李若蘭，李啟凌，李 柯，農(nóng)政林，馬 飛

（1.中國(guó)廣核電力股份有限公司，廣東 深圳 518031；2.上海中廣核工程科技有限公司，上海 200241）

0 引言

隨著工業(yè)控制系統(tǒng)信息化及數(shù)字化的不斷轉(zhuǎn)型發(fā)展，核電數(shù)字化控制系統(tǒng)（digital control system，DCS）環(huán)境也不再是“信息孤島”，加之網(wǎng)絡(luò)攻擊手段日益復(fù)雜多變，核電DCS 面臨的網(wǎng)絡(luò)安全威脅也與日劇增，對(duì)其安全性構(gòu)成了嚴(yán)峻挑戰(zhàn)。一旦DCS 遭受攻擊或被入侵，可能導(dǎo)致設(shè)備損壞或生產(chǎn)中斷甚至核安全事故的發(fā)生，影響人民利益和社會(huì)穩(wěn)定甚至國(guó)家安全。

核電行業(yè)正在按照國(guó)家及監(jiān)管單位相關(guān)標(biāo)準(zhǔn)法規(guī)，推進(jìn)工控網(wǎng)絡(luò)安全防護(hù)建設(shè)。國(guó)家標(biāo)準(zhǔn)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[1]中明確提出“一個(gè)中心、三重防護(hù)”的網(wǎng)絡(luò)安全防護(hù)原則。工控系統(tǒng)需從安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全計(jì)算環(huán)境進(jìn)行三重防護(hù)，其中安全區(qū)域邊界作為三重防護(hù)中的第一道防線，其邊界防護(hù)能力至關(guān)重要，邊界防護(hù)中的隔離技術(shù)則是實(shí)現(xiàn)邊界防護(hù)的重要手段，是當(dāng)前邊界防護(hù)中重要的研究課題及方向。

本文結(jié)合核電DCS 網(wǎng)絡(luò)安全防護(hù)架構(gòu)，通過(guò)研究DCS邊界邏輯隔離、物理隔離及物理斷開(kāi)的整體防護(hù)技術(shù)，形成邊界隔離解決方案，在核電DCS 與外部網(wǎng)絡(luò)之間實(shí)現(xiàn)不同區(qū)域邊界的有效隔離，從而建立安全邊界，保護(hù)核電DCS免受網(wǎng)絡(luò)攻擊和入侵的威脅，確保核電廠安全穩(wěn)定運(yùn)行。

1 核電廠工控系統(tǒng)安全分區(qū)及邊界隔離要求

發(fā)改委14 號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》[2]提出“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”十六字方針，根據(jù)14 號(hào)令要求，國(guó)能安全36 號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》[3]對(duì)電力監(jiān)控系統(tǒng)安全分區(qū)與網(wǎng)絡(luò)隔離做了規(guī)定。

核電廠各工控系統(tǒng)，劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)分為控制區(qū)（安全區(qū)Ⅰ）和非控制區(qū)（安全區(qū)Ⅱ）。管理信息大區(qū)在不影響生產(chǎn)控制大區(qū)安全的前提下，分成生產(chǎn)管理區(qū)（安全區(qū)Ⅲ）、辦公內(nèi)網(wǎng)區(qū)（安全區(qū)Ⅳ）。

核電工控系統(tǒng)主要分布于安全Ⅰ區(qū)、Ⅱ區(qū)及Ⅲ區(qū)。

不同區(qū)域間需通過(guò)隔離等技術(shù)手段，確保邊界安全。

安全區(qū)Ⅰ與安全區(qū)Ⅱ之間，采用具有訪問(wèn)控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻或者相當(dāng)功能的設(shè)備，實(shí)現(xiàn)邏輯隔離、報(bào)文過(guò)濾及訪問(wèn)控制等功能。

