核電工控系統(tǒng)的工控安全審計(jì)系統(tǒng)研發(fā)與應(yīng)用

彭 鑫，李 實(shí)，王 柱，陳 林，劉一寧，亓文利

（1.浙江國利網(wǎng)安科技有限公司，浙江 寧波 310000；2.嶺澳核電有限公司，廣東 深圳 518000；3.浙江中控技術(shù)股份有限公司，杭州 310000）

0 引言

相比傳統(tǒng)的火電、水電，核電資源消耗少、環(huán)境影響小、供應(yīng)能力強(qiáng)，已經(jīng)成為世界電力供應(yīng)的支柱之一。以中國為例，2019 年1 月～12 月，全國累計(jì)總發(fā)電量為71422.10 億千瓦時(shí)，運(yùn)行核電機(jī)組累計(jì)發(fā)電量為3481.31 億千瓦時(shí)，約占全國累計(jì)發(fā)電量的4.88%[1]。

但由于其燃料具有放射性，一旦泄漏對環(huán)境和人類健康將造成巨大危害。因此，核電控制網(wǎng)絡(luò)的安全性、控制指令的合規(guī)性成為核電控制網(wǎng)絡(luò)的重要考量。核電工控系統(tǒng)安全審計(jì)系統(tǒng)，可實(shí)時(shí)監(jiān)測核電網(wǎng)絡(luò)的安全性、合規(guī)性，快速對威脅做出響應(yīng)并對操作進(jìn)行回溯。

1 工控系統(tǒng)信息安全現(xiàn)狀及風(fēng)險(xiǎn)

1.1 核電站DCS系統(tǒng)

在國內(nèi)核電站的儀表及控制系統(tǒng)中，大多新建電站采用的是全數(shù)字化DCS（Distributed Control System）技術(shù)，即過程控制級分散配置。

整個(gè)DCS 系統(tǒng)由非安全相關(guān)儀控系統(tǒng) TXP（Operational I&C System）和安全相關(guān)儀控系統(tǒng)TXS（Safety I&C System）兩部分組成，主要用于監(jiān)測和控制核電廠釋熱和電能生產(chǎn)的主要和輔助過程，在所有運(yùn)行模式包括應(yīng)急情況下，維持電廠的安全性、可操作性和可靠性，并且在正常運(yùn)行工況下保證電廠的經(jīng)濟(jì)性[2]。

以本文應(yīng)用的某核電站為例，該站的TXP 系統(tǒng)采用了西門子AS620B 自動(dòng)化系統(tǒng)，其數(shù)據(jù)通信是由SINEC H1 總線系統(tǒng)構(gòu)成的電廠總線（Plant Bus）完成。TXP 系統(tǒng)中的SINEC H1 網(wǎng)絡(luò)是在IEEE802.3（Ethernet）基礎(chǔ)上建立的，形成開放式的通信網(wǎng)絡(luò)，采用樹形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提高網(wǎng)絡(luò)通信的實(shí)時(shí)性。為了增加可靠性，SINEC H1 使用環(huán)網(wǎng)設(shè)計(jì)，并形成SIMATIC NET 以太網(wǎng)結(jié)構(gòu)，能大幅提高通信網(wǎng)絡(luò)的容錯(cuò)能力，充分滿足通信網(wǎng)絡(luò)的單一故障準(zhǔn)則[3]。

根據(jù)核電站的儀表及控制系統(tǒng)需實(shí)現(xiàn)的功能要求，TXP 系統(tǒng)核心劃分為4 個(gè)處理層級，分別是過程儀表層、過程控制層、操作監(jiān)視層和高級應(yīng)用（信息管理）層，DCS 系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖1 所示。

圖1 DCS系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.1 DCS system network structure

1.2 網(wǎng)絡(luò)安全現(xiàn)狀及風(fēng)險(xiǎn)

