張敏

摘 要：隨著計算機的飛速發(fā)展，信息安全越來越重要，這種重要性不僅體現在互聯網和個人計算機領域，同樣也體現在工控領域。而核電廠DCS系統(tǒng)是工控系統(tǒng)的一個分支，在核電廠的運行中起到極其關鍵的作用。本文探討核電廠DCS系統(tǒng)信息安全防護的方法，旨在分析核電廠DCS系統(tǒng)信息安全設計中的注意要點，從而確保核電廠建成后能夠安全運行，保障國家的發(fā)展和人民生命的安全。

關鍵詞：信息安全;防護方法;DCS系統(tǒng);核電廠

中圖分類號：TM623;TP309 文獻標識碼：A 文章編號：1003-5168（2019）32-0044-02

Information?Security?Protection?of?DCS?in?Nuclear?Power?Plant

ZHANG?Min

（China?Nuclear?Control?System?Engineering?Co.，?Ltd.，Beijing?102401）

Abstract：?With?the?rapid?development?of?computers，?information security?is?more?and?more?important，?which?is?not?only?reflected?in?the?Internet?and?personal?computers，?but?also?in?the?field?of?industrial?control.?As?a?branch?of?industrial?control?system，?DCS?plays?an?important?role?in?the?operation?of?nuclear?power?plant.?This?paper?discussed?the?method?of?information?security?protection?of?nuclear?power?plant?DCS?system，?aiming?at?analyzing?the?key?points?of?information?security?design?of?DCS?system?in?nuclear?power?plant，?so?as?to?ensure?the?safety?and?stability?of?nuclear?power?plant，?and?to?guarantee?the?development?of?the?country?and?the?safety?of?people's?lives.

Keywords：?information?security;protection?method;DCS?system;nuclear?power?plant

1 核電廠DCS系統(tǒng)信息安全屬性的定義

核電廠DCS系統(tǒng)信息安全屬性涉及五個方面。一是可用性，即確保DCS系統(tǒng)可以被任何授權的操作人員使用的系統(tǒng)能力。二是完整性，即確保DCS系統(tǒng)只被授權操作人員修改的系統(tǒng)能力。三是機密性，即確保DCS系統(tǒng)只被授權操作人員查看的系統(tǒng)能力。四是認證性，即能夠確認操作人員身份的系統(tǒng)能力。五是可追究性，即確保操作人員的動作被記錄的系統(tǒng)能力。

根據以上定義可知，核電廠DCS系統(tǒng)喪失信息安全屬性將引發(fā)如下危險：DCS系統(tǒng)喪失完整性和認證性，可能引起系統(tǒng)的配置、程序、指令、信號和數據被篡改，造成誤動或拒動，導致設備故障、損壞甚至引發(fā)核安全事故[1]。DCS系統(tǒng)喪失可用性會引發(fā)系統(tǒng)執(zhí)行功能異?；蛐阅芙导墸部赡軐е略O備故障、損壞甚至引發(fā)核安全事故。DCS系統(tǒng)喪失機密性將可能導致系統(tǒng)配置信息、密碼、生產工藝、關鍵參數等外泄。DCS系統(tǒng)喪失可追究性則可能導致事故發(fā)生后無法進行責任追查。

2 信息安全防護方法

造成信息安全危險的行為主要有如下四種方式，即截取、中斷、篡改和偽造。針對上述危險行為，DCS系統(tǒng)信息安全可以采用以下防護方法。

2.1 邊界防護

DCS系統(tǒng)網絡與外部網絡之間應使用物理隔離措施進行防護，確保DCS系統(tǒng)到外部網絡的絕對單向數據傳輸。同時，應兼顧DCS系統(tǒng)網絡與外部網絡數據通信的實時性。DCS系統(tǒng)與第三方系統(tǒng)之間的網絡通信應采取隔離措施進行防護，例如，可以在DCS系統(tǒng)側部署工業(yè)防火墻。安全級系統(tǒng)與非安全級系統(tǒng)之間的網絡應從物理層面確保安全級系統(tǒng)到非安全級系統(tǒng)數據的單向傳輸[2，3]。

2.2 訪問控制

設置訪問控制權限，由授權主體進行訪問控制策略的配置，規(guī)定訪問規(guī)則。記錄非法登錄，當超過規(guī)定的連續(xù)無效登陸次數時，觸發(fā)報警，同時應鎖定登錄權限。設置會話自動鎖定，對30min內不活動的會話進行鎖定，只有使用身份驗證后才能重新進行訪問。

