核电DCS 系统信息安全防护的探讨

杨占杰

（中核第四研究设计工程有限公司，河北 石家庄 050022）

随着互联网的发展，网络信息安全对我国的电力、经济和人类生活的影响越来越大。现在信息安全无论是在军事上，商业上还是在电力领域，信息安全的重要性均与日俱增。近几年来，网络安全威胁呈现了“多、快、高”的发展趋势。“多”是指安全事件数量多，据国际CERT 组织统计，2000 年的安全事件数量不足2万，而2020 年的数量已经逼近1 000 万；“快”是指安全威胁入侵的蔓延速度快、发现漏洞后攻击出现的时间快，最新的蠕虫病毒可以在几分钟之内就蔓延到全球范围，新的漏洞公布后几个小时就出现针对漏洞的攻击行为或工具；“高”是指安全威胁的层次越来越高，目前的威胁多数已经从网络层发展到应用层，包括入侵、蠕虫、P2P 滥用等。

信息安全的威胁大致可以分为两类，一类是自然物理威胁，一类是人为制造威胁。自然物理威胁指来自于外界自然环境、物理灾害的场地环境、电磁和光电干扰、物理自然疲劳老化等。人为制造的威胁包括：

（1）主动攻击行为，指识别并主动攻击网络系统的薄弱环节，达到窃取、破坏、陷入循环、欺骗等目的，使得网络信息受到伤害或者使网络进入死循环，挤占网络资源，造成经济生产上或政治安全上的损失。主动的人为攻击可分为恶意攻击和巧合事故。

（2）网络安全缺陷，任何一个人为设计的网络系统都多多少少存在着安全缺陷。所谓“道高一尺，魔高一丈”只有不断弥补网络缺陷，才能保证相对安全。网络设备硬件或者网络拓扑结构存在安全缺陷。

（3）软件系统漏洞，程序人员开发软件时候的疏忽大意，或编程语言本身的局限性。网络系统的安全漏洞、网络应用软件与密码设置等方面也有可能有漏洞。

核电厂DCS 系统的信息安全是确保核电厂控制和保护功能正确实现的基本保障，加强对核电厂DCS 系统网络安全防护已迫在眉睫。本文针对核电DCS 系统的信息安全防护从软件、硬件等方面进行探讨，这些安全防护措施和硬件设置方案的实施可以有效阻断病毒的入侵，保证核电厂的安全、稳定运行。

1 信息安全保护总体原则

从国家监督角度我国信息安全总体政策是分等级对信息系统的建设、管理和监督，信息安全应该遵守以下原则[1]：

1.1 适度安全原则

从保护安全和成本比率角度综合考虑信息安全的防护，采用重点管理的方式对设备的数据应用加以保护，从而达到最佳的效果。

1.2 技术管理并重原则

信息网络安全工作既是一项技术工作，又是一项管理工作，要做到技术手段和日常管理相结合，才能达到良好的效果。

1.3 分区分域建设原则

分区分域的管理可以很好地对信息安全进行防护，针对分区分域可以制定不同等级的防护措施，重点区域可以进行重点管理，不同区域的信息可以通过设备进行隔离，方便实现数据的管理和监控，防止事故蔓延整个网络。

1.4 标准性原则

GB/T 25070—2010《信息安全技术 信息系统等级保护安全设计技术要求》 和GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》中也规定了信息安全保护的相关要求，在实际应用中需要综合考虑。总之最后形成的系统需要有很强的适用性[2]。

1.5 动态调整原则

信息安全管理是动态的，需要随着管理相关策略、流程、环境情况变化而变化。

2 核电信息安全防护的介绍

2.1 核电DCS 系统典型网络架构

DCS 控制系统平台典型网络模型主要由现场控制网（一层）和过程信控制网（二层）组成，并包括与0 层、三层、第三方I&C 系统的设备接口。网络中的信息分散在操纵节点上，实时信息直接在节点之间进行传输。每个操纵员站独立采集实时数据并下发控制命令，当某个操纵员节点发生故障或者切换时，不会影响其他操纵员站的实时数据的采集和显示。核电厂典型DCS 系统网络（包含信息安全的设备）如图1 所示。

