核電廠實物保護系統信息安全技術研究

陳 航，景 弋，沈建宇（上海核工程研究設計院，上海 200233）

?

核電廠實物保護系統信息安全技術研究

陳 航，景 弋，沈建宇
（上海核工程研究設計院，上海 200233）

摘要：在當前日益嚴重的信息安全形勢下，國內外都已認識到工業病毒等的危害，也意識到核電廠信息安全問題的嚴峻。作為保護核電廠設施及核材料安全的實物保護系統，其自身的信息安全更應值得關注。在國內尚未建立完整信息安全標準的情況下，采用何種有效方案來解決信息安全問題逐漸成為業界關注的焦點。本文在工業信息安全技術的基礎上，結合核電廠實物保護系統的網絡體系特點和要求，嘗試建立一套適用于實物保護系統信息安全的方案，以切實保障實物保護系統的信息安全。

關鍵詞：核電廠；實物保護；信息安全；網管平臺

CLC number： TP309 Article character： A Article ID： 1674-1617（2016）01-0020-05

核電廠實物保護系統能防止潛在敵手對核設施進行破壞或非法轉移核材料［1］。它不僅是保證核電廠安全、可靠運行的一個重要系統，也直接牽涉核材料和核設施的安全。當前，國內需要安全高效地發展核電，核電廠的安全性問題更加凸顯出來，對于實物保護系統的要求也越來越高。實物保護系統已經發展成為一套集探測、延遲、響應功能于一體的綜合系統，而各子系統的前端設備、傳輸網絡和控制設備也是集成一體。這樣需要傳輸網絡實現數據傳輸、信息共享和集成監控等功能，并且隨著安保設備的多元化，接入終端的增加，其網絡拓撲的復雜度呈現了幾何式地增長，在大量使用現代信息網絡技術提高系統自動化的同時，也使系統自身的網絡、數據安全威脅不斷增加。作為保證核電廠安全的實物保護系統，其自身的網絡安全也受到了威脅。我國從相關主管部門到行業專業人士也都越來越重視該問題，但是由于起步較晚，目前仍然缺乏相關的行業信息安全標準和成熟技術以供參考。加之日前一種可破壞工業控制系統的“超級工廠病毒”——Stuxnet被截獲，通過它對業界所造成的影響來看，現今病毒和惡意軟件的攻擊目標已經從個人電腦、網民財產、公民隱私等，擴大到涉及國計民生的設施，乃至核電廠等重要的設施。

文章正是基于以上背景，結合核電廠的實際情況，并通過Stuxnet病毒分析核電廠實物保護系統的網絡安全特點，在此基礎上重點研究信息安全技術與實物保護系統的相互結合，希望能夠從實物保護系統的頂層設計開始，將信息安全相關設備、技術和理念融入其中，實現其高安全性和高可靠性。

1 實物保護系統信息安全分析

1.1 實物保護系統網絡拓撲分析

核電廠實物保護系統包含出入口控制系統、周界入侵報警系統、視頻監控系統、安保通訊系統、安保電源及照明系統、巡更系統等多個子系統。各子系統通過松耦合的方式集成于實物保護系統集成管理平臺［2］上，由該平臺進行統一管理和監控。

系統集成平臺采用集散控制原理，網絡構成主要突出了分布式特點，基本拓撲結構主要為2層的樹型結構，易于擴展和分級集中控制。核電廠實物保護系統由于自身的特殊性和高安全保密性，因此對網絡配置要求十分嚴格，其網絡為專用局域網，與其他網絡物理隔離，不允許與非相關局域網互聯。且網絡只能在安保相關區域內設置，只與實物保護系統設備連接。網絡核心節點（交換機）設備考慮冗余設置交換機，且主干網絡考慮鏈路冗余（見圖1）。

實物保護系統的網絡一般配置有核心交換機、多臺接層交換機、防火墻和應用服務器和工作站等。

核心交換機為實現實物保護系統對高網絡帶寬和性能及主節點高可靠性的要求，采用模塊化的3層交換機，并配以冗余的交換機引擎及冗余的交換機電源，提供高可靠性解決方案，并向下連接各臺接入層交換機；防火墻提供外部攻擊防范、內網安全、流量監控、URL過濾、應用層過濾等功能，有效的保證網絡的安全。

雖然實物保護系統的網絡、數據和應用均運行于一套完全與外界隔離的環境中，但是信息安全問題還是必須考慮的，因為攻擊案例已經存在。例如攻擊伊朗核電廠使其癱瘓的Stuxnet病毒，下面將對其進行簡要介紹。

1.2 Stuxnet病毒介紹

Stuxnet病毒被多國安全專家形容為全球首個“超級工廠病毒”。據悉這種病毒已經造成伊朗核電廠推遲發電。這是世界上首個專門針對工業控制系統編寫的破壞性病毒，它同時利用包括MS10-046、MS10-061、MS08-067等7個最新漏洞進行攻擊。這7個漏洞中，有5個是針對操作系統，2個是針對控制系統。該病毒通過偽裝數字簽名，從而順利繞過安全產品的檢測。

