隨著工業(yè)化、信息化進(jìn)程的加快�����,數(shù)字化控制技術(shù)廣泛應(yīng)用于核電站的生產(chǎn)運(yùn)行�����,工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不斷向核電領(lǐng)域滲透�。
核電站作為未來(lái)世界最為重要的能源供應(yīng)中心,保障核電站的安全穩(wěn)定運(yùn)行是開發(fā)利用核電的前提���。近年來(lái)����,隨著工業(yè)化����、信息化進(jìn)程的加快,數(shù)字化控制技術(shù)廣泛應(yīng)用于核電站的生產(chǎn)運(yùn)行����,工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不斷向核電領(lǐng)域滲透����。
一���、核電行業(yè)網(wǎng)絡(luò)安全形勢(shì)
以2010年伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊為標(biāo)志性事件,工業(yè)控制系統(tǒng)領(lǐng)域的網(wǎng)絡(luò)對(duì)抗已經(jīng)成為影響各國(guó)國(guó)防安全的重要元素�����。核電是國(guó)家重要的基礎(chǔ)行業(yè)之一�,核電安全事關(guān)國(guó)家安全,影響國(guó)計(jì)民生�。福島核事故后,日本資深核電專家小倉(cāng)志郎曾反思:“擁有核電�,等于自己裝了核彈,而按鈕卻在敵人手里�。你想要防衛(wèi)的敵人難道都是超級(jí)善心人士、故意不去攻擊核電廠弱點(diǎn)?”�。
近年來(lái),核電站電力監(jiān)控系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅形勢(shì)日益嚴(yán)峻����,被曝光的網(wǎng)絡(luò)攻擊事件層出不窮,以下簡(jiǎn)要介紹此類事件概況并進(jìn)行分析。
( 1 )
2003年1月:美國(guó)俄亥俄州Davis-Besse核電站和其它電力設(shè)備受到SQLSlammer蠕蟲病毒攻擊�����,導(dǎo)致該核電站計(jì)算機(jī)處理速度變緩���、安全參數(shù)顯示系統(tǒng)和過(guò)程控制計(jì)算機(jī)連續(xù)數(shù)小時(shí)無(wú)法工作�。蠕蟲病毒通過(guò)承包商連接至核電廠網(wǎng)絡(luò)的便攜式電腦���,繞過(guò)核電廠防火墻�����,擴(kuò)散到核電站網(wǎng)絡(luò)系統(tǒng)���,導(dǎo)致部分聯(lián)網(wǎng)主機(jī)拒絕服務(wù)。
事件分析:運(yùn)維過(guò)程中�,外部設(shè)備發(fā)生了不安全接入,再加上SQL Server
2000漏洞的補(bǔ)丁程序未及時(shí)更新,導(dǎo)致病毒擴(kuò)散至工控網(wǎng)絡(luò),最終入侵工業(yè)控制系統(tǒng)�����。
( 2 ) 2008年3月:
美國(guó)喬治亞州的Hatch核電站2號(hào)機(jī)組發(fā)生自動(dòng)停機(jī)事件��。工程師對(duì)核電站業(yè)務(wù)網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)(用于采集控制網(wǎng)絡(luò)中的診斷數(shù)據(jù))進(jìn)行軟件更新,以同步業(yè)務(wù)網(wǎng)絡(luò)與控制網(wǎng)絡(luò)中的數(shù)據(jù)信息��。當(dāng)工程師重啟該計(jì)算機(jī)時(shí)�,同步程序重置了控制網(wǎng)絡(luò)中的相關(guān)數(shù)據(jù),使得控制系統(tǒng)以為反應(yīng)堆儲(chǔ)水庫(kù)水位突然下降�,自動(dòng)關(guān)閉了整個(gè)機(jī)組。
事件分析:對(duì)于軟件系統(tǒng)的升級(jí)會(huì)導(dǎo)致不可預(yù)期的網(wǎng)絡(luò)行為發(fā)生����。內(nèi)部人員的誤操作導(dǎo)致同步程序重置了控制系統(tǒng)中的數(shù)據(jù),進(jìn)而影響了工控系統(tǒng)��。
( 3 )
2010年:“震網(wǎng)”(StuxNet)蠕蟲攻擊伊朗核設(shè)施���。該蠕蟲定向明確,是專門針對(duì)工業(yè)控制系統(tǒng)編寫的惡意病毒�,利用Windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的多個(gè)漏洞,定向破壞伊朗離心機(jī)等要害目標(biāo)�����。破壞程序在潛伏一段時(shí)間后����,使機(jī)器突然加速和減速���,導(dǎo)致離心機(jī)的轉(zhuǎn)子失穩(wěn),最后自毀;同時(shí)���,欺騙程序發(fā)出虛假的傳感器信號(hào)����,阻止系統(tǒng)啟動(dòng)安全保護(hù)功能�����,以確保機(jī)器自毀����。