图1 核电厂典型DCS 系统网络Fig.1 The typical DCS system network of nuclear power plant

网络的具体设备类别及连接方式如下：

（1）0 层（设备或者生产执行）：过程接口层，包括执行设备和测量设备；

（2）一层（现场控制网）：为DCS 控制系统的一层控制网，采用光纤/屏蔽双绞线介质组成以太网，例如控制机柜通信板卡与第三方设备之间的通信，控制机柜之间的典型DCS 网络通信都是基于TCP/IP（UDP）协议（其中UDP协议用于视频通信等），主要的通信接点包括：控制站和工程师站等；

（3）二层（过程控制网）：DCS 控制系统的二层网络，通常采用快速以太网链路，主要包括工程师站、操作站和服务器等；

（4）三层（管理层）：全厂信息管理层，例如技术支持中心和地震监测系统等计算机设备。

网络通信防护—主机防护的多 层防御体系，由外向内依次提升防护强度，保护仪控系统最重要的主机和服务器安全。

2.2 核电DCS 信息安全分级

根据DCS 系统网络遭受攻击后果的严重性，对DCS 系统进行信息安全等级划分。信息安全等级从高到低依次为S1、S2 和S3 级。

S1 级：执行FC1 类和FC2 类功能以及被恶意攻击后对安全功能的影响与 F-SC1 级和F-SC2 级功能等同的系统或设备。

S2 级：有实时性操作要求或电厂正常运行所必需功能的F-SC3 和NC 级系统或设备。

S3 级：执行NC 功能且不会对电厂安全性与可用性产生实时影响的系统。

核电DCS 系统应结合纵深防御的设计理念和识别—保护—检测—响应—恢复的防护原则，在DCS 系统的开发设计、实施、安装和调试阶段按照核电厂DCS 系统信息安全技术规格书要求部署信息安全的防护策略，并对运维和退役阶段的信息安全行为提供合理建议和必要的技术支持。

2.3 DCS 系统的边界安全防护

边界就是以安全划分区域为基础，针对数据的交换需求和重要性，使用不同等级的边界防护设备，进行有效防护。例如不同安全区域之间部署防火墙实现通行数据隔离、监控信息等功能，边界间的隔离装置如果识别到异常，应及时发出警告[3]。

在核电DCS 控制系统间、主DCS 系统与辅助DCS 系统之间或者和第三方系统通信要设置智能防火墙，这样可以防止外部网络有害信息攻击的行为，为了防止控制网络受外界信息威胁，具体设置如图2 所示。

图2 第三方系统与DCS 边界隔离Fig.2 Isolation of the third party system from the DCS boundary

DCS 与生产管理系统网络边界采取单向网闸进行隔离，仅允许信息流从DCS 向管理生产管理系统的单向传输（安全级DCS 和非安全级DCS 都适用）。但是安全级和非安全级之间的网络需要经过单向网闸进行再次隔离，为确保信息流的绝对安全，部分重要信号采用硬接线的方式传输（如操作盘的应急停堆信号）。

DCS 二层网络与核电厂第三方系统的OPC数据通信采取工业防火墙进行逻辑隔离（其他通信方式可以采用网关、网闸等设备进行隔离；如果设备为DCS 内部可信设备则无须增加隔离措施），防火墙具备如下访问控制功能：

（1）TCP 会话状态跟踪监测，包括TCP 标志状态监测、TCP 窗口状态监测；

（2）静态IP-MAC 绑定，可检测并拦截盗用IP 地址的主机进行访问；

（3）根据协议类型过滤数据；

（4）对从站地址、功能码、寄存器地址、变量取值范围进行限制；

（5）流量统计的功能；

（6）异常处理的能力，异常关机重启后，能够保存安全策略。

2.4 DCS 安全网络软件环境

2.4.1 入侵防范

减少安装程序的数量，在计算机上仅安装必要的程序和应用。使用管理软件或者杀毒软件及时关闭不需要运行的程序或者应用，关闭共享热点和数据端口。对数据的流量进行管理和监督，通过设定特定的接口对网络传输数据进行监督和管理，通过特定的数据增加验证标识，保证通过人机接口输入数据和接收设备收到数据的正确性；能发现控制系统内存在的已知漏洞，对漏洞进行充分的分析后修补漏洞；控制系统应能够检测陌生数据信息的入侵的行为，并能在一定阈值范围内发出警告。

