楊占杰

（中核第四研究設(shè)計(jì)工程有限公司，河北 石家莊 050022）

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)信息安全對(duì)我國(guó)的電力、經(jīng)濟(jì)和人類生活的影響越來(lái)越大?，F(xiàn)在信息安全無(wú)論是在軍事上，商業(yè)上還是在電力領(lǐng)域，信息安全的重要性均與日俱增。近幾年來(lái)，網(wǎng)絡(luò)安全威脅呈現(xiàn)了“多、快、高”的發(fā)展趨勢(shì)。“多”是指安全事件數(shù)量多，據(jù)國(guó)際CERT 組織統(tǒng)計(jì)，2000 年的安全事件數(shù)量不足2萬(wàn)，而2020 年的數(shù)量已經(jīng)逼近1 000 萬(wàn)；“快”是指安全威脅入侵的蔓延速度快、發(fā)現(xiàn)漏洞后攻擊出現(xiàn)的時(shí)間快，最新的蠕蟲病毒可以在幾分鐘之內(nèi)就蔓延到全球范圍，新的漏洞公布后幾個(gè)小時(shí)就出現(xiàn)針對(duì)漏洞的攻擊行為或工具；“高”是指安全威脅的層次越來(lái)越高，目前的威脅多數(shù)已經(jīng)從網(wǎng)絡(luò)層發(fā)展到應(yīng)用層，包括入侵、蠕蟲、P2P 濫用等。

信息安全的威脅大致可以分為兩類，一類是自然物理威脅，一類是人為制造威脅。自然物理威脅指來(lái)自于外界自然環(huán)境、物理災(zāi)害的場(chǎng)地環(huán)境、電磁和光電干擾、物理自然疲勞老化等。人為制造的威脅包括：

（1）主動(dòng)攻擊行為，指識(shí)別并主動(dòng)攻擊網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，達(dá)到竊取、破壞、陷入循環(huán)、欺騙等目的，使得網(wǎng)絡(luò)信息受到傷害或者使網(wǎng)絡(luò)進(jìn)入死循環(huán)，擠占網(wǎng)絡(luò)資源，造成經(jīng)濟(jì)生產(chǎn)上或政治安全上的損失。主動(dòng)的人為攻擊可分為惡意攻擊和巧合事故。

（2）網(wǎng)絡(luò)安全缺陷，任何一個(gè)人為設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)都多多少少存在著安全缺陷。所謂“道高一尺，魔高一丈”只有不斷彌補(bǔ)網(wǎng)絡(luò)缺陷，才能保證相對(duì)安全。網(wǎng)絡(luò)設(shè)備硬件或者網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)存在安全缺陷。

（3）軟件系統(tǒng)漏洞，程序人員開發(fā)軟件時(shí)候的疏忽大意，或編程語(yǔ)言本身的局限性。網(wǎng)絡(luò)系統(tǒng)的安全漏洞、網(wǎng)絡(luò)應(yīng)用軟件與密碼設(shè)置等方面也有可能有漏洞。

核電廠DCS 系統(tǒng)的信息安全是確保核電廠控制和保護(hù)功能正確實(shí)現(xiàn)的基本保障，加強(qiáng)對(duì)核電廠DCS 系統(tǒng)網(wǎng)絡(luò)安全防護(hù)已迫在眉睫。本文針對(duì)核電DCS 系統(tǒng)的信息安全防護(hù)從軟件、硬件等方面進(jìn)行探討，這些安全防護(hù)措施和硬件設(shè)置方案的實(shí)施可以有效阻斷病毒的入侵，保證核電廠的安全、穩(wěn)定運(yùn)行。

1 信息安全保護(hù)總體原則

從國(guó)家監(jiān)督角度我國(guó)信息安全總體政策是分等級(jí)對(duì)信息系統(tǒng)的建設(shè)、管理和監(jiān)督，信息安全應(yīng)該遵守以下原則[1]：

1.1 適度安全原則

從保護(hù)安全和成本比率角度綜合考慮信息安全的防護(hù)，采用重點(diǎn)管理的方式對(duì)設(shè)備的數(shù)據(jù)應(yīng)用加以保護(hù)，從而達(dá)到最佳的效果。

1.2 技術(shù)管理并重原則

信息網(wǎng)絡(luò)安全工作既是一項(xiàng)技術(shù)工作，又是一項(xiàng)管理工作，要做到技術(shù)手段和日常管理相結(jié)合，才能達(dá)到良好的效果。