事件分析:著名的“震網(wǎng)病毒”攻擊了物理隔離的工業(yè)控制系統(tǒng),具有“多層滲透��、長(zhǎng)期潛伏�、精確打擊”的特點(diǎn)。首次讓人們意識(shí)到了“網(wǎng)絡(luò)戰(zhàn)”確實(shí)存在�����。
( 4 ) 2014年:“格盤病毒”(MBR
Wiper)攻擊韓國(guó)核電站�����。該病毒會(huì)擦除感染機(jī)器的主引導(dǎo)記錄(MBR),攻擊者使用了大量的社會(huì)工程學(xué)技巧植入病毒�����,利用文字處理軟件感染核電站的計(jì)算機(jī)�����,破壞計(jì)算機(jī)內(nèi)文件���。
事件分析:利用典型的APT攻擊手段攻擊物理隔離的工業(yè)控制系統(tǒng)���,首次在東方國(guó)家發(fā)現(xiàn)對(duì)核電站的工控網(wǎng)絡(luò)攻擊��。
( 5 )
2014年12月�,韓國(guó)水力原子能公司(KHNP)遭黑客入侵,內(nèi)部資料外泄���。包括韓國(guó)兩家核電站的部分設(shè)計(jì)圖�、空調(diào)和冷卻系統(tǒng)說(shuō)明�����、輻射值報(bào)告、員工資料等10萬(wàn)多張機(jī)密資料�����。
事件分析:核電作為國(guó)家關(guān)鍵技術(shù)��,不僅要關(guān)注可靠性�,其相關(guān)技術(shù)的機(jī)密性也極為重要。對(duì)攻擊者而言��,進(jìn)行系統(tǒng)機(jī)密性的破壞比對(duì)工控系統(tǒng)可用性的破壞更為簡(jiǎn)單����。
( 6 )
2019年9月,印度Kudankulam核電站內(nèi)網(wǎng)感染了惡意軟件����。據(jù)了解,該軟件由知名朝鮮黑客組織Lazarus開發(fā)��,屬于Dtrack后門木馬的變體����。研究人員分析Dtrack的傳播路徑�,有人說(shuō)它是從網(wǎng)絡(luò)釣魚電子郵件進(jìn)入的����。
事件分析:釣魚郵件配合社會(huì)工程學(xué)攻擊,即使是物理隔絕的系統(tǒng)也會(huì)受到損害��。
二��、我國(guó)核電工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀
自2010年起�,我國(guó)加快了核電站等清潔能源的建設(shè),隨著工業(yè)化和信息化深度融合��,核電控制系統(tǒng)已從模擬控制轉(zhuǎn)變?yōu)榈谌鷶?shù)字自動(dòng)化控制���,這在提高核電站生產(chǎn)效率和經(jīng)濟(jì)效益的同時(shí)也帶來(lái)了新能安全風(fēng)險(xiǎn)����。為保障電力供應(yīng)安全和應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)�,國(guó)家高度重視���,全國(guó)人大���、公安部���、工信部、發(fā)改委�、能源局先后在法律、政策�����、標(biāo)準(zhǔn)�、技術(shù)、方案等方面出臺(tái)了相關(guān)文件����,包括《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》��、《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》����、《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等��,為工控系統(tǒng)網(wǎng)絡(luò)安全保駕護(hù)航���。
我國(guó)電力行業(yè)安全標(biāo)準(zhǔn)體系是比較完善和結(jié)構(gòu)化的��,但卻缺少針對(duì)核電廠的工控網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��。核電廠的電力監(jiān)控系統(tǒng)安全防護(hù)是依據(jù)國(guó)家能源局制定的《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》�,總體防護(hù)原則為:“安全分區(qū)、網(wǎng)絡(luò)專用���、橫向隔離���、縱向認(rèn)證”。
電力監(jiān)控系統(tǒng)安全防護(hù)總體框架示意圖
