北京广利核系统工程有限公司 张勇涛，马光强，杜乔瑞

1 引言

2010年10月，“震网”（Stuxnet）病毒造成伊朗核电站推迟发电，并对伊朗国内的工业造成大面积影响。Stuxnet病毒通过Windows漏洞感染计算机，该病毒可通过网络、移动介质、西门子项目文件等方式进行传播，它入侵电脑后会寻找广泛用于工业控制系统的西门子软件，通过对软件重新编程实施攻击，它能控制关键过程并开启一连串执行程序，可导致的后果难以估计。

“震网”（Stuxnet）病毒事件，为核电数字仪控系统信息安全敲响了警钟。现在，国内外都把核电数字仪控系统信息安全防护建设提上了日程[1，2]。为了应对核电厂信息安全的新挑战，美国核能研究院 NEI(Nuclear Energy Institute) 于 2007年 5月发布了“核电厂网络信息安全导则”(Cyber Security Guidance for Nuclear Power Plants)白皮书；同年12月，美国核管会NRC(Nuclear Regulatory Comm ission)颁布了 DI&C-ISG01“核电厂网络信息安全”(Cyber Security)过渡性审查导则高度重视核电厂信息安全[3，6]。

2 核电数字化仪控系统

核电站全数字化仪控系统是以工业网络为中心实现的实时分布式系统。系统采用分散控制、集中管理的分层分布式控制结构，包括运行和控制中心系统、电厂控制系统、保护和安全检测系统、多样化驱动系统、数据显示和处理系统以及堆芯仪表系统等子系统。控制系统由工程师站、操作站、现场控制站、通信控制站打印服务站、系统服务器、管理网络以及系统网络等组成。

整个系统共分为现场采集控制层、监控层和管理层三层网络。管理层采用TCP/IP以太网；在监控层，操作站、工程师站、中央处理服务器以及不同系统之间采用工业以太网，有很强的网络互联能力；现场采集控制层采用高速现场总线。反应堆保护安全级系统与非安全级系统之间数据通信通过安全级网关执行[4，5]。从而可以看出，整个系统的网络信息安全大多采用普通IT领域网络信息安全技术，面对日益严重的黑客攻击威胁，必须实施有效的防御手段。

3 核电仪控系统信息安全隐患分析

核电厂网络信息安全的潜在威胁主要来自黑客攻击、间谍(espionage)、蠕虫和特洛伊木马等[7]。

（1）黑客攻击是通过攻击核电厂自动化系统的要害或弱点，使得核电厂网络信息的保密性、完整性、可靠性、可控性和可用性等受到伤害，造成不可估量的损失。黑客攻击又分为来自外部的攻击和来自内部的攻击。来自外部的攻击包括非授权访问(指一个非授权用户的入侵)和拒绝服务DoS(denial of service)攻击(即黑客想办法让目标设备停止提供服务或资源访问)。这样设备则不能执行其正常功能，或它的动作妨碍了别的设备执行其正常功能，从而导致系统瘫痪，停止运行。来自内部的安全威胁主要是指由于自动化系统技术人员技术水平的局限性以及经验的不足而可能导致各种意想不到的操作失误，其势必会对系统或信息安全产生较大的影响。

严重的黑客攻击性质已经从单纯的娱乐扩展到了犯罪、恐怖主义，甚至国家赞助的间谍活动。在这种情况下，核电厂自动化系统必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。

（2）蠕虫是利用网络缺陷进行繁殖的病毒程序，它们能利用网络，从一台设备传播到其他设备，并自动计算网络地址，不断自我复制，通过网络发送造成网络阻塞，使网络服务器不能访问，甚至造成系统瘫痪。

对于工业自动化系统来说，当蠕虫病毒大规模爆发时，交换机和路由器首先会受到影响，蠕虫病毒攻击能够导致整个网络的路由振荡，可能使信息管理层网络的部分流量流入工业以太网，增加其通信负荷、影响其实时性。在控制层，工业以太网交换机连接的设备终端一旦感染病毒，病毒发作就会消耗带宽和交换机资源。

（3）特洛伊木马，就是一种伪装潜伏的网络病毒，等待时机成熟就出来进行破坏。木马能驻留内存、在系统中安装后门程序、开机加载附带的木马。木马病毒的发作要在用户的设备里运行客户端程序，一旦发作，就可设置后门，将该用户的隐私定时地发送到木马程序指定的地址，一般同时还内置可进入该用户设备的端口，并可任意控制此计算机设备进行文件删除、复制和修改密码等非法操作。

4 核电仪控系统信息安全防护方案

为解决核电数字仪控系统的信息安全隐患，必须采取分层次的纵深防御策略，从而使管理者能够在每层监视系统。核电数字仪控系统信息安全防护应关注如下方面：确保数据的完整性；远程访问的安全性；控制系统网络设备和使用者的验证和认证。

系统性的核电控制系统信息安全防御策略应从减少控制系统网络易受攻击的接口面开始。第一阶段是建立具体的控制系统安全规则，这些规则详细描述哪些设备、协议和应用可以在控制系统上运行；谁有访问这些设备的权限，且从哪里访问；使用者可以被允许执行哪些操作。下一阶段是确定适当的区域实施如上的规则，可通过在已有的控制系统的设备上或添加新的设备上进行适当的配置来实现。第三阶段是监控规则的实施，定位违规的区域且反馈给规则的制定者，以此来确保规则的有效性。信息安全是一个连续的过程，因此需要连续的监控和调整。下文将详细解释这些阶段和可用于确保核电数字仪控系统信息安全的技术。

