核電工控系統(tǒng)信息安全防護(hù)框架設(shè)計(jì)

馬陟 趙爽

摘要：結(jié)合國(guó)際標(biāo)準(zhǔn)IEC62443的思路提出一整套針對(duì)于核電工控系統(tǒng)信息安全防護(hù)的框架設(shè)計(jì)方案。論文首先介紹了核電工控系統(tǒng)信息安全現(xiàn)狀及其技術(shù)體系和管理體系，然后闡述了安全防護(hù)框架的設(shè)計(jì)思路，最后總結(jié)出該框架設(shè)計(jì)的特點(diǎn)及優(yōu)越性。

關(guān)鍵詞：核電；工控系統(tǒng)；信息安全；框架設(shè)計(jì)

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）03-0039-04

1 概述

中國(guó)作為最大的發(fā)展中國(guó)家，始終在確保安全的前提下，致力于開(kāi)發(fā)利用核能，彌補(bǔ)能源需求缺口，應(yīng)對(duì)氣候變化挑戰(zhàn)。中國(guó)是核能發(fā)展最快的國(guó)家，同時(shí)保持著良好核安全記錄。近年來(lái)，中國(guó)在核安全領(lǐng)域進(jìn)展迅速。

2016年4月1日，在美國(guó)首都華盛頓舉行的第四屆核安全峰會(huì)上，習(xí)近平主席發(fā)表題為《加強(qiáng)國(guó)際核安全體系，推進(jìn)全球核安全治理》的重要講話，總結(jié)和展望了中國(guó)的核安全工作并倡導(dǎo)國(guó)際社會(huì)做出更多努力。

核電工控系統(tǒng)信息安全是核安全的重要組成部分，專(zhuān)門(mén)針對(duì)核電工控系統(tǒng)的攻擊近年來(lái)屢見(jiàn)不鮮。

最著名的要數(shù)2010年爆發(fā)的震網(wǎng)病毒事件，其產(chǎn)生的巨大破壞性引起了世界各國(guó)的高度重視。而我國(guó)核電工控系統(tǒng)在設(shè)計(jì)之初較少考慮信息安全，市場(chǎng)上普遍只是采用工業(yè)防火墻等產(chǎn)品進(jìn)行補(bǔ)救，而如何將信息安全技術(shù)融入到產(chǎn)品設(shè)計(jì)中，才能使系統(tǒng)達(dá)到整體上更高的性能和安全等級(jí)。

在核電生產(chǎn)網(wǎng)絡(luò)中，核電儀控系統(tǒng)采用通用的工業(yè)標(biāo)準(zhǔn)協(xié)議、網(wǎng)絡(luò)設(shè)備、Windows/Linux工作站及服務(wù)器，大部分是基于傳統(tǒng)信息化體系的平臺(tái)。因此核電工控系統(tǒng)除面臨工控網(wǎng)絡(luò)特有的安全威脅，還面臨Windows /Linux平臺(tái)漏洞、外部網(wǎng)絡(luò)攻擊、安全威脅、企業(yè)內(nèi)部的管理不到位等威脅，使得核電工控系統(tǒng)暴露在危險(xiǎn)且復(fù)雜多變的環(huán)境中。隨著攻擊技術(shù)與手段日益先進(jìn)、復(fù)雜、成熟，工控系統(tǒng)所面臨的安全威脅也將日益嚴(yán)峻。

2 核電工控系統(tǒng)信息安全技術(shù)體系

參照IEC62443國(guó)際標(biāo)準(zhǔn)給出工控系統(tǒng)信息安全技術(shù)體系，如圖1所示。

如圖1所示，工控系統(tǒng)信息安全技術(shù)體系分為六大類(lèi)技術(shù)，每類(lèi)技術(shù)又可以劃分為多項(xiàng)子技術(shù)，在工控系統(tǒng)中，應(yīng)用這些技術(shù)可以全面覆蓋工控系統(tǒng)信息安全需求，保障工控系統(tǒng)的信息安全，六種技術(shù)的特點(diǎn)如下所示：

