贺 凯，黄 鹏，王远兵, 张 谊

（1.生态环境部 华北核与辐射安全监督站，北京 100029；2.中国核动力研究设计院 核反应堆系统设计技术重点实验室，成都 610213）

0 引言

核电厂安全级DCS工程师站用于安全级DCS系统自身参数和工程应用数据的配置和管理，满足工程设计、系统调试、运营维护等各阶段的功能要求。工程师站提供人机界面和辅助工具，支持、辅助工程人员、维护人员进行工程应用设计、开发与维护。工程师站在核电厂安全级DCS中所处的典型位置如图1所示。从图中可以看出，工程师站是唯一可对工程数据进行修改且对控制站有影响的人机接口（HMI）。

图1 工程师站位置Fig.1 Location of the engineering station

基于工程师站所处的位置和执行的功能，如果意图不轨的人员获得工程师站的权限，或工程师站被入侵，则会对工程数据的“有效性”进行篡改，就有可能给安全级系统带来致命的影响。因此，工程师站应进行身份认证，防止非授权的访问并进行权限控制，并严格控制工程师站的权限分配机制。但是根据工程师站运行环境的不同，其遭受到的威胁也不同。因此，工程师站身份认证的方式应进行综合性的考虑。

1 身份认证简介

1.1 身份认证定义

身份认证，顾名思义，就是证明是否是所声称的那个人或物的过程。近年来，随着计算机网络及通信技术的高速发展，人们生活越来越多地借助开放的网络进行经营和日常活动。身份认证越来越重要，可以说是整个信息安全体系的基础[1]。控制系统的工程师站为避免未授权的人对其进行访问，会对访问及访问权限进行控制，访问控制策略一般是通过用户名和密码进行认证。

上文所述的基于用户名和密码进行认证的方式即为密码认证，是最简单和最常见的身份认证方式。密码认证技术基于对请求访问设备的人员所知道的内容来确定访问者身份的真实性，例如个人识别码（PIN）或密码。

1.2 攻击类别

IEC62443-3-3中对安全防范等级做了相应的描述，将信息安全攻击分为了4个等级：

◆ 偶然的、轻度的攻击。

◆ 有意的、利用较少资源和一般技术的、简单手段的，可能达到较小破坏后果的攻击。

◆ 恶意的、利用中等资源、工业控制系统特殊技术的、复杂手段的，可能达到较大破坏后果的攻击。

◆ 恶意的、利用较多资源、工业控制系统特殊技术的复杂手段与工具，可能达到重大破坏后果的攻击[2]。

表1 认证技术方法的对比Table 1 Comparison of authentication technologies

一般工控系统面临的信息安全攻击是前两者，相比之下，因核电自身的重要战略地位[3]，其受到了更多国际上的关注。核电厂DCS遭受到的威胁，除普通的随机攻击、恶意攻击外，还会受到政治因素的影响，如国际势力的恶意破坏。因此，还可能受到后两者类别的攻击，如敌对国家间谍的渗透攻击。因此，核电厂DCS工程师站除了使用简单的密码认证外，还需根据风险分析，考虑使用其他认证方式。

1.3 身份认证的要素

一般来说，身份认证包含3个因素：

第一，用户所知道的某个秘密信息，如用户口令。

第二，用户所持有的某个秘密信息（硬件），即用户必须持有合法的随身携带的物理介质，如磁卡、智能卡、USBkey或用户所申请领取的公钥证书。

第三，用户所具有的某些生物特征，如指纹、声音、DNA图案，视网膜扫描等[4]。

即“所知”“所有”和“独有”，上文提到的用户名和密码的认证方式就是采用了“所知”的认证因素。3种认证因素的优缺点如表1所示。

从表1可见，一种技术的缺陷可能从另一种技术得到补充，每种技术都有其特定的运行环境差异。因此，在使用技术措施进行身份认证时，应考虑其运行的环境等众多因素[5]。

采用了其中的一种方式即为单因素认证方式，结合多种方式即为多因素身份认证。多因素身份认证是种强身份认证方式，比普通的单因素身份认证技术有着更高的安全性[4]。

2 风险分析

2.1 工程师站安全目标

核电厂安全级DCS工程师站主要信息安全目标有如下几个方面：

◆ 保证数据的完整性；保证工程数据不被非授权的修改。

◆ 保证数据的机密性：工程数据（包含工艺参数、过程信息和历史记录等）不会被暴露给未授权的第三方知道。

◆ 保证工程师站的可靠性：工程师站能够实现其预定的功能。

◆ 保证工程师站的可用性：授权的个体能够访问工程师站特定的数据和服务。

2010年爆发的“震网”病毒，通过周期性地改变离心机的频率，最终导致离心机损坏。显然攻击的发起者对地下工厂的运行数据非常熟悉，可以说是精确制导。因此，保护数据（如运行环境、工艺参数）不被其他组织知晓，是安全的第一步。

