2025年11月12日,渔翁信息技术股份有限公司博士CTO肖青海在深圳核博会1号馆核能首秀场发表《核能工控内生安全关键技术创新探讨与实践》主旨报告。
演讲围绕核能和工业控制系统的内生安全展开,指出传统外挂式防护难以解决系统自身脆弱性、东西向流量横向传播和集中式风险等问题。演讲提出将密码、可信计算、硬件密码模块、抗量子能力等嵌入业务流程和控制设备,以形成系统免疫能力,并通过水电枢纽、核能实物保护系统和电力监控等案例说明应用效果。
关键点
1. 主题与讨论框架(00:04)
演讲主题是公共/工控系统在核能场景下的安全技术探讨,重点关注内生安全问题是什么、如何产生以及如何解决。演讲将从核能工控系统面临的主要问题和威胁、应对思路、产品技术能力以及实践案例展开。
2. 工控系统是核设施运行的核心(01:09)
工控系统被描述为工业生产和核能生产中的核心基础设施,是系统的神经中枢和大脑,承担核岛、反应堆及相关设备参数的监测、运行、控制、调整和管理职责,保障核设施的主要运行能力。
3. 核能工控系统面临安全威胁(01:55)
演讲提到二零一零年后,伊朗布什尔核电站以及英国、德国核电站曾出现安全问题,遭受蠕虫病毒等攻击。其根源在于系统本身存在缺陷、脆弱性和安全漏洞,因此需要以内生安全机制解决。
4. 传统外挂式安全防护存在局限(02:42)
传统信息安全和网络安全主要依赖防病毒、入侵检测、防火墙等外挂式能力,偏重网络边界和南北向流量防护,难以处理工控系统中设备间通信带来的东西向流量与横向传播风险。外挂式密码设备还可能改变工控协议、增加通信负担、降低效率,并带来集中式风险。
5. 政策背景支持关键基础设施密码改造(04:24)
演讲提到国家密码局、中央办公厅、国务院办公厅以及国家能源局、发改委等相关文件,为关键基础设施安全改造、能源电力系统安全和系统免疫建设提供政策支撑。
6. 内生安全问题来自系统自身(05:02)
演讲将内生安全解释为系统与生俱来的矛盾和脆弱性,认为任何智能体、个人或系统都不是完美的,可能天然带有缺陷、脆弱性或后门。传统外部防护难以从根上解决内因造成的问题,需要从系统内部建立安全机制。
7. 将安全机制嵌入业务流程形成免疫能力(06:07)
内生安全的思路不是仅保护网络或IT系统,而是把安全机制和安全能力嵌入业务流程和业务系统,通过业务流程控制建立安全机制,使系统具备免疫能力。演讲强调国内更多采用基于可信密码技术的体系来建设这种免疫能力。
8. 以密码技术为核心的内生安全架构(07:05)
方案以加密技术为核心,实现数据完整性、防篡改保护和可信性保障,并通过硬件安全密码模块、软件密码模块等能力支撑数据保护、系统完整性和可信运行。这些能力被嵌入核能安全系统和业务流程,以从根本上应对内生安全问题。
9. 分层嵌入密码能力的实施模式(07:50)
体系架构在现场控制层、过程监控层、现场监控层等设备中嵌入硬件模组、软件密码模块等底层密码能力,建立可信安全机制保护业务系统和控制设备。实施上既可对已在现场的设备进行软件升级,也可与设备厂家深度融合,将硬件密码模组嵌入控制设备。
10. 提前应对量子计算带来的密码风险(09:25)
演讲指出量子计算可能破解传统密码算法,也可能使攻击者先截获加密数据,等待未来量子能力成熟后再解密。为应对这一风险,方案采用量子保密通信与后量子算法结合,包括量子加密网关、密钥分发、量子密码机和相关安全服务器,以保护当前和未来数据。
11. 安全、效率与复杂性的平衡(12:01)
核能系统复杂且对安全运行要求高,引入密码能力会带来一定开销和复杂性,因此不能只追求合规,而要转向价值驱动、风险导向,兼顾安全生产、高效和实时性。方案强调免改造、免停机运行,并要求即使某项密码能力失效,整体系统仍能安全运行。
12. 水电工控系统实践案例(13:39)
演讲介绍了三峡大坝相关水电系统案例,通过安全可控能力和智能化监控平台,推动密码技术和可信技术在工控系统中的应用,建立内生安全体系和机制。案例中在现场控制层、监控层和生产管理层嵌入软件与硬件密码能力,并支持抗量子密码设备。
13. 案例效果与轻量级认证优势(14:42)
