乏燃料后處理廠數字化儀控系統病毒防護研究

劉建偉，楊慶彧，劉澤辰

（中國核電工程有限公司，北京 100840）

0 引言

隨著計算機技術的發展，數字化儀控系統和企業信息管理系統得到了越來越廣泛的應用。計算機病毒的危害在工控行業也不斷出現，2010 年震網病毒攻擊伊朗布什爾核設施就是一個典型例子[1]，網絡安全事件多數為被植入病毒所致。習總書記在提出網絡強國戰略時，強調：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”，網絡安全在國內越來越被重視。

計算機病毒種類有很多，如蠕蟲、木馬、黑客病毒、腳本病毒、宏病毒等惡意傳播代碼，它們可以使計算機速度變慢，硬盤變小，數據丟失，密碼被盜，信息泄露，芯片被毀以及網絡癱瘓等危險破壞性，有些甚至可以在PLC控制器之間傳播。因此，乏燃料后處理廠（以下簡稱后處理廠）儀控系統必須重視計算機病毒防范。

本文分析計算機病毒的特性，結合后處理廠總體網絡安全縱深防御策略，研究防治計算機病毒的有效策略[2]，讓讀者對其有一個理性的認識，進而增強病毒防范意識。

1 計算機病毒特點

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能，破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼，它對儀控系統網絡安全構成了最直接的威脅。

計算機病毒的種類繁多，來源廣泛，且具有很大的隱藏性和破壞性，其具有以下特點：

1）破壞性。破壞性是病毒的最大特點，輕則會占用系統資源，降低效率，影響系統的運行；重則具有明確的破壞性，如擁塞網絡，篡改數據或控制邏輯，刪除文件，加密摧毀磁盤中的數據，使之無法恢復，機器癱瘓等。

2）傳染性。傳染性是病毒的基本特征。計算機病毒在一定條件下通過網絡、U 盤等渠道傳染給其他計算機或控制器，從已被感染的計算機擴散到未被感染的設備。

3）隱蔽性。病毒是以程序代碼、組圖邏輯塊或隱含文件的形式存在于其他程序中，有些通過病毒軟件可以檢查；有些不經過程序代碼分析或病毒代碼掃描，病毒程序與正常程序不易被區別開來。

4）潛伏性。有些病毒不會第一時間進行攻擊，只有滿足特定條件才會激活破壞模塊，執行破壞系統的操作，這增加了病毒檢測的難度。

5）不可預見性。病毒常常被人們修改或與其它技術融合，如某些病毒集普通病毒、蠕蟲、木馬和黑客等技術于一身，生出變種和變體，對控制系統帶來了巨大的毀壞，病毒對反病毒軟件常常都是超前的，無法預測。

6）形式多樣性。邏輯控制塊、可執行程序、腳本文件等都有可能攜帶計算機病毒。

2 后處理廠網絡安全縱深防御策略

后處理廠網絡完全秉承核安全文化的縱深防御策略，對后處理廠廠內的計算機系統按照信息流向進行分層，并針對每一層的情況確定網絡層邊界，建立信息安全多層縱深防御系統[3]。

數字化儀控系統中易受到病毒威脅的系統、設備和部件是非常廣泛的。后處理廠數字化儀控系統按功能一般劃分為4 個層級：

“0”層：工藝系統接口層（智能型儀表設備，存在受病毒威脅的可能）。

“1”層：自動控制和保護層（包含數字化儀控設備，存在受病毒威脅的可能）。

“2”層：控制和信息管理層（包含很多計算機和服務器，易受病毒威脅）。

“3”層：全廠信息管理層（包含很多數字化終端設備，易受病毒威脅）。

后處理廠一般數字化儀控系統典型總體架構如圖1，包含安全級儀控系統和非安全級儀控系統兩個部分。安全級儀控系統負責安全功能指令的產生，非安全級儀控系統負責正常生產的運行。整個系統以工業以太網為骨干，各種終端系統通過該網絡系統相連，包括人機接口設備、控制機柜、各種功能服務器，以及第三方系統等。