1.3 分區(qū)分域建設(shè)原則

分區(qū)分域的管理可以很好地對(duì)信息安全進(jìn)行防護(hù)，針對(duì)分區(qū)分域可以制定不同等級(jí)的防護(hù)措施，重點(diǎn)區(qū)域可以進(jìn)行重點(diǎn)管理，不同區(qū)域的信息可以通過(guò)設(shè)備進(jìn)行隔離，方便實(shí)現(xiàn)數(shù)據(jù)的管理和監(jiān)控，防止事故蔓延整個(gè)網(wǎng)絡(luò)。

1.4 標(biāo)準(zhǔn)性原則

GB/T 25070—2010《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 和GB/T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中也規(guī)定了信息安全保護(hù)的相關(guān)要求，在實(shí)際應(yīng)用中需要綜合考慮。總之最后形成的系統(tǒng)需要有很強(qiáng)的適用性[2]。

1.5 動(dòng)態(tài)調(diào)整原則

信息安全管理是動(dòng)態(tài)的，需要隨著管理相關(guān)策略、流程、環(huán)境情況變化而變化。

2 核電信息安全防護(hù)的介紹

2.1 核電DCS 系統(tǒng)典型網(wǎng)絡(luò)架構(gòu)

DCS 控制系統(tǒng)平臺(tái)典型網(wǎng)絡(luò)模型主要由現(xiàn)場(chǎng)控制網(wǎng)（一層）和過(guò)程信控制網(wǎng)（二層）組成，并包括與0 層、三層、第三方I&C 系統(tǒng)的設(shè)備接口。網(wǎng)絡(luò)中的信息分散在操縱節(jié)點(diǎn)上，實(shí)時(shí)信息直接在節(jié)點(diǎn)之間進(jìn)行傳輸。每個(gè)操縱員站獨(dú)立采集實(shí)時(shí)數(shù)據(jù)并下發(fā)控制命令，當(dāng)某個(gè)操縱員節(jié)點(diǎn)發(fā)生故障或者切換時(shí)，不會(huì)影響其他操縱員站的實(shí)時(shí)數(shù)據(jù)的采集和顯示。核電廠典型DCS 系統(tǒng)網(wǎng)絡(luò)（包含信息安全的設(shè)備）如圖1 所示。

圖1 核電廠典型DCS 系統(tǒng)網(wǎng)絡(luò)Fig.1 The typical DCS system network of nuclear power plant

網(wǎng)絡(luò)的具體設(shè)備類別及連接方式如下：

（1）0 層（設(shè)備或者生產(chǎn)執(zhí)行）：過(guò)程接口層，包括執(zhí)行設(shè)備和測(cè)量設(shè)備；

（2）一層（現(xiàn)場(chǎng)控制網(wǎng)）：為DCS 控制系統(tǒng)的一層控制網(wǎng)，采用光纖/屏蔽雙絞線介質(zhì)組成以太網(wǎng)，例如控制機(jī)柜通信板卡與第三方設(shè)備之間的通信，控制機(jī)柜之間的典型DCS 網(wǎng)絡(luò)通信都是基于TCP/IP（UDP）協(xié)議（其中UDP協(xié)議用于視頻通信等），主要的通信接點(diǎn)包括：控制站和工程師站等；

（3）二層（過(guò)程控制網(wǎng)）：DCS 控制系統(tǒng)的二層網(wǎng)絡(luò)，通常采用快速以太網(wǎng)鏈路，主要包括工程師站、操作站和服務(wù)器等；

（4）三層（管理層）：全廠信息管理層，例如技術(shù)支持中心和地震監(jiān)測(cè)系統(tǒng)等計(jì)算機(jī)設(shè)備。

網(wǎng)絡(luò)通信防護(hù)—主機(jī)防護(hù)的多 層防御體系，由外向內(nèi)依次提升防護(hù)強(qiáng)度，保護(hù)儀控系統(tǒng)最重要的主機(jī)和服務(wù)器安全。

2.2 核電DCS 信息安全分級(jí)

根據(jù)DCS 系統(tǒng)網(wǎng)絡(luò)遭受攻擊后果的嚴(yán)重性，對(duì)DCS 系統(tǒng)進(jìn)行信息安全等級(jí)劃分。信息安全等級(jí)從高到低依次為S1、S2 和S3 級(jí)。

