“華龍一號”核電廠DCS系統信息安全研究

(中國核電工程有限公司,北京 100840)

隨著計算機和網絡技術的發展,特別是信息化與工業化深度融合以及工業互聯網的快速發展,工控系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與公共網絡連接,病毒、木馬等威脅正在向工控系統擴散,工控系統信息安全問題日益突出。

本文首先分析國內外主要核電相關法規標準的總體要求,介紹了不同標準對信息安全分區的劃分方法。然后,介紹了核電廠儀控系統的主要信息安全威脅,最后闡述了福清核電站安全級DCS系統在信息安全方面的技術防范措施和工控領域主要的防護措施。

1 國內外法規標準

1.1 美國標準

美國核電廠在信息安全方面法規導則有：法規10 CFR 73.54,導則RG 5.71和RG1.152等。

(1)法規10 CFR 73.54規定了設計基準威脅中信息安全需要保護的關鍵資產范圍,網絡安全大綱的目的和內容,網絡安全計劃的內容以及文檔記錄和審查要求:

1)信息安全保護的數字計算機,通信系統和網絡系統包括：安全相關和安全重要功能;信息安全功能;應急響應功能(包括廠外通信);影響上述功能的支持系統和設備。

2)網絡安全大綱的目的和內容包括：避免資產遭受網絡攻擊;應用和維持縱深防御策略,確保探測,響應網絡攻擊和從網絡攻擊中恢復的能力;減輕網絡攻擊的影響;確保被保護的資產功能不會因網絡攻擊受到影響。

3)網絡安全計劃：應考慮電站實際運行狀況;維持探測和響應網絡攻擊的能力;減輕網絡攻擊的后果;糾正已被利用的網絡安全漏洞;恢復受網絡攻擊影響的系統,網絡和/或設備。

(2)RG 5.71明確了網絡安全大綱的建立,實施,維護和文檔記錄的具體要求,從技術安全管理,操作和管理安全控制方面提出了具體可實施的防范措施。其主要是核設施的持證人對I&C系統信息安全進行監督評估和采取控制措施的指導性規范。其中的具體措施和方法明確,在實際運用中的可操作性比較強[1]:

1)建立和實施網絡安全大綱：分析數字式計算機、通信系統和網絡;對關鍵數字資產進行識別;部署防御性架構;解除關鍵數字資產潛在網絡風險;實施安全生命收起活動,維護網絡安全大綱。

2)維護網絡安全大綱：信息安全生命周期包括連續監測和評估,配置管理,管理更換,變化與環境的安全影響分析,有效性分析,持續評估信息安全控制和安全大綱的有效性;漏洞掃描/評估;變更控制;安全方案審查。

3)記錄的保存和處理：必須保留滿足本條規定所需的所有記錄和支持技術文件,直到委員會終止這些記錄所對應的許可證為止。此外,除非委員會另有規定,持證人必須在記錄被取代后至少3年內保留這些記錄的替代部分。

4)技術安全管理：訪問控制;審計和責任;關鍵數字資產和通信保護;識別和認證;系統加固。

5)操作和管理安全控制：存儲介質保護;人事安全;系統和信息完整性;維護;物理和環境防護;防御策略;事件響應;應急計劃/安全,安全和應急準備功能的連續性;安全意識和培訓,配置管理,系統和服務的采購,安全評估與風險管理。

(3)RG1.152采用數字安全系統全生命周期階段作為框架,分別從概念、需求、設計、實施、測試、安裝、檢查和驗收測試、運行、維護和退役幾個階段對信息安全的要求進行了規范[2]。

1.2 國際電工委員會標準

(1)IEC 62443 工業過程測量、控制和自動化、網絡與系統信息安全標準,共分為通用、信息安全過程、系統技術和部件技術4個部分：

1)第1部分描述了信息安全的通用方面(術語、概念和模型,縮略語,信息安全符合性度量)。

2)第2部分描述了信息安全程序的管理,建立和運行。

3)第3部分描述了系統集成商的信息安全技術,保障等級。

4)第4部分描述了對部件制造商開發的信息安全技術要求，包括軟件、硬件和信息部分。

(2)IEC 62645應用對象是核電廠數字化儀控系統(I&C CB&HPD系統),包括基于計算機的系統和基于硬件語言的系統。主要針對I&C CB&HPD系統開發和管理中需要遵守的概述性要求,偏于總體需求，具體要求細節將在細化的標準中體現。本標準適用于針對網絡的惡意攻擊的響應,不包括非惡意的行為和事件,如設備失效,人因失誤和自然事件[3]。主要內容包括[3]：