該病毒主要通過U盤和局域網進行傳播，由于重要工業控制系統的網絡一般會與外部網絡物理隔絕，因此該病毒特意強化了U盤傳播能力。如果企業沒有嚴格管理U盤等可移動設備，同時也沒有相應的網絡安全措施，一旦有人在控制系統網絡中使用了帶毒U盤，則會使整個控制網絡感染。

圖1 系統基本網絡拓撲圖Fig. 1 The basic network topology architecture

雖然核電廠的網絡是與外界物理隔絕的，但是病毒依然會通過移動設備或是終端接入設備惡意攻擊，此類病毒可能不以獲取信息為目標，但會破壞整個控制系統從而導致工藝系統設備喪失功能，影響整個設施的安全。由此可見，現實中的信息安全已經受到了嚴重的威脅。

1.3 信息安全攻擊手段

根據實物保護系統的網絡隔離、設備種類多、采用網絡傳輸等特點，并結合已有病毒攻擊模式分析可以發現威脅實物保護系統信息安全的主要手段如下。

（1）預置后門：由于實物保護系統對技術要求較高，部分核心設備選擇國外的供貨商，而國外產品有些未經安全審查，存在預先植入軟件后門或無線芯片的可能性，從而對系統實施后門漏洞攻擊等，這也是伊朗核電廠遭遇病毒攻擊的主要原因。

（2）技術分析：通過竊取核心數據（如出入信息、入侵報警信號、視頻流等）進行協議分析，找出實物保護系統中的安全漏洞，并通過實施數據假冒、虛報入侵等方式造成實物保護系統癱瘓。

（3）信息外泄：通過一定的手段，里應外合實施數據偽造、安置后門等攻擊。

通過上述任何一種手段均可以影響或破壞實物保護網絡。

1.4 實物保護各子系統安全風險分析

實物保護系統主要由各子系統以及安保網絡、集成平臺等組成，這些是造成實物保護系統信息安全問題的根源［1］，而各方信息安全問題卻又不盡相同，下面將對各個方面進行詳細分析。

（1）安保專網

結合現有實物保護系統分析，安保網絡可能存在信息安全風險主要有：

● IP網絡需按照信息安全要求進行分區隔離；

● 缺乏一定的網絡設備準入控制措施，需要考慮探測非法接入和網絡行為審計和記錄；

● 缺乏一定的網絡安全防護設備。

（2）集成管理平臺

● 關鍵控制指令缺乏保護；

● 存在未知后門漏洞風險；

● 缺乏數據庫安全機制；

● 管理員口令防護能力還需加強。

（3）出入口控制系統

● 缺乏抵御數據重放攻擊的能力；

● 存在身份信息復制/偽造的可能；

● 控制指令仿冒。

（4）周界入侵報警系統

● 偽造報警信息；

● 存在跳板攻擊風險。

（5）視頻監控系統

● 模擬視頻流竊取、篡改；

● 數字視頻替換接入；

● 遠程非法控制；

● 數據存儲易被篡改。

（6）安保通訊系統

● 破壞通信傳輸；

● 無線通信遠程監聽。

上述信息安全風險可能會給實物保護系統帶來一些無法接受的后果，如單點失效、系統癱瘓、系統濫用、信息竊取、非法控制等，下文將討論應對風險需采取的有效措施，并研究建立一套實物保護系統信息安全防護的設計方案。

2 實物保護系統信息安全設計

信息安全應與實物保護系統的設計原則一致，采用一體化方式進行部署，確保同規劃、同設計、同部署。在實物保護系統設計初期就應將信息安全技術全面融入其中［3］，包括設備、網絡、數據和應用等各方面，如定制高安全級安保設備、網絡防護、數據加密、身份認證、配置網管平臺等。只有從實物保護系統頂層設計開始考慮信息安全，采用軟硬件協作、設備與平臺聯動的方式，才能全面確保實物保護系統的安全性和可靠性。具體來說，在系統硬件方面應配置網絡安全設備；軟件方面可依托集成安保平臺，設置信息安全監控管理模塊，集成實現認證、準入控制、密碼管理、主機監控、安全檢測、安全審計、病毒補丁分發、事件行為分析、應急響應等功能。

2.1 信息安全部署方案

從硬件部署上主要包含3塊內容，首先需為實物保護系統配置網絡安全防護設備，如IPS、防火墻、漏洞掃描、防病毒網關等，并應對系統主要設備進行安全審查或是硬件安全加固，最后是配置用于信息安全監控的應用服務器。

軟件部署主要是為硬件設備提供集成化的信息安全監控和綜合管理平臺，以避免沒有關聯的、隔離的“安全孤島”的情況。因此文章建議為實物保護系統配置一套網絡管理平臺［4］，由該平臺實現對部署在實物保護系統網絡中的各類信息安全設備進行集中監控、統一策略管理、智能審計及多種安全功能模塊之間的互動，從而有效簡化網絡安全管理工作，提升網絡的安全水平和可控性、可管理性。

