向來(lái)，核電對于老百姓來(lái)說(shuō)都比較神秘，但在2016年10月， 國際原子能機構首次承認 核電站成為網(wǎng)絡(luò )攻擊目標 。同月，我國工信部印發(fā)了《工業(yè)控制系統信息安全防護指南》 ，相比之前工信部協(xié)[2011]451號文，從通知文件到防護指南，適用范圍更加聚焦，目標更加明確。那么這個(gè)明確在核電數字化儀控系統方面，又該如何落地實(shí)施呢？綠盟科技的工控安全專(zhuān)家在研究之后，給出了他們的分析和見(jiàn)解。

   我國的核電站數字化儀控系統

   隨著(zhù)我國國民經(jīng)濟的快速發(fā)展，環(huán)境日趨惡劣，能源供應正在成為制約我國經(jīng)濟、社會(huì )和環(huán)境發(fā)展的一個(gè)瓶頸，傳統能源的外部性環(huán)境成本得到重視，我國能源結構向清潔低碳化傾斜，核電始終被寄予厚望。根據核電十三五規劃，到2020年，我國核電將達到5800萬(wàn)千瓦在運，3000萬(wàn)千瓦在建的規模。核電站從工程管理、工程設計、設備制造、工程建設、安全運行和退役，無(wú)一不體現高端技術(shù)，儀控系統就是其中一項重要的組成部分。隨著(zhù)全球信息化和數字化技術(shù)的迅猛發(fā)展，核電儀控系統的數字化是當前核電技術(shù)發(fā)展的必然趨勢，目前國內在建的核電站均采用了全數字化的儀控技術(shù)。日本福島發(fā)生核事故之后，客觀(guān)上對核電安全的要求提高，對儀控技術(shù)與裝置的研究、設計、制造、選型、應用、維護提出了越來(lái)越高的要求，全數字化儀控系統的應用將對確保核電廠(chǎng)的安全、可靠、經(jīng)濟運行，起到至關(guān)重要的作用。

   核電數字化儀控系統架構

   典型的核電數字化儀控系統結構分為四層，分別為：

   LEVEL0：現場(chǎng)控制層,主要包括以執行器和變送器為主的現場(chǎng)設備；

   LEVEL1：過(guò)程控制層, 主要基于數據采集單元、數字化儀控控制站和PLC產(chǎn)品，完成現場(chǎng)信號輸入輸出、自動(dòng)控制和保護功能；

   LEVEL2：操作控制層（操作和信息管理層）,主要包括放置于主控室、遠程停堆站、技術(shù)支持中心等控制室的操作站、后備用盤(pán)等人機交互設備和相關(guān)的數據處理設備；

   LEVEL3：管理層，即第三方控制接口以及管理層,主要包括電站信息系統、應急處理系統等。

   其中管理層采用TCP/IP以太網(wǎng)，在操作控制層和過(guò)程控制層以及不同輔控系統之間采用工業(yè)以太網(wǎng)互聯(lián)；過(guò)程控制層采用高速現場(chǎng)總線(xiàn)進(jìn)行通信。反應堆保護安全級控制系統與非安全級控制系統之間數據通信通過(guò)安全級網(wǎng)關(guān)執行，核電數字化儀控系統架構如圖1所示。

圖1  核電數字化儀控系統架構

   核電數字化儀控系統安全脆弱性分析

   技術(shù)脆弱性

   核電數字化儀控系統的數字化和信息化程度不斷提高，其越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與辦公網(wǎng)絡(luò )等公共網(wǎng)絡(luò )連接，不僅具有工控網(wǎng)絡(luò )特有的安全脆弱性，還引入了傳統信息資產(chǎn)的安全脆弱性，主要體現在網(wǎng)絡(luò )、主機、應用軟件以及數據安全方面【由于核電站能源利用的特殊性，核電站已經(jīng)采取了十分嚴格的物理安全措施】：

