核電DCS 系統信息安全防護的探討

楊占杰

（中核第四研究設計工程有限公司，河北 石家莊 050022）

隨著互聯網的發展，網絡信息安全對我國的電力、經濟和人類生活的影響越來越大?，F在信息安全無論是在軍事上，商業上還是在電力領域，信息安全的重要性均與日俱增。近幾年來，網絡安全威脅呈現了“多、快、高”的發展趨勢?！岸唷笔侵赴踩录盗慷?，據國際CERT 組織統計，2000 年的安全事件數量不足2萬，而2020 年的數量已經逼近1 000 萬；“快”是指安全威脅入侵的蔓延速度快、發現漏洞后攻擊出現的時間快，最新的蠕蟲病毒可以在幾分鐘之內就蔓延到全球范圍，新的漏洞公布后幾個小時就出現針對漏洞的攻擊行為或工具；“高”是指安全威脅的層次越來越高，目前的威脅多數已經從網絡層發展到應用層，包括入侵、蠕蟲、P2P 濫用等。

信息安全的威脅大致可以分為兩類，一類是自然物理威脅，一類是人為制造威脅。自然物理威脅指來自于外界自然環境、物理災害的場地環境、電磁和光電干擾、物理自然疲勞老化等。人為制造的威脅包括：

（1）主動攻擊行為，指識別并主動攻擊網絡系統的薄弱環節，達到竊取、破壞、陷入循環、欺騙等目的，使得網絡信息受到傷害或者使網絡進入死循環，擠占網絡資源，造成經濟生產上或政治安全上的損失。主動的人為攻擊可分為惡意攻擊和巧合事故。

（2）網絡安全缺陷，任何一個人為設計的網絡系統都多多少少存在著安全缺陷。所謂“道高一尺，魔高一丈”只有不斷彌補網絡缺陷，才能保證相對安全。網絡設備硬件或者網絡拓撲結構存在安全缺陷。

（3）軟件系統漏洞，程序人員開發軟件時候的疏忽大意，或編程語言本身的局限性。網絡系統的安全漏洞、網絡應用軟件與密碼設置等方面也有可能有漏洞。

核電廠DCS 系統的信息安全是確保核電廠控制和保護功能正確實現的基本保障，加強對核電廠DCS 系統網絡安全防護已迫在眉睫。本文針對核電DCS 系統的信息安全防護從軟件、硬件等方面進行探討，這些安全防護措施和硬件設置方案的實施可以有效阻斷病毒的入侵，保證核電廠的安全、穩定運行。

1 信息安全保護總體原則

從國家監督角度我國信息安全總體政策是分等級對信息系統的建設、管理和監督，信息安全應該遵守以下原則[1]：

1.1 適度安全原則

從保護安全和成本比率角度綜合考慮信息安全的防護，采用重點管理的方式對設備的數據應用加以保護，從而達到最佳的效果。

1.2 技術管理并重原則

信息網絡安全工作既是一項技術工作，又是一項管理工作，要做到技術手段和日常管理相結合，才能達到良好的效果。

1.3 分區分域建設原則

分區分域的管理可以很好地對信息安全進行防護，針對分區分域可以制定不同等級的防護措施，重點區域可以進行重點管理，不同區域的信息可以通過設備進行隔離，方便實現數據的管理和監控，防止事故蔓延整個網絡。

1.4 標準性原則

GB/T 25070—2010《信息安全技術 信息系統等級保護安全設計技術要求》 和GB/T 22239—2008《信息安全技術 信息系統安全等級保護基本要求》中也規定了信息安全保護的相關要求，在實際應用中需要綜合考慮?？傊詈笮纬傻南到y需要有很強的適用性[2]。

1.5 動態調整原則

信息安全管理是動態的，需要隨著管理相關策略、流程、環境情況變化而變化。

2 核電信息安全防護的介紹

2.1 核電DCS 系統典型網絡架構

DCS 控制系統平臺典型網絡模型主要由現場控制網（一層）和過程信控制網（二層）組成，并包括與0 層、三層、第三方I&C 系統的設備接口。網絡中的信息分散在操縱節點上，實時信息直接在節點之間進行傳輸。每個操縱員站獨立采集實時數據并下發控制命令，當某個操縱員節點發生故障或者切換時，不會影響其他操縱員站的實時數據的采集和顯示。核電廠典型DCS 系統網絡（包含信息安全的設備）如圖1 所示。

