核電廠實(shí)物保護(hù)系統(tǒng)信息安全技術(shù)研究

陳 航，景 弋，沈建宇（上海核工程研究設(shè)計(jì)院，上海 200233）

?

核電廠實(shí)物保護(hù)系統(tǒng)信息安全技術(shù)研究

陳 航，景 弋，沈建宇
（上海核工程研究設(shè)計(jì)院，上海 200233）

摘要：在當(dāng)前日益嚴(yán)重的信息安全形勢(shì)下，國內(nèi)外都已認(rèn)識(shí)到工業(yè)病毒等的危害，也意識(shí)到核電廠信息安全問題的嚴(yán)峻。作為保護(hù)核電廠設(shè)施及核材料安全的實(shí)物保護(hù)系統(tǒng)，其自身的信息安全更應(yīng)值得關(guān)注。在國內(nèi)尚未建立完整信息安全標(biāo)準(zhǔn)的情況下，采用何種有效方案來解決信息安全問題逐漸成為業(yè)界關(guān)注的焦點(diǎn)。本文在工業(yè)信息安全技術(shù)的基礎(chǔ)上，結(jié)合核電廠實(shí)物保護(hù)系統(tǒng)的網(wǎng)絡(luò)體系特點(diǎn)和要求，嘗試建立一套適用于實(shí)物保護(hù)系統(tǒng)信息安全的方案，以切實(shí)保障實(shí)物保護(hù)系統(tǒng)的信息安全。

關(guān)鍵詞：核電廠；實(shí)物保護(hù)；信息安全；網(wǎng)管平臺(tái)

CLC number： TP309 Article character： A Article ID： 1674-1617（2016）01-0020-05

核電廠實(shí)物保護(hù)系統(tǒng)能防止?jié)撛跀呈謱?duì)核設(shè)施進(jìn)行破壞或非法轉(zhuǎn)移核材料［1］。它不僅是保證核電廠安全、可靠運(yùn)行的一個(gè)重要系統(tǒng)，也直接牽涉核材料和核設(shè)施的安全。當(dāng)前，國內(nèi)需要安全高效地發(fā)展核電，核電廠的安全性問題更加凸顯出來，對(duì)于實(shí)物保護(hù)系統(tǒng)的要求也越來越高。實(shí)物保護(hù)系統(tǒng)已經(jīng)發(fā)展成為一套集探測(cè)、延遲、響應(yīng)功能于一體的綜合系統(tǒng)，而各子系統(tǒng)的前端設(shè)備、傳輸網(wǎng)絡(luò)和控制設(shè)備也是集成一體。這樣需要傳輸網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)傳輸、信息共享和集成監(jiān)控等功能，并且隨著安保設(shè)備的多元化，接入終端的增加，其網(wǎng)絡(luò)拓?fù)涞膹?fù)雜度呈現(xiàn)了幾何式地增長，在大量使用現(xiàn)代信息網(wǎng)絡(luò)技術(shù)提高系統(tǒng)自動(dòng)化的同時(shí)，也使系統(tǒng)自身的網(wǎng)絡(luò)、數(shù)據(jù)安全威脅不斷增加。作為保證核電廠安全的實(shí)物保護(hù)系統(tǒng)，其自身的網(wǎng)絡(luò)安全也受到了威脅。我國從相關(guān)主管部門到行業(yè)專業(yè)人士也都越來越重視該問題，但是由于起步較晚，目前仍然缺乏相關(guān)的行業(yè)信息安全標(biāo)準(zhǔn)和成熟技術(shù)以供參考。加之日前一種可破壞工業(yè)控制系統(tǒng)的“超級(jí)工廠病毒”——Stuxnet被截獲，通過它對(duì)業(yè)界所造成的影響來看，現(xiàn)今病毒和惡意軟件的攻擊目標(biāo)已經(jīng)從個(gè)人電腦、網(wǎng)民財(cái)產(chǎn)、公民隱私等，擴(kuò)大到涉及國計(jì)民生的設(shè)施，乃至核電廠等重要的設(shè)施。