S1 級(jí)：執(zhí)行FC1 類和FC2 類功能以及被惡意攻擊后對(duì)安全功能的影響與 F-SC1 級(jí)和F-SC2 級(jí)功能等同的系統(tǒng)或設(shè)備。

S2 級(jí)：有實(shí)時(shí)性操作要求或電廠正常運(yùn)行所必需功能的F-SC3 和NC 級(jí)系統(tǒng)或設(shè)備。

S3 級(jí)：執(zhí)行NC 功能且不會(huì)對(duì)電廠安全性與可用性產(chǎn)生實(shí)時(shí)影響的系統(tǒng)。

核電DCS 系統(tǒng)應(yīng)結(jié)合縱深防御的設(shè)計(jì)理念和識(shí)別—保護(hù)—檢測(cè)—響應(yīng)—恢復(fù)的防護(hù)原則，在DCS 系統(tǒng)的開發(fā)設(shè)計(jì)、實(shí)施、安裝和調(diào)試階段按照核電廠DCS 系統(tǒng)信息安全技術(shù)規(guī)格書要求部署信息安全的防護(hù)策略，并對(duì)運(yùn)維和退役階段的信息安全行為提供合理建議和必要的技術(shù)支持。

2.3 DCS 系統(tǒng)的邊界安全防護(hù)

邊界就是以安全劃分區(qū)域?yàn)榛A(chǔ)，針對(duì)數(shù)據(jù)的交換需求和重要性，使用不同等級(jí)的邊界防護(hù)設(shè)備，進(jìn)行有效防護(hù)。例如不同安全區(qū)域之間部署防火墻實(shí)現(xiàn)通行數(shù)據(jù)隔離、監(jiān)控信息等功能，邊界間的隔離裝置如果識(shí)別到異常，應(yīng)及時(shí)發(fā)出警告[3]。

在核電DCS 控制系統(tǒng)間、主DCS 系統(tǒng)與輔助DCS 系統(tǒng)之間或者和第三方系統(tǒng)通信要設(shè)置智能防火墻，這樣可以防止外部網(wǎng)絡(luò)有害信息攻擊的行為，為了防止控制網(wǎng)絡(luò)受外界信息威脅，具體設(shè)置如圖2 所示。

圖2 第三方系統(tǒng)與DCS 邊界隔離Fig.2 Isolation of the third party system from the DCS boundary

DCS 與生產(chǎn)管理系統(tǒng)網(wǎng)絡(luò)邊界采取單向網(wǎng)閘進(jìn)行隔離，僅允許信息流從DCS 向管理生產(chǎn)管理系統(tǒng)的單向傳輸（安全級(jí)DCS 和非安全級(jí)DCS 都適用）。但是安全級(jí)和非安全級(jí)之間的網(wǎng)絡(luò)需要經(jīng)過(guò)單向網(wǎng)閘進(jìn)行再次隔離，為確保信息流的絕對(duì)安全，部分重要信號(hào)采用硬接線的方式傳輸（如操作盤的應(yīng)急停堆信號(hào)）。

DCS 二層網(wǎng)絡(luò)與核電廠第三方系統(tǒng)的OPC數(shù)據(jù)通信采取工業(yè)防火墻進(jìn)行邏輯隔離（其他通信方式可以采用網(wǎng)關(guān)、網(wǎng)閘等設(shè)備進(jìn)行隔離；如果設(shè)備為DCS 內(nèi)部可信設(shè)備則無(wú)須增加隔離措施），防火墻具備如下訪問(wèn)控制功能：

（1）TCP 會(huì)話狀態(tài)跟蹤監(jiān)測(cè)，包括TCP 標(biāo)志狀態(tài)監(jiān)測(cè)、TCP 窗口狀態(tài)監(jiān)測(cè)；

