乏燃料后處理廠數(shù)字化儀控系統(tǒng)病毒防護研究

劉建偉，楊慶彧，劉澤辰

（中國核電工程有限公司，北京 100840）

0 引言

隨著計算機技術(shù)的發(fā)展，數(shù)字化儀控系統(tǒng)和企業(yè)信息管理系統(tǒng)得到了越來越廣泛的應(yīng)用。計算機病毒的危害在工控行業(yè)也不斷出現(xiàn)，2010 年震網(wǎng)病毒攻擊伊朗布什爾核設(shè)施就是一個典型例子[1]，網(wǎng)絡(luò)安全事件多數(shù)為被植入病毒所致。習總書記在提出網(wǎng)絡(luò)強國戰(zhàn)略時，強調(diào)：“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，網(wǎng)絡(luò)安全在國內(nèi)越來越被重視。

計算機病毒種類有很多，如蠕蟲、木馬、黑客病毒、腳本病毒、宏病毒等惡意傳播代碼，它們可以使計算機速度變慢，硬盤變小，數(shù)據(jù)丟失，密碼被盜，信息泄露，芯片被毀以及網(wǎng)絡(luò)癱瘓等危險破壞性，有些甚至可以在PLC控制器之間傳播。因此，乏燃料后處理廠（以下簡稱后處理廠）儀控系統(tǒng)必須重視計算機病毒防范。

本文分析計算機病毒的特性，結(jié)合后處理廠總體網(wǎng)絡(luò)安全縱深防御策略，研究防治計算機病毒的有效策略[2]，讓讀者對其有一個理性的認識，進而增強病毒防范意識。

1 計算機病毒特點

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能，破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它對儀控系統(tǒng)網(wǎng)絡(luò)安全構(gòu)成了最直接的威脅。

計算機病毒的種類繁多，來源廣泛，且具有很大的隱藏性和破壞性，其具有以下特點：

1）破壞性。破壞性是病毒的最大特點，輕則會占用系統(tǒng)資源，降低效率，影響系統(tǒng)的運行；重則具有明確的破壞性，如擁塞網(wǎng)絡(luò)，篡改數(shù)據(jù)或控制邏輯，刪除文件，加密摧毀磁盤中的數(shù)據(jù)，使之無法恢復，機器癱瘓等。

2）傳染性。傳染性是病毒的基本特征。計算機病毒在一定條件下通過網(wǎng)絡(luò)、U 盤等渠道傳染給其他計算機或控制器，從已被感染的計算機擴散到未被感染的設(shè)備。

3）隱蔽性。病毒是以程序代碼、組圖邏輯塊或隱含文件的形式存在于其他程序中，有些通過病毒軟件可以檢查；有些不經(jīng)過程序代碼分析或病毒代碼掃描，病毒程序與正常程序不易被區(qū)別開來。

4）潛伏性。有些病毒不會第一時間進行攻擊，只有滿足特定條件才會激活破壞模塊，執(zhí)行破壞系統(tǒng)的操作，這增加了病毒檢測的難度。

5）不可預見性。病毒常常被人們修改或與其它技術(shù)融合，如某些病毒集普通病毒、蠕蟲、木馬和黑客等技術(shù)于一身，生出變種和變體，對控制系統(tǒng)帶來了巨大的毀壞，病毒對反病毒軟件常常都是超前的，無法預測。

6）形式多樣性。邏輯控制塊、可執(zhí)行程序、腳本文件等都有可能攜帶計算機病毒。

2 后處理廠網(wǎng)絡(luò)安全縱深防御策略

后處理廠網(wǎng)絡(luò)完全秉承核安全文化的縱深防御策略，對后處理廠廠內(nèi)的計算機系統(tǒng)按照信息流向進行分層，并針對每一層的情況確定網(wǎng)絡(luò)層邊界，建立信息安全多層縱深防御系統(tǒng)[3]。

數(shù)字化儀控系統(tǒng)中易受到病毒威脅的系統(tǒng)、設(shè)備和部件是非常廣泛的。后處理廠數(shù)字化儀控系統(tǒng)按功能一般劃分為4 個層級：

“0”層：工藝系統(tǒng)接口層（智能型儀表設(shè)備，存在受病毒威脅的可能）。

“1”層：自動控制和保護層（包含數(shù)字化儀控設(shè)備，存在受病毒威脅的可能）。

“2”層：控制和信息管理層（包含很多計算機和服務(wù)器，易受病毒威脅）。

“3”層：全廠信息管理層（包含很多數(shù)字化終端設(shè)備，易受病毒威脅）。

后處理廠一般數(shù)字化儀控系統(tǒng)典型總體架構(gòu)如圖1，包含安全級儀控系統(tǒng)和非安全級儀控系統(tǒng)兩個部分。安全級儀控系統(tǒng)負責安全功能指令的產(chǎn)生，非安全級儀控系統(tǒng)負責正常生產(chǎn)的運行。整個系統(tǒng)以工業(yè)以太網(wǎng)為骨干，各種終端系統(tǒng)通過該網(wǎng)絡(luò)系統(tǒng)相連，包括人機接口設(shè)備、控制機柜、各種功能服務(wù)器，以及第三方系統(tǒng)等。

