一种核电仪控系统网络安全设计验证方法

上海核工程研究设计院有限公司 郑威 常箫 毛磊 马骏 张淑慧

为了验证网络安全防护措施的有效性,设计和实现仪控系统网络安全验证工具是非常必要的。本文从仪控系统网络安全设计验证工具的需求出发,对搭建仪控系统网络安全仿真实验平台的技术进行了分析,提出了一种核电仪控系统网络安全设计验证方法。

0 引言

随着数字化技术在核电行业的应用,核电厂网络安全问题日益突出。自2010年Stuxnet蠕虫病毒攻击伊朗核设施以后,国内外各界更加重视核电厂网络安全问题。网络安全攻击会影响到软件和数据的可用性、完整性、机密性,对系统、网络和相关设备的运行产生不利影响,对核电厂的核安全构成威胁。

传统IT系统的安全技术研究已经日益成熟,但是信息系统与核电仪控系统存在本质上的差异,不能将IT安全技术直接运用在仪控系统上,仪控系统的网络安全需要结合自身特点来设计安全保护措施。为了验证网络安全防护措施设计的有效性,设计一套用于核电仪控系统网络安全验证平台是非常必要和需要的。

1 核电仪控系统网络安全设计验证方法

1.1 设计验证需求

网络安全设计验证用于验证网络安全的设计,从顶层安全设计、风险分析到防护手段设计的验证。设计验证的实验环境应涵盖整个典型的仪控控制系统网络架构,包括过程监控层、现场控制层和现场设备层。过程监控层、现场控制层采用真实的网络和控制设备,现场设备层使用虚拟的仿真模型,如图1。

图1 验证工具的环境需求Fig.1 Environmental requirements for verification tools

构建一个真实网络环境的缺点是周期长、难拓展、成本高、难调整;而全部通过仿真方法,仿真网络的差异性会对准确性产生影响。因此,采用虚实结合的半实物仿真方式,具有更高的可行性和可信度[1-2]。

本文提出采用搭建半实物仿真平台进行设计验证。设计验证的过程需求和业务需求来源于三个方面:风险分析建模的验证、网络安全防护手段有效性验证、网络安全与核安全协同设计研究验证:

(1)风险分析建模的验证。通过开展攻击模拟实验验证威胁假设、潜在攻击路径分析和攻击后果分析。因此,网络安全实验平台需要能够较为真实地体现潜在的工艺业务场景,实现多种攻击模拟,如中间人攻击模拟、拒绝服务攻击模拟、恶意内部人员攻击模拟等。通过安全分析工具例如FMEA、HAZOP、FTA、系统理论过程分析(SPTA)等专用工具方法进行安全危害评估,系统性地识别和列出那些行为和异常行为结合起来导致非预期结果的各种方式。需要分析信息安全攻击事件后系统的行为,并识别系统中部件故障的发生机理,用于理解部件失效模式。

(2)网络安全防护手段正确性和有效性研究。通过模拟攻击实验验证网络安全防护手段实施的正确性和有效性,例如安全区域的划分与隔离、访问控制、身份鉴别、网络边界防护、安全策略配置、主机加固措施、实时的网络监测、系统预警和应急响应等[3-4]。

(3)网络安全与核安全协同设计验证研究。当存在需要兼顾核安全的同时,网络安全的设计需要以核安全为主,需要进一步验证核安全功能是否受到影响,在不宜设置网络安全措施之处,是否有其他的执行安全功能或者纵深防御功能能有效阻塞网络攻击的蔓延,降低安全风险。

综上所述,设计验证平台需要满足真实性、可重复性、准确性、安全性的要求,尽可能的真实重现控制系统结构、工艺系统功能及流程,提供准确的记录、分析的能力,并且不能对系统硬件造成不可逆的破坏。在满足上述要求的情况下,开展风险分析、防护手段有效性验证和网络安全与核安全协同设计验证研究。

1.2 设计验证平台功能需求

本文提出仪控系统网络安全半实物仿真平台的设计方案,功能需求如下:

(1)工艺系统建模功能需求。系统需具备工艺系统建模能力,通过组态,提供工艺流程的仿真和控制能力,以模拟遭受攻击后的工艺场景。

(2)安全防护手段验证需求。设计验证工具需要对网络安全防护手段的有效性进行评估和验证。网络安全防护手段包括访问控制、审计、通信保护、身份鉴定和认证、系统加固等内容,依据等级保护标准的要求,形成安全通信网络、安全区域边界、安全计算环境和安全管理中心支持下的防护体系。

