核电厂数字化控制系统信息安全分析与策略

1、核电厂数字化控制系统信息安全分析与策略 2015年第13期 信息与电脑 China Computer&Communication 信息安全与管理 黄启清?陈为俊 （国核示范电站有限责任公司，山东 荣成 264333） 摘要：目前国内新建核电厂的控制系统普遍采用全数字化控制系统，部分电厂也采用国产化的控制系统，而数字化控制系统存在信息安全风险。基于此，通过梳理核电厂数字化控制系统信息安全面对的风险，给出一种防御模型，并提出需加强信息安全管理工作，列出信息安全设备选型原则，一定程度上可指导核电厂加强信息安全工作。 关键词：核电厂；控制系统；信息安全；纵深防御 中图分类号：TM623?文献标

2、识码：A?文章编号：1003-9767（2015）13-133-04核电开辟了人类大规模利用核能的时代，现在国内新建的核电厂需采用满足第三代核电安全标准的新技术，而第三代核电技术普遍采用全数字化控制系统，该系统缺少完全适用的信息安全标准，这为核电厂带来了信息安全问题。核电厂数字化控制系统涉及到核安全，重要性高，发生问题的后果严重，2010年的Stuxnet和2011年的NightDragon，Duqu，Nitro，以及2012年的Flame等标志性事件1，进一步加强了目前对核电厂数字化控制系统信息安全问题研究的必要性。 核电厂数字化控制系统主要包括工程师站、操纵员站、交换机、光纤、服务器、控制

3、器、I/O卡件等硬件设备，以及相应的软件。其中工程师站、操纵员站、服务器、控制器等设备的原理与一般商用计算机一致，光纤、交换机等设备与商业设备原理一致，控制系统网络一般采用工业以太网技术，与商用以太网在原理上也无差异。1.2 核电厂数字化控制系统与办公环境IT信息网络间的主要差别 虽然核电厂数字化控制系统与IT信息系统使用的技术、设备等无本质上的区别，但因服务对象不同，对系统的要求还是存在很多差别。一般办公室环境的IT系统和工业控制系统（核电厂数字化控制系统属于一种工业控制系统）网络的主要差别见表1。 表办公环境和工业控制系统中的信息网络的主要差别 项目可靠性风险影响性能恢复风险管理均一性 办

4、公环境网络 容忍偶然故障 能接受在现场进行的测试 数据丢失要求高流通量、能接受高时延和抖动能接受较长的恢复时间 通过再引导恢复功能安全通常为同机种环境（如操作系统、应用等）大多数情况现场不够安全同一现场Intranet之间很少分隔关注中央服务器的安全性 工业控制系统网络不能容忍停机 期待进行彻底的QA测试危机生产、设备和人身安全 接受中等流通量高度关切大的时延故障后要求快速恢复/代换必要的容错措施期待明晰的风险分析 异种机环境 严密的物理安全性MIS网络与工厂网络隔离关注边界控制设备稳定性 核电厂数字化控制系统简介1.1 典型核电厂数字化控制系统介绍 核电厂数字化控制系统作为核电厂的“大脑”加

5、“中枢神经”，是核电厂安全可靠运行的重要保障设备之一。一个典型的核电厂数字化控制系统架构简图见图1。 安全性 图典型核电厂数字化控制系统架构简图 作者简介：黄启清（1987-），男，江苏南京人，国核示范电站有限责任公司助理工程师。研究方向：仪控系统维修管理工作。 陈为俊（1987-），男，海南海口人，国核示范电站有限责任公司助理工程师。研究方向：仪控系统维修管理工作。 信息安全与管理 信息与电脑 China Computer&Communication 2015年第13期 虽然核电厂数字化控制系统与IT信息网络间存在一些差异，但目前所面对的信息安全风险却是一致的，特别是原理上的一致，导

6、致风险易传递，而控制系统发生事故的后果却更严重，有些后果甚至是不能接受的。 界，建立信息安全多层的纵深防御模型。针对每一层网络，确定该层网络的信息安全要求，分配在同一层的数字设备具有相同的保护等级，确定该层网络缓解安全风险的方法。同时确定网络间的接口安全要求、网络间的隔离要求，确定是否需要部署物理隔离、逻辑隔离等网关设备。 数字化控制系统信息安全纵深防御模型见图2： 核电厂数字化控制系统面临的信息安全风险 核电厂数字化控制系统存在以下信息安全风险：首先，工控计算机和工业以太网，可能遭到与攻击民用/商用计算机和网络手段相同的攻击。例如通过U盘传播恶意代码和网络蠕虫，伊朗布舍尔核电厂遭到Stuxn