圖1 后處理廠儀控總體一般性架構圖Fig.1 Overall general architecture of the I&C of the post-processing plant

根據對全廠安全性和可用性的重要程度，將后處理廠的關鍵資產劃分到最重要的層級中，保證核心區域的安全。從整體結構來考慮，整個后處理廠網絡安全分5 個層級，圖2 為后處理廠計算機系統信息安全縱深防御的一般建議模型。

圖2 后處理廠計算機系統信息安全縱深防御模型Fig.2 Defense-in-depth model of computer system information security of reprocessing plant

按此對上述后處理廠儀控系統進行劃分：

◇第0 層網絡

第0 層網絡為互聯網，為后處理廠企業以外的網絡。

◇第1 層網絡

第1 層網絡部署企業廣域網，主要包括廠前區辦公系統等，提供適當的信息安全保護，使用傳統IT 行業通用的保護手段進行信息安全保護，通常采用殺毒軟件和防火墻等軟件方案解決安全問題。

◇第2 層和第3 層網絡

第2 層和第3 層網絡提供中等級別的保護，從第4 層單向獲取數據。主要包括應急響應設施、運行支持、涉密辦公系統等輔助功能，通常與第1 層網絡物理隔離。儀控功能第3 層屬于該層范圍。

◇第4 層網絡

第4 層網絡承載后處理廠的核安全與生產安全責任，包括生產監控系統、安全控制系統等，后處理廠數字化儀控系統主體位于其中，在實體保衛區范圍內。針對網絡威脅提供最高等級的保護，數據單向傳至第3 層網絡。儀控系統功能分層的第0、1、2 層屬于該層網絡。

該層包含安全級儀控系統和非安全級儀控系統，核安全重于生產安全。若安全級控制系統采用數字化控制手段，則數據傳輸的單向隔離裝置為安全級和非安全級儀控系統的訪問邊界；若安全級控制系統采用常規控制手段，其數字化配套設備需要采取嚴格的信息安全手段，如試驗裝置等。

后處理廠計算機病毒防范是后處理廠總體網絡安全策略中的重要部分，不應脫離縱深防御的核安全總體框架。從管理制度體系和信息技術手段兩個方面著手，制度為第一層保障，技術手段依靠完善的信息管理制度，建立完整的信息安全技術體系，以規范信息安全載體的制造、配置、應用、檢測、評估、維護、改造等一系列活動，確保在任何一個環節不會被種植惡意代碼。

3 病毒的防治策略

計算機病毒防護策略從安全意識抓起，對病毒的破壞性要有充分認識，采取主動防御為主、保守殺毒為輔策略，結合上述病毒的各種特性和現有病毒防護手段，及時發現、檢測清理病毒。所謂主動防御，主要是指加強對相關人員的培訓和資產的審計力度，建立起層層防御機制；所謂保守殺毒主要是指保證后處理廠的正常生產，不能因過分地強調安全性而降低儀控系統的可用性。

3.1 工控系統病毒防治的特點

目前工控系統病毒防治策略多參考IT 行業的經驗，后處理廠也是如此，但有些病毒是專門針對工控系統，只在DCS 或PLC 中運行和傳播。因此，還需結合儀控系統的特點制定防治策略。

鑒于病毒種類的形式多種多樣，有些還具備很深的隱蔽性，因此儀控人員對后處理廠儀控系統所包含的軟硬件資產及后處理廠數據必須熟練掌握，并具備足夠的IT 知識，據此認真審計每一項儀控資產，將這些貫穿在信息安全載體的制造、配置、應用、檢測、評估、維護、改造等一系列活動中。

