核电站作为未来世界最为重要的能源供应中心,保障核电站的安全稳定运行是开发利用核电的前提。近年来,随着工业化、信息化进程的加快,数字化控制技术广泛应用于核电站的生产运行,工控网络安全风险也不断向核电领域渗透。

一、核电行业网络安全形势

以2010年伊朗核设施遭受“震网”病毒攻击为标志性事件,工业控制系统领域的网络对抗已经成为影响各国国防安全的重要元素。核电是国家重要的基础行业之一,核电安全事关国家安全,影响国计民生。福岛核事故后,日本资深核电专家小仓志郎曾反思:“拥有核电,等于自己装了核弹,而按钮却在敌人手里。你想要防卫的敌人难道都是超级善心人士、故意不去攻击核电厂弱点?”。

近年来,核电站电力监控系统面临的网络安全威胁形势日益严峻,被曝光的网络攻击事件层出不穷,以下简要介绍此类事件概况并进行分析。

( 1 ) 2003年1月:美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQLSlammer蠕虫病毒攻击,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。蠕虫病毒通过承包商连接至核电厂网络的便携式电脑,绕过核电厂防火墙,扩散到核电站网络系统,导致部分联网主机拒绝服务。

事件分析:运维过程中,外部设备发生了不安全接入,再加上SQL Server 2000漏洞的补丁程序未及时更新,导致病毒扩散至工控网络,最终入侵工业控制系统。

( 2 ) 2008年3月: 美国乔治亚州的Hatch核电站2号机组发生自动停机事件。工程师对核电站业务网络中的一台计算机(用于采集控制网络中的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时,同步程序重置了控制网络中的相关数据,使得控制系统以为反应堆储水库水位突然下降,自动关闭了整个机组。

事件分析:对于软件系统的升级会导致不可预期的网络行为发生。内部人员的误操作导致同步程序重置了控制系统中的数据,进而影响了工控系统。

( 3 ) 2010年:“震网”(StuxNet)蠕虫攻击伊朗核设施。该蠕虫定向明确,是专门针对工业控制系统编写的恶意病毒,利用Windows系统和西门子SIMATICWinCC系统的多个漏洞,定向破坏伊朗离心机等要害目标。破坏程序在潜伏一段时间后,使机器突然加速和减速,导致离心机的转子失稳,最后自毁;同时,欺骗程序发出虚假的传感器信号,阻止系统启动安全保护功能,以确保机器自毁。

事件分析:著名的“震网病毒”攻击了物理隔离的工业控制系统,具有“多层渗透、长期潜伏、精确打击”的特点。首次让人们意识到了“网络战”确实存在。

( 4 ) 2014年:“格盘病毒”(MBR Wiper)攻击韩国核电站。该病毒会擦除感染机器的主引导记录(MBR),攻击者使用了大量的社会工程学技巧植入病毒,利用文字处理软件感染核电站的计算机,破坏计算机内文件。

事件分析:利用典型的APT攻击手段攻击物理隔离的工业控制系统,首次在东方国家发现对核电站的工控网络攻击。

( 5 ) 2014年12月,韩国水力原子能公司(KHNP)遭黑客入侵,内部资料外泄。包括韩国两家核电站的部分设计图、空调和冷却系统说明、辐射值报告、员工资料等10万多张机密资料。

事件分析:核电作为国家关键技术,不仅要关注可靠性,其相关技术的机密性也极为重要。对攻击者而言,进行系统机密性的破坏比对工控系统可用性的破坏更为简单。

( 6 ) 2019年9月,印度Kudankulam核电站内网感染了恶意软件。据了解,该软件由知名朝鲜黑客组织Lazarus开发,属于Dtrack后门木马的变体。研究人员分析Dtrack的传播路径,有人说它是从网络钓鱼电子邮件进入的。

事件分析:钓鱼邮件配合社会工程学攻击,即使是物理隔绝的系统也会受到损害。

二、我国核电工控系统网络安全现状

自2010年起,我国加快了核电站等清洁能源的建设,随着工业化和信息化深度融合,核电控制系统已从模拟控制转变为第三代数字自动化控制,这在提高核电站生产效率和经济效益的同时也带来了新能安全风险。为保障电力供应安全和应对日益严峻的网络安全形势,国家高度重视,全国人大、公安部、工信部、发改委、能源局先后在法律、政策、标准、技术、方案等方面出台了相关文件,包括《中华人民共和国网络安全法》、《网络安全等级保护基本要求》、《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案》、《工业控制系统信息安全防护指南》等,为工控系统网络安全保驾护航。

我国电力行业安全标准体系是比较完善和结构化的,但却缺少针对核电厂的工控网络安全标准。核电厂的电力监控系统安全防护是依据国家能源局制定的《电力监控系统安全防护总体方案》,总体防护原则为:“安全分区、网络专用、横向隔离、纵向认证”。

