陳正忠

中國核電工程有限公司鄭州分公司 河南 鄭州 450052

核電站的“大腦和神經(jīng)中樞”系統(tǒng)大大提高了該系統(tǒng)的安全性、可靠性和經(jīng)濟。然而，與傳統(tǒng)的模擬系統(tǒng)[1]相比，這種數(shù)字化系統(tǒng)使用了大量的微處理器、統(tǒng)一軟件和計算機軟件等軟件，以及先進的軟件、互聯(lián)網(wǎng)技術和其他復雜問題。本文討論了當前核數(shù)字化系統(tǒng)的重要性，這導致了該系統(tǒng)復雜性的可靠分析和問題。

1 工業(yè)控制系統(tǒng)信息安全簡述

在信息安全板塊中，最容易被大家忽略的便是工業(yè)控制系統(tǒng)的信息安全隱患，因此導致對應其的技術和管理手段難以跟上現(xiàn)代化可以發(fā)展的腳步，缺乏信息安全意識。人們主要關注網(wǎng)絡安全、隱私安全、金融安全等。缺乏工業(yè)控制系統(tǒng)對信息安全的擔憂主要是由于人們無意中認為工業(yè)控制系統(tǒng)通常是一個獨立的、封閉的局域網(wǎng)，很少有開放的端口，而且非常安全。過去的重大事件，工業(yè)控制系統(tǒng)中的信息安全隱患最大，對工業(yè)系統(tǒng)的影響是非常嚴重的[2]。

2 核電廠儀控系統(tǒng)信息安全需求

2.1 信息安全需求分析

安全性能是核電站設計的關鍵，對安全的信心長期以來一直是核電站整體安全的組成部分。在核電站控制系統(tǒng)的設計、制造和調(diào)試環(huán)節(jié)中，以及運行的過程中始終貫穿著信息安全設計。在工業(yè)控制網(wǎng)絡中，常常需要連接人、機、物，場景多種多樣，在技術要求上存在差異[3]。在傳統(tǒng)互聯(lián)網(wǎng)工業(yè)控制網(wǎng)絡中，有著較高的可靠性與安全性，有著較低的延時，才可以為工業(yè)生產(chǎn)提供保障，與此同時，要確保多個方面的安全，在工業(yè)控制網(wǎng)絡行業(yè)中，有著標準多且應用場景復雜的特點，難以同傳統(tǒng)互聯(lián)網(wǎng)相比，找到相應的發(fā)展規(guī)律，在核電廠儀控系統(tǒng)中，要以可用性為第一安全需要，其順序為可用性完整性、機密性。

核電站系統(tǒng)生命周期長，在核電站生命周期內(nèi)，系統(tǒng)升級優(yōu)化難度大，導致系統(tǒng)中主機系統(tǒng)版本升級困難。文書的監(jiān)督體系中的一個薄弱環(huán)節(jié),一旦機器工業(yè)主要是有爭議的,可能會影響系統(tǒng)運行的工具,甚至直接操縱和控制的指示,這可能會影響安全運行核電站并引發(fā)安全事故。IEC 62443 定義了工業(yè)管理系統(tǒng)的信息安全：為保護系統(tǒng)而采取的措施。系統(tǒng)的狀態(tài)是通過建立和維護系統(tǒng)熔斷器來實現(xiàn)的[4]?；谌萘康挠嬎銠C系統(tǒng)可以保證未經(jīng)授權(quán)的人員和系統(tǒng)無法修改和訪問軟件和數(shù)據(jù)，但無法阻止未經(jīng)授權(quán)的人員和系統(tǒng)。干擾對控制系統(tǒng)的非法或惡意訪問或正常和計劃的操作。工業(yè)管理系統(tǒng)不同于傳統(tǒng)系統(tǒng)。工業(yè)管理系統(tǒng)通常比傳統(tǒng)的安全攻擊更嚴格，因此在防止信息安全方面具有不同的目的[5]。

2.2 主要風險因素及其分類

核電廠儀控系統(tǒng)信息安全威脅主要來源于與核電廠儀控系統(tǒng)相連的外部系統(tǒng)，其安全隱患是由未經(jīng)授權(quán)的人員預留的登錄界面。無論內(nèi)部網(wǎng)絡的安全級別如何，通過上述手段對安全會構(gòu)成威脅。綜合工業(yè)控制領域目前對核電廠儀控系統(tǒng)的主要威脅篡改、中斷和偽造、復制、非法訪問、竊聽、泄露和拒絕。結(jié)合信息安全的要求，提出了信息安全的標準。從核電站儀控系統(tǒng)的安全性、可靠性、保密性和不可否認性等方面對這些威脅進行了分類。

