核電廠DCS系統研發過程中的信息安全保護

肖安洪，楊大為，曾 輝，張 娜，劉玲霜，周俊燚，郭 文

(中國核動力研究設計院核反應堆系統設計技術重點實驗室，四川 成都 610213)

1 核電廠DCS系統信息安全保護的背景和必要性

核電廠儀控系統(DCS)是一個通用的、用于核電廠安全控制保護的系統，可應用于不同類型核反應堆的安全級儀控系統，包括緊急停堆系統(RTS)、專設安全設施驅動系統(ESFAS)、事故后監測系統(PAMS)等。DCS系統如同核電廠的“大腦神經中樞”，在電廠的信息采集、傳遞與控制的過程中起到非常重要的作用。如今隨著計算機技術的應用，逐漸實現了模擬組件被可編程、建立在離散邏輯基礎上的數字化系統所取代，因此數字化儀控成為當前儀控領域的發展熱點。

主流儀控系統在享受數字化帶來的功能和性能上飛躍的同時，也因為數字化引入了一個新的問題——信息安全。儀控系統作為核電廠的“大腦神經中樞”，時刻監視著核電廠、核反應堆的各種儀表狀態，收集這些狀態信息實時反映給核電廠工作人員，并在各類狀態數值超出安全范圍時自動啟用停堆系統、反應堆冷卻系統等安全設施，消除危險狀態，保障核電廠安全運行。因核電廠的特殊性，一旦儀控系統中的硬件或軟件在運行中發生故障，導致核電廠的安全保護系統失效，將可能引起重大的安全事故，造成巨大的人身傷亡和財產損失，甚至威脅國家安全。數字化儀控系統的安全控制功能更多的是以軟件編程方式實現，其運行過程中必然存在信息交互和傳遞，所以儀控系統的故障失效，一方面可能是因為在系統開發過程中遺留下的程序缺陷所致；另一方面也可能是因為外部的惡意程序“病毒”進入系統后故意為之。顯然，后者具有更強的隱蔽性和破壞性。

曾在2010年鬧得沸沸揚揚的伊朗“震網”事件便是一個典型例子。一種名為“震網”的病毒通過U盤和局域網的傳播，侵入了西門子公司為伊朗布什爾核電站設計的工業控制軟件系統，并奪取了一系列核心生產設施的控制權。當核電站的儀控系統被“震網”感染后，它首先會篡改監控的狀態信息，讓監控人員和操作人員看到的始終是正常狀態，然后控制離心機不斷加速，最終導致其因高溫而損毀。該病毒在2009年底到2010年初這段時間給伊朗布什爾核電站造成嚴重影響，約1/5的離心機因此報廢，并導致放射性物質泄漏。這次事故不僅是給伊朗核電站帶來了重大的人身傷亡和財產損失，更是給伊朗的國家戰略造成了致命打擊，而“震網”病毒的源頭則很可能是由美國和以色列制作，作為專門針對伊朗的新一代網絡武器，藏身于伊朗為建造核電站而從國外購入的設備中，最終進入到核電廠的儀控系統。由此可見，核電廠儀控系統的信息安全直接關系到國家的核心利益，保護儀控系統的信息安全已經成為數字化核電儀控系統研發中一個至關重要的環節[1]。

2 核電廠儀控系統信息安全保護的法規標準要求

針對核電站儀控系統數字化的趨勢和信息安全保護的重要性，國家出具了一批專門適用于核電廠安全設備在研發生產過程中需要滿足的安全標準和導則。這些標準和導則對DCS系統研發全流程的各個方面提出了關于安全性的要求，其中對于軟件研發的信息安全保護，主要規定了安全防范分析、安全防范設計、用戶訪問和開發階段的安全防范4個方面的內容。目前比較常用的關于核電廠儀控系統設備的安全類法規、導則和標準有：

1)HAF 102—2004，核動力廠設計安全規定；

2)HAD 102_16—2004，核動力廠基于計算機的安全重要系統軟件；

3)NB-T 20054—2011，核電廠安全重要儀表和控制系統執行A類功能的計算機軟件；

4)NB-T 20026—2010，核電廠安全重要儀表和控制系統總體要求。

按照標準要求，信息安全保護的總體目標是保護軟件和數據不被未授權的人員和系統讀取或修改，不能拒絕授權人員和系統的訪問。軟件的使用引起了某些潛在的對信息安全的威脅，主要的對策通常在系統層級考慮，如物理隔絕保護措施等。對軟件提出信息安全保護要求有助于減少軟件的薄弱環節，且能夠支持系統層級的保護措施。

