核电厂数字化控制系统信息安全分析与策略彭沛星

核电厂数字化控制系统信息安全分析与策略彭沛星

彭沛星

中核国电漳州能源有限公司福建漳州363000

摘要：近年来随着核电站数字化和联网化的发展，在带来方便操作维护的同时，也带来了新的安全风险。特别是通用的协议、软件和设备正在逐步取代原有的专用系统，这使得一旦系统信息安全漏洞被利用，会使得数个核电机组遭到破坏，将严重威胁到人身、环境和国家财产安全。然而当前核电厂的系统安全问题存在着的漏洞，就是很大的安全隐患，本文就对当前核电厂数字化控制系统的信息安全形势进行浅要的分析，并提出相关的应对策略，为当前的网络安全问题提供一定的理论支持。

关键词：核电厂；数字化控制系统；信息安全

1引言

核电厂所用燃料是放射性物质，如果直接接触或泄漏，将对人和环境造成严重危害。以及工业控制系统对核电厂的安全、可靠、高效、经济运行起着关键作用。随着现场总线的数字化控制系统在核电厂中的应用，以及工业控制系统软件平台的开放，必须建设和完善工业控制系统的信息安全防护体系。

2核电厂的数字化控制系统

2.1系统的组成

核电厂的数字化控制系统是依托于现代工业网络系统的实施分布系统，该系统是通过集中管理和分散控制的分层分布式的组成结构。该系统通过工程师站、现场控制站、信息服务站、通信控制站、系统控制和网络管理等部分组成了运行和控制中心，此外，数字化控制系统还包括电厂控制系统、多样化的驱动系统、数据显示与处理系统和保护欲安监系统等子系统。

2.2系统的分层网络结构

该系统的分层网络结构中包含过程接口层、自动控制和保护层、操作和信息管理层、全厂技术管理层4层结构。过程接口层包括测量设备（传感器，变送器，限位开关等）和执行器接口设备（先导阀及其附属接口继电器，电动-气动转换器，执行装置，开关柜等）；自动控制和保护层包括信号采集，调制和处理设备，负责不同电厂系统的监控；操作和信息管理层包括可以使人员能够操纵电厂（手动控制和信息手段），监督电厂状态，并对电厂I&C实施运行服务的常规设备和计算机设备；全厂技术管理层。包括支持现场管理应用以及与场外设施通讯的计算机设备。然而这样的系统，在面临当前日益严峻的网络形势时，必须不断地完善和发展，提高系统的防御能力。

3核电厂数字化控制系统的安全问题

核电厂信息安全的威胁主要来自黑客攻击、数据操纵、病毒、蠕虫和特洛伊木马等，包括以下部分。①未识别关键监测点和控制路径，可能导致核电厂仪控系统关键控制路径过饱和、关键监测点出现故障、遭受攻击时未能被及时发现，导致危害进一步扩大。②用户、数据与设备认证手段不足，导致核电控制系统信息泄漏，DCS、PLC、仪器、仪表、采集系统(QDP、ILC、BCC等)、核电厂专用控制系统PLS、TOS等关键系统、设备的控制指令被篡改，关键控制数据被篡改，从而失去控制。③缺乏网络通信数据完整性校验，未实施数据流控制、未加密、弱加密，使数据在传输过程中可能会丢失、误码或者被篡改，甚至程序的逻辑被修改，从而对核电厂的正常运行产生安全威胁。④可能导致核电厂工艺参数信息泄漏，生产系统遭受病毒攻击，核心资产数据泄漏等后果。问题包括:未定义网络边界，不清楚攻击源在哪里，存在泄密、攻击、病毒等;存在许多不可控的安全隐患，如未定义生产网络和办公网络的边界。⑤安全边界防护设备或者策略配置不当，如不根据核电厂的安全需求进行合理的安全防护设计，或者防护设备策略配置不当，可能导致其防护设备无法起到应有的防护作用，甚至对核电厂的生产运行造成负面影响。例如在生产安全区内部署不能满足生产实时性的阻断性防护设备，可能导致控制网络中断，最终造成生产事故。

