淺談信息安全背景下核電廠儀控系統(tǒng)研究策略

陳正忠

中國核電工程有限公司鄭州分公司 河南 鄭州 450052

核電站的“大腦和神經(jīng)中樞”系統(tǒng)大大提高了該系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)。然而，與傳統(tǒng)的模擬系統(tǒng)[1]相比，這種數(shù)字化系統(tǒng)使用了大量的微處理器、統(tǒng)一軟件和計(jì)算機(jī)軟件等軟件，以及先進(jìn)的軟件、互聯(lián)網(wǎng)技術(shù)和其他復(fù)雜問題。本文討論了當(dāng)前核數(shù)字化系統(tǒng)的重要性，這導(dǎo)致了該系統(tǒng)復(fù)雜性的可靠分析和問題。

1 工業(yè)控制系統(tǒng)信息安全簡述

在信息安全板塊中，最容易被大家忽略的便是工業(yè)控制系統(tǒng)的信息安全隱患，因此導(dǎo)致對應(yīng)其的技術(shù)和管理手段難以跟上現(xiàn)代化可以發(fā)展的腳步，缺乏信息安全意識(shí)。人們主要關(guān)注網(wǎng)絡(luò)安全、隱私安全、金融安全等。缺乏工業(yè)控制系統(tǒng)對信息安全的擔(dān)憂主要是由于人們無意中認(rèn)為工業(yè)控制系統(tǒng)通常是一個(gè)獨(dú)立的、封閉的局域網(wǎng)，很少有開放的端口，而且非常安全。過去的重大事件，工業(yè)控制系統(tǒng)中的信息安全隱患最大，對工業(yè)系統(tǒng)的影響是非常嚴(yán)重的[2]。

2 核電廠儀控系統(tǒng)信息安全需求

2.1 信息安全需求分析

安全性能是核電站設(shè)計(jì)的關(guān)鍵，對安全的信心長期以來一直是核電站整體安全的組成部分。在核電站控制系統(tǒng)的設(shè)計(jì)、制造和調(diào)試環(huán)節(jié)中，以及運(yùn)行的過程中始終貫穿著信息安全設(shè)計(jì)。在工業(yè)控制網(wǎng)絡(luò)中，常常需要連接人、機(jī)、物，場景多種多樣，在技術(shù)要求上存在差異[3]。在傳統(tǒng)互聯(lián)網(wǎng)工業(yè)控制網(wǎng)絡(luò)中，有著較高的可靠性與安全性，有著較低的延時(shí)，才可以為工業(yè)生產(chǎn)提供保障，與此同時(shí)，要確保多個(gè)方面的安全，在工業(yè)控制網(wǎng)絡(luò)行業(yè)中，有著標(biāo)準(zhǔn)多且應(yīng)用場景復(fù)雜的特點(diǎn)，難以同傳統(tǒng)互聯(lián)網(wǎng)相比，找到相應(yīng)的發(fā)展規(guī)律，在核電廠儀控系統(tǒng)中，要以可用性為第一安全需要，其順序?yàn)榭捎眯酝暾?、機(jī)密性。

核電站系統(tǒng)生命周期長，在核電站生命周期內(nèi)，系統(tǒng)升級(jí)優(yōu)化難度大，導(dǎo)致系統(tǒng)中主機(jī)系統(tǒng)版本升級(jí)困難。文書的監(jiān)督體系中的一個(gè)薄弱環(huán)節(jié),一旦機(jī)器工業(yè)主要是有爭議的,可能會(huì)影響系統(tǒng)運(yùn)行的工具,甚至直接操縱和控制的指示,這可能會(huì)影響安全運(yùn)行核電站并引發(fā)安全事故。IEC 62443 定義了工業(yè)管理系統(tǒng)的信息安全：為保護(hù)系統(tǒng)而采取的措施。系統(tǒng)的狀態(tài)是通過建立和維護(hù)系統(tǒng)熔斷器來實(shí)現(xiàn)的[4]?；谌萘康挠?jì)算機(jī)系統(tǒng)可以保證未經(jīng)授權(quán)的人員和系統(tǒng)無法修改和訪問軟件和數(shù)據(jù)，但無法阻止未經(jīng)授權(quán)的人員和系統(tǒng)。干擾對控制系統(tǒng)的非法或惡意訪問或正常和計(jì)劃的操作。工業(yè)管理系統(tǒng)不同于傳統(tǒng)系統(tǒng)。工業(yè)管理系統(tǒng)通常比傳統(tǒng)的安全攻擊更嚴(yán)格，因此在防止信息安全方面具有不同的目的[5]。