圖1 核電廠典型DCS 系統網絡Fig.1 The typical DCS system network of nuclear power plant

網絡的具體設備類別及連接方式如下：

（1）0 層（設備或者生產執行）：過程接口層，包括執行設備和測量設備；

（2）一層（現場控制網）：為DCS 控制系統的一層控制網，采用光纖/屏蔽雙絞線介質組成以太網，例如控制機柜通信板卡與第三方設備之間的通信，控制機柜之間的典型DCS 網絡通信都是基于TCP/IP（UDP）協議（其中UDP協議用于視頻通信等），主要的通信接點包括：控制站和工程師站等；

（3）二層（過程控制網）：DCS 控制系統的二層網絡，通常采用快速以太網鏈路，主要包括工程師站、操作站和服務器等；

（4）三層（管理層）：全廠信息管理層，例如技術支持中心和地震監測系統等計算機設備。

網絡通信防護—主機防護的多 層防御體系，由外向內依次提升防護強度，保護儀控系統最重要的主機和服務器安全。

2.2 核電DCS 信息安全分級

根據DCS 系統網絡遭受攻擊后果的嚴重性，對DCS 系統進行信息安全等級劃分。信息安全等級從高到低依次為S1、S2 和S3 級。

S1 級：執行FC1 類和FC2 類功能以及被惡意攻擊后對安全功能的影響與 F-SC1 級和F-SC2 級功能等同的系統或設備。

S2 級：有實時性操作要求或電廠正常運行所必需功能的F-SC3 和NC 級系統或設備。

S3 級：執行NC 功能且不會對電廠安全性與可用性產生實時影響的系統。

核電DCS 系統應結合縱深防御的設計理念和識別—保護—檢測—響應—恢復的防護原則，在DCS 系統的開發設計、實施、安裝和調試階段按照核電廠DCS 系統信息安全技術規格書要求部署信息安全的防護策略，并對運維和退役階段的信息安全行為提供合理建議和必要的技術支持。

2.3 DCS 系統的邊界安全防護

邊界就是以安全劃分區域為基礎，針對數據的交換需求和重要性，使用不同等級的邊界防護設備，進行有效防護。例如不同安全區域之間部署防火墻實現通行數據隔離、監控信息等功能，邊界間的隔離裝置如果識別到異常，應及時發出警告[3]。

在核電DCS 控制系統間、主DCS 系統與輔助DCS 系統之間或者和第三方系統通信要設置智能防火墻，這樣可以防止外部網絡有害信息攻擊的行為，為了防止控制網絡受外界信息威脅，具體設置如圖2 所示。

圖2 第三方系統與DCS 邊界隔離Fig.2 Isolation of the third party system from the DCS boundary

DCS 與生產管理系統網絡邊界采取單向網閘進行隔離，僅允許信息流從DCS 向管理生產管理系統的單向傳輸（安全級DCS 和非安全級DCS 都適用）。但是安全級和非安全級之間的網絡需要經過單向網閘進行再次隔離，為確保信息流的絕對安全，部分重要信號采用硬接線的方式傳輸（如操作盤的應急停堆信號）。

DCS 二層網絡與核電廠第三方系統的OPC數據通信采取工業防火墻進行邏輯隔離（其他通信方式可以采用網關、網閘等設備進行隔離；如果設備為DCS 內部可信設備則無須增加隔離措施），防火墻具備如下訪問控制功能：

（1）TCP 會話狀態跟蹤監測，包括TCP 標志狀態監測、TCP 窗口狀態監測；

（2）靜態IP-MAC 綁定，可檢測并攔截盜用IP 地址的主機進行訪問；

（3）根據協議類型過濾數據；

（4）對從站地址、功能碼、寄存器地址、變量取值范圍進行限制；

（5）流量統計的功能；

（6）異常處理的能力，異常關機重啟后，能夠保存安全策略。

2.4 DCS 安全網絡軟件環境

2.4.1 入侵防范

減少安裝程序的數量，在計算機上僅安裝必要的程序和應用。使用管理軟件或者殺毒軟件及時關閉不需要運行的程序或者應用，關閉共享熱點和數據端口。對數據的流量進行管理和監督，通過設定特定的接口對網絡傳輸數據進行監督和管理，通過特定的數據增加驗證標識，保證通過人機接口輸入數據和接收設備收到數據的正確性；能發現控制系統內存在的已知漏洞，對漏洞進行充分的分析后修補漏洞；控制系統應能夠檢測陌生數據信息的入侵的行為，并能在一定閾值范圍內發出警告。