电力监控系统安全防护总体框架示意图

我国核电工业体系经过多年的发展,虽取得了显著成绩,但核电工控安全尚处于起步阶段,仍存在一些自身性问题,一些基础设施中的关键设备自主可控能力不足,核心技术受制于人,这都将是核电工控系统网络安全建设中的安全隐患。

三、网络安全风险分析

3.1设备漏洞风险

核电工控系统设备与传统信息系统一样,存在各种安全漏洞,截止2020年12月,根据我国国家信息安全漏洞共享平台(CNVD)统计,工控系统漏洞总数为2945个,2020年新增工控系统漏洞583条,较上一年增长150%,其中高危漏洞占新增数量的45%。更为可怕的是,更多的工控系统漏洞并未公开发布。与传统信息系统相比,核电工控系统追求的是高可靠性、可用性,且升级维护成本高、周期长,部分系统设备直至退役都不会进行一次更新升级,致使很多工控系统都是“带病”运行,存在较高漏洞被利用的风险。

3.2网络边界安全防护缺失

在面对众多工控系统漏洞,又很难对系统升级维护的情况下,运维人员往往是采取加强网络边界安全防护的策略降低安全风险。而核电工控系统与生产结合紧密,在实际生产中为保障核电仪控系统的高可靠性,部分网络边界虽部署了安全防护设备,却未设置任何安全防护策略,致使防护效果缺失。若攻击者绕过了网络边界防护,面对拥有众多漏洞的核电工控系统,将会对核电厂造成灾难性的后果。

3.3运维过程中的风险

为实现分区分域提升安全防护效果,部分核电工控系统采取与其他生产控制网络、管理信息网络完全物理隔离,而核电工控设备、系统专业性较强,一般需要厂家专门运维,在缺少运维审计机制的情况下,运维人员在调试过程中会出现设备接入不规范、人员误操作、非法外联、病毒传播等情况,存在较大安全风险。

3.4安全管理不到位

从核电业务本身的性质出发,工业控制系统在设计时更多的是考虑系统的可用性、可靠性和生产安全性,普遍对网络安全性问题的考虑不足,没有制订完善的工业控制系统安全政策、管理制度以及缺乏对人员的网络安全意识培养,造成人员的网络安全意识淡薄。人员安全意识薄弱将是造成核电工控系统安全风险的一个重要因素,特别是社会工程学相关的定向钓鱼攻击可能使重要岗位人员沦为外部威胁入侵的跳板。

四、网络安全防护建议

4.1主机加固

在不影响业务正常运行的情况下,尽可能对核电工控主机、系统软件等存在的漏洞进行打补丁升级;部署工控主机防护系统,对工业主机的服务、进程、端口建立白名单基线模型,对不在基线模型中的病毒、木马等恶意攻击代码进行阻断运行,同时对USB口进行管控,实现工业主机自身安全的防护。

4.2边界防护

严格按照电力监控系统安全防护“十六字方针”即:“安全分区、网络专用、横向隔离、纵向认证”进行网络边界防护,并使用最小化白名单原则设置访问控制策略,严禁空策略现象;基于服务、端口、工控协议等建立白名单基线安全模型,解决不同区之间的违规操作、恶意代码攻击、工控协议脆弱性攻击、网络DDOS(如ICMP-FLOOD、UDP-FLOOD)攻击等问题。

4.3运维审计

在不同安全防护区域部署堡垒机,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计,实现对运维人员运维时的操作进行记录和行为审计。对违规操作、非法访问等行为进行监控,为事后追溯提供依据,解决运维时无监控、审计以及运维效率低等问题。

4.4监测预警

在各网络区域边界部署工控网络安全监测系统,进行威胁感知及监测预警,集中呈现整个工控网络的安全异常、安全威胁态势、病毒爆发趋势、设备故障情况等;加强工控网络流量监测与分析,实时发现匿藏在工控流量中的威胁,如病毒、木马、恶意攻击以及违规操作、误操作等行为,并进行记录、审计,为事后溯源、定位故障点提供有力的证据。

4.5安全评估

定期对核电工控系统开展安全评估,对系统所涉及的资产(系统、硬件、软件、网络以及安全配置)进行识别、梳理、分析、记录,利用漏扫和基线核查工具对全网的资产进行全面漏洞评估和安全基线检查,及时了解系统的薄弱环节和潜在风险,借助第三方客观评估系统风险等级,为后期安全防护建设提供必要的依据。

4.6安全管理

坚持核电工控系统建设“三同步”:同步规划、同步建设、同步使用,让网络安全防护理念贯穿工控系统全生命周期;加强企业网络安全管理制度建设,落实责任分工;完善应急响应体系,定期开展应急演练,提升运维人员应急响应处置能力;定期开展员工网络安全宣贯培训,提升全员的网络安全意识。

参考资料:

https://www.sohu.com/a/118290019_131990

http://www.pinlue.com/article/2020/08/1800/4611139031158.html

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。