核电站工控信息安全检测平台建设实践

核电站工控信息安全检测平台建设实践

  ,张琪

（中核核电运行管理有限公司）

摘要：随着近年来国内外工业控制网络安全事件数量的不断攀升，工控网络信息安全作为一项新的研究课题已经越来越被人们所重视。对于网络安全方面的技术人员来讲，工控协议的专用性、工控环境的特殊性和通讯技术的多样性在很大程度上限制了其对工控领域安全攻击与防护方法的探索，一些传统IT信息安全检测方法与防护经验无法直接转化到工控信息安全领域中来。因此，若要快速开展工控网络信息安全技术的研究工作，就迫切需要搭建基于核电站实际应用设备和生产工艺的安全检测实验平台。本文将以还原工控网络设备与工艺环境为原则，以实用、便捷、先进和高度仿真为目标，建立一套集检测、演示、验证、分析等功能于一体的工控网络安全研究环境。

关键字：核电；工控检测平台；信息安全

1. 引言

2016年 4 月，德国贡德雷明根核电站被发现感染计算机病毒，安全专家证实黑客正在试图利用核工业系统漏洞控制核工业设施。近几年已多次发生针对核电站的网络攻击，并已经造成了许多破坏性后果，比如2010年震网病毒、2014年日本文殊核电站攻以及韩国水电和核电站攻击等诸多安全事件历历在目。

两化深度融合开展以来，工业以太网成为核电领域数字仪控系统的主要信息传输介质，以二代核电的三代化和三代核电建设为主的核电技术国产化进程正在加速进行在智能、开放的架构和网络技术面前，DCS、SCADA、PLC、现场总线设备都随时面临着各类安全威胁。但是信息安全方面，我们正面临“抄不到，不敢抄”的尴尬境地。

我国核安全已纳入国家安全体系，在信息化条件下，核电厂信息安全是核安全的重要组成部分，但相关的法规、标准还亟待完善，在真实环境中进行信息安全技术研究又难免会影响生产。

综上所述，为了加强核电信息安全技术的研究和网络安全设备的研发，尽快制定有效的核电行业工控系统安全检测和防护标准，就必须建设一套核电工控系统信息安全检测平台，基于工控系统仿真环境，为科研人员提供有效的研究和验证基础。这是我国形成核电行业安全检测与防御标准化体系并最终实现核安全的前提基础和必要条件。

2. 工控信息安全现状及发展方向

2.1工控信息安全现状

通过对电力等工业企业工控系统、数据采集、生产网、管理网以及对日常生产管理的等现场调研，工控信息安全隐患主要有以下方面：

网络漏洞：

（1）开启了未使用端口,控制系统内的交换机未使用的端口没有关闭，可直接连入网络进行非法操作。

（2）数据包恶意仿冒,控制系统内的使用的协议自身不带有身份验证措施，未经身份验证，恶意人员可能多次攻击并修改或伪造数据。

（3）控制系统内未部署网络异常流量分析系统，无法检测未知的威胁，存在新型恶意代码传播、业务异常及敏感信息泄露等威胁。

（4）控制系统内未部署防恶意软件检测系统，若网络中的设备受到病毒、蠕虫等恶意软件威胁时将无法感知。

平台漏洞：

（1）安全补丁缺失，操作系统、数据库及应用软件存在漏洞，补丁没有及时安装。此类漏洞可被轻易利用获取操作系统权限进行恶意破坏。

（2）无安全漏洞检测系统，控制系统内未部署漏洞发现设备，无法对站内主机存在的安全漏洞进行定期监测。

管理漏洞：

（1）不恰当的系统安全策略。控制系统内的设备大多采用默认的账号、口令。控制系统内的主机操作系统、其他windows操作系统及数据库采用默认配置。导致弱口令、暴力猜解、远程命令执行等安全问题。

（2）缺少信息安全审计。无法通过信息安全审计揭示信息安全风险、改进信息安全现状，满足信息安全合规要求。

（3）不完整的配置变更管理。控制系统的配置变更管理不完全，在系统漏洞发现、故障处理、紧急预案执行等方面存在隐患。

2.2工控信息安全发展方向

面对严峻的工控信息安全形式与挑战，一套可检测、可分析、可验证、可展示的安全平台将成为解决工控信息安全问题的优秀解决方案。工控高仿真攻防对抗平台的建设完成，不仅可以完成现场环境、技术研究成果的展示，更主要的体现在对工业控制系统的攻防演示，发觉漏洞和工控网络的薄弱环节，进而采取必要的加固方案，进而保障工业生产的的安全性和稳定性。主要有以下几点：

