核電工控網絡私有協議安全高效解析方法的實現

劉 元1，李紅霞1，權小康2，褚 瑞3

（1.北京廣利核系統工程有限公司，北京 100094；2.北京威努特技術有限公司，北京 100085；3.上海中廣核工程科技有限公司，上海 200241）

工業控制系統等級保護安全設計技術框架[1]體系中第0層、第1層、第2層的邊界通信以及通信網絡之間，工控系統均會使用各類工業協議。針對核電工業控制系統，涉及的工業協議大多屬于私有協議，協議的各種規范和格式屬于核心商密。而網絡安全防護設備如監測審計系統、工業防火墻等需要采取網絡安全措施[2]實現相應的網絡安全功能，需要在工業協議數據分析時對應用層的通信數據進行深度解析，建立應用層通信協議基線，及時識別未知風險。如何既能解決協議保密性又能達到網絡安全設備深度協議解析的目的，通過研究本文給出了一種方法，可實現快速、安全及可靠的通信協議解析。

1 核電行業網絡安全防護背景

為應對國內外日益復雜嚴峻的網絡安全形勢，國家及部委相繼出臺網絡安全相關政策法規，要求并指導企業做好國家關鍵信息基礎設施的網絡安全防護工作。結合核電工控系統特點，基于信息安全技術網絡安全等級保護基本要求[3]，即“一個中心，三重防護”設計理念，采用程序白名單、外設白名單及網絡通信行為白名單[4]等技術，構建核電工控系統網絡安全的“白環境”，實現核電工控系統積極防御、綜合防范、本質安全[5]的縱深防御體系的建立。

白名單是一種安全結構模型，是合法的程序、IP、通信行為規則等生成的安全列表，白名單上的所有內容都可以建立通信訪問系統資源，而不在白名單上的部分則被拒絕訪問?！?br>