核电仪控系统的网络安全监测

核电仪控系统的网络安全监测

肖劲松

中国核工业二三建设有限公司

摘要：仪表和控制系统作为核电厂“中枢神经”的重要组成部分，在核电厂的安全稳定运行中发挥着重要作用。近年来，数字化仪控系统在网络安全方面面临着一个新问题：使用仪控系统的数字化手段预防，检测和响应恶意行为。这种类型的网络攻击会降低发电厂的性能，损坏物理设备，甚至引起事故。建议根据核电厂“纵深防御”的安全设计理念以及国家和国际法律法规的要求，对核仪器和控制系统进行网络安全监测。网络安全监测实施计划是在仪控系统上部署入侵检测系统，监视和分析仪控系统事件，检测未经授权的访问仪控系统资源的尝试并发出警报。

关键词：核电仪控系统；网络安全；监测

前言：随着现代工业技术的发展，工业化与计算机化不断融合。工业控制系统正在增加对流行的通信协议以及软件和硬件系统的采用，并以各种方式连接到网络，从而损害了这些系统的原始功能。由于其封闭性和特殊性，诸如病毒和木马之类的安全威胁已迅速传播到工业控制领域。工业控制系统面临的信息安全问题变得越来越严重，并表现出许多使其不同于传统IT系统的特征。核电仪控系统作为核电厂神经中枢和重要数字资产,是需保护的重要目标。仪器控制系统在功能安全方面具有完整的法规和标准。为了考虑在不损害安全性的情况下加强信息安全性，有必要提出一个将功能安全性和信息安全性联系起来的总体框架。

一、背景

随着当前信息化、智能化发展，需大量接入互联网。因此，为了提高核电厂数字化仪控系统的网络安全性，有必要再增加预防系统。这种预防系统，能进一步提高核电厂中网络安全的质量。

二、方案设计的考虑

我们的核电仪控系统网络安全监视程序可提供对仪控系统部署，仪控系统事件监测和分析的检测系统渗透，对仪控系统资源的欺诈尝试，实时或接近实时警报。 实施入侵检测系统时，需要考虑三个方面：1.检测点的安装位置。2.监控数据源。 3.入侵检测方法。

（一）检测点部署位置

在三个位置放置检测点。1.设备控制主机。2.在主机或终端与设备控制网络之间。 3.仪控网络的旁路（见图1）。部署位置的选择应根据对正常运营的影响和现有设施的改造程度进行评估。

A位置仪表控制主机侧放置是指在操作员站，工程师站，服务器等主机上添加软件，以监控主机活动并检测异常行为。此位置的优点是它既可以检测来自网络的外部攻击，也可以检测来自主机的内部攻击。缺点是需要在主机侧安装其他软件。这可能会导致软件兼容性和管理问题。B位置主机或终端和仪控网络部署的位置是在主机或终端控制站与仪控网络之间架起新的硬件模块，以监视主机或终端网络的通信流。此放置的优点是，所有往返主机或终端的网络通信都必须通过监视模块，这允许模块同时执行网络入侵检测和网络入侵防护功能。缺点是网络通信流的处理会导致数据包中的延迟，从而影响正常操作。同时，如果开启了入侵防御功能并且采取了不正确的防护策略，则可能会阻止入侵防御正常工作。将设备控制网络旁路部署到位置C，这意味着将设备安装在设备通信网络旁路中，并监控网络通信流的备份。此部署位置的优点是实际网络流量不会通过设备，因此不会影响正常操作。缺点是无法实现入侵防御功能。

有关以上三个部署位置的评估，请参见表1。从对正常操作的影响的角度来看，位置A和B的放置可能会影响正常操作，而位置C的放置不会影响正常操作。通过评估现有设施的改造程度，位置A的部署仅需要安装其他软件，并且不需要安装新的硬件，除非是需要各主机的协作以增加网络带宽或集中管理。在位置B进行部署需要新增监控模块硬件和对现有的接线进行更改，并且需要进行高级转换。位置C的放置需要附加的管理模块硬件，但不需要修改现有的布线。通过网络交换机端口镜像功能，可以以合理的转换程度复制所有网络通信流，改造成度为中等。

表1 检测点3种部署位置的比较

2. 监测数据源

用于入侵检测的数据源是主机数据或网络数据。主机数据只能通过在位置A进行部署来收集，而网络数据主要是通过在位置B.C进行部署来收集的。

1. 主机数据

用于入侵检测的主机数据是一个日志文件，其中包含操作系统审核记录和控制软件日志记录。它也可以是与文件有关的信息，例如确定文件是否已被篡改以及文件的校验和是否破坏了文件的完整性。主机数据在检测内部攻击中起着不可估量的作用。但是请注意，攻击者可能会欺骗主机数据并隐藏自己的行动。

2.网络数据

用于入侵检测的网络数据是设备控制网络的通信流中的数据包。数据包的利用率可以分为几个级别，从浅到深。

第一层是使用网络通信流中的信息。只有一般的网络流量统计信息和常规的消息分析才能获得此类信息。此类信息包括网络通信流量，流量持续时间，与时间有关的变量（例如平均数据包间隔时间）和与空间有关的变量（例如源地址，目的地址，源端口，目的端口和拓扑结构等）空间相关量。

第二层是在通信流数据包中使用与工控通信协议有关的信息。为了获得这样的信息，需要根据工控通信协议对数据分组的分组执行详细的分组分析，以获得诸如协议类型和协议的每个字段的值之类的信息。工控通信协议的设计主要考虑设备之间的通信效率，并未考虑安全性，因此不存在加密，认证等安全机制，数据包容易被窃取或篡改。

第三层利用通信流数据包中受控物理对象有关的信息。要获取此类信息，需要了解受控系统或过程的控制组态。根据控制组态，通过深度数据包分析获得的与协议相关的数据可以是测量值或具有实际物理含义的控制命令，例如温度值，压力值，阀切换状态，电动机启动和停止命令，变频器速度控制等。可以在此级别上发起的攻击需要深入了解控制过程，例如“ 震网”病毒。 通过分析受控物理对象的相关信息，可以检测出不适合控制过程的数据包。

（三）人侵检测方法

通常，入侵检测方法可以分为两类：基于异常的检测和基于特征的检测。基于异常的检测是在正常系统运行期间收集数据，以建立合法的行为模型，该行为模型可以用作通过统计测试来测试当前运行数据的基准，以确定是否存在恶意行为。基于特征的检测是将一组已知的恶意数据模式与当前的操作数据进行比较，以确定是否存在恶意行为。这两种检测方法中的每一种都有其优点和缺点。尽管基于特征的检测方法高效，准确，但它们只能识别已知的攻击。尽管基于异常的检测方法可以识别未知攻击，但在建立有效行为模型时，缺陷会增加误报率。

结语：综上所述，实施核点仪控系统网络安全监控的基础和要求，提出了网络安全检测计划，需要考虑入侵检测系统部署的三个方面，并针对每个方面提出了评估方法。

参考文献：

[1]杨景利,刘元,孟庆军,高超,王童生.核电厂仪控系统安全防护策略研究及应用[J].自动化仪表,2019,40(06):93-97.

[2]孙永胜,王维,贺珊珊.基于Kali-Linux的核电仪控系统渗透测试方法研究[J].信息与电脑(理论版),2018(07):202-204.

[3]李晶,徐海峰,杨安义,凌礼恭,李小龙.核电厂信息安全问题研究及建议[J].核科学与工程,2016,36(06):850-857.