2.4.2 惡意代碼防范

當有惡意代碼攻擊的時候系統應該主動識別并能夠啟動必要的軟件或措施來抵御其入侵。

控制系統可以監控其運行狀態，僅允許白名單中的授權的進程（監控軟件、數據軟件和組態軟件等）。對于其他進程，都將記錄或阻斷，從源頭上遏制惡意代碼的運行。

2.4.3 可信驗證

對于可信任計算設備的系統引程序、軟件、配置參數進行可信驗證，在程序的關鍵節點進行動態驗證，檢測到異常信息后可以進行報警，并有特殊的設備可以記錄歷史狀態。

2.4.4 數據完整性

采用校驗或者加密的方式保證數據在傳輸過程中的安全，包括但不限于增加校驗碼、審計、配置、重要數據等。

2.4.5 數據保密性

采用加密信息保證數據的可靠性，包括但不限于鑒別信息、商業數據和安全信息等，在存儲過程中也應該考慮數據的保密性，包括限制特定用戶使用和使用加密賬戶等。

2.4.6 數據備份恢復

控制系統可以進行數據備份和數據恢復，包括上傳云備份或者異地備份，利用信息傳輸技術將數據自動實時備份或者周期性備份。

2.4.7 剩余信息保護

保證重要數據信息經過清理后空間可以完全釋放，不允許經過特定程序處理后得以恢復。

2.4.8 個人信息保護

根據業務需要僅采集必需的用戶信息；程序和應用必須禁止未授權人的訪問，用戶的個人信息不能隨便顯示和使用，調用用戶個人信息時需要設置必要的權限。

2.5 安全審計及管理

針對核電廠DCS 控制系統的重要網絡節點進行安全審計，一般控制系統直接采集數據的端口，針對非法程序和合法操作行為進行安全鑒別。

2.5.1 系統集中管理

應該對操作等級和人員身份進行認證，通過認證的操作員只允許操作指定操作區域的設備，DCS 系統應該進行實時的審計，網絡安全審計方法是基于信息流的數據采集、分析、識別和資源審計軟件。通過實時審計網絡數據流，根據用戶設定的安全控制策略，對受控對象的活動進行監督。審計組件包括審計服務器、客戶端、數據量、設備日志收集等。通過劃分不同等級的安全設備和網絡區域進行網絡設備的管理；通過特定的信息傳輸路線，監督和管理整個網絡中的安全設備，應對鏈路、節點設備、服務器、工作站、網絡端口等的網絡狀況進行監測，自動收集匯總和分析，保證審計歷史記錄儲存時間和調用符合相關規定，應對安全軟件、惡意信息、升級軟件、捆綁軟件等事項進行分類管理。

2.5.2 審計設備管理功能

審計設備應具備如下功能：

（1）對網絡不安全行為進行識別，例如新型病毒網絡攻擊。需要不斷更新技術措施來應對新的風險和威脅。

（2）當檢查到攻擊的不安全信息，控制系統應該記錄攻擊源物理地址、攻擊方向、攻擊方式、攻擊時間段，發生超過一定閾值的事件時，系統應能夠發出警報。

（3）審計的歷史記錄信息應至少包括事件的序號、事件的類型、事件發生的時間、事件是否成功，事件用戶信息等，審計記錄至少保留6 個月。

（4）對審計歷史記錄需要保護，歷史記錄需要定期備份到其他地方，以免后續遇到嚴重事件后信息能夠恢復。

2.5.3 安全軟件管理

在控制系統中部署白名單安全措施，加固控制系統的安全，未經過授權的軟件禁止運行，建立白名單運行的規則，對進程自啟動推送信息進行主動管理。對安全參數的設置，安全標記相關的啟動程序，對程序應用的運行管理進行授權，配置安全管理策略。

3 安全物理環境

DCS 控制機柜的場地應選擇在安全、具有防護外界自然侵害的房間內，必要時可以加裝空調系統，在條件惡劣的環境里，應增加控制機柜的防護等級，例如有噴淋滅火的區域或者需要防塵防爆的區域。另外信息安全設備的出入口需要設置行政管理措施。

需要在控制系統中部署U 口管理軟件，U口的控制軟件可以對U 盤進行驗證，根據用戶的等級控制U 盤的使用權限等級。U 口控制功能也可與白名單管理措施結合到一起使用。