? 接入控制：為指引和控制設(shè)備間或系統(tǒng)間的信息流的過(guò)濾和阻斷技術(shù)，包括防火墻技術(shù)和虛擬網(wǎng)絡(luò)技術(shù)。

? 鑒權(quán)、認(rèn)證：驗(yàn)證試圖接入到工控系統(tǒng)的人或設(shè)備的合法性，確保只有認(rèn)證通過(guò)的人有權(quán)進(jìn)行操作。

? 密碼技術(shù)：實(shí)現(xiàn)數(shù)據(jù)加密、解密的過(guò)程，為確保信息在認(rèn)證的路徑下傳輸或確保數(shù)據(jù)的正確和完整性。

? 監(jiān)控、審計(jì)、探測(cè)技術(shù)：提供分析安全脆弱性的能力、探測(cè)和分析可能的危險(xiǎn)行為的能力。包括病毒檢測(cè)、入侵檢測(cè)、網(wǎng)絡(luò)和主機(jī)的審計(jì)、漏洞掃描等。

? 軟件安全技術(shù)：決定工控系統(tǒng)安全的關(guān)鍵因素，軟件技術(shù)可以實(shí)現(xiàn)一定程度上的接入控制，但也由于總是存在軟件錯(cuò)誤或在設(shè)計(jì)階段就缺乏信息安全的考慮而成為漏洞的主要來(lái)源。

? 物理安全技術(shù)：限制對(duì)工控系統(tǒng)的物理接入以及有意、無(wú)意的物理破壞，是保護(hù)資源的人員、過(guò)程、措施和設(shè)備的組合。

為了便于讀者對(duì)核電工控信息安全技術(shù)體系各方面內(nèi)容有更直觀的了解，統(tǒng)計(jì)了各類(lèi)技術(shù)對(duì)應(yīng)的技術(shù)產(chǎn)品和手段列表如下所示，以供參考。

3 核電工控系統(tǒng)信息安全管理體系

管理體系包括以下十一個(gè)方面：

? 安全方針：信息安全總體目標(biāo)、范圍以及信息安全重要性定義，同時(shí)也是管理層意圖的生命，安全方針的策略、原則、標(biāo)準(zhǔn)和復(fù)合型要求，應(yīng)包括符合法律法規(guī)和合同要求，安全教育、培訓(xùn)和意識(shí)要求，業(yè)務(wù)連續(xù)性管理以及違反信息安全方針的后果。

? 信息安全組織機(jī)構(gòu)：包括內(nèi)部組織、外部組織以及合作團(tuán)隊(duì)的管理。

? 資產(chǎn)管理：考慮資產(chǎn)負(fù)責(zé)和信息分類(lèi)。

? 人力資源管理：考慮任用前、任用中和任用的終止或變更。

? 物理和環(huán)境安全：考慮安全區(qū)域和設(shè)備安全。

? 通信和操作管理：考慮操作規(guī)程和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意和移動(dòng)代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息交換、電子商務(wù)服務(wù)、監(jiān)視等。

? 訪問(wèn)控制：考慮訪問(wèn)控制業(yè)務(wù)要求、用戶(hù)訪問(wèn)管理、用戶(hù)職責(zé)、網(wǎng)絡(luò)訪問(wèn)控制、操作系統(tǒng)訪問(wèn)控制、應(yīng)用和信息訪問(wèn)控制、移動(dòng)計(jì)算和遠(yuǎn)程工作等。

? 信息系統(tǒng)獲取、開(kāi)發(fā)、維護(hù)：考慮控制系統(tǒng)安全要求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件安全、開(kāi)發(fā)和支持過(guò)程中的安全、技術(shù)脆弱性管理等。