2.2 融合信息安全的網絡拓撲

結合上述部署方案，對實物保護系統的網絡拓撲相應進行優化，如圖2所示。

該拓撲圖中主要在核心交換機端并聯配置了多種類型的信息安全監控設備，配置了網絡管理平臺服務器，部署了準入控制策略服務器，專門負責控制未經授權各類終端的非法接入。

網絡管理平臺可通過終端代理獲取所有實物保護系統終端以及安全監控設備的數據和報警信息，并通過網管平臺服務器進行統計、分析和審計，實現平臺的統一監管。

2.3 信息安全應對措施

結合軟硬件部署方案，并分析實物保護系統主要安全風險，建議采取的應對措施主要有：

1）實物保護系統網絡分區隔離：在不同的分區之間采用VLAN進行網絡虛擬隔離，通過路由器或3層交換機進行連接。

2）為實物保護系統部署網絡安全管理平臺，提供設備監控、資產管理、病毒管理、補丁分發、事件處理、應急響應、日志審計、報表管理等網絡安全監管功能。

3）網絡設備準入控制：實施網絡設備及網絡接口準入控制并進行安全審計，一旦發現非法設備接入發出實時報警。

4）網絡邊界策略配置：對防火墻、入侵防御設備等網絡邊界防護設備進行安全策略配置。

5）重要指令加密保護：對集成管理平臺的重要控制指令、視頻監控控制指令、出入口控制系統開關門指令、周界入侵報警信號等進行協議加固。

圖2 融合信息安全技術的網絡拓撲圖Fig.2 The network topology architecture integrated with information security technique

6）存儲數據全態加密：對實物保護系統集成平臺的數據庫、視頻監控、門禁、周界入侵報警系統等服務器內存儲的信息進行加密保護。

7）部署高安視頻監控：可部署研制一體化高安全安防視頻監控系統。

8）安保通信傳輸保護：在安保通信系統中使用定制加密的通信終端。

9）基于證書的身份識別：建立設備證書、用戶證書為基礎的認證體系，增強身份識別能力。

3 結束語

核電廠實物保護系統的重要性不言而喻，而隨著系統安保設備的增加，網絡架構的日益復雜，其自身的網絡安全也越來越受到關注。本文通過分析核電廠實物保護系統的網絡體系特點，以現有主流信息安全技術為基礎，從實物保護系統頂層設計開始，全面將信息安全技術融入其中，通過在軟硬件部署、策略配置、安保設備定制、網絡安全綜合管理等多個維度的探討建立了一套適用于核電廠實物保護系統的信息安全解決方案，使得核電廠的實物保護網絡體系更能適應新環境、新技術下的網絡攻防戰，為核電廠的安全穩定運行提供更加安全的保障，同時也為整個核電廠信息安全建立一套網絡中的實物保護系統。

參考文獻：

［1］ 馬亮，榮峰，王建永，等. 核設施實物保護技術探究［J］. 核安全，2013. （MA Liang，RONG Feng，WANG Jian-yong，et al. The Delving of Physical Protection Technology in Nuclear Facility［J］. Nuclear Safety，2013.）

［2］ 唐聯華. 核電站實物保護系統集成模式淺析［J］. 中國核電，2010. （TANG Lian-hua. Study on the Integration Mode of the Physical Protection System of Nuclear Power Plant［J］. China Nuclear Power，2010.）

［3］ 李天目. 信息安全管理標準及綜合應用［J］. 現代管理科學，2006. （LI Tian-mu. Information Security Management Standard and Integrated Modern Management Science［J］，2006.）

［4］ 何為超，李宏，張雯. 網絡安全管理系統的設計與實現［J］. 信息安全與通信保密，2006. （H E Wei-chao，LI Hong，ZHANG Wen. Design and Implementation of Network Security Management System［J］. Information Security and Communications Privacy，2006.）

Study on Information Security Technique for the Physical Protection System of Nuclear Power Plant

CHEN Hang，JING Yi，SHEN Jian-yu
（Shanghai Nuclear Engineering Research Institute， Shanghai 200233， China）

Abstract：In the current increasingly serious situation of information security， both international and domestic industrial hazards such as virus have been seen. Serious information security problems have also been recognized. As to protect the safety of nuclear power plant and nuclear material physical protection system， its information security should draw more attention. Under the condition that there is no complete information security standard established in China，effective means to solve the problem of information security has gradually become the focus of the industry. Therefore， on the basis of industrial information security technique， combining with the characteristics of and requirements for the physical protection system of nuclear power plant， an information security solution for the physical protection system is tried to be established to ensure the information security of the physical protection system.

Key words：nuclear power plant； physical protect system； information security； network management platform

中圖分類號：TP309

文獻標志碼：A

文章編號：1674-1617（2016）01-0020-05

收稿日期：2015-12-20

作者簡介：陳 航（1977—），男，浙江蘭溪人，碩士，高工，現主要從事實物保護系統集成研究及應用。