演讲称方案实现了高分和密评等合规基础,并通过专利技术实现内生安全的轻量级认证,尽量减少对工控系统运行的影响。该内生安全解决方案在大型水利枢纽工控系统中得到实际应用和检验,并提升了东西向流量保护能力。
14. 核能实物保护系统案例(15:30)
针对核能实物保护系统,方案从要害区、保护区和控制区三个层面进行密码安全增强,支撑密码安全合规和安全能力建设。该案例强调应用免改造、安全逃生机制和失效情况下的正常运行,并实现数据安全保护与安全通行保障。
15. 电力行业应用与公司能力(16:21)
演讲提到相关方案已在电力系统有数十个案例,覆盖电力监控系统、机房监控、专网监控和供电局OCS系统等场景。随后介绍公司专注密码行业三十年,在能源行业深耕十几年,拥有产品、专利、自主产权和体系化解决方案,并希望在核能信息安全领域开展生态合作。
时间线
00:04 - 开场介绍演讲主题,说明将围绕核能和工控系统内生安全展开技术探讨,并列出风险、解决方法、技术能力和案例等内容。
01:09 - 说明工控系统在核设施中的核心地位,并引出其面临的病毒、攻击、漏洞和系统脆弱性等安全威胁。
02:42 - 对比传统安全防护方式,指出外挂式设备、边界防护和集中式机制难以覆盖工控系统内部横向传播、协议变化和集中风险。
05:02 - 进入内生安全概念阐释,强调安全问题源于系统自身缺陷,必须通过嵌入业务流程和系统内部的可信密码机制建立免疫能力。
07:05 - 展开技术方案,介绍以加密、可信、硬件与软件密码模块为核心的架构,以及在控制层、监控层等设备中的嵌入式实施方式。
09:25 - 讨论量子计算时代的安全挑战,提出结合量子保密通信和后量子算法,提前保护关键基础设施数据和长期运行能力。
12:01 - 强调核能系统建设需要在安全性、实时性、复杂性和运行连续性之间取得平衡,并提出风险导向、免停机和失效安全原则。
13:39 - 转入实践案例,介绍水电大型枢纽工控系统中的内生安全应用、轻量级认证、东西向流量保护和低影响实施效果。
15:30 - 继续介绍核能实物保护系统和电力行业场景中的密码安全增强、免改造机制以及多区域数据保护实践。
16:46 - 最后总结内生安全建设的行业意义,并介绍公司在密码、能源行业和核能信息安全方面的能力与合作愿景。
AI 延伸阅读(下文由AI生成,其内容可能存在偏差,请注意甄别):
渔翁信息肖青海:以内生安全与密码技术筑牢核能工控系统安全底座
在“核能工控系统内生安全”主题分享中,渔翁信息技术股份有限公司博士、CTO肖青海围绕核能与工业控制系统的公共安全风险,系统阐述了以内生安全机制提升核能工控本质安全的技术路径。他指出,核能工控系统是核电站、核反应堆及相关核设施运行控制的核心支撑,承担设备监测、运行控制、参数调整和状态管理等关键职责,相当于核能生产系统的“神经中枢”和“大脑”。其稳定运行不仅关系到核设施的安全、可靠和持续运行能力,也关系到关键基础设施的长期安全保障。
近年来,核能工控系统面临的网络安全威胁不断加剧。2010年后,伊朗布什尔核电站以及英国、德国等核电相关系统曾遭遇蠕虫病毒、恶意软件和网络攻击,暴露出工业控制环境中病毒横向传播、工控协议被攻击篡改、东西向流量缺乏防护、集中式安全架构存在系统性风险等问题。肖青海认为,安全风险并不只来自外部攻击,系统自身可能存在漏洞、缺陷、脆弱性甚至潜在后门,这类源于系统内部结构性因素的问题,正是核能工控系统需要重点解决的内生安全问题。
传统安全方案在核能工控场景中存在明显局限。防病毒、入侵检测、防火墙等“外挂式”防护手段更多面向边界安全,适合防御南北向流量,却难以有效覆盖设备之间的东西向通信。同时,外接密码设备可能改变原有工控协议,增加通信负担并降低系统效率,在高实时性、高可靠性的核能工控环境中落地难度较高。集中式证书或安全管理系统一旦失效,还可能影响多个系统,因此核能工控安全更需要将风险限制在局部设备或小范围内,避免局部故障演变为全局事故。