我國(guó)核電工業(yè)體系經(jīng)過(guò)多年的發(fā)展�����,雖取得了顯著成績(jī)�����,但核電工控安全尚處于起步階段�,仍存在一些自身性問(wèn)題,一些基礎(chǔ)設(shè)施中的關(guān)鍵設(shè)備自主可控能力不足����,核心技術(shù)受制于人�,這都將是核電工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)中的安全隱患�。
三����、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
3.1設(shè)備漏洞風(fēng)險(xiǎn)
核電工控系統(tǒng)設(shè)備與傳統(tǒng)信息系統(tǒng)一樣,存在各種安全漏洞���,截止2020年12月����,根據(jù)我國(guó)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)統(tǒng)計(jì)��,工控系統(tǒng)漏洞總數(shù)為2945個(gè)�����,2020年新增工控系統(tǒng)漏洞583條���,較上一年增長(zhǎng)150%�����,其中高危漏洞占新增數(shù)量的45%��。更為可怕的是��,更多的工控系統(tǒng)漏洞并未公開發(fā)布�����。與傳統(tǒng)信息系統(tǒng)相比����,核電工控系統(tǒng)追求的是高可靠性、可用性����,且升級(jí)維護(hù)成本高、周期長(zhǎng)��,部分系統(tǒng)設(shè)備直至退役都不會(huì)進(jìn)行一次更新升級(jí)�,致使很多工控系統(tǒng)都是“帶病”運(yùn)行,存在較高漏洞被利用的風(fēng)險(xiǎn)����。
3.2網(wǎng)絡(luò)邊界安全防護(hù)缺失
在面對(duì)眾多工控系統(tǒng)漏洞,又很難對(duì)系統(tǒng)升級(jí)維護(hù)的情況下����,運(yùn)維人員往往是采取加強(qiáng)網(wǎng)絡(luò)邊界安全防護(hù)的策略降低安全風(fēng)險(xiǎn)�����。而核電工控系統(tǒng)與生產(chǎn)結(jié)合緊密,在實(shí)際生產(chǎn)中為保障核電儀控系統(tǒng)的高可靠性�����,部分網(wǎng)絡(luò)邊界雖部署了安全防護(hù)設(shè)備����,卻未設(shè)置任何安全防護(hù)策略,致使防護(hù)效果缺失�����。若攻擊者繞過(guò)了網(wǎng)絡(luò)邊界防護(hù)���,面對(duì)擁有眾多漏洞的核電工控系統(tǒng)��,將會(huì)對(duì)核電廠造成災(zāi)難性的后果��。
3.3運(yùn)維過(guò)程中的風(fēng)險(xiǎn)
為實(shí)現(xiàn)分區(qū)分域提升安全防護(hù)效果�,部分核電工控系統(tǒng)采取與其他生產(chǎn)控制網(wǎng)絡(luò)����、管理信息網(wǎng)絡(luò)完全物理隔離�����,而核電工控設(shè)備�����、系統(tǒng)專業(yè)性較強(qiáng)�����,一般需要廠家專門運(yùn)維���,在缺少運(yùn)維審計(jì)機(jī)制的情況下,運(yùn)維人員在調(diào)試過(guò)程中會(huì)出現(xiàn)設(shè)備接入不規(guī)范�����、人員誤操作���、非法外聯(lián)��、病毒傳播等情況����,存在較大安全風(fēng)險(xiǎn)。
3.4安全管理不到位
從核電業(yè)務(wù)本身的性質(zhì)出發(fā)��,工業(yè)控制系統(tǒng)在設(shè)計(jì)時(shí)更多的是考慮系統(tǒng)的可用性���、可靠性和生產(chǎn)安全性,普遍對(duì)網(wǎng)絡(luò)安全性問(wèn)題的考慮不足���,沒(méi)有制訂完善的工業(yè)控制系統(tǒng)安全政策��、管理制度以及缺乏對(duì)人員的網(wǎng)絡(luò)安全意識(shí)培養(yǎng)�,造成人員的網(wǎng)絡(luò)安全意識(shí)淡薄�����。人員安全意識(shí)薄弱將是造成核電工控系統(tǒng)安全風(fēng)險(xiǎn)的一個(gè)重要因素����,特別是社會(huì)工程學(xué)相關(guān)的定向釣魚攻擊可能使重要崗位人員淪為外部威脅入侵的跳板。
四��、網(wǎng)絡(luò)安全防護(hù)建議
4.1主機(jī)加固