2.3 構(gòu)建評估體系結(jié)構(gòu)

在評估信息安全級別時，需要建立一套評估機構(gòu)，數(shù)據(jù)通信安全等級在核電廠儀控系統(tǒng)中，信息安全的主要要求是保證數(shù)據(jù)在傳輸過程中不被非法獲取或篡改，數(shù)據(jù)的真實性和有效性?；诎踩燃壍男枨蠓治龊屯{分類，從上到下可將評價結(jié)構(gòu)分為目標層、屬性層和威脅層三個層次。

3 核電廠儀控系統(tǒng)信息安全總體要求

核電廠儀控系統(tǒng)信息安全的設計目的最大限度地降低信息安全事故帶來的風險。安全控制系統(tǒng)的失效會導致誤操作或拒絕操作，長時間的誤操作甚至會發(fā)生嚴重的核安全事故，危及人們的財產(chǎn)以及人身安全。信息安全需要技術和管理手段之間的密切合作。因此，信息安全的要求不能旨在技術上進行嚴格標準，同時也需要在核電廠儀控系統(tǒng)的各個運行時期進行管理決策。

3.1 核電廠儀控系統(tǒng)

核電廠儀控系統(tǒng)信息安全分類以及信息安全的保護水平，應根據(jù)網(wǎng)絡攻擊對核電廠安全和運行造成的問題來進行劃分抉擇。要科學使用不同層次的分級防范管理體系，從而可以使系統(tǒng)能夠從容應對各種信息安全隱患。關于同一級別的預防系統(tǒng)，應繼續(xù)執(zhí)行詳細的分區(qū)域管理計劃。通過工業(yè)控制系統(tǒng)的設計要求，劃分了不同的功能。從而通過這些功能的不同特性，采取對應的防范舉措。不同安全級別之間的通信，只允許從高安全級別劃分到低安全級別的單向通信。

3.2 核電廠儀控系統(tǒng)應建立獨立的信息安全審計平臺

該平臺擔任監(jiān)控控制系統(tǒng)的信息安全任務，建立入侵檢測系統(tǒng)，實時記錄并提供報警提示以及行為。提供統(tǒng)一的管理策略，如身份認證、白名單、病毒防護、補丁管理等。必須有安全屏障，以防止使用非通過的安全認證通信協(xié)議進行通信。

4 核電廠儀控系統(tǒng)信息安全詳細要求

4.1 核電站儀表信息控制系統(tǒng)

核電站儀表和控制系統(tǒng)的安全技術。本節(jié)主要分析核電站儀表與控制系統(tǒng)的整體結(jié)構(gòu)，對不同功能的設備提出不同的要求，對核電站儀表與控制系統(tǒng)中各類設備的信息化性能要求進行設定。一是現(xiàn)場設備層的各類設備均未受到嚴重損壞，設備因惡意攻擊而無法工作或拒絕運行，造成現(xiàn)場事故。確?？刂茊卧械某绦蚝团渲眯畔⒉槐淮鄹?，控制器的自動命令可以自動發(fā)送到現(xiàn)場設備，現(xiàn)場運行狀態(tài)可以反饋給控制層及時監(jiān)控系統(tǒng)。三是保護機房操作員、技術員機房、服務器等不受破壞，設備上的軟件和數(shù)據(jù)不受篡改，確保運營商可以操作電廠，統(tǒng)一發(fā)電狀態(tài)。電廠及為電廠運行提供服務的計算機化設備運行狀態(tài)，確保電廠運行不被破壞。第四，保護管理中的軟件和數(shù)據(jù)系統(tǒng)不受損壞，確保安裝是用電動壓力機進行的。首先，核電廠的安全控制系統(tǒng)需要全面的信息安全設計文件。控制系統(tǒng)中,包含所有的通信和信息交流系統(tǒng)內(nèi),子系統(tǒng)之間以及與外部系統(tǒng)來分析和描述的信息流、權(quán)力分配和控制流分析和論述了授權(quán)和百分比的信息。從整體網(wǎng)絡規(guī)劃的角度來看，必須避免對設備或系統(tǒng)局域網(wǎng)的攻擊，以免傳播到整個網(wǎng)絡。審核系統(tǒng)應能夠產(chǎn)生蓋章的審核記錄。審計系統(tǒng)的時間表不能隨意更改，審計記錄也不能更改。工廠控制系統(tǒng)中的信息安全應作為一個整體來考慮，并在系統(tǒng)范圍內(nèi)識別安全區(qū)域。邊境數(shù)據(jù)交換必須通過技術隔離措施加以保護。限制應納入安全管理[6]。

