核電廠信息安全與應(yīng)用

潘玉 王松 程林

摘要：該文介紹了國際、國內(nèi)的信息安全標(biāo)準(zhǔn)，分析了核電工控系統(tǒng)信息安全現(xiàn)狀，總結(jié)出核電工控信息安全防御模型。以具體項目實施為例，詳細(xì)講述了信息安全在項目中的應(yīng)用。并通過深入分析核電工控信息安全面臨的威脅和潛在風(fēng)險。

關(guān)鍵詞：信息安全;核電工控系統(tǒng);縱深防御;病毒攻擊

中圖分類號：TP311 ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）35-0045-03

Information Security and Application of Nuclear Power Plant

PAN Yu， WANG Song， CHENG Lin

（China Nuclear Control System Engineering Co.，Ltd， Beijing 102401， China）

Abstract： This paper introduces the international and domestic information security standards， analyzes the information security status of nuclear power industrial control system， and summarizes the information security defense model of nuclear power industrial control system. Taking the specific project implementation as an example， the application of information security in the project is described in detail. And through in-depth analysis of nuclear power industry control information security threats and potential risks.

Key words： information security; nuclear power industrial control system; defense in depth; virus attack

1 前言

工業(yè)控制系統(tǒng)（Industrial Control Systems， ICS）包括數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等，這些系統(tǒng)廣泛使用了IT設(shè)備，但隨著工控技術(shù)的快速發(fā)展，尤其是IT 技術(shù)的廣泛應(yīng)用，信息化已與工業(yè)化進(jìn)行深度結(jié)合，IT領(lǐng)域流傳已久的病毒和木馬將擴(kuò)散到工業(yè)控制領(lǐng)域，威脅工業(yè)生產(chǎn)的安全，工業(yè)控制系統(tǒng)的信息安全問題應(yīng)引起足夠重視，充分考慮日漸嚴(yán)峻的信息安全問題。近年發(fā)生了一系列工控系統(tǒng)的信息安全事件，比如2010年“震網(wǎng)”（Stuxnet）病毒攻擊伊朗核設(shè)施;“夜龍”（NightDragon）病毒竊取工業(yè)信息，Duqu病毒竊取工業(yè)信息，Nitro病毒竊取工業(yè)信息，以及2012 年的“火焰”（Flame）病毒竊取工業(yè)信息等標(biāo)志性事件，工業(yè)控制系統(tǒng)的信息安全更是得到了世界各國的充分重視。國家信息安全漏洞共享平臺每周都會發(fā)布漏洞周報，毫無疑問，工業(yè)控制系統(tǒng)的信息安全威脅環(huán)境正處于急速變化的階段。而核電站因其自身的特殊性，核電工控系統(tǒng)信息的安全問題更值得關(guān)注。

2 核電信息安全標(biāo)準(zhǔn)

在核領(lǐng)域，“核安全”尤為重要，是重中之重，近年來“工業(yè)化”和“信息化”的兩化融合被相關(guān)行業(yè)廣泛應(yīng)用，核電行業(yè)也參與其中，因此核電控制系統(tǒng)的信息安全問題必須予以足夠重視。

2.1 國際核電工控系統(tǒng)信息安全標(biāo)準(zhǔn)

信息安全標(biāo)準(zhǔn)推出的時間僅有20多年的時間。美國是計算機(jī)技術(shù)的領(lǐng)先者，自然也是信息安全技術(shù)的領(lǐng)先者。其中各個組織的安全標(biāo)準(zhǔn)有：SA IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)、IEEE Std 603-2009核電站安全系統(tǒng)的標(biāo)準(zhǔn)、RG 1.152《核電廠安全系統(tǒng)計算機(jī)使用標(biāo)準(zhǔn)》、聯(lián)邦信息系統(tǒng)和組織的安全控制建議（NISTSP800-53）、核設(shè)施網(wǎng)絡(luò)安全措施（RegulatoryGuide5.71）、工業(yè)控制系統(tǒng)安全指南（NISTSP800-82）等。

2.2 國內(nèi)核電工控系統(tǒng)信息安全標(biāo)準(zhǔn)