所以身份认证的主要目的是保护工程数据不被篡改，保护功能能正常执行、工程数据不被泄露以及权限控制。提高身份认证安全性的目的是为了增加攻击的难度，使攻击者需花费更多的资源才能达到攻击目的。

2.2 工程师站全生命周期危害分析

核电厂安全级DCS工程师站整个生命周期经历的过程如图2所示。其中，①～④过程中未包含工程文件；⑤设计工作在日常办公环境中进行，未在工程师站上开展；⑥～⑪的过程中包含了工程文件。以下对各个阶段所受到的身份认证危害进行分析。

◆ ①～③阶段为采购阶段，由商务采购工程师站所需的主机，并由电脑供应商对操作系统进行安装和配置。本阶段活动没有身份认证相关活动，无身份认证相关风险。

◆ ④阶段为配置阶段，由生产人员负责安装工程师站所需的软件，并对软件、主机、用户等进行配置，本阶段配置的用户认证方式可能存在缺陷，导致用户认证方式未能达到预期需求，可由检验和测试活动发现并解决。

在文献[21]中，同机器移动工序采用的是直接利用空闲时间的方法，只有当式(3)满足时，才对关键工序进行移动。该方法遗漏了不满足式(3)，但同样能够改进当前解的有效移动操作，特别是对于块首工序和块尾工序。为此，本文在FJSP同机器移动工序进行邻域搜索时，采用综合利用空闲时间方法，实现针对FJSP更为强化的邻域结构。引入文献[24]中，针对JSP的新型邻域结构，根据关键工序的类型定义相应的移动操作，扩大有效移动范围。同机器移动工序实现方式如图10所示，具体移动操作如下：

◆ ⑤阶段为设计阶段，工程设计人员在日常办公环境中进行工程创建和工程设计，设计过程中可能造成未授权的个体对工程数据进行访问，工程数据外泄。针对此风险可通过增加办公区域的安保措施来预防，工程数据的正确性有验证与确认（V&V）活动进行验证。

◆ ⑥阶段为工厂测试阶段，将工程数据导入到工程师站中，工程测试人员使用工程师站展开测试工作，测试过程环境相对设计阶段而言稍复杂一些，需要较低的认证安全需求，防止测试人员越权操作，修改组态数据。

图2 工程师站生命周期Fig.2 Lifecycle of the engineering station

◆ ⑦阶段为运输阶段，一般都采用三方物流公司负责运输的方式，此阶段相比而言不受控，比较容易遭受到国际势力的渗透，且此时可利用的攻击工具也较多，需要较高的认证安全需求。

◆ ⑧～⑨阶段为现场安装及联合调试，此时环境比较复杂，各方人员鱼龙混杂，易造成工程数据的泄露和被篡改，需要较高的认证安全需求。

◆ ⑩为运行维护阶段，一般会按照电厂的规程进行维护，且核电厂安保环境较好，为保护数据不被非授权的修改，需要较低的认证安全需求。

◆ ⑪为退役阶段，如果工程师站未妥善安置，工程师站中的工程数据和历史数据可能存在泄露的风险，增加身份认证的安全性能，一定程度地减少泄露的风险。

3 认证方式研究

3.1 认证位置

根据工程师站软件的逻辑区域，将工程师站划分为4个区域，如图3所示。

◆ Level0：启动层和BIOS层。

◆ Level1：主机操作系统层。

◆ Level2：工程师站软件操作层。

◆ Level3：工程师站软件核心功能操作层（修改软件逻辑，工程师站用户管理等）。

工程师站可执行身份认证功能的位置包含：

◆ 利用工程师站主机进行认证。

◆ 利用工程师站软件的用户管理功能进行认证。

图3 工程师站逻辑分区Fig.3 Logic zone of the engineering station

利用工程师站软件进行多因素身份认证，对工程师站软件提出了新的需求，增加了开发难度，提高成本，增加了研发周期，可以对工程数据的访问权限进行很好地控制。利用主机进行多因素身份认证，技术比较成熟，直接可用的产品相对较多，但无法对工程数据的访问权限进行控制。

