核电工控系统运维阶段的网络安全关键技术及防护措施分析研究.pdf

该【核电工控系统运维阶段的网络安全关键技术及防护措施分析研究 】是由【青山代下】上传分享，文档一共【17】页，该文档可以免费在线阅读，需要了解更多关于【核电工控系统运维阶段的网络安全关键技术及防护措施分析研究 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..核电工控系统运维阶段的网络安全关键技术及防护措施分析研究摘要:自1990年以来,全世界已发生了近30起通过网络攻击核设施的事件。其中,最严重的当属2010年伊朗核电站遭受的“震网”攻击事件,该事件导致上千台离心机不可用,给核安全造成巨大的冲击。根据《中华人民共和国网络安全法》第三章(第二节)第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他一但遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。为保障核电工控系统可靠、安全运行,确保其敏感数据不被篡改和泄露,规范工业控制大区信息系统的安全管理,网络安全防护策略及技术要求以“安全分区、网络专用、横向隔离、纵向认证”为核心,满足适度防护、纵深防御、统一管理、技术管理并重、国产化、动态调整六大原则。关键词:核电工控系统;网络安全;1、(集散控制系统)为主,DCS按照功能不同可分为四个层级,分别是Level0(工艺系统接口层)、Level1(自动控制和保护层)、Level2(操作和信息管理层)、Level3(全场信息管理层),如图1所示。其中,Level0层包含现场变送器、执行器,可监测现场的过程参数,并根据上层设备下发的指令控制设备;Level1层包含现场控制站、通讯站以及网关,负责level0层的数据并进行自动保护、自动控制或信号预处理;Level2层包含各:..类服务器,还有工程师站、操作员站、网关等设备,作为人机交互的接口,向操作员提供机组运行信息,操作员在人机界面上操作,向下层发送控制信息以维持机组的运行;Level3层负责对电厂信息进行综合处理,并将相关信息传送给应急指挥中心、场内场外专网上的用户,该过程为单向传输。图1工控网络结构Level0现场数据由过程控制机柜系统进行信号分配、采集与计算,这些过程控制机柜受数字化仪控子系统A/B/C列隔离及房间抗震要求限制,被分散安装到不同的房间中,通过交换机组成环形结构的网络拓扑结构,网(系统网),网送往信息和控制系统的服务器,网(管理网)的各个人机接口,与操纵员进行信息交互。其中,均采用经裁剪开发的UDP协议,交换机采用的为ERPS(以太环保护切换协议)。同时,MNET还可通过网关从安全级DCS系统调用信息,该网关为单向网关。Level3网关需要将DCS中的实时数据和历史数据传送到Level3应用系统,通讯协议为TCP/IP协议,通讯链路上有单向网闸。,对电力监控系统的技术管理、安全管理、保密管理以及监督管理提出了进一步要求,其主要内容是“安全分区、网络专用、横向隔离、纵向认证”的原则。:..生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ),如下图2所示。控制区是电力生产的重要环节,直接实现对电力一次系统的实时监控,是安全防护的重点与核心。非控制区是电力生产的必要环节,在线运行但不具备控制功能。图2安全分区管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合,管理信息大区的传统典型业务系统包括调度生产管理系统、行政电话网管系统、电力企业数据网等。电力企业在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。华龙项目DCS系统总体强度取决于系统中最薄弱的环节,所以在构建DCS系统网络安全体系时采用“一个中心,三重防护”体系为基础,即以安全区域边界、安全通信网络和安全计算环境这三个方面为工作重点进行保护,其中以计算环境的安全为重。结合现场业务需求,构成了由安全管理中心支撑下的安全区域边界、安全通信网络、安全计算环境所组成的三重防护体系结构的方案模型,形成DCS系统网络纵深安全防御体系。:..安全管理中心负责统一集中管控,实现对安全设备的审计管理、系统管理和安全管理,形成一个相对独立的系统环境,并在安全区域边界、安全通信网络和安全计算环境中部署相应的安全硬件设备和安全软件。