“华龙一号”核电厂DCS系统信息安全研究

(中国核电工程有限公司,北京 100840)

随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及工业互联网的快速发展,工控系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与公共网络连接,病毒、木马等威胁正在向工控系统扩散,工控系统信息安全问题日益突出。

本文首先分析国内外主要核电相关法规标准的总体要求,介绍了不同标准对信息安全分区的划分方法。然后,介绍了核电厂仪控系统的主要信息安全威胁,最后阐述了福清核电站安全级DCS系统在信息安全方面的技术防范措施和工控领域主要的防护措施。

1 国内外法规标准

1.1 美国标准

美国核电厂在信息安全方面法规导则有：法规10 CFR 73.54,导则RG 5.71和RG1.152等。

(1)法规10 CFR 73.54规定了设计基准威胁中信息安全需要保护的关键资产范围,网络安全大纲的目的和内容,网络安全计划的内容以及文档记录和审查要求:

1)信息安全保护的数字计算机,通信系统和网络系统包括：安全相关和安全重要功能;信息安全功能;应急响应功能(包括厂外通信);影响上述功能的支持系统和设备。

2)网络安全大纲的目的和内容包括：避免资产遭受网络攻击;应用和维持纵深防御策略,确保探测,响应网络攻击和从网络攻击中恢复的能力;减轻网络攻击的影响;确保被保护的资产功能不会因网络攻击受到影响。

3)网络安全计划：应考虑电站实际运行状况;维持探测和响应网络攻击的能力;减轻网络攻击的后果;纠正已被利用的网络安全漏洞;恢复受网络攻击影响的系统,网络和/或设备。

(2)RG 5.71明确了网络安全大纲的建立,实施,维护和文档记录的具体要求,从技术安全管理,操作和管理安全控制方面提出了具体可实施的防范措施。其主要是核设施的持证人对I&C系统信息安全进行监督评估和采取控制措施的指导性规范。其中的具体措施和方法明确,在实际运用中的可操作性比较强[1]:

1)建立和实施网络安全大纲：分析数字式计算机、通信系统和网络;对关键数字资产进行识别;部署防御性架构;解除关键数字资产潜在网络风险;实施安全生命收起活动,维护网络安全大纲。

2)维护网络安全大纲：信息安全生命周期包括连续监测和评估,配置管理,管理更换,变化与环境的安全影响分析,有效性分析,持续评估信息安全控制和安全大纲的有效性;漏洞扫描/评估;变更控制;安全方案审查。

3)记录的保存和处理：必须保留满足本条规定所需的所有记录和支持技术文件,直到委员会终止这些记录所对应的许可证为止。此外,除非委员会另有规定,持证人必须在记录被取代后至少3年内保留这些记录的替代部分。

4)技术安全管理：访问控制;审计和责任;关键数字资产和通信保护;识别和认证;系统加固。

5)操作和管理安全控制：存储介质保护;人事安全;系统和信息完整性;维护;物理和环境防护;防御策略;事件响应;应急计划/安全,安全和应急准备功能的连续性;安全意识和培训,配置管理,系统和服务的采购,安全评估与风险管理。

(3)RG1.152采用数字安全系统全生命周期阶段作为框架,分别从概念、需求、设计、实施、测试、安装、检查和验收测试、运行、维护和退役几个阶段对信息安全的要求进行了规范[2]。

1.2 国际电工委员会标准

(1)IEC 62443 工业过程测量、控制和自动化、网络与系统信息安全标准,共分为通用、信息安全过程、系统技术和部件技术4个部分：

1)第1部分描述了信息安全的通用方面(术语、概念和模型,缩略语,信息安全符合性度量)。

2)第2部分描述了信息安全程序的管理,建立和运行。

3)第3部分描述了系统集成商的信息安全技术,保障等级。

4)第4部分描述了对部件制造商开发的信息安全技术要求，包括软件、硬件和信息部分。

(2)IEC 62645应用对象是核电厂数字化仪控系统(I&C CB&HPD系统),包括基于计算机的系统和基于硬件语言的系统。主要针对I&C CB&HPD系统开发和管理中需要遵守的概述性要求,偏于总体需求，具体要求细节将在细化的标准中体现。本标准适用于针对网络的恶意攻击的响应,不包括非恶意的行为和事件,如设备失效,人因失误和自然事件[3]。主要内容包括[3]：