4.2 核電廠儀控系統(tǒng)安全管理體系

信息安全管理體系必須有一個明確的指導方針與要求作為方向，全面思考信息安全的隱患，從大到小，一一列出，從而形成一個詳細的信息安全管理脈絡，首先需要制定信息安全的整體目標，以及防范的信息邊界，遵循相應的規(guī)章制度與要求。首先，創(chuàng)建一個具體完善的管理體系，實施相應的信息安全政策、謎底和流程。對信息安全的隱患等級進行分析和評估。其次，開展相應的信息安全教育，提高員工的安全防范意識，提高風險的警惕性。再次，改進信息安全監(jiān)管體系的不足，制定處罰措施。最后，定期進行信息安全的風險隱患分析研究，并做成安全報告進行匯報。

4.3 儀控系統(tǒng)設計特點對調(diào)試方案的影響

與全模擬控制系統(tǒng)相比，半數(shù)字化儀控系統(tǒng)雖然也采用了繼電器控制回路，但控制的范圍不同。全模擬控制系統(tǒng)的繼電器控制回路不僅實現(xiàn)安全級控制邏輯，也實現(xiàn)非安全級控制邏輯，而半數(shù)字化儀控系統(tǒng)的繼電器機柜系統(tǒng)只實現(xiàn)了安全級控制邏輯，非安全級部分由DCS系統(tǒng)實現(xiàn)。因此，半數(shù)字化儀控系統(tǒng)的繼電器控制回路比全模擬控制系統(tǒng)的規(guī)模更小，對于調(diào)試方案而言，工藝系統(tǒng)的通道功能的調(diào)試方法也發(fā)生了變化，即同一個系統(tǒng)的不同功能可能需要應用不同的調(diào)試方案。每個工藝系統(tǒng)的邏輯控制功能在儀控系統(tǒng)中的實現(xiàn)，是以其系統(tǒng)的功能分級為基礎，即同一個系統(tǒng)不同的功能可能在不同的平臺上實現(xiàn)。因此，需要對每個系統(tǒng)的不同功能、通道、儀控設備逐一進行分析，從而確定需要采取何種更為合適的調(diào)試方案。在具體的調(diào)試方案設計中，根據(jù)每個工藝系統(tǒng)功能分級，對應到儀控系統(tǒng)的具體實現(xiàn)方式(模擬技術或DCS)，最終確定采用模擬技術或DCS調(diào)試方法進行調(diào)試。由此，引出了模擬技術控制系統(tǒng)調(diào)試方案和DCS調(diào)試方案分開的需求，以對應安全級和非安全級部分的調(diào)試。

5 核電廠儀表控制系統(tǒng)的信息安全設計

(1)按照信息安全系統(tǒng)的要求對核電廠的信息安全防護進行分類。

系統(tǒng)層次結(jié)構(gòu)的主體可以是系統(tǒng)、設備或系統(tǒng)與設備之間的通信網(wǎng)絡。一般來說，執(zhí)行安全級別功能并可能影響安全的系統(tǒng)或設備。

(2)整體設計應及時評估信息安全風險。

在總體設計過程中，應對系統(tǒng)中所有通信網(wǎng)絡、診斷、維護、測試設備和通信接口進行詳細的風險評估、分析和評估。網(wǎng)絡接口和自下而上的通信應該包括在高級管理中。

(3)確保網(wǎng)絡及其各子網(wǎng)的獨立性。

在規(guī)劃網(wǎng)絡時，系統(tǒng)必須確保對局域網(wǎng)的攻擊不會傳播到整個網(wǎng)絡。

(4)系統(tǒng)邊界保護要求。

核電廠的控制和測試系統(tǒng)應與外部電網(wǎng)連接，并通過物理隔離和技術措施加以保護。邊境保護也必須納入整個信息安全管理系統(tǒng)，以保證一個單向的外部網(wǎng)絡和系統(tǒng)。

(5)門禁必須明確控制。

登錄帳號必須實時注冊。異常登錄可及時記錄并報警。如果需要，登錄將被鎖定。為了對數(shù)據(jù)存儲區(qū)域進行編程，需要對用戶權(quán)限進行更嚴格的管理，并準確區(qū)分用戶可以訪問的不同區(qū)域。

(6)移動存儲和無線網(wǎng)絡的要求。

對移動存儲介質(zhì)和無線網(wǎng)絡設備的訪問應嚴格限制，只能通過邊境安全監(jiān)測機構(gòu)訪問。應通過技術手段查明和警告非法進入。

(7)審計部門應當能夠?qū)崟r監(jiān)控設備運行、數(shù)據(jù)流和異常數(shù)據(jù)。能夠?qū)こ處熣?、操作員站、服務器、控制器等重要設備的控制事件進行記錄和操作。正常情況下，提交審核報告，包括指定的日期和時間。

