核安全的安全分析進行驗證,以驗證網絡安全的問題不會影響核安全,風險分析中的風險緩解措施的實施是否真正緩解了風險。或者說從另一個角度來解釋,造成最嚴重的功能喪失或者嚴重后果的安全功能有沒有做到真正的防護。

(3)核安全和網絡安全協(xié)同設計驗證需求。一種新的安全防護有效性設計策略是,網絡安全和核安全協(xié)作實現核電廠安全。因此這類驗證需要綜合考慮核安全設計以及網絡安全設計。核安全中相關功能已經能一定程度上應對網絡安全攻擊了,其他網絡安全措施的實現是否影響了原核安全設計的準則,是否對原核安全功能的產生影響需要進一步試驗驗證。此類驗證是核電儀控系統(tǒng)安全防護的基本原則。

(4)攻擊仿真需求。攻擊仿真需要實現針對儀控系統(tǒng)典型的模擬網絡安全攻擊,以模擬各類假設威脅。

首先,進行基本的攻擊,常見的攻擊有針對計算機網絡帶寬的攻擊和連通性能攻擊、獲取操作權限控制計算機、獲取數據庫權限等奪權的攻擊方式。還需驗證中間人攻擊等高級攻擊方式,包括對底層設備控制指令的篡改和設備狀態(tài)向人機界面反饋參數的篡改。

(5)數據采集和分析需求。在試驗的過程中需要持續(xù)地評估儀控系統(tǒng)的性能、評估安全防護措施的運行情況,因此需要增設安全探針,包括流量和主機探針,針對儀控系統(tǒng)和安全設備的運行狀態(tài)進行綜合監(jiān)視和評價。并可視化展現攻擊仿真的攻擊鏈路情況,并驗證安全態(tài)勢分析和網絡預警分析模型算法。

1.3 設計驗證平臺的架構

本文構建一個設計驗證平臺,包含上位機、交換機、控制器等真實網絡和控制設備,以及底層工藝仿真模型,和電子沙盤展示系統(tǒng)。在這個系統(tǒng)中部署核電廠工藝,設計攻擊事件,并利用惡意代碼工具進行攻擊的模擬和展示,如圖2。

圖2 設計驗證平臺架構Fig.2 Design verification platform architecture

設計驗證平臺應實現柔性化可編程可組態(tài)。通過對仿真系統(tǒng)的編程,輸入點可進行數據模擬,可以調節(jié)不同輸入點組合、運算后,實現多個輸出,并可實現對人機顯示界面的組態(tài),從而實現不同的工藝場景。設計驗證工具需實現與工藝仿真模型的接口通信,通過輸入輸出數據,實現與工藝仿真模型的聯動。

設計驗證平臺具有以下業(yè)務功能:

(1)工藝系統(tǒng)實現:實現核電廠工藝系統(tǒng)場景,并實時展示網絡安全攻擊對電廠工藝的真實影響,通過工藝仿真模型的仿真得以實現。

(2)電子沙盤展示:完成工藝正常工作和異常情況的展示效果。人機界面的設計包括信息顯示,以及報警、數據存儲等功能。電子沙盤的組成包括大屏幕、操作站、控制盤臺等。

(3)攻擊工具:實現典型的網絡安全攻擊方式,開展設計驗證。

(4)安全防護設備部署和策略設計:可以進行工控信息安全產品的部署和防護策略管理。

(5)風險評估系統(tǒng):實現資產分析、攻擊鏈路分析,防護手段合規(guī)性檢查,網絡安全風險計算。

(6)安全預警分析:實現當前系統(tǒng)的態(tài)勢分析,預警潛在的安全攻擊事件。

2 總結

本文從儀控系統(tǒng)網絡安全設計驗證平臺的需求出發(fā),對搭建儀控系統(tǒng)網絡安全仿真實驗平臺的技術方案進行了分析,提出了儀控系統(tǒng)網絡安全半實物仿真實驗平臺的需求和架構。

引用

[1] 蘇暢,熊申鐸,羅安琴,等.電廠工控信息安全半實物仿真模型研究[J].信息技術與網絡安全,2018(10):5-9.

[2] 周靜,瞿婷婷,衛(wèi)佳駿,等.工業(yè)控制系統(tǒng)信息安全測試床的實現[J].工業(yè)控制計算機,2015(8):45-46.

[3] Regulatory Guide 5.71(U.S. NRC 5.71),Cyber Security Programs for Nuclear Facilities,U.S.Nuclear Regulatory Commission(NRC)[S].2010.

[4] GB/T22239信息安全技術-信息系統(tǒng)安全等級保護基本要求[S].2008.