淺談信息安全背景下核電廠儀控系統研究策略

陳正忠

中國核電工程有限公司鄭州分公司 河南 鄭州 450052

核電站的“大腦和神經中樞”系統大大提高了該系統的安全性、可靠性和經濟。然而，與傳統的模擬系統[1]相比，這種數字化系統使用了大量的微處理器、統一軟件和計算機軟件等軟件，以及先進的軟件、互聯網技術和其他復雜問題。本文討論了當前核數字化系統的重要性，這導致了該系統復雜性的可靠分析和問題。

1 工業控制系統信息安全簡述

在信息安全板塊中，最容易被大家忽略的便是工業控制系統的信息安全隱患，因此導致對應其的技術和管理手段難以跟上現代化可以發展的腳步，缺乏信息安全意識。人們主要關注網絡安全、隱私安全、金融安全等。缺乏工業控制系統對信息安全的擔憂主要是由于人們無意中認為工業控制系統通常是一個獨立的、封閉的局域網，很少有開放的端口，而且非常安全。過去的重大事件，工業控制系統中的信息安全隱患最大，對工業系統的影響是非常嚴重的[2]。

2 核電廠儀控系統信息安全需求

2.1 信息安全需求分析

安全性能是核電站設計的關鍵，對安全的信心長期以來一直是核電站整體安全的組成部分。在核電站控制系統的設計、制造和調試環節中，以及運行的過程中始終貫穿著信息安全設計。在工業控制網絡中，常常需要連接人、機、物，場景多種多樣，在技術要求上存在差異[3]。在傳統互聯網工業控制網絡中，有著較高的可靠性與安全性，有著較低的延時，才可以為工業生產提供保障，與此同時，要確保多個方面的安全，在工業控制網絡行業中，有著標準多且應用場景復雜的特點，難以同傳統互聯網相比，找到相應的發展規律，在核電廠儀控系統中，要以可用性為第一安全需要，其順序為可用性完整性、機密性。

核電站系統生命周期長，在核電站生命周期內，系統升級優化難度大，導致系統中主機系統版本升級困難。文書的監督體系中的一個薄弱環節,一旦機器工業主要是有爭議的,可能會影響系統運行的工具,甚至直接操縱和控制的指示,這可能會影響安全運行核電站并引發安全事故。IEC 62443 定義了工業管理系統的信息安全：為保護系統而采取的措施。系統的狀態是通過建立和維護系統熔斷器來實現的[4]。基于容量的計算機系統可以保證未經授權的人員和系統無法修改和訪問軟件和數據，但無法阻止未經授權的人員和系統。干擾對控制系統的非法或惡意訪問或正常和計劃的操作。工業管理系統不同于傳統系統。工業管理系統通常比傳統的安全攻擊更嚴格，因此在防止信息安全方面具有不同的目的[5]。

2.2 主要風險因素及其分類

核電廠儀控系統信息安全威脅主要來源于與核電廠儀控系統相連的外部系統，其安全隱患是由未經授權的人員預留的登錄界面。無論內部網絡的安全級別如何，通過上述手段對安全會構成威脅。綜合工業控制領域目前對核電廠儀控系統的主要威脅篡改、中斷和偽造、復制、非法訪問、竊聽、泄露和拒絕。結合信息安全的要求，提出了信息安全的標準。從核電站儀控系統的安全性、可靠性、保密性和不可否認性等方面對這些威脅進行了分類。

2.3 構建評估體系結構

在評估信息安全級別時，需要建立一套評估機構，數據通信安全等級在核電廠儀控系統中，信息安全的主要要求是保證數據在傳輸過程中不被非法獲取或篡改，數據的真實性和有效性。基于安全等級的需求分析和威脅分類，從上到下可將評價結構分為目標層、屬性層和威脅層三個層次。

3 核電廠儀控系統信息安全總體要求

核電廠儀控系統信息安全的設計目的最大限度地降低信息安全事故帶來的風險。安全控制系統的失效會導致誤操作或拒絕操作，長時間的誤操作甚至會發生嚴重的核安全事故，危及人們的財產以及人身安全。信息安全需要技術和管理手段之間的密切合作。因此，信息安全的要求不能旨在技術上進行嚴格標準，同時也需要在核電廠儀控系統的各個運行時期進行管理決策。

3.1 核電廠儀控系統

核電廠儀控系統信息安全分類以及信息安全的保護水平，應根據網絡攻擊對核電廠安全和運行造成的問題來進行劃分抉擇。要科學使用不同層次的分級防范管理體系，從而可以使系統能夠從容應對各種信息安全隱患。關于同一級別的預防系統，應繼續執行詳細的分區域管理計劃。通過工業控制系統的設計要求，劃分了不同的功能。從而通過這些功能的不同特性，采取對應的防范舉措。不同安全級別之間的通信，只允許從高安全級別劃分到低安全級別的單向通信。