（2）靜態(tài)IP-MAC 綁定，可檢測(cè)并攔截盜用IP 地址的主機(jī)進(jìn)行訪問(wèn)；

（3）根據(jù)協(xié)議類型過(guò)濾數(shù)據(jù)；

（4）對(duì)從站地址、功能碼、寄存器地址、變量取值范圍進(jìn)行限制；

（5）流量統(tǒng)計(jì)的功能；

（6）異常處理的能力，異常關(guān)機(jī)重啟后，能夠保存安全策略。

2.4 DCS 安全網(wǎng)絡(luò)軟件環(huán)境

2.4.1 入侵防范

減少安裝程序的數(shù)量，在計(jì)算機(jī)上僅安裝必要的程序和應(yīng)用。使用管理軟件或者殺毒軟件及時(shí)關(guān)閉不需要運(yùn)行的程序或者應(yīng)用，關(guān)閉共享熱點(diǎn)和數(shù)據(jù)端口。對(duì)數(shù)據(jù)的流量進(jìn)行管理和監(jiān)督，通過(guò)設(shè)定特定的接口對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行監(jiān)督和管理，通過(guò)特定的數(shù)據(jù)增加驗(yàn)證標(biāo)識(shí)，保證通過(guò)人機(jī)接口輸入數(shù)據(jù)和接收設(shè)備收到數(shù)據(jù)的正確性；能發(fā)現(xiàn)控制系統(tǒng)內(nèi)存在的已知漏洞，對(duì)漏洞進(jìn)行充分的分析后修補(bǔ)漏洞；控制系統(tǒng)應(yīng)能夠檢測(cè)陌生數(shù)據(jù)信息的入侵的行為，并能在一定閾值范圍內(nèi)發(fā)出警告。

2.4.2 惡意代碼防范

當(dāng)有惡意代碼攻擊的時(shí)候系統(tǒng)應(yīng)該主動(dòng)識(shí)別并能夠啟動(dòng)必要的軟件或措施來(lái)抵御其入侵。

控制系統(tǒng)可以監(jiān)控其運(yùn)行狀態(tài)，僅允許白名單中的授權(quán)的進(jìn)程（監(jiān)控軟件、數(shù)據(jù)軟件和組態(tài)軟件等）。對(duì)于其他進(jìn)程，都將記錄或阻斷，從源頭上遏制惡意代碼的運(yùn)行。

2.4.3 可信驗(yàn)證

對(duì)于可信任計(jì)算設(shè)備的系統(tǒng)引程序、軟件、配置參數(shù)進(jìn)行可信驗(yàn)證，在程序的關(guān)鍵節(jié)點(diǎn)進(jìn)行動(dòng)態(tài)驗(yàn)證，檢測(cè)到異常信息后可以進(jìn)行報(bào)警，并有特殊的設(shè)備可以記錄歷史狀態(tài)。

2.4.4 數(shù)據(jù)完整性

采用校驗(yàn)或者加密的方式保證數(shù)據(jù)在傳輸過(guò)程中的安全，包括但不限于增加校驗(yàn)碼、審計(jì)、配置、重要數(shù)據(jù)等。

2.4.5 數(shù)據(jù)保密性

采用加密信息保證數(shù)據(jù)的可靠性，包括但不限于鑒別信息、商業(yè)數(shù)據(jù)和安全信息等，在存儲(chǔ)過(guò)程中也應(yīng)該考慮數(shù)據(jù)的保密性，包括限制特定用戶使用和使用加密賬戶等。

2.4.6 數(shù)據(jù)備份恢復(fù)

控制系統(tǒng)可以進(jìn)行數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)，包括上傳云備份或者異地備份，利用信息傳輸技術(shù)將數(shù)據(jù)自動(dòng)實(shí)時(shí)備份或者周期性備份。

2.4.7 剩余信息保護(hù)

保證重要數(shù)據(jù)信息經(jīng)過(guò)清理后空間可以完全釋放，不允許經(jīng)過(guò)特定程序處理后得以恢復(fù)。

2.4.8 個(gè)人信息保護(hù)

根據(jù)業(yè)務(wù)需要僅采集必需的用戶信息；程序和應(yīng)用必須禁止未授權(quán)人的訪問(wèn)，用戶的個(gè)人信息不能隨便顯示和使用，調(diào)用用戶個(gè)人信息時(shí)需要設(shè)置必要的權(quán)限。

2.5 安全審計(jì)及管理

針對(duì)核電廠DCS 控制系統(tǒng)的重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，一般控制系統(tǒng)直接采集數(shù)據(jù)的端口，針對(duì)非法程序和合法操作行為進(jìn)行安全鑒別。

