核电行业网络安全应急演练模式研究.pdf

1、 年第 期(第 卷总第 期)核电行业网络安全应急演练模式研究李 实 李若兰 王颐硕 万佳蓉 林显盛(大亚湾核电运营管理有限责任公司 广东 深圳 中国广核集团有限公司 广东 深圳 华北计算机系统工程研究所 北京 广州中软信息技术有限公司 广东 广州)摘 要:针对核电行业网络安全应急演练问题进行研究 首先分析了相关网络安全威胁 依此设计可能存在的应急场景 基于核电工控系统实验室网络环境研究应急演练模式 并通过开展应急演练对其效果进行评价 通过定期进行应急演练 可以提升核电行业应急队伍的安全事件监测、响应、处置和防护能力 不断完善网络安全应急演练制度建设关键词:应急演练 应急场景 应急演练模式中图分

2、类号:文献标识码:/引用格式:李实 李若兰 王颐硕 等.核电行业网络安全应急演练模式研究.网络安全与数据治理 ():.(.):.:引言在数字化技术的推动下 核电行业仪表和控制系统(简称为“仪控系统”)由传统模式发展为数字仪控系统这意味着信息技术被大量引入到核系统中 核电网络安全面临着信息技术网络和运营技术网络的双重风险 为更好地应对核电行业内有关网络安全方面的攻击 除设立管理制度、把控相关技术等 应急演练也是一项必不可少且非常有效的策略/信息安全技术 网络安全事件应急演练指南 将应急演练定义为“有关政府部门、企事业单位、社会团体组织相关人员 针对设定的突发事件模拟情景 按照应急预案所规定的职责

3、和程序 在特定的时间和地域 开展应急处置的活动”按照组织形式可将应急演练分为桌面推演、模拟演练和实操演练三种 在实际中通常会把前两种形式相结合 以更好地提升指挥决策、各方协同和应急处置能力 通过开展应急演练 首先 可以将发现的问题反馈到应急预案中完善应急预案的内容 其次 能够锻炼整支应急队伍增强各部门、各人员之间的协作能力 提升技能水平再者 有助于改进应急演练前需要做的准备工作 通过每次演练发现不足并及时调整 最后 可对工作人员培训和宣贯网络安全风险知识 提升整体的风险防范意识网络安全已上升到国家战略高度 中华人民共和国网络安全法 中对应急演练做了条文规定 提出“应当投稿网址:年第 期(第 卷

4、总第 期)制定本行业、本领域的网络安全事件应急预案 并定期组织演练”为响应国家号召 全面提升应急处置和应急防护能力 本文对核电行业网络安全应急演练模式进行研究 依据工控系统实验室网络环境设计应急场景和应急流程 尽可能模拟真实网络攻击行为 以此来锻炼应急演练队伍及其对紧急事件的处置能力 核电网络安全威胁分析在工控系统设计初期 由于环境相对孤立 更多考虑的是系统可用性 而非保密性 随着技术的不断发展这种“孤岛”模式被打破 网络安全威胁和脆弱点不断增多 网络攻击事件层出不穷 对于核电系统而言 最关键和核心的是仪控系统 也是需要重点保护的对象与其他工控系统的“安全”不同 核领域的“安全”指核安全 关注

5、可靠性要求 其他工控系统则更多关注对恶意攻击的防范 以下从 个方面具体描述了核电工控系统存在的安全风险:()设备、协议、接口等存在漏洞风险 核电工控系统设备(如工程师站、操作员站、控制器等)以及所用的工控协议在设计开发时未考虑过多的安全机制 存在诸多漏洞 由于系统的高可用性、敏感性等特点 导致更新升级非常困难 因此许多系统直到退役也都带着漏洞 且数字化仪控系统与其他系统的接口通常采用基于 、的现场总线 这给网络攻击者发起攻击提供了很大的便利()主机安全防护能力不足 由于核电系统高实时性的特点 许多安全防护措施并不充分 比如未安装病毒查杀软件或者病毒库长期不更新、未对操作系统漏洞打补丁、未采用加

