张敏

摘 要：随着计算机的飞速发展，信息安全越来越重要，这种重要性不仅体现在互联网和个人计算机领域，同样也体现在工控领域。而核电厂DCS系统是工控系统的一个分支，在核电厂的运行中起到极其关键的作用。本文探讨核电厂DCS系统信息安全防护的方法，旨在分析核电厂DCS系统信息安全设计中的注意要点，从而确保核电厂建成后能够安全运行，保障国家的发展和人民生命的安全。

关键词：信息安全;防护方法;DCS系统;核电厂

中图分类号：TM623;TP309 文献标识码：A 文章编号：1003-5168（2019）32-0044-02

Information Security Protection of DCS in Nuclear Power Plant

ZHANG Min

（China Nuclear Control System Engineering Co.， Ltd.，Beijing 102401）

Abstract： With the rapid development of computers， information security is more and more important， which is not only reflected in the Internet and personal computers， but also in the field of industrial control. As a branch of industrial control system， DCS plays an important role in the operation of nuclear power plant. This paper discussed the method of information security protection of nuclear power plant DCS system， aiming at analyzing the key points of information security design of DCS system in nuclear power plant， so as to ensure the safety and stability of nuclear power plant， and to guarantee the development of the country and the safety of people's lives.

Keywords： information security;protection method;DCS system;nuclear power plant

1 核電厂DCS系统信息安全属性的定义

核电厂DCS系统信息安全属性涉及五个方面。一是可用性，即确保DCS系统可以被任何授权的操作人员使用的系统能力。二是完整性，即确保DCS系统只被授权操作人员修改的系统能力。三是机密性，即确保DCS系统只被授权操作人员查看的系统能力。四是认证性，即能够确认操作人员身份的系统能力。五是可追究性，即确保操作人员的动作被记录的系统能力。

根据以上定义可知，核电厂DCS系统丧失信息安全属性将引发如下危险：DCS系统丧失完整性和认证性，可能引起系统的配置、程序、指令、信号和数据被篡改，造成误动或拒动，导致设备故障、损坏甚至引发核安全事故[1]。DCS系统丧失可用性会引发系统执行功能异常或性能降级，也可能导致设备故障、损坏甚至引发核安全事故。DCS系统丧失机密性将可能导致系统配置信息、密码、生产工艺、关键参数等外泄。DCS系统丧失可追究性则可能导致事故发生后无法进行责任追查。

2 信息安全防护方法

造成信息安全危险的行为主要有如下四种方式，即截取、中断、篡改和伪造。针对上述危险行为，DCS系统信息安全可以采用以下防护方法。

2.1 边界防护

DCS系统网络与外部网络之间应使用物理隔离措施进行防护，确保DCS系统到外部网络的绝对单向数据传输。同时，应兼顾DCS系统网络与外部网络数据通信的实时性。DCS系统与第三方系统之间的网络通信应采取隔离措施进行防护，例如，可以在DCS系统侧部署工业防火墙。安全级系统与非安全级系统之间的网络应从物理层面确保安全级系统到非安全级系统数据的单向传输[2，3]。

2.2 訪问控制

设置访问控制权限，由授权主体进行访问控制策略的配置，规定访问规则。记录非法登录，当超过规定的连续无效登陆次数时，触发报警，同时应锁定登录权限。设置会话自动锁定，对30min内不活动的会话进行锁定，只有使用身份验证后才能重新进行访问。

设置物理安全防护措施，防止未经授的非法访问，可以采取如下措施来实现：锁柜、设备场所的权限控制以及相关组织和行政措施等。对重要的程序、文件和数据等设置安全标记，控制对有安全标记信息资源的访问权限。在设计上限制对DCS系统可编程区域的访问，并阻止这些区域的非法访问。

2.3 密码管理

保护密码、密钥数据库，防止非法访问主机用户和密码列表，将密码副本存储在有限访问的安全位置。控制更改主密码的权限，防止主密码泄露造成密码管理的失效。控制密码的长度、强度和复杂性，确保密码有足够的安全性。

2.4 移动存储介质的访问控制

对DCS系统主机的物理接口进行限制，可以采用USB端口设备绑定的方式。同时，部署文件拷贝中转设备，对存储介质进行病毒和木马的查杀，并禁用未使用的网络端口、协议端口以及USB接口。当有设备通过备用网络端口接入时，DCS系统将拒绝并报警，只有经授权允许或硬件组态后才允许新设备的接入。

2.5 入侵防御

在DCS系统合适位置部署入侵检测系统，监视网络边界处的网络行为，包括端口扫描攻击、暴露攻击、木马后门攻击、DoS攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫等，并在检测到攻击行为时记录攻击源IP、攻击类型、攻击目标和攻击时间，提供实时报警。同时，应确保入侵检测系统不影响DCS系统的正常运行。

2.6 审计日志

对DCS网络中的网络设备运行状况、网络流量等进行审计，审计日志应包括日期和时间、类型、主体标识、客体标识等。对工程师站、操作员站、服务器、数据库等重要系统的用户操作，以及组态软件、编程软件、监控软件、数据服务和通信软件等的运行事件等进行安全审计，如用户登录事件、组态事件、编程事件、程序的上传下载事件、控制操作事件、系统进程事件、客户端请求事件、数据传输事件、系统资源的异常使用和重要系统命令的使用等，并生成审计日志。系统结合黑白名单技术，对系统内运行的模块/程序进行识别和监控，杜绝未经识别的模块/程序的运行。

审计日志记录存储设备配置为“仅可读”，防止对存储设备记录的更改。同时，应合理分配审计记录存储容量，定期备份，防止存储超过容量上限，在审计存储容量即将达到上限时，系统应提供报警或信息指示。审计记录的时间标签由系统唯一确定的时钟源确定，确保审计分析的正确性。DCS系统应保护审计进程，防止未经授权的中断。

2.7 数据备份与恢复

DCS系统具备定期对历史数据、系统组态文件进行备份的能力。系统应具备检测备份介质有效性的能力，确保在预期的恢复时间内可以完成备份的恢复。

3 结论

信息安全问题贯穿DCS系统的整个生命周期，同时信息安全问题需要采用技术手段与管理手段解决。本文针对造成信息安全危险的四种行为，探究了几种核电厂DCS系统信息安全防护的方法，目的是在DCS系统设计的过程中保证系统的完整性、可用性、机密性、认证性和可追究性，将由信息安全事件导致的事故危害降到最低。

参考文献：

[1]Charles P Pfleeger，Shari Lawrence Pfleeger，Jonathan Margulies.Principles and Technology of Information Security[M]. Beijing：Electronic Industry Press，2016.

[2]国家质量监督检验检疫总局，中国国家标准化管理委员会.工业自动化和控制系统网络安全 集散控制系统（DCS） 第1部分：防护要求：GB/T 33009.1—2016[S].北京：中国标准出版社，2016.

[3]USA Nuclear Regulatory Commission.Cyber Security Programs For Nuclear Facilities：RG5.71—2010[S].Rockville：USA Nuclear Regulatory Commission，2010.