對于計算機病毒的傳播性，一是由于人的因素將病毒帶入安全區內，對此需要盡量縮小可接觸人員的范圍，嚴格權限管理；二是由于技術上的原因，病毒感染了儀控系統，對此應劃分安全區和網絡分層，確保儀控系統與其他安全區和網絡層外的系統邊界清晰，物理上以隔離裝置作為唯一邊界。

由于病毒的不可預見性，所以防御總是有限的，因而需要建立起多樣化病毒檢測手段和快速的災難恢復機制。由于工控系統存在：

◇總線協議復雜多樣。

◇實時性要求強。

◇節點計算資源有限。

◇設備可靠性要求高。

◇故障恢復時間短。

◇安全機制不能影響實時性。

◇工控設備不易更換。

因此，傳統的“封堵查殺”安全防護技術難以解決后處理廠工控系統安全，推薦使用可信保障的安全管理支持下的環境、區域邊界、通信網絡三重防御多級框架。融合專網專用，分區隔離的思想，以實現可信、可控、可管的系統安全互聯、區域邊界安全防護和環境安全。

3.2 后處理廠工控系統防治策略

后處理廠計算機病毒的防治終極目標就是確保第4 網絡層不受計算機病毒的侵害，用圖3 來簡單說明縱深防御型病毒防護策略手段。除此之外還應注意以下幾項：

圖3 縱深防御型病毒防護策略Fig.3 Defense-in-depth virus protection strategy

1）一般核設施工廠的信息安全往往是信息部門負責，而儀控設備由設備管理部門負責，存在責任與實體分離的情況，后處理廠信息安全團隊應由兩個部門聯合成立。

2）技術防范因在嚴格的制度管理之下才能充分發揮作用，脫離實體防護的技術手段是不現實的。

3）在設備選型上應考慮病毒防護軟件的資源消耗因素，不應由于設備在運行病毒例行檢查時導致顯示和操作延緩，影響儀控系統的可用性。

4）有限使用殺毒工具，由于工控軟件比較小眾，因而殺毒軟件對工控軟件存在不能100%識別的情況，一旦誤殺將是致命的，所以在殺毒軟件和工控軟件兼容性沒有得到絕對驗證前，不能隨意開啟殺毒軟件的查殺功能，至多作為病毒報警工具，為審計和人工查殺提供數據依據。

5）安全級系統病毒防護有其特殊性，鑒于安全級儀控系統對可用性的高要求，若安全級系統采用數字化手段，則更多的是要強調管理的重要性。從產品的研發開始，有著嚴格的驗證與確認程序，系統應具有充分的封閉性和專有性，力求做到防范于未然。對于常規手段的安全級系統，其數字化輔助工具或系統應制定嚴格信息安全防護策略。

6）處置預案快速，切實可行。當發現有設備遭到病毒侵害時，能夠有效地對系統進行災難恢復，平時完善備份機制。

后處理廠工控系統計算機病毒防治僅僅采用技術手段是不夠的，從管理上要建立起可信連接機制，包括人和資產，對工控系統的安全策略以及環境、應用區域邊界和通信網絡上的安全機制實現統一管理。在安全管理內部又分為系統資源管理、安全控制和審計3 部分。可信管理對關鍵資源信息度量策略和基準庫進行管理，實現多級互聯。

4 結語

縱深防御型病毒防護策略符合網絡安全策略的重要部分，貫徹在信息安全載體的制造、配置、應用、檢測、評估、維護、改造等一系列活動中。但對于安全級儀控系統，須強調防患于未然，已經運行中的安全級系統主要保證系統的封閉性，并加強審計[4]。

由于想徹底消滅病毒是很困難的。對用戶而言，應樹立網絡安全意識，充分認識病毒，了解病毒的特性，采取主動防御為主、殺毒為輔策略，結合現有防毒技術及時發現、檢測清理病毒，最大限度地預防病毒的感染，建立可信保障的安全管理支持下的環境、區域邊界、通信網絡三重防御多級框架。保證信息安全的同時，也必須要保證后處理廠儀控系統的可用性不降級。