基于物理断开的核电厂跨网信息可信单向导入研究

颜振宇，张龙强，徐良军，赵岩峰，习楚浩

（中广核工程有限公司，广东 深圳 518100）

0 引言

随着核电厂数字化仪控技术、网络与通信技术、物联网、云计算技术等的广泛应用，较大地提高了核电厂的生产效率。从田湾核电厂开始，我国的核电厂的数字化仪控水平得到迅速发展。进入21世纪以后，国内所有新建核电机组均采用了数字化仪控系统，建立了信息化的自动办公系统，各信息系统之间的信息交互需求与日俱增。当前来自网络安全空间的攻击越来越频繁，对核电厂数字化仪控系统、办公系统等的网络安全构成了极高的风险。按照国家有关部门的要求，在核电厂不同级别的安全区域系统之间通信，主要采用电力单向横向隔离装置。此类装置在进行数据单向传输时存在一个字节的返回，未真正实现绝对单向传递数据。如何实现在核电厂不同安全等级区域之间进行安全、可信、可靠的数据传输，并从根本上杜绝核电厂低安全等级向高安全等级网络区域发起的网络攻击，“网络隔离与信息交换技术”成为了各核电厂必须要解决的问题。

1 主要网络隔离与单向传输技术

1.1 数据拷贝

数据拷贝是指采用人工或者机械的方式数据拷贝，数据无法校验，如数据量大时无法实现实时数据传送，影响系统实时性。此种方式在涉密信息系统应用广泛，在低安全级别的计算机上，只能把数据写入而不能从存储介质中读取数据。相反，在高安全级别的计算机上，只能从存储介质中读取数据而不能把数据写入[1]。其中，采用光盘摆渡进行交换的方式安全性较高。光盘摆渡主要包括内置服务器、片匣、机械手、刻录光驱、只读光驱等，采用机电一体化、软硬相结合的技术，通过机械手模拟人手在网络间移动光盘的方式实现物理隔离状态下的数据跨网传输。光盘摆渡技术原理如图1。

图1 光盘摆渡技术原理Fig.1 The principle of optical disc ferry technology

图2 网闸技术原理Fig.2 The principle of gatekeeper technology

1.2 信息摆渡

信息摆渡交换也称“网闸”技术[2]，如图2。在不同的网络区间设立隔离卡区、文件交换区，文件交换区在同一时刻只与一个网络进行连接，单独设立了缓冲区，病毒、木马等恶意病毒可通过缓冲区进行传递。此种方式广泛应用于电网调度方面，在电网变电站中为了提高变电站系统信息传输的可靠性和降低建设成本，应利用数字化变电站中过程层与间隔层之间数据的单向性，实现单输入多输出的数据传输[3]。

2 传统单向传输技术分析与比较

目前，国内各家网络安全厂商多采用内网主机、外网主机加单向传输通道单元实现单向传输。各类技术比较见表1。

通过表1分析发现，当前主要的网络隔离与单向传送数据并未实现真正的物理断开下的数据传输，也未按照国家有关法律法规的要求采用商用密码技术或可信计算技术对数据进行保护。

3 基于物理断开的核电厂跨网信息可信单向技术方案研究

系统采用近场大气激光通信技术，以大气为传输介质，实现无物理连接信息传输，满足网络之间物理隔离、数据单向无反馈传输需求。系统基于飞腾处理芯片平台、银河麒麟操作系统，以密码技术为支撑，以安全隔离、单向传输技术为保障，符合数据单向保密传输要求。通过可信计算技术实现信息的安全可信，可信计算由TPCM、TSB和可信安全管理中心3个部件组成。可信计算是一种运算与保护并行结构的计算模式，通过保持计算环境及计算逻辑的完整性，为计算平台提供了对恶意代码、非法操作的自主免疫能力[4]。TPCM为CPU固件形式，TSB为软件，可信安全管理中心为管理部件。TPCM、TSB是部署于节点上的可信部件，可信安全管理中心是独立部署的管理部件。

表1 各类单向传输技术比较Table 1 Comparison of various unidirectional transmission technologies

3.1 总体技术方案

通过在不同安全等级的网络区域设置独立数据服务器，应用可信计算技术实现数据服务器CPU级的主动可信免疫体系，通过大气激光通信模块实现信息的无物理连接的单向信息传输。该技术方案的网络拓扑图如图3。

图3 总体技术方案拓扑图Fig.3 Topological diagram of the overall technical solution

3.2 主动可信免疫体系

可信计算节点中的可信链以物理TPCM为平台，建立可信BIOS，研制可信软件，设立可信安全管理中心。安全可信嵌入到设备部件，多源异构，资源共享[2]。可信计算架构如图4。

图4 可信计算架构[5]Fig.4 Trusted computing architecture[5]

3.3 其他安全配套技术

1）传输内容完整性保护

对需要传输的数据内容采用商密算法展开完整性保护，当发生数据坏损丢包的情况及时告警。国密算法：是国家密码局制定的国产密码算法，密钥长度和分组长度都为128位。

2）访问控制

系统通过内建的防火墙和身份认证的方式实现访问控制。

◇ 接入防护：设置可接入系统的源IP地址及单向系统所开放的服务端口，阻止非法IP接入系统。

表2 安全性检测Table 2 Security detection

◇ 身份认证：系统与接入客户端之间基于证书实现身份认证，阻止非法客户端接入系统。

系统能够有效过滤非法连接。

3）文件内容检查

系统可以对传输的文件中的文本内容进行检查，并支持黑/白名单过滤方式，应用于文件单向传输，数据库单向同步的场景。

4）文件类型过滤

系统可以对传输的文件大小、类型等属性进行检查，并支持白名单和黑名单两种过滤方式，应用于文件单向传输的场景。

5）病毒防护

系统专业病毒库与病毒清除软件，实现对病毒、木马等恶意软件的有效清除，病毒库具备定期更新功能。

4 检测认证

通过本文构建的系统在某检测实验室的检测结果见表2。

5 总结

本文基于大气激光技术等提出了核电厂基于物理断开的安全、可信、绝对单向、可靠的数据传输方法与技术。以可信计算技术为基础，创造性地提出与传统单向隔离方法与技术不同的主动免疫单向隔离方法，已实现计算节点的主动安全免疫防护，具备对未知病毒、未知恶意程序、脚本、未知攻击行为的主动防御能力，产品安全可靠。满足核电高安全的要求，可在核电厂不同安全等级网络区域进行数据的单向导入，确保核电厂各项业务可信、安全、可靠、高效运行。