4数字化控制系统的安全问题应对策略

4.1完善法律法规

完善相关法律法规，使得对网络安全的监管要求在各层级的法规中均有体现。如前文所述，我国现行的核安全法规中与网络安全相关的条款寥寥而简单，且法规层级较低，工业界的一些要求又不能体现核电厂的特殊要求。而无论IAEA还是NRC，对信息安全的要求均覆盖文件/法规体系的各个层级，既有纲领性的也有可供执行的。所以，对我国而言，亟需将对网络安全的要求补充进更高层级的法规甚至法律中。

4.2仪控信息安全需求分析

安全需求主要包括安全技术防护需求，安全管理需求和安全运维需求：1）安全技术防护需求需要明确网络防护边界，边界防火墙需要创建至少安全区域：控制系统安全区，隔离区，不可靠区。即使所有的外部访问来自企业网，也应该是以是不可靠区来建立相互的非信任规则，隔离区应包括非安全网络可访问的安全访问认证设备、工作站或服务器。安全区的任何设备必须只能通过一个隔离区的设备进行访问。通过保护和连续监控隔离区的设备，可有效组织网络上的病毒攻击。2）安全管理需求在信息安全设备建设的同时，工作人员的信息安全管理体系建设同样不可忽视。包括需要建立工控安全管理制度，需要完善建立工控安全总体方针，计算机使用，网络及信息系统运行等管理制度。加强工控安全意识教育。3）安全运维需求应该建立设备管理，网络安全管理，系统安全管理，恶意代码防范管理，密码管理，应急预案管理等，做到管理记录可查询，操作记录可回溯。

4.3冗余控制

冗余设计包括服务器热备冗余、网络冗余和供电冗余。1）服务器热备冗余两台冗余服务器在系统运行中地位是不相等的，由系统自动设置主/从服务器。两台服务器均接受外部输入信号并且进行相同的运算处理。但是只有主服务器向外输出信号，从服务器的输出被闭锁且处于备用状态。当主服务器故障或离线时，从服务器会自动代替主服务器向外输出信号。同时，从服务器自动切换为主服务器。2）网络冗余采用双网结构，两个网络同时进行数据传送和数据比较，实际起作用的是其中一个通信网络，另一个通信网络作后备。通信模块则实时监控两个通信网络的通信质量，若当前网络的数据发送包数之差或发送、接受的故障率达一定值时，通信模块会进行网络切换，由后备网络接替，成为当前通信网络。故障通信网络会报警提示工作人员处理。3）供电冗余采用双路电源供电，当主供电失电时，电源可自动无扰地从主供电换到从供电。另外服务器和关系型数据库服务器均增加不间断电源，确保在失去外电源时有充足时间进行数据存储和程序退出。

5结束语

信息安全问题已经上升到了国家安全的战略高度，对于信息安全的解决已经成为当前国际社会共同面临的课题，在当前我国经济迅速发展，国际形势错综复杂的环境下，加强国家的信息安全适应当前我国发展的需要，也是必须要解决的现实问题。相信通过加强与国际社会的信息安全合作，借鉴国外的先进信息技术成果，结合我国的实际情况，一定能够提高我国保证核电站数字化控制系统信息安全的能力，前途是伟大而光明的，道路是蜿蜒而曲折的，在政府和民间的不断推动下，我们在信息安全问题上一定会取得新的更大进步。

参考文献

[1]王飞,张颖颖.核电厂安全级软件信息安全分析方法研究[J].科技视界,2019(09):50-51.

[2]文团.核电厂应急指挥系统信息安全防护方案探讨[J].科技视界,2018(10):217-218.

[3]刘官荣,张谊,黄鹏,彭浩.核电厂安全级DCS信息安全隔离方案研究[J].仪器仪表用户,2018,25(02):92-94+21.

[4]张谊,刘官荣,黄鹏,彭浩.核电厂安全级DCS平台信息安全脆弱性分析[J].仪器仪表用户,2018,25(01):82-84+81.

[5]王飞,夏丹阳,向嫄.核电厂信息安全标准研究[J].中国核电,2017,10(03):326-331.