我國核電信息安全相關(guān)標(biāo)準(zhǔn)制定較晚，應(yīng)跟隨IT領(lǐng)域或其他工控領(lǐng)域相關(guān)標(biāo)準(zhǔn)盡快制定，為核電工控信息安全設(shè)計提供統(tǒng)一、安全、可靠的標(biāo)準(zhǔn)。其中HAD102-16規(guī)定了核動力廠計算機(jī)系統(tǒng)軟件的安全要求。主要從軟件的需求、設(shè)計、實現(xiàn)及驗證進(jìn)行分析、GB/T 13284.1-2008主要規(guī)定了核電廠安全系統(tǒng)的設(shè)計準(zhǔn)則、安全系統(tǒng)準(zhǔn)則、檢測指令設(shè)備的功能和要求、GB/T 13629-2008是根據(jù)IEEEStd 7-4.3.2-2003《核電廠安全系統(tǒng)中數(shù)字計算機(jī)的使用準(zhǔn)則》的美國標(biāo)準(zhǔn)轉(zhuǎn)化為我國標(biāo)準(zhǔn)。屬于核電廠計算機(jī)系統(tǒng)的一般原則。

3 核電工控系統(tǒng)信息安全防御模型

核電設(shè)施從設(shè)計到實現(xiàn)始終貫徹“多層次縱深防御”策略，在參考國際國內(nèi)核電工控信息安全標(biāo)準(zhǔn)和工業(yè)控制系統(tǒng)信息相關(guān)的安全標(biāo)準(zhǔn)后總結(jié)出核電廠工控系統(tǒng)信息安全縱深防御模型。

3.1 核電廠工藝系統(tǒng)“縱深防御”模型

第一層網(wǎng)絡(luò)用來承載操縱員和執(zhí)行機(jī)構(gòu)的信息傳輸，是重要的信息收集和操作指令下發(fā)中樞。主要包括非安全級DCS和安全級DCS兩部分，應(yīng)以最高的保護(hù)等級進(jìn)行信息安全防護(hù)。

第二層網(wǎng)絡(luò)提供中等級別的保護(hù)，屬于核電廠控制系統(tǒng)的三方系統(tǒng)。主要包括三廢系統(tǒng)、棒控和棒位系統(tǒng)、汽輪機(jī)調(diào)節(jié)和保護(hù)系統(tǒng)、汽輪機(jī)監(jiān)視系統(tǒng)等。

第三層和第四層網(wǎng)絡(luò)分別部署電廠局域網(wǎng)和企業(yè)廣域網(wǎng)，主要包括電廠模擬機(jī)系統(tǒng)、通信、管理信息系統(tǒng)等，可用適當(dāng)?shù)男畔踩Ｗo(hù)來緩解風(fēng)險。

3.2 核電工控系統(tǒng)信息安全策略“縱深防御”模型

通過在外部網(wǎng)絡(luò)和工控網(wǎng)絡(luò)之間建立盡可能多層次的防護(hù)，部署多層次的具有不同針對性的安全措施，保護(hù)關(guān)鍵的核電工控系統(tǒng)自動化控制過程與應(yīng)用的安全。

1） 互聯(lián)網(wǎng)與核電工控系統(tǒng)的訪問安全策略;

2） 核電工控系統(tǒng)網(wǎng)絡(luò)搭建、配置、修改等安全管理策略;

3） 針對安全等級，工藝系統(tǒng)使用網(wǎng)絡(luò)分層的安全架構(gòu);

4） 不同針對安全等級，工藝系統(tǒng)間使用防火墻或不同網(wǎng)絡(luò)協(xié)議進(jìn)行保護(hù);

5） 核電工控系統(tǒng)自身加固，封閉不需要的端口，協(xié)議，服務(wù)等;

6） 針對不同需求，配置不同權(quán)限的用戶賬號;

7） 定期更新操作系統(tǒng)，控制系統(tǒng)，應(yīng)用軟件的補(bǔ)丁;

8） 使用與核電工控系統(tǒng)軟件兼容的反病毒軟件和白名單策略。

4 某核電工控系統(tǒng)信息安全措施介紹

4.1 系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

核電廠一般分為三層網(wǎng)絡(luò)，其中LEVEL1和LEVEL2對應(yīng)工藝系統(tǒng)“縱深防御”模型的一層網(wǎng)絡(luò);LEVEL3對應(yīng)工藝系統(tǒng)“縱深防御”模型的三層和四層網(wǎng)絡(luò);與LEVEL1對接的三方系統(tǒng)對應(yīng)工藝系統(tǒng)“縱深防御”模型的二層網(wǎng)絡(luò)。此種配置滿足信息安全策略“縱深防御”模型的第三條要求。

