核电工控系统的脆弱性分析

万紫骞，曹思亮

（工业和信息化部电子第五研究所，广东 广州 510610）

0 引言

近年来，工业控制系统的信息安全问题引起了社会各界的广泛关注，其中核电安全事件尤其引人注意。2007年，美国爱达荷州国家实验室（Idaho National Laboratory）通过网络攻击实验摧毁了一台价值100万美元的柴油发动机。攻击者通过网络攻击电机的控制系统，使其运转异常，震荡摇晃直至完全停止运转[1]。这次试验也证明了网络攻击不仅可以窃取数据，还可以对阀门、泵等工业控制设备进行操作，造成严重的核电安全事故。

2010年爆发了著名的震网病毒（Stuxnet）事件，其产生的巨大破坏性引起了世界各国的高度重视。截止2011年，“震网”蠕虫病毒感染了全世界4万多个网络，其中包括伊朗境内超过60%的个人电脑[2]。随后伊朗总统也承认病毒使位于纳坦兹的核电离心机发生了故障，并暂停了纳坦兹的铀浓缩活动。 “震网”病毒设计精细，攻击手段复杂，利用了多种安全漏洞，破坏性极大。该病毒引发了世界各国对工控系统信息安全的广泛关注。我国工业和信息化部专门印发了 《关于加强工业控制系统信息安全管理的通知》，呼吁各部门对工控安全予以高度的重视。

本文结合核电工控系统的安全现状，首先，从技术和管理两个方面分析了核电工控系统的脆弱性及其对应的风险；接着，阐述了当前核电工业控制系统势在必行的安全措施；最后，对核电工控系统的信息安全现状进行了总结与展望。

1 核电工控系统概述

核电工控系统是一种基于电子电气技术和计算机技术的、面向核电生产运行的数字化控制系统[3]。典型的核电工控子系统包括辐射气象监测系统、全数字化仪控系统、开关站综合监控系统、常规岛控制系统和失水事故监视系统等。

相比传统的IT信息系统，核电工控系统具有协议特殊、实时性高等诸多自己的特色[4-5]。这些差异化的特点如表1所示。

表1 核电工控系统与传统IT信息系统的差异

核电工控系统有众多的自身特点，传统IT信息系统的信息安全理论和技术并不能适应核电工控系统的需求，本文接下来针对这些特点展开了核电工控系统的脆弱性分析与研究。

2 核电工控系统的技术脆弱性

通过广泛的搜集、整理相关技术文档，包括ICS-CERT、CVE等知名漏洞提供机构，本文搜集到了大量核电行业工控系统的漏洞信息，并形成了核电工控系统的脆弱性漏洞库，并对这些漏洞进行了统计分析。

按照漏洞可能造成的危害，核电工控系统技术漏洞可分为非授权执行、非授权写入、非授权读取和拒绝服务四大类威胁：

1）非授权执行，指的是ShellCode执行、DEP绕过、命令注入和SQL注入等可以直接对系统造成较大程度控制的漏洞；

2）非授权写入，指的是能以某种方式在系统上写入文件、修改用户密码和系统配置等，但无法直接执行代码的漏洞；

3）非授权读取，指的是能读取指定或任意文件、内存信息等漏洞；4）拒绝服务，负载过大导致软件无法正常工作的漏洞。核电工控系统技术漏洞的厂商分布比例图如图1所示，西门子产品的漏洞最多，这是由于西门子的产品使用最为广泛所导致的。

