核電廠儀控系統(tǒng)安全防護(hù)策略研究及應(yīng)用

楊景利，劉 元，孟慶軍，高 超，王童生

(北京廣利核系統(tǒng)工程有限公司，北京 100094)

0 引言

核電是我國(guó)能源行業(yè)國(guó)家級(jí)戰(zhàn)略產(chǎn)業(yè)，其自身運(yùn)行過(guò)程具有特殊性，所以對(duì)核電廠儀控系統(tǒng)有更為嚴(yán)格的安全要求。一旦發(fā)生事故，除了生產(chǎn)運(yùn)行受到影響外，還可能導(dǎo)致環(huán)境污染和人員輻射危害，并進(jìn)一步波及全球核電行業(yè)。伊朗震網(wǎng)事件、韓國(guó)核電廠泄密事件等重大的核電網(wǎng)絡(luò)安全事件說(shuō)明了核電網(wǎng)絡(luò)安全的重要性和關(guān)鍵性。在我國(guó)核電網(wǎng)絡(luò)安全建設(shè)運(yùn)維過(guò)程中，由于進(jìn)口設(shè)備多、維護(hù)團(tuán)隊(duì)多，潛在植入漏洞和引入漏洞的風(fēng)險(xiǎn)較大。

在核電廠儀控系統(tǒng)運(yùn)行過(guò)程中，如果缺少網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等各方面的網(wǎng)絡(luò)安全防護(hù)手段，一旦惡意軟件感染核電廠，便可能發(fā)起攻擊，造成嚴(yán)重后果。因此，對(duì)于核電廠儀控系統(tǒng)運(yùn)行過(guò)程中的網(wǎng)絡(luò)安全所采取的策略至關(guān)重要，既要考慮對(duì)核電機(jī)組正常運(yùn)行的影響，還要兼顧網(wǎng)絡(luò)安全防護(hù)效果。

1 核電相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

在核電網(wǎng)絡(luò)安全標(biāo)準(zhǔn)方面，美國(guó)標(biāo)準(zhǔn)已經(jīng)細(xì)化到指南層面。美國(guó)能源局已將RG 5.71作為發(fā)放核電經(jīng)營(yíng)許可證的一項(xiàng)重要核查導(dǎo)則，其內(nèi)容基本覆蓋了管理和技術(shù)兩個(gè)層面的實(shí)際操作過(guò)程。IEC方面，目前已經(jīng)完成管理標(biāo)準(zhǔn)(IEC 62645)和網(wǎng)絡(luò)安全與功能安全協(xié)調(diào)設(shè)計(jì)方法(IEC 62859)的制定。近年來(lái)，國(guó)內(nèi)一大批工控網(wǎng)絡(luò)安全標(biāo)準(zhǔn)由TC 124和TC 260組織發(fā)布。

①GB/T 30976-1～2：工業(yè)控制系統(tǒng)信息安全(第一部分評(píng)估規(guī)范；第二部分驗(yàn)收規(guī)范)[1]由TC 124發(fā)布。該標(biāo)準(zhǔn)推出了一系列覆蓋管理和技術(shù)的指標(biāo)體系，在驗(yàn)收上提出了信息安全驗(yàn)收項(xiàng)。

②部分標(biāo)準(zhǔn)主要從工業(yè)控制系統(tǒng)的分類(lèi)角度對(duì)GB/T 30976進(jìn)行了擴(kuò)展。GB/T 33007-2016 工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全[2]；GB/T 33008.1-2016 工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC) 第1部分系統(tǒng)要求[3]；GB/T 33009.1-2016《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第1部分：防護(hù)要求》[4]；GB/T 33009.2-2016《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第2部分：管理要求》[5]；GB/T 33009.3-2016《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第3部分：評(píng)估指南》[6]；GB/T 33009.4-2016《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)第4部分：風(fēng)險(xiǎn)與脆弱性檢測(cè)要求》[7]。

③GB/T 32919 信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全應(yīng)用指南[8]。該標(biāo)準(zhǔn)由TC 260發(fā)布，結(jié)合2016年10月工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》進(jìn)行細(xì)化和擴(kuò)展。

④等保2.0的工業(yè)控制系統(tǒng)安全擴(kuò)展要求：該系列標(biāo)準(zhǔn)由TC 260牽頭(在研)，是對(duì)等級(jí)保護(hù)通用要求的擴(kuò)展，形成了要求、測(cè)評(píng)和設(shè)計(jì)三個(gè)標(biāo)準(zhǔn)。

上述標(biāo)準(zhǔn)均屬于通用行業(yè)標(biāo)準(zhǔn)，未考慮到核電廠儀控系統(tǒng)的重要性和特殊性。

從方法論上講，核電廠儀控系統(tǒng)防御的主要方法是“隔離”和“凈化”。簡(jiǎn)化的網(wǎng)絡(luò)安全防御架構(gòu)如圖1所示。

圖1 簡(jiǎn)化的網(wǎng)絡(luò)安全防御架構(gòu)圖

“隔離”方面，RG 5.71中明確規(guī)定[9]，僅允許單向數(shù)據(jù)流，即從第4級(jí)流向第3級(jí)，從第3級(jí)流向第2級(jí)；禁止從安全級(jí)別較低的數(shù)字資產(chǎn)向安全級(jí)別較高的數(shù)字資產(chǎn)發(fā)起通信。數(shù)據(jù)僅通過(guò)在各個(gè)級(jí)別之間強(qiáng)制執(zhí)行安全政策的設(shè)備，從一個(gè)級(jí)別流向其他級(jí)別。保持檢測(cè)、阻止、延遲網(wǎng)絡(luò)攻擊，減輕網(wǎng)絡(luò)攻擊所帶來(lái)的后果，并在發(fā)生攻擊事件之后恢復(fù)正常功能。

“凈化”方面，RG 5.71提出必須有業(yè)務(wù)權(quán)限的全面設(shè)計(jì)，保障最小權(quán)限策略的執(zhí)行；主機(jī)上不允許安裝儀控系統(tǒng)以外的任何非必要軟件和移動(dòng)設(shè)備。

除隔離與凈化以外，IEC 62859還提出了核電網(wǎng)絡(luò)安全工作與物理安防工作的融合原則。物理安防已經(jīng)實(shí)現(xiàn)網(wǎng)絡(luò)安全功能的，不得重復(fù)實(shí)現(xiàn)；網(wǎng)絡(luò)安全與物理安防有沖突的，以物理安防優(yōu)先考慮，網(wǎng)絡(luò)安全需要修改其實(shí)現(xiàn)方法。

2 核電廠儀控系統(tǒng)安全防護(hù)策略

“隔離”一般對(duì)應(yīng)的技術(shù)方法是根據(jù)業(yè)務(wù)把網(wǎng)絡(luò)分區(qū)分段，避免網(wǎng)絡(luò)之間的直接連通。通過(guò)單向隔離網(wǎng)閘或工業(yè)防火墻等設(shè)備進(jìn)行隔離，限制訪問(wèn)權(quán)限，避免惡意軟件和報(bào)文的擴(kuò)散。

“凈化”一般對(duì)應(yīng)的技術(shù)方法可以分為兩大類(lèi)：黑名單和白名單。

2.1 黑、白名單技術(shù)對(duì)比

傳統(tǒng)的防病毒軟件、入侵檢測(cè)系統(tǒng)(intrusion detection system,IDS)、入侵防御系統(tǒng)(intrusion protection system,IPS)等都屬于典型的黑名單類(lèi)產(chǎn)品。黑名單類(lèi)產(chǎn)品基于已知特征進(jìn)行惡意軟件識(shí)別、惡意行為識(shí)別，通過(guò)設(shè)置規(guī)劃好的“不允許”規(guī)則來(lái)檢測(cè)匹配文件、報(bào)文、行為等，實(shí)現(xiàn)對(duì)惡意軟件和攻擊行為的識(shí)別和阻止，達(dá)到凈化效果。

在核電廠的網(wǎng)絡(luò)環(huán)境里，黑名單類(lèi)產(chǎn)品有如下缺點(diǎn)。

①內(nèi)置特征庫(kù)，需要實(shí)時(shí)更新才能達(dá)到較好的防護(hù)效果；核電廠儀控系統(tǒng)與外網(wǎng)隔離，無(wú)法及時(shí)更新系統(tǒng)補(bǔ)丁，不能保證防護(hù)效果。

②在特征匹配過(guò)程中會(huì)消耗較多資源，可能會(huì)造成系統(tǒng)擁堵或緩慢、實(shí)時(shí)性較差，不滿足核電廠儀控系統(tǒng)高實(shí)時(shí)性的要求。

③特征匹配不能保證完全準(zhǔn)確，可能會(huì)存在誤報(bào)；特別是行為特征識(shí)別中，往往會(huì)將儀控系統(tǒng)的I/O卡讀寫(xiě)等驅(qū)動(dòng)層面的操作當(dāng)成惡意行為進(jìn)行阻止。

④只能對(duì)已知特征進(jìn)行匹配，發(fā)現(xiàn)已知的惡意軟件和攻擊行為，無(wú)法防護(hù)“0 day”漏洞和有針對(duì)性的攻擊。

綜合考慮上述黑名單類(lèi)產(chǎn)品的弱點(diǎn)，需要在核電廠儀控系統(tǒng)的安全防護(hù)方案中引入不同于黑名單的防護(hù)技術(shù)——白名單技術(shù)。

白名單和黑名單技術(shù)對(duì)比如圖2所示。

圖2 白名單和黑名單技術(shù)對(duì)比圖

白名單類(lèi)產(chǎn)品相對(duì)黑名單類(lèi)產(chǎn)品而言，強(qiáng)調(diào)“確定的安全”，所有未知都不允許?！鞍酌麊巍笔且粋€(gè)多維度全方位的安全結(jié)構(gòu)模型，覆蓋系統(tǒng)的各個(gè)層面，包括程序白名單(或應(yīng)用白名單)、協(xié)議白名單、指令白名單、外設(shè)白名單等。白名單技術(shù)恰好可以彌補(bǔ)黑名單技術(shù)的不足，是一個(gè)極其有限的安全防護(hù)策略。

根據(jù)核電廠儀控系統(tǒng)的實(shí)際情況，經(jīng)過(guò)對(duì)工控流量、操作系統(tǒng)及應(yīng)用程序的監(jiān)控和分析，建立核電廠儀控系統(tǒng)及網(wǎng)絡(luò)的安全基線模型，進(jìn)而形成核電廠儀控體系的“安全白環(huán)境”，是一個(gè)更有效的安全防護(hù)方案。該方法能根本上達(dá)到“凈化”的效果。

2.2 程序白名單

程序白名單是一個(gè)主機(jī)上的合法應(yīng)用軟件的基線列表，只有在這個(gè)列表內(nèi)的程序才允許運(yùn)行，其他任何程序(包括病毒、木馬或者其他非惡意軟件)都不能運(yùn)行。這就是程序白名單的安全機(jī)制。

采用白名單技術(shù)的工控主機(jī)防護(hù)軟件可以抵御“0-day”漏洞和有針對(duì)性的攻擊，實(shí)現(xiàn)操作員站、工程師站、數(shù)據(jù)服務(wù)器等工控機(jī)的安全防護(hù)，改善并提升主機(jī)安全防護(hù)能力，最大限度保障工控機(jī)的安全穩(wěn)定運(yùn)行。在工控機(jī)防護(hù)方面，白名單技術(shù)產(chǎn)品相對(duì)防病毒技術(shù)更有優(yōu)勢(shì)，防護(hù)能力更好。

國(guó)際權(quán)威測(cè)評(píng)機(jī)構(gòu)Tolly給出的應(yīng)用程序白名單軟件Bit9和防病毒軟件產(chǎn)品安全防護(hù)能力的對(duì)比如表1所示。

表1 白名單軟件與殺毒軟件防護(hù)能力對(duì)比

注：①“阻止”表示被測(cè)試的系統(tǒng)阻止了入侵攻擊，起到了防護(hù)作用;

②“未阻止”表示被測(cè)試的系統(tǒng)沒(méi)有阻止入侵攻擊，沒(méi)有成功保護(hù)被攻擊對(duì)象;

③針對(duì)Web服務(wù)器，Symantec推薦使用它的關(guān)鍵系統(tǒng)保護(hù)產(chǎn)品作為終端保護(hù)產(chǎn)品的必要補(bǔ)充來(lái)進(jìn)行防護(hù)，McAfee則推薦使用高級(jí)終端防護(hù)套件來(lái)進(jìn)行防護(hù)(數(shù)據(jù)來(lái)源，Tolly，2012年2月)

從表1可明顯看出，應(yīng)用程序白名單軟件抵御了所有的5類(lèi)攻擊，而防病毒廠商賽門(mén)鐵克和邁克菲公司的產(chǎn)品僅抵御了一部分攻擊。防護(hù)能力出色并不是白名單技術(shù)產(chǎn)品優(yōu)勢(shì)的全部，其優(yōu)點(diǎn)還表現(xiàn)在以下幾方面。

①有效抵御“0-day”及APT攻擊。

②系統(tǒng)資源開(kāi)銷(xiāo)低，對(duì)主機(jī)性能幾乎沒(méi)有影響。

③無(wú)需升級(jí)庫(kù)，易于維護(hù)，其使用不會(huì)對(duì)生產(chǎn)過(guò)程產(chǎn)生影響。

程序白名單可以應(yīng)用在核電廠儀控系統(tǒng)中的操作員站、工程師站、服務(wù)器和通信站網(wǎng)關(guān)等計(jì)算環(huán)境中。

2.3 外設(shè)白名單

通過(guò)控制軟件實(shí)現(xiàn)移動(dòng)介質(zhì)合法性注冊(cè)，建立介質(zhì)白名單，實(shí)現(xiàn)移動(dòng)介質(zhì)的合法識(shí)別和讀寫(xiě)控制，保證核電廠儀控系統(tǒng)不受外部惡意軟件的侵襲。外設(shè)白名單的主要特點(diǎn)如下。

①通過(guò)外設(shè)開(kāi)關(guān)控制外設(shè)接口，保證沒(méi)有非法數(shù)據(jù)接入和內(nèi)部數(shù)據(jù)外泄。

②通過(guò)移動(dòng)介質(zhì)注冊(cè)管理，既能保證內(nèi)部數(shù)據(jù)流動(dòng)性，又可減少U盤(pán)隨意使用帶來(lái)的威脅。

③通過(guò)對(duì)讀寫(xiě)權(quán)限的控制，可保證數(shù)據(jù)流動(dòng)方向，避免惡意軟件感染。

外設(shè)白名單原理如圖3所示。

圖3 外設(shè)白名單原理圖

外設(shè)白名單可以應(yīng)用在核電廠儀控系統(tǒng)中的操作員站、工程師站、服務(wù)器和通信站網(wǎng)關(guān)等計(jì)算環(huán)境中，以控制外設(shè)的使用。

2.4 工控協(xié)議白名單

協(xié)議白名單原理如圖4所示。

圖4 協(xié)議白名單原理圖

通過(guò)安全防護(hù)設(shè)備(如工業(yè)防火墻等)對(duì)網(wǎng)絡(luò)報(bào)文進(jìn)行深度解析和指令識(shí)別。按照白名單要求，阻斷無(wú)關(guān)的協(xié)議，過(guò)濾非法的工業(yè)協(xié)議數(shù)據(jù)和非法指令，僅允許正確的協(xié)議數(shù)據(jù)或工控指令通過(guò)，可有效保證工控網(wǎng)絡(luò)通信安全。①協(xié)議識(shí)別，阻止非法協(xié)議。②協(xié)議深度解析，阻止非法報(bào)文。③解析控制協(xié)議指令，阻止非法指令。④確定指令的源和目的，阻止非法通信。

協(xié)議白名單可以應(yīng)用在核電廠儀控系統(tǒng)的安全域入口，一般是在工業(yè)防火墻上，以過(guò)濾進(jìn)出該子網(wǎng)的協(xié)議流量。

2.5 工控行為白名單

工控網(wǎng)內(nèi)所有節(jié)點(diǎn)之間的連接建立，以及指令下發(fā)、數(shù)據(jù)上報(bào)等網(wǎng)絡(luò)交互都屬于工控行為?；趯?duì)指令的深度解析、業(yè)務(wù)的深度理解，從正常的工控業(yè)務(wù)學(xué)習(xí)工控行為基線，可以建立工控行為白名單。

工控協(xié)議白名單負(fù)責(zé)過(guò)濾非法報(bào)文，保證進(jìn)入網(wǎng)絡(luò)的都是合法報(bào)文、合法連接，但不能阻止誤操作或惡意操作(比如：對(duì)公司不滿的員工在正常的操作員站下發(fā)不合適的指令，停止設(shè)備運(yùn)行)。工控行為白名單的主要作用是彌補(bǔ)工控協(xié)議白名單的不足，阻止誤操作或惡意操作。

建立工控行為白名單需要經(jīng)過(guò)較長(zhǎng)的學(xué)習(xí)過(guò)程，采集大量數(shù)據(jù)，結(jié)合多種特征建立行為模型。工控行為白名單生成過(guò)程如圖6所示。

圖5 工控行為白名單生成過(guò)程圖

工控行為建模重點(diǎn)是回答4個(gè)問(wèn)題，簡(jiǎn)稱(chēng)4W：誰(shuí)(Who)，什么時(shí)間(When)，使用哪些主機(jī)(Where)，做哪些事情(What)。

Who：對(duì)應(yīng)主機(jī)的用戶，或者系統(tǒng)賬號(hào)。核電廠儀控系統(tǒng)的所有操作必須能對(duì)應(yīng)授權(quán)的操作員。這部分?jǐn)?shù)據(jù)由安裝在主機(jī)上的主機(jī)防護(hù)軟件提供。

When：工控行為的時(shí)間，也就是網(wǎng)絡(luò)報(bào)文的時(shí)間，這部分?jǐn)?shù)據(jù)由審計(jì)設(shè)備提供。對(duì)工控行為建模要求整個(gè)系統(tǒng)必須統(tǒng)一時(shí)鐘，否則可能導(dǎo)致學(xué)習(xí)模型不準(zhǔn)確。

Where：工控行為涉及的主機(jī)節(jié)點(diǎn)，即每個(gè)工控指令或報(bào)文的雙方。這部分?jǐn)?shù)據(jù)由審計(jì)設(shè)備提供。

What：工控行為的具體內(nèi)容，對(duì)應(yīng)工控指令。這部分?jǐn)?shù)據(jù)由審計(jì)設(shè)備提供。對(duì)工控報(bào)文解析得越細(xì)，對(duì)工控業(yè)務(wù)理解得越深刻，這個(gè)模型就越準(zhǔn)確。

上述4W數(shù)據(jù)中，Who的數(shù)據(jù)需要由主機(jī)防護(hù)軟件提供，其他數(shù)據(jù)都是由審計(jì)設(shè)備提供。為保證系統(tǒng)的松耦合，在沒(méi)有Who的情況下，其他3個(gè)W(When、Where、What)可以完成建模工作。在有Who的情況下，模型可以精確到具體的人/賬號(hào)；在沒(méi)有Who的情況下，模型精確到網(wǎng)絡(luò)中的主機(jī)。

有了4W模型，就可以建立工控行為白名單，即從模型生成規(guī)則。這些工控行為白名單下發(fā)到審計(jì)設(shè)備或防火墻后，就可以及時(shí)發(fā)現(xiàn)異常行為、阻止異常行為。

工控行為白名單包括以下特點(diǎn)。①報(bào)文深度解析，識(shí)別工控指令。②海量數(shù)據(jù)分析，橫向(人、網(wǎng)絡(luò))、縱向(時(shí)間)結(jié)合，形成完整的立體模型——4W模型。③4W模型轉(zhuǎn)換為工控行為白名單，簡(jiǎn)化防護(hù)策略。④有效識(shí)別、阻止誤操作、惡意操作。

工控行為白名單需要聯(lián)合主機(jī)防護(hù)軟件、網(wǎng)絡(luò)審計(jì)設(shè)備、工業(yè)防火墻、集中管理平臺(tái)，通過(guò)完整的解決方案來(lái)實(shí)現(xiàn)，可以對(duì)核電廠儀控系統(tǒng)進(jìn)行全方位立體化的防護(hù)。

3 核電廠儀控系統(tǒng)安全防護(hù)實(shí)施方案

白名單防護(hù)策略的實(shí)施一般分為以下步驟。

(1)規(guī)劃。在方案設(shè)計(jì)實(shí)施前，需要先做規(guī)劃，確定白名單方案涉及的業(yè)務(wù)、區(qū)域和主機(jī)，確定白名單方案采用的技術(shù)：基于主機(jī)、基于網(wǎng)絡(luò)，或者兩者同時(shí)采用。

(2)設(shè)計(jì)選型。根據(jù)規(guī)劃，設(shè)計(jì)合適的網(wǎng)絡(luò)白名單或主機(jī)白名單方案，結(jié)合業(yè)務(wù)和網(wǎng)絡(luò)拓?fù)?，設(shè)計(jì)白名單部署方案，選擇合適的白名單產(chǎn)品。