4.2 用戶權(quán)限

在操作員站系統(tǒng)內(nèi)置了6個操作級別：操縱員級別、瀏覽級別、機(jī)組長/值長級別、安工級別、維護(hù)級別、系統(tǒng)管理級別。

用戶成功登錄后，根據(jù)登錄的用戶的操作級別，系統(tǒng)檢查該用戶是否對各個功能有操作權(quán)限，不可操作的功能將其“菜單條”命令或者“按鈕”命令變灰或操作時給出提示。

4.3 防病毒軟件和白名單策略

在項目上選用與DCS系統(tǒng)同廠商生產(chǎn)的HHiFS-800K工業(yè)防病毒軟件。此軟件摒棄了現(xiàn)有商用防護(hù)軟件黑名單機(jī)制，采樣白名單機(jī)制，從防護(hù)原理上杜絕了實時訪問互聯(lián)網(wǎng)、定期查殺的這兩個不適合核電工控系統(tǒng)的硬傷。白名單內(nèi)的軟件可以使用，白名單之外的軟件會在啟動之前被攔截。

5 核電工控系統(tǒng)面臨的威脅及預(yù)防

5.1 病毒攻擊工控系統(tǒng)方式

以2010年的“震網(wǎng)”（Stuxnet）病毒為例，它是專門針對工業(yè)控制系統(tǒng)編寫的惡意病毒，能夠利用Windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的多個漏洞進(jìn)行攻擊，不再以刺探情報為己任，而是能根據(jù)指令，定向破壞伊朗離心機(jī)等要害目標(biāo)，被一些專家定性為全球首個投入實戰(zhàn)舞臺的“網(wǎng)絡(luò)武器”。

5.2 核電工控系統(tǒng)面臨的威脅

通過分析總結(jié)“震網(wǎng)”（Stuxnet）病毒攻擊方式，進(jìn)一步拓展到整個核電工控系統(tǒng)的薄弱點，對核電工控系統(tǒng)面臨的威脅做了如下總結(jié)。

核電站工控系統(tǒng)中的設(shè)備主要包括：操縱員站、工程師站、歷史站、時間服務(wù)器、數(shù)據(jù)庫服務(wù)器、接口機(jī)、網(wǎng)絡(luò)打印機(jī)、交換機(jī)、網(wǎng)線、控制器、各種類型的I/O卡件、GPS時鐘等。這些設(shè)備加上內(nèi)部安裝的系統(tǒng)軟件和應(yīng)用軟件組成一個大的網(wǎng)絡(luò)系統(tǒng)，它們各自都有自己的信息安全風(fēng)險點。這些設(shè)備可能面臨的威脅有：

u被惡意登錄。比如被破解密碼，敵意的攻擊就可能登錄上去做權(quán)限內(nèi)的任何事情。

u非法接入。如果一個未經(jīng)授權(quán)的上位機(jī)直接接入了系統(tǒng)，也可能造成信息安全事故。

u各種物理接口入侵。這些上位機(jī)一般都有一定的外設(shè)，比如U盤、光盤。如果木馬、病毒、惡意攻擊程序通過U盤、光盤等入侵，可能造成整個系統(tǒng)被感染。

u數(shù)據(jù)破壞。這些上位機(jī)都保存有重要的系統(tǒng)數(shù)據(jù)，一旦這些重要數(shù)據(jù)被惡意程序破壞，也將造成信息安全事故。

u網(wǎng)絡(luò)攻擊。所有這些上位機(jī)都接在同一個網(wǎng)絡(luò)上，一旦網(wǎng)絡(luò)被入侵，則所有的上位機(jī)都將被攻擊，甚至造成整個網(wǎng)絡(luò)癱瘓，系統(tǒng)失效。

u操作系統(tǒng)內(nèi)置攻擊。由于操作系統(tǒng)都是國外采購，有操作系統(tǒng)被內(nèi)置攻擊程序的可能。

u網(wǎng)絡(luò)打印機(jī)、交換機(jī)等屬于網(wǎng)絡(luò)設(shè)備。這些設(shè)備一般都是進(jìn)口，它也可能造成一些網(wǎng)絡(luò)風(fēng)險。