2.2 主要風(fēng)險(xiǎn)因素及其分類

核電廠儀控系統(tǒng)信息安全威脅主要來源于與核電廠儀控系統(tǒng)相連的外部系統(tǒng)，其安全隱患是由未經(jīng)授權(quán)的人員預(yù)留的登錄界面。無論內(nèi)部網(wǎng)絡(luò)的安全級(jí)別如何，通過上述手段對安全會(huì)構(gòu)成威脅。綜合工業(yè)控制領(lǐng)域目前對核電廠儀控系統(tǒng)的主要威脅篡改、中斷和偽造、復(fù)制、非法訪問、竊聽、泄露和拒絕。結(jié)合信息安全的要求，提出了信息安全的標(biāo)準(zhǔn)。從核電站儀控系統(tǒng)的安全性、可靠性、保密性和不可否認(rèn)性等方面對這些威脅進(jìn)行了分類。

2.3 構(gòu)建評估體系結(jié)構(gòu)

在評估信息安全級(jí)別時(shí)，需要建立一套評估機(jī)構(gòu)，數(shù)據(jù)通信安全等級(jí)在核電廠儀控系統(tǒng)中，信息安全的主要要求是保證數(shù)據(jù)在傳輸過程中不被非法獲取或篡改，數(shù)據(jù)的真實(shí)性和有效性?；诎踩燃?jí)的需求分析和威脅分類，從上到下可將評價(jià)結(jié)構(gòu)分為目標(biāo)層、屬性層和威脅層三個(gè)層次。

3 核電廠儀控系統(tǒng)信息安全總體要求

核電廠儀控系統(tǒng)信息安全的設(shè)計(jì)目的最大限度地降低信息安全事故帶來的風(fēng)險(xiǎn)。安全控制系統(tǒng)的失效會(huì)導(dǎo)致誤操作或拒絕操作，長時(shí)間的誤操作甚至?xí)l(fā)生嚴(yán)重的核安全事故，危及人們的財(cái)產(chǎn)以及人身安全。信息安全需要技術(shù)和管理手段之間的密切合作。因此，信息安全的要求不能旨在技術(shù)上進(jìn)行嚴(yán)格標(biāo)準(zhǔn)，同時(shí)也需要在核電廠儀控系統(tǒng)的各個(gè)運(yùn)行時(shí)期進(jìn)行管理決策。

3.1 核電廠儀控系統(tǒng)

核電廠儀控系統(tǒng)信息安全分類以及信息安全的保護(hù)水平，應(yīng)根據(jù)網(wǎng)絡(luò)攻擊對核電廠安全和運(yùn)行造成的問題來進(jìn)行劃分抉擇。要科學(xué)使用不同層次的分級(jí)防范管理體系，從而可以使系統(tǒng)能夠從容應(yīng)對各種信息安全隱患。關(guān)于同一級(jí)別的預(yù)防系統(tǒng)，應(yīng)繼續(xù)執(zhí)行詳細(xì)的分區(qū)域管理計(jì)劃。通過工業(yè)控制系統(tǒng)的設(shè)計(jì)要求，劃分了不同的功能。從而通過這些功能的不同特性，采取對應(yīng)的防范舉措。不同安全級(jí)別之間的通信，只允許從高安全級(jí)別劃分到低安全級(jí)別的單向通信。

3.2 核電廠儀控系統(tǒng)應(yīng)建立獨(dú)立的信息安全審計(jì)平臺(tái)

該平臺(tái)擔(dān)任監(jiān)控控制系統(tǒng)的信息安全任務(wù)，建立入侵檢測系統(tǒng)，實(shí)時(shí)記錄并提供報(bào)警提示以及行為。提供統(tǒng)一的管理策略，如身份認(rèn)證、白名單、病毒防護(hù)、補(bǔ)丁管理等。必須有安全屏障，以防止使用非通過的安全認(rèn)證通信協(xié)議進(jìn)行通信。

4 核電廠儀控系統(tǒng)信息安全詳細(xì)要求

4.1 核電站儀表信息控制系統(tǒng)