2.5.1 系統(tǒng)集中管理

應(yīng)該對(duì)操作等級(jí)和人員身份進(jìn)行認(rèn)證，通過(guò)認(rèn)證的操作員只允許操作指定操作區(qū)域的設(shè)備，DCS 系統(tǒng)應(yīng)該進(jìn)行實(shí)時(shí)的審計(jì)，網(wǎng)絡(luò)安全審計(jì)方法是基于信息流的數(shù)據(jù)采集、分析、識(shí)別和資源審計(jì)軟件。通過(guò)實(shí)時(shí)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對(duì)受控對(duì)象的活動(dòng)進(jìn)行監(jiān)督。審計(jì)組件包括審計(jì)服務(wù)器、客戶端、數(shù)據(jù)量、設(shè)備日志收集等。通過(guò)劃分不同等級(jí)的安全設(shè)備和網(wǎng)絡(luò)區(qū)域進(jìn)行網(wǎng)絡(luò)設(shè)備的管理；通過(guò)特定的信息傳輸路線，監(jiān)督和管理整個(gè)網(wǎng)絡(luò)中的安全設(shè)備，應(yīng)對(duì)鏈路、節(jié)點(diǎn)設(shè)備、服務(wù)器、工作站、網(wǎng)絡(luò)端口等的網(wǎng)絡(luò)狀況進(jìn)行監(jiān)測(cè)，自動(dòng)收集匯總和分析，保證審計(jì)歷史記錄儲(chǔ)存時(shí)間和調(diào)用符合相關(guān)規(guī)定，應(yīng)對(duì)安全軟件、惡意信息、升級(jí)軟件、捆綁軟件等事項(xiàng)進(jìn)行分類管理。

2.5.2 審計(jì)設(shè)備管理功能

審計(jì)設(shè)備應(yīng)具備如下功能：

（1）對(duì)網(wǎng)絡(luò)不安全行為進(jìn)行識(shí)別，例如新型病毒網(wǎng)絡(luò)攻擊。需要不斷更新技術(shù)措施來(lái)應(yīng)對(duì)新的風(fēng)險(xiǎn)和威脅。

（2）當(dāng)檢查到攻擊的不安全信息，控制系統(tǒng)應(yīng)該記錄攻擊源物理地址、攻擊方向、攻擊方式、攻擊時(shí)間段，發(fā)生超過(guò)一定閾值的事件時(shí)，系統(tǒng)應(yīng)能夠發(fā)出警報(bào)。

（3）審計(jì)的歷史記錄信息應(yīng)至少包括事件的序號(hào)、事件的類型、事件發(fā)生的時(shí)間、事件是否成功，事件用戶信息等，審計(jì)記錄至少保留6 個(gè)月。

（4）對(duì)審計(jì)歷史記錄需要保護(hù)，歷史記錄需要定期備份到其他地方，以免后續(xù)遇到嚴(yán)重事件后信息能夠恢復(fù)。

2.5.3 安全軟件管理

在控制系統(tǒng)中部署白名單安全措施，加固控制系統(tǒng)的安全，未經(jīng)過(guò)授權(quán)的軟件禁止運(yùn)行，建立白名單運(yùn)行的規(guī)則，對(duì)進(jìn)程自啟動(dòng)推送信息進(jìn)行主動(dòng)管理。對(duì)安全參數(shù)的設(shè)置，安全標(biāo)記相關(guān)的啟動(dòng)程序，對(duì)程序應(yīng)用的運(yùn)行管理進(jìn)行授權(quán)，配置安全管理策略。

3 安全物理環(huán)境

DCS 控制機(jī)柜的場(chǎng)地應(yīng)選擇在安全、具有防護(hù)外界自然侵害的房間內(nèi)，必要時(shí)可以加裝空調(diào)系統(tǒng)，在條件惡劣的環(huán)境里，應(yīng)增加控制機(jī)柜的防護(hù)等級(jí)，例如有噴淋滅火的區(qū)域或者需要防塵防爆的區(qū)域。另外信息安全設(shè)備的出入口需要設(shè)置行政管理措施。

需要在控制系統(tǒng)中部署U 口管理軟件，U口的控制軟件可以對(duì)U 盤進(jìn)行驗(yàn)證，根據(jù)用戶的等級(jí)控制U 盤的使用權(quán)限等級(jí)。U 口控制功能也可與白名單管理措施結(jié)合到一起使用。