為解決核電數字儀控系統的信息安全隱患，在系統的設計開發中必須采取分層次的縱深防御策略，從而使管理者能夠在每個層次監視系統。核電數字儀控系統信息安全保護應關注如下幾個方面：確保軟件開發環境的純凈；用戶訪問的安全性；文件和數據的完整性、保密性；嚴格的配置管理和變更控制策略；控制系統網絡設備和使用者的驗證、認證。

系統層級的核電儀控系統信息安全防御策略應從減少儀控系統網絡易受攻擊的接口面開始。第一階段是建立具體的控制系統安全規則，這些規則詳細描述哪些設備、協議和應用可以在控制系統上運行；誰有訪問這些設備的權限，且從哪里訪問是合乎規定的；不同權限的使用者可以被允許執行哪些操作。第二階段是劃分確定適當的區域實施以上規則，可通過在已有的控制系統的設備上或添加的新設備上進行適當的配置來實現。第三階段是監控規則的實施，定位違規的區域且反饋給規則的制定者，以此來確保規則的有效性。信息安全是一個連續的過程，因此需要連續的監控和調整。可用于確保核電數字儀控系統信息安全的技術措施有：

1)識別安全隱患。系統研發團隊首先應識別軟件研發環境中可能存在的安全隱患，特別是在不斷推進的開發進程中可能引入新問題的接口或操作，應制定相應的規則予以防范。

2)分析網絡。為制定綜合性的開發環境信息安全保護規則，網絡管理者需要能夠對所有子網執行信息分析的工具，通常選擇被動掃描和辨識工具。

3)創建網絡和配置管理規則。一旦辨識了設備、網絡、應用和使用者，則可以制定相應的信息安全規則來保護開發環境網絡和配置管理庫。

4)創建嚴謹防御邊界。在某些情況下，需要從企業網或因特網訪問控制系統，因此需要創建嚴謹的信息安全防御邊界。邊界防火墻必須創建至少3個安全區域——控制系統網絡組件信息安全區、隔離區、不可靠區。

5)確保身份管理和防止設備欺詐。儀控系統的入侵多是由于無意或不當操作導致，如員工使用移動存儲設備時引入了蠕蟲或木馬。因此，為確保區域內的信息安全，必須對接入點進行認證和健康檢查。

6)設立安全遠程訪問。為最小化遠程訪問使用不當以及可能帶來的危害，使用者必須被限制，且使用者只能使用特定的經過授權的功能。

7)監控和匯報。一旦定義了訪問規則，防火墻、交換機和入侵檢測設備將執行這些規則，同時作為監控站來記錄任何違反規則的情況。

8)文件防篡改。使用特征碼標注等防篡改措施保存代碼和數據文件，確保已歸入版本管理的文件不被惡意篡改或替換。

9)針對系統軟件，實行安全防范分析和安全防范設計，分析軟件潛在的信息安全威脅，要考慮到系統和軟件安全生命周期相關階段的各個方面，制定信息安全保護計劃。信息安全保護計劃應保證引入的軟件能最大限度地減少系統的薄弱環節。

3 利用信息安全分析手段保障DCS系統的信息安全

在DCS系統的研發過程中，驗證與確認工作貫穿始終，除確保系統軟硬件的功能正確性之外，保障軟件研發過程中的信息安全也是驗證與確認流程中至關重要的一環[2]。利用信息安全分析的技術手段，按照安全類標準和導則的相關要求，從軟件開發環境的保護、項目配置管理、對經過V&V的軟件代碼進行標識、加強調試過程中的代碼修改管理4個方面著手，制定并實施詳盡的信息安全保障措施。

3.1 軟件開發環境的保護

軟件開發環境的安全與所開發DCS系統的信息安全直接相關，DCS系統軟件開發所需使用的每一臺設備都做到了與互聯網物理隔絕，每個開發人員必須使用專有的Key配合密碼口令才能打開和使用開發設備，并且對于Key的保護和密碼口令的更換周期都做了嚴格的規定。同時嚴禁在任何情況下將未經上級審批的移動存儲介質與開發設備相連接，包括但不限于各類手機、U盤、光盤和移動硬盤等，并利用后臺掃描軟件時刻監視記錄每臺開發設備外部接口的連接狀況，從源頭上杜絕了外部惡意軟件和代碼刻意或偶然進入DCS系統軟件的開發環境中。

為便于項目團隊內部的技術交流和文件傳遞，日常工作中的常用主機都與單位的內網連接，該內網同樣通過技術手段與外部互聯網相隔開，并有專業團隊對內網的信息安全狀態作實時而嚴格的管控。即便是在DCS項目團隊內部進行文件或代碼傳遞，也需要在傳遞之前標注文件的密級、傳遞目標和傳遞用途，經過項目上級管理團隊的核查審批后方能從一臺設備傳遞到另一臺設備。除此之外，DCS系統由嵌入式結構設計構成，單板調試環節必不可少。基于內網主機不可與外部設備相聯接的要求，項目團隊配備了專門用于單板調試的單機。這類單機不與任何網絡相聯接，僅用于聯接單板調試。

