《工业控制系统信息安全防护指南》在核电数字化仪控系统的落地实施

　　核电站从工程管理、工程设计、设备制造、工程建设、安全运行和退役，无一不体现高端技术，仪控系统就是其中一项重要的组成部分。随着全球信息化和数字化技术的迅猛发展，核电仪控系统的数字化是当前核电技术发展的必然趋势，目前国内在建的核电站均采用了全数字化的仪控技术。日本福岛发生核事故之后，客观上对核电安全的要求提高，对仪控技术与装置的研究、设计、制造、选型、应用、维护提出了越来越高的要求，全数字化仪控系统的应用将对确保核电厂的安全、可靠、经济运行，起到至关重要的作用。

　　核电数字化仪控系统架构

　　典型的核电数字化仪控系统结构分为四层，分别为：

　　LEVEL0：现场控制层,主要包括以执行器和变送器为主的现场设备;

　　LEVEL1：过程控制层, 主要基于数据采集单元、数字化仪控控制站和PLC产品，完成现场信号输入输出、自动控制和保护功能;

　　LEVEL2：操作控制层(操作和信息管理层),主要包括放置于主控室、远程停堆站、技术支持中心等控制室的操作站、后备用盘等人机交互设备和相关的数据处理设备;

　　LEVEL3：管理层，即第三方控制接口以及管理层,主要包括电站信息系统、应急处理系统等。

　　其中管理层采用TCP/IP以太网，在操作控制层和过程控制层以及不同辅控系统之间采用工业以太网互联;过程控制层采用高速现场总线进行通信。反应堆保护安全级控制系统与非安全级控制系统之间数据通信通过安全级网关执行。

　　核电数字化仪控系统安全脆弱性分析

　　技术脆弱性：

　　核电数字化仪控系统的数字化和信息化程度不断提高，其越来越多地采用通用协议、通用硬件和通用软件，以各种方式与办公网络等公共网络连接，不仅具有工控网络特有的安全脆弱性，还引入了传统信息资产的安全脆弱性，主要体现在网络、主机、应用软件以及数据安全方面【由于核电站能源利用的特殊性，核电站已经采取了十分严格的物理安全措施】：

　　网络脆弱性：网络安全边界不清晰，未部署网络边界防护设备或设备策略配置不当，未对关键监测点进行网络安全监测和审计;

　　主机脆弱性：主机终端使用默认配置，导致不安全或不必要的端口或服务没有关闭，缺乏安全管控措施(包括防病毒、恶意代码监测、外设管控等);

　　应用软件脆弱性：核电数字化仪控系统设计时更多关注可用性和功能实现，忽略了系统的安全性，导致工控系统安全漏洞快速增长，如缓冲区溢出、拒绝服务等高危漏洞;同时应用软件的补丁程序未及时安装更新、认证和访问控制措施不足;

　　数据安全脆弱性：敏感数据传输和存储未加密，对敏感数据的访问控制措施不当，缺乏对敏感数据操作的审计。

　　管理脆弱性：

　　核电数字化仪控系统的管理脆弱性主要体现在信息安全策略及程序文件不充分甚至缺失、信息安全培训计划及相关规章制度欠缺、很少或基本没有组织信息安全培训和意识培训、第三方运维管理措施不完善、以及缺乏完备的授权验证机制、软件不能及时更新等方面。

　　核电数字化仪控系统安全解决方案

　　2016年11月11日工信部发布的《工业控制系统信息安全防护指南》(以下简称“指南”)涵盖工业控制系统设计、选型、建设、测试，运行、检修、废弃各阶段安全防护工作要求，更加明确地提出了工控系统信息安全防护的指导思想。本文基于指南的相关要求提出了核电数字化仪控系统信息安全的纵深防御解决方案，总体安全防护架构图如图2所示，具体防护措施如下：