生產(chǎn)控制大區(qū)內(nèi)部的系統(tǒng)和生產(chǎn)管理大區(qū)（安全區(qū)Ⅲ）之間，需要禁止通用網(wǎng)絡(luò)服務(wù)（如FTP、HTTP、TELNET、MAIL、RLOGIN 及SNMP 等）通信，采用物理隔離的安全措施，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)從生產(chǎn)控制大區(qū)單向流向生產(chǎn)管理區(qū)。

按照核電特點(diǎn)，生產(chǎn)管理區(qū)（安全區(qū)Ⅲ）和辦公內(nèi)網(wǎng)區(qū)（安全區(qū)IV）之間，要考慮物理斷開(kāi)，實(shí)現(xiàn)安全區(qū)Ⅲ到安全區(qū)Ⅳ的數(shù)據(jù)單向傳輸。

2 核電DCS網(wǎng)絡(luò)安全防護(hù)架構(gòu)

核電DCS 位于安全區(qū)Ⅰ，對(duì)DCS 的網(wǎng)絡(luò)安全防護(hù)已形成3 級(jí)防護(hù)架構(gòu)：工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)、工控廠級(jí)態(tài)勢(shì)感知系統(tǒng)及工控集團(tuán)級(jí)態(tài)勢(shì)感知系統(tǒng)。

工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)由部署在DCS 邊界、網(wǎng)絡(luò)及主機(jī)環(huán)境的網(wǎng)絡(luò)安全防護(hù)設(shè)備構(gòu)成，按照“一個(gè)中心、三重防護(hù)”的防護(hù)原則對(duì)DCS 進(jìn)行邊界、網(wǎng)絡(luò)及主機(jī)環(huán)境的多重防護(hù)，形成綜合防御能力。防護(hù)系統(tǒng)設(shè)備的物理安裝位置雖與DCS 在一起，但其本身也是一個(gè)獨(dú)立的工控系統(tǒng)，與DCS 同屬于安全區(qū)Ⅰ。工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)涉及的具體的防護(hù)措施，除邊界隔離措施外，其他防護(hù)措施不是本文重點(diǎn)，不做詳述。

工控廠級(jí)態(tài)勢(shì)感知系統(tǒng)接收工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中探針設(shè)備的日志和流量信息，對(duì)網(wǎng)絡(luò)通信進(jìn)行捕獲、存儲(chǔ)、挖掘、回溯以及定性和定量分析，實(shí)現(xiàn)對(duì)整個(gè)核電廠工控系統(tǒng)的資產(chǎn)集中管理、網(wǎng)絡(luò)拓?fù)涔芾?、安全檢測(cè)分析、安全合規(guī)評(píng)估、攻擊行為溯源、安全態(tài)勢(shì)監(jiān)控及應(yīng)急響應(yīng)處置等，實(shí)現(xiàn)整個(gè)電廠網(wǎng)絡(luò)安全綜合監(jiān)控能力。工控廠級(jí)態(tài)勢(shì)感知系統(tǒng)被劃分在安全區(qū)Ⅲ。

工控集團(tuán)級(jí)態(tài)勢(shì)感知系統(tǒng)接收來(lái)自各個(gè)核電廠基地的工控廠級(jí)態(tài)勢(shì)感知系統(tǒng)的數(shù)據(jù)，對(duì)相關(guān)安全風(fēng)險(xiǎn)和實(shí)時(shí)安全事件進(jìn)行專家技術(shù)研判，及時(shí)并且有針對(duì)性地提供安全建議，指導(dǎo)協(xié)同各電廠基地快速響應(yīng)，有效阻斷和清除威脅，實(shí)現(xiàn)全集團(tuán)核電廠協(xié)同監(jiān)控及聯(lián)防聯(lián)控。工控集團(tuán)級(jí)態(tài)勢(shì)感知系統(tǒng)被劃分在安全區(qū)IV。