接口機(jī)由于是和外部系統(tǒng)的連接位置，是特別重要的一個信息安全點，其面臨的威脅有：

u數(shù)據(jù)被偽造。接口機(jī)接收的數(shù)據(jù)可能被外部攻擊程序偽造，造成系統(tǒng)內(nèi)部的問題。

u數(shù)據(jù)被破壞。接口機(jī)的數(shù)據(jù)被破壞以后功能喪失。

u網(wǎng)絡(luò)攻擊。接口機(jī)直接和外部接口，易受各類網(wǎng)絡(luò)攻擊。

控制器是最重要的控制設(shè)備，它直接執(zhí)行控制邏輯，輸出命令或者數(shù)據(jù)直接操縱設(shè)備。因此它的安全與可靠性要求是最高的。控制器一般采用嵌入式實時操作系統(tǒng)，比如VxWorks，QNX、Linux、Win CE等，它的主要面臨的威脅有：

u惡意登錄。比如被破解密碼，則控制器的控制權(quán)可能被惡意掌握。

u非法接入。如果一個未經(jīng)授權(quán)的控制器直接接入了系統(tǒng)，也可能造成重大的信息安全事故。

u網(wǎng)絡(luò)攻擊?？刂破魇沁B接在網(wǎng)絡(luò)上的，網(wǎng)絡(luò)攻擊很容易到達(dá)控制器，可以造成信息安全事件。

u操作系統(tǒng)漏洞。操作系統(tǒng)基本上是進(jìn)口的，有些漏洞可以被利用來進(jìn)行攻擊。

u網(wǎng)絡(luò)數(shù)據(jù)被破壞或者偽造。控制器要和其他網(wǎng)絡(luò)設(shè)備交換數(shù)據(jù)，包括重要的實時數(shù)據(jù)與操作命令等。

u非法網(wǎng)絡(luò)連接?？刂破鞯奈锢斫涌诎ňW(wǎng)絡(luò)接口，串行通訊口等。

5.3 預(yù)防措施

針對上述威脅，不但需要技術(shù)方面的防范，同時更需要管理層面的預(yù)防，技術(shù)與管理相輔相成，缺一不可。

u制定安全管理制定，主要包括：門禁管理、人員管理、權(quán)限管理、訪問控制管理、防尾隨管理、安全防護(hù)系統(tǒng)的維護(hù)管理、常規(guī)設(shè)備及各系統(tǒng)的維護(hù)管理、惡意代碼的防護(hù)管理、數(shù)據(jù)及系統(tǒng)的備份管理、用戶口令密鑰及數(shù)字證書的管理、培訓(xùn)管理等。

u按規(guī)定使用外設(shè)。比如使用U盤、光盤、移動硬盤等外設(shè)，避免病毒、木馬、惡意代碼、入侵到核電工控系統(tǒng)內(nèi)。

u按規(guī)定保存或使用數(shù)據(jù)。避免設(shè)計原理、組態(tài)。關(guān)鍵數(shù)據(jù)等信息的泄密、被破解、數(shù)據(jù)被破壞等問題。

u按規(guī)定使用網(wǎng)絡(luò)連接。避免核電工控系統(tǒng)網(wǎng)絡(luò)被惡意接入。

u按規(guī)定升級操作系統(tǒng)、應(yīng)用軟件以及控制系統(tǒng)補(bǔ)丁。避免軟件部分存在漏洞被惡意利用。

6 核電工控系統(tǒng)信息安全潛在風(fēng)險

核電工控系統(tǒng)信息安全涉及多層次，多領(lǐng)域的風(fēng)險，雖然可以通過各種技術(shù)手段和管理手段進(jìn)行預(yù)防，但通過多次發(fā)生的病毒對工控系統(tǒng)進(jìn)行攻擊實例可以確定完全阻止病毒攻擊工控系統(tǒng)是不可能的。即使再完美地預(yù)防也存在核電工控系統(tǒng)信息安全潛在風(fēng)險。