（1）可实现对工业控制系统网络的研究以及对最新的网络攻防技术的跟踪。

（2）寻找可能的网络攻击切入点，模拟网络攻击，深入分析攻击途径、攻击方式以及攻击对系统的影响。

（3）针对网络攻击技术测试安全防护手段，向工业控制系统厂商提供产品改进建议。

（4）健全工控系统漏洞库，更新漏洞库。

（5）增加网络及设备威胁发现能力及手段，对入网的工业控制系统进行安全测评。

3. 工控信息安全检测平台建设目标

秦山核电工控信息安全检测平台建设目标主要分为工控系统仿真建设和工控信息安全防护与检测功能建设两个方面。根据整体建设规划，每个方面划分为基础功能建设阶段和高级功能建设阶段，各阶段实现的建设目标如下：

3.1工控系统仿真建设

（1）平台建设基础阶段：根据秦山核电实际情况选取了电站DCS关键系统，完成核电站DCS系统最小化规模的选型和搭建，并根据现场实际情况，模拟仿真了工艺流程，实现工控系统与展板控制层的模拟效果演示。通过基础阶段的建设，将完成DCS工艺流程模拟展示，完成底层网络搭建，通过展板配合灯光模拟的方式实现完整工艺流程进行展示；模拟仿真系统可自主调整系统参数、流程，实现模拟仿真系统高度还原生产环境。

（2）平台建设高级阶段：完成1:1最小化工控系统建设，主要包括TRICON安全系统网络搭建；二层网络节点、操作主机、数据库搭建；及其他本行业常见工控系统的仿真环境的搭建。通过高级阶段将建设完成完整、接近真实环境的仿真网络架构、展示平台，实现在基础阶段建设基础上，可展示新增完整的工艺流程；仿真系统将可接入检测设备，可根据检测目标调整系统架构；可在仿真系统上展示各种模拟攻击效果。

3.2工控信息安全防护与检测功能建设

（1）平台建设基础阶段：根据秦山核电实际情况完成电站网络拓扑示意展示墙搭建；完成工控防火墙、工控网络异常检测系统、网络审计系统、工控主机安全防护平台的建设；完成工控信息安全日志管理平台建设；完成计算机、工控系统漏洞扫描功能建设；完成工控网络安全攻防演示功能。通过基础阶段建设，将完成DCS系统底层安全检测网络架构建设，实现现有系统及工艺流程的安全防护、安全审计、安全告警等功能。

（2）平台建设高级阶段：完成工控网络攻击功能建设；完成工控网络防护系统建设；完成网络攻防对抗综合平台建设；完成核电行业工控网络安全解决方案验证功能建设；完成多品牌多种类工控系统漏洞、主机和网络设备漏洞检测、验证与预警功能建设、完成工控系统恶意代码（病毒）及APT攻击检测分析功能建设。实现仿真系统的攻防展示、接入系统漏洞检测功能。

4. 工控信息安全检测平台建设技术路线与方案

根据实验平台建设需求，结合核电站的实际情况和已有示设备设施，建设的主要技术路线与方案包括建设工控安全实验室、建设工控系统仿真平台、建设网络攻防与展平台与完善工控信息检测平台安全防护功能四个主要内容。

4.1建设工控安全实验室

工控安全实验室演示平台设计将实现以下五大功能：工控网络安全知识简介、模拟核电站现场生产工艺流程、还原核电控制系统网络拓扑、对各控制系统进行漏洞挖掘、复现工控网络攻击及防护手段。平台建设整体采用展示与研究并重的原则。

根据系统的五大功能进行系统的设计，整个项目的布置效果如图1所示。可以看到，对应系统的五大功能要求，整个项目建设分为五大区域：多媒体演示区、核电工艺流程模型区、工控系统机柜区、漏洞挖掘展示区、攻击平台演示区。

图1 工控安全实验室平面图

4.2建设工控系统仿真平台

基于电站最小化DCS系统，以IA Series系统和一套Triconex系统模拟实际现场状态运行，系统网络分为控制层和监控层，监控层作为人机界面实现运行控制和数据管理，控制层实现系统间数据通讯和底层设备控制，实际拓扑图如图2 所示。

