潘玉 王松 程林

摘要：该文介绍了国际、国内的信息安全标准，分析了核电工控系统信息安全现状，总结出核电工控信息安全防御模型。以具体项目实施为例，详细讲述了信息安全在项目中的应用。并通过深入分析核电工控信息安全面临的威胁和潜在风险。

关键词：信息安全;核电工控系统;纵深防御;病毒攻击

中图分类号：TP311     文献标识码：A

文章编号：1009-3044（2021）35-0045-03

Information Security and Application of Nuclear Power Plant

PAN Yu， WANG Song， CHENG Lin

（China Nuclear Control System Engineering Co.，Ltd， Beijing 102401， China）

Abstract： This paper introduces the international and domestic information security standards， analyzes the information security status of nuclear power industrial control system， and summarizes the information security defense model of nuclear power industrial control system. Taking the specific project implementation as an example， the application of information security in the project is described in detail. And through in-depth analysis of nuclear power industry control information security threats and potential risks.

Key words： information security; nuclear power industrial control system; defense in depth; virus attack

1 前言

工业控制系统（Industrial Control Systems， ICS）包括数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等，这些系统广泛使用了IT设备，但随着工控技术的快速发展，尤其是IT 技术的广泛应用，信息化已与工业化进行深度结合，IT领域流传已久的病毒和木马将扩散到工业控制领域，威胁工业生产的安全，工业控制系统的信息安全问题应引起足够重视，充分考虑日渐严峻的信息安全问题。近年发生了一系列工控系统的信息安全事件，比如2010年“震网”（Stuxnet）病毒攻击伊朗核设施;“夜龙”（NightDragon）病毒窃取工业信息，Duqu病毒窃取工业信息，Nitro病毒窃取工业信息，以及2012 年的“火焰”（Flame）病毒窃取工业信息等标志性事件，工业控制系统的信息安全更是得到了世界各国的充分重视。国家信息安全漏洞共享平台每周都会发布漏洞周报，毫无疑问，工业控制系统的信息安全威胁环境正处于急速变化的阶段。而核电站因其自身的特殊性，核电工控系统信息的安全问题更值得关注。

2 核电信息安全标准

在核领域，“核安全”尤为重要，是重中之重，近年来“工业化”和“信息化”的两化融合被相关行业广泛应用，核电行业也参与其中，因此核电控制系统的信息安全问题必须予以足够重视。

2.1 国际核电工控系统信息安全标准

信息安全标准推出的时间仅有20多年的时间。美国是计算机技术的领先者，自然也是信息安全技术的领先者。其中各個组织的安全标准有：SA IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准、IEEE Std 603-2009核电站安全系统的标准、RG 1.152《核电厂安全系统计算机使用标准》、联邦信息系统和组织的安全控制建议（NISTSP800-53）、核设施网络安全措施（RegulatoryGuide5.71）、工业控制系统安全指南（NISTSP800-82）等。

2.2 国内核电工控系统信息安全标准

我国核电信息安全相关标准制定较晚，应跟随IT领域或其他工控领域相关标准尽快制定，为核电工控信息安全设计提供统一、安全、可靠的标准。其中HAD102-16规定了核动力厂计算机系统软件的安全要求。主要从软件的需求、设计、实现及验证进行分析、GB/T 13284.1-2008主要规定了核电厂安全系统的设计准则、安全系统准则、检测指令设备的功能和要求、GB/T 13629-2008是根据IEEEStd 7-4.3.2-2003《核电厂安全系统中数字计算机的使用准则》的美国标准转化为我国标准。属于核电厂计算机系统的一般原则。

3 核电工控系统信息安全防御模型

核电设施从设计到实现始终贯彻“多层次纵深防御”策略，在参考国际国内核电工控信息安全标准和工业控制系统信息相关的安全标准后总结出核电厂工控系统信息安全纵深防御模型。

3.1 核电厂工艺系统“纵深防御”模型

第一层网络用来承载操纵员和执行机构的信息传输，是重要的信息收集和操作指令下发中枢。主要包括非安全级DCS和安全级DCS两部分，应以最高的保护等级进行信息安全防护。

第二层网络提供中等级别的保护，属于核电厂控制系统的三方系统。主要包括三废系统、棒控和棒位系统、汽轮机调节和保护系统、汽轮机监视系统等。

第三层和第四层网络分别部署电厂局域网和企业广域网，主要包括电厂模拟机系统、通信、管理信息系统等，可用适当的信息安全保护来缓解风险。

3.2 核电工控系统信息安全策略“纵深防御”模型

通过在外部网络和工控网络之间建立尽可能多层次的防护，部署多层次的具有不同针对性的安全措施，保护关键的核电工控系统自动化控制过程与应用的安全。

1） 互联网与核电工控系统的访问安全策略;