　　安全技术体系建设：

　　网络安全防护

　　网络边界划分：二层信息网和厂级管理层之间的网络边界(二层信息网到厂级管理层的数据单向传输);监控网和现场控制层之间的网络边界;安全级控制系统和非安全级控制系统之间的网络边界;监控网和第三方专用仪控系统之间的网络边界;

　　网络边界防护：二层信息网和厂级管理层之间、安全级控制系统和非安全级控制系统之间部署单向隔离装置实现数据单向传输;在监控网和现场控制层之间、监控网和第三方专用仪控系统之间部署工业安全网关阻断来自监控网的病毒传播、黑客攻击等行为，限制违法操作，避免其对控制网络的影响和对生产流程的破坏;

　　内部网络监测：在二层信息网和监控网分别旁路部署工控入侵监测系统和工控异常行为审计系统准确监测网络异常流量，通过对相关工控协议进行深度解析，及时发现潜在的网络攻击和异常行为并在第一时间告警。

　　主机安全防护

　　核电数字化仪控系统主机资产主要包括操作员站、工程师站、服务器、网络设备以及业务应用系统。

　　对主机终端进行安全加固：实现对账号权限、口令策略、系统服务、补丁更新、日志管理等方面的安全配置，结合核电业务需求和相关信息安全标准规范制定各类主机资产安全配置基线，并部署工控安全配置核查系统定期进行安全配置审计;

　　在主机终端部署工控终端管控系统实现对外设进行严格的访问控制、状态监控、进程监控、病毒防护、恶意代码监测、操作行为审计、基于白名单机制的应用程序管控;

　　应用安全防护

　　核电数字化仪控系统应用主要包括操作员站、工程师站以及服务器的监视软件、组态软件等应用软件，控制站的嵌入式操作系统以及应用软件。

　　部署工控漏洞扫描系统和工控漏洞挖掘系统对上下位机操作系统和应用软件进行漏洞扫描，对工控资产进行风险评估和验证漏洞修复情况;

　　加强供应链管理，在核电数字化仪控系统设计和选型阶段，通过合同要求等方式约束工控设备供货商将信息安全因素考虑其中，选择经过严格测试和认证的安全工控产品和应用软件;

　　建立漏洞管理和补丁更新的应急响应机制并责任落实到人，不仅关注涉及操作员站、服务器等传统IT资产的漏洞信息，更重要的要关注涉及控制器、PLC等工控设备的漏洞信息，在安装补丁前进行充分的安全评估和验证测试。

　　数据安全防护

　　数据在存储传输过程中通过加密方式进行处理，加强对敏感数据的访问控制;

　　部署数据库审计系统，对存储关键数据的数据库进行异常行为进行告警通知、审计记录和事后追踪分析;

　　安全管理体系建设：

　　核电数字化仪控系统的信息安全管理体系建设是一个系统性的工程，应遵循和借鉴国内外有关核设施信息安全的相关标准和最佳实践，在对实际控制系统全面、科学风险评估的基础上，综合考虑成本和风险平衡，建设有效的、可操作实施的信息安全管理体系。

　　关键技术思考

　　核电数字化仪控系统信息安全需要形成从网络边界隔离防护到内部网络异常行为审计，从工控设备安全风险评估到工控终端安全管控，到最后的敏感数据安全防护的纵深防御技术体系，结合核电数字化仪控系统实际安全需求提出以下几点关键技术：

　　核电数字化仪控系统是核电站的“神经中枢”，对工控设备的安全性和可靠性要求极高，同样用于核电数字化仪控系统的工控安全设备在设计上要充分地考虑自身的安全性、可靠性以及性能等因素，并需要进行充分的验证和测试;

　　目前，国内在役的核电站数字化仪控系统和工控设备主要被国外技术垄断，需要在获取相关资料的基础上对这些工控设备和协议进行深度地分析，以支撑工控安全设备的功能;

　　目前国内在役的各核电站数字化仪控系统架构不尽相同，要在充分挖掘各核电站客户实际安全需求的基础上不断完善工控安全产品体系，优化工控安全产品功能以及工控安全产品跟核电数字化仪控系统设备的兼容性。