防护手段的验证包括两个层次:一是合规性检查;二是有效性检查。合规性检查主要依赖标准检查工具进行标准符合性评估,不属于设计验证的范畴。

有效性检查需要基于核安全的安全分析进行验证,以验证网络安全的问题不会影响核安全,风险分析中的风险缓解措施的实施是否真正缓解了风险。或者说从另一个角度来解释,造成最严重的功能丧失或者严重后果的安全功能有没有做到真正的防护。

(3)核安全和网络安全协同设计验证需求。一种新的安全防护有效性设计策略是,网络安全和核安全协作实现核电厂安全。因此这类验证需要综合考虑核安全设计以及网络安全设计。核安全中相关功能已经能一定程度上应对网络安全攻击了,其他网络安全措施的实现是否影响了原核安全设计的准则,是否对原核安全功能的产生影响需要进一步试验验证。此类验证是核电仪控系统安全防护的基本原则。

(4)攻击仿真需求。攻击仿真需要实现针对仪控系统典型的模拟网络安全攻击,以模拟各类假设威胁。

首先,进行基本的攻击,常见的攻击有针对计算机网络带宽的攻击和连通性能攻击、获取操作权限控制计算机、获取数据库权限等夺权的攻击方式。还需验证中间人攻击等高级攻击方式,包括对底层设备控制指令的篡改和设备状态向人机界面反馈参数的篡改。

(5)数据采集和分析需求。在试验的过程中需要持续地评估仪控系统的性能、评估安全防护措施的运行情况,因此需要增设安全探针,包括流量和主机探针,针对仪控系统和安全设备的运行状态进行综合监视和评价。并可视化展现攻击仿真的攻击链路情况,并验证安全态势分析和网络预警分析模型算法。

1.3 设计验证平台的架构

本文构建一个设计验证平台,包含上位机、交换机、控制器等真实网络和控制设备,以及底层工艺仿真模型,和电子沙盘展示系统。在这个系统中部署核电厂工艺,设计攻击事件,并利用恶意代码工具进行攻击的模拟和展示,如图2。

图2 设计验证平台架构Fig.2 Design verification platform architecture

设计验证平台应实现柔性化可编程可组态。通过对仿真系统的编程,输入点可进行数据模拟,可以调节不同输入点组合、运算后,实现多个输出,并可实现对人机显示界面的组态,从而实现不同的工艺场景。设计验证工具需实现与工艺仿真模型的接口通信,通过输入输出数据,实现与工艺仿真模型的联动。

设计验证平台具有以下业务功能:

(1)工艺系统实现:实现核电厂工艺系统场景,并实时展示网络安全攻击对电厂工艺的真实影响,通过工艺仿真模型的仿真得以实现。

(2)电子沙盘展示:完成工艺正常工作和异常情况的展示效果。人机界面的设计包括信息显示,以及报警、数据存储等功能。电子沙盘的组成包括大屏幕、操作站、控制盘台等。

(3)攻击工具:实现典型的网络安全攻击方式,开展设计验证。

(4)安全防护设备部署和策略设计:可以进行工控信息安全产品的部署和防护策略管理。

(5)风险评估系统:实现资产分析、攻击链路分析,防护手段合规性检查,网络安全风险计算。

(6)安全预警分析:实现当前系统的态势分析,预警潜在的安全攻击事件。

2 总结

本文从仪控系统网络安全设计验证平台的需求出发,对搭建仪控系统网络安全仿真实验平台的技术方案进行了分析,提出了仪控系统网络安全半实物仿真实验平台的需求和架构。

引用

[1] 苏畅,熊申铎,罗安琴,等.电厂工控信息安全半实物仿真模型研究[J].信息技术与网络安全,2018(10):5-9.

[2] 周静,瞿婷婷,卫佳骏,等.工业控制系统信息安全测试床的实现[J].工业控制计算机,2015(8):45-46.

[3] Regulatory Guide 5.71(U.S. NRC 5.71),Cyber Security Programs for Nuclear Facilities,U.S.Nuclear Regulatory Commission(NRC)[S].2010.

[4] GB/T22239信息安全技术-信息系统安全等级保护基本要求[S].2008.