马陟 赵爽

摘要：结合国际标准IEC62443的思路提出一整套针对于核电工控系统信息安全防护的框架设计方案。论文首先介绍了核电工控系统信息安全现状及其技术体系和管理体系，然后阐述了安全防护框架的设计思路，最后总结出该框架设计的特点及优越性。

关键词：核电；工控系统；信息安全；框架设计

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）03-0039-04

1 概述

中国作为最大的发展中国家，始终在确保安全的前提下，致力于开发利用核能，弥补能源需求缺口，应对气候变化挑战。中国是核能发展最快的国家，同时保持着良好核安全记录。近年来，中国在核安全领域进展迅速。

2016年4月1日，在美国首都华盛顿举行的第四届核安全峰会上，习近平主席发表题为《加强国际核安全体系，推进全球核安全治理》的重要讲话，总结和展望了中国的核安全工作并倡导国际社会做出更多努力。

核电工控系统信息安全是核安全的重要组成部分，专门针对核电工控系统的攻击近年来屡见不鲜。

最著名的要数2010年爆发的震网病毒事件，其产生的巨大破坏性引起了世界各国的高度重视。而我国核电工控系统在设计之初较少考虑信息安全，市场上普遍只是采用工業防火墙等产品进行补救，而如何将信息安全技术融入到产品设计中，才能使系统达到整体上更高的性能和安全等级。

在核电生产网络中，核电仪控系统采用通用的工业标准协议、网络设备、Windows/Linux工作站及服务器，大部分是基于传统信息化体系的平台。因此核电工控系统除面临工控网络特有的安全威胁，还面临Windows /Linux平台漏洞、外部网络攻击、安全威胁、企业内部的管理不到位等威胁，使得核电工控系统暴露在危险且复杂多变的环境中。随着攻击技术与手段日益先进、复杂、成熟，工控系统所面临的安全威胁也将日益严峻。

2 核电工控系统信息安全技术体系

参照IEC62443国际标准给出工控系统信息安全技术体系，如图1所示。

如图1所示，工控系统信息安全技术体系分为六大类技术，每类技术又可以划分为多项子技术，在工控系统中，应用这些技术可以全面覆盖工控系统信息安全需求，保障工控系统的信息安全，六种技术的特点如下所示：

? 接入控制：为指引和控制设备间或系统间的信息流的过滤和阻断技术，包括防火墙技术和虚拟网络技术。

? 鉴权、认证：验证试图接入到工控系统的人或设备的合法性，确保只有认证通过的人有权进行操作。

? 密码技术：实现数据加密、解密的过程，为确保信息在认证的路径下传输或确保数据的正确和完整性。

? 监控、审计、探测技术：提供分析安全脆弱性的能力、探测和分析可能的危险行为的能力。包括病毒检测、入侵检测、网络和主机的审计、漏洞扫描等。

? 软件安全技术：决定工控系统安全的关键因素，软件技术可以实现一定程度上的接入控制，但也由于总是存在软件错误或在设计阶段就缺乏信息安全的考虑而成为漏洞的主要来源。

? 物理安全技术：限制对工控系统的物理接入以及有意、无意的物理破坏，是保护资源的人员、过程、措施和设备的组合。

为了便于读者对核电工控信息安全技术体系各方面内容有更直观的了解，统计了各类技术对应的技术产品和手段列表如下所示，以供参考。

3 核电工控系统信息安全管理体系

管理体系包括以下十一个方面：

? 安全方针：信息安全总体目标、范围以及信息安全重要性定义，同时也是管理层意图的生命，安全方针的策略、原则、标准和复合型要求，应包括符合法律法规和合同要求，安全教育、培训和意识要求，业务连续性管理以及违反信息安全方针的后果。

? 信息安全组织机构：包括内部组织、外部组织以及合作团队的管理。

? 资产管理：考虑资产负责和信息分类。

? 人力资源管理：考虑任用前、任用中和任用的终止或变更。

? 物理和环境安全：考虑安全区域和设备安全。

? 通信和操作管理：考虑操作规程和职责、第三方服务交付管理、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、介质处置、信息交换、电子商务服务、监视等。

