核電工控系統(tǒng)網(wǎng)絡安全淺析
核電站作為未來世界最為重要的能源供應中心,保障核電站的安全穩(wěn)定運行是開發(fā)利用核電的前提。近年來,隨著工業(yè)化、信息化進程的加快,數(shù)字化控制技術廣泛應用于核電站的生產(chǎn)運行,工控網(wǎng)絡安全風險也不斷向核電領域滲透。
一、核電行業(yè)網(wǎng)絡安全形勢
以2010年伊朗核設施遭受“震網(wǎng)”病毒攻擊為標志性事件,工業(yè)控制系統(tǒng)領域的網(wǎng)絡對抗已經(jīng)成為影響各國國防安全的重要元素。核電是國家重要的基礎行業(yè)之一,核電安全事關國家安全,影響國計民生。福島核事故后,日本資深核電專家小倉志郎曾反思:“擁有核電,等于自己裝了核彈,而按鈕卻在敵人手里。你想要防衛(wèi)的敵人難道都是超級善心人士、故意不去攻擊核電廠弱點?”。
近年來,核電站電力監(jiān)控系統(tǒng)面臨的網(wǎng)絡安全威脅形勢日益嚴峻,被曝光的網(wǎng)絡攻擊事件層出不窮,以下簡要介紹此類事件概況并進行分析。
( 1 ) 2003年1月:美國俄亥俄州Davis-Besse核電站和其它電力設備受到SQLSlammer蠕蟲病毒攻擊,導致該核電站計算機處理速度變緩、安全參數(shù)顯示系統(tǒng)和過程控制計算機連續(xù)數(shù)小時無法工作。蠕蟲病毒通過承包商連接至核電廠網(wǎng)絡的便攜式電腦,繞過核電廠防火墻,擴散到核電站網(wǎng)絡系統(tǒng),導致部分聯(lián)網(wǎng)主機拒絕服務。
事件分析:運維過程中,外部設備發(fā)生了不安全接入,再加上SQL Server 2000漏洞的補丁程序未及時更新,導致病毒擴散至工控網(wǎng)絡,最終入侵工業(yè)控制系統(tǒng)。
( 2 ) 2008年3月: 美國喬治亞州的Hatch核電站2號機組發(fā)生自動停機事件。工程師對核電站業(yè)務網(wǎng)絡中的一臺計算機(用于采集控制網(wǎng)絡中的診斷數(shù)據(jù))進行軟件更新,以同步業(yè)務網(wǎng)絡與控制網(wǎng)絡中的數(shù)據(jù)信息。當工程師重啟該計算機時,同步程序重置了控制網(wǎng)絡中的相關數(shù)據(jù),使得控制系統(tǒng)以為反應堆儲水庫水位突然下降,自動關閉了整個機組。
事件分析:對于軟件系統(tǒng)的升級會導致不可預期的網(wǎng)絡行為發(fā)生。內(nèi)部人員的誤操作導致同步程序重置了控制系統(tǒng)中的數(shù)據(jù),進而影響了工控系統(tǒng)。
( 3 ) 2010年:“震網(wǎng)”(StuxNet)蠕蟲攻擊伊朗核設施。該蠕蟲定向明確,是專門針對工業(yè)控制系統(tǒng)編寫的惡意病毒,利用Windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的多個漏洞,定向破壞伊朗離心機等要害目標。破壞程序在潛伏一段時間后,使機器突然加速和減速,導致離心機的轉子失穩(wěn),最后自毀;同時,欺騙程序發(fā)出虛假的傳感器信號,阻止系統(tǒng)啟動安全保護功能,以確保機器自毀。
事件分析:著名的“震網(wǎng)病毒”攻擊了物理隔離的工業(yè)控制系統(tǒng),具有“多層滲透、長期潛伏、精確打擊”的特點。首次讓人們意識到了“網(wǎng)絡戰(zhàn)”確實存在。
( 4 ) 2014年:“格盤病毒”(MBR Wiper)攻擊韓國核電站。該病毒會擦除感染機器的主引導記錄(MBR),攻擊者使用了大量的社會工程學技巧植入病毒,利用文字處理軟件感染核電站的計算機,破壞計算機內(nèi)文件。
事件分析:利用典型的APT攻擊手段攻擊物理隔離的工業(yè)控制系統(tǒng),首次在東方國家發(fā)現(xiàn)對核電站的工控網(wǎng)絡攻擊。
( 5 ) 2014年12月,韓國水力原子能公司(KHNP)遭黑客入侵,內(nèi)部資料外泄。包括韓國兩家核電站的部分設計圖、空調(diào)和冷卻系統(tǒng)說明、輻射值報告、員工資料等10萬多張機密資料。