核電典型DCS 系統信息安全防護采取了許多的安全措施，在設計和實施階段角度防止外來的信息入侵，對于核電操縱員也會設置一些誤操作的防護措施，比如在重要的按鈕上增加保護蓋板，防止誤觸碰；在軟件的重要設備中增加警告和彈窗提示畫面等。在信息安全通常用到硬件設備如表1 所示。

表1 信息安全硬件設備表：Table 1 The Information security software and hardware equipment

典型DCS 系統中植入信息安全設備硬件和軟件對系統的性能和執行控制保護功能肯定會有不利的影響，但是這種影響大可不必擔心。以某數據庫安全防護系統為例，首先信息安全防護產品對整個系統影響極?。ú怀薜那闆r下），對人來說是無感知的，對系統延遲的影響幾乎是毫秒級別的。因此對于DCS 系統來說，數據庫防火墻基本可以認為是無感知和透明的。

4 DCS 系統信息安全的測試驗證

每種DCS 軟件平臺信息安全的測試可能不太相同，但是原理基本一致，下面舉例某核電項目中關于信息安全的測試方法。

4.1 防火墻配置檢查

登錄服務器，檢查系統配置—訪問控制—白名單規則，查看配置管理主機，查看相應的設置信息與實際安全管理平臺信息配置是否一致；檢查訪問控制規則，查看設置是否與設計要求配置一致。

如果設置不一致就會出現通信故障，例如某項目調試過程中服務器系統內核沒有禁ping的情況下，客戶端ping 服務器ping 不通。登錄服務器，執行以下命令，查看防火墻配置信息，如圖3 所示。

圖3 防火墻配置信息Fig.3 Firewall configuration

檢查詳細配置信息，可以看到防火墻對客戶端的數據包采用了DROP 策略，因此服務器無法對客戶端的數據包進行響應，刪除防火墻中對應的屏蔽規則即可解決該問題。

4.2 網閘用戶配置檢查

網閘管理主機配置檢查：登錄（接收端）系統管理員平臺，在用“用戶管理”界面中查看是否進行了三權分立設置，即是否創建了系統管理員、系統安全員、系統審計員及操作員用戶，發送端采取相同方法?？尚艠I務主機白名單設置檢查，查看接收端主機白名單信息是否與三層服務器信息一致，發送端主機白名單是否與生產管理系統連接的OPC 網關機信息一致。

4.3 惡意代碼防范檢查

黑名單功能，開啟；防范動作，丟棄；畸形報文類攻擊勾選Land、TearDrop、Smurf、Ping Of Death；掃描類攻擊勾選IP 地址掃描、端口掃描；特殊報文控制類攻擊，不啟用。業務管理-DDos 防護：啟用；SYN Flood 防護，閾值200；啟用UDP Flood 防護，閾值1 000；啟用ICMP Flood，閾值100，啟用ARP Flood 防護閾值200。

4.4 通信網絡檢查

安全通信網絡主要包括網絡交換機及IDS配置檢查。

4.4.1 交換機管理賬戶配置

檢查交換機，查看用戶管理信息，是否對用戶做了三權分立及配置，及密碼是否符合密碼復雜度要求。

4.4.2 IDS 應符合如下配置

（1）登錄用戶管理員賬戶，查看是否進行了三權分立配置，并且密碼符合復雜度要求。

（2）系統管理—組件—組件管理，可查看已下發到引擎的策略，應存在“中高級策略集”。

（3）告警日志—病毒配置—配置，點擊相應引擎操作列病毒檢測協議類型配置：應全選5 種協議類型。

以上測試需要在測試記錄中記錄通過，填寫Pass，未進行配置則不通過，填寫Fail。

5 信息安全防護前沿技術

目前信息安全防護技術有智慧防火墻、多態訪問控制技術、安全漏洞掃描、模擬攻擊、主動防御技術、密碼技術等。核電DCS 廠家根據前沿技術的成熟度并結合自身平臺的特點逐步在核電DCS 系統中推廣應用。