核電站儀表和控制系統(tǒng)的安全技術(shù)。本節(jié)主要分析核電站儀表與控制系統(tǒng)的整體結(jié)構(gòu)，對不同功能的設(shè)備提出不同的要求，對核電站儀表與控制系統(tǒng)中各類設(shè)備的信息化性能要求進(jìn)行設(shè)定。一是現(xiàn)場設(shè)備層的各類設(shè)備均未受到嚴(yán)重?fù)p壞，設(shè)備因惡意攻擊而無法工作或拒絕運(yùn)行，造成現(xiàn)場事故。確?？刂茊卧械某绦蚝团渲眯畔⒉槐淮鄹?，控制器的自動(dòng)命令可以自動(dòng)發(fā)送到現(xiàn)場設(shè)備，現(xiàn)場運(yùn)行狀態(tài)可以反饋給控制層及時(shí)監(jiān)控系統(tǒng)。三是保護(hù)機(jī)房操作員、技術(shù)員機(jī)房、服務(wù)器等不受破壞，設(shè)備上的軟件和數(shù)據(jù)不受篡改，確保運(yùn)營商可以操作電廠，統(tǒng)一發(fā)電狀態(tài)。電廠及為電廠運(yùn)行提供服務(wù)的計(jì)算機(jī)化設(shè)備運(yùn)行狀態(tài)，確保電廠運(yùn)行不被破壞。第四，保護(hù)管理中的軟件和數(shù)據(jù)系統(tǒng)不受損壞，確保安裝是用電動(dòng)壓力機(jī)進(jìn)行的。首先，核電廠的安全控制系統(tǒng)需要全面的信息安全設(shè)計(jì)文件?？刂葡到y(tǒng)中,包含所有的通信和信息交流系統(tǒng)內(nèi),子系統(tǒng)之間以及與外部系統(tǒng)來分析和描述的信息流、權(quán)力分配和控制流分析和論述了授權(quán)和百分比的信息。從整體網(wǎng)絡(luò)規(guī)劃的角度來看，必須避免對設(shè)備或系統(tǒng)局域網(wǎng)的攻擊，以免傳播到整個(gè)網(wǎng)絡(luò)。審核系統(tǒng)應(yīng)能夠產(chǎn)生蓋章的審核記錄。審計(jì)系統(tǒng)的時(shí)間表不能隨意更改，審計(jì)記錄也不能更改。工廠控制系統(tǒng)中的信息安全應(yīng)作為一個(gè)整體來考慮，并在系統(tǒng)范圍內(nèi)識(shí)別安全區(qū)域。邊境數(shù)據(jù)交換必須通過技術(shù)隔離措施加以保護(hù)。限制應(yīng)納入安全管理[6]。

4.2 核電廠儀控系統(tǒng)安全管理體系

信息安全管理體系必須有一個(gè)明確的指導(dǎo)方針與要求作為方向，全面思考信息安全的隱患，從大到小，一一列出，從而形成一個(gè)詳細(xì)的信息安全管理脈絡(luò)，首先需要制定信息安全的整體目標(biāo)，以及防范的信息邊界，遵循相應(yīng)的規(guī)章制度與要求。首先，創(chuàng)建一個(gè)具體完善的管理體系，實(shí)施相應(yīng)的信息安全政策、謎底和流程。對信息安全的隱患等級(jí)進(jìn)行分析和評估。其次，開展相應(yīng)的信息安全教育，提高員工的安全防范意識(shí)，提高風(fēng)險(xiǎn)的警惕性。再次，改進(jìn)信息安全監(jiān)管體系的不足，制定處罰措施。最后，定期進(jìn)行信息安全的風(fēng)險(xiǎn)隱患分析研究，并做成安全報(bào)告進(jìn)行匯報(bào)。

4.3 儀控系統(tǒng)設(shè)計(jì)特點(diǎn)對調(diào)試方案的影響

與全模擬控制系統(tǒng)相比，半數(shù)字化儀控系統(tǒng)雖然也采用了繼電器控制回路，但控制的范圍不同。全模擬控制系統(tǒng)的繼電器控制回路不僅實(shí)現(xiàn)安全級(jí)控制邏輯，也實(shí)現(xiàn)非安全級(jí)控制邏輯，而半數(shù)字化儀控系統(tǒng)的繼電器機(jī)柜系統(tǒng)只實(shí)現(xiàn)了安全級(jí)控制邏輯，非安全級(jí)部分由DCS系統(tǒng)實(shí)現(xiàn)。因此，半數(shù)字化儀控系統(tǒng)的繼電器控制回路比全模擬控制系統(tǒng)的規(guī)模更小，對于調(diào)試方案而言，工藝系統(tǒng)的通道功能的調(diào)試方法也發(fā)生了變化，即同一個(gè)系統(tǒng)的不同功能可能需要應(yīng)用不同的調(diào)試方案。每個(gè)工藝系統(tǒng)的邏輯控制功能在儀控系統(tǒng)中的實(shí)現(xiàn)，是以其系統(tǒng)的功能分級(jí)為基礎(chǔ)，即同一個(gè)系統(tǒng)不同的功能可能在不同的平臺(tái)上實(shí)現(xiàn)。因此，需要對每個(gè)系統(tǒng)的不同功能、通道、儀控設(shè)備逐一進(jìn)行分析，從而確定需要采取何種更為合適的調(diào)試方案。在具體的調(diào)試方案設(shè)計(jì)中，根據(jù)每個(gè)工藝系統(tǒng)功能分級(jí)，對應(yīng)到儀控系統(tǒng)的具體實(shí)現(xiàn)方式(模擬技術(shù)或DCS)，最終確定采用模擬技術(shù)或DCS調(diào)試方法進(jìn)行調(diào)試。由此，引出了模擬技術(shù)控制系統(tǒng)調(diào)試方案和DCS調(diào)試方案分開的需求，以對應(yīng)安全級(jí)和非安全級(jí)部分的調(diào)試。