图1核电工控系统的技术漏洞分布

漏洞的攻击途径反映了漏洞的风险威胁程度，下面按照漏洞的攻击途径对核电工控系统的漏洞展开讨论：

a）服务器漏洞

这是指位于提供网络服务的进程中的漏洞，攻击者可以通过网络在另一台电脑上直接进行攻击，进而获取远程服务器上存储的重要数据甚至控制权限。由于远程服务器面临整个因特网上的网络访问，相应的风险威胁很高。

b）客户端漏洞

很多是基于浏览器的，这类漏洞需要诱使用户访问某个恶意网页才会被触发，包括ActiveX控件、跨站脚本攻击、JAVA插件和flash插件或者浏览器自身的问题，用户的系统将面临被控制的风险，用户的登陆凭证、账户口令可能被盗窃。由于需要客户端主动触发漏洞，对应的风险相对于前者较低。

c）本地漏洞

这是指必须登录到安装软件的计算机上才能利用的漏洞。该类漏洞主要用来提权，因利用条件苛刻，通常攻击者先利用远程漏洞获得远程执行登录或者远程执行权限[7]，然后再利用本地漏洞进行提权，将已获得的控制权限扩大化。由于需要先获取本地登录，相应的风险威胁较低。

3 核电工控系统的管理脆弱性

当前民用核设施行业已经形成了丰富的信息安全标准规范。早在1986年10月29日，我国就已经出台了 《中华人民共和国民用核设施安全监督管理条例》，明确了监督管理职责，制定了安全许可制度。随后，我国又陆续出台了如 《核电厂核事故应急管理条例》 《民用核安全设备监督管理条例》等一系列核电系统安全标准。

这些标准对核电工控系统管理提出了许多切实有效的要求，本文在分析管理脆弱性、评估其风险时也参考了这些安全标准。总体来说，核电工控系统的管理脆弱性主要表现在缺少安全策略、缺少安全培训和意识培训、缺少可靠的流程管理、缺乏针业务连续性保障、缺乏配置变更管理，以及缺乏完备的授权验证机制和使用不安全的传输协议、软件不能及时更新等方面，表2详细地展示了核电工控系统的管理脆弱性。

表2 核电工控系统的管理脆弱性及具体的问题

4 当前核电系统亟需采取的安全措施

当前核电工业控制系统在多个方面均存在着不同程度的安全问题，追求可用性而牺牲安全是普遍存在的传统弊病，而缺乏完整、有效的安全策略与管理流程是当前核电工业控制系统的最大难题。很多已经实施了安全防御措施的系统仍然会因为管理或操作上的失误造成系统出现潜在的安全问题。因此，制定满足业务场景需求的安全策略并依据策略制定有效的安全措施是确保核电工控系统稳定运行的基础。当前核电工业控制系统亟需采取的安全措施如表3所示。

表3 核电工业控制系统亟需采取的安全措施

5 结束语

作为国家的重要基础设施，核电工控系统安全对国家安全、社会经济具有重要的影响。本文研究了核电工控系统的脆弱性及其对应的威胁与风险，当前核电系统存在技术、管理方面的安全隐患，其安全防护机制亟待完善和提高。未来，针对核基础设施的攻击种类更加多样，国家和组织将会成为攻击的主要发动者，高级可持续攻击（APT）也将愈发严重，工控安全防护技术、产品急需完善，这些都给研究工作人员带来了新的机遇和挑战。

[1]CNN.Mouse click could plunge city into darkness，experts say[EB/OL].[2007-09-27].http：//edition.cnn.com/2007/US/09/27/power.at.risk/index.html.

[2]360百科 _震网.[DB/OL].（2010-09-30）[2013-10-24].http：//baike.so.com/doc/5346465.html.

[3]李江海，黄晓津.核电数字化控制系统安全综述 [J].原子能科学技术，2012，46（B09）： 411-416.

[4]绿盟科技.工业控制系统及其安全性研究报告 [R/OL].（2013-06-24）[2013-07-01].http：//www.nsfocus.com/4_resear_ch/4_6.html.

[5]彭勇，江常青，谢丰，等.工业控制系统信息安全研究进展 [J].清华大学学报（自然科学版），2012，52（10）： 1396-1408.

[6]夏春明，刘涛，王华忠，等.工业控制系统信息安全现状及发展趋势 [J].信息安全与技术 ，2013，4（2）：13-18.

[7]彭杰，应启戛，周美娇.工业以太网风险评估及其研究方法 [J].计算机工程，2006，32（8）：137-138.