圖1 后處理廠儀控總體一般性架構(gòu)圖Fig.1 Overall general architecture of the I&C of the post-processing plant

根據(jù)對全廠安全性和可用性的重要程度，將后處理廠的關(guān)鍵資產(chǎn)劃分到最重要的層級中，保證核心區(qū)域的安全。從整體結(jié)構(gòu)來考慮，整個后處理廠網(wǎng)絡(luò)安全分5 個層級，圖2 為后處理廠計算機系統(tǒng)信息安全縱深防御的一般建議模型。

圖2 后處理廠計算機系統(tǒng)信息安全縱深防御模型Fig.2 Defense-in-depth model of computer system information security of reprocessing plant

按此對上述后處理廠儀控系統(tǒng)進行劃分：

◇第0 層網(wǎng)絡(luò)

第0 層網(wǎng)絡(luò)為互聯(lián)網(wǎng)，為后處理廠企業(yè)以外的網(wǎng)絡(luò)。

◇第1 層網(wǎng)絡(luò)

第1 層網(wǎng)絡(luò)部署企業(yè)廣域網(wǎng)，主要包括廠前區(qū)辦公系統(tǒng)等，提供適當?shù)男畔踩Ｗo，使用傳統(tǒng)IT 行業(yè)通用的保護手段進行信息安全保護，通常采用殺毒軟件和防火墻等軟件方案解決安全問題。

◇第2 層和第3 層網(wǎng)絡(luò)

第2 層和第3 層網(wǎng)絡(luò)提供中等級別的保護，從第4 層單向獲取數(shù)據(jù)。主要包括應(yīng)急響應(yīng)設(shè)施、運行支持、涉密辦公系統(tǒng)等輔助功能，通常與第1 層網(wǎng)絡(luò)物理隔離。儀控功能第3 層屬于該層范圍。

◇第4 層網(wǎng)絡(luò)

第4 層網(wǎng)絡(luò)承載后處理廠的核安全與生產(chǎn)安全責任，包括生產(chǎn)監(jiān)控系統(tǒng)、安全控制系統(tǒng)等，后處理廠數(shù)字化儀控系統(tǒng)主體位于其中，在實體保衛(wèi)區(qū)范圍內(nèi)。針對網(wǎng)絡(luò)威脅提供最高等級的保護，數(shù)據(jù)單向傳至第3 層網(wǎng)絡(luò)。儀控系統(tǒng)功能分層的第0、1、2 層屬于該層網(wǎng)絡(luò)。

該層包含安全級儀控系統(tǒng)和非安全級儀控系統(tǒng)，核安全重于生產(chǎn)安全。若安全級控制系統(tǒng)采用數(shù)字化控制手段，則數(shù)據(jù)傳輸?shù)膯蜗蚋綦x裝置為安全級和非安全級儀控系統(tǒng)的訪問邊界；若安全級控制系統(tǒng)采用常規(guī)控制手段，其數(shù)字化配套設(shè)備需要采取嚴格的信息安全手段，如試驗裝置等。

后處理廠計算機病毒防范是后處理廠總體網(wǎng)絡(luò)安全策略中的重要部分，不應(yīng)脫離縱深防御的核安全總體框架。從管理制度體系和信息技術(shù)手段兩個方面著手，制度為第一層保障，技術(shù)手段依靠完善的信息管理制度，建立完整的信息安全技術(shù)體系，以規(guī)范信息安全載體的制造、配置、應(yīng)用、檢測、評估、維護、改造等一系列活動，確保在任何一個環(huán)節(jié)不會被種植惡意代碼。

3 病毒的防治策略

計算機病毒防護策略從安全意識抓起，對病毒的破壞性要有充分認識，采取主動防御為主、保守殺毒為輔策略，結(jié)合上述病毒的各種特性和現(xiàn)有病毒防護手段，及時發(fā)現(xiàn)、檢測清理病毒。所謂主動防御，主要是指加強對相關(guān)人員的培訓和資產(chǎn)的審計力度，建立起層層防御機制；所謂保守殺毒主要是指保證后處理廠的正常生產(chǎn)，不能因過分地強調(diào)安全性而降低儀控系統(tǒng)的可用性。

3.1 工控系統(tǒng)病毒防治的特點

目前工控系統(tǒng)病毒防治策略多參考IT 行業(yè)的經(jīng)驗，后處理廠也是如此，但有些病毒是專門針對工控系統(tǒng)，只在DCS 或PLC 中運行和傳播。因此，還需結(jié)合儀控系統(tǒng)的特點制定防治策略。

鑒于病毒種類的形式多種多樣，有些還具備很深的隱蔽性，因此儀控人員對后處理廠儀控系統(tǒng)所包含的軟硬件資產(chǎn)及后處理廠數(shù)據(jù)必須熟練掌握，并具備足夠的IT 知識，據(jù)此認真審計每一項儀控資產(chǎn)，將這些貫穿在信息安全載體的制造、配置、應(yīng)用、檢測、評估、維護、改造等一系列活動中。