文章正是基于以上背景，結(jié)合核電廠的實(shí)際情況，并通過Stuxnet病毒分析核電廠實(shí)物保護(hù)系統(tǒng)的網(wǎng)絡(luò)安全特點(diǎn)，在此基礎(chǔ)上重點(diǎn)研究信息安全技術(shù)與實(shí)物保護(hù)系統(tǒng)的相互結(jié)合，希望能夠從實(shí)物保護(hù)系統(tǒng)的頂層設(shè)計(jì)開始，將信息安全相關(guān)設(shè)備、技術(shù)和理念融入其中，實(shí)現(xiàn)其高安全性和高可靠性。

1 實(shí)物保護(hù)系統(tǒng)信息安全分析

1.1 實(shí)物保護(hù)系統(tǒng)網(wǎng)絡(luò)拓?fù)浞治?/p>

核電廠實(shí)物保護(hù)系統(tǒng)包含出入口控制系統(tǒng)、周界入侵報(bào)警系統(tǒng)、視頻監(jiān)控系統(tǒng)、安保通訊系統(tǒng)、安保電源及照明系統(tǒng)、巡更系統(tǒng)等多個(gè)子系統(tǒng)。各子系統(tǒng)通過松耦合的方式集成于實(shí)物保護(hù)系統(tǒng)集成管理平臺(tái)［2］上，由該平臺(tái)進(jìn)行統(tǒng)一管理和監(jiān)控。

系統(tǒng)集成平臺(tái)采用集散控制原理，網(wǎng)絡(luò)構(gòu)成主要突出了分布式特點(diǎn)，基本拓?fù)浣Y(jié)構(gòu)主要為2層的樹型結(jié)構(gòu)，易于擴(kuò)展和分級(jí)集中控制。核電廠實(shí)物保護(hù)系統(tǒng)由于自身的特殊性和高安全保密性，因此對(duì)網(wǎng)絡(luò)配置要求十分嚴(yán)格，其網(wǎng)絡(luò)為專用局域網(wǎng)，與其他網(wǎng)絡(luò)物理隔離，不允許與非相關(guān)局域網(wǎng)互聯(lián)。且網(wǎng)絡(luò)只能在安保相關(guān)區(qū)域內(nèi)設(shè)置，只與實(shí)物保護(hù)系統(tǒng)設(shè)備連接。網(wǎng)絡(luò)核心節(jié)點(diǎn)（交換機(jī)）設(shè)備考慮冗余設(shè)置交換機(jī)，且主干網(wǎng)絡(luò)考慮鏈路冗余（見圖1）。

實(shí)物保護(hù)系統(tǒng)的網(wǎng)絡(luò)一般配置有核心交換機(jī)、多臺(tái)接層交換機(jī)、防火墻和應(yīng)用服務(wù)器和工作站等。

核心交換機(jī)為實(shí)現(xiàn)實(shí)物保護(hù)系統(tǒng)對(duì)高網(wǎng)絡(luò)帶寬和性能及主節(jié)點(diǎn)高可靠性的要求，采用模塊化的3層交換機(jī)，并配以冗余的交換機(jī)引擎及冗余的交換機(jī)電源，提供高可靠性解決方案，并向下連接各臺(tái)接入層交換機(jī)；防火墻提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。

雖然實(shí)物保護(hù)系統(tǒng)的網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用均運(yùn)行于一套完全與外界隔離的環(huán)境中，但是信息安全問題還是必須考慮的，因?yàn)楣舭咐呀?jīng)存在。例如攻擊伊朗核電廠使其癱瘓的Stuxnet病毒，下面將對(duì)其進(jìn)行簡要介紹。

1.2 Stuxnet病毒介紹

Stuxnet病毒被多國安全專家形容為全球首個(gè)“超級(jí)工廠病毒”。據(jù)悉這種病毒已經(jīng)造成伊朗核電廠推遲發(fā)電。這是世界上首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒，它同時(shí)利用包括MS10-046、MS10-061、MS08-067等7個(gè)最新漏洞進(jìn)行攻擊。這7個(gè)漏洞中，有5個(gè)是針對(duì)操作系統(tǒng)，2個(gè)是針對(duì)控制系統(tǒng)。該病毒通過偽裝數(shù)字簽名，從而順利繞過安全產(chǎn)品的檢測(cè)。