5 核電廠儀表控制系統(tǒng)的信息安全設(shè)計(jì)

(1)按照信息安全系統(tǒng)的要求對核電廠的信息安全防護(hù)進(jìn)行分類。

系統(tǒng)層次結(jié)構(gòu)的主體可以是系統(tǒng)、設(shè)備或系統(tǒng)與設(shè)備之間的通信網(wǎng)絡(luò)。一般來說，執(zhí)行安全級(jí)別功能并可能影響安全的系統(tǒng)或設(shè)備。

(2)整體設(shè)計(jì)應(yīng)及時(shí)評估信息安全風(fēng)險(xiǎn)。

在總體設(shè)計(jì)過程中，應(yīng)對系統(tǒng)中所有通信網(wǎng)絡(luò)、診斷、維護(hù)、測試設(shè)備和通信接口進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評估、分析和評估。網(wǎng)絡(luò)接口和自下而上的通信應(yīng)該包括在高級(jí)管理中。

(3)確保網(wǎng)絡(luò)及其各子網(wǎng)的獨(dú)立性。

在規(guī)劃網(wǎng)絡(luò)時(shí)，系統(tǒng)必須確保對局域網(wǎng)的攻擊不會(huì)傳播到整個(gè)網(wǎng)絡(luò)。

(4)系統(tǒng)邊界保護(hù)要求。

核電廠的控制和測試系統(tǒng)應(yīng)與外部電網(wǎng)連接，并通過物理隔離和技術(shù)措施加以保護(hù)。邊境保護(hù)也必須納入整個(gè)信息安全管理系統(tǒng)，以保證一個(gè)單向的外部網(wǎng)絡(luò)和系統(tǒng)。

(5)門禁必須明確控制。

登錄帳號(hào)必須實(shí)時(shí)注冊。異常登錄可及時(shí)記錄并報(bào)警。如果需要，登錄將被鎖定。為了對數(shù)據(jù)存儲(chǔ)區(qū)域進(jìn)行編程，需要對用戶權(quán)限進(jìn)行更嚴(yán)格的管理，并準(zhǔn)確區(qū)分用戶可以訪問的不同區(qū)域。

(6)移動(dòng)存儲(chǔ)和無線網(wǎng)絡(luò)的要求。

對移動(dòng)存儲(chǔ)介質(zhì)和無線網(wǎng)絡(luò)設(shè)備的訪問應(yīng)嚴(yán)格限制，只能通過邊境安全監(jiān)測機(jī)構(gòu)訪問。應(yīng)通過技術(shù)手段查明和警告非法進(jìn)入。

(7)審計(jì)部門應(yīng)當(dāng)能夠?qū)崟r(shí)監(jiān)控設(shè)備運(yùn)行、數(shù)據(jù)流和異常數(shù)據(jù)。能夠?qū)こ處熣?、操作員站、服務(wù)器、控制器等重要設(shè)備的控制事件進(jìn)行記錄和操作。正常情況下，提交審核報(bào)告，包括指定的日期和時(shí)間。

(8)系統(tǒng)應(yīng)能夠通過通信網(wǎng)絡(luò)定期備份一組歷史狀態(tài)文件等，并將其傳輸?shù)絺浞菸恢?；系統(tǒng)應(yīng)能夠檢測備份媒體的運(yùn)行狀態(tài)，確保備份數(shù)據(jù)處于可恢復(fù)狀態(tài)。