1)建立和管理网络安全程序。

2)信息安全等级S1,S2和S3的划分原则,以及不同信息安全等级的通用技术要求。

3)I&C CB&HPD系统在开发,设计,实施,验证,安装,操作和退役等各阶段的信息安全需求。

4)信息安全的控制措施。

1.3 国内信息安全相关法规标准文件

国内方面,核电厂数字化仪控系统的信息安全问题已经逐步得到了核电监管、设计、制造、运营各方的重视。但由于国内目前核电行业仪控系统信息安全实践起步较晚,缺乏足够的经验积累,相关的法规标准也尚未完善并形成统一体系,在具体的项目实施中只能根据参与者的经验知识,参考国外标准的要求,借鉴工控领域的实施情况开展工作。因此针对核电数字化仪控信息安全问题应该采取的技术和管理方法、评价体系等还未形成一致的共识,如何才能真正实现信息安全,缺乏一个广泛认可和接受的衡量标准。目前已发布的电力行业和核电专业标准和法规文件有：

1)国家发改委第14号令《电力监控系统安全防护规定》,提出了电力行业信息安全等级保护“安全分区,网络专用,横向隔离、纵向认证”的总体原则,以及技术,安全,保密管理等总体要求。

2)国家能源局国能安全〔2015〕36号文件《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》,明确了核电厂DCS系统的安全保护等级为3级,给出了核电厂DCS系统的总体安全分区和边界的防护要求。

3)国家电力监管委员会电监信息〔2012〕62号文件,印发《电力行业信息系统安全等级保护基本要求》的通知,规定了不同等级安全保护能力的通用要求,基本技术要求和基本管理要求,是对GB/T 22239-2008标准的新增,细化,增强和落实。

4)工信部颁布《工业控制系统信息安全防护指南》,指出工业控制系统应用企业工控安全防护的具体措施。

5)国家标准《工业自动化和控制系统网络安全 集散控制系统(DCS) 防护要求 管理要求 评估指南 风险与脆弱性检测要求》(GB/T 33009.1-4-2016 )规范了DCS系统在网络安全方面的防护要求,管理要求,评估和风险与脆弱性检测要求。

6)核安全法规HAF102《核动力厂设计安全规定》中要求仪控系统需保证安全,但并未给出具体要求和规定。核安全导则HAD102/14《核电厂安全有关仪表和控制系统》,因为发布年限较早并未涉及,仅有的关于计算机的导则是国家核安全局于2004年发布的HAD102/16《核动力厂基于计算机的安全重要系统软件》,涉及软硬件因素的安全性问题,也只是信息安全问题的其中一部分。

综上所述,目前国内还没有核电领域数字化仪控系统信息安全相关的专门法规标准,各方应借鉴国际先进经验,建立健全核电信息安全的法规、标准体系,对核电厂DCS系统的信息安全问题进行规范和约束,尤其是数字化仪控系统更应在设计时就应考虑到信息安全问题[4-6]。

2 DCS系统信息安全分区

2.1 DCS系统的网络结构

核电厂数字化仪控系统(DCS系统)从功能上可以分为4层：

1)0层：工艺系统接口层(传感器和执行机构等现场设备)。

本层是与工艺系统的设备接口层,用于监测工艺参数变化和执行控制系统的指令。

2)1层：过程控制和保护层(逻辑处理)。

本层进行信号和逻辑处理功能,分为安全级系统(TXS)和非安全级系统(SPPA-T2000)。此外,还有部分第三方仪控系统与非安全级DCS系统有通讯接口,主要以网络通讯为主。

3)2层：信息监视和控制层(人机接口)。

人机接口层,操纵员通过人机界面对现场工艺参数变化进行监测和控制。

4)3层：全厂信息管理系统层。

与广域网的接口。

2.2 信息安全分区

信息安全分区是仪控系统信息安全方案的基础,目前在信息安全分区方面没有统一明确的方案。IEC 62645和国家发改委《电力监控系统安全防护规定》分别对安全分区作出了总体要求。

1)IEC 62645给出了核电厂仪控系统信息安全分区的总体原则和基本要求,信息安全分区没有数量的限制,可以是物理分区或逻辑分区。建议将同等或相似安全重要性的功能划分为一个信息安全分区,采取统一的防护措施。同一安全分区的信息安全措施不是必须的,但多个信息安全分区的边界接口需要考虑防护措施。只允许高安全级分区向低安全级的单向通信[3]。标准虽然没有对信息安全分区作出明确的划分要求,但要求分区应与信息安全分级(划分为S1,S2和S3级)统一考虑[3]。

