浅谈信息安全背景下核电厂仪控系统研究策略

2022-11-25陈正忠

城市建设理论研究（电子版） 2022年26期

陈正忠

中国核电工程有限公司郑州分公司河南郑州 450052

核电站的“大脑和神经中枢”系统大大提高了该系统的安全性、可靠性和经济。然而，与传统的模拟系统[1]相比，这种数字化系统使用了大量的微处理器、统一软件和计算机软件等软件，以及先进的软件、互联网技术和其他复杂问题。本文讨论了当前核数字化系统的重要性，这导致了该系统复杂性的可靠分析和问题。

1 工业控制系统信息安全简述

在信息安全板块中，最容易被大家忽略的便是工业控制系统的信息安全隐患，因此导致对应其的技术和管理手段难以跟上现代化可以发展的脚步，缺乏信息安全意识。人们主要关注网络安全、隐私安全、金融安全等。缺乏工业控制系统对信息安全的担忧主要是由于人们无意中认为工业控制系统通常是一个独立的、封闭的局域网，很少有开放的端口，而且非常安全。过去的重大事件，工业控制系统中的信息安全隐患最大，对工业系统的影响是非常严重的[2]。

2 核电厂仪控系统信息安全需求

2.1 信息安全需求分析

安全性能是核电站设计的关键，对安全的信心长期以来一直是核电站整体安全的组成部分。在核电站控制系统的设计、制造和调试环节中，以及运行的过程中始终贯穿着信息安全设计。在工业控制网络中，常常需要连接人、机、物，场景多种多样，在技术要求上存在差异[3]。在传统互联网工业控制网络中，有着较高的可靠性与安全性，有着较低的延时，才可以为工业生产提供保障，与此同时，要确保多个方面的安全，在工业控制网络行业中，有着标准多且应用场景复杂的特点，难以同传统互联网相比，找到相应的发展规律，在核电厂仪控系统中，要以可用性为第一安全需要，其顺序为可用性完整性、机密性。

核电站系统生命周期长，在核电站生命周期内，系统升级优化难度大，导致系统中主机系统版本升级困难。文书的监督体系中的一个薄弱环节,一旦机器工业主要是有争议的,可能会影响系统运行的工具,甚至直接操纵和控制的指示,这可能会影响安全运行核电站并引发安全事故。IEC 62443 定义了工业管理系统的信息安全：为保护系统而采取的措施。系统的状态是通过建立和维护系统熔断器来实现的[4]。基于容量的计算机系统可以保证未经授权的人员和系统无法修改和访问软件和数据，但无法阻止未经授权的人员和系统。干扰对控制系统的非法或恶意访问或正常和计划的操作。工业管理系统不同于传统系统。工业管理系统通常比传统的安全攻击更严格，因此在防止信息安全方面具有不同的目的[5]。

2.2 主要风险因素及其分类

核电厂仪控系统信息安全威胁主要来源于与核电厂仪控系统相连的外部系统，其安全隐患是由未经授权的人员预留的登录界面。无论内部网络的安全级别如何，通过上述手段对安全会构成威胁。综合工业控制领域目前对核电厂仪控系统的主要威胁篡改、中断和伪造、复制、非法访问、窃听、泄露和拒绝。结合信息安全的要求，提出了信息安全的标准。从核电站仪控系统的安全性、可靠性、保密性和不可否认性等方面对这些威胁进行了分类。

2.3 构建评估体系结构

在评估信息安全级别时，需要建立一套评估机构，数据通信安全等级在核电厂仪控系统中，信息安全的主要要求是保证数据在传输过程中不被非法获取或篡改，数据的真实性和有效性。基于安全等级的需求分析和威胁分类，从上到下可将评价结构分为目标层、属性层和威胁层三个层次。

3 核电厂仪控系统信息安全总体要求

核电厂仪控系统信息安全的设计目的最大限度地降低信息安全事故带来的风险。安全控制系统的失效会导致误操作或拒绝操作，长时间的误操作甚至会发生严重的核安全事故，危及人们的财产以及人身安全。信息安全需要技术和管理手段之间的密切合作。因此，信息安全的要求不能旨在技术上进行严格标准，同时也需要在核电厂仪控系统的各个运行时期进行管理决策。