7、et病毒攻击就是一个典型的例子。 其次，针对工业控制系统中的组态及系统配置管理软件的攻击，可以改变控制系统内在逻辑，从根本上破坏控制系统应用功能。Stuxnet病毒就是攻击西门子SIMATIC WinCC系统，造成了这样的危害。 再次，核电厂数字化控制系统与其他系统接口通常采用基于RS-485、232的现场总线（如Pro?bus、Modbus等），极易遭到窃听和恶意攻击，如果不考虑信息安全防护措施，将成为极易被攻击的薄弱点。 此外，核电厂数字化控制系统实时性高，且要求连续运行，不能采用目前传统的加密、解密设备，从而无法保障信源认证、消息完整性检验和信息内容保密。常规防病毒软件也会极大的损害核电

8、厂控制系统的实时性。 所以从信息安全角度来讲，以当前国内核电厂数字化控制系统的现状，信息安全风险极高。 图核电厂数字化控制系统信息安全纵深防御模型 在该模型中，最重要的数字设备将得到最高级别的保护，它们将位于安全保护最严密的内圈，该模型将防止非法访问通过多层网络中的漏洞直接访问关键数字系统。3.2 信息安全防御手段3.2.1 第四层网络 第四层网络用来承载电厂核心控制和监视系统，包括电厂控制系统和反应堆保护系统等，第四层网络设备应位于电厂保护区域内，针对网络威胁提供最高等级的保护。第四层网络主要的信息安全手段包括： 使用单向网关或类似技术向第三层网络单向传输；物理方式或逻辑方式保护设备端口；所

9、有设备柜配置开门报警指示；与低层网络之间的设备保持实体隔离； 通过只带有监听功能的设备，被动监测第四层网络的安全状况； 卸载非必要的和不使用的应用程序及操作系统功能； 核电厂数字化控制系统信息安全解决方案3.1 信息安全防御模型 目前核电厂数字化控制系统的信息安全标准尚无专门标准规范进行规定，为此也无专门设计的防御策略。在此根据核电厂工艺系统“纵深防御”模型，设计核电厂控制系统信息安全纵深防御模型。 纵深防御原为军事术语。我国的核安全法规HAF102核动力厂设计安全规定要求核电厂必须具有5层纵深防御的措施，该概念在核电厂的另一个典型应用是在设计中设置的多道实体屏障3。通过燃料元件包壳-压力边界

10、-安全壳的三重纵深防御，大大降低大规模放射性物质释放的风险。 核电厂信息安全纵深防御模型对核电厂内的数字设备进行分层，并针对每一层的情况确定不同网络层的边 2015年第13期 信息与电脑 China Computer&Communication 信息安全与管理 系统更新或变更应使用模拟/试验机进行验证和确认；不允许使用远程/无线方式访问；部署身份鉴别/授权/访问控制功能；审计及记录。3.2.2 第三层网络 第三层网络提供中等级别的保护，主要包括核电厂气象系统、核应急系统等电厂辅助系统。第三层网络主要的信息安全手段可以包括： 通过防火墙与第二层网络连接； 入侵检测，当检测到入侵后，提供报

11、警并终止与第二层的连接； 网络应静态配置，禁用不使用的端口；与低层网络之间的设备保持实体隔离； 卸载非必要的和不使用的应用程序及操作系统功能；不允许使用无线方式访问； 部署身份鉴别/授权/访问控制功能。3.2.3 第二层和第一层网络 第二层和第一层网络分别部署电厂局域网和企业广提供适当的信息安全保护，依赖于纵深防御技术，使用替代的冗余设备和方法来缓解风险，也可以使用传统IT行业通用的保护手段进行信息安全保护。3.3 信息安全管理 在技术上确保电厂控制系统信息安全的同时，也需要注重信息安全管理工作，技术与管理相辅相成，缺一不可。 3.3.1 安全管理制度 核电厂应制定信息安全工作的总体方针和安全