? 访问控制：考虑访问控制业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等。

? 信息系统获取、开发、维护：考虑控制系统安全要求、应用中的正确处理、密码控制、系统文件安全、开发和支持过程中的安全、技术脆弱性管理等。

? 信息安全事件管理：考虑报告信息安全事态和弱点、信息安全事件和改进管理等。

? 业务连续性管理：考虑业务连续性管理信息安全方面。

? 符合性：考虑符合法律要求，符合安全策略和标准及技术符合性、控制系统审计符合性等。

如下图所示，工控信息安全管理体系使用传统PDCA管理模型，实现全周期信息安全管理，保障工控系统的可用性、完整性、保密性。

工控系统信息安全管理体系文件分为四级：方针策略、程序文件、操作手册、记录文件。

一级文件：方针策略文件。全公司范围内的工控系统信息安全方针，需要从公司整体角度考虑来制定，应该能够反映最高管理者对工控系统信息安全工作下达的旨意，应该能为所有下级文件的编写指引方向。包含工控系统信息安全方针的工控系统信息安全管理手册，由工控系统信息安全委员会负责制定、修改和审批，是对工控系统信息安全管理体系框架的整体描述，以此表明确定范围内工控系统信息安全管理体系是按照既定目标要求建立并运行的。工控系统信息安全手册应该是每个员工都持有的，是员工在工控系统信息安全方面的行动纲领。

三级文件：具体的作业指导书。这些文件牵涉到与具体部门特定工作或系统相关的作业规范（操作步骤和方法），可以由各个部门自行制定，是对各个程序文件所规定的领域内工作的细化描述。

四级文件：各种记录文件，包括实施各项流程的记录和表格，应该成为工控系统信息安全管理体系得以持续运行的有力证据，由各个相关部门自行维护。

为了便于读者对核电信息安全管理体系各方面内容有更直观的了解，统计了信息安全管理文件如下所示，以供参考。

4 核电工控系统信息安全框架设计

4.1 分区域结构

为了让安全分析和设计更加具有层次，需要对核电厂网络进行详尽的分区分域，具体要参照厂家提供的网络拓扑图。原则是参考图4分区域模型，依次按照企业、厂区、机组、系统、系统再划分（现场监控层、现场控制层、现场设备层）共5个层次，往往在现场控制层要把工程师站再单独划分区域进行保护。分区域结构在同一级区域内采取基本相同的安全策略，子区域继承母区域的防护需求。

区域识别后，需要明确各区域的设备类型、业务模型以及制定各区域的安全策略。

区域划分后，需要对区域间的信息流进行分析，根据需要划分管道或通道，得到协议的详细文档或内容、通讯机制，理清各管道所承担业务，采取综合考虑功能、性能与安全的防护策略。

区域的划分，有利于理清安全需求，展开详细的安全设计。

企业层和厂区层，采用出入口控制和视频监控等多种物理安全手段，企业总部和各厂区间采用VPN方式进行通信，厂区内用VLAN对不同职能部门进行业务划分；

核电机组间多采用物理隔离的方式，当有多个机组共用一套工控系统的情况也应达到逻辑隔离，核电机组的网络与厂区信息网络一般不互联，如果互联考虑部署安全隔离交换设备；

核电各系统之间存在强耦合关系，多相互作为输入和输出，考虑在系统间通道上使用网关等设备限定数据流向和传输格式；

系统各层之间，考虑采用工业防火墙等边界防护手段；

特殊区域如工程师站由于具有组态和配置等关键功能，除了对其关键数据和通信设有常规保护外，还经常设有特殊安全保护机制，例如组态生成文件的安全性检查就不是常规主机安全产品可以做到的。

需要注意和区分的是，按照核设施实物保护标准划分的等级，核电厂从物理安全的角度可划分为5个区域，分别是要害区、保护区、控制区、员工区、公共区。

上述企业层对应实物保护的公共区和员工区；

厂区层对应实物保护的控制区和保护区；

100MW以上核电机组及其相关工控系统集中在要害区。依据核电厂实物保护标准，包括核电厂的主控室、核反应堆及辅助厂房、核燃料库房、安全级发电机房、安全级冷却剂循环泵、高放废液处理设备、乏燃料元件处理主工艺厂房、保卫控制中心等。