隨著核電工業(yè)控制系統(tǒng)的智能化與信息化快速發(fā)展，工業(yè)網(wǎng)絡(luò)向互聯(lián)網(wǎng)延伸是趨勢所在。然而，現(xiàn)有的工業(yè)控制系統(tǒng)又往往存在運(yùn)行時(shí)間較長，在運(yùn)行初期缺乏安全考量，在運(yùn)行后期缺乏安全更新和維護(hù)的情況，導(dǎo)致系統(tǒng)存在巨大的安全風(fēng)險(xiǎn)。一是網(wǎng)絡(luò)資產(chǎn)的固件（軟件）版本更新不及時(shí)，有許多漏洞可以被黑客利用；二是對網(wǎng)絡(luò)缺乏監(jiān)測，一些帶有病毒的可疑資產(chǎn)的接入會(huì)導(dǎo)致病毒傳播；三是對工控操作缺乏審計(jì)，一些不合規(guī)的工控操作也可能帶來潛在安全隱患。

隨著控制網(wǎng)絡(luò)逐漸開放，工控漏洞逐漸增加，工控網(wǎng)絡(luò)的風(fēng)險(xiǎn)也逐漸增大，對工控網(wǎng)絡(luò)安全進(jìn)行加固的重要性不言而喻。

1.3 網(wǎng)絡(luò)安全監(jiān)測的必要性

在工控網(wǎng)絡(luò)設(shè)置的各個(gè)區(qū)域里，控制層是重中之重。以本文應(yīng)用的某核電站TXP 系統(tǒng)為例，過程控制層與操作監(jiān)視層之間的數(shù)據(jù)交互和通訊流量是系統(tǒng)安全的重點(diǎn)監(jiān)控對象，在這個(gè)區(qū)域設(shè)置一個(gè)安全監(jiān)測系統(tǒng)是非常有必要的。一個(gè)安全監(jiān)測系統(tǒng)，除了要監(jiān)測網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)，還需要監(jiān)測工控操作的合規(guī)性，這樣才能保證整個(gè)DCS 系統(tǒng)控制網(wǎng)絡(luò)安全運(yùn)行。

本文設(shè)計(jì)的工控安全審計(jì)系統(tǒng)，對過程控制層與操作監(jiān)視層之間的通訊流量和數(shù)據(jù)交互進(jìn)行采集和分析，完成DCS 系統(tǒng)內(nèi)的工控行為審計(jì)和網(wǎng)絡(luò)安全監(jiān)測，對不合規(guī)的工控操作和網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，以實(shí)時(shí)告警的形式提示用戶。

2 工控安全審計(jì)系統(tǒng)設(shè)計(jì)

部署于核電工控系統(tǒng)的工控安全審計(jì)系統(tǒng)，原理是通過對核電控制網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行實(shí)時(shí)旁路數(shù)據(jù)采集，對數(shù)據(jù)包的內(nèi)容進(jìn)行識別和解析，與用戶配置的安全審計(jì)策略進(jìn)行匹配，實(shí)現(xiàn)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控和分析，能夠檢測和發(fā)現(xiàn)各種異常數(shù)據(jù)報(bào)文、異常的網(wǎng)絡(luò)行為、非法入侵等安全風(fēng)險(xiǎn)，幫助用戶快速做出響應(yīng)，保障核電網(wǎng)絡(luò)的安全運(yùn)行。

2.1 工控安全審計(jì)系統(tǒng)架構(gòu)

為了實(shí)現(xiàn)上述功能，工控安全審計(jì)系統(tǒng)設(shè)計(jì)了數(shù)據(jù)采集層、核心層、審計(jì)/檢測層和可視化層4 層架構(gòu)，如圖2所示。

圖2 工控安全審計(jì)系統(tǒng)的架構(gòu)Fig.2 The architecture of the industrial control security audit system

數(shù)據(jù)采集層，主要用于采集原始的數(shù)據(jù)報(bào)文并進(jìn)行簡單的預(yù)處理。以某核電站的系統(tǒng)部署為例，工控網(wǎng)絡(luò)數(shù)據(jù)會(huì)通過旁路的方式，從交換機(jī)的鏡像口來進(jìn)行實(shí)時(shí)地采集。

核心層主要用于處理采集到的報(bào)文信息，包含工控協(xié)議識別、工控協(xié)議解析、工控會(huì)話識別、工控資產(chǎn)識別和工控報(bào)文匹配幾個(gè)模塊。核心層會(huì)對工控協(xié)議進(jìn)行識別并深度解析，匹配多種網(wǎng)絡(luò)攻擊的數(shù)據(jù)報(bào)文特征，同時(shí)結(jié)合報(bào)文指紋特征，識別工控資產(chǎn)的信息。