1)建立和管理網絡安全程序。

2)信息安全等級S1,S2和S3的劃分原則,以及不同信息安全等級的通用技術要求。

3)I&C CB&HPD系統在開發,設計,實施,驗證,安裝,操作和退役等各階段的信息安全需求。

4)信息安全的控制措施。

1.3 國內信息安全相關法規標準文件

國內方面,核電廠數字化儀控系統的信息安全問題已經逐步得到了核電監管、設計、制造、運營各方的重視。但由于國內目前核電行業儀控系統信息安全實踐起步較晚,缺乏足夠的經驗積累,相關的法規標準也尚未完善并形成統一體系,在具體的項目實施中只能根據參與者的經驗知識,參考國外標準的要求,借鑒工控領域的實施情況開展工作。因此針對核電數字化儀控信息安全問題應該采取的技術和管理方法、評價體系等還未形成一致的共識,如何才能真正實現信息安全,缺乏一個廣泛認可和接受的衡量標準。目前已發布的電力行業和核電專業標準和法規文件有：

1)國家發改委第14號令《電力監控系統安全防護規定》,提出了電力行業信息安全等級保護“安全分區,網絡專用,橫向隔離、縱向認證”的總體原則,以及技術,安全,保密管理等總體要求。

2)國家能源局國能安全〔2015〕36號文件《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》,明確了核電廠DCS系統的安全保護等級為3級,給出了核電廠DCS系統的總體安全分區和邊界的防護要求。

3)國家電力監管委員會電監信息〔2012〕62號文件,印發《電力行業信息系統安全等級保護基本要求》的通知,規定了不同等級安全保護能力的通用要求,基本技術要求和基本管理要求,是對GB/T 22239-2008標準的新增,細化,增強和落實。

4)工信部頒布《工業控制系統信息安全防護指南》,指出工業控制系統應用企業工控安全防護的具體措施。

5)國家標準《工業自動化和控制系統網絡安全 集散控制系統(DCS) 防護要求 管理要求 評估指南 風險與脆弱性檢測要求》(GB/T 33009.1-4-2016 )規范了DCS系統在網絡安全方面的防護要求,管理要求,評估和風險與脆弱性檢測要求。

6)核安全法規HAF102《核動力廠設計安全規定》中要求儀控系統需保證安全,但并未給出具體要求和規定。核安全導則HAD102/14《核電廠安全有關儀表和控制系統》,因為發布年限較早并未涉及,僅有的關于計算機的導則是國家核安全局于2004年發布的HAD102/16《核動力廠基于計算機的安全重要系統軟件》,涉及軟硬件因素的安全性問題,也只是信息安全問題的其中一部分。

綜上所述,目前國內還沒有核電領域數字化儀控系統信息安全相關的專門法規標準,各方應借鑒國際先進經驗,建立健全核電信息安全的法規、標準體系,對核電廠DCS系統的信息安全問題進行規范和約束,尤其是數字化儀控系統更應在設計時就應考慮到信息安全問題[4-6]。

2 DCS系統信息安全分區

2.1 DCS系統的網絡結構

核電廠數字化儀控系統(DCS系統)從功能上可以分為4層：

1)0層：工藝系統接口層(傳感器和執行機構等現場設備)。

本層是與工藝系統的設備接口層,用于監測工藝參數變化和執行控制系統的指令。

2)1層：過程控制和保護層(邏輯處理)。

本層進行信號和邏輯處理功能,分為安全級系統(TXS)和非安全級系統(SPPA-T2000)。此外,還有部分第三方儀控系統與非安全級DCS系統有通訊接口,主要以網絡通訊為主。

3)2層：信息監視和控制層(人機接口)。

人機接口層,操縱員通過人機界面對現場工藝參數變化進行監測和控制。

4)3層：全廠信息管理系統層。

與廣域網的接口。

2.2 信息安全分區

信息安全分區是儀控系統信息安全方案的基礎,目前在信息安全分區方面沒有統一明確的方案。IEC 62645和國家發改委《電力監控系統安全防護規定》分別對安全分區作出了總體要求。

1)IEC 62645給出了核電廠儀控系統信息安全分區的總體原則和基本要求,信息安全分區沒有數量的限制,可以是物理分區或邏輯分區。建議將同等或相似安全重要性的功能劃分為一個信息安全分區,采取統一的防護措施。同一安全分區的信息安全措施不是必須的,但多個信息安全分區的邊界接口需要考慮防護措施。只允許高安全級分區向低安全級的單向通信[3]。標準雖然沒有對信息安全分區作出明確的劃分要求,但要求分區應與信息安全分級(劃分為S1,S2和S3級)統一考慮[3]。