事件分析:核電作為國家關鍵技術,不僅要關注可靠性,其相關技術的機密性也極為重要。對攻擊者而言,進行系統(tǒng)機密性的破壞比對工控系統(tǒng)可用性的破壞更為簡單。
( 6 ) 2019年9月,印度Kudankulam核電站內(nèi)網(wǎng)感染了惡意軟件。據(jù)了解,該軟件由知名朝鮮黑客組織Lazarus開發(fā),屬于Dtrack后門木馬的變體。研究人員分析Dtrack的傳播路徑,有人說它是從網(wǎng)絡釣魚電子郵件進入的。
事件分析:釣魚郵件配合社會工程學攻擊,即使是物理隔絕的系統(tǒng)也會受到損害。
二、我國核電工控系統(tǒng)網(wǎng)絡安全現(xiàn)狀
自2010年起,我國加快了核電站等清潔能源的建設,隨著工業(yè)化和信息化深度融合,核電控制系統(tǒng)已從模擬控制轉變?yōu)榈谌鷶?shù)字自動化控制,這在提高核電站生產(chǎn)效率和經(jīng)濟效益的同時也帶來了新能安全風險。為保障電力供應安全和應對日益嚴峻的網(wǎng)絡安全形勢,國家高度重視,全國人大、公安部、工信部、發(fā)改委、能源局先后在法律、政策、標準、技術、方案等方面出臺了相關文件,包括《中華人民共和國網(wǎng)絡安全法》、《網(wǎng)絡安全等級保護基本要求》、《電力監(jiān)控系統(tǒng)安全防護規(guī)定》、《電力監(jiān)控系統(tǒng)安全防護總體方案》、《工業(yè)控制系統(tǒng)信息安全防護指南》等,為工控系統(tǒng)網(wǎng)絡安全保駕護航。
我國電力行業(yè)安全標準體系是比較完善和結構化的,但卻缺少針對核電廠的工控網(wǎng)絡安全標準。核電廠的電力監(jiān)控系統(tǒng)安全防護是依據(jù)國家能源局制定的《電力監(jiān)控系統(tǒng)安全防護總體方案》,總體防護原則為:“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”。
電力監(jiān)控系統(tǒng)安全防護總體框架示意圖
我國核電工業(yè)體系經(jīng)過多年的發(fā)展,雖取得了顯著成績,但核電工控安全尚處于起步階段,仍存在一些自身性問題,一些基礎設施中的關鍵設備自主可控能力不足,核心技術受制于人,這都將是核電工控系統(tǒng)網(wǎng)絡安全建設中的安全隱患。
三、網(wǎng)絡安全風險分析
3.1設備漏洞風險
核電工控系統(tǒng)設備與傳統(tǒng)信息系統(tǒng)一樣,存在各種安全漏洞,截止2020年12月,根據(jù)我國國家信息安全漏洞共享平臺(CNVD)統(tǒng)計,工控系統(tǒng)漏洞總數(shù)為2945個,2020年新增工控系統(tǒng)漏洞583條,較上一年增長150%,其中高危漏洞占新增數(shù)量的45%。更為可怕的是,更多的工控系統(tǒng)漏洞并未公開發(fā)布。與傳統(tǒng)信息系統(tǒng)相比,核電工控系統(tǒng)追求的是高可靠性、可用性,且升級維護成本高、周期長,部分系統(tǒng)設備直至退役都不會進行一次更新升級,致使很多工控系統(tǒng)都是“帶病”運行,存在較高漏洞被利用的風險。
3.2網(wǎng)絡邊界安全防護缺失
在面對眾多工控系統(tǒng)漏洞,又很難對系統(tǒng)升級維護的情況下,運維人員往往是采取加強網(wǎng)絡邊界安全防護的策略降低安全風險。而核電工控系統(tǒng)與生產(chǎn)結合緊密,在實際生產(chǎn)中為保障核電儀控系統(tǒng)的高可靠性,部分網(wǎng)絡邊界雖部署了安全防護設備,卻未設置任何安全防護策略,致使防護效果缺失。若攻擊者繞過了網(wǎng)絡邊界防護,面對擁有眾多漏洞的核電工控系統(tǒng),將會對核電廠造成災難性的后果。
3.3運維過程中的風險
為實現(xiàn)分區(qū)分域提升安全防護效果,部分核電工控系統(tǒng)采取與其他生產(chǎn)控制網(wǎng)絡、管理信息網(wǎng)絡完全物理隔離,而核電工控設備、系統(tǒng)專業(yè)性較強,一般需要廠家專門運維,在缺少運維審計機制的情況下,運維人員在調(diào)試過程中會出現(xiàn)設備接入不規(guī)范、人員誤操作、非法外聯(lián)、病毒傳播等情況,存在較大安全風險。