(9)應(yīng)刪除或禁用與系統(tǒng)運(yùn)行和維護(hù)無關(guān)的所有組件。

6 核電廠儀控系統(tǒng)安全防護(hù)策略

6.1 修改防護(hù)方案

儀控系統(tǒng)修改是為了防止系統(tǒng)故障。系統(tǒng)硬件通常是因?yàn)槭鞘褂脮r(shí)間或者設(shè)計(jì)問題所造成的。而軟件引起的問題是因?yàn)樵O(shè)計(jì)以及使用過程中環(huán)境的變化造成的。根據(jù)不同的情況，進(jìn)行針對性的調(diào)整舉措，核電廠的運(yùn)行程序可分為以下幾類。一是因工作需要臨時(shí)控制變更；二是技術(shù)變革帶來永久性的變化；三是供應(yīng)商的軟件配置錯(cuò)誤或配置邏輯/參數(shù)不符合現(xiàn)場實(shí)際要求；四是供應(yīng)商網(wǎng)站發(fā)布的新軟件的附加升級(jí)或覆蓋。

軟件專用數(shù)字控制系統(tǒng)旨在識(shí)別軟件的潛在缺陷，以確保產(chǎn)品質(zhì)量。制造商發(fā)布的重要技術(shù)更新和額外的修改或覆蓋必須有針對性的驗(yàn)證與確認(rèn)過程，保證軟件功能的正確性和安全性。

6.2 黑名單和白名單技術(shù)的比較

傳統(tǒng)的殺毒軟件、入侵檢測系統(tǒng)和入侵預(yù)防系統(tǒng)是典型的黑名單產(chǎn)品。黑名單產(chǎn)品根據(jù)已知的特征識(shí)別惡意軟件和惡意行為。通過在計(jì)劃中定義“未經(jīng)授權(quán)”的規(guī)則來檢測文件、消息、行為等的匹配，可以識(shí)別和防止惡意軟件攻擊，從而實(shí)現(xiàn)凈化效果。在npp網(wǎng)絡(luò)環(huán)境中，黑名單產(chǎn)品存在以下缺陷。

首先，必須實(shí)時(shí)更新綜合特征數(shù)據(jù)庫，以實(shí)現(xiàn)更好的保護(hù)。核電站的控制和測試系統(tǒng)與外部電網(wǎng)隔離，無法及時(shí)更新系統(tǒng)調(diào)試。保護(hù)效果不能保證。其次，特征匹配過程需要更多的資源。可能導(dǎo)致系統(tǒng)擁擠或緩慢，實(shí)時(shí)差，不能滿足npp儀表控制系統(tǒng)的高實(shí)時(shí)要求;同樣，特征匹配很難達(dá)到100%的準(zhǔn)確性，特別是在確定行為特征時(shí)。駕駛員級(jí)別的操作，如讀取和讀取儀表控制系統(tǒng)的i / o卡，通常被禁止作為惡意行為。最后，已知的惡意攻擊只有在符合已知特性時(shí)才能被檢測到。為了解決上述黑名單的弱點(diǎn)，有必要在核電站的控制系統(tǒng)中引入一種不同于黑名單的防盜裝置，即白名單保護(hù)技術(shù)。

6.3 TTCAN協(xié)議保護(hù)技術(shù)

隨著電子技術(shù)和通信技術(shù)的發(fā)展，核電廠儀表控制系統(tǒng)和設(shè)備主要依靠數(shù)字技術(shù)，現(xiàn)場總線逐漸成為是數(shù)據(jù)傳輸?shù)闹匾侄?。電廠主數(shù)據(jù)同步傳輸量大，反應(yīng)堆安全運(yùn)行要求通信網(wǎng)絡(luò)滿足電廠對傳輸速度和響應(yīng)時(shí)間的要求。為了保證整個(gè)反應(yīng)器系統(tǒng)的安全穩(wěn)定運(yùn)行，在傳統(tǒng)CAN協(xié)議的基礎(chǔ)上，引入了基于CAN時(shí)間觸發(fā)機(jī)制的TTCAN高級(jí)協(xié)議。數(shù)據(jù)傳輸網(wǎng)絡(luò)可以提高總線網(wǎng)絡(luò)的帶寬利用率，滿足變電站總線網(wǎng)絡(luò)高速、實(shí)時(shí)、高可靠性數(shù)據(jù)傳輸?shù)囊骩7]。

7 結(jié)語

綜上所述，核電廠儀控系統(tǒng)信息安全需要我們得以重視，作為一個(gè)核電廠的關(guān)鍵，核電廠系統(tǒng)存在重大安全事故風(fēng)險(xiǎn)。一旦受到攻擊，不僅會(huì)影響核電廠的運(yùn)行，而且會(huì)導(dǎo)致安全生產(chǎn)事故。更重要的是，它將導(dǎo)致核事故，造成巨大的生命財(cái)產(chǎn)損失，威脅到整個(gè)國家的安全。