安全管理中心从功能上可细分为审计管理、系统管理和安全管理。边界的安全防护是保护工控系统的第一道安全屏障,安全区域边界包括与Level3管理信息大区之间的边界、与同一控制区的第三方系统之间的边界、与安全管理中心不同安全域之间的边界,需要重点实施访问控制、协议过滤、安全审计以及边界完整性保护等保护内容。在安全边界处对进入和流出的信息流进行安全检查和访问控制,采用物理隔离、逻辑隔离、入侵检测等方式,确保不会有违背系统安全策略的信息流通过边界,防止非法内联、非法外联的行为,保证边界的完整性。通信网络由系统内部计算节点和网络设备共同组成,它是DCS系统安全保障的第二道屏障,主要采用监测审计平台、安全蜜罐等设备。通信网络保护需要通过对通信双方进行身份鉴别验证,建立安全通道,实施传输数据完整性保护,确保用户信息在传输过程中不会被篡改和破坏。安全计算环境是由一个或多个计算机系统(主机/服务器)组成的,以对数据信息进行存储、处理为主要目的,有明确边界的计算区域。计算环境安全也是DCS系统安全防护的最后一道屏障,计算环境安全通过服务器操作系统、各类主机、应用系统和数据库的安全机制服务,保障DCS系统业务处理全过程的安全运行;通过在操作系统核心层和系统层建立以强制访问控制为主体的系统安全机制,构建安全保护环境的结构化机制,建立可信安全保护环境;通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保用户数据的完整性。2、常见脆弱性分析为全面考察工控网络安全状态的安全性,特从以下几个方面进行分析,如下表1所示。表1脆弱性列表:..脆弱失效风险及分析点安全应急措施高风险,缺少网络安全应急处置方案不完善无定中风险,没有定期查杀记录,系统无法更新黑名单,并进期查杀病行学****毒记录高风险,防火墙访问控制策略不完善防火墙漏洞未设置防火墙密码有效期策略密码管理不完高风险,未定期更换,使用简单密码善高风险,未限制高危端口高危端口未关闭高危远程服务账户中风险,存在公用账户,账户权限设置过大;存在多余和权限设置默认账户过大无定中风险,若没有定期备份,一旦计算机损坏或者超负荷,期备份会导致存储在计算机中的数据丢失,对用户的信息安全构成威:..胁用户的安全操中风险,用户的不规范操作极易造成漏洞、引入风险作意识低计算机设备报中风险,报废处理流程不规范、《国家网络安全事件应急预案》中明确要求需定期开展网络安全事件应急演练。核电厂需编制整体的网络安全应急处置方案,并建议编制针对工控网络安全应急处理预案,重点提高方案预案的实用性和可操作性,在面对网络安全应急事件时有处置依据,形成与对口调度机构预案相衔接的联动机制。、恶意代码严重威胁系统网络安全,相关查杀的数据诸如查杀时间、杀毒软件名称、病毒库来源、病毒或者恶意代码名称以及来源、处理结果等应该做好记录,便于后续审查。,这也意味着先进的病毒代码或者新出现的病毒能够突破防火墙,使数据在传输过程中可能会丢失、误码或被篡改,甚至程序的逻辑被修改,给核电运营带来巨大威胁。:..密码管理不完善严重威胁公司网络安全,泄露后可能会导致非法用户以管理员身份进入各个工控系统中,进行非法操作或留下***,甚至导致重大核电核安全事故。,远程服务常用于共享文件和远程信息调用服务,非法入侵者可能会利用这些高危端口进行信息调用、文件下载等操作,高危端口应进行出站、入站双向封堵。,可能导致遭受攻击时未被发现,致使系统信息泄露,关键系统、设备的指令被篡改,关键控制数据被篡改,进而失去控制。,可有效避免因系统故障或者人为操作失误造成的数据丢失、缺陷以及错误,应将数据集合后存储到光驱、光盘等设备避免造成不可逆的风险。,对数据库造成伤害,影响系统的正常运行,给黑客或者病毒留下可乘之机,严重将影响用户对DCS系统失去控制,出现一系列不可预测的安全问题。需建立网络安全应急队伍,定期开展网络安全演练,提升应急处置水平。,因流程中的各个环节人员没有意识到需遵守相关环保法规和数据保密法规,若处理不当,存在暴露电厂机密、工业数据、专有网络信息等风险。:..3、脆弱点应对措施基于以上脆弱点,我们制订了以下应对措施,如表2所示。表2脆弱点应对措施安全行为安全目标1、完善防火墙访问控制策略,只有被授权的人员或者设备才能被允许访问网络与存储信息;访问控制2、定期查杀病毒的信息做好记录,便于查询。