核电站工控信息安全风险分析与探讨

在过去的几年里，世界各地区因伊朗的“震网病毒”事件惶惶不安，随着工业革命新一轮的浪潮，国家关键基础设施安全与国家安全一并提上日程，各国之间网络空间战拉开序幕。过去采用纯物理隔离的工业控制系统安全防护方式，看似无懈可击，实则在新一轮的技术革命中不堪一击，显得无力而苍白。各国之间能源竞争白热化，纷纷动手抢占资源的至高点。而安全是保证国家和平发展的前提。

核电站往往让大众感到神秘而敬畏，核电站最大的影响是核事故、核灾难。核电站事故不但会影响周边环境，其影响甚至会超出国界。核安全要求在核电站设计、制造、建造、运行和监督管理中，将风险降低到能够实现的最低水平。为

就没有核电站的安全，安全目标也难以保证。

PICS工作站用以提供详细的信息和控制手段来操作电厂运行，如果PICS不可用时，就用后备的常规控制盘安全信息控制系统(SICS)来对电厂进行控制，包括在事故后工况下对电厂物理参数进行显示，以帮助员工对电厂的状态进行监视；包括集中必要的控制命令把反应堆维持在稳定的负荷状态运行一定的时期，并在正常或异常工况下将反应堆带到安全停堆状态。

PICS系统的主要功能是为操纵员在所有的电厂工况（正常、DBC和DEC）下能对电厂进行监控。并通过人机界面设备向机组人员提供信息, SICS提供了安

全级人机界面，以执行Fl级和F2级满足抗震要求的控制及信息功能。在正常工况下，如果PICS不可用时，维持电厂在稳定的功率状态运行一段时间；在事故工况下（DBC2到DBC4），且PICS不可用时，将电厂带到并维持在安全停堆状态；在DEC-B（严重事故）工况下控制和监视电厂。

对于控制系统安全，核心关键安全设备的重要性不言而喻，在核电站中核心关键安全设备的选型应遵循以下原则。

1.国产化原则

如核电站系统中使用的安全产品应当优先选用国产产品，以杜绝国外供货方提供的产品存在后门以及其它安全隐患。产品应获得国家相关部门的批准或认证。

2.成熟性原则

如核电站系统采取的安全产品以及解决方案，在技术上必须是成熟的，而且是被检验确实能够解决安全问题、并且在相关项目上有大规模实施以及成功应用的案例。

3.适用性原则

安全产品应当适用于工控系统，支持系统的工业协议（如Modbus、Profibus、S7协议等），产品能够审计及监测系统流量。

4.可靠性原则

核电站系统配置的安全产品必须能够适应核系统的工作场景，具备良好的电磁兼容性以及连续工作不中断的能力，并且具备在一些场景下的旁路功能。

通常，串行通信模块每个接口可单独配置为RS-232 或RS-485，且每个通信入自动控制系统。类似的还有FF、HART等。

控制器是控制站执行控制任务的核心部件，依据用户可组态的控制策略对现场对象进行实时控制，实现连续控制、顺序控制、逻辑控制等各种类型的回路控制任务，并可实现数据采集、运算输出、故障检测与报警、信息传送等功能。控制器对网络、冗余通道、RAM、RTC、组态数据等进行周期性的自检，并在工作控制器检测到故障时，自动切换到备用控制器。在输入故障时，信号可按组态处在三种情况：保持、量程上限或者量程下限。在输出故障时，信号可根据组态保持或者输出预设安全值。

而在实际生产中，核电站数字化控制系统存在以下信息安全风险：首先，工控计算机和工业以太网，可能遭到与攻击民用/商用计算机和网络手段相同的攻击；其次，针对工业控制系统中的组态及系统配置管理软件的攻击，可以改变控制系统内在逻辑，从根本上破坏控制系统应用功能；再次，核电站数字化控制系统与其他系统接口通常采用基于RS-485、232的现场总线（如Profibus、Modbus 等），极易遭到窃听和恶意攻击，如果不考虑信息安全防护措施，将成为极易被攻击的薄弱点。此外，核电站数字化仪控系统实时性高，且要求连续运行，不能采用目前传统的加密、解密设备，从而无法保障信源认证、消息完整性检验和信息内容保密。常规防病毒软件也会极大的损害核电站控制系统的实时性。所以从信息安全角度来讲，以当前国内核电站数字化控制系统的现状，信息安全风险极高。