6、解密设备等 从而使得无法有效防御恶意代码的攻击()网络边界防护缺失 在实际核电网络环境中 为保障生产过程中系统的高可靠性 网络边界处的安全防护设备没有设置安全防护策略 造成攻击者可以绕过网络边界进入内网 一旦进入内网 功击者便有可能获取系统权限 向控制器发出错误指令 造成重大的核安全事故()存在入侵威胁 该方面的风险来源主要可以分为恶意行为和非恶意行为两种 恶意行为包括攻击者利用病毒、木马等对上位机等工控系统发起攻击 以达到控制工艺设备或进行勒索的意图 非恶意行为包括工作人员的误操作、运维过程中的不规范执行等 导致系统运行异常()安全管理制度不完善 核电行业内的安全管理制度体系不健全 在仪控平

7、台或系统的需求分析、设计开发、调试、安装、运行、维护和退役等阶段的流程不规范 对于工作人员的安全意识培训不到位等 都是造成安全风险的潜在威胁因素()社会工程学攻击 社会工程学是一种通过欺骗、诱导、胁迫等手段获取系统访问权限或敏感信息的攻击方式 在核电网络中 攻击者可以利用社会工程学攻击手段 如钓鱼邮件、电话诈骗、假冒身份等 诱导工作人员泄露账号密码、访问权限或其他敏感信息 从而获取非法访问核电系统的权限()供应链攻击 核电系统的供应链涉及多个厂商和供应商 其中可能存在恶意供应商 供应链在执行过程中受到攻击等威胁 从而恶意软件或硬件设备被引入到核电系统中 造成恶意软件或硬件设备在系统中传播、工艺

8、设备被控制、窃取敏感信息等 严重破坏核电网络的生态安全()内部威胁 核电系统内部人员构成复杂 从广义上来讲 包括内部员工、合作伙伴或承包商等 由于某些原因 这些人员可能会利用工作之便破坏核电系统例如使用所拥有的权限进行未授权操作、通过移动介质植入病毒、破坏系统稳定性等 因为内部人员对工作环境和设施的熟悉程度相对于外部人员更高 因此可能无法轻易察觉到这些恶意行为()缺乏实时监控和响应能力 核电系统的网络安全监控和响应能力还有所欠缺 无法更加有效地实时监测和识别潜在的安全威胁 并及时做出响应和追溯这可能导致风险在系统内长时间潜伏 从而对核电系统造成较大威胁 网络安全应急场景设计及应急响应措施 应急

9、场景设计应急场景是应急演练中非常重要的一部分 有了场景才会有后续的应急响应措施 场景设计得越接近现实情况 应急演练就越能达到更好的效果 进而更加有利于应急体制的建设 基于上述核电行业可能存在的安全威胁 设计了如下 个应急场景:()恶意软件攻击:一名黑客利用社会工程学手段通过钓鱼邮件诱导核电站的一名员工点击邮件内的附件导致恶意软件成功侵入核电站的工控系统 进而对工控系统进行远程控制 干扰核电站的正常运行()网络钓鱼攻击:一名黑客通过伪造核电站的员工登录页面 诱导核电站工作人员输入账号密码 从而成功获取其登录凭证 并进一步利用这些凭证获取对核电站的访问权限 包括对关键系统的访问权限()网络侦察攻击

10、:一名黑客通过扫描核电站的网络 探测网络设备的漏洞和弱点 获取核电站的网络拓扑、系统配置等信息 为后续攻击做准备行业应用 年第 期(第 卷总第 期)()供应链攻击:一名黑客通过攻击核电站的供应链 例如恶意篡改核电站的软件或硬件设备 成功引入恶意代码或恶意设备到核电站的系统中 从而对核电站的系统进行远程控制或窃取敏感信息()内部威胁:一名核电站的员工或承包商相关人员利用其权限 对核电站的系统进行未授权操作 窃取敏感信息或破坏系统稳定性 从而对核电站造成威胁 应急响应措施结合设计的应急演练场景 当攻击行为发生时 可以通过如下措施来进行防护:()恶意软件攻击:通过设置工控防火墙、工业隔离网闸等技术手

