文│中核集团 冯蔚 钱勍 高汉军
当前,网络安全问题已上升到国家安全的高度,核电数字化控制系统是核电站的“神经中枢”,是国家重点保护的关键信息基础设施(以下简称“关基”)。自 2010 年伊朗“震网”病毒暴发以来,核电领域普遍认识到,现有基于边界的安全防护手段难以防御未来高强度的网络安全威胁。同时,我国在役核电控制系统大部分采用国外设备,在日趋严峻的网络安全形势下风险重重。系统本身是否存在未知安全漏洞?已知安全隐患的整改是否会影响系统可靠性?新增安全设备是否会影响系统的稳定运行?这些问题都严重阻碍了核电控制系统的网络安全加固进程。目前,核电厂缺乏具有针对国外品牌的关基加固方案,导致普遍采用粗粒度的“边界隔离+配套管理”,以提供最基本的防护能力。因此,对于在役的核电控制系统应结合国家政策法规和测评标准,按照“摸清家底、认清风险、找出漏洞、及时整改”的思路,在不影响系统可用性和可靠性的前提下开展系统性的风险评估、合规性分析,提出针对性的安全加固方案,并利用安全测试平台对具体加固措施进行充分的测试验证,以推动安全整改工作的有效落地。
一、摸清风险,做到“有的放矢”
早期的核电控制系统在设计时更多考虑的是系统可用性,没有关注系统的安全属性,使得针对核电控制系统的攻击事件层出不穷。为了能够清楚认识系统究竟存在怎样的安全隐患,以便在系统安全防护中做到“有的放矢”,需要开展针对性的检测、验证和分析工作。
首先,需要进行系统性的风险分析,主要包括合规性分析和风险评估两方面。对标等级保护及扩展要求、关基保护条例要求,做好合规性分析;主动识别漏洞、威胁和风险,做好风险评估。其次,构建适合核电控制系统的安全防御体系,从仅依靠网闸和防火墙的单点防御,过渡到“一个中心三重防御”的立体纵深防御体系,在增强和保证网络安全性的同时,及时发现和阻断正在进行的网络攻击,预测和识别未知攻击,达到主动防御的效果。第三,要加强技术手段和管理措施的有机结合,通过技防结合人防,取长补短,强化关键信息基础设施的整体安全性。
分析关基的网络安全风险,需要摸清家底、认清风险、找出漏洞。等保测评是最基础的合规性检查,为了达到关基防护的更高要求,在等保测评的基础上还要开展系统性的风险评估,主动识别漏洞、威胁和风险,针对所发现的问题设计加固方案。
为了确保测评和风险评估过程既不影响核电厂正常运行,又不脱离实际的应用场景,需建立与控制系统结构、功能一致、结合实物和仿真技术的综合网络安全测试平台,以便无缝地开展漏洞扫描、风险分析工作。从近年来的实践中发现,核电厂控制系统的安全风险主要来自以下四个方面:
一是主机防护不足。很多控制系统存在未配置有效的安全策略、主机系统升级加固困难、系统补丁不更新或者更新不及时等问题。很多主机未安装杀毒软件或杀毒软件的病毒库长期未更新,对恶意代码,主机缺乏有效防御手段。
二是存在中高危漏洞。核电控制系统公开的漏洞逐年增加,目前核电在役控制系统大量采用进口产品和技术,绝大部分中高危漏洞都来自这些产品,已有漏洞不封堵、供应链不断引入的新漏洞,都让系统持续地暴露在安全风险之中。
三是存在入侵风险。攻击者可能利用病毒、木马、文件摆渡等手段进入控制系统计算环境内部,对控制器发出恶意指令,例如控制器启停指令、修改系统时间、修改工艺参数、对工艺设备进行启停操作等,导致控制系统宕机出现严重安全事故。
四是安全管理能力不足。没有安全管理区,无法进行集中管理和有效的监视报警;运维、升级过程使用移动介质摆渡或者远程桌面,引入了额外的安全风险;漏洞扫描、备份、上线测试等流程不规范或不完备。
二、加固建设方案
(一)分区分域及边界防御
分区分域是保护控制系统免遭安全威胁的有效方法,目前中核集团下属核电厂已经按照《电力监控系统安全防护规定》要求,实现了分区分域。重点保护的控制系统以及直接影响机组运行的系统都部署于安全区内,通过区域划分构建纵深防御体系,不同等级区域之间部署严格的边界防御措施,保证低安全区域的安全事件不会向高安全区域蔓延。
在边界防御措施上,使用防火墙和网闸建立异构的边界防护,使用态势感知和网闸监视装置建立网络边界安全可视化。在网络边界上部署主机加固系统,建立基于主机进程-端口-用户-设备,以及基于流量-访问关系的白名单控制。以上措施在部分核电厂中已经得到良好的实践,有效地提升了控制系统网络边界的防御能力。
(二)网络安全设备旁路接入
由于核电控制系统的网络拓扑和通信规则都是经过精心设计的,而且通信过程也相对稳定并符合生产控制规律,因此控制系统流量负载中的控制指令、操作、协议类型、流量模型等信息是可监测、可预测的。在控制系统内通过采集镜像流量,实现监测、分析、预警,可有效地发现网络中的异常行为。在工程实践中,通过旁路接入安全设备的方式不会对系统造成影响。主要使用的安全设备包括以下几类。