該病毒主要通過U盤和局域網(wǎng)進(jìn)行傳播，由于重要工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)一般會(huì)與外部網(wǎng)絡(luò)物理隔絕，因此該病毒特意強(qiáng)化了U盤傳播能力。如果企業(yè)沒有嚴(yán)格管理U盤等可移動(dòng)設(shè)備，同時(shí)也沒有相應(yīng)的網(wǎng)絡(luò)安全措施，一旦有人在控制系統(tǒng)網(wǎng)絡(luò)中使用了帶毒U盤，則會(huì)使整個(gè)控制網(wǎng)絡(luò)感染。

圖1 系統(tǒng)基本網(wǎng)絡(luò)拓?fù)鋱DFig. 1 The basic network topology architecture

雖然核電廠的網(wǎng)絡(luò)是與外界物理隔絕的，但是病毒依然會(huì)通過移動(dòng)設(shè)備或是終端接入設(shè)備惡意攻擊，此類病毒可能不以獲取信息為目標(biāo)，但會(huì)破壞整個(gè)控制系統(tǒng)從而導(dǎo)致工藝系統(tǒng)設(shè)備喪失功能，影響整個(gè)設(shè)施的安全。由此可見，現(xiàn)實(shí)中的信息安全已經(jīng)受到了嚴(yán)重的威脅。

1.3 信息安全攻擊手段

根據(jù)實(shí)物保護(hù)系統(tǒng)的網(wǎng)絡(luò)隔離、設(shè)備種類多、采用網(wǎng)絡(luò)傳輸?shù)忍攸c(diǎn)，并結(jié)合已有病毒攻擊模式分析可以發(fā)現(xiàn)威脅實(shí)物保護(hù)系統(tǒng)信息安全的主要手段如下。

（1）預(yù)置后門：由于實(shí)物保護(hù)系統(tǒng)對(duì)技術(shù)要求較高，部分核心設(shè)備選擇國外的供貨商，而國外產(chǎn)品有些未經(jīng)安全審查，存在預(yù)先植入軟件后門或無線芯片的可能性，從而對(duì)系統(tǒng)實(shí)施后門漏洞攻擊等，這也是伊朗核電廠遭遇病毒攻擊的主要原因。

（2）技術(shù)分析：通過竊取核心數(shù)據(jù)（如出入信息、入侵報(bào)警信號(hào)、視頻流等）進(jìn)行協(xié)議分析，找出實(shí)物保護(hù)系統(tǒng)中的安全漏洞，并通過實(shí)施數(shù)據(jù)假冒、虛報(bào)入侵等方式造成實(shí)物保護(hù)系統(tǒng)癱瘓。

（3）信息外泄：通過一定的手段，里應(yīng)外合實(shí)施數(shù)據(jù)偽造、安置后門等攻擊。

通過上述任何一種手段均可以影響或破壞實(shí)物保護(hù)網(wǎng)絡(luò)。

1.4 實(shí)物保護(hù)各子系統(tǒng)安全風(fēng)險(xiǎn)分析

實(shí)物保護(hù)系統(tǒng)主要由各子系統(tǒng)以及安保網(wǎng)絡(luò)、集成平臺(tái)等組成，這些是造成實(shí)物保護(hù)系統(tǒng)信息安全問題的根源［1］，而各方信息安全問題卻又不盡相同，下面將對(duì)各個(gè)方面進(jìn)行詳細(xì)分析。

（1）安保專網(wǎng)

結(jié)合現(xiàn)有實(shí)物保護(hù)系統(tǒng)分析，安保網(wǎng)絡(luò)可能存在信息安全風(fēng)險(xiǎn)主要有：

● IP網(wǎng)絡(luò)需按照信息安全要求進(jìn)行分區(qū)隔離；

● 缺乏一定的網(wǎng)絡(luò)設(shè)備準(zhǔn)入控制措施，需要考慮探測(cè)非法接入和網(wǎng)絡(luò)行為審計(jì)和記錄；

● 缺乏一定的網(wǎng)絡(luò)安全防護(hù)設(shè)備。

（2）集成管理平臺(tái)