審計(jì)/檢測層主要用于處理核心層解析的信息，對核心層的信息進(jìn)行分析和整合。其包含工控事件審計(jì)、IT 事件審計(jì)、工控會(huì)話分析、工控流量分析、工控威脅檢測、網(wǎng)絡(luò)攻擊檢測、資產(chǎn)漏洞檢測、網(wǎng)絡(luò)事件檢測幾個(gè)模塊，能全息記錄網(wǎng)絡(luò)中的工控OT 操作和IT 事件。同時(shí)支持實(shí)時(shí)、多維地分析網(wǎng)絡(luò)的安全情況，檢測網(wǎng)絡(luò)中已被攻陷的資產(chǎn)和潛在的安全風(fēng)險(xiǎn)。

可視化層主要用于實(shí)現(xiàn)工控網(wǎng)絡(luò)可視化。該層會(huì)提取審計(jì)檢測層的數(shù)據(jù)，并將其轉(zhuǎn)換成可視化拓?fù)鋱D、表格等數(shù)據(jù)?？梢暬糠职た刭Y產(chǎn)可視化、工控操作可視化、工控漏洞可視化、工控流量可視化、工控會(huì)話可視化、報(bào)表定制模塊。

工控安全審計(jì)系統(tǒng)的研發(fā)，主要是核心層和審計(jì)/檢測層的實(shí)現(xiàn)。本文的后續(xù)章節(jié)，將對核心層和審計(jì)/檢測層的實(shí)現(xiàn)進(jìn)行詳細(xì)說明。

2.2 工控安全審計(jì)系統(tǒng)核心層

核心層主要用于解析采集到的報(bào)文信息，主要包含鏈路層協(xié)議信息、傳輸層協(xié)議信息、應(yīng)用層信息等。

核心層支持工控協(xié)議的識別和解析。對于工控協(xié)議識別，核心層設(shè)計(jì)了兩種方法：一種方法是通過指定端口加上報(bào)文頭部信息識別，典型的應(yīng)用是MODBUS 協(xié)議；另一種方法針對動(dòng)態(tài)端口或者鏈路層協(xié)議，通過報(bào)文頭部信息識別，典型的應(yīng)用是本文中提到的SINEC H1 協(xié)議。

對于工控協(xié)議解析，核心層使用深度報(bào)文解析DPI（Deep Packet Inspection）技術(shù)。DPI 技術(shù)主要針對應(yīng)用層報(bào)文分析，識別各種應(yīng)用及其內(nèi)容。核心層實(shí)現(xiàn)了包含AC（Aho-Corasick）算法、BM（Boyer-Moore）算法、正則匹配算法在內(nèi)的多種DPI 算法，用于解析工控?cái)?shù)據(jù)報(bào)文的工控操作功能碼、操作地址、數(shù)值等信息。同時(shí)，核心層還會(huì)通過DPI 算法，將應(yīng)用層的報(bào)文特征與內(nèi)置的威脅報(bào)文特征庫比對，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)，例如掃描探測、僵尸木馬蠕蟲病毒攻擊等。

核心層支持識別并維護(hù)會(huì)話信息。對于一個(gè)會(huì)話，在建立連接后，其五元組（源IP、源端口、目的IP、目的端口、協(xié)議）信息就不會(huì)產(chǎn)生變化。核心層會(huì)識別五元組信息，將采集到的數(shù)據(jù)包維護(hù)至特定會(huì)話中，實(shí)時(shí)跟蹤會(huì)話的狀態(tài)和流量，為審計(jì)/檢測層的整合和分析提供支撐。

核心層還支持識別資產(chǎn)信息，采集到的報(bào)文中，往往包含一些資產(chǎn)特征的指紋信息，比如IP、協(xié)議信息。核心層會(huì)通過這一類指紋信息進(jìn)行簡單的資產(chǎn)信息識別，為后續(xù)的資產(chǎn)漏洞檢測和資產(chǎn)可視化提供支撐。