3.1 核电厂仪控系统

核电厂仪控系统信息安全分类以及信息安全的保护水平，应根据网络攻击对核电厂安全和运行造成的问题来进行划分抉择。要科学使用不同层次的分级防范管理体系，从而可以使系统能够从容应对各种信息安全隐患。关于同一级别的预防系统，应继续执行详细的分区域管理计划。通过工业控制系统的设计要求，划分了不同的功能。从而通过这些功能的不同特性，采取对应的防范举措。不同安全级别之间的通信，只允许从高安全级别划分到低安全级别的单向通信。

3.2 核电厂仪控系统应建立独立的信息安全审计平台

该平台担任监控控制系统的信息安全任务，建立入侵检测系统，实时记录并提供报警提示以及行为。提供统一的管理策略，如身份认证、白名单、病毒防护、补丁管理等。必须有安全屏障，以防止使用非通过的安全认证通信协议进行通信。

4 核电厂仪控系统信息安全详细要求

4.1 核电站仪表信息控制系统

核电站仪表和控制系统的安全技术。本节主要分析核电站仪表与控制系统的整体结构，对不同功能的设备提出不同的要求，对核电站仪表与控制系统中各类设备的信息化性能要求进行设定。一是现场设备层的各类设备均未受到严重损坏，设备因恶意攻击而无法工作或拒绝运行，造成现场事故。确保控制单元中的程序和配置信息不被篡改，控制器的自动命令可以自动发送到现场设备，现场运行状态可以反馈给控制层及时监控系统。三是保护机房操作员、技术员机房、服务器等不受破坏，设备上的软件和数据不受篡改，确保运营商可以操作电厂，统一发电状态。电厂及为电厂运行提供服务的计算机化设备运行状态，确保电厂运行不被破坏。第四，保护管理中的软件和数据系统不受损坏，确保安装是用电动压力机进行的。首先，核电厂的安全控制系统需要全面的信息安全设计文件。控制系统中,包含所有的通信和信息交流系统内,子系统之间以及与外部系统来分析和描述的信息流、权力分配和控制流分析和论述了授权和百分比的信息。从整体网络规划的角度来看，必须避免对设备或系统局域网的攻击，以免传播到整个网络。审核系统应能够产生盖章的审核记录。审计系统的时间表不能随意更改，审计记录也不能更改。工厂控制系统中的信息安全应作为一个整体来考虑，并在系统范围内识别安全区域。边境数据交换必须通过技术隔离措施加以保护。限制应纳入安全管理[6]。

4.2 核电厂仪控系统安全管理体系

信息安全管理体系必须有一个明确的指导方针与要求作为方向，全面思考信息安全的隐患，从大到小，一一列出，从而形成一个详细的信息安全管理脉络，首先需要制定信息安全的整体目标，以及防范的信息边界，遵循相应的规章制度与要求。首先，创建一个具体完善的管理体系，实施相应的信息安全政策、谜底和流程。对信息安全的隐患等级进行分析和评估。其次，开展相应的信息安全教育，提高员工的安全防范意识，提高风险的警惕性。再次，改进信息安全监管体系的不足，制定处罚措施。最后，定期进行信息安全的风险隐患分析研究，并做成安全报告进行汇报。

4.3 仪控系统设计特点对调试方案的影响

与全模拟控制系统相比，半数字化仪控系统虽然也采用了继电器控制回路，但控制的范围不同。全模拟控制系统的继电器控制回路不仅实现安全级控制逻辑，也实现非安全级控制逻辑，而半数字化仪控系统的继电器机柜系统只实现了安全级控制逻辑，非安全级部分由DCS系统实现。因此，半数字化仪控系统的继电器控制回路比全模拟控制系统的规模更小，对于调试方案而言，工艺系统的通道功能的调试方法也发生了变化，即同一个系统的不同功能可能需要应用不同的调试方案。每个工艺系统的逻辑控制功能在仪控系统中的实现，是以其系统的功能分级为基础，即同一个系统不同的功能可能在不同的平台上实现。因此，需要对每个系统的不同功能、通道、仪控设备逐一进行分析，从而确定需要采取何种更为合适的调试方案。在具体的调试方案设计中，根据每个工艺系统功能分级，对应到仪控系统的具体实现方式(模拟技术或DCS)，最终确定采用模拟技术或DCS调试方法进行调试。由此，引出了模拟技术控制系统调试方案和DCS调试方案分开的需求，以对应安全级和非安全级部分的调试。