對于計算機病毒的傳播性，一是由于人的因素將病毒帶入安全區(qū)內(nèi)，對此需要盡量縮小可接觸人員的范圍，嚴格權(quán)限管理；二是由于技術(shù)上的原因，病毒感染了儀控系統(tǒng)，對此應(yīng)劃分安全區(qū)和網(wǎng)絡(luò)分層，確保儀控系統(tǒng)與其他安全區(qū)和網(wǎng)絡(luò)層外的系統(tǒng)邊界清晰，物理上以隔離裝置作為唯一邊界。

由于病毒的不可預見性，所以防御總是有限的，因而需要建立起多樣化病毒檢測手段和快速的災難恢復機制。由于工控系統(tǒng)存在：

◇總線協(xié)議復雜多樣。

◇實時性要求強。

◇節(jié)點計算資源有限。

◇設(shè)備可靠性要求高。

◇故障恢復時間短。

◇安全機制不能影響實時性。

◇工控設(shè)備不易更換。

因此，傳統(tǒng)的“封堵查殺”安全防護技術(shù)難以解決后處理廠工控系統(tǒng)安全，推薦使用可信保障的安全管理支持下的環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御多級框架。融合專網(wǎng)專用，分區(qū)隔離的思想，以實現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護和環(huán)境安全。

3.2 后處理廠工控系統(tǒng)防治策略

后處理廠計算機病毒的防治終極目標就是確保第4 網(wǎng)絡(luò)層不受計算機病毒的侵害，用圖3 來簡單說明縱深防御型病毒防護策略手段。除此之外還應(yīng)注意以下幾項：

圖3 縱深防御型病毒防護策略Fig.3 Defense-in-depth virus protection strategy

1）一般核設(shè)施工廠的信息安全往往是信息部門負責，而儀控設(shè)備由設(shè)備管理部門負責，存在責任與實體分離的情況，后處理廠信息安全團隊應(yīng)由兩個部門聯(lián)合成立。

2）技術(shù)防范因在嚴格的制度管理之下才能充分發(fā)揮作用，脫離實體防護的技術(shù)手段是不現(xiàn)實的。

3）在設(shè)備選型上應(yīng)考慮病毒防護軟件的資源消耗因素，不應(yīng)由于設(shè)備在運行病毒例行檢查時導致顯示和操作延緩，影響儀控系統(tǒng)的可用性。

4）有限使用殺毒工具，由于工控軟件比較小眾，因而殺毒軟件對工控軟件存在不能100%識別的情況，一旦誤殺將是致命的，所以在殺毒軟件和工控軟件兼容性沒有得到絕對驗證前，不能隨意開啟殺毒軟件的查殺功能，至多作為病毒報警工具，為審計和人工查殺提供數(shù)據(jù)依據(jù)。

5）安全級系統(tǒng)病毒防護有其特殊性，鑒于安全級儀控系統(tǒng)對可用性的高要求，若安全級系統(tǒng)采用數(shù)字化手段，則更多的是要強調(diào)管理的重要性。從產(chǎn)品的研發(fā)開始，有著嚴格的驗證與確認程序，系統(tǒng)應(yīng)具有充分的封閉性和專有性，力求做到防范于未然。對于常規(guī)手段的安全級系統(tǒng)，其數(shù)字化輔助工具或系統(tǒng)應(yīng)制定嚴格信息安全防護策略。

6）處置預案快速，切實可行。當發(fā)現(xiàn)有設(shè)備遭到病毒侵害時，能夠有效地對系統(tǒng)進行災難恢復，平時完善備份機制。

后處理廠工控系統(tǒng)計算機病毒防治僅僅采用技術(shù)手段是不夠的，從管理上要建立起可信連接機制，包括人和資產(chǎn)，對工控系統(tǒng)的安全策略以及環(huán)境、應(yīng)用區(qū)域邊界和通信網(wǎng)絡(luò)上的安全機制實現(xiàn)統(tǒng)一管理。在安全管理內(nèi)部又分為系統(tǒng)資源管理、安全控制和審計3 部分?？尚殴芾韺﹃P(guān)鍵資源信息度量策略和基準庫進行管理，實現(xiàn)多級互聯(lián)。

4 結(jié)語

縱深防御型病毒防護策略符合網(wǎng)絡(luò)安全策略的重要部分，貫徹在信息安全載體的制造、配置、應(yīng)用、檢測、評估、維護、改造等一系列活動中。但對于安全級儀控系統(tǒng)，須強調(diào)防患于未然，已經(jīng)運行中的安全級系統(tǒng)主要保證系統(tǒng)的封閉性，并加強審計[4]。

由于想徹底消滅病毒是很困難的。對用戶而言，應(yīng)樹立網(wǎng)絡(luò)安全意識，充分認識病毒，了解病毒的特性，采取主動防御為主、殺毒為輔策略，結(jié)合現(xiàn)有防毒技術(shù)及時發(fā)現(xiàn)、檢測清理病毒，最大限度地預防病毒的感染，建立可信保障的安全管理支持下的環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御多級框架。保證信息安全的同時，也必須要保證后處理廠儀控系統(tǒng)的可用性不降級。