● 關(guān)鍵控制指令缺乏保護(hù)；

● 存在未知后門漏洞風(fēng)險(xiǎn)；

● 缺乏數(shù)據(jù)庫安全機(jī)制；

● 管理員口令防護(hù)能力還需加強(qiáng)。

（3）出入口控制系統(tǒng)

● 缺乏抵御數(shù)據(jù)重放攻擊的能力；

● 存在身份信息復(fù)制/偽造的可能；

● 控制指令仿冒。

（4）周界入侵報(bào)警系統(tǒng)

● 偽造報(bào)警信息；

● 存在跳板攻擊風(fēng)險(xiǎn)。

（5）視頻監(jiān)控系統(tǒng)

● 模擬視頻流竊取、篡改；

● 數(shù)字視頻替換接入；

● 遠(yuǎn)程非法控制；

● 數(shù)據(jù)存儲(chǔ)易被篡改。

（6）安保通訊系統(tǒng)

● 破壞通信傳輸；

● 無線通信遠(yuǎn)程監(jiān)聽。

上述信息安全風(fēng)險(xiǎn)可能會(huì)給實(shí)物保護(hù)系統(tǒng)帶來一些無法接受的后果，如單點(diǎn)失效、系統(tǒng)癱瘓、系統(tǒng)濫用、信息竊取、非法控制等，下文將討論應(yīng)對(duì)風(fēng)險(xiǎn)需采取的有效措施，并研究建立一套實(shí)物保護(hù)系統(tǒng)信息安全防護(hù)的設(shè)計(jì)方案。

2 實(shí)物保護(hù)系統(tǒng)信息安全設(shè)計(jì)

信息安全應(yīng)與實(shí)物保護(hù)系統(tǒng)的設(shè)計(jì)原則一致，采用一體化方式進(jìn)行部署，確保同規(guī)劃、同設(shè)計(jì)、同部署。在實(shí)物保護(hù)系統(tǒng)設(shè)計(jì)初期就應(yīng)將信息安全技術(shù)全面融入其中［3］，包括設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用等各方面，如定制高安全級(jí)安保設(shè)備、網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)加密、身份認(rèn)證、配置網(wǎng)管平臺(tái)等。只有從實(shí)物保護(hù)系統(tǒng)頂層設(shè)計(jì)開始考慮信息安全，采用軟硬件協(xié)作、設(shè)備與平臺(tái)聯(lián)動(dòng)的方式，才能全面確保實(shí)物保護(hù)系統(tǒng)的安全性和可靠性。具體來說，在系統(tǒng)硬件方面應(yīng)配置網(wǎng)絡(luò)安全設(shè)備；軟件方面可依托集成安保平臺(tái)，設(shè)置信息安全監(jiān)控管理模塊，集成實(shí)現(xiàn)認(rèn)證、準(zhǔn)入控制、密碼管理、主機(jī)監(jiān)控、安全檢測(cè)、安全審計(jì)、病毒補(bǔ)丁分發(fā)、事件行為分析、應(yīng)急響應(yīng)等功能。

2.1 信息安全部署方案

從硬件部署上主要包含3塊內(nèi)容，首先需為實(shí)物保護(hù)系統(tǒng)配置網(wǎng)絡(luò)安全防護(hù)設(shè)備，如IPS、防火墻、漏洞掃描、防病毒網(wǎng)關(guān)等，并應(yīng)對(duì)系統(tǒng)主要設(shè)備進(jìn)行安全審查或是硬件安全加固，最后是配置用于信息安全監(jiān)控的應(yīng)用服務(wù)器。