(8)系統(tǒng)應能夠通過通信網(wǎng)絡定期備份一組歷史狀態(tài)文件等，并將其傳輸?shù)絺浞菸恢?；系統(tǒng)應能夠檢測備份媒體的運行狀態(tài)，確保備份數(shù)據(jù)處于可恢復狀態(tài)。

(9)應刪除或禁用與系統(tǒng)運行和維護無關的所有組件。

6 核電廠儀控系統(tǒng)安全防護策略

6.1 修改防護方案

儀控系統(tǒng)修改是為了防止系統(tǒng)故障。系統(tǒng)硬件通常是因為是使用時間或者設計問題所造成的。而軟件引起的問題是因為設計以及使用過程中環(huán)境的變化造成的。根據(jù)不同的情況，進行針對性的調(diào)整舉措，核電廠的運行程序可分為以下幾類。一是因工作需要臨時控制變更；二是技術變革帶來永久性的變化；三是供應商的軟件配置錯誤或配置邏輯/參數(shù)不符合現(xiàn)場實際要求；四是供應商網(wǎng)站發(fā)布的新軟件的附加升級或覆蓋。

軟件專用數(shù)字控制系統(tǒng)旨在識別軟件的潛在缺陷，以確保產(chǎn)品質(zhì)量。制造商發(fā)布的重要技術更新和額外的修改或覆蓋必須有針對性的驗證與確認過程，保證軟件功能的正確性和安全性。

6.2 黑名單和白名單技術的比較

傳統(tǒng)的殺毒軟件、入侵檢測系統(tǒng)和入侵預防系統(tǒng)是典型的黑名單產(chǎn)品。黑名單產(chǎn)品根據(jù)已知的特征識別惡意軟件和惡意行為。通過在計劃中定義“未經(jīng)授權(quán)”的規(guī)則來檢測文件、消息、行為等的匹配，可以識別和防止惡意軟件攻擊，從而實現(xiàn)凈化效果。在npp網(wǎng)絡環(huán)境中，黑名單產(chǎn)品存在以下缺陷。

首先，必須實時更新綜合特征數(shù)據(jù)庫，以實現(xiàn)更好的保護。核電站的控制和測試系統(tǒng)與外部電網(wǎng)隔離，無法及時更新系統(tǒng)調(diào)試。保護效果不能保證。其次，特征匹配過程需要更多的資源。可能導致系統(tǒng)擁擠或緩慢，實時差，不能滿足npp儀表控制系統(tǒng)的高實時要求;同樣，特征匹配很難達到100%的準確性，特別是在確定行為特征時。駕駛員級別的操作，如讀取和讀取儀表控制系統(tǒng)的i / o卡，通常被禁止作為惡意行為。最后，已知的惡意攻擊只有在符合已知特性時才能被檢測到。為了解決上述黑名單的弱點，有必要在核電站的控制系統(tǒng)中引入一種不同于黑名單的防盜裝置，即白名單保護技術。

6.3 TTCAN協(xié)議保護技術

隨著電子技術和通信技術的發(fā)展，核電廠儀表控制系統(tǒng)和設備主要依靠數(shù)字技術，現(xiàn)場總線逐漸成為是數(shù)據(jù)傳輸?shù)闹匾侄巍ｋ姀S主數(shù)據(jù)同步傳輸量大，反應堆安全運行要求通信網(wǎng)絡滿足電廠對傳輸速度和響應時間的要求。為了保證整個反應器系統(tǒng)的安全穩(wěn)定運行，在傳統(tǒng)CAN協(xié)議的基礎上，引入了基于CAN時間觸發(fā)機制的TTCAN高級協(xié)議。數(shù)據(jù)傳輸網(wǎng)絡可以提高總線網(wǎng)絡的帶寬利用率，滿足變電站總線網(wǎng)絡高速、實時、高可靠性數(shù)據(jù)傳輸?shù)囊骩7]。

7 結(jié)語

綜上所述，核電廠儀控系統(tǒng)信息安全需要我們得以重視，作為一個核電廠的關鍵，核電廠系統(tǒng)存在重大安全事故風險。一旦受到攻擊，不僅會影響核電廠的運行，而且會導致安全生產(chǎn)事故。更重要的是，它將導致核事故，造成巨大的生命財產(chǎn)損失，威脅到整個國家的安全。