5 核电厂仪表控制系统的信息安全设计

(1)按照信息安全系统的要求对核电厂的信息安全防护进行分类。

系统层次结构的主体可以是系统、设备或系统与设备之间的通信网络。一般来说，执行安全级别功能并可能影响安全的系统或设备。

(2)整体设计应及时评估信息安全风险。

在总体设计过程中，应对系统中所有通信网络、诊断、维护、测试设备和通信接口进行详细的风险评估、分析和评估。网络接口和自下而上的通信应该包括在高级管理中。

(3)确保网络及其各子网的独立性。

在规划网络时，系统必须确保对局域网的攻击不会传播到整个网络。

(4)系统边界保护要求。

核电厂的控制和测试系统应与外部电网连接，并通过物理隔离和技术措施加以保护。边境保护也必须纳入整个信息安全管理系统，以保证一个单向的外部网络和系统。

(5)门禁必须明确控制。

登录帐号必须实时注册。异常登录可及时记录并报警。如果需要，登录将被锁定。为了对数据存储区域进行编程，需要对用户权限进行更严格的管理，并准确区分用户可以访问的不同区域。

(6)移动存储和无线网络的要求。

对移动存储介质和无线网络设备的访问应严格限制，只能通过边境安全监测机构访问。应通过技术手段查明和警告非法进入。

(7)审计部门应当能够实时监控设备运行、数据流和异常数据。能够对工程师站、操作员站、服务器、控制器等重要设备的控制事件进行记录和操作。正常情况下，提交审核报告，包括指定的日期和时间。

(8)系统应能够通过通信网络定期备份一组历史状态文件等，并将其传输到备份位置；系统应能够检测备份媒体的运行状态，确保备份数据处于可恢复状态。

(9)应删除或禁用与系统运行和维护无关的所有组件。

6 核电厂仪控系统安全防护策略

6.1 修改防护方案

仪控系统修改是为了防止系统故障。系统硬件通常是因为是使用时间或者设计问题所造成的。而软件引起的问题是因为设计以及使用过程中环境的变化造成的。根据不同的情况，进行针对性的调整举措，核电厂的运行程序可分为以下几类。一是因工作需要临时控制变更；二是技术变革带来永久性的变化；三是供应商的软件配置错误或配置逻辑/参数不符合现场实际要求；四是供应商网站发布的新软件的附加升级或覆盖。

软件专用数字控制系统旨在识别软件的潜在缺陷，以确保产品质量。制造商发布的重要技术更新和额外的修改或覆盖必须有针对性的验证与确认过程，保证软件功能的正确性和安全性。

6.2 黑名单和白名单技术的比较

传统的杀毒软件、入侵检测系统和入侵预防系统是典型的黑名单产品。黑名单产品根据已知的特征识别恶意软件和恶意行为。通过在计划中定义“未经授权”的规则来检测文件、消息、行为等的匹配，可以识别和防止恶意软件攻击，从而实现净化效果。在npp网络环境中，黑名单产品存在以下缺陷。

首先，必须实时更新综合特征数据库，以实现更好的保护。核电站的控制和测试系统与外部电网隔离，无法及时更新系统调试。保护效果不能保证。其次，特征匹配过程需要更多的资源。可能导致系统拥挤或缓慢，实时差，不能满足npp仪表控制系统的高实时要求;同样，特征匹配很难达到100%的准确性，特别是在确定行为特征时。驾驶员级别的操作，如读取和读取仪表控制系统的i / o卡，通常被禁止作为恶意行为。最后，已知的恶意攻击只有在符合已知特性时才能被检测到。为了解决上述黑名单的弱点，有必要在核电站的控制系统中引入一种不同于黑名单的防盗装置，即白名单保护技术。

6.3 TTCAN协议保护技术

随着电子技术和通信技术的发展，核电厂仪表控制系统和设备主要依靠数字技术，现场总线逐渐成为是数据传输的重要手段。电厂主数据同步传输量大，反应堆安全运行要求通信网络满足电厂对传输速度和响应时间的要求。为了保证整个反应器系统的安全稳定运行，在传统CAN协议的基础上，引入了基于CAN时间触发机制的TTCAN高级协议。数据传输网络可以提高总线网络的带宽利用率，满足变电站总线网络高速、实时、高可靠性数据传输的要求[7]。