11、段 对内外部恶意流量进行过滤、监测和阻止 同时 对工控系统进行网络隔离和访问控制限制对关键系统的远程访问 从而降低远程控制的风险()网络钓鱼攻击:通过设置安全登录平台、多因素身份认证等措施 加强对员工登录过程的验证和监控防止员工在伪造的登录页面输入账号密码 同时 员工的账号和密码要定期更新和强化()网络侦察攻击:通过设置入侵检测系统、监测和审计系统等 对网络进行实时监控和检测 及时发现并阻止黑客的扫描和侦察行为 同时 对核电站的网络设备和系统定期进行漏洞扫描(在允许情况下)和安全评估 及时修补漏洞 强化系统配置()供应链攻击:在供应链管理中设置严格的安全审查和验证流程 对供应商提供的软硬件进行

12、安全检测和验证 避免引入恶意代码或恶意设备 同时 对站内系统持续安全监控和检测 及时发现和隔离异常行为()内部威胁:设置严格的权限管理和访问控制 对员工和各级承包商的权限进行细粒度控制 限制其对系统的访问和操作权限 防止内部人员滥用权限进行未授权操作同时 设置日志记录和审计系统 对员工和承包商的操作行为进行记录和分析 及时发现和应对内部威胁 核电行业网络安全应急演练模式研究基于上文分析的核电行业网络安全面临的 种威胁和 个可能的应急演练场景 结合实验室网络环境对应急演练模式进行研究和设计 将应急演练分为 大阶段分别为准备阶段、实演阶段和总结阶段 并从技术和管理两个层面描述实演阶段应急响应的具体

13、措施 技术层面的响应指通过各种安全设备和系统的配置和运维 实现对网络攻击的实时监测、检测和防御 管理层面的响应则是指通过规定和管理有关制度、文件、人员等方面提高员工的网络安全意识和防范能力 防止内部威胁和滥用权限 技术层面和管理层面相互融合、互为补充应急演练模式如图 所示图 核电行业网络安全应急演练模式投稿网址:年第 期(第 卷总第 期)准备阶段准备阶段是应急演练的第一阶段 也是确保演练能够顺利执行的前提 此阶段需要做的工作主要包括机构及人员的准备、演练相关文档的准备、网络安全意识与技能的培训和宣贯、演练的保障工作等()机构及人员准备 成立核电网络安全应急演练机构 设定应急领导小组、应急响应小

14、组、应急工作保障组、应急宣传组等组别 明确各小组及组内人员的职责 确保开展应急响应时各小组及成员能够顺利对接并准确处置安全事件()文档准备 应急演练正式开展前需要准备相关文档 用来指导并约束演练过程 文档需尽可能地覆盖演练全生命周期 主要包括应急演练计划、工作方案、演练脚本、评估方案、保障方案、宣传与观摩方案等()网络安全意识与技能培训和宣贯 对全体员工进行核电行业网络安全意识培训和宣贯 并针对不同岗位人员开展对应的技能培训 提升全体员工的网络安全意识 尽可能减少和减低因人为因素导致安全事件发生的可能性()保障工作 应急演练需做好多方面的保障工作包括人员保障、经费保障、场地保障、工业控制系统保

15、障、基础设施保障、技术保障、宣传保障、安全保障等确保演练过程中核电业务系统的平稳有序运行 实演阶段实演阶段是应急演练的核心 由攻防双方担任本阶段的角色 攻方模拟黑客对核电工控系统网络环境发起攻击 且攻击应逼近真实环境 如数据泄露、仪控系统被入侵等 在运行值班人员发现事件后由防守方迅速开展应急响应 组织应急小组对事件进行处置 整个阶段包括攻击模拟、事件发现和上报、启动应急预案和开展应急响应四部分 其中应急响应又可细分为检测、抑制、根除和恢复四个步骤 并通过技术和管理两个层面开展具体的响应措施 图 是实演阶段的流程 技术层面技术层面主要涵盖了实验室内已有网络安全设备、系统和平台 从事前、事中、事后