   網(wǎng)絡(luò )脆弱性：網(wǎng)絡(luò )安全邊界不清晰，未部署網(wǎng)絡(luò )邊界防護設備或設備策略配置不當，未對關(guān)鍵監測點(diǎn)進(jìn)行網(wǎng)絡(luò )安全監測和審計；

   主機脆弱性：主機終端使用默認配置，導致不安全或不必要的端口或服務(wù)沒(méi)有關(guān)閉，缺乏安全管控措施（包括防病毒、惡意代碼監測、外設管控等）；

   應用軟件脆弱性：核電數字化儀控系統設計時(shí)更多關(guān)注可用性和功能實(shí)現，忽略了系統的安全性，導致工控系統安全漏洞快速增長(cháng)，如緩沖區溢出、拒絕服務(wù)等高危漏洞；同時(shí)應用軟件的補丁程序未及時(shí)安裝更新、認證和訪(fǎng)問(wèn)控制措施不足；

   數據安全脆弱性：敏感數據傳輸和存儲未加密，對敏感數據的訪(fǎng)問(wèn)控制措施不當，缺乏對敏感數據操作的審計。

   管理脆弱性

   核電數字化儀控系統的管理脆弱性主要體現在信息安全策略及程序文件不充分甚至缺失、信息安全培訓計劃及相關(guān)規章制度欠缺、很少或基本沒(méi)有組織信息安全培訓和意識培訓、第三方運維管理措施不完善、以及缺乏完備的授權驗證機制、軟件不能及時(shí)更新等方面。

   核電數字化儀控系統安全解決方案

   2016年11月11日工信部發(fā)布的《工業(yè)控制系統信息安全防護指南》（以下簡(jiǎn)稱(chēng)“指南”）涵蓋工業(yè)控制系統設計、選型、建設、測試，運行、檢修、廢棄各階段安全防護工作要求，更加明確地提出了工控系統信息安全防護的指導思想。本文基于指南的相關(guān)要求提出了核電數字化儀控系統信息安全的縱深防御解決方案，總體安全防護架構圖如圖2所示，具體防護措施如下：

 圖2  核電數字化儀控系統安全防護架構圖

   安全技術(shù)體系建設

   網(wǎng)絡(luò )安全防護

   網(wǎng)絡(luò )邊界劃分：二層信息網(wǎng)和廠(chǎng)級管理層之間的網(wǎng)絡(luò )邊界（二層信息網(wǎng)到廠(chǎng)級管理層的數據單向傳輸）；監控網(wǎng)和現場(chǎng)控制層之間的網(wǎng)絡(luò )邊界；安全級控制系統和非安全級控制系統之間的網(wǎng)絡(luò )邊界；監控網(wǎng)和第三方專(zhuān)用儀控系統之間的網(wǎng)絡(luò )邊界；

   網(wǎng)絡(luò )邊界防護：二層信息網(wǎng)和廠(chǎng)級管理層之間、安全級控制系統和非安全級控制系統之間部署單向隔離裝置實(shí)現數據單向傳輸；在監控網(wǎng)和現場(chǎng)控制層之間、監控網(wǎng)和第三方專(zhuān)用儀控系統之間部署工業(yè)安全網(wǎng)關(guān)阻斷來(lái)自監控網(wǎng)的病毒傳播、黑客攻擊等行為，限制違法操作，避免其對控制網(wǎng)絡(luò )的影響和對生產(chǎn)流程的破壞；

   內部網(wǎng)絡(luò )監測：在二層信息網(wǎng)和監控網(wǎng)分別旁路部署工控入侵監測系統和工控異常行為審計系統準確監測網(wǎng)絡(luò )異常流量，通過(guò)對相關(guān)工控協(xié)議進(jìn)行深度解析，及時(shí)發(fā)現潛在的網(wǎng)絡(luò )攻擊和異常行為并在第一時(shí)間告警。