軟件部署主要是為硬件設(shè)備提供集成化的信息安全監(jiān)控和綜合管理平臺(tái)，以避免沒有關(guān)聯(lián)的、隔離的“安全孤島”的情況。因此文章建議為實(shí)物保護(hù)系統(tǒng)配置一套網(wǎng)絡(luò)管理平臺(tái)［4］，由該平臺(tái)實(shí)現(xiàn)對(duì)部署在實(shí)物保護(hù)系統(tǒng)網(wǎng)絡(luò)中的各類信息安全設(shè)備進(jìn)行集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動(dòng)，從而有效簡化網(wǎng)絡(luò)安全管理工作，提升網(wǎng)絡(luò)的安全水平和可控性、可管理性。

2.2 融合信息安全的網(wǎng)絡(luò)拓?fù)?/p>

結(jié)合上述部署方案，對(duì)實(shí)物保護(hù)系統(tǒng)的網(wǎng)絡(luò)拓?fù)湎鄳?yīng)進(jìn)行優(yōu)化，如圖2所示。

該拓?fù)鋱D中主要在核心交換機(jī)端并聯(lián)配置了多種類型的信息安全監(jiān)控設(shè)備，配置了網(wǎng)絡(luò)管理平臺(tái)服務(wù)器，部署了準(zhǔn)入控制策略服務(wù)器，專門負(fù)責(zé)控制未經(jīng)授權(quán)各類終端的非法接入。

網(wǎng)絡(luò)管理平臺(tái)可通過終端代理獲取所有實(shí)物保護(hù)系統(tǒng)終端以及安全監(jiān)控設(shè)備的數(shù)據(jù)和報(bào)警信息，并通過網(wǎng)管平臺(tái)服務(wù)器進(jìn)行統(tǒng)計(jì)、分析和審計(jì)，實(shí)現(xiàn)平臺(tái)的統(tǒng)一監(jiān)管。

2.3 信息安全應(yīng)對(duì)措施

結(jié)合軟硬件部署方案，并分析實(shí)物保護(hù)系統(tǒng)主要安全風(fēng)險(xiǎn)，建議采取的應(yīng)對(duì)措施主要有：

1）實(shí)物保護(hù)系統(tǒng)網(wǎng)絡(luò)分區(qū)隔離：在不同的分區(qū)之間采用VLAN進(jìn)行網(wǎng)絡(luò)虛擬隔離，通過路由器或3層交換機(jī)進(jìn)行連接。

2）為實(shí)物保護(hù)系統(tǒng)部署網(wǎng)絡(luò)安全管理平臺(tái)，提供設(shè)備監(jiān)控、資產(chǎn)管理、病毒管理、補(bǔ)丁分發(fā)、事件處理、應(yīng)急響應(yīng)、日志審計(jì)、報(bào)表管理等網(wǎng)絡(luò)安全監(jiān)管功能。

3）網(wǎng)絡(luò)設(shè)備準(zhǔn)入控制：實(shí)施網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)接口準(zhǔn)入控制并進(jìn)行安全審計(jì)，一旦發(fā)現(xiàn)非法設(shè)備接入發(fā)出實(shí)時(shí)報(bào)警。

4）網(wǎng)絡(luò)邊界策略配置：對(duì)防火墻、入侵防御設(shè)備等網(wǎng)絡(luò)邊界防護(hù)設(shè)備進(jìn)行安全策略配置。

5）重要指令加密保護(hù)：對(duì)集成管理平臺(tái)的重要控制指令、視頻監(jiān)控控制指令、出入口控制系統(tǒng)開關(guān)門指令、周界入侵報(bào)警信號(hào)等進(jìn)行協(xié)議加固。

圖2 融合信息安全技術(shù)的網(wǎng)絡(luò)拓?fù)鋱DFig.2 The network topology architecture integrated with information security technique

6）存儲(chǔ)數(shù)據(jù)全態(tài)加密：對(duì)實(shí)物保護(hù)系統(tǒng)集成平臺(tái)的數(shù)據(jù)庫、視頻監(jiān)控、門禁、周界入侵報(bào)警系統(tǒng)等服務(wù)器內(nèi)存儲(chǔ)的信息進(jìn)行加密保護(hù)。