“系統(tǒng)級(jí)防護(hù)、廠級(jí)綜合監(jiān)控、集團(tuán)級(jí)研判預(yù)警”的三級(jí)核電DCS 網(wǎng)絡(luò)安全防護(hù)架構(gòu)，實(shí)現(xiàn)全集團(tuán)核電DCS 的全天候網(wǎng)絡(luò)安全監(jiān)測(cè)和預(yù)警。三級(jí)網(wǎng)絡(luò)安全防護(hù)架構(gòu)如圖1所示。

圖1 三級(jí)網(wǎng)絡(luò)安全防護(hù)架構(gòu)Fig.1 Three-level network security protection architecture

3 核電DCS防護(hù)邊界隔離方案

3.1 核電DCS邊界特點(diǎn)

核電DCS 負(fù)責(zé)核電廠多個(gè)重要系統(tǒng)的信號(hào)采集及控制，能第一時(shí)間讓操縱員獲知現(xiàn)場(chǎng)設(shè)備狀態(tài)，并下達(dá)操縱員指令到就地設(shè)備，可以說(shuō)是核電廠的“神經(jīng)中樞”。

DCS 與多個(gè)工控系統(tǒng)存在直接的業(yè)務(wù)數(shù)據(jù)交互，如電動(dòng)主給水泵系統(tǒng)、常規(guī)島廢液收集系統(tǒng)、試驗(yàn)數(shù)據(jù)采集系統(tǒng)、試驗(yàn)儀表系統(tǒng)、核電廠應(yīng)急指揮系統(tǒng)、核電基地實(shí)時(shí)監(jiān)控系統(tǒng)，以及工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)等。這些與DCS 通信的工控系統(tǒng)被劃分在不同的安全區(qū)，有的與DCS 同屬于安全區(qū)Ⅰ，有的屬于安全區(qū)Ⅱ或安全區(qū)Ⅲ。如電動(dòng)主給水泵系統(tǒng)、常規(guī)島廢液收集系統(tǒng)、工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)屬于安全區(qū)Ⅰ，試驗(yàn)數(shù)據(jù)采集系統(tǒng)和試驗(yàn)儀表系統(tǒng)屬于安全區(qū)Ⅱ，核電廠應(yīng)急指揮系統(tǒng)和核電基地實(shí)時(shí)監(jiān)控系統(tǒng)則屬于安全區(qū)Ⅲ。DCS 在與這些工控系統(tǒng)通信時(shí)，需要按照核電廠邊界隔離要求對(duì)DCS 邊界采取相應(yīng)隔離措施，避免為核電DCS 帶來(lái)直接風(fēng)險(xiǎn)。DCS 邊界防護(hù)示意圖如圖2 所示。

圖2 核電DCS邊界防護(hù)示意圖Fig.2 Schematic diagram of boundary protection for nuclear power DCS

DCS 邊界通信存在以下通信特點(diǎn)：

1）采用標(biāo)準(zhǔn)工控協(xié)議進(jìn)行通信。如Modbus-TCP、IEC60870-5-104 及Ethernet/IP 等，部分重要系統(tǒng)間通過(guò)私有協(xié)議進(jìn)行通信。防護(hù)隔離技術(shù)需要具備針對(duì)工控協(xié)議，尤其是私有協(xié)議的協(xié)議層面的解析及防護(hù)能力。

2）涉及與多個(gè)第三方系統(tǒng)通信。有些系統(tǒng)間通信采用Modbus-RTU 協(xié)議或硬接線通信方式，需要識(shí)別和支持串口的安全防護(hù)。

3）DCS 可用性要求高。邊界通信具有實(shí)時(shí)性、穩(wěn)定性和可靠性要求，防護(hù)隔離技術(shù)不能影響邊界通信原技術(shù)指標(biāo)要求，要有兜底解決措施。

此外，DCS 的數(shù)據(jù)還需要送到工控廠級(jí)態(tài)勢(shì)感知系統(tǒng)和工控集團(tuán)級(jí)態(tài)勢(shì)感知系統(tǒng)去做進(jìn)一步分析處理，DCS 與這些系統(tǒng)也存在間接的業(yè)務(wù)數(shù)據(jù)交互。此部分系統(tǒng)也是DCS 的重要邊界之一，其需要考慮邊界隔離方案，切斷反向間接攻擊的任何可能性，避免為DCS 帶來(lái)潛在風(fēng)險(xiǎn)。