12、策略，并对安全管理活动中各类管理内容建立安全管理制度，主防尾随管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码的防护管理、审计管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等；核电厂应对安全管理人员或操作人员执行的重要管理操作建立操作规程并形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。3.3.2 安全管理机构 核电厂应明确由主管安全生产的领导作为信息安全防护的主要责任人，并设立信息安全管理工作的职能部 门，设立安全主管、系统管理员、网络管理员、安全管理员等岗位，并制定文件明确定义各个工作岗位的职责、分工和技能要求。 核电厂应根据各个

13、部门和岗位的职责明确授权审批事项、审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行逐级审批，并应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；所有审批过程应保存审批记录以备复查。 安全管理工作人员需制定安全检查制度规范，规范安全检查工作，定期按照程序进行安全审核和安全检查活动，检查内容应包括系统日常运行、系统漏洞和数据备份等情况，并汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。3.3.3 人员安全管理 核电厂应指定或授权专门的部门或人员负责人员录用，并规范人员录用过程，对被录用人员的身份、背景、专业资格和资质等进行审查，对其所

14、具有的技术技能进行管理员、网络管理员等关键岗位的人员，并签署保密协议。 核电厂应严格规范人员离岗过程，及时终止离岗员工的所有访问权限，并收回其各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；核电厂应严格执行调离手续的办理程序，只有在收回其访问权限和各种证件、设备后，关键岗位人员承诺履行调离后的保密义务后，方可办理调离手续。 核电厂应定期对各个岗位的人员进行安全技能及安全认知的考核，特别是对关键岗位的人员进行全面、严 核电厂需书面规定培训内容，每年对各类人员进行针对不同岗位制定不同的培训计划；所有的安全教育和培训的情况和结果都要进行记录并归档保存。3.4 信息安全设备选型原则 核电厂部署信息

15、安全设备，应采取以下选型原则，降低信息安全风险。3.4.1 国产化原则 核电厂数字化仪控系统中使用的安全产品应优先选用国产产品，以杜绝国外供货方提供的产品内置的安全 （下转） 域网，主要包括电厂模拟机系统、通信、管理信息系统等，考核；核电厂应从内部人员中选拔从事安全管理员、系统 说明机构安全工作的总体目标、范围、原则和安全框架等，格的安全审查和技能考核，并对考核结果进行记录保存。要包括：门禁管理、人员管理、权限管理、访问控制管理、安全意识教育、岗位技能培训和相关安全技术培训，并 信息安全与管理 信息与电脑 China Computer&Communication 2015年第13期 插

16、槽，所以当我们觉得电脑卡顿非常严重的时候，可以扩充内存条来解决这个问题。 电脑关机最好是用鼠标点击开始菜单去关机，而不要直接去按电源按钮，这样才能延长电脑的使用寿命。 4214. 3苏磊.多媒体网络机房管理与维护J.电子技术与软件工程，2015（03）：197. 4耿英保.对大学网络机房管理与维护经验谈J.电脑知识与技术，2010（15）：3884-3885. 5魏明军，郑铮.浅谈高校开放式计算机网络实验室维护与管理J.电子制作，2014（04）：162. 6暴锡文.初步分析学校机房的软件维护策略J.信息与电脑（理论版），2011（12）：103+105. 参考文献 1陈丽霞.谈计算机网络机房

17、的维护策略J.克山师专学报，2004（04）：180-182. 2张晓辉，王健.高校开放式计算机网络实验室维护技术研究J.电脑知识与技术，2013（18）：4212- （上接） 隐患。涉及密码技术的安全保密产品必须获得国家密码主管部门的批准，其他安全产品应获得公安部、国家信息安全产品认证中心等相关部门批准。3.4.2 成熟性原则 核电厂数字化仪控系统采取的安全措施和产品，在技术上应是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用先例的。3.4.3 实用性原则 核电厂数字化仪控系统安全需求为配置目标，不盲目追求最高性能、最大容量，应根据仪控系统应用安全需求，配置适当的处理性能和容量，同时考虑系统发展所需的一定冗余情况。3.4.4 适用于工业控制原则 安全产品应适用于核电控制系统，产品具有自我保护能力。 3.4.5 高可用和高可靠性原则 核电厂数字化仪控系统中配置的