由于现场运维人员缺乏对技术网络和过程状态的了解，导致如工业网络中出现未授权的网络设备、未经授权的网络通信、操作员或工程师失误向控制设备发送破坏性的命令，缺乏DCS\PLC来往通信控制技术过程的命令和参数值的监测、事件缺乏取证数据、出现可疑的技术过程参数时缺乏有关安全威胁数据、缺乏PLC\DCS等修改尝试和危险过程控制命令时的活动数据、缺乏重新配置或更改DCS\PLC状态的命令审计，包括终止、暂停、变更DCS\PLC、固件变更、控制过程参数和算法，在工业控制系统网络保护设计的过程中，通过过程控制的抽象层运行，分析和检测流量来源，同时对工业网络和工业控制过程进行完整性控制。

另外，核电站其非安全区本身的架构设计存在缺陷，还有诸多的系统漏洞，以及管理上的隐患。给神秘的核电站，带来了安全危机。

在架构设计上缺陷如：

▪未识别关键监测点和控制路径，可能导致核电站仪控系统关键控制路径业务过饱和，关键监测点出现故障，遭受攻击时未能被及时发现，导致危害进一步扩大。▪用户、数据与设备认证手段不足，导致核电控制系统信息泄露，DCS、PLC、仪器、仪表、采集系统（KDO、KME、EPP、LSS、TRA等）、核电站专用控制系统KSN、KDA等关键系统、设备控制指令被篡改，关键控制数据被篡改，失去控制。

▪缺乏网络通信数据完整性校验，未实施数据流控制，未加密，弱加密，数据在传输过程中可能会有丢失或者误码或者被篡改，甚至程序的逻辑被修改，从而对核电站的正常运行产生难以应对的安全威胁。

▪未定义网络边界，不清楚攻击源在哪里，泄密、攻击、病毒等等，存在许许多多不可控的安全隐患，如未定义生产网络和办公网络的边界，可能导致核电站工艺参数信息泄露，生产系统遭受病毒攻击，核心资产数据泄密等等。

▪安全边界防护设备或者策略配置不当，如不根据核电站的安全需求进行合理的安全防护设计，或者防护设备策略配置不当，可能导致其防护设备起不到应有的防护作用，甚至对核电站的生产运行造成负面的影响，例如在生产安全区内部署不能满足生产实时性的阻断性防护设备，可能导致控制网络中断，最终造成生产事故，再如，防护设备自身存在Bug，导致其Bug被黑客或对手利用，对核电站造成损害。

▪专用系统中存在非法流量，专网中没有运行专用网络协议，在专有的系统中，如生产区的控制系统中，将控制系统和其他非控制系统的流量走共同的线缆，导致安全级别高的系统可能受到来自安全级别低的系统的攻击串染。没有走专有的协议，同样存在系统下发指令错误，导致系统沦陷的可能。

▪关键设备未梳理出来，就做不到关键核心设备重点保护，一旦核电站遭受攻击，系统将全面瘫痪。

在非安全区的核电设备存在诸如以下漏洞，其漏洞一旦没利用，对其控制系统进行攻击，将可能造成大面积的生产安全事故。

系统自身的漏洞如：

▪缓冲区溢出

▪拒绝服务

▪非标准报文处理

▪未及时升级补丁包遗留的操作系统漏洞

▪运行不必要的服务

▪未有适当的日志记录

另外按照漏洞可能造成的危害，核电站工控系统技术漏洞可分为非授权执行、非授权写入、非授权读取和拒绝服务四大类威胁：

▪非授权执行

指的是ShellCode执行、命令注入等可以直接对系统造成较大程度控制的漏洞。▪非授权写入

指的是能以某种方式在系统上写入文件、修改用户密码和系统配置等，但无法直接执行代码的漏洞。

▪非授权读取

指的是能读取指定或任意文件、内存信息等漏洞。

▪拒绝服务

负载过大导致软件无法正常工作。

核电系统漏洞被攻击路径：