在開發工具的選擇上，DCS系統的開發人員只能使用經過嚴格審查獲得批準的正版軟件，避免了木馬、蠕蟲等惡意代碼藏身于工具進入軟件開發環境，危及信息安全。

3.2 嚴格的配置管理措施

配置管理是提升項目開發管理效率的必要方法，也是保障系統信息安全的重要手段，嚴格到位的配置管理可以有效地防止已經通過安全驗證的配置項被隨意改動，帶來信息安全隱患。

DCS系統開發項目團隊制定了詳盡的配置管理計劃，并配備有專門的配置管理人員。配置管理人員需要為每一個進入配置管理階段的配置項進行唯一性標識，詳細記錄下標識時的各種狀態屬性信息。此后每一次改動都將更新標識，一旦發生預期之外的改動便可及時發現。

配置管理人員還負責為每一個項目工作人員分配不同的配置管理權限，通常一個開發人員只能對自己承擔開發的那部分軟硬件代碼或設計文件等配置項進行修改和保存。而即便是對自己編寫的代碼配置項進行修改，在登錄修改之前也必須經過組合方式的權限認證，包括但不限于密碼、鑰匙、識別卡、指紋等識別方式。

3.3 利用V&V方法和防篡改手段對軟件代碼進行需求確認和標識

為了避免軟件代碼中留有“后門”等可能造成重大信息安全威脅的漏洞，利用V&V方法對軟件功能與需求的一致性做了非常細致的分析確認。每一個軟件功能需求說明書中羅列出的功能都必須在編寫的代碼中得以正確實現，同樣的，代碼具備的任一功能都必須可以反向追溯到功能需求說明書的描述中，只有這種實現功能與需求說明一一對應的代碼才被認為是有效代碼，才能進入配置管理階段。

盡管嚴格的配置管理措施已經可以在很大程度上保障了軟件配置項的信息安全，但如果有人刻意為之，利用破譯或盜取配置管理權限等方式惡意修改配置項的內容或標識，仍是難以防范。為此利用防篡改技術手段，對經過V&V的軟件代碼采取MD5特征碼等防篡改措施，保證DCS系統采用的軟件代碼與通過驗證的代碼之間的一致性，防止被惡意更改或替換。

任何代碼經過V&V之后，在進入配置管理庫配置標識的同時，還將利用特定的防篡改措施產生一個特征碼。該特征碼是由軟件代碼中的全體字符通過一系列復雜的計算而成，如果有人刻意對配置庫的代碼進行了任意字符的修改，其修改后代碼的特征碼都將不同于原特征碼，使相關人員能夠輕易發現被惡意篡改的代碼和文件，從而保護了DCS系統軟件的信息安全。

3.4 加強調試過程中的代碼修改管理

對于任何規模稍大的軟件開發過程來說，調試修改都是最費時費力的階段。此階段各部分代碼都將被頻繁修改，而任何一次修改都可能給DCS系統的信息安全埋下隱患。同時，開發人員在對代碼進行修改時，很可能因為之前的代碼已經通過了信息安全驗證而放松警惕，因此加強在調試修改過程中的代碼修改管理顯得尤為重要。

短期內大量反復的軟件代碼修改使得單純使用配置管理措施來保障軟件配置項的信息安全變得既繁瑣又效率低下，頻繁的配置管理入庫操作也可能使得配置管理人員發生不可預知的失誤。為此，在DCS系統軟件的調試修改階段，規定了任何開發人員都不得將調試設備中的代碼直接入庫，必須對修改后的代碼執行嚴格V&V流程，確保新代碼在功能上和信息安全性上，既沒有引入新的隱患，也沒有丟失之前正確的部分，才能進入配置管理庫并打上新的標識。這樣既避免了因頻繁修改代碼帶來的配置管理工作量大增的問題，也極大地保障了DCS系統軟件開發在全流程中的信息安全。

4 結束語

在當前信息安全上升到國家安全的形勢下，核電廠DCS系統作為核安全的重要組成部分，不管是其研發過程中還是運行時的信息安全，都得到了越來越多的重視。上述信息安全保護策略在DCS系統軟件開發過程中的制定和嚴格執行，保障了DCS系統研發工作安全高效的持續推進，取得了核電DCS系統研發過程中信息安全“零事故”的成績，為DCS系統能夠成功研制并實現多功能、高性能、高安全性的目標要求起到了堅實的支撐作用。但是這還遠遠不夠，應該按照國家發布的信息安全等級保護要求，結合DCS系統生命周期模型，在不同的階段采取針對性的措施，切實提高信息安全防范技術水平，防范類似“震網”事件在我國的出現，為我國的核安全作出應盡貢獻。