分阶段进行系统规模的设计和定制，包括操作员站、工程师站、应急处理站、生产数据库等具有代表性的工作站和服务器等，组态并下装仿真生产控制程序，模仿关键控制信号及指令利用生产工艺模拟环境数据，综合采用真实仪表设备、信号发生器、机械传动仿真设备、声光模拟设备等相结合的方式，基于现场情况尽可能覆盖生产中可能出现的各种操作指令、信号传输和执行结果。绘制操作员站与实验平台设备相匹配的工艺流程图，包括各过程点变量、报警阈值、以及操作权限定制等。

图2最小化系统拓扑图

4.3建设网络攻防与展示平台

通过建设具有光电效果和自动控制功能的电子展示墙，综合实现网络拓扑展示、数据流传输过程展示、网络攻击原理展示等综合展示；同时，在项目平台网络中设计并部署一套信息安全攻击与测试工具集，涵盖工控漏洞扫描、网络攻击、渗透测试等技术，使项目平台具备漏洞检测、模拟网络攻击、网络安全测试等服务能力；在工控仿真系统上开发自动化网络攻防的演示控制程序，根据设计要求，分步骤、分时段、分线路的开启或关闭电子展示墙的光电线路，简单且形象的自动演示网络安全事件的原理，平台简图如图3所示。

图 3 展示板效果图

4.4完善工控信息检测平台安全防护功能

设计搭建一套具备工控系统的网络边界防护、主机防护、入侵检测、网络审计、安全管理功能的安全防护架构，该安全防护架构将通过不断的攻击测试不断完善，为今后的工控系统提供一套完整的安全防护方案。

平台建设采用系统审计与安全防护两种机制。在企业不断熟悉工控系统安全威胁的过程中，逐渐加大对系统网络的保护力度，最终实现分层级的纵深安全防御策略，抵御各种已知的攻击威胁。

系统审计方案注重于监听内外部数据交流及安全性，保障控制系统内部设备和数据的安全。对于系统网络的安全采用的是旁路审计的方式，在生产状态下，可以实时监听核心区域的网络安全状态，快速识别出系统中存在的非法操作，异常事件、外部攻击并实时告警。

纵深防护方案与系统审计方案相比结构复杂，但它是一种更为安全的系统结构。在边界的安全性的基础之上，对内网的独立控制区域网络也起到业务畅通，网络隔离的效果，同时对于内部的重要区域实行网络监听，并与部署在边界与区域的安全设备联动，达到全面安全防护的效果。

4.4.1系统审计

按照工业控制系统等级保护的要求，把工业控制网络按照纵向分层，横向分区的架构，构建安全管理中心支持下的计算环境、区域边界、通信网络三重纵深防御体系。

在下位机与网络设备接口处安装监测审计平台，对网络数据进行实时监测、审计网络活动，能够及时获知网络告警分布，掌握网络安全状况，规避控制器的风险。安全监管平台统一管理安全防护和监测设备，平台内整合控制网络安全漏洞库，并能集成第三方管理分析工具插件；与监测审计平台组成一整套保护监测系统，部署安全规则，监控全网通信流量和安全事件，对工业控制网内的安全威胁进行分析，提供包括行为审计、事件追踪、日志管理、安全性分区等多项功能。

对上位机和服务器进行专业防护，安装工控卫士，监控主机的进程状态、网络端口状态、USB状态，以白名单技术方式，全方位保护主机的资源使用，监控USB等移动设备的文件操作，切断病毒和木马的破坏路径。

架构如图5所示：

图5 系统审计架构图

4.4.2纵深防护

在攻防平台建设的中，平台不断完善自身的网络架构，加入生产调度层，实现各系统数据集中管理。同时在审计告警的基础上进行有效的网络防护。在控制系统监控层与上层生产调度区域之间设置数据采集隔离平台，在保证各重要区域与调度中心及其他区域业务往来的同时，防止控制系统区域之间危险的扩散。针对新型的攻击方式，可与重要区域的审计设备联动（重要区域内发现针对内部网络新型的攻击方式，提前增加数据采集隔离平台的相应防护策略），避免威胁的扩散到其他区域。针对恶性的攻击方式，已经突破边界防护设备后，也起到防护各核心业务区的功能。

在下位机与网络设备接口处安装IAD智能保护设备，对工控网络协议数据进行检查、过滤，威胁状态下实施报警、阻断，防止来自上位机和上层网络的的攻击，保护终端设备安全。控制系统内部安装监测审计平台，对工控网络数据进行实时监测、审计网络活动，能够及时获知网络告警分布，掌握网络安全状况，规避系统风险。安全监管平台统一管理安全防护和监测设备。平台内整合匡恩控制网络安全漏洞库，并能集成第三方管理分析工具插件。与IAD智能保护平台、监测审计平台和数采隔离终端组成一整套保护监测系统，统一部署安全规则，监控全网通信流量和安全事件，对工业控制网内的安全威胁进行分析，提供包括行为审计、事件追踪、日志管理、安全性分区等多项功能。

对上位机和服务器进行专业防护，安装工控卫士，监控主机的进程状态、网络端口状态、USB状态，以白名单技术方式，全方位保护主机的资源使用，监控USB等移动设备的文件操作，切断病毒和木马的破坏路径。

架构如图6所示：：

图6 纵深防护架构图

5. 应用发展与前景

工业控制系统网络安全事关工业生产运行、国家经济安全和人民生命财产安全。数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、 交通、水利以及市政等领域，用于控制生产设备的运行。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，工业控制系统信息安全问题日益突出。与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

工控信息安全检测平台的建设可为核电行业提供工控系统信息安全解决方案验证能力和漏洞检测与验证功能，同时，作为本行业工控系统信息安全技术分析和研究的支撑环境，还能够为其他企业或工控厂商提供安全检测与认证服务，并为制定核电行业工控信息安全标准和规范提供有力的技术基础和验证手段。从攻防演示、安全检测到技术研究、方案验证，最终再到标准制定与完善，本项目成果实现了业务综合性、技术前瞻性和可持续建设性，具备核电行业乃至整个工控行业的信息安全技术先进性和创新性。

工控信息安全检测平台打破了以往工控系统信息安全不敢动、不会做的壁垒和瓶颈，可以快速转化传统信息安全防护技术到工控领域里来，企业用户可以清楚的掌握正在使用的工控系统有哪些脆弱性，并根据实际需求制定可行的安全解决方案，在方案经过仿真平台验证后投入真实环境应用，大大减少了方案制定的周期和兼容性风险。

工控信息安全检测平台将彻底改变核电企业的工业控制信息安全技术研究现状，实现传统信息系统安全保障技术与工控网络信息安全技术的有机结合，通过有效治理目前我国工业系统多个信息安全薄弱环节，降低了因网络攻击、病毒传播以及缺乏安全管理手段等风险因素而导致生产安全事故的概率，保证了企业自身经济效益。另一方面，全面安全解决方案的试点成功和顺利推广将直接带动我国信息安全产业向工控领域的迅速发展，为工控信息安全技术发展创造机遇。

平台的实施及技术的推广，符合国家信息安全发展战略，将提高关系国计民生的国家关键基础设施和能源行业的工业控制系统网络的安全水平，为我国成为核强国提供的信息安全技术的有力支撑，同时也保障了社会稳定和环境安全，具有引领产业升级，发挥辐射带动的作用。

6. 结束语

工控信息安全检测平台是集工控系统仿真、安全事件演示、漏洞检测、安全解决方案验证等功能于一体的综合性平台，随着各建设阶段逐步拓展功能并深化研究内容，技术人员对工控系统的通讯机制和安全情况会越来越熟悉，工控信息安全工作也将更加易操作，可操作。检测平台还将为整个核电行业的工控信息安全整体解决方案的制定提供实验环境和验证基础，同时承担了行业内工控系统漏洞验证与发布的任务，帮助更多的工厂企业及时发现问题解决问题。

当前，我国工控领域的安全标准还比较欠缺，针对性和专业性较强的行业标准更是亟待完善，本项目对于核电行业乃至整个工控领域的信息安全标准制定和执行均有着深远的意义，有了本项目平台的支持，可以更好地制定标准的要求、指导标准的执行、验证标准的效果。

参考文献：

[1]王孝良，崔保红，李思其.关于工控系统信息安全的思考与建议.信息网络安全，2012.8.
[2] 李战宝，张文贵，潘卓.美国确保工业控制系统安全的做法及对我们的启示.信息网络安全，2012.8.

作者简介：张琪，男，大学本科，工程师，就职于秦山核电有限公司，从事信息安全管理工作。