3.2 核電廠儀控系統應建立獨立的信息安全審計平臺

該平臺擔任監控控制系統的信息安全任務，建立入侵檢測系統，實時記錄并提供報警提示以及行為。提供統一的管理策略，如身份認證、白名單、病毒防護、補丁管理等。必須有安全屏障，以防止使用非通過的安全認證通信協議進行通信。

4 核電廠儀控系統信息安全詳細要求

4.1 核電站儀表信息控制系統

核電站儀表和控制系統的安全技術。本節主要分析核電站儀表與控制系統的整體結構，對不同功能的設備提出不同的要求，對核電站儀表與控制系統中各類設備的信息化性能要求進行設定。一是現場設備層的各類設備均未受到嚴重損壞，設備因惡意攻擊而無法工作或拒絕運行，造成現場事故。確保控制單元中的程序和配置信息不被篡改，控制器的自動命令可以自動發送到現場設備，現場運行狀態可以反饋給控制層及時監控系統。三是保護機房操作員、技術員機房、服務器等不受破壞，設備上的軟件和數據不受篡改，確保運營商可以操作電廠，統一發電狀態。電廠及為電廠運行提供服務的計算機化設備運行狀態，確保電廠運行不被破壞。第四，保護管理中的軟件和數據系統不受損壞，確保安裝是用電動壓力機進行的。首先，核電廠的安全控制系統需要全面的信息安全設計文件。控制系統中,包含所有的通信和信息交流系統內,子系統之間以及與外部系統來分析和描述的信息流、權力分配和控制流分析和論述了授權和百分比的信息。從整體網絡規劃的角度來看，必須避免對設備或系統局域網的攻擊，以免傳播到整個網絡。審核系統應能夠產生蓋章的審核記錄。審計系統的時間表不能隨意更改，審計記錄也不能更改。工廠控制系統中的信息安全應作為一個整體來考慮，并在系統范圍內識別安全區域。邊境數據交換必須通過技術隔離措施加以保護。限制應納入安全管理[6]。

4.2 核電廠儀控系統安全管理體系

信息安全管理體系必須有一個明確的指導方針與要求作為方向，全面思考信息安全的隱患，從大到小，一一列出，從而形成一個詳細的信息安全管理脈絡，首先需要制定信息安全的整體目標，以及防范的信息邊界，遵循相應的規章制度與要求。首先，創建一個具體完善的管理體系，實施相應的信息安全政策、謎底和流程。對信息安全的隱患等級進行分析和評估。其次，開展相應的信息安全教育，提高員工的安全防范意識，提高風險的警惕性。再次，改進信息安全監管體系的不足，制定處罰措施。最后，定期進行信息安全的風險隱患分析研究，并做成安全報告進行匯報。

4.3 儀控系統設計特點對調試方案的影響

與全模擬控制系統相比，半數字化儀控系統雖然也采用了繼電器控制回路，但控制的范圍不同。全模擬控制系統的繼電器控制回路不僅實現安全級控制邏輯，也實現非安全級控制邏輯，而半數字化儀控系統的繼電器機柜系統只實現了安全級控制邏輯，非安全級部分由DCS系統實現。因此，半數字化儀控系統的繼電器控制回路比全模擬控制系統的規模更小，對于調試方案而言，工藝系統的通道功能的調試方法也發生了變化，即同一個系統的不同功能可能需要應用不同的調試方案。每個工藝系統的邏輯控制功能在儀控系統中的實現，是以其系統的功能分級為基礎，即同一個系統不同的功能可能在不同的平臺上實現。因此，需要對每個系統的不同功能、通道、儀控設備逐一進行分析，從而確定需要采取何種更為合適的調試方案。在具體的調試方案設計中，根據每個工藝系統功能分級，對應到儀控系統的具體實現方式(模擬技術或DCS)，最終確定采用模擬技術或DCS調試方法進行調試。由此，引出了模擬技術控制系統調試方案和DCS調試方案分開的需求，以對應安全級和非安全級部分的調試。