3.2 邊界隔離方案

針對(duì)核電DCS 邊界，根據(jù)其邊界通信特點(diǎn)進(jìn)行邊界隔離防護(hù)。DCS 邊界隔離三道防御線如圖3 所示。

圖3 DCS邊界隔離三道防御線Fig.3 Three defense lines for DCS boundary isolation

1）邊界防護(hù)第一道防御線

與同屬于安全區(qū)Ⅰ內(nèi)的工控系統(tǒng)之間進(jìn)行邏輯隔離?？紤]DCS 與有些系統(tǒng)之間通信采用串口協(xié)議，邏輯隔離需要支持串口通信過(guò)濾技術(shù)，能對(duì)Modbus-RTU 協(xié)議進(jìn)行深度解析，實(shí)現(xiàn)協(xié)議內(nèi)容過(guò)濾。

與安全區(qū)Ⅱ內(nèi)的工控系統(tǒng)之間進(jìn)行邏輯隔離。由于相關(guān)系統(tǒng)間的通信協(xié)議通常為標(biāo)準(zhǔn)工業(yè)協(xié)議或核電私有協(xié)議，需實(shí)現(xiàn)對(duì)核電工控協(xié)議深度解析，并對(duì)解析內(nèi)容進(jìn)行應(yīng)用層過(guò)濾，實(shí)現(xiàn)最小化通信隔離。

針對(duì)上述邊界，考慮工控系統(tǒng)可用性要求高，邏輯隔離設(shè)備要支持BYPASS 功能，包括以太網(wǎng)口和串口等，保證隔離設(shè)備故障及異常情況下能夠快速恢復(fù)業(yè)務(wù)正常通信。并針對(duì)工控系統(tǒng)特定的入侵行為和重要操作，建立核電工控特征檢測(cè)庫(kù)，對(duì)于邊界通信進(jìn)行工控特定行為入侵防御，保證重要入侵行為的識(shí)別和阻斷。

工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)單獨(dú)劃分為安全管理區(qū)域，與被防護(hù)的DCS 之間有直接通信行為的鏈路，采用ACL 過(guò)濾和異常攻擊行為檢測(cè)等措施進(jìn)行邊界邏輯隔離。

2）邊界防護(hù)第二道防御線

用材林(含薪炭林)按其生長(zhǎng)發(fā)育的階段性大致可分為幼齡期、中齡期、成熟期三個(gè)階段。幼齡林屬于用材林的初始時(shí)期，主要是造林，保證林木個(gè)體成活率，只有投入，沒(méi)有產(chǎn)出。中齡林屬于林木快速生長(zhǎng)階段，這個(gè)階段不僅關(guān)注林木個(gè)體的生長(zhǎng)情況，還需關(guān)注林木之間的相互作用。近熟林、成熟林、過(guò)熟林屬于林木的成熟期，林分年齡接近、已到或者超過(guò)主伐年齡的林木，該階段的林木可以進(jìn)行砍伐。

DCS 與安全Ⅲ區(qū)工控系統(tǒng)之間的通信進(jìn)行物理隔離。

DCS 的工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)與安全區(qū)Ⅲ的工控廠級(jí)態(tài)勢(shì)感知系統(tǒng)之間的通信進(jìn)行物理隔離。

3）邊界防護(hù)第三道防御線

工控廠級(jí)態(tài)勢(shì)感知系統(tǒng)與工控集團(tuán)級(jí)態(tài)勢(shì)感知系統(tǒng)之間，根據(jù)核電特點(diǎn)，部署物理斷開(kāi)類隔離設(shè)備，實(shí)現(xiàn)物理斷開(kāi)，單向?qū)?，保證不會(huì)有任何數(shù)據(jù)從辦公網(wǎng)區(qū)向工控廠級(jí)態(tài)勢(shì)感知系統(tǒng)傳遞，切斷反向攻擊的任何可能性。