3.4安全管理不到位
從核電業(yè)務本身的性質(zhì)出發(fā),工業(yè)控制系統(tǒng)在設計時更多的是考慮系統(tǒng)的可用性、可靠性和生產(chǎn)安全性,普遍對網(wǎng)絡安全性問題的考慮不足,沒有制訂完善的工業(yè)控制系統(tǒng)安全政策、管理制度以及缺乏對人員的網(wǎng)絡安全意識培養(yǎng),造成人員的網(wǎng)絡安全意識淡薄。人員安全意識薄弱將是造成核電工控系統(tǒng)安全風險的一個重要因素,特別是社會工程學相關的定向釣魚攻擊可能使重要崗位人員淪為外部威脅入侵的跳板。
四、網(wǎng)絡安全防護建議
4.1主機加固
在不影響業(yè)務正常運行的情況下,盡可能對核電工控主機、系統(tǒng)軟件等存在的漏洞進行打補丁升級;部署工控主機防護系統(tǒng),對工業(yè)主機的服務、進程、端口建立白名單基線模型,對不在基線模型中的病毒、木馬等惡意攻擊代碼進行阻斷運行,同時對USB口進行管控,實現(xiàn)工業(yè)主機自身安全的防護。
4.2邊界防護
嚴格按照電力監(jiān)控系統(tǒng)安全防護“十六字方針”即:“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”進行網(wǎng)絡邊界防護,并使用最小化白名單原則設置訪問控制策略,嚴禁空策略現(xiàn)象;基于服務、端口、工控協(xié)議等建立白名單基線安全模型,解決不同區(qū)之間的違規(guī)操作、惡意代碼攻擊、工控協(xié)議脆弱性攻擊、網(wǎng)絡DDOS(如ICMP-FLOOD、UDP-FLOOD)攻擊等問題。
4.3運維審計
在不同安全防護區(qū)域部署堡壘機,進行集中賬號管理、集中登錄認證、集中用戶授權和集中操作審計,實現(xiàn)對運維人員運維時的操作進行記錄和行為審計。對違規(guī)操作、非法訪問等行為進行監(jiān)控,為事后追溯提供依據(jù),解決運維時無監(jiān)控、審計以及運維效率低等問題。
4.4監(jiān)測預警
在各網(wǎng)絡區(qū)域邊界部署工控網(wǎng)絡安全監(jiān)測系統(tǒng),進行威脅感知及監(jiān)測預警,集中呈現(xiàn)整個工控網(wǎng)絡的安全異常、安全威脅態(tài)勢、病毒爆發(fā)趨勢、設備故障情況等;加強工控網(wǎng)絡流量監(jiān)測與分析,實時發(fā)現(xiàn)匿藏在工控流量中的威脅,如病毒、木馬、惡意攻擊以及違規(guī)操作、誤操作等行為,并進行記錄、審計,為事后溯源、定位故障點提供有力的證據(jù)。
4.5安全評估
定期對核電工控系統(tǒng)開展安全評估,對系統(tǒng)所涉及的資產(chǎn)(系統(tǒng)、硬件、軟件、網(wǎng)絡以及安全配置)進行識別、梳理、分析、記錄,利用漏掃和基線核查工具對全網(wǎng)的資產(chǎn)進行全面漏洞評估和安全基線檢查,及時了解系統(tǒng)的薄弱環(huán)節(jié)和潛在風險,借助第三方客觀評估系統(tǒng)風險等級,為后期安全防護建設提供必要的依據(jù)。
4.6安全管理
堅持核電工控系統(tǒng)建設“三同步”:同步規(guī)劃、同步建設、同步使用,讓網(wǎng)絡安全防護理念貫穿工控系統(tǒng)全生命周期;加強企業(yè)網(wǎng)絡安全管理制度建設,落實責任分工;完善應急響應體系,定期開展應急演練,提升運維人員應急響應處置能力;定期開展員工網(wǎng)絡安全宣貫培訓,提升全員的網(wǎng)絡安全意識。
參考資料:
https://www.sohu.com/a/118290019_131990
http://www.pinlue.com/article/2020/08/1800/4611139031158.html
安全建設三同步-強化工業(yè)控制系統(tǒng)安全保障
原文來源:關鍵基礎設施安全應急響應中心