2.4.2 恶意代码防范

当有恶意代码攻击的时候系统应该主动识别并能够启动必要的软件或措施来抵御其入侵。

控制系统可以监控其运行状态，仅允许白名单中的授权的进程（监控软件、数据软件和组态软件等）。对于其他进程，都将记录或阻断，从源头上遏制恶意代码的运行。

2.4.3 可信验证

对于可信任计算设备的系统引程序、软件、配置参数进行可信验证，在程序的关键节点进行动态验证，检测到异常信息后可以进行报警，并有特殊的设备可以记录历史状态。

2.4.4 数据完整性

采用校验或者加密的方式保证数据在传输过程中的安全，包括但不限于增加校验码、审计、配置、重要数据等。

2.4.5 数据保密性

采用加密信息保证数据的可靠性，包括但不限于鉴别信息、商业数据和安全信息等，在存储过程中也应该考虑数据的保密性，包括限制特定用户使用和使用加密账户等。

2.4.6 数据备份恢复

控制系统可以进行数据备份和数据恢复，包括上传云备份或者异地备份，利用信息传输技术将数据自动实时备份或者周期性备份。

2.4.7 剩余信息保护

保证重要数据信息经过清理后空间可以完全释放，不允许经过特定程序处理后得以恢复。

2.4.8 个人信息保护

根据业务需要仅采集必需的用户信息；程序和应用必须禁止未授权人的访问，用户的个人信息不能随便显示和使用，调用用户个人信息时需要设置必要的权限。

2.5 安全审计及管理

针对核电厂DCS 控制系统的重要网络节点进行安全审计，一般控制系统直接采集数据的端口，针对非法程序和合法操作行为进行安全鉴别。

2.5.1 系统集中管理

应该对操作等级和人员身份进行认证，通过认证的操作员只允许操作指定操作区域的设备，DCS 系统应该进行实时的审计，网络安全审计方法是基于信息流的数据采集、分析、识别和资源审计软件。通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行监督。审计组件包括审计服务器、客户端、数据量、设备日志收集等。通过划分不同等级的安全设备和网络区域进行网络设备的管理；通过特定的信息传输路线，监督和管理整个网络中的安全设备，应对链路、节点设备、服务器、工作站、网络端口等的网络状况进行监测，自动收集汇总和分析，保证审计历史记录储存时间和调用符合相关规定，应对安全软件、恶意信息、升级软件、捆绑软件等事项进行分类管理。

2.5.2 审计设备管理功能

审计设备应具备如下功能：

（1）对网络不安全行为进行识别，例如新型病毒网络攻击。需要不断更新技术措施来应对新的风险和威胁。

（2）当检查到攻击的不安全信息，控制系统应该记录攻击源物理地址、攻击方向、攻击方式、攻击时间段，发生超过一定阈值的事件时，系统应能够发出警报。

（3）审计的历史记录信息应至少包括事件的序号、事件的类型、事件发生的时间、事件是否成功，事件用户信息等，审计记录至少保留6 个月。

（4）对审计历史记录需要保护，历史记录需要定期备份到其他地方，以免后续遇到严重事件后信息能够恢复。

2.5.3 安全软件管理

在控制系统中部署白名单安全措施，加固控制系统的安全，未经过授权的软件禁止运行，建立白名单运行的规则，对进程自启动推送信息进行主动管理。对安全参数的设置，安全标记相关的启动程序，对程序应用的运行管理进行授权，配置安全管理策略。

3 安全物理环境

DCS 控制机柜的场地应选择在安全、具有防护外界自然侵害的房间内，必要时可以加装空调系统，在条件恶劣的环境里，应增加控制机柜的防护等级，例如有喷淋灭火的区域或者需要防尘防爆的区域。另外信息安全设备的出入口需要设置行政管理措施。