第一步：识别关键资产

规则的制定者首先应识别需要保护的资产以及保护级别。在核电数字仪控系统中，存在实时服务器，现场设备和外围设备如路由器和交换机等。对通信功能的折中将影响现场设备的安全性。攻击者通常以易受攻击的非主要应用为目标，因此数字仪控系统中任何与网络访问相关的设备必须被识别为信息安全关键设备。

由于控制系统中很多服务器采用通用的操作系统和应用软件，因此对这些服务器采取信息安全防护措施，以此来防御蠕虫，木马的威胁。

第二步：分析网络

为制定综合性的规则，网络管理者需要能够比对所有子网信息分析工具。由于多数设备易于被主动扫描工具影响正常运行，被动扫描和辨识工具是唯一的选择。

网络分析工具需记录所有网络活动信息包括设备类型、操作系统、协议和应用者等。通过网络分析来建立基准，以此来跟踪网络上的服务器、控制设备以及组件间通信的协议与服务。

通过迅速定位网络中的新组件，网络管理者可以确定这些组件已经受到保护，并且可以跟踪其状态。

第三步：创建网络管理规则

一旦辨识了设备、网络、应用和使用者，则可以制定相应的信息安全规则来保护系统。

第四步：创建严谨防御边界

在某些情况下，需要从企业网或因特网访问控制系统，因此需要创建严谨的信息安全防御边界。边界防火墙必须创建至少三个安全区域——控制系统网络组件信息安全区，隔离区（DMZ），不可靠区。

即使所有的外部访问来自企业网，边界防火墙仍必须以企业网是不可靠为前提来建立相互的非信任规则。隔离区应包括非安全网络可访问的安全访问认证设备、认证工作站或服务器。安全区的任何设备仅可通过隔离区的一个设备进行访问。通过保护和连续监控隔离区的设备，可有效阻止基于网络的攻击。如上所述，关键是边界设备不仅提供安全区和基于流的防火墙，还必须检测它正在保护的协议和应用。

推荐使用综合性的基于特定目的专用网安全解决方案来保护核电站控制系统。解决方案应为控制系统相关的网络协议（如Modbus等）提供强健的防火墙功能。此外，它还应实时升级来防御最新的应用对控制系统网络的攻击。

第五步：确保身份管理和防止设备欺诈

仪控系统网络的入侵多数是来自无意不当使用导致的。员工可能使用移动存储设备时引入了蠕虫或木马。这些蠕虫能够扫描控制系统并产生恶意数据流量。因此，为确保区域内的信息安全，必须对接入点认证和健康检查。

网络访问控制（NAC）解决方案应综合使用用户身份辨识、设备信息安全、访问点的状态和位置信息等方法。

在控制系统中添加信息安全组件或设备时，必须确保这些组件或设备不能影响控制系统的性能和可用性。因此建议使用被动型的入侵检测技术，并且综合网络访问控制服务器的安全规则来约束访问。

第六步：设立安全远程访问

多种情况需要远程访问，如电厂操作员或工程师需要远程监视设备状态或收集电厂数据，或者设备商需要诊断或解决操作问题。为最小化远程访问的不当使用以及可能带来的危害，使用者必须被限制，且使用者只能使用特定的经过授权的功能。

第七步：监控和汇报

一旦定义了访问规则，防火墙、交换机和入侵检测设备将执行这些规则，同时作为监控站来记录任何违反规则的情况。融合了来自网络访问控制设备信息的入侵检测分析器，对使用网络的用户进行深入的分析，如它们正在使用什么应用程序，以及它们来自哪里。

网络管理员也应该有检测和报告工具来帮助追踪在控制系统网络上的服务，并对新服务的调度或者现有服务的改变发出警告。网络或现有服务的改变可能表明已经有攻击连接到了该设备，或者是某雇员正在不恰当地使用该系统而对整个组织结构产生了危险。

分析器也应检测其它熟知的却可能未被发现的攻击。这些可能包括一个正尝试连接到熟知的恶意主机或网络的系统，如那些被大家熟知的运行BOTNET命令并控制信道的网络。从而可以防御黑客攻击。

5 信息安全生命周期管理

仪控系统开发、运行和维护的生命周期内，为确保信息安全需注意以下问题：

在软件开发过程中，软件中不包含恶意代码，

防止和侦测安装到系统中的软件的恶意改动，

防止在系统运行过程中对软件进行任何恶意篡改。验证和确认团队也要确认在代码复查的时候没有加入无文档记录的、恶意的代码。对于改动过的软件，验证和确认团队比较改动之前和之后的源代码，确保没有受影响的模块没有被改动。

6 总结

为使国内仪控系统设计人员充分意识到核电仪控系统存在的信息安全隐患，本文对核电站数字仪控系统面临的信息安全隐患进行了分析；提出核电站仪控系统信息安全防护方案；并简述了仪控系统开发、运行和维护的生命周期内，为确保信息安全需注意哪些问题。

[1] IEC/TS 62443-1-1-2009,工业通信网络 网络和系统安全[S]

[2] IEC/TS 62443-1-3-2009,工业通信网络 网络和系统安全[S]

[3] LAITH MOHAMMAD AL-BARAKAT. A testbed to simulate cyber attacks on nuclear power plants[D].University of Illinois at Urbana-Champaign, 2011.

[4] Yu-Jen Chen, Gen-Yih Liao, Tsung-Chieh Cheng. risk assessment on instrumentation and control network security management system for nuclear power plants[C].Annual International Carnahan Conference on Security Technology, 2009.

[5] David Watts. Security & Vulnerability in Electric Power Systems[C].North American Power Symposium, University of Missouri-Rolla in Rolla, Missouri, 2003.

[6] CYBER SECURITY PROGRAMS FOR NUCLEAR FACILITIES. NRC REGULATORY GUIDE 5.71[R].

[7] 缪学勤.采用纵深防御体系架构-确保核电可靠安全[J].自动化仪表,2011,32 (2).