? 信息安全事件管理：考慮報(bào)告信息安全事態(tài)和弱點(diǎn)、信息安全事件和改進(jìn)管理等。

? 業(yè)務(wù)連續(xù)性管理：考慮業(yè)務(wù)連續(xù)性管理信息安全方面。

? 符合性：考慮符合法律要求，符合安全策略和標(biāo)準(zhǔn)及技術(shù)符合性、控制系統(tǒng)審計(jì)符合性等。

如下圖所示，工控信息安全管理體系使用傳統(tǒng)PDCA管理模型，實(shí)現(xiàn)全周期信息安全管理，保障工控系統(tǒng)的可用性、完整性、保密性。

工控系統(tǒng)信息安全管理體系文件分為四級(jí)：方針策略、程序文件、操作手冊(cè)、記錄文件。

一級(jí)文件：方針策略文件。全公司范圍內(nèi)的工控系統(tǒng)信息安全方針，需要從公司整體角度考慮來(lái)制定，應(yīng)該能夠反映最高管理者對(duì)工控系統(tǒng)信息安全工作下達(dá)的旨意，應(yīng)該能為所有下級(jí)文件的編寫(xiě)指引方向。包含工控系統(tǒng)信息安全方針的工控系統(tǒng)信息安全管理手冊(cè)，由工控系統(tǒng)信息安全委員會(huì)負(fù)責(zé)制定、修改和審批，是對(duì)工控系統(tǒng)信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)工控系統(tǒng)信息安全管理體系是按照既定目標(biāo)要求建立并運(yùn)行的。工控系統(tǒng)信息安全手冊(cè)應(yīng)該是每個(gè)員工都持有的，是員工在工控系統(tǒng)信息安全方面的行動(dòng)綱領(lǐng)。

三級(jí)文件：具體的作業(yè)指導(dǎo)書(shū)。這些文件牽涉到與具體部門(mén)特定工作或系統(tǒng)相關(guān)的作業(yè)規(guī)范（操作步驟和方法），可以由各個(gè)部門(mén)自行制定，是對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化描述。

四級(jí)文件：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄和表格，應(yīng)該成為工控系統(tǒng)信息安全管理體系得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門(mén)自行維護(hù)。

為了便于讀者對(duì)核電信息安全管理體系各方面內(nèi)容有更直觀的了解，統(tǒng)計(jì)了信息安全管理文件如下所示，以供參考。

4 核電工控系統(tǒng)信息安全框架設(shè)計(jì)

4.1 分區(qū)域結(jié)構(gòu)

為了讓安全分析和設(shè)計(jì)更加具有層次，需要對(duì)核電廠網(wǎng)絡(luò)進(jìn)行詳盡的分區(qū)分域，具體要參照廠家提供的網(wǎng)絡(luò)拓?fù)鋱D。原則是參考圖4分區(qū)域模型，依次按照企業(yè)、廠區(qū)、機(jī)組、系統(tǒng)、系統(tǒng)再劃分（現(xiàn)場(chǎng)監(jiān)控層、現(xiàn)場(chǎng)控制層、現(xiàn)場(chǎng)設(shè)備層）共5個(gè)層次，往往在現(xiàn)場(chǎng)控制層要把工程師站再單獨(dú)劃分區(qū)域進(jìn)行保護(hù)。分區(qū)域結(jié)構(gòu)在同一級(jí)區(qū)域內(nèi)采取基本相同的安全策略，子區(qū)域繼承母區(qū)域的防護(hù)需求。

區(qū)域識(shí)別后，需要明確各區(qū)域的設(shè)備類(lèi)型、業(yè)務(wù)模型以及制定各區(qū)域的安全策略。

區(qū)域劃分后，需要對(duì)區(qū)域間的信息流進(jìn)行分析，根據(jù)需要?jiǎng)澐止艿阑蛲ǖ?，得到協(xié)議的詳細(xì)文檔或內(nèi)容、通訊機(jī)制，理清各管道所承擔(dān)業(yè)務(wù)，采取綜合考慮功能、性能與安全的防護(hù)策略。