2.3 工控安全審計(jì)系統(tǒng)審計(jì)/檢測層

審計(jì)/檢測層主要用于處理核心層解析的信息，對核心層的信息進(jìn)行分析和整合。

審計(jì)/檢測層支持工控點(diǎn)表匹配算法，會(huì)將核心層解析的數(shù)據(jù)包與用戶導(dǎo)入的點(diǎn)表信息進(jìn)行匹配，生成包含變量讀取、組態(tài)變更、配置變更、上傳下載、命令寫入等OT操作事件，并標(biāo)注操作的實(shí)際對象，將工控操作轉(zhuǎn)化為用戶可以認(rèn)知的審計(jì)信息。同時(shí)，審計(jì)/檢測層還支持IT 事件審計(jì)，包含DNS 請求事件、HTTP 請求事件、TELNET連接事件等審計(jì)。

工控和非工控事件的審計(jì)是工控安全審計(jì)系統(tǒng)的基礎(chǔ)功能，用于全息記錄網(wǎng)絡(luò)中的各種操作，便于用戶追溯，同時(shí)對于工控關(guān)鍵操作、弱口令等事件也為用戶做網(wǎng)絡(luò)合規(guī)性評估提供參考。

對于控制系統(tǒng)會(huì)話和流量信息，審計(jì)/檢測層通過深度流量分析DFI（Deep Flow Inspection）技術(shù)，追蹤網(wǎng)絡(luò)中的工控會(huì)話，對其會(huì)話狀態(tài)、會(huì)話流量進(jìn)行分析，并建立流量基線模型。審計(jì)/檢測層的DPI 算法，支持固化基線和動(dòng)態(tài)基線兩種模型。對于偏離流量基線的情況，例如某資產(chǎn)突然出現(xiàn)大流量，某一條工控會(huì)話長時(shí)間沒有流量，都會(huì)及時(shí)分析并提示用戶。

審計(jì)/檢測層通過實(shí)現(xiàn)高性能策略匹配引擎，支持基于安全策略的工控威脅檢測，包含工控網(wǎng)絡(luò)威脅檢測和工控操作威脅檢測。引擎會(huì)匹配用戶配置的黑白名單策略，生成相應(yīng)的風(fēng)險(xiǎn)告警來提示用戶。具體的，引擎會(huì)基于用戶設(shè)置的資產(chǎn)白名單匹配，提示用戶可疑資產(chǎn)接入；基于用戶設(shè)置的通信關(guān)系白名單匹配，提示用戶異常通信；基于用戶配置的工控功能碼黑/白名單匹配，提示用戶非法工控操作；基于用戶配置的操作地址和值域范圍，提示用戶工控閾值超限。

審計(jì)/檢測層還實(shí)現(xiàn)了資產(chǎn)漏洞檢測功能，即根據(jù)核心層資產(chǎn)識別的信息，匹配內(nèi)置的漏洞庫信息，識別當(dāng)前資產(chǎn)的已知漏洞，并提示用戶進(jìn)行固件升級或硬件更換。

3 工控安全審計(jì)策略

如2.3 章節(jié)所述，工控安全審計(jì)系統(tǒng)通過高性能的策略匹配引擎，會(huì)對用戶配置的安全審計(jì)策略進(jìn)行匹配，并生成相應(yīng)的工控網(wǎng)絡(luò)威脅告警和工控操作威脅告警。安全審計(jì)策略通過黑/白名單的方式配置，具體實(shí)現(xiàn)上，分為工控資產(chǎn)白名單、工控通信白名單、工控操作功能碼黑/白名單和工控閾值黑/白名單。

3.1 工控安全審計(jì)策略配置

工控安全審計(jì)策略的配置，即黑/白名單的配置，根據(jù)工控網(wǎng)絡(luò)的特點(diǎn)，可以分為工控網(wǎng)絡(luò)策略和工控操作策略。在工控網(wǎng)絡(luò)策略的配置上，工控安全審計(jì)系統(tǒng)設(shè)計(jì)了白名單的方式。具體的，設(shè)計(jì)了工控資產(chǎn)白名單，即工控資產(chǎn)的IP 或者mac 地址白名單，以及工控通信關(guān)系白名單，即工控通信關(guān)系的白名單。