在政策和行业背景方面,国家密码管理相关政策、关键信息基础设施安全要求,以及能源、电力行业关于工控系统防护、系统免疫能力和密码应用改造的要求,为核能工控系统安全升级提供了明确方向。肖青海提出,核能系统对安全性、实时性、可靠性和长期可用性的要求极高,安全建设不能停留在等保、密评等合规层面,而应进一步转向风险导向和价值导向,真正服务于安全生产、高效运行和实时控制。
围绕内生安全理念,肖青海强调,任何系统都并非天然完美,可能与生俱来存在缺陷、脆弱性或后门。与依赖外部加固和边界防护的传统安全不同,内生安全强调将安全机制嵌入系统内部、业务流程和运行机制之中,使系统具备类似“免疫能力”的持续防护能力。具体到核能工控系统,就是要从业务流程、设备运行、数据可信和通信安全等层面建立内嵌式、持续性、可验证的安全机制。
密码技术被视为构建核能工控内生安全体系的核心支撑。通过密码技术,可实现身份认证、信源加密、数据完整性保护、防篡改、可信验证、安全通信和访问控制等能力。在技术实现上,硬件安全密码模块可提供底层可信根,软件密码模块可支持灵活升级和兼容部署,可信密码卡、智能密码钥匙和密码服务器则可增强监控层安全。通过在现场控制层嵌入密码模块和认证能力,在过程监控层强化通信与数据安全,在生产管理层提供统一可信管理与安全支撑,可形成覆盖工控系统全链路的安全能力体系。
针对不同工控现场条件,渔翁信息提出了多种实施模式。对于已部署的存量设备,可通过软件升级方式接入安全能力,部署软件密码模块、身份认证组件和信源加密服务组件;对于新建设备,则可与工控设备厂商深度融合,将硬件密码模组嵌入设备,使设备原生具备身份认证、信源加密和安全通信能力;在监控层,可利用可信密码卡、智能密码钥匙和密码服务器支撑操作验证,将可信能力嵌入操作终端和监控平台内部。这种分层、分场景的建设方式,有助于兼顾安全增强与工程可实施性。
面对未来量子计算可能带来的密码破解风险,肖青海还提出核能等关键基础设施应提前布局抗量子安全能力。量子计算一旦成熟,可能破解传统密码算法,攻击者甚至可以先截获并存储当前加密数据,待未来具备量子计算能力后再进行解密。对于核能、电力、授时等基础设施而言,关键运行参数和敏感数据一旦泄露,可能影响系统实时性和运行可信性。因此,核能工控安全体系需要结合量子保密通信、量子加密网关、密钥分发、安全网关、后量子密码算法以及支持量子安全能力的密码设备,保障数据在未来长期仍具备安全性。
在安全、效率与可靠性之间取得平衡,是核能工控安全建设必须解决的关键问题。核能系统复杂度高,安全机制的引入不能显著影响实时性、稳定性和生产连续性。密码应用可能带来计算开销、通信开销和系统复杂性,因此必须与工控业务深度适配,采用轻量化、低影响、可验证的方式推进。肖青海特别强调失效安全原则,即使某一项密码或安全能力发生异常,整体系统仍应保持安全运行,这对于核能和工控系统尤为重要。
在实践层面,渔翁信息已在大型水利和核能相关场景中开展应用探索。三峡大坝水电工控系统案例中,项目通过在现场控制层、监控层和生产管理层嵌入软件密码模块、硬件密码模组和后台密码设备,实现安全通信、数据加密、身份认证和可信验证能力。该方案支持高等级密码合规,采用轻量级认证技术降低对工控系统运行的影响,并强化东西向流量保护能力,使内生安全方案在大型水利枢纽工控系统中得到实际应用和检验。
在核能实物保护系统案例中,方案面向要害区、保护区和控制区三个层面进行密码安全增强,提升实物保护系统的密码安全合规能力,强化数据安全保护、安全通信和访问控制能力。该案例的关键特点在于支持应用免改造,并建立安全逃生和失效安全机制,确保在局部安全能力异常时,系统仍能持续正常运行,从而为核能实物保护系统提供全方位的数据安全和通信安全保障。
从应用前景看,渔翁信息已在电力监控系统、机房监控、专网监控、供电局OCS系统等场景积累多个案例,并将进一步推动内生安全理念在核能工控系统中的落地,把密码、可信、抗量子等技术融入核能安全体系。肖青海表示,保障“大国重器”掌握在自己手中,提升关键基础设施自主可控和长期安全运行能力,是核能工控安全建设的重要战略意义。渔翁信息深耕密码行业近三十年,在能源行业积累十余年经验,已形成全线、全栈式密码产品体系和行业解决方案能力,未来希望与核能行业从业者加强生态合作,共同推动核能领域信息安全创新发展。