3.2 认证分析

工程师站多因素身份认证方式不能盲目地追求高安全性，还应从实际出发，考虑便利性、可靠性和成本等方面，在满足需求的情况下尽量简单。

多因素身份认证方式不是简单地使用3种方式进行组合。如使用单因素进行身份认证，则表明其信息安全需求较低，简单的用户名和密码的方式已经能够实现认证功能，使用硬件认证或生物认证会使得成本较高，反而会很“鸡肋”。同样的道理，一般的双因素认证也是采用密码认证+其他一种认证方式。因此，可用于核电厂安全级DCS工程师站的认证方式共有如下4种：

◆ 方案1：密码认证，适合于一般的安全需求。

◆ 方案2：密码认证+硬件认证，适合于较高的安全需求。

◆ 方案3：密码认证+生物识别，适合于较高的安全需求。

◆ 方案4：密码认证+硬件认证+生物识别，适合于很高的安全需求。

根据上文对工程师站身份认证的风险分析可知，核电厂安全级DCS工程师站就目前情况而言不需采用三因素认证即方案4的认证方式。安全级DCS工程师站正常运行时独立运行，不与其他控制系统或互联网连接，为“孤岛模式”，在大多数情况下，使用方案1即可。考虑到运输过程中的风险和现场联调时环境的复杂性，需要较高的安全需求，可采用双因素的认证方式，目前很多电厂业主也将双因素认证的要求写入到技术规格书中。

双因素认证方式即为方案2和方案3所述。方案2的一般做法为密码认证+USBkey，目前USBkey认证方式已经非常成熟，实现也较为简单，软件进程也不会对工程师站的功能造成影响，但是引入USBkey认证需要预留USB接口，会额外带来新的接口问题。

如果采用移动工程师站（主机为笔记本），方案3的一般做法为密码认证+指纹/面部识别，指纹/面部识别可以集成到主机本身，相比而言不会带来新的接口问题，亦不会对工程师站的功能造成影响，但是指纹/面部识别的可靠性较差，尤其是面部识别，对环境有较高的要求。如果采用固定式工程师站（主机为台式机），考虑到目前电脑制造商一般未在主机中集成生物识别模块，采用方案3同样需要预留接口，同时需要外接认证设备，会增加设计的复杂性。

3.3 认证方案

结合以上分析，考虑到核电厂安全级DCS工程师站的运行环境，应对权限分配的问题，提出下列“纵深防御”的身份认证方案：

Level0层双因素认证+Level1层单因素认证+Level2层单因素认证+Level3层双因素认证。

Level0层采用BIOS密码认证+USBkey认证的方式，在进入操作系统前进行认证，防止操作系统的功能失效导致Level1层认证失败；Level1层采用用户名和密码的单因素身份认证方式，防止对主机的非授权访问，同时若主机超过10min无任何操作，自动锁定当前用户；Level2层采用用户名和密码的单因素身份认证，防止对工程文件的非授权访问；Level3层采用密码认证+USBkey认证的双因素认证方式，对工程师站的核心功能进行保护，防止越权操作。同时Level2层和Level3层的认证为强制认证，如果不经过Level2层/Level3层认证，则无法对工程师站的内容进行访问，避免底层绕过认证直接访问数据。

3.4 遗留问题

双因素认证方式同时也会带来新的问题，如USBkey的管理问题，接口的管理问题和外接设备的管理问题。如果考虑工程软件设计人员、生产人员、测试人员、调试人员以及电厂维护人员监守自盗，违反保密规定，蓄意破坏或窃取工程数据，则上述身份认证方式只能起到一定程度的保护。因此，除了制定身份认证的技术措施以外，对就职人员的岗位鉴定、保密培训等一系列的管理措施也同样重要。

4 结束语

采用双因素甚至三因素的身份认证方式可以提高身份认证的安全性，一定程度地减少工程数据被篡改以及数据被泄露的风险，增加攻击难度，但是单凭身份认证无法保证数据安全，建立良好的管理措施能有效地避免大多数的攻击。同时，身份认证策略带来了密码分发管理，硬件设备管理的新问题。密码和认证设备的管理如果不得当，双因素认证也同样形同虚设。因此，需要制定相关的管理措施。

除此之外，其他信息安全技术保护手段也需要被应用，如入侵检测系统，漏洞扫描分析系统，安全审计系统等。同时，需要密切关注信息安全的发展与国内外形势，形势的变化、技术的发展可能对身份认证提出了新的挑战和要求。