7）部署高安視頻監(jiān)控：可部署研制一體化高安全安防視頻監(jiān)控系統(tǒng)。

8）安保通信傳輸保護(hù)：在安保通信系統(tǒng)中使用定制加密的通信終端。

9）基于證書的身份識(shí)別：建立設(shè)備證書、用戶證書為基礎(chǔ)的認(rèn)證體系，增強(qiáng)身份識(shí)別能力。

3 結(jié)束語

核電廠實(shí)物保護(hù)系統(tǒng)的重要性不言而喻，而隨著系統(tǒng)安保設(shè)備的增加，網(wǎng)絡(luò)架構(gòu)的日益復(fù)雜，其自身的網(wǎng)絡(luò)安全也越來越受到關(guān)注。本文通過分析核電廠實(shí)物保護(hù)系統(tǒng)的網(wǎng)絡(luò)體系特點(diǎn)，以現(xiàn)有主流信息安全技術(shù)為基礎(chǔ)，從實(shí)物保護(hù)系統(tǒng)頂層設(shè)計(jì)開始，全面將信息安全技術(shù)融入其中，通過在軟硬件部署、策略配置、安保設(shè)備定制、網(wǎng)絡(luò)安全綜合管理等多個(gè)維度的探討建立了一套適用于核電廠實(shí)物保護(hù)系統(tǒng)的信息安全解決方案，使得核電廠的實(shí)物保護(hù)網(wǎng)絡(luò)體系更能適應(yīng)新環(huán)境、新技術(shù)下的網(wǎng)絡(luò)攻防戰(zhàn)，為核電廠的安全穩(wěn)定運(yùn)行提供更加安全的保障，同時(shí)也為整個(gè)核電廠信息安全建立一套網(wǎng)絡(luò)中的實(shí)物保護(hù)系統(tǒng)。

參考文獻(xiàn)：

［1］ 馬亮，榮峰，王建永，等. 核設(shè)施實(shí)物保護(hù)技術(shù)探究［J］. 核安全，2013. （MA Liang，RONG Feng，WANG Jian-yong，et al. The Delving of Physical Protection Technology in Nuclear Facility［J］. Nuclear Safety，2013.）

［2］ 唐聯(lián)華. 核電站實(shí)物保護(hù)系統(tǒng)集成模式淺析［J］. 中國核電，2010. （TANG Lian-hua. Study on the Integration Mode of the Physical Protection System of Nuclear Power Plant［J］. China Nuclear Power，2010.）

［3］ 李天目. 信息安全管理標(biāo)準(zhǔn)及綜合應(yīng)用［J］. 現(xiàn)代管理科學(xué)，2006. （LI Tian-mu. Information Security Management Standard and Integrated Modern Management Science［J］，2006.）

［4］ 何為超，李宏，張雯. 網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］. 信息安全與通信保密，2006. （H E Wei-chao，LI Hong，ZHANG Wen. Design and Implementation of Network Security Management System［J］. Information Security and Communications Privacy，2006.）

Study on Information Security Technique for the Physical Protection System of Nuclear Power Plant

CHEN Hang，JING Yi，SHEN Jian-yu
（Shanghai Nuclear Engineering Research Institute， Shanghai 200233， China）

Abstract：In the current increasingly serious situation of information security， both international and domestic industrial hazards such as virus have been seen. Serious information security problems have also been recognized. As to protect the safety of nuclear power plant and nuclear material physical protection system， its information security should draw more attention. Under the condition that there is no complete information security standard established in China，effective means to solve the problem of information security has gradually become the focus of the industry. Therefore， on the basis of industrial information security technique， combining with the characteristics of and requirements for the physical protection system of nuclear power plant， an information security solution for the physical protection system is tried to be established to ensure the information security of the physical protection system.

Key words：nuclear power plant； physical protect system； information security； network management platform

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1674-1617（2016）01-0020-05

收稿日期：2015-12-20

作者簡介：陳 航（1977—），男，浙江蘭溪人，碩士，高工，現(xiàn)主要從事實(shí)物保護(hù)系統(tǒng)集成研究及應(yīng)用。