4 邊界隔離技術(shù)

4.1 邏輯隔離技術(shù)

邏輯隔離主要通過(guò)ACL（Access Control List）訪問(wèn)控制列表進(jìn)行訪問(wèn)權(quán)限控制，同時(shí)針對(duì)工控協(xié)議以及核電私有協(xié)議，建立工業(yè)協(xié)議白名單，最小化地允許特定的協(xié)議流量通過(guò)，再輔之以工控入侵防御技術(shù)，實(shí)現(xiàn)核電邊界通信的過(guò)濾及安全隔離。針對(duì)串口等特殊接口，開(kāi)發(fā)自適應(yīng)多接口方式，建立串口白名單基線，實(shí)現(xiàn)串口通信協(xié)議過(guò)濾。

1）ACL 策略控制

ACL 可以定義一組規(guī)則，基于不同的條件來(lái)控制訪問(wèn)，如源IP 地址、目標(biāo)IP 地址、協(xié)議類型和端口號(hào)等。根據(jù)這些條件，ACL 可以過(guò)濾和控制數(shù)據(jù)包的傳輸。當(dāng)網(wǎng)絡(luò)流量數(shù)據(jù)包經(jīng)過(guò)隔離設(shè)備時(shí)，設(shè)備會(huì)檢查數(shù)據(jù)包與ACL 中定義的規(guī)則是否匹配，并根據(jù)匹配結(jié)果決定是否允許或拒絕數(shù)據(jù)包的傳輸。

2）工業(yè)協(xié)議白名單

針對(duì)工控系統(tǒng)的特點(diǎn)，基于協(xié)議解析引擎技術(shù)[6]對(duì)工業(yè)協(xié)議尤其是核電私有協(xié)議建立可信工業(yè)協(xié)議集、協(xié)議規(guī)約和讀寫(xiě)功能碼規(guī)則，通過(guò)智能學(xué)習(xí)形成工業(yè)協(xié)議及通信行為白名單。當(dāng)邊界網(wǎng)絡(luò)流量流經(jīng)隔離設(shè)備時(shí)，設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行識(shí)別和解析，對(duì)不在白名單內(nèi)的違反協(xié)議規(guī)約、非法攻擊及異常操作的行為進(jìn)行審計(jì)和告警。通過(guò)工業(yè)協(xié)議白名單，對(duì)于Modbus、S7、OPC 等常見(jiàn)的工業(yè)協(xié)議以及核電私有協(xié)議，能夠做到值域級(jí)細(xì)粒度的訪問(wèn)控制。

3）工控入侵防御

工控入侵防御是一種安全機(jī)制，可通過(guò)分析網(wǎng)絡(luò)流量中的工業(yè)協(xié)議，檢測(cè)工控特定入侵及異常行為（包括重要下裝、重置、刪除等動(dòng)作），并通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止危險(xiǎn)行為，保護(hù)工控系統(tǒng)免受侵害。

入侵防御基于特征庫(kù)或“黑名單”規(guī)則庫(kù)形式，規(guī)則庫(kù)中可內(nèi)置多條威脅事件，支持多種事件類型和協(xié)議類型，覆蓋針對(duì)工控系統(tǒng)的攻擊事件和惡意代碼。當(dāng)邊界網(wǎng)絡(luò)流量流經(jīng)隔離設(shè)備時(shí)，設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行識(shí)別和解析，并與規(guī)則庫(kù)中威脅事件進(jìn)行匹配，根據(jù)匹配原則判別是否發(fā)生了入侵行為。