需要在控制系统中部署U 口管理软件，U口的控制软件可以对U 盘进行验证，根据用户的等级控制U 盘的使用权限等级。U 口控制功能也可与白名单管理措施结合到一起使用。

核电典型DCS 系统信息安全防护采取了许多的安全措施，在设计和实施阶段角度防止外来的信息入侵，对于核电操纵员也会设置一些误操作的防护措施，比如在重要的按钮上增加保护盖板，防止误触碰；在软件的重要设备中增加警告和弹窗提示画面等。在信息安全通常用到硬件设备如表1 所示。

表1 信息安全硬件设备表：Table 1 The Information security software and hardware equipment

典型DCS 系统中植入信息安全设备硬件和软件对系统的性能和执行控制保护功能肯定会有不利的影响，但是这种影响大可不必担心。以某数据库安全防护系统为例，首先信息安全防护产品对整个系统影响极小（不超限的情况下），对人来说是无感知的，对系统延迟的影响几乎是毫秒级别的。因此对于DCS 系统来说，数据库防火墙基本可以认为是无感知和透明的。

4 DCS 系统信息安全的测试验证

每种DCS 软件平台信息安全的测试可能不太相同，但是原理基本一致，下面举例某核电项目中关于信息安全的测试方法。

4.1 防火墙配置检查

登录服务器，检查系统配置—访问控制—白名单规则，查看配置管理主机，查看相应的设置信息与实际安全管理平台信息配置是否一致；检查访问控制规则，查看设置是否与设计要求配置一致。

如果设置不一致就会出现通信故障，例如某项目调试过程中服务器系统内核没有禁ping的情况下，客户端ping 服务器ping 不通。登录服务器，执行以下命令，查看防火墙配置信息，如图3 所示。

图3 防火墙配置信息Fig.3 Firewall configuration

检查详细配置信息，可以看到防火墙对客户端的数据包采用了DROP 策略，因此服务器无法对客户端的数据包进行响应，删除防火墙中对应的屏蔽规则即可解决该问题。

4.2 网闸用户配置检查

网闸管理主机配置检查：登录（接收端）系统管理员平台，在用“用户管理”界面中查看是否进行了三权分立设置，即是否创建了系统管理员、系统安全员、系统审计员及操作员用户，发送端采取相同方法。可信业务主机白名单设置检查，查看接收端主机白名单信息是否与三层服务器信息一致，发送端主机白名单是否与生产管理系统连接的OPC 网关机信息一致。

4.3 恶意代码防范检查

黑名单功能，开启；防范动作，丢弃；畸形报文类攻击勾选Land、TearDrop、Smurf、Ping Of Death；扫描类攻击勾选IP 地址扫描、端口扫描；特殊报文控制类攻击，不启用。业务管理-DDos 防护：启用；SYN Flood 防护，阈值200；启用UDP Flood 防护，阈值1 000；启用ICMP Flood，阈值100，启用ARP Flood 防护阈值200。

4.4 通信网络检查

安全通信网络主要包括网络交换机及IDS配置检查。

4.4.1 交换机管理账户配置

检查交换机，查看用户管理信息，是否对用户做了三权分立及配置，及密码是否符合密码复杂度要求。

4.4.2 IDS 应符合如下配置

（1）登录用户管理员账户，查看是否进行了三权分立配置，并且密码符合复杂度要求。

（2）系统管理—组件—组件管理，可查看已下发到引擎的策略，应存在“中高级策略集”。

（3）告警日志—病毒配置—配置，点击相应引擎操作列病毒检测协议类型配置：应全选5 种协议类型。

以上测试需要在测试记录中记录通过，填写Pass，未进行配置则不通过，填写Fail。

5 信息安全防护前沿技术

目前信息安全防护技术有智慧防火墙、多态访问控制技术、安全漏洞扫描、模拟攻击、主动防御技术、密码技术等。核电DCS 厂家根据前沿技术的成熟度并结合自身平台的特点逐步在核电DCS 系统中推广应用。