核電典型DCS 系統(tǒng)信息安全防護(hù)采取了許多的安全措施，在設(shè)計(jì)和實(shí)施階段角度防止外來(lái)的信息入侵，對(duì)于核電操縱員也會(huì)設(shè)置一些誤操作的防護(hù)措施，比如在重要的按鈕上增加保護(hù)蓋板，防止誤觸碰；在軟件的重要設(shè)備中增加警告和彈窗提示畫面等。在信息安全通常用到硬件設(shè)備如表1 所示。

表1 信息安全硬件設(shè)備表：Table 1 The Information security software and hardware equipment

典型DCS 系統(tǒng)中植入信息安全設(shè)備硬件和軟件對(duì)系統(tǒng)的性能和執(zhí)行控制保護(hù)功能肯定會(huì)有不利的影響，但是這種影響大可不必?fù)?dān)心。以某數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)為例，首先信息安全防護(hù)產(chǎn)品對(duì)整個(gè)系統(tǒng)影響極小（不超限的情況下），對(duì)人來(lái)說(shuō)是無(wú)感知的，對(duì)系統(tǒng)延遲的影響幾乎是毫秒級(jí)別的。因此對(duì)于DCS 系統(tǒng)來(lái)說(shuō)，數(shù)據(jù)庫(kù)防火墻基本可以認(rèn)為是無(wú)感知和透明的。

4 DCS 系統(tǒng)信息安全的測(cè)試驗(yàn)證

每種DCS 軟件平臺(tái)信息安全的測(cè)試可能不太相同，但是原理基本一致，下面舉例某核電項(xiàng)目中關(guān)于信息安全的測(cè)試方法。

4.1 防火墻配置檢查

登錄服務(wù)器，檢查系統(tǒng)配置—訪問(wèn)控制—白名單規(guī)則，查看配置管理主機(jī)，查看相應(yīng)的設(shè)置信息與實(shí)際安全管理平臺(tái)信息配置是否一致；檢查訪問(wèn)控制規(guī)則，查看設(shè)置是否與設(shè)計(jì)要求配置一致。

如果設(shè)置不一致就會(huì)出現(xiàn)通信故障，例如某項(xiàng)目調(diào)試過(guò)程中服務(wù)器系統(tǒng)內(nèi)核沒(méi)有禁ping的情況下，客戶端ping 服務(wù)器ping 不通。登錄服務(wù)器，執(zhí)行以下命令，查看防火墻配置信息，如圖3 所示。

圖3 防火墻配置信息Fig.3 Firewall configuration

檢查詳細(xì)配置信息，可以看到防火墻對(duì)客戶端的數(shù)據(jù)包采用了DROP 策略，因此服務(wù)器無(wú)法對(duì)客戶端的數(shù)據(jù)包進(jìn)行響應(yīng)，刪除防火墻中對(duì)應(yīng)的屏蔽規(guī)則即可解決該問(wèn)題。

4.2 網(wǎng)閘用戶配置檢查

網(wǎng)閘管理主機(jī)配置檢查：登錄（接收端）系統(tǒng)管理員平臺(tái)，在用“用戶管理”界面中查看是否進(jìn)行了三權(quán)分立設(shè)置，即是否創(chuàng)建了系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計(jì)員及操作員用戶，發(fā)送端采取相同方法?？尚艠I(yè)務(wù)主機(jī)白名單設(shè)置檢查，查看接收端主機(jī)白名單信息是否與三層服務(wù)器信息一致，發(fā)送端主機(jī)白名單是否與生產(chǎn)管理系統(tǒng)連接的OPC 網(wǎng)關(guān)機(jī)信息一致。

4.3 惡意代碼防范檢查

黑名單功能，開啟；防范動(dòng)作，丟棄；畸形報(bào)文類攻擊勾選Land、TearDrop、Smurf、Ping Of Death；掃描類攻擊勾選IP 地址掃描、端口掃描；特殊報(bào)文控制類攻擊，不啟用。業(yè)務(wù)管理-DDos 防護(hù)：?jiǎn)⒂?；SYN Flood 防護(hù)，閾值200；啟用UDP Flood 防護(hù)，閾值1 000；啟用ICMP Flood，閾值100，啟用ARP Flood 防護(hù)閾值200。