入侵防御用于檢測(cè)已知類型的攻擊行為，對(duì)于不在特征庫(kù)中的新類型的入侵行為無(wú)能為力。而協(xié)議白名單是建立“正?；顒?dòng)檔案”，可對(duì)正?；顒?dòng)以外的未知行為進(jìn)行檢測(cè)。黑白名單兩種技術(shù)相結(jié)合，可檢測(cè)出更廣泛的攻擊，包括已知的和未知的攻擊行為。

4）安全保障

隔離設(shè)備具有串口BYPASS 和以太網(wǎng)口BYPASS 功能，可保障在隔離設(shè)備異?；蛘邤嚯娗闆r下，隔離設(shè)備BYPASS 功能可迅速重新建立兩側(cè)業(yè)務(wù)連接，及時(shí)恢復(fù)通信。同時(shí)隔離設(shè)備軟硬件設(shè)計(jì)上采用多種措施保障協(xié)議過(guò)濾低延時(shí)，實(shí)現(xiàn)工控系統(tǒng)邊界通信高可用性。

4.2 物理隔離技術(shù)

在生產(chǎn)控制大區(qū)與生產(chǎn)管理區(qū)之間，應(yīng)實(shí)現(xiàn)單向物理隔離，保證數(shù)據(jù)只能從生產(chǎn)控制大區(qū)向生產(chǎn)管理區(qū)單向傳遞，從而防止攻擊行為從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)進(jìn)行滲透或擴(kuò)散，保護(hù)內(nèi)部網(wǎng)絡(luò)。

隔離裝置單向通信架構(gòu)如圖4 所示。內(nèi)網(wǎng)是高安全等級(jí)的工控系統(tǒng)，外網(wǎng)是低安全等級(jí)的工控系統(tǒng)。正常情況下，數(shù)據(jù)交換單元、外網(wǎng)處理單元和內(nèi)網(wǎng)處理單元在物理上是完全斷開(kāi)的。

圖4 隔離裝置單向通信架構(gòu)Fig.4 Unidirectional communication architecture of isolation device

隔離裝置由內(nèi)網(wǎng)處理單元、數(shù)據(jù)交換單元及外網(wǎng)處理單元組成。當(dāng)內(nèi)網(wǎng)高安全等級(jí)工控系統(tǒng)的數(shù)據(jù)需要傳遞到外網(wǎng)低安全等級(jí)工控系統(tǒng)時(shí)，內(nèi)網(wǎng)系統(tǒng)對(duì)隔離裝置發(fā)起數(shù)據(jù)連接請(qǐng)求，然后隔離設(shè)備的內(nèi)網(wǎng)處理單元將通信數(shù)據(jù)的所有協(xié)議剝離，并寫(xiě)入數(shù)據(jù)交換單元的高速數(shù)據(jù)傳輸通道中，同時(shí)對(duì)需要傳輸?shù)臄?shù)據(jù)進(jìn)行完整性和安全性檢查，如防病毒和惡意代碼等。

當(dāng)數(shù)據(jù)全部通過(guò)數(shù)據(jù)交換單元的單向安全通道，隔離裝置的內(nèi)網(wǎng)處理單元立即中斷和內(nèi)網(wǎng)系統(tǒng)的連通，把單向安全通道里的數(shù)據(jù)推向外網(wǎng)側(cè)，在外網(wǎng)處理單元收到數(shù)據(jù)并與外網(wǎng)成功建立數(shù)據(jù)連接后，對(duì)通訊內(nèi)容重新進(jìn)行TCP/IP 的封裝和應(yīng)用協(xié)議的封裝，隨即交給外網(wǎng)系統(tǒng)。

在硬件控制邏輯電路收到完整的數(shù)據(jù)交換信號(hào)之后，隔離裝置立即切斷和外網(wǎng)的直接連接。

當(dāng)外網(wǎng)的應(yīng)答數(shù)據(jù)需要傳輸?shù)絻?nèi)網(wǎng)的時(shí)候，必須通過(guò)專用反向安全通道進(jìn)行數(shù)據(jù)擺渡，傳輸原理與上述相同。硬件控制電路控制反向安全傳輸通道的硬件深度，應(yīng)答字節(jié)數(shù)不能大于一個(gè)字節(jié)，并且一個(gè)字節(jié)只能表示0 或255這兩種狀態(tài)，否則反向安全傳輸通道會(huì)將報(bào)文丟棄。