在工控操作策略上，工控安全審計(jì)系統(tǒng)設(shè)計(jì)了黑/白名單的方式。具體的，設(shè)計(jì)了工控操作的黑/白名單，即工控操作功能碼的黑/白名單以及工控操作閾值的黑/白名單，即工控的讀寫操作的閾值范圍。

3.2 工控安全審計(jì)策略匹配

在工控安全審計(jì)策略配置后，工控安全審計(jì)系統(tǒng)的高性能策略匹配引擎會(huì)對報(bào)文進(jìn)行檢測和匹配。根據(jù)用戶配置的黑/白名單，產(chǎn)生相應(yīng)的事件告警來提示用戶。

工控安全審計(jì)策略的黑/白名單和相應(yīng)的告警事件如圖3 所示。

圖3 黑/白名單和告警事件Fig.3 Black/white list and alarm events

3.3 工控安全審計(jì)策略自學(xué)習(xí)

對于用戶來說，工控安全審計(jì)策略的配置是繁瑣且耗時(shí)的，尤其是對于網(wǎng)絡(luò)中資產(chǎn)梳理不清晰的用戶，要配置完整的黑/白名單策略具有一定的困難性。

為了解決策略配置繁瑣的問題，提升用戶的使用體驗(yàn)，安全審計(jì)系統(tǒng)設(shè)計(jì)了自學(xué)習(xí)功能，通過學(xué)習(xí)可信流量，一段時(shí)間后會(huì)自動(dòng)學(xué)習(xí)安全審計(jì)策略，用戶只需要確認(rèn)策略的有效性并做簡單的修改，就可以完成適合工控網(wǎng)絡(luò)的審計(jì)策略集。

4 工控安全審計(jì)系統(tǒng)應(yīng)用

工控安全審計(jì)系統(tǒng)一般通過旁路的方式接入控制網(wǎng)絡(luò)交換機(jī)側(cè)，實(shí)時(shí)采集并分析控制網(wǎng)絡(luò)的流量。本章節(jié)以某核電站的部署為例，介紹審計(jì)系統(tǒng)的一種應(yīng)用場景。

4.1 工控安全審計(jì)系統(tǒng)部署

在某核電站的TXP 系統(tǒng)部署中，安全審計(jì)系統(tǒng)工會(huì)通過旁路的方式，接入過程控制層與操作監(jiān)視層的核心交換機(jī)來進(jìn)行實(shí)時(shí)的數(shù)據(jù)采集，部署的拓?fù)淙鐖D4 所示。

圖4 TXP系統(tǒng)中部署工控安全審計(jì)系統(tǒng)Fig.4 Deploying an industrial control security audit system in the TXP system

4.2 工控安全審計(jì)系統(tǒng)策略配置

在工控安全審計(jì)系統(tǒng)部署后，首先開啟自學(xué)習(xí)的模式，學(xué)習(xí)可信流量48h，并自動(dòng)生成工控資產(chǎn)白名單和通信關(guān)系白名單。隨后用戶確認(rèn)自學(xué)習(xí)的白名單，設(shè)置工控操作黑名單，并導(dǎo)入點(diǎn)表信息。

一組工控操作白名單策略的截圖如圖5 所示。

圖5 一組工控操作白名單策略Fig.5 A set of whitelist strategies for industrial control operations

后續(xù)工控安全審計(jì)系統(tǒng)即可切換至審計(jì)模式進(jìn)行審計(jì)，用戶實(shí)時(shí)關(guān)注dashboard 的告警信息和資產(chǎn)評分，并對潛在風(fēng)險(xiǎn)或失陷主機(jī)進(jìn)行安全處理。

5 結(jié)語

本文對核電站的控制系統(tǒng)進(jìn)行了分析，闡述了對工控安全網(wǎng)絡(luò)加固的重要性。工控安全審計(jì)系統(tǒng)是對工控安全網(wǎng)絡(luò)加固的一種重要手段，文中詳細(xì)介紹了一種工控安全審計(jì)系統(tǒng)的實(shí)現(xiàn)方法和應(yīng)用，通過部署工控安全審計(jì)系統(tǒng)，可以實(shí)現(xiàn)核電控制網(wǎng)絡(luò)的網(wǎng)絡(luò)事件審計(jì)及網(wǎng)絡(luò)安全性、合規(guī)性的監(jiān)測。