16、三方面对入侵流量和行为进行监测、捕获、取证等 为应急演练提供全方位支持()蜜罐:部署基于 的高交互工控蜜罐系统 模拟真实的核电系统和服务 诱导攻击者在大批量扫描时发现并访问蜜罐 可达到保护真实系统的目的同时蜜罐可以主动发现和分析入侵行为 收集攻击者的信息 并采取应对措施以加强对网络环境和设备的防护()黑、白名单:建立“黑名单 白名单”机制图 应急演练实演阶段流程图通过入侵防御系统()、入侵检测系统()等设备添加黑名单列表 通过安全基线等措施添加白名单列表 特别是针对核电系统所用的工控私有协议的白名单 其中白名单可弥补黑名单类产品在核电环境中特征库更新不及时、误报率高、无法检测 漏洞的不足 对工

17、程师站等工控机进行最大限度的保护()态势感知平台:部署态势感知平台 可实时监测网络中的安全事件和异常行为 包括异常的网络流量、登录尝试、文件操作等 支持大屏界面可视化 将工控行业应用 年第 期(第 卷总第 期)资产数量及分布、资产风险情况、安全事件统计、最新攻击事件以及网络流量等进行分析统计 且态势感知平台可以与其他安全设备进行 接口对接 将安全事件反馈至显示界面 直观展示系统资产及网络安全状态()工控防火墙:核电厂已做分区分域设置 与机组相关的控制系统和其他关键系统都位于安全区内 因此在边界处部署工业防火墙 对入站和出站流量进行过滤和检查 限制网络访问权限 阻止未经授权的访问和恶意软件的传输

18、 从而保护核电站网络免受外部攻击()监测与审计系统:部署监测与审计系统 可对工控协议进行深度解析 记录所有通信信息 实时检测和审计网络攻击、用户误操作等与业务相悖的异常行为并告警 为网络安全事件的调查和取证提供真实有力的证据()日志记录和溯源分析:设置日志记录系统 记录核电网络中的各种活动和事件 包括登录日志、流量日志、系统日志等 以便进行攻击后的溯源分析 从而快速发现并应对网络攻击()安全登录平台:设置安全登录平台 要求所有用户进行安全的身份验证和授权 防止身份冒用和未经授权的访问 可以采用多因素身份认证等技术 确保只有合法用户才可以访问核电站网络 管理层面管理层面的响应措施包括但不限于以下

19、几方面:()日常文件防病毒:建立严格的文件传输和共享规范 要求所有上传、下载、传输的文件在进行操作之前必须经过杀毒软件的扫描 确保文件不包含恶意软件或病毒 并定期更新杀毒软件的病毒库()介质使用规定:对于使用可移动介质(如 盘、移动硬盘等)的员工和供应商 建立明确的规定和管理制度 只能使用经过安全检查和授权的介质 禁止使用未知来源的介质 并对使用介质的目的和内容进行审查和记录 实现非法移动介质接入报警()供应链管理:加强对供应链的管理 确保所有供应商和合作伙伴都符合网络安全要求 并进行定期的安全评估和审查 确保其不会成为网络攻击的入口()权限管理:建立严格的身份认证和权限管理制度 用户登录操作

20、系统时经过双重认证后才可成功访问系统 确保员工和供应商只能访问他们所需的系统和数据 并限制其对敏感信息和关键系统的访问权限 从而减少内部威胁和滥用权限的风险()员工培训与意识教育:定期对员工进行网络安全培训和意识教育 提高他们对网络安全威胁的认识和防范意识 包括安全文件传输、介质使用规定、供应链管理等方面的知识 并熟悉应急处置的操作规程()事件响应计划:建立完善的业务系统网络安全事件响应计划 包括网络安全事件的分类、处理流程、责任人员等 确保在发生安全事件时能够迅速、有序地应对 减少损失以及缩短恢复时间()应急演练小组:建立应急演练小组 包括核电厂运营方、设备供应商、网络安全公司等 明确人员及