區(qū)域的劃分，有利于理清安全需求，展開(kāi)詳細(xì)的安全設(shè)計(jì)。

企業(yè)層和廠區(qū)層，采用出入口控制和視頻監(jiān)控等多種物理安全手段，企業(yè)總部和各廠區(qū)間采用VPN方式進(jìn)行通信，廠區(qū)內(nèi)用VLAN對(duì)不同職能部門(mén)進(jìn)行業(yè)務(wù)劃分；

核電機(jī)組間多采用物理隔離的方式，當(dāng)有多個(gè)機(jī)組共用一套工控系統(tǒng)的情況也應(yīng)達(dá)到邏輯隔離，核電機(jī)組的網(wǎng)絡(luò)與廠區(qū)信息網(wǎng)絡(luò)一般不互聯(lián)，如果互聯(lián)考慮部署安全隔離交換設(shè)備；

核電各系統(tǒng)之間存在強(qiáng)耦合關(guān)系，多相互作為輸入和輸出，考慮在系統(tǒng)間通道上使用網(wǎng)關(guān)等設(shè)備限定數(shù)據(jù)流向和傳輸格式；

系統(tǒng)各層之間，考慮采用工業(yè)防火墻等邊界防護(hù)手段；

特殊區(qū)域如工程師站由于具有組態(tài)和配置等關(guān)鍵功能，除了對(duì)其關(guān)鍵數(shù)據(jù)和通信設(shè)有常規(guī)保護(hù)外，還經(jīng)常設(shè)有特殊安全保護(hù)機(jī)制，例如組態(tài)生成文件的安全性檢查就不是常規(guī)主機(jī)安全產(chǎn)品可以做到的。

需要注意和區(qū)分的是，按照核設(shè)施實(shí)物保護(hù)標(biāo)準(zhǔn)劃分的等級(jí)，核電廠從物理安全的角度可劃分為5個(gè)區(qū)域，分別是要害區(qū)、保護(hù)區(qū)、控制區(qū)、員工區(qū)、公共區(qū)。

上述企業(yè)層對(duì)應(yīng)實(shí)物保護(hù)的公共區(qū)和員工區(qū)；

廠區(qū)層對(duì)應(yīng)實(shí)物保護(hù)的控制區(qū)和保護(hù)區(qū)；

100MW以上核電機(jī)組及其相關(guān)工控系統(tǒng)集中在要害區(qū)。依據(jù)核電廠實(shí)物保護(hù)標(biāo)準(zhǔn)，包括核電廠的主控室、核反應(yīng)堆及輔助廠房、核燃料庫(kù)房、安全級(jí)發(fā)電機(jī)房、安全級(jí)冷卻劑循環(huán)泵、高放廢液處理設(shè)備、乏燃料元件處理主工藝廠房、保衛(wèi)控制中心等。

所以，本文所述工控系統(tǒng)，主要集中在核電廠要害區(qū)，本文所述分區(qū)域與實(shí)物保護(hù)分區(qū)并不矛盾，請(qǐng)讀者注意與基于核電廠實(shí)物保護(hù)分區(qū)結(jié)構(gòu)進(jìn)行縱深防御的模型進(jìn)行區(qū)分。

4.2 防護(hù)架構(gòu)

核電工業(yè)控制系統(tǒng)體系龐大，總體分層部署圖簡(jiǎn)化了的網(wǎng)絡(luò)拓?fù)湟苑奖阕x者理解本方案針對(duì)核電工控信息安全的總體防護(hù)設(shè)計(jì)。圖4是總體防護(hù)架構(gòu)的邏輯劃分與抽象。

基于核電工控系統(tǒng)架構(gòu)圖，標(biāo)出了核電工控系統(tǒng)中各關(guān)鍵位置實(shí)施的信息安全技術(shù)手段，它們的作用如下：