建立设备台账,设置密码有效期,同时每3个月更换密码管理一次密码,密码随机生成授权管理建立技术授权分级管理机制定期备份每半年备份一次数据定期组织DCS及网络安全培训,从业人员通过考核获组织培训取授权后方可操作设备对存在高危风险的端口进行排查、梳理后逐一关闭,关闭高危端口同时禁用高危远程服务1、编制网络安全应急处置方案,保证在应对突发事制定安全应急件时有全面详细的应急预案指导工作,依照预案要求进行措施应急处置;2、每年开展一次应急演****对预案进行演练并出具:..总结报告给集团备案。规范计算机设编写对应的管理程序,,制止非授权用户的不当行为,又要保证信息之间不出现交叉感染,主要通过接入访问控制、资源访问控制以及网络端口和节点访问控制等技术手段保证各类信息不被非法使用和访问。针对访问控制,在DCS系统边界处安装工控防火墙实现不同安全区或者安全域之间的逻辑隔离,通过“白名单+智能学****技术,阻止任何非授权访问,抑制病毒的扩散。在F-系统之间的通讯链路、KDADCS系统之间的通讯链路,接入1台入侵检测系统,可弥补防火墙的不足,通过旁路采集和干路防护,结合协议状态检测和智能关联分析进行全面的入侵检测。在OPS、服务器、网关及第三方通讯站等使用Windows或Linux操作系统的主机上部署工控主机安全卫士,防范未知恶意代码并进行工控主机全生命周期安全保障,监测信息由安全管理平台统一管理。安全蜜罐的原理是通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对其实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。在安全区Ⅰ的F-系统之间、安全区Ⅰ的KDADCS系统之间、KDS系统主机卫士上传安全管理平台的通信链路上布置有正向隔离装置,通过数据的单向传输控制隔离两个网络。:..密码设置针对密码设置问题,建立网络安全边界的设备台账,开发专门的密码管理平台或软件,根据《网络安全法》的要求,制定预防性维修项目,以3个月为周期,对现场计算机设备进行密码更换,防止密码时间过长不更换出现泄露信息的现象。密码由专门的密码管理平台或软件随机生成,确保大小写、符号和数字的混合组合。按照《密码法》要求,定期开展了密码安全评估工作。,华龙项目DCS系统每半年备份一次数据,同时制定数据备份与恢复制度,对相关人员加以培训,严禁不按规程操作,保证数据完整性。同时,备份的数据将使用光驱进行储存,交由专业的信息文档部门储存于恒温恒湿的电子间中,数据需长期储存保证随用随取。,人员需获取注册信息安全工程师授权方可操作设备,同时设立多项网络安全专题课程,从网络信息安全法律法规、惠州网络信息安全相关工作内容、网络信息安全典型案例等方面对人员进行定期培训,提升人员技术能力、网络安全意识以及网络安全应急处置能力。在人员技术授权方面,进行分级管理,人员需获取工控系统对应等级的技术授权才能进行工作,如现场作业负责人需获取中级技术授权,监护人需获取初级技术授权。在技术授权的理论考核和实操考核中,增加网络安全相关知识和实操训练,提高工控系统涉网络安全的工作准入门槛。,针对高危端口,我们在F-SC3DCS、KDSDCS以及KDADCS的网络中部署了工控安全审计系统对网络交换机端口流量进行监测审计,通过交换机镜像后传送到工控安全审计系统进行监测审计,可识别针对工业协议的:..时记录以及报警。另外,上的设备将进行MAC地址绑定,并禁用交换机备用端口。,列明组织指挥体系及职责、预测预警机制及先期处理、应急响应、针对现场处置及救援措施、事故报告及现场保护、事故调查及处理等详细内容,不同的应急事件应有对应的应急指导措施,保证应急预案的针对性。,程序中规范计算机报废流程,计算机设备报废需由相关的专业部门进行技术鉴定,批准后进入正常报废流程或特殊报废流程,针对一些工业数据或重要信息存储的媒体介质如硬盘、光盘等,要求进行粉碎性处理或消磁性处理。4、运维活动分析和策略核电工控系统追求的是高可靠性、稳定性和可用性,改造和维护升级成本较高、周期较长,更新升级的窗口一般安排在核电机组大修停运期间,工作需要进行长周期的安排计划,部分工控系统或设备在成熟后到机组退役都不会进行一次更新升级。因此,核电工控系统很多都是带着安全漏洞或隐患运行的,这些安全漏洞和隐患是随着技术的发展慢慢增加,存在被利用的风险。核电工控系统均属于完全闭环系统,物理上与其他生产控制网络、管理信息网络完全隔离。在新建或几个循环周期内的电站,核电工控系统需要执行大量的平台软件、第三方软件、接口程序等升版或改造才能趋于成熟稳定。