21、职责 在发生安全事件时及时排查和响应 同时注意各个部门之间的协调与合作 避免因突发事件的发生或处理不得当而对业务造成较大的影响 总结阶段总结阶段是对整个核电网络安全应急演练过程的整合、评估和思考 通过梳理相关材料 分析事件发生的原因、对业务造成的损失、应急响应措施及流程的完备性、实验室内安全设备的有效性等 将结果反馈到应急预案中 并整理成报告 总结经验教训 同时 关注最新的网络安全威胁 特别是针对核电行业的网络攻击和技术发展 不断更新演练内容和形式 提升业务整体的安全防护能力 网络安全应急演练开展及效果评价 核电行业应急演练注意事项在核电行业场景中进行网络安全应急演练时 有一些特殊的要点需要考

22、虑 以确保演练的针对性和响应的有效性()强调物理安全:核电厂是高度安全敏感的场所因此演练时需要特别关注物理安全措施 这包括控制访问权限、监控入口和出口、限制物理接入等 以防止未经授权的人员进入敏感区域()应急响应计划的审查:核电行业的网络安全应急响应计划需要经过审查并定期更新 以确保其与最新的威胁和技术趋势保持一致 同时 在应急响应计划中恶意攻击行为不能真正影响核电业务的正常运转 以免造成安全事故或经济损失()考虑网络隔离和冗余:核电行业的网络系统通常采用隔离和冗余的架构 来保证关键系统的安全性和可靠性 网络安全应急演练需要验证这些隔离和冗余机制是否有效 并确保在网络攻击发生时能够迅速切换到备

23、用系统()特殊权限管理:核电行业中的网络系统可能涉及高级特权操作 例如对核能发电设备的控制和监控在网络安全应急演练中 需要对这些特殊权限的管理和访问进行严格控制 以防止未经授权的访问和其他一些潜在风险投稿网址:年第 期(第 卷总第 期)开展应急演练依据设计的应急演练模式 基于核电网络环境开展了一次应急演练 将攻击场景设定为:某内部员工利用职位之便进入到现场电子间 将自己的笔记本接入内网环境 网络中有一台服务器 其上面的软件 存在 漏洞 攻击方利用该漏洞 向上位机上传木马病毒和控制指令的脚本 控制指令的脚本会层层传播至控制 的服务器内 当软件 启动时 脚本随之运行向 下达指令 最终导致调节阀被恶

24、意操控攻击模拟成功后 现场值班人员正常启动软件 发现调节阀自行转动至最大值后停止转动 值班人员将此事件上报至相关部门对事件类型进行判断 待确认事件等级后通知应急小组启动应急预案 开展应急响应 同时向通信助理报告事件信息 经现场调查 排除人为误操作和设备误动作 同时在网络安全系统中发现存在大量的入侵流量 因此断定为网络安全问题 最终经过溯源分析 确定了事件发生的原因和经过 并对事件进行抑制和根除 手动调节控制阀的开度 控制机组状态对上层控制服务器开展病毒查杀 一一排查和恢复被感染的设备 效果评价通过在接近真实环境的情况下开展应急演练 综合考验了网络安全设备、软件和参与人员面对紧急事件发生时的响应

25、和处置能力 并从演练模式设计的可行性、监控预警能力、事件研判能力、应急响应处置能力和安全防护能力五方面进行评价 具体表现为:()演练模式设计的可行性:本次模拟演练证明了演练模式的设计具备一定的合理性和可操作性 与应急预案的符合程度高 按照此模式开展可较好地衔接各个阶段()监测预警能力:现场值班人员事件发现及时安全设备可准确地监测设备的性能、攻击行为等 当发现入侵事件后 事件可及时层层上报至应急领导小组()事件研判能力:事件上报后 应急领导小组迅速组织应急响应小组 对事件进行分析和处理 并以较快的时间定位到这是一起网络攻击事件()应急响应处置能力:应急响应小组立刻对发生入侵事件的设备、软件等进行