接入控制，考慮核電系統(tǒng)與系統(tǒng)之間，系統(tǒng)內(nèi)層與層之間的邊界防護(hù)；

鑒權(quán)認(rèn)證，重點(diǎn)解決用戶(hù)操作或監(jiān)控現(xiàn)場(chǎng)設(shè)備時(shí)需要進(jìn)行的身份認(rèn)證；

密碼技術(shù)，提供用戶(hù)以及設(shè)備的身份認(rèn)證、下行消息認(rèn)證、數(shù)據(jù)存儲(chǔ)加密以及安全事件追溯能力；

監(jiān)控、審計(jì)、探測(cè)，監(jiān)控整個(gè)工控系統(tǒng)的網(wǎng)絡(luò)流量以及所有工控設(shè)備的內(nèi)存占用率等信息，審計(jì)用戶(hù)行為包括登錄、操作、使用規(guī)程等，探測(cè)系統(tǒng)的漏洞和工控系統(tǒng)內(nèi)部以及從外部可能入侵的行為；

軟件安全，重點(diǎn)防范軟件可能存在的漏洞和后門(mén)程序；

物理安全，一方面監(jiān)視核電工控系統(tǒng)設(shè)備和環(huán)境，快速反應(yīng)安保事件；一方面給重要設(shè)備標(biāo)識(shí)和加鎖，避免非法媒介和設(shè)備的接入和出現(xiàn)人員惡意或無(wú)意的錯(cuò)誤操作。

4.3 典型應(yīng)用部署

在接入控制方面，在非安全級(jí)儀控系統(tǒng)二層與三層之間、在非安全級(jí)與專(zhuān)用儀控系統(tǒng)之間、非安全級(jí)與安全級(jí)儀控系統(tǒng)之間部署了安全隔離網(wǎng)關(guān)，邏輯隔離不同主機(jī)系統(tǒng)，實(shí)現(xiàn)協(xié)議擺渡，控制數(shù)據(jù)的流向，是系統(tǒng)間的邊界防護(hù)設(shè)備；在核島與常規(guī)島實(shí)時(shí)服務(wù)器連接二層信息網(wǎng)絡(luò)的接口處部署工業(yè)防火墻，重點(diǎn)過(guò)濾監(jiān)控層經(jīng)由實(shí)時(shí)數(shù)據(jù)庫(kù)對(duì)于現(xiàn)場(chǎng)設(shè)備的監(jiān)控指令；在一層控制系統(tǒng)網(wǎng)絡(luò)和二層信息網(wǎng)絡(luò)主干道上，部署安全工業(yè)以太網(wǎng)交換機(jī)，高效率完成內(nèi)部傳播的病毒過(guò)濾以及分布式拒絕服務(wù)攻擊；在工控系統(tǒng)網(wǎng)絡(luò)與辦公系統(tǒng)網(wǎng)絡(luò)的連接處部署安全路由器，提供高效的基本的包過(guò)濾服務(wù)和拒絕服務(wù)攻擊的防護(hù)。

在鑒權(quán)認(rèn)證方面，在二層信息網(wǎng)絡(luò)上部署權(quán)限管理服務(wù)器負(fù)責(zé)管理核電人員、角色、權(quán)限的對(duì)應(yīng)關(guān)系；在操作系統(tǒng)配置上以及應(yīng)用軟件的登錄模塊上制定登錄機(jī)制；關(guān)鍵主機(jī)、服務(wù)器與工控設(shè)備應(yīng)分配證書(shū)，以提供身份認(rèn)證和消息認(rèn)證；有無(wú)線連接的設(shè)備時(shí)，支持802.1X協(xié)議認(rèn)證以檢驗(yàn)接入裝置的合法性。

在密碼設(shè)計(jì)方面，在一二層網(wǎng)絡(luò)上部署密鑰管理系統(tǒng)，負(fù)責(zé)對(duì)工控系統(tǒng)密鑰產(chǎn)生、密鑰分發(fā)、密鑰存儲(chǔ)、密鑰更新、密鑰銷(xiāo)毀、密鑰使用等過(guò)程的管理。