在不影響業(yè)務(wù)正常運(yùn)行的情況下�,盡可能對(duì)核電工控主機(jī)�、系統(tǒng)軟件等存在的漏洞進(jìn)行打補(bǔ)丁升級(jí);部署工控主機(jī)防護(hù)系統(tǒng)�,對(duì)工業(yè)主機(jī)的服務(wù)、進(jìn)程�、端口建立白名單基線模型,對(duì)不在基線模型中的病毒��、木馬等惡意攻擊代碼進(jìn)行阻斷運(yùn)行�,同時(shí)對(duì)USB口進(jìn)行管控,實(shí)現(xiàn)工業(yè)主機(jī)自身安全的防護(hù)���。
4.2邊界防護(hù)
嚴(yán)格按照電力監(jiān)控系統(tǒng)安全防護(hù)“十六字方針”即:“安全分區(qū)��、網(wǎng)絡(luò)專用�����、橫向隔離����、縱向認(rèn)證”進(jìn)行網(wǎng)絡(luò)邊界防護(hù)�����,并使用最小化白名單原則設(shè)置訪問(wèn)控制策略�,嚴(yán)禁空策略現(xiàn)象;基于服務(wù)����、端口��、工控協(xié)議等建立白名單基線安全模型����,解決不同區(qū)之間的違規(guī)操作、惡意代碼攻擊�、工控協(xié)議脆弱性攻擊、網(wǎng)絡(luò)DDOS(如ICMP-FLOOD����、UDP-FLOOD)攻擊等問(wèn)題�����。
4.3運(yùn)維審計(jì)
在不同安全防護(hù)區(qū)域部署堡壘機(jī)���,進(jìn)行集中賬號(hào)管理�����、集中登錄認(rèn)證����、集中用戶授權(quán)和集中操作審計(jì),實(shí)現(xiàn)對(duì)運(yùn)維人員運(yùn)維時(shí)的操作進(jìn)行記錄和行為審計(jì)���。對(duì)違規(guī)操作���、非法訪問(wèn)等行為進(jìn)行監(jiān)控,為事后追溯提供依據(jù)��,解決運(yùn)維時(shí)無(wú)監(jiān)控���、審計(jì)以及運(yùn)維效率低等問(wèn)題����。
4.4監(jiān)測(cè)預(yù)警
在各網(wǎng)絡(luò)區(qū)域邊界部署工控網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)��,進(jìn)行威脅感知及監(jiān)測(cè)預(yù)警���,集中呈現(xiàn)整個(gè)工控網(wǎng)絡(luò)的安全異常���、安全威脅態(tài)勢(shì)、病毒爆發(fā)趨勢(shì)、設(shè)備故障情況等;加強(qiáng)工控網(wǎng)絡(luò)流量監(jiān)測(cè)與分析�,實(shí)時(shí)發(fā)現(xiàn)匿藏在工控流量中的威脅,如病毒��、木馬��、惡意攻擊以及違規(guī)操作����、誤操作等行為,并進(jìn)行記錄�����、審計(jì)��,為事后溯源�、定位故障點(diǎn)提供有力的證據(jù)��。
4.5安全評(píng)估
定期對(duì)核電工控系統(tǒng)開展安全評(píng)估�,對(duì)系統(tǒng)所涉及的資產(chǎn)(系統(tǒng)、硬件�、軟件、網(wǎng)絡(luò)以及安全配置)進(jìn)行識(shí)別�、梳理、分析、記錄���,利用漏掃和基線核查工具對(duì)全網(wǎng)的資產(chǎn)進(jìn)行全面漏洞評(píng)估和安全基線檢查�,及時(shí)了解系統(tǒng)的薄弱環(huán)節(jié)和潛在風(fēng)險(xiǎn)��,借助第三方客觀評(píng)估系統(tǒng)風(fēng)險(xiǎn)等級(jí)�����,為后期安全防護(hù)建設(shè)提供必要的依據(jù)�����。
4.6安全管理
堅(jiān)持核電工控系統(tǒng)建設(shè)“三同步”:同步規(guī)劃���、同步建設(shè)��、同步使用���,讓網(wǎng)絡(luò)安全防護(hù)理念貫穿工控系統(tǒng)全生命周期;加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理制度建設(shè),落實(shí)責(zé)任分工;完善應(yīng)急響應(yīng)體系�����,定期開展應(yīng)急演練,提升運(yùn)維人員應(yīng)急響應(yīng)處置能力;定期開展員工網(wǎng)絡(luò)安全宣貫培訓(xùn)����,提升全員的網(wǎng)絡(luò)安全意識(shí)。
聲明:本文來(lái)自關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心�����,版權(quán)歸作者所有�����。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)�����,不代表我們立場(chǎng)����,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)����,請(qǐng)聯(lián)系刪除��。
等保測(cè)評(píng)咨詢