6.1 操作系統(tǒng)的風(fēng)險

微軟將Windows7之后的操作系統(tǒng)，從一個本地操作系統(tǒng)，轉(zhuǎn)變?yōu)樵撇僮飨到y(tǒng)，其所有底層應(yīng)用，都會同步到微軟在美國的服務(wù)器上。因此國家機(jī)關(guān)政府采購中心在2014年招標(biāo)的一批協(xié)議供貨產(chǎn)品中，要求所有計算機(jī)類產(chǎn)品不允許安裝Windows8操作系統(tǒng)。

核電工控系統(tǒng)中的IT設(shè)備出于安全、穩(wěn)定、兼容性等因素考慮，多數(shù)都使用微軟的Windows7和早期的Windows Sever作為操作系統(tǒng)，同時在系統(tǒng)上安裝微軟的office軟件。微軟官方通知，在2017年1月14日停止對Windows7系統(tǒng)提供主流更新，只提供安全補(bǔ)丁，直到2020年1月14日?！罢鹁W(wǎng)”（Stuxnet）病毒就是使用了Windows系統(tǒng)四個零日漏洞進(jìn)行攻擊的，也就是說隨著Windows7停止更新，零日漏洞和其他漏洞將不斷增加，并得不到對應(yīng)的補(bǔ)丁，操作系統(tǒng)的防護(hù)屏障將徹底喪失，病毒將如入無人之境。

6.2 工控系統(tǒng)軟件的風(fēng)險

國內(nèi)核電廠使用的工控系統(tǒng)軟件早期以國外的為主，其中就有西門子的SIMATICWinCC系統(tǒng)，近年來逐步被國內(nèi)系統(tǒng)替代，國產(chǎn)化將是未來趨勢。在有記載的病毒攻擊中并沒有國產(chǎn)工控系統(tǒng)被攻擊的記錄，但這并不能說明國產(chǎn)工控系統(tǒng)就沒有漏洞。隨著國產(chǎn)工控系統(tǒng)在國內(nèi)國際核電廠越來越多地使用，將來一旦黑客或不法分子針對性攻擊，國產(chǎn)工控系統(tǒng)也許將面臨信息安全的風(fēng)險。

6.3 工控系統(tǒng)硬件的風(fēng)險

核電工控系統(tǒng)設(shè)備大量使用國外品牌產(chǎn)品，即使是國內(nèi)品牌在其設(shè)備中也大量使用國外芯片，其中計算機(jī)類產(chǎn)品幾乎全部使用美國的Intel CPU。

在2018年初，Intel CPU被爆出一系列漏洞事件，理論上來說，此次的漏洞幾乎影響所有型號的CPU，一度造成社會恐慌。

自“中興芯片事件”后，國內(nèi)對芯片國產(chǎn)化的呼聲越來越高，從核電信息安全的角度出發(fā)，核電工控系統(tǒng)也需要芯片國產(chǎn)化，避免芯片中有意或無意的漏洞對我國核電工控系統(tǒng)的影響。

7 結(jié)束語

我國的核電站控制系統(tǒng)中軟件系統(tǒng)和硬件設(shè)備大部分掌握在國外廠商手中，其架構(gòu)體系、設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)、運(yùn)維體系等都存在各種不同的信息安全風(fēng)險，對安全生產(chǎn)存在信息安全威脅。一方面需要實現(xiàn)核電工控系統(tǒng)的國產(chǎn)化從根本上改變信息安全不受控的情況，另一方面從底層到上層進(jìn)行層層設(shè)防的“多層次縱深防御”以加強(qiáng)核電信息安全。

探索適合核電工控領(lǐng)域的信息安全措施，樹立正確的核安防理念，建立有中國特色的工控信息安全體系不是一蹴而就的事情，核電工控信息安全之路任重道遠(yuǎn)。

參考文獻(xiàn)：

[1] GB11922-1996.工業(yè)過程控制和測量用電動執(zhí)行機(jī)構(gòu)[S].

[2] 祝榮榮，張士文，殳國華.智能型閥門電動執(zhí)行機(jī)構(gòu)控制器的設(shè)計[J].工業(yè)儀表與自動化裝置，2005（4）：26-28.

[3] 趙晉梅，賈寶鳳，問奴虎.智能電動執(zhí)行器的應(yīng)用[J].中國儀器儀表，2004（6）：37-38.

[4] 史旭明，萬詩新.國內(nèi)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)與現(xiàn)狀分析[J].閥門，2004（6）：4-6.

【通聯(lián)編輯：梁書】