   主機安全防護

   核電數字化儀控系統主機資產(chǎn)主要包括操作員站、工程師站、服務(wù)器、網(wǎng)絡(luò )設備以及業(yè)務(wù)應用系統。

對主機終端進(jìn)行安全加固：實(shí)現對賬號權限、口令策略、系統服務(wù)、補丁更新、日志管理等方面的安全配置，結合核電業(yè)務(wù)需求和相關(guān)信息安全標準規范制定各類(lèi)主機資產(chǎn)安全配置基線(xiàn)，并部署工控安全配置核查系統定期進(jìn)行安全配置審計；

   在主機終端部署工控終端管控系統實(shí)現對外設進(jìn)行嚴格的訪(fǎng)問(wèn)控制、狀態(tài)監控、進(jìn)程監控、病毒防護、惡意代碼監測、操作行為審計、基于白名單機制的應用程序管控；

   應用安全防護

   核電數字化儀控系統應用主要包括操作員站、工程師站以及服務(wù)器的監視軟件、組態(tài)軟件等應用軟件，控制站的嵌入式操作系統以及應用軟件。

   部署工控漏洞掃描系統和工控漏洞挖掘系統對上下位機操作系統和應用軟件進(jìn)行漏洞掃描，對工控資產(chǎn)進(jìn)行風(fēng)險評估和驗證漏洞修復情況；

   加強供應鏈管理，在核電數字化儀控系統設計和選型階段，通過(guò)合同要求等方式約束工控設備供貨商將信息安全因素考慮其中，選擇經(jīng)過(guò)嚴格測試和認證的安全工控產(chǎn)品和應用軟件；

   建立漏洞管理和補丁更新的應急響應機制并責任落實(shí)到人，不僅關(guān)注涉及操作員站、服務(wù)器等傳統IT資產(chǎn)的漏洞信息，更重要的要關(guān)注涉及控制器、PLC等工控設備的漏洞信息，在安裝補丁前進(jìn)行充分的安全評估和驗證測試。

   數據安全防護

   數據在存儲傳輸過(guò)程中通過(guò)加密方式進(jìn)行處理，加強對敏感數據的訪(fǎng)問(wèn)控制；

部署數據庫審計系統，對存儲關(guān)鍵數據的數據庫進(jìn)行異常行為進(jìn)行告警通知、審計記錄和事后追蹤分析；

   安全管理體系建設

   核電數字化儀控系統的信息安全管理體系建設是一個(gè)系統性的工程，應遵循和借鑒國內外有關(guān)核設施信息安全的相關(guān)標準和最佳實(shí)踐，在對實(shí)際控制系統全面、科學(xué)風(fēng)險評估的基礎上，綜合考慮成本和風(fēng)險平衡，建設有效的、可操作實(shí)施的信息安全管理體系。

   符合性分析

   關(guān)鍵技術(shù)思考

   核電數字化儀控系統信息安全需要形成從網(wǎng)絡(luò )邊界隔離防護到內部網(wǎng)絡(luò )異常行為審計，從工控設備安全風(fēng)險評估到工控終端安全管控，到最后的敏感數據安全防護的縱深防御技術(shù)體系，結合核電數字化儀控系統實(shí)際安全需求提出以下幾點(diǎn)關(guān)鍵技術(shù)：

   核電數字化儀控系統是核電站的“神經(jīng)中樞”，對工控設備的安全性和可靠性要求極高，同樣用于核電數字化儀控系統的工控安全設備在設計上要充分地考慮自身的安全性、可靠性以及性能等因素，并需要進(jìn)行充分的驗證和測試；

   目前，國內在役的核電站數字化儀控系統和工控設備主要被國外技術(shù)壟斷，需要在獲取相關(guān)資料的基礎上對這些工控設備和協(xié)議進(jìn)行深度地分析，以支撐工控安全設備的功能；

   目前國內在役的各核電站數字化儀控系統架構不盡相同，要在充分挖掘各核電站客戶(hù)實(shí)際安全需求的基礎上不斷完善工控安全產(chǎn)品體系，優(yōu)化工控安全產(chǎn)品功能以及工控安全產(chǎn)品跟核電數字化儀控系統設備的兼容性。

本文由：綠盟科技 發(fā)布，版權歸屬于原作者。