在監(jiān)控、審計(jì)、探測(cè)方面，在二層信息網(wǎng)部署工業(yè)集中管理平臺(tái)，對(duì)安全設(shè)備和安全行為進(jìn)行集中監(jiān)控和審計(jì)；在主機(jī)和服務(wù)器上部署防病毒軟件，探測(cè)和監(jiān)控主機(jī)安全狀態(tài)；在工控網(wǎng)入口處部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，對(duì)流入工控網(wǎng)的流量進(jìn)行入侵行為的探測(cè)以及與安全隔離網(wǎng)關(guān)及防火墻聯(lián)動(dòng)阻止入侵行為，在每臺(tái)終端和服務(wù)器部署并合理配置主機(jī)入侵檢測(cè)系統(tǒng)，有效發(fā)現(xiàn)和報(bào)告網(wǎng)絡(luò)攻擊；漏洞掃描系統(tǒng)，掃描和發(fā)現(xiàn)工控系統(tǒng)軟件和協(xié)議的漏洞；自動(dòng)化軟件管理工具，用于軟件的生命周期管理、版本管理、補(bǔ)丁管理；在所有網(wǎng)絡(luò)主機(jī)上部署配置管理工具，固化操作系統(tǒng)安全以及設(shè)置審計(jì)策略等；在網(wǎng)絡(luò)中的所有工業(yè)交換機(jī)的鏡像處部署工業(yè)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)工業(yè)控制系統(tǒng)內(nèi)部所有網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)和報(bào)警；在工控機(jī)房和工控現(xiàn)場(chǎng)部署無(wú)線檢測(cè)裝置探測(cè)非法網(wǎng)絡(luò)和連接的存在。

在軟件安全防護(hù)方面，保證核電工控系統(tǒng)中使用的主機(jī)和服務(wù)器以及外接設(shè)備，使用充分考慮了信息安全的安全設(shè)備和安全操作系統(tǒng)。

在物理安全防護(hù)方面，在工業(yè)控制系統(tǒng)內(nèi)部部署統(tǒng)一視頻監(jiān)控系統(tǒng)和各個(gè)室的出入口控制裝置，限制了對(duì)工控系統(tǒng)的物理接入以及有意、無(wú)意的物理破壞，為迅速響應(yīng)核安保事件提供條件并為違反信息安全規(guī)定的行為提供證據(jù)。

5 框架設(shè)計(jì)特點(diǎn)和優(yōu)越性

本方案不局限于傳統(tǒng)信息系統(tǒng)對(duì)信息安全的理解，而是站在工控用戶(hù)角度綜合考慮了核電行業(yè)安全問(wèn)題的合理解決途徑。鑒于物理安全、軟件漏洞、防火墻以及入侵檢測(cè)系統(tǒng)等都簡(jiǎn)單地按照傳統(tǒng)等級(jí)保護(hù)思路進(jìn)行劃分容易產(chǎn)生混淆，本文借鑒IEC62443標(biāo)準(zhǔn)，整理核電工控系統(tǒng)的信息安全防護(hù)框架。

本框架設(shè)計(jì)與基于等級(jí)保護(hù)設(shè)計(jì)的思路雖有映射關(guān)系，然而更從工控用戶(hù)的需求出發(fā)，不僅幫助工控客戶(hù)合理地分析、解決工控安全問(wèn)題，也對(duì)安全公司的產(chǎn)品策劃和落地解決方案的編寫(xiě)具有一定指導(dǎo)意義。

參考文獻(xiàn)：

[1] IEC62443-3-1 2009，《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》.

[2] 肖建榮.工業(yè)控制系統(tǒng)信息安全[M].電子工業(yè)出版社，2015.

[3] 核安全導(dǎo)則 501/2 核實(shí)施實(shí)物保護(hù).

[4] 4GB/T 30976.1-2014，工業(yè)控制系統(tǒng)信息安全 第1部分：評(píng)估規(guī)范.