指令级监控审计设备。实现对控制系统流量的指令级审计,识别并记录流量中的控制指令、状态参数,并对与业务逻辑相关的异常行为进行分析和告警。
入侵检测系统。实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入,实现对系统网和监控网的全流量审计、入侵检测、告警和分析。
数据库审计系统。解析流量中的数据库协议,实现数据库的安全审计。
流量探针。采集流量数据,为态势感知系统提供数据支持。
(三)控制系统内部安全加固控制系统内部加固
涉及控制系统升级、主机加固及日志审计系统的部署、诱捕式网络安全设备的配置等方面。这些加固的手段可能会对系统造成影响,因此除了进行充分测试外,还应视原厂适配情况进行必要取舍。
控制系统的升级改造。通过升级操作系统、业务系统、升级通信协议、封堵漏洞等方式强化设备自身的安全,重点保护工业控制系统的计算机设备、网络交换机、路由器等设备。在原厂支持下,可以对包括内生性可信计算、用户身份验证及访问控制、数据的完整性和机密性等方面进行改造。
主机加固客户端部署。为降低控制系统难以安装系统补丁及杀毒软件的安全风险,使用针对控制系统的主机加固系统,通过白名单提供防篡改和恶意代码的免疫能力,以及双因子认证强化对操作者身份验证的能力。
日志审计客户端部署。通过多种方式采集控制系统网络内的安全设备、通用网络设备、主机操作系统及各种应用系统的日志、审计记录等安全信息,并对数据进行有效存储,分析和挖掘,为事前预防、事发告警、事后总结打下坚实基础。
诱捕式网络安全设备部署。在业务网络中部署蜜罐系统,对网络攻击进行诱捕和分析,主动刺探并干预可能发生的攻击行为,借此提高发现潜在隐蔽攻击的可能性,降低处置安全风险的成本。
(四)集中管控
为了对整体网络态势进行分析、预测及可视化展示,以提高基础数据利用率、提高安全事件处置效率,应建立安全集中管理区,从整体上把握安全态势,为用户的安全决策提供可靠支持,实现积极主动的动态安全防御。
安管平台部署。提供与其他安全设备的联动能力,可信网络、终端、用户、事件集中监管和告警管理以及可视化呈现能力。
态势感知系统部署。态势感知系统具备实现终端安全状态数据、安全设备报警信息、资产漏洞信息的接入,强化态势感知安全信息的整合能力,建立工控系统安全态势的可视化展示效果。
堡垒机部署。堡垒机能够有效记录和审计用户的运维操作,加强内部业务操作行为监管、避免引发有非法运维引起的核心资产(服务器、网络设备、安全设备等)损失、保障业务系统的正常运营。
(五)技术与管理结合
控制系统安全问题从来就不是单纯的技术问题,仅仅通过机械罗列和部署独立的安全产品很难形成完备的防控体系,难以覆盖所有的安全角落。因此,必须把技术措施和管理措施结合起来,技防结合人防,取长补短,以强化整体安全性。
在实施核电安全防护改造时,通过建立网络安全运营管理制度,使核电控制系统的安全运营制度化、流程化、规范化,确保威胁监测、应急响应、变更改造、协同指挥等安全运营活动有据可依,切实建立起“技术防护+运营管理”双轮驱动的动态防护体系。
控制系统应建立规范化、体系化的准入制度,通过供应商管理、供应目录管理、产品测试和入网管理,确定可信的供应路径和供应产品,防范来自供应链的安全威胁,维护系统在运行过程中的完整性。
三、方案的测试验证
为验证安全整改对系统可靠性的影响,以及新增安全设备自身的可靠性,在提出整改方案的同时,需同步设计针对性的测试,验证方案。
原则上,测试验证工作应尽可能在安全测试平台上进行,以充分利用该平台的虚实结合的优势,尽可能减少对各业务系统的真实影响,尽早、尽可能地在测试平台上暴露出问题。测试设计越合理,暴露问题越早,解决成本就越低。
四、总 结
通过前期方案的探索和实践,中核集团在核电领域关键信息基础设施的网络安全加固工作中已初步取得成效,不仅提升了在役控制系统的网络安全防护能力,也为自主化控制系统的内生安全设计提供了技术输出和经验积累。
关键信息基础设施的网络安全保障不仅依赖单个企业的力量,也需要整个行业乃至国家监管单位的支持。中核集团也将致力于打造安全可靠的信息共享机制,在保障数据安全的基础上,共享威胁情报和威胁分析处理技术,通过联合实战演练提升关基的联防联控能力,将关基从单点的、本地的、局部的防护升级为统一的立体防御体系。
(本文刊登于《中国信息安全》杂志2022年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。