5.1 智慧防火墙技术

相对传统的防火墙，智慧防火墙更智能、更聪明。智慧防火墙能够提供包过滤、网络地址绑定、网络状态检测、网络地址转换、开放动态端口、连接数控制、管理带宽、管理会话等控制功能；支持Web 应用、数据库应用等、具备服务攻击防护、数据库攻击防护、Web 攻击防护、自动化威胁防护、恶意代码防护、外部系统协同防护、攻击逃逸防护等攻击防护功能；具备安全管理方式、安全支撑系统等自身安全功能。相对普通防火墙的技术不同（传统技术采用数据匹配检查），智慧防火墙的访问机制是采用人工智能控制技术，可以及时预判可疑的入侵，相对于普通的防火墙更安全，更主动。智慧防火墙可有效阻止病毒蔓延范围扩大和原始病毒入侵问题，成为防火墙未来发展的趋势。

5.2 多态访问控制技术

多态访问控制的意思就是先把用户分组级分组，按照用户预先定义的组别和重要程度来限制对网络信息模块项的访问，或者限制对网络系统控制功能块使用的一种技术。多态访问控制技术通过垂直访问控制（比如组员和组长）、水平访问控制（比如组员或者组长之间）、技术支持访问控制等多种访问控制技术相互结合来实现对系统访问的权限控制。

5.3 安全漏洞扫描、模拟攻击、主动防御技术

漏洞扫描技术的基本概念是系统模拟当前主流的病毒入侵方式对目标系统逐项检查可能存在的后门或者漏洞。漏洞安全扫描已经被人们所熟知，市场上存在多款安全漏洞扫描器。但是我们应该根据自己系统的特点去选择合适的扫描器。

被动防御的概念就是黑客先制造病毒程序，信息安全厂家通过研究病毒的特征，把标志码提取出来充实到自己的病毒库，从而在扫描过程中寻找和杀灭病毒的目的。但是这种传统的方法缺点也是显而易见的，病毒更新的速度远远大于病毒库更新的速度。主动防御的出现可以大大改善当前的局面，首先判断程序的行为轨迹，根据程序的行为主动判断是否为可疑的病毒程序，先把可疑程序放入到杀毒的隔离区，再次通过用户判断是否真正为病毒程序后再做处理，主动网络安全防御技术以"先发制人，掌握先机"的哲学理念，它更加重视通过提升和优化自己、减少漏洞、主动出击的防护理念，可以有效的降低系统的管理负荷，提高系统病毒防护响应的时间，大大提升了外部黑客病毒攻击的困难程度。主动防御以高效、动态资源利用等优势，目前已成为网络安全防御技术研究的方向。

5.4 密码技术：后量子密码、同态密码

密钥加密技术目前主要分为两种形式：非对称的公共密钥和对称的私密密钥。鉴于当下加密技术已经越来越重要，对称和非对称加密技术的缺点也都显而易见，所以当前应用最多的是采用混合加密技术，将对称加密和非对称加密的优势相结合。

后量子密码的概念是可以抵御量子计算机解密的密码，或者获得的解密的信息和投入资源远不成比例（例如获得解密信息需要计算机工作10 年，但是这个时候此信息的价值所剩无几）。后量子密码的设计主要包含最近向量、最短向量等复杂算法而加密的技术、基于多个变化量多次方程求解、随机编译码等复杂问题的加密技术。后量子密码的安全性和重要性目前越来越明显[4]。

同态加密是基于数学复杂逻辑计算理论的加密技术。和其他的加密算法相比，同态加密技术除了实现基本的加密算法之外，还能实现密文之间的信息交互，即信息交互计算可以放在解密前或者解密后进行，这个特征对于信息全保护非常重要。同态加密技术可以实现让病毒入侵只能获得少量局部信息，而无法获得全部或者整体的信息，这样可以大大提高信息的安全性。现在云存储、云计算受到追捧，但是过程中如何保证数据的可靠性，同态加密技术可以在这一领域推广应用。

6 结束语

根据网络环境中数据信息存储和访问处理的特点，网上传输的数据信息很容易泄漏和被破坏，如果核电DCS 系统的网络受到黑客网络攻击或者劫持，后果非常严重，因此建立有效的网络安全防范体系就更为迫切。实际上，保障核电DCS 网络安全不但需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则，针对薄弱环节和可能的漏洞不断升级安全防范措施，做到有的放矢。