2)根據國家發展和改革委員會令第14號《電力監控系統安全防護規定》的“安全分區、網絡專用、橫向隔離、縱向認證”的總體要求和國家能源局制定的《電力監控系統安全防護總體方案》的要求,將全廠DCS系統劃分為生產控制大區和管理信息大區。0層、1層和2層是核電廠運行的重要環節,并且直接對電廠進行監測和控制,因此劃分為生產控制大區,是安全防護的重點與核心。3層由于不參與直接生產,主要功能為檢修管理系統和管理信息系統(MIS),因此劃分到管理信息大區[4-5]。

3 信息安全威脅

信息安全防護的三大目標是保密性、完整性和可用性。在工控行業信息系統其優先級順序與IT行業不同,應該首先按照可用性、完整性和保密性的順序開展防護工作。針對這三大防護目標,工控行業的信息系統面臨的主要威脅有：

1)操作系統的安全漏洞,尤其是Windows操作系統,持續發布漏洞補丁且補丁的可靠性未經充分的驗證測試。

2)病毒與惡意代碼,主要是U盤等移動存儲設備的濫用,導致病毒傳播。

3)拒絕服務攻擊和網絡風暴,通過病毒或人為操作,消耗系統資源,導致系統通信中斷或控制器死機。

4)黑客入侵與應用軟件安全漏洞,該威脅主要是針對開放了遠程工控系統的應用,如VPN。

5)高級持續性威脅,該威脅的目的性非常強,攻擊目標明確,一般經過有組織有預謀的策劃,在檢測和控制上難度很大。

6)工控設備的安全威脅,指工控設備的設計缺陷,未考慮授權,驗證與訪問限制等手段,或者原設計已過時,對新的攻擊手段失效。

7)人員管理的威脅,參與工控設備管理和使用人員,有意或無意的行為傳播惡意軟件,破壞工控系統,如釣魚攻擊,郵件掃描攻擊等。

8)工藝數據的安全備份,控制工藝數據,電站管理數據等信息的安全問題。

4 信息安全防護措施

針對信息安全威脅,需要儀控系統設計方,供貨商和工控行業的信息安全企業共同努力,制定一套有效的防護措施。針對儀控系統內部的信息安全威脅,供貨商應該按照法規標準要求開發儀控系統,合理設計系統結構,對網絡通信接口采取防護措施;此外,還要參考工控行業的典型防護措施,結合其他行業的攻擊案例,對核電廠DCS系統增加必要的防護。

由于信息安全事故在工控行業的頻繁發生,工控企業對信息安全的重視程度越來越大,投入的成本也越來越高,這也促進了信息安全企業的發展。

針對上述威脅,工控安全企業也開展了積極的探索,目前在工控領域的主要信息安全措施有：

1)操作系統補丁配置管理。

2)在主機和服務器上部署安全防護軟件。

3)建立訪問登錄系統,避免使用默認口令或弱口令,定期更新口令。

4)在系統分區的邊界處部署工業安全網關。

5)規范移動介質的使用,避免不安全移動介質引入威脅。

6)在交換機處部署安全審計措施,對流量進行監視,同時發往安全運營中心進行分析。

7)在網絡入口處部署防火墻,進行網絡隔離。

8)搭建綜合運營管理系統,對安全網關和主機防護軟件等安全防護設備進行統一管理。

9)數據備份和恢復。

由于核電DCS系統的復雜程度更高,其運行安全性要求也更高。上述措施在核電廠儀控系統上的使用需要更加謹慎,相應的措施必須經過嚴格驗證,確保對已有的DCS系統不會產生負面影響,以免對既有的生產工藝產生影響。因此,在核電廠儀控系統信息安全實施措施上還需要進一步分析論證。

5 總 結

核電廠的安全性一直是公眾關注的重點,信息安全已經成為核電廠整體安全性能的重要組成部分。核電廠在設計之初,已經貫徹了縱深防御的設計理念,在核電廠儀控系統的網絡結構,訪問控制,使用權限和實體保護等方面都不同程度上體現了信息安全的防范措施。但隨著工控領域通用協議和通用軟硬件在核電領域的普及應用,信息安全問題仍然存在,尤其是黑客技術的迅速發展,致使有目的有預謀的攻擊防護難度越來越大。

核電廠數字化儀控系統的信息安全活動貫穿其生命周期中設計、開發、制造、安裝、運行、維護直至退役的各個階段。以往相對安全的網絡技術,如不采用先進技術及時進行查漏補缺,還是會暴露信息安全風險。儀控系統設計方,DCS供貨商和工控信息安全企業應該同策同力,結合核電廠的安全特殊性和儀控系統的復雜性,共同制定適合核電廠儀控系統且切實可行的信息安全標準和防范措施。