这些专业性较强的操作,有些需要外部厂家运维,电厂及厂家运维人员在过程中可能出现设备接入不规范、人员误操作、非法外联、使用带病毒媒介传播等问题。:..类,重点区分出在闭环系统上的开口作业,开口作业定义为能干涉网络安全成套系统运行或在系统上引入外部媒介的作业,一般包含两种类型:(1)系统管理员层面的作业;(2)作业边界包含硬件接口的作业。,如下表3。基于运维工作的内容详细分析,确认闭环系统的开口作业以及类型。表3运维活动梳理系统管是理员层面否开运维窗系统及设备工作内容(A)或媒口工口介引入作(B)人机界面工控机是A和B大修升级服务器升级是A和B大修工控平台升通讯站升级是A和B大修级工程师站工控机是A和B大修升级控制站升级是A和B大修:..组态工程和画面大修或是A修改日常大修或报警卡是B日常电源柜硬件大修或机柜硬件更换否无更换日常电源柜预防电源模块、空开否无大修性检查等预防性检查项目服务器故障硬件更换、系统大修或是A和B处理重装等日常服务器数据工程备份、历史大修或是B备份数据备份日常服务器预防大修或主从机切换否无性切换日常控制站预防MPU更换、I/O卡否无大修性维修件更换等控制站网络系统网或管理网大修或是A故障处理故障处理日常否无控制站硬件硬件故障排查、大修或:..更换日常通讯站联调升级后通讯联调否无大修通讯站故障硬件更换、系统大修或是A和B处理重装、PING包等日常网关站故障硬件更换、,对系统管理员层面的作业和边界包含硬件接口的作业可进行行政方面的管理,包含人员授权和设备管理。,描述了网络安全中关于人员组织培训与授权管理相关的措施,这些措施可通过行政或技术管理要求,落实到核电厂的内部运维人员授权上。而在大修的运维窗口中,存在厂家人员协助平台设计、工程变更或故障处理的情况。对厂家人员的行政管理要求:至少一名电厂运维人员陪同;签署电厂网络安全相关管理规定承诺书;参加电厂网络安全相关课程培训并通过考试。在网络安全资产的设备端口管理上,电厂采购一次***纸,在所有设备的USB、网口等端口上进行封贴。在需要使用到USB、网口等端口的运维作业中,由运维人员凭借工作票或工作凭证,在网络安全资产接口部门领取一次***纸,完成现场作业后,对已破坏的一次***纸进行更换。:..式,在网络安全管理软件上,对于端口也是采用白名单或封禁的手段。另外,对于网络安全管理软件的使用上,更侧重于其对其它软件和进程的监测和管控,对其本身的自诊断强度较低。核电厂对于运维作业过程中网络安全问题的技术管控,可从以下两方面进行优化:在核电厂主控室操作员人机界面增加工控设备外部端口调用的报警,报警由网络安全管理软件监测各设备端口进程产生。白名单内的端口,监视其中断和重新调用情况,非白名单则监视端口进程调用情况。在核电厂主控室操作员人机界面增加网络安全管理软件自诊断的报警,由核电工控系统的服务器或网络安全相关服务器监视网络安全管理软件的进程,软件进程退出或异常不响应时产生报警。以上技术手段带来的报警,也是核电厂操作员及网络安全维护人员应急响应的重要依据之一。,核电厂的所有现场作业均有工作票或工作指令。工作票或工作指令来源于填报的通知单。通常,通知单的等级根据紧急程度划分为不同的级别(以广核为例),共8级。1级—危急,涉及核安全,应使用一切资源在24小时内连续工作尽早完成,不按12周计划里程碑推进;2级—紧急,影响发电能力,应使用一切资源在24小时内连续工作尽早完成,不按12周计划里程碑推进;3级—加速,若不能完成,将影响可靠性或需编写报告,应在3周内完成,按12周计划部分里程碑推进;4级—提升关注,应在至少12周内完成,或者下一个同一窗口内完成;:..5级—稳定,并非特别与运行相关,在下一次同一窗口中执行;6级—常规工作,执行时间可随意安排,或在未来某个同一窗口中个执行,或周期性工作,指预防性维修或定期试验。7级—非电站生产发电相关;8级—推迟或跟踪项,指那些推迟到不确定时间或将取消的活动,用于跟踪小的缺陷。网络安全相关的异常事件和报警,需结合上述8个分级的严重性进行处理。举例:(1)检测到外部设备不安全接入,或病毒扩散至工控网络,威胁工控网络稳定性和安全性运行,按1级通知单危急处理,务必及时响应。(2)安全审计检测到非法流量,或态势感知检测到威胁出现报警,未确定是否造成实际性后果时,按2级通知单紧急响应处理。5、。(DistributedControlSystem):分布式控制系统SNET网:DCS的系统网MNET网:DCS的管理网KDA:严重事故仪控系统KDS:多样性驱动系统6、参考文件:..