4.4 通信網(wǎng)絡(luò)檢查

安全通信網(wǎng)絡(luò)主要包括網(wǎng)絡(luò)交換機(jī)及IDS配置檢查。

4.4.1 交換機(jī)管理賬戶配置

檢查交換機(jī)，查看用戶管理信息，是否對(duì)用戶做了三權(quán)分立及配置，及密碼是否符合密碼復(fù)雜度要求。

4.4.2 IDS 應(yīng)符合如下配置

（1）登錄用戶管理員賬戶，查看是否進(jìn)行了三權(quán)分立配置，并且密碼符合復(fù)雜度要求。

（2）系統(tǒng)管理—組件—組件管理，可查看已下發(fā)到引擎的策略，應(yīng)存在“中高級(jí)策略集”。

（3）告警日志—病毒配置—配置，點(diǎn)擊相應(yīng)引擎操作列病毒檢測(cè)協(xié)議類型配置：應(yīng)全選5 種協(xié)議類型。

以上測(cè)試需要在測(cè)試記錄中記錄通過(guò)，填寫Pass，未進(jìn)行配置則不通過(guò)，填寫Fail。

5 信息安全防護(hù)前沿技術(shù)

目前信息安全防護(hù)技術(shù)有智慧防火墻、多態(tài)訪問(wèn)控制技術(shù)、安全漏洞掃描、模擬攻擊、主動(dòng)防御技術(shù)、密碼技術(shù)等。核電DCS 廠家根據(jù)前沿技術(shù)的成熟度并結(jié)合自身平臺(tái)的特點(diǎn)逐步在核電DCS 系統(tǒng)中推廣應(yīng)用。

5.1 智慧防火墻技術(shù)

相對(duì)傳統(tǒng)的防火墻，智慧防火墻更智能、更聰明。智慧防火墻能夠提供包過(guò)濾、網(wǎng)絡(luò)地址綁定、網(wǎng)絡(luò)狀態(tài)檢測(cè)、網(wǎng)絡(luò)地址轉(zhuǎn)換、開放動(dòng)態(tài)端口、連接數(shù)控制、管理帶寬、管理會(huì)話等控制功能；支持Web 應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用等、具備服務(wù)攻擊防護(hù)、數(shù)據(jù)庫(kù)攻擊防護(hù)、Web 攻擊防護(hù)、自動(dòng)化威脅防護(hù)、惡意代碼防護(hù)、外部系統(tǒng)協(xié)同防護(hù)、攻擊逃逸防護(hù)等攻擊防護(hù)功能；具備安全管理方式、安全支撐系統(tǒng)等自身安全功能。相對(duì)普通防火墻的技術(shù)不同（傳統(tǒng)技術(shù)采用數(shù)據(jù)匹配檢查），智慧防火墻的訪問(wèn)機(jī)制是采用人工智能控制技術(shù)，可以及時(shí)預(yù)判可疑的入侵，相對(duì)于普通的防火墻更安全，更主動(dòng)。智慧防火墻可有效阻止病毒蔓延范圍擴(kuò)大和原始病毒入侵問(wèn)題，成為防火墻未來(lái)發(fā)展的趨勢(shì)。

5.2 多態(tài)訪問(wèn)控制技術(shù)

多態(tài)訪問(wèn)控制的意思就是先把用戶分組級(jí)分組，按照用戶預(yù)先定義的組別和重要程度來(lái)限制對(duì)網(wǎng)絡(luò)信息模塊項(xiàng)的訪問(wèn)，或者限制對(duì)網(wǎng)絡(luò)系統(tǒng)控制功能塊使用的一種技術(shù)。多態(tài)訪問(wèn)控制技術(shù)通過(guò)垂直訪問(wèn)控制（比如組員和組長(zhǎng)）、水平訪問(wèn)控制（比如組員或者組長(zhǎng)之間）、技術(shù)支持訪問(wèn)控制等多種訪問(wèn)控制技術(shù)相互結(jié)合來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)訪問(wèn)的權(quán)限控制。

5.3 安全漏洞掃描、模擬攻擊、主動(dòng)防御技術(shù)

漏洞掃描技術(shù)的基本概念是系統(tǒng)模擬當(dāng)前主流的病毒入侵方式對(duì)目標(biāo)系統(tǒng)逐項(xiàng)檢查可能存在的后門或者漏洞。漏洞安全掃描已經(jīng)被人們所熟知，市場(chǎng)上存在多款安全漏洞掃描器。但是我們應(yīng)該根據(jù)自己系統(tǒng)的特點(diǎn)去選擇合適的掃描器。