26、检测、抑制、根除和恢复直到风险解除()安全防护能力:综合应急演练的整个过程 实验室具备较好的安全防护能力 通过已有的安全措施实现对发生的网络攻击事件检测、抑制、根除、恢复 最大限度地降低了安全风险此次应急演练也反映出一些问题 主要包括:应急团队整体之间的配合还需进一步改善 应急组织的职责分配不明确 安全风险研判能力不足 无法充分认识到发生入侵事件的数量、入侵设备、原因、程度等因素人员安全意识有待加强等 针对这些问题 首先应完善和修改应急预案 以更好地指导应急演练 其次应提升各模块人员的技能水平 通过定期培训和演练增强安全防范意识 提高团队间的协调配合能力 还应加快相关政策、标准的研究 制定具有

27、指导性的配套标准体系最后 加大设备国产化自主创新的步伐 确保核心技术不再受制于人 这样才能在发生安全隐患时从容应对 结论应急演练的目的是当突发情况发生时 可以井然有序、有条不紊地对事件进行响应和处理 好的应急离不开平日里的训练 这也要求各单位应当设计符合自身情况的应急演练模式 本文首先分析了核电行业内可能存在的安全威胁 然后设计可能会存在的应急场景 并结合工控系统网络安全实验室实际环境研究应急演练模式依据此模式开展应急演练并对效果进行了评价 结果表明 此模式可以指导应急人员开展应急演练 且目前已有的应急响应措施可以较好地处理网络安全事件 日趋增多的网络安全事件给核电行业敲响了警钟 因此必须加大

28、应急防护力度 在一次又一次的应急演练中逐渐完善应急防护体系 最大程度地保障核电行业网络安全参考文献/信息安全技术网络安全事件应急演练指南.朱贤斌 程海翔.探讨网络安全应急演练和实战攻防演习.网络安全和信息化 ():.田勇.核电站数字化仪控系统信息安全风险分析和应对.上海:上海交通大学.黄晓津 田宇琨 李江海.核电厂数字化仪表控制系统网络安全风险分析方法综述.自动化仪表 ():.冯蔚 钱勍 高汉军.核电关键信息基础设施的网络安全加固方案探索.中国信息安全 ():.闫怀超 陈政熙.核电行业工控网络安全整体解决方案研究.核安全 ():.毛磊 郑威 谢新勤.核电仪控系统网络安全保护.网络空间安全 ()

29、:.艾九斤.浅析核电厂数字化仪控系统的网络安全.内燃机与配件 ():.王萍.核电厂智能设备的网络安全防护设计.自动化仪表 ():.刘小君 谭俊龙 宗波 等.核电厂供应链中的网络安全风险浅析.仪器仪表用户 ():.行业应用 年第 期(第 卷总第 期)李红霞 张焕欣 刘元 等.核电 网络安全防护技术研究.自动化仪表 ():.李实 万佳蓉 林显盛.基于蜜罐的工控网络安全防护技术研究进展.信息技术与网络安全 ():.杨景利 刘元 孟庆军 等.核电厂仪控系统安全防护策略研究及应用.自动化仪表 ():.(收稿日期:)作者简介:李实()男 硕士 高级工程师 主要研究方向:工控系统网络安全李若兰()女 本科

30、工程师 主要研究方向:工控系统网络安全王颐硕()男 硕士研究生 主要研究方向:工控系统网络安全(上接第 页)时间分辨率优于 的时间同步及触发信号恢复系统综上 本文的技术方案可行 达到了预期目标 实现了加速器不同节点间 时间分辨率的触发信号恢复以及时间同步功能参考文献 何健 董晓浩 殷重先 等.上海光源线站 精度定时系统设计.核电子学与探测技术 ():.盛六四 刘祖平 宫晓构 等 合肥同步辐射光源.中国科学院院刊 ():.:/:./.:/.朱望纯 康博 李恩 等 基于 的亚纳秒时间同步技术研究与实现.光通信技术 ():.刘音华 刘正阳 刘琼瑶 等.进位链实现 的若干关键技术问题.电子测量技术 ():.()./():./.:/.(收稿日期:)作者简介:苏畅()男 硕士研究生 主要研究方向:物理电子学梁昊()男 博士 副教授 主要研究方向:核与粒子物理电子学、量子信息电子学、数据获取与处理投稿网址: