核電廠DCS系統(tǒng)信息安全防護

張敏

摘 要：隨著計算機的飛速發(fā)展，信息安全越來越重要，這種重要性不僅體現(xiàn)在互聯(lián)網(wǎng)和個人計算機領(lǐng)域，同樣也體現(xiàn)在工控領(lǐng)域。而核電廠DCS系統(tǒng)是工控系統(tǒng)的一個分支，在核電廠的運行中起到極其關(guān)鍵的作用。本文探討核電廠DCS系統(tǒng)信息安全防護的方法，旨在分析核電廠DCS系統(tǒng)信息安全設(shè)計中的注意要點，從而確保核電廠建成后能夠安全運行，保障國家的發(fā)展和人民生命的安全。

關(guān)鍵詞：信息安全;防護方法;DCS系統(tǒng);核電廠

中圖分類號：TM623;TP309 文獻標識碼：A 文章編號：1003-5168（2019）32-0044-02

Information?Security?Protection?of?DCS?in?Nuclear?Power?Plant

ZHANG?Min

（China?Nuclear?Control?System?Engineering?Co.，?Ltd.，Beijing?102401）

Abstract：?With?the?rapid?development?of?computers，?information security?is?more?and?more?important，?which?is?not?only?reflected?in?the?Internet?and?personal?computers，?but?also?in?the?field?of?industrial?control.?As?a?branch?of?industrial?control?system，?DCS?plays?an?important?role?in?the?operation?of?nuclear?power?plant.?This?paper?discussed?the?method?of?information?security?protection?of?nuclear?power?plant?DCS?system，?aiming?at?analyzing?the?key?points?of?information?security?design?of?DCS?system?in?nuclear?power?plant，?so?as?to?ensure?the?safety?and?stability?of?nuclear?power?plant，?and?to?guarantee?the?development?of?the?country?and?the?safety?of?people's?lives.

Keywords：?information?security;protection?method;DCS?system;nuclear?power?plant

1 核電廠DCS系統(tǒng)信息安全屬性的定義

核電廠DCS系統(tǒng)信息安全屬性涉及五個方面。一是可用性，即確保DCS系統(tǒng)可以被任何授權(quán)的操作人員使用的系統(tǒng)能力。二是完整性，即確保DCS系統(tǒng)只被授權(quán)操作人員修改的系統(tǒng)能力。三是機密性，即確保DCS系統(tǒng)只被授權(quán)操作人員查看的系統(tǒng)能力。四是認證性，即能夠確認操作人員身份的系統(tǒng)能力。五是可追究性，即確保操作人員的動作被記錄的系統(tǒng)能力。

根據(jù)以上定義可知，核電廠DCS系統(tǒng)喪失信息安全屬性將引發(fā)如下危險：DCS系統(tǒng)喪失完整性和認證性，可能引起系統(tǒng)的配置、程序、指令、信號和數(shù)據(jù)被篡改，造成誤動或拒動，導(dǎo)致設(shè)備故障、損壞甚至引發(fā)核安全事故[1]。DCS系統(tǒng)喪失可用性會引發(fā)系統(tǒng)執(zhí)行功能異?；蛐阅芙导?，也可能導(dǎo)致設(shè)備故障、損壞甚至引發(fā)核安全事故。DCS系統(tǒng)喪失機密性將可能導(dǎo)致系統(tǒng)配置信息、密碼、生產(chǎn)工藝、關(guān)鍵參數(shù)等外泄。DCS系統(tǒng)喪失可追究性則可能導(dǎo)致事故發(fā)生后無法進行責任追查。

2 信息安全防護方法

造成信息安全危險的行為主要有如下四種方式，即截取、中斷、篡改和偽造。針對上述危險行為，DCS系統(tǒng)信息安全可以采用以下防護方法。

2.1 邊界防護

DCS系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間應(yīng)使用物理隔離措施進行防護，確保DCS系統(tǒng)到外部網(wǎng)絡(luò)的絕對單向數(shù)據(jù)傳輸。同時，應(yīng)兼顧DCS系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)數(shù)據(jù)通信的實時性。DCS系統(tǒng)與第三方系統(tǒng)之間的網(wǎng)絡(luò)通信應(yīng)采取隔離措施進行防護，例如，可以在DCS系統(tǒng)側(cè)部署工業(yè)防火墻。安全級系統(tǒng)與非安全級系統(tǒng)之間的網(wǎng)絡(luò)應(yīng)從物理層面確保安全級系統(tǒng)到非安全級系統(tǒng)數(shù)據(jù)的單向傳輸[2，3]。

2.2 訪問控制

設(shè)置訪問控制權(quán)限，由授權(quán)主體進行訪問控制策略的配置，規(guī)定訪問規(guī)則。記錄非法登錄，當超過規(guī)定的連續(xù)無效登陸次數(shù)時，觸發(fā)報警，同時應(yīng)鎖定登錄權(quán)限。設(shè)置會話自動鎖定，對30min內(nèi)不活動的會話進行鎖定，只有使用身份驗證后才能重新進行訪問。

設(shè)置物理安全防護措施，防止未經(jīng)授的非法訪問，可以采取如下措施來實現(xiàn)：鎖柜、設(shè)備場所的權(quán)限控制以及相關(guān)組織和行政措施等。對重要的程序、文件和數(shù)據(jù)等設(shè)置安全標記，控制對有安全標記信息資源的訪問權(quán)限。在設(shè)計上限制對DCS系統(tǒng)可編程區(qū)域的訪問，并阻止這些區(qū)域的非法訪問。

2.3 密碼管理

保護密碼、密鑰數(shù)據(jù)庫，防止非法訪問主機用戶和密碼列表，將密碼副本存儲在有限訪問的安全位置?？刂聘闹髅艽a的權(quán)限，防止主密碼泄露造成密碼管理的失效。控制密碼的長度、強度和復(fù)雜性，確保密碼有足夠的安全性。

2.4 移動存儲介質(zhì)的訪問控制

對DCS系統(tǒng)主機的物理接口進行限制，可以采用USB端口設(shè)備綁定的方式。同時，部署文件拷貝中轉(zhuǎn)設(shè)備，對存儲介質(zhì)進行病毒和木馬的查殺，并禁用未使用的網(wǎng)絡(luò)端口、協(xié)議端口以及USB接口。當有設(shè)備通過備用網(wǎng)絡(luò)端口接入時，DCS系統(tǒng)將拒絕并報警，只有經(jīng)授權(quán)允許或硬件組態(tài)后才允許新設(shè)備的接入。

2.5 入侵防御

在DCS系統(tǒng)合適位置部署入侵檢測系統(tǒng)，監(jiān)視網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)行為，包括端口掃描攻擊、暴露攻擊、木馬后門攻擊、DoS攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲等，并在檢測到攻擊行為時記錄攻擊源IP、攻擊類型、攻擊目標和攻擊時間，提供實時報警。同時，應(yīng)確保入侵檢測系統(tǒng)不影響DCS系統(tǒng)的正常運行。

2.6 審計日志

對DCS網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量等進行審計，審計日志應(yīng)包括日期和時間、類型、主體標識、客體標識等。對工程師站、操作員站、服務(wù)器、數(shù)據(jù)庫等重要系統(tǒng)的用戶操作，以及組態(tài)軟件、編程軟件、監(jiān)控軟件、數(shù)據(jù)服務(wù)和通信軟件等的運行事件等進行安全審計，如用戶登錄事件、組態(tài)事件、編程事件、程序的上傳下載事件、控制操作事件、系統(tǒng)進程事件、客戶端請求事件、數(shù)據(jù)傳輸事件、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等，并生成審計日志。系統(tǒng)結(jié)合黑白名單技術(shù)，對系統(tǒng)內(nèi)運行的模塊/程序進行識別和監(jiān)控，杜絕未經(jīng)識別的模塊/程序的運行。

審計日志記錄存儲設(shè)備配置為“僅可讀”，防止對存儲設(shè)備記錄的更改。同時，應(yīng)合理分配審計記錄存儲容量，定期備份，防止存儲超過容量上限，在審計存儲容量即將達到上限時，系統(tǒng)應(yīng)提供報警或信息指示。審計記錄的時間標簽由系統(tǒng)唯一確定的時鐘源確定，確保審計分析的正確性。DCS系統(tǒng)應(yīng)保護審計進程，防止未經(jīng)授權(quán)的中斷。

2.7 數(shù)據(jù)備份與恢復(fù)

DCS系統(tǒng)具備定期對歷史數(shù)據(jù)、系統(tǒng)組態(tài)文件進行備份的能力。系統(tǒng)應(yīng)具備檢測備份介質(zhì)有效性的能力，確保在預(yù)期的恢復(fù)時間內(nèi)可以完成備份的恢復(fù)。

3 結(jié)論

信息安全問題貫穿DCS系統(tǒng)的整個生命周期，同時信息安全問題需要采用技術(shù)手段與管理手段解決。本文針對造成信息安全危險的四種行為，探究了幾種核電廠DCS系統(tǒng)信息安全防護的方法，目的是在DCS系統(tǒng)設(shè)計的過程中保證系統(tǒng)的完整性、可用性、機密性、認證性和可追究性，將由信息安全事件導(dǎo)致的事故危害降到最低。

參考文獻：

[1]Charles?P?Pfleeger，Shari?Lawrence?Pfleeger，Jonathan?Margulies.Principles?and?Technology?of?Information?Security[M].?Beijing：Electronic?Industry?Press，2016.

[2]國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全?集散控制系統(tǒng)（DCS）?第1部分：防護要求：GB/T?33009.1—2016[S].北京：中國標準出版社，2016.

[3]USA?Nuclear?Regulatory?Commission.Cyber?Security?Programs?For?Nuclear?Facilities：RG5.71—2010[S].Rockville：USA?Nuclear?Regulatory?Commission，2010.