5 核電廠儀表控制系統的信息安全設計

(1)按照信息安全系統的要求對核電廠的信息安全防護進行分類。

系統層次結構的主體可以是系統、設備或系統與設備之間的通信網絡。一般來說，執行安全級別功能并可能影響安全的系統或設備。

(2)整體設計應及時評估信息安全風險。

在總體設計過程中，應對系統中所有通信網絡、診斷、維護、測試設備和通信接口進行詳細的風險評估、分析和評估。網絡接口和自下而上的通信應該包括在高級管理中。

(3)確保網絡及其各子網的獨立性。

在規劃網絡時，系統必須確保對局域網的攻擊不會傳播到整個網絡。

(4)系統邊界保護要求。

核電廠的控制和測試系統應與外部電網連接，并通過物理隔離和技術措施加以保護。邊境保護也必須納入整個信息安全管理系統，以保證一個單向的外部網絡和系統。

(5)門禁必須明確控制。

登錄帳號必須實時注冊。異常登錄可及時記錄并報警。如果需要，登錄將被鎖定。為了對數據存儲區域進行編程，需要對用戶權限進行更嚴格的管理，并準確區分用戶可以訪問的不同區域。

(6)移動存儲和無線網絡的要求。

對移動存儲介質和無線網絡設備的訪問應嚴格限制，只能通過邊境安全監測機構訪問。應通過技術手段查明和警告非法進入。

(7)審計部門應當能夠實時監控設備運行、數據流和異常數據。能夠對工程師站、操作員站、服務器、控制器等重要設備的控制事件進行記錄和操作。正常情況下，提交審核報告，包括指定的日期和時間。

(8)系統應能夠通過通信網絡定期備份一組歷史狀態文件等，并將其傳輸到備份位置；系統應能夠檢測備份媒體的運行狀態，確保備份數據處于可恢復狀態。

(9)應刪除或禁用與系統運行和維護無關的所有組件。

6 核電廠儀控系統安全防護策略

6.1 修改防護方案

儀控系統修改是為了防止系統故障。系統硬件通常是因為是使用時間或者設計問題所造成的。而軟件引起的問題是因為設計以及使用過程中環境的變化造成的。根據不同的情況，進行針對性的調整舉措，核電廠的運行程序可分為以下幾類。一是因工作需要臨時控制變更；二是技術變革帶來永久性的變化；三是供應商的軟件配置錯誤或配置邏輯/參數不符合現場實際要求；四是供應商網站發布的新軟件的附加升級或覆蓋。

軟件專用數字控制系統旨在識別軟件的潛在缺陷，以確保產品質量。制造商發布的重要技術更新和額外的修改或覆蓋必須有針對性的驗證與確認過程，保證軟件功能的正確性和安全性。

6.2 黑名單和白名單技術的比較

傳統的殺毒軟件、入侵檢測系統和入侵預防系統是典型的黑名單產品。黑名單產品根據已知的特征識別惡意軟件和惡意行為。通過在計劃中定義“未經授權”的規則來檢測文件、消息、行為等的匹配，可以識別和防止惡意軟件攻擊，從而實現凈化效果。在npp網絡環境中，黑名單產品存在以下缺陷。

首先，必須實時更新綜合特征數據庫，以實現更好的保護。核電站的控制和測試系統與外部電網隔離，無法及時更新系統調試。保護效果不能保證。其次，特征匹配過程需要更多的資源。可能導致系統擁擠或緩慢，實時差，不能滿足npp儀表控制系統的高實時要求;同樣，特征匹配很難達到100%的準確性，特別是在確定行為特征時。駕駛員級別的操作，如讀取和讀取儀表控制系統的i / o卡，通常被禁止作為惡意行為。最后，已知的惡意攻擊只有在符合已知特性時才能被檢測到。為了解決上述黑名單的弱點，有必要在核電站的控制系統中引入一種不同于黑名單的防盜裝置，即白名單保護技術。

6.3 TTCAN協議保護技術

隨著電子技術和通信技術的發展，核電廠儀表控制系統和設備主要依靠數字技術，現場總線逐漸成為是數據傳輸的重要手段。電廠主數據同步傳輸量大，反應堆安全運行要求通信網絡滿足電廠對傳輸速度和響應時間的要求。為了保證整個反應器系統的安全穩定運行，在傳統CAN協議的基礎上，引入了基于CAN時間觸發機制的TTCAN高級協議。數據傳輸網絡可以提高總線網絡的帶寬利用率，滿足變電站總線網絡高速、實時、高可靠性數據傳輸的要求[7]。

7 結語

綜上所述，核電廠儀控系統信息安全需要我們得以重視，作為一個核電廠的關鍵，核電廠系統存在重大安全事故風險。一旦受到攻擊，不僅會影響核電廠的運行，而且會導致安全生產事故。更重要的是，它將導致核事故，造成巨大的生命財產損失，威脅到整個國家的安全。