設置物理安全防護措施，防止未經授的非法訪問，可以采取如下措施來實現：鎖柜、設備場所的權限控制以及相關組織和行政措施等。對重要的程序、文件和數據等設置安全標記，控制對有安全標記信息資源的訪問權限。在設計上限制對DCS系統(tǒng)可編程區(qū)域的訪問，并阻止這些區(qū)域的非法訪問。

2.3 密碼管理

保護密碼、密鑰數據庫，防止非法訪問主機用戶和密碼列表，將密碼副本存儲在有限訪問的安全位置?？刂聘闹髅艽a的權限，防止主密碼泄露造成密碼管理的失效。控制密碼的長度、強度和復雜性，確保密碼有足夠的安全性。

2.4 移動存儲介質的訪問控制

對DCS系統(tǒng)主機的物理接口進行限制，可以采用USB端口設備綁定的方式。同時，部署文件拷貝中轉設備，對存儲介質進行病毒和木馬的查殺，并禁用未使用的網絡端口、協(xié)議端口以及USB接口。當有設備通過備用網絡端口接入時，DCS系統(tǒng)將拒絕并報警，只有經授權允許或硬件組態(tài)后才允許新設備的接入。

2.5 入侵防御

在DCS系統(tǒng)合適位置部署入侵檢測系統(tǒng)，監(jiān)視網絡邊界處的網絡行為，包括端口掃描攻擊、暴露攻擊、木馬后門攻擊、DoS攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網絡蠕蟲等，并在檢測到攻擊行為時記錄攻擊源IP、攻擊類型、攻擊目標和攻擊時間，提供實時報警。同時，應確保入侵檢測系統(tǒng)不影響DCS系統(tǒng)的正常運行。

2.6 審計日志

對DCS網絡中的網絡設備運行狀況、網絡流量等進行審計，審計日志應包括日期和時間、類型、主體標識、客體標識等。對工程師站、操作員站、服務器、數據庫等重要系統(tǒng)的用戶操作，以及組態(tài)軟件、編程軟件、監(jiān)控軟件、數據服務和通信軟件等的運行事件等進行安全審計，如用戶登錄事件、組態(tài)事件、編程事件、程序的上傳下載事件、控制操作事件、系統(tǒng)進程事件、客戶端請求事件、數據傳輸事件、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等，并生成審計日志。系統(tǒng)結合黑白名單技術，對系統(tǒng)內運行的模塊/程序進行識別和監(jiān)控，杜絕未經識別的模塊/程序的運行。

審計日志記錄存儲設備配置為“僅可讀”，防止對存儲設備記錄的更改。同時，應合理分配審計記錄存儲容量，定期備份，防止存儲超過容量上限，在審計存儲容量即將達到上限時，系統(tǒng)應提供報警或信息指示。審計記錄的時間標簽由系統(tǒng)唯一確定的時鐘源確定，確保審計分析的正確性。DCS系統(tǒng)應保護審計進程，防止未經授權的中斷。

2.7 數據備份與恢復

DCS系統(tǒng)具備定期對歷史數據、系統(tǒng)組態(tài)文件進行備份的能力。系統(tǒng)應具備檢測備份介質有效性的能力，確保在預期的恢復時間內可以完成備份的恢復。

3 結論

信息安全問題貫穿DCS系統(tǒng)的整個生命周期，同時信息安全問題需要采用技術手段與管理手段解決。本文針對造成信息安全危險的四種行為，探究了幾種核電廠DCS系統(tǒng)信息安全防護的方法，目的是在DCS系統(tǒng)設計的過程中保證系統(tǒng)的完整性、可用性、機密性、認證性和可追究性，將由信息安全事件導致的事故危害降到最低。

參考文獻：

[1]Charles?P?Pfleeger，Shari?Lawrence?Pfleeger，Jonathan?Margulies.Principles?and?Technology?of?Information?Security[M].?Beijing：Electronic?Industry?Press，2016.

[2]國家質量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.工業(yè)自動化和控制系統(tǒng)網絡安全?集散控制系統(tǒng)（DCS）?第1部分：防護要求：GB/T?33009.1—2016[S].北京：中國標準出版社，2016.

[3]USA?Nuclear?Regulatory?Commission.Cyber?Security?Programs?For?Nuclear?Facilities：RG5.71—2010[S].Rockville：USA?Nuclear?Regulatory?Commission，2010.