物理隔離設(shè)備實(shí)現(xiàn)了無(wú)協(xié)議的純數(shù)據(jù)，在沒(méi)有物理通道的情況下，數(shù)據(jù)通過(guò)隔離部件從內(nèi)網(wǎng)源端到達(dá)外網(wǎng)目的端，實(shí)現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的跨安全區(qū)的單向數(shù)據(jù)擺渡。

4.3 物理斷開(kāi)技術(shù)

單向物理隔離設(shè)備尚存在一個(gè)字節(jié)的反向應(yīng)答，在核電生產(chǎn)管理區(qū)（安全區(qū)Ⅲ）至辦公內(nèi)網(wǎng)區(qū)（安全區(qū)IV）之間，要實(shí)現(xiàn)完全的物理斷開(kāi)。

物理斷開(kāi)設(shè)備通過(guò)激光器的內(nèi)部設(shè)計(jì)和工作原理，利用激光的單向傳輸特性構(gòu)造唯一的、物理斷開(kāi)的信息單向?qū)胪ǖ?，并且根?jù)光傳輸?shù)奶攸c(diǎn)，在實(shí)現(xiàn)網(wǎng)絡(luò)間無(wú)反饋的純單向數(shù)據(jù)傳輸?shù)耐瑫r(shí)，又滿足數(shù)據(jù)的高性能傳輸要求。

激光發(fā)射器只發(fā)射激光，激光為空間輸出形式。

激光探測(cè)器在接收端接收光，且只接收約定頻段的激光信號(hào)。

物理斷開(kāi)設(shè)備數(shù)據(jù)通道架構(gòu)如圖5 所示。

圖5 物理斷開(kāi)設(shè)備數(shù)據(jù)通道架構(gòu)Fig.5 Data channel architecture of physically disconnected devices

物理斷開(kāi)設(shè)備能把數(shù)據(jù)從發(fā)送端網(wǎng)絡(luò)單向傳輸至接收端網(wǎng)絡(luò)，在傳輸過(guò)程中根據(jù)策略對(duì)數(shù)據(jù)進(jìn)行合規(guī)性檢查、病毒掃描、源/目的用戶檢查等安全控制。在計(jì)算運(yùn)算的同時(shí)進(jìn)行自身安全防護(hù)，以國(guó)產(chǎn)密碼為基因?qū)嵤┥矸葑R(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能，從而排斥進(jìn)入機(jī)體的有害攻擊行為，增強(qiáng)自身免疫能力。

5 結(jié)語(yǔ)

本文基于核電DCS 網(wǎng)絡(luò)安全防護(hù)架構(gòu)，提出了針對(duì)核電DCS 安全區(qū)域邊界隔離防護(hù)的三道防御線的解決方案，并對(duì)三道防御線的邏輯隔離、物理隔離、物理斷開(kāi)的邊界隔離關(guān)鍵技術(shù)進(jìn)行了研究。解決方案通過(guò)限制及阻斷DCS網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間的通信，建立安全區(qū)域邊界，可有效保障系統(tǒng)邊界安全。解決方案已在多個(gè)核電基地得到良好應(yīng)用，可為核電其他工控系統(tǒng)以及核電以外的其他高安全領(lǐng)域網(wǎng)絡(luò)安全防護(hù)邊界隔離提供借鑒及經(jīng)驗(yàn)。隨著網(wǎng)絡(luò)威脅的演變和攻擊技術(shù)的不斷進(jìn)步，安全區(qū)域邊界隔離解決方案也需要不斷優(yōu)化和改進(jìn)，以應(yīng)對(duì)不斷變化的、復(fù)雜的新型威脅和攻擊，做好核電工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)，保障核安全。