被動(dòng)防御的概念就是黑客先制造病毒程序，信息安全廠家通過(guò)研究病毒的特征，把標(biāo)志碼提取出來(lái)充實(shí)到自己的病毒庫(kù)，從而在掃描過(guò)程中尋找和殺滅病毒的目的。但是這種傳統(tǒng)的方法缺點(diǎn)也是顯而易見的，病毒更新的速度遠(yuǎn)遠(yuǎn)大于病毒庫(kù)更新的速度。主動(dòng)防御的出現(xiàn)可以大大改善當(dāng)前的局面，首先判斷程序的行為軌跡，根據(jù)程序的行為主動(dòng)判斷是否為可疑的病毒程序，先把可疑程序放入到殺毒的隔離區(qū)，再次通過(guò)用戶判斷是否真正為病毒程序后再做處理，主動(dòng)網(wǎng)絡(luò)安全防御技術(shù)以"先發(fā)制人，掌握先機(jī)"的哲學(xué)理念，它更加重視通過(guò)提升和優(yōu)化自己、減少漏洞、主動(dòng)出擊的防護(hù)理念，可以有效的降低系統(tǒng)的管理負(fù)荷，提高系統(tǒng)病毒防護(hù)響應(yīng)的時(shí)間，大大提升了外部黑客病毒攻擊的困難程度。主動(dòng)防御以高效、動(dòng)態(tài)資源利用等優(yōu)勢(shì)，目前已成為網(wǎng)絡(luò)安全防御技術(shù)研究的方向。

5.4 密碼技術(shù)：后量子密碼、同態(tài)密碼

密鑰加密技術(shù)目前主要分為兩種形式：非對(duì)稱的公共密鑰和對(duì)稱的私密密鑰。鑒于當(dāng)下加密技術(shù)已經(jīng)越來(lái)越重要，對(duì)稱和非對(duì)稱加密技術(shù)的缺點(diǎn)也都顯而易見，所以當(dāng)前應(yīng)用最多的是采用混合加密技術(shù)，將對(duì)稱加密和非對(duì)稱加密的優(yōu)勢(shì)相結(jié)合。

后量子密碼的概念是可以抵御量子計(jì)算機(jī)解密的密碼，或者獲得的解密的信息和投入資源遠(yuǎn)不成比例（例如獲得解密信息需要計(jì)算機(jī)工作10 年，但是這個(gè)時(shí)候此信息的價(jià)值所剩無(wú)幾）。后量子密碼的設(shè)計(jì)主要包含最近向量、最短向量等復(fù)雜算法而加密的技術(shù)、基于多個(gè)變化量多次方程求解、隨機(jī)編譯碼等復(fù)雜問(wèn)題的加密技術(shù)。后量子密碼的安全性和重要性目前越來(lái)越明顯[4]。

同態(tài)加密是基于數(shù)學(xué)復(fù)雜邏輯計(jì)算理論的加密技術(shù)。和其他的加密算法相比，同態(tài)加密技術(shù)除了實(shí)現(xiàn)基本的加密算法之外，還能實(shí)現(xiàn)密文之間的信息交互，即信息交互計(jì)算可以放在解密前或者解密后進(jìn)行，這個(gè)特征對(duì)于信息全保護(hù)非常重要。同態(tài)加密技術(shù)可以實(shí)現(xiàn)讓病毒入侵只能獲得少量局部信息，而無(wú)法獲得全部或者整體的信息，這樣可以大大提高信息的安全性?，F(xiàn)在云存儲(chǔ)、云計(jì)算受到追捧，但是過(guò)程中如何保證數(shù)據(jù)的可靠性，同態(tài)加密技術(shù)可以在這一領(lǐng)域推廣應(yīng)用。

6 結(jié)束語(yǔ)

根據(jù)網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和訪問(wèn)處理的特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄漏和被破壞，如果核電DCS 系統(tǒng)的網(wǎng)絡(luò)受到黑客網(wǎng)絡(luò)攻擊或者劫持，后果非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實(shí)際上，保障核電DCS 網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項(xiàng)標(biāo)準(zhǔn)以形成合理的評(píng)估準(zhǔn)則，更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則，針對(duì)薄弱環(huán)節(jié)和可能的漏洞不斷升級(jí)安全防范措施，做到有的放矢。