(3)原型驗(yàn)證。根據(jù)設(shè)計(jì)，在廣利核實(shí)驗(yàn)室，基于試驗(yàn)環(huán)境進(jìn)行白名單的原型驗(yàn)證，以確保白名單產(chǎn)品功能完善、對(duì)業(yè)務(wù)運(yùn)行沒(méi)有任何影響。

(4)實(shí)施。經(jīng)過(guò)驗(yàn)證后，白名單方案進(jìn)入實(shí)施階段。實(shí)施前，需要確保主機(jī)沒(méi)有被惡意軟件感染。白名單產(chǎn)品在正式生效前一般需要經(jīng)過(guò)一個(gè)學(xué)習(xí)過(guò)程，也就是建立白名單的過(guò)程。如果把惡意軟件加入白名單，那白名單方案也無(wú)法保證主機(jī)的安全。工控行為白名單尤其需要經(jīng)過(guò)長(zhǎng)時(shí)間的學(xué)習(xí)。實(shí)施包括以下2個(gè)階段。①學(xué)習(xí)階段。這一段時(shí)間學(xué)習(xí)現(xiàn)網(wǎng)的流量、程序、計(jì)算環(huán)境，生成白名單。在這個(gè)階段，白名單不會(huì)強(qiáng)制進(jìn)行攔截，只會(huì)生成告警，并等待管理員確認(rèn)。②白名單正式生效。在這個(gè)階段，不符合白名單要求的程序、報(bào)文、工控行為都會(huì)被攔截。

(5)維護(hù)。白名單實(shí)施后，需要進(jìn)行定期的維護(hù)。維護(hù)內(nèi)容主要包括：查看產(chǎn)品的相關(guān)日志和告警信息，檢查系統(tǒng)是否運(yùn)行正常；業(yè)務(wù)軟件安裝或升級(jí)時(shí)需要進(jìn)行白名單更新。

某個(gè)核電廠儀控系統(tǒng)，在操作員站、工程師站、服務(wù)器、網(wǎng)關(guān)服務(wù)器上部署了主機(jī)白名單防護(hù)軟件(包括程序白名單和外設(shè)白名單)，保護(hù)主機(jī)的安全；通過(guò)邊界的工業(yè)防火墻進(jìn)行區(qū)域隔離，并實(shí)施協(xié)議白名單；通過(guò)集中管理平臺(tái)進(jìn)行大數(shù)據(jù)學(xué)習(xí)建模，結(jié)合審計(jì)設(shè)備、主機(jī)防護(hù)設(shè)備、工業(yè)防火墻部署工控行為白名單，全方位保護(hù)網(wǎng)絡(luò)的安全。

經(jīng)過(guò)在核電站的實(shí)踐驗(yàn)證，采用白名單技術(shù)防護(hù)的網(wǎng)絡(luò)區(qū)域，可以有效防止惡意軟件的破壞，阻止惡意報(bào)文的傳輸，保護(hù)核電廠儀控系統(tǒng)的安全。

4 結(jié)束語(yǔ)

經(jīng)過(guò)多年發(fā)展，采用白名單技術(shù)的工控安全產(chǎn)品已取得長(zhǎng)足發(fā)展，獲得國(guó)內(nèi)外安全從業(yè)者的認(rèn)可[10-14]。大量現(xiàn)場(chǎng)應(yīng)用結(jié)果表明，該技術(shù)產(chǎn)品具有高安全、高可靠、低功耗、省時(shí)省力的特性。白名單技術(shù)產(chǎn)品不僅僅適用于普通工業(yè)現(xiàn)場(chǎng)，更有望在不久的將來(lái)成為核電廠儀控系統(tǒng)的“標(biāo)配”。

在核電廠的業(yè)務(wù)場(chǎng)景，操作系統(tǒng)、應(yīng)用軟件和業(yè)務(wù)操作都比較穩(wěn)定，變化較少，對(duì)可靠性要求極高。采用白名單技術(shù)的工控主機(jī)防護(hù)軟件、工業(yè)防火墻、審計(jì)設(shè)備等產(chǎn)品，在防護(hù)功能上與傳統(tǒng)黑名單產(chǎn)品相似，但是更適合核電廠的特殊場(chǎng)景，最終防護(hù)效果更好、對(duì)生產(chǎn)系統(tǒng)的影響更小。采用白名單技術(shù)的安全產(chǎn)品應(yīng)該被納入核電廠整體安全解決方案的備選列表，并得到越來(lái)越廣泛的應(yīng)用。