5.1 智慧防火墻技術

相對傳統的防火墻，智慧防火墻更智能、更聰明。智慧防火墻能夠提供包過濾、網絡地址綁定、網絡狀態檢測、網絡地址轉換、開放動態端口、連接數控制、管理帶寬、管理會話等控制功能；支持Web 應用、數據庫應用等、具備服務攻擊防護、數據庫攻擊防護、Web 攻擊防護、自動化威脅防護、惡意代碼防護、外部系統協同防護、攻擊逃逸防護等攻擊防護功能；具備安全管理方式、安全支撐系統等自身安全功能。相對普通防火墻的技術不同（傳統技術采用數據匹配檢查），智慧防火墻的訪問機制是采用人工智能控制技術，可以及時預判可疑的入侵，相對于普通的防火墻更安全，更主動。智慧防火墻可有效阻止病毒蔓延范圍擴大和原始病毒入侵問題，成為防火墻未來發展的趨勢。

5.2 多態訪問控制技術

多態訪問控制的意思就是先把用戶分組級分組，按照用戶預先定義的組別和重要程度來限制對網絡信息模塊項的訪問，或者限制對網絡系統控制功能塊使用的一種技術。多態訪問控制技術通過垂直訪問控制（比如組員和組長）、水平訪問控制（比如組員或者組長之間）、技術支持訪問控制等多種訪問控制技術相互結合來實現對系統訪問的權限控制。

5.3 安全漏洞掃描、模擬攻擊、主動防御技術

漏洞掃描技術的基本概念是系統模擬當前主流的病毒入侵方式對目標系統逐項檢查可能存在的后門或者漏洞。漏洞安全掃描已經被人們所熟知，市場上存在多款安全漏洞掃描器。但是我們應該根據自己系統的特點去選擇合適的掃描器。

被動防御的概念就是黑客先制造病毒程序，信息安全廠家通過研究病毒的特征，把標志碼提取出來充實到自己的病毒庫，從而在掃描過程中尋找和殺滅病毒的目的。但是這種傳統的方法缺點也是顯而易見的，病毒更新的速度遠遠大于病毒庫更新的速度。主動防御的出現可以大大改善當前的局面，首先判斷程序的行為軌跡，根據程序的行為主動判斷是否為可疑的病毒程序，先把可疑程序放入到殺毒的隔離區，再次通過用戶判斷是否真正為病毒程序后再做處理，主動網絡安全防御技術以"先發制人，掌握先機"的哲學理念，它更加重視通過提升和優化自己、減少漏洞、主動出擊的防護理念，可以有效的降低系統的管理負荷，提高系統病毒防護響應的時間，大大提升了外部黑客病毒攻擊的困難程度。主動防御以高效、動態資源利用等優勢，目前已成為網絡安全防御技術研究的方向。

5.4 密碼技術：后量子密碼、同態密碼

密鑰加密技術目前主要分為兩種形式：非對稱的公共密鑰和對稱的私密密鑰。鑒于當下加密技術已經越來越重要，對稱和非對稱加密技術的缺點也都顯而易見，所以當前應用最多的是采用混合加密技術，將對稱加密和非對稱加密的優勢相結合。

后量子密碼的概念是可以抵御量子計算機解密的密碼，或者獲得的解密的信息和投入資源遠不成比例（例如獲得解密信息需要計算機工作10 年，但是這個時候此信息的價值所剩無幾）。后量子密碼的設計主要包含最近向量、最短向量等復雜算法而加密的技術、基于多個變化量多次方程求解、隨機編譯碼等復雜問題的加密技術。后量子密碼的安全性和重要性目前越來越明顯[4]。

同態加密是基于數學復雜邏輯計算理論的加密技術。和其他的加密算法相比，同態加密技術除了實現基本的加密算法之外，還能實現密文之間的信息交互，即信息交互計算可以放在解密前或者解密后進行，這個特征對于信息全保護非常重要。同態加密技術可以實現讓病毒入侵只能獲得少量局部信息，而無法獲得全部或者整體的信息，這樣可以大大提高信息的安全性?，F在云存儲、云計算受到追捧，但是過程中如何保證數據的可靠性，同態加密技術可以在這一領域推廣應用。

6 結束語

根據網絡環境中數據信息存儲和訪問處理的特點，網上傳輸的數據信息很容易泄漏和被破壞，如果核電DCS 系統的網絡受到黑客網絡攻擊或者劫持，后果非常嚴重，因此建立有效的網絡安全防范體系就更為迫切。實際上，保障核電DCS 網絡安全不但需要參考網絡安全的各項標準以形成合理的評估準則，更重要的是必須明確網絡安全的框架體系、安全防范的層次結構和系統設計的基本原則，針對薄弱環節和可能的漏洞不斷升級安全防范措施，做到有的放矢。