2)根据国家发展和改革委员会令第14号《电力监控系统安全防护规定》的“安全分区、网络专用、横向隔离、纵向认证”的总体要求和国家能源局制定的《电力监控系统安全防护总体方案》的要求,将全厂DCS系统划分为生产控制大区和管理信息大区。0层、1层和2层是核电厂运行的重要环节,并且直接对电厂进行监测和控制,因此划分为生产控制大区,是安全防护的重点与核心。3层由于不参与直接生产,主要功能为检修管理系统和管理信息系统(MIS),因此划分到管理信息大区[4-5]。

3 信息安全威胁

信息安全防护的三大目标是保密性、完整性和可用性。在工控行业信息系统其优先级顺序与IT行业不同,应该首先按照可用性、完整性和保密性的顺序开展防护工作。针对这三大防护目标,工控行业的信息系统面临的主要威胁有：

1)操作系统的安全漏洞,尤其是Windows操作系统,持续发布漏洞补丁且补丁的可靠性未经充分的验证测试。

2)病毒与恶意代码,主要是U盘等移动存储设备的滥用,导致病毒传播。

3)拒绝服务攻击和网络风暴,通过病毒或人为操作,消耗系统资源,导致系统通信中断或控制器死机。

4)黑客入侵与应用软件安全漏洞,该威胁主要是针对开放了远程工控系统的应用,如VPN。

5)高级持续性威胁,该威胁的目的性非常强,攻击目标明确,一般经过有组织有预谋的策划,在检测和控制上难度很大。

6)工控设备的安全威胁,指工控设备的设计缺陷,未考虑授权,验证与访问限制等手段,或者原设计已过时,对新的攻击手段失效。

7)人员管理的威胁,参与工控设备管理和使用人员,有意或无意的行为传播恶意软件,破坏工控系统,如钓鱼攻击,邮件扫描攻击等。

8)工艺数据的安全备份,控制工艺数据,电站管理数据等信息的安全问题。

4 信息安全防护措施

针对信息安全威胁,需要仪控系统设计方,供货商和工控行业的信息安全企业共同努力,制定一套有效的防护措施。针对仪控系统内部的信息安全威胁,供货商应该按照法规标准要求开发仪控系统,合理设计系统结构,对网络通信接口采取防护措施;此外,还要参考工控行业的典型防护措施,结合其他行业的攻击案例,对核电厂DCS系统增加必要的防护。

由于信息安全事故在工控行业的频繁发生,工控企业对信息安全的重视程度越来越大,投入的成本也越来越高,这也促进了信息安全企业的发展。

针对上述威胁,工控安全企业也开展了积极的探索,目前在工控领域的主要信息安全措施有：

1)操作系统补丁配置管理。

2)在主机和服务器上部署安全防护软件。

3)建立访问登录系统,避免使用默认口令或弱口令,定期更新口令。

4)在系统分区的边界处部署工业安全网关。

5)规范移动介质的使用,避免不安全移动介质引入威胁。

6)在交换机处部署安全审计措施,对流量进行监视,同时发往安全运营中心进行分析。

7)在网络入口处部署防火墙,进行网络隔离。

8)搭建综合运营管理系统,对安全网关和主机防护软件等安全防护设备进行统一管理。

9)数据备份和恢复。

由于核电DCS系统的复杂程度更高,其运行安全性要求也更高。上述措施在核电厂仪控系统上的使用需要更加谨慎,相应的措施必须经过严格验证,确保对已有的DCS系统不会产生负面影响,以免对既有的生产工艺产生影响。因此,在核电厂仪控系统信息安全实施措施上还需要进一步分析论证。

5 总 结

核电厂的安全性一直是公众关注的重点,信息安全已经成为核电厂整体安全性能的重要组成部分。核电厂在设计之初,已经贯彻了纵深防御的设计理念,在核电厂仪控系统的网络结构,访问控制,使用权限和实体保护等方面都不同程度上体现了信息安全的防范措施。但随着工控领域通用协议和通用软硬件在核电领域的普及应用,信息安全问题仍然存在,尤其是黑客技术的迅速发展,致使有目的有预谋的攻击防护难度越来越大。

核电厂数字化仪控系统的信息安全活动贯穿其生命周期中设计、开发、制造、安装、运行、维护直至退役的各个阶段。以往相对安全的网络技术,如不采用先进技术及时进行查漏补缺,还是会暴露信息安全风险。仪控系统设计方,DCS供货商和工控信息安全企业应该同策同力,结合核电厂的安全特殊性和仪控系统的复杂性,共同制定适合核电厂仪控系统且切实可行的信息安全标准和防范措施。