所以，本文所述工控系统，主要集中在核电厂要害区，本文所述分区域与实物保护分区并不矛盾，请读者注意與基于核电厂实物保护分区结构进行纵深防御的模型进行区分。

4.2 防护架构

核电工业控制系统体系庞大，总体分层部署图简化了的网络拓扑以方便读者理解本方案针对核电工控信息安全的总体防护设计。图4是总体防护架构的逻辑划分与抽象。

基于核电工控系统架构图，标出了核电工控系统中各关键位置实施的信息安全技术手段，它们的作用如下：

接入控制，考虑核电系统与系统之间，系统内层与层之间的边界防护；

鉴权认证，重点解决用户操作或监控现场设备时需要进行的身份认证；

密码技术，提供用户以及设备的身份认证、下行消息认证、数据存储加密以及安全事件追溯能力；

监控、审计、探测，监控整个工控系统的网络流量以及所有工控设备的内存占用率等信息，审计用户行为包括登录、操作、使用规程等，探测系统的漏洞和工控系统内部以及从外部可能入侵的行为；

软件安全，重点防范软件可能存在的漏洞和后门程序；

物理安全，一方面监视核电工控系统设备和环境，快速反应安保事件；一方面给重要设备标识和加锁，避免非法媒介和设备的接入和出现人员恶意或无意的错误操作。

4.3 典型应用部署

在接入控制方面，在非安全级仪控系统二层与三层之间、在非安全级与专用仪控系统之间、非安全级与安全级仪控系统之间部署了安全隔离网关，逻辑隔离不同主机系统，实现协议摆渡，控制数据的流向，是系统间的边界防护设备；在核岛与常规岛实时服务器连接二层信息网络的接口处部署工业防火墙，重点过滤监控层经由实时数据库对于现场设备的监控指令；在一层控制系统网络和二层信息网络主干道上，部署安全工业以太网交换机，高效率完成内部传播的病毒过滤以及分布式拒绝服务攻击；在工控系统网络与办公系统网络的连接处部署安全路由器，提供高效的基本的包过滤服务和拒绝服务攻击的防护。

在鉴权认证方面，在二层信息网络上部署权限管理服务器负责管理核电人员、角色、权限的对应关系；在操作系统配置上以及应用软件的登录模块上制定登录机制；关键主机、服务器与工控设备应分配证书，以提供身份认证和消息认证；有无线连接的设备时，支持802.1X协议认证以检验接入装置的合法性。

在密码设计方面，在一二层网络上部署密钥管理系统，负责对工控系统密钥产生、密钥分发、密钥存储、密钥更新、密钥销毁、密钥使用等过程的管理。

在监控、审计、探测方面，在二层信息网部署工业集中管理平台，对安全设备和安全行为进行集中监控和审计；在主机和服务器上部署防病毒软件，探测和监控主机安全状态；在工控网入口处部署网络入侵检测系统，对流入工控网的流量进行入侵行为的探测以及与安全隔离网关及防火墙联动阻止入侵行为，在每台终端和服务器部署并合理配置主机入侵检测系统，有效发现和报告网络攻击；漏洞扫描系统，扫描和发现工控系统软件和协议的漏洞；自动化软件管理工具，用于软件的生命周期管理、版本管理、补丁管理；在所有网络主机上部署配置管理工具，固化操作系统安全以及设置审计策略等；在网络中的所有工业交换机的镜像处部署工业监测预警系统，对工业控制系统内部所有网络流量进行监测和报警；在工控机房和工控现场部署无线检测装置探测非法网络和连接的存在。

在软件安全防护方面，保证核电工控系统中使用的主机和服务器以及外接设备，使用充分考虑了信息安全的安全设备和安全操作系统。

在物理安全防护方面，在工业控制系统内部部署统一视频监控系统和各个室的出入口控制装置，限制了对工控系统的物理接入以及有意、无意的物理破坏，为迅速响应核安保事件提供条件并为违反信息安全规定的行为提供证据。

5 框架设计特点和优越性

本方案不局限于传统信息系统对信息安全的理解，而是站在工控用户角度综合考虑了核电行业安全问题的合理解决途径。鉴于物理安全、软件漏洞、防火墙以及入侵检测系统等都简单地按照传统等级保护思路进行划分容易产生混淆，本文借鉴IEC62443标准，整理核电工控系统的信息安全防护框架。

本框架设计与基于等级保护设计的思路虽有映射关系，然而更从工控用户的需求出发，不仅帮助工控客户合理地分析、解决工控安全问题，也对安全公司的产品策划和落地解决方案的编写具有一定指导意义。

参考文献：

[1] IEC62443-3-1 2009，《工业过程测量、控制和自动化网络与系统信息安全》.

[2] 肖建荣.工业控制系统信息安全[M].电子工业出版社，2015.

[3] 核安全导则 501/2 核实施实物保护.

[4] 4GB/T 30976.1-2014，工业控制系统信息安全 第1部分：评估规范.