2） 核电工控系统网络搭建、配置、修改等安全管理策略;

3） 针对安全等级，工艺系统使用网络分层的安全架构;

4） 不同针对安全等级，工艺系统间使用防火墙或不同网络协议进行保护;

5） 核电工控系统自身加固，封闭不需要的端口，协议，服务等;

6） 针对不同需求，配置不同权限的用户账号;

7） 定期更新操作系统，控制系统，应用软件的补丁;

8） 使用与核电工控系统软件兼容的反病毒软件和白名单策略。

4 某核电工控系统信息安全措施介绍

4.1 系统网络结构

核电厂一般分为三层网络，其中LEVEL1和LEVEL2对应工艺系统“纵深防御”模型的一层网络;LEVEL3对应工艺系统“纵深防御”模型的三层和四层网络;与LEVEL1对接的三方系统对应工艺系统“纵深防御”模型的二层网络。此种配置满足信息安全策略“纵深防御”模型的第三条要求。

4.2 用户权限

在操作员站系统内置了6个操作级别：操纵员级别、浏览级别、机组长/值长级别、安工级别、维护级别、系统管理级别。

用户成功登录后，根据登录的用户的操作级别，系统检查该用户是否对各个功能有操作权限，不可操作的功能将其“菜单条”命令或者“按钮”命令变灰或操作时给出提示。

4.3 防病毒软件和白名单策略

在项目上选用与DCS系统同厂商生产的HHiFS-800K工业防病毒软件。此软件摒弃了现有商用防护软件黑名单机制，采样白名单机制，从防护原理上杜绝了实时访问互联网、定期查杀的这两个不适合核电工控系统的硬伤。白名单内的软件可以使用，白名单之外的软件会在启动之前被拦截。

5 核电工控系统面临的威胁及预防

5.1 病毒攻击工控系统方式

以2010年的“震网”（Stuxnet）病毒为例，它是专门针对工业控制系统编写的恶意病毒，能够利用Windows系统和西门子SIMATICWinCC系统的多个漏洞进行攻击，不再以刺探情报为己任，而是能根据指令，定向破坏伊朗离心机等要害目标，被一些专家定性为全球首个投入实战舞台的“网络武器”。

5.2 核电工控系统面临的威胁

通过分析总结“震网”（Stuxnet）病毒攻击方式，进一步拓展到整个核电工控系统的薄弱点，对核电工控系统面临的威胁做了如下总结。

核电站工控系统中的设备主要包括：操纵员站、工程师站、历史站、时间服务器、数据库服务器、接口机、网络打印机、交换機、网线、控制器、各种类型的I/O卡件、GPS时钟等。这些设备加上内部安装的系统软件和应用软件组成一个大的网络系统，它们各自都有自己的信息安全风险点。这些设备可能面临的威胁有：

u被恶意登录。比如被破解密码，敌意的攻击就可能登录上去做权限内的任何事情。

u非法接入。如果一个未经授权的上位机直接接入了系统，也可能造成信息安全事故。

u各种物理接口入侵。这些上位机一般都有一定的外设，比如U盘、光盘。如果木马、病毒、恶意攻击程序通过U盘、光盘等入侵，可能造成整个系统被感染。

u数据破坏。这些上位机都保存有重要的系统数据，一旦这些重要数据被恶意程序破坏，也将造成信息安全事故。

u网络攻击。所有这些上位机都接在同一个网络上，一旦网络被入侵，则所有的上位机都将被攻击，甚至造成整个网络瘫痪，系统失效。

u操作系统内置攻击。由于操作系统都是国外采购，有操作系统被内置攻击程序的可能。

u网络打印机、交换机等属于网络设备。这些设备一般都是进口，它也可能造成一些网络风险。

接口机由于是和外部系统的连接位置，是特别重要的一个信息安全点，其面临的威胁有：

u数据被伪造。接口机接收的数据可能被外部攻击程序伪造，造成系统内部的问题。

u数据被破坏。接口机的数据被破坏以后功能丧失。

u网络攻击。接口机直接和外部接口，易受各类网络攻击。

控制器是最重要的控制设备，它直接执行控制逻辑，输出命令或者数据直接操纵设备。因此它的安全与可靠性要求是最高的。控制器一般采用嵌入式实时操作系统，比如VxWorks，QNX、Linux、Win CE等，它的主要面临的威胁有：

u恶意登录。比如被破解密码，则控制器的控制权可能被恶意掌握。

u非法接入。如果一个未经授权的控制器直接接入了系统，也可能造成重大的信息安全事故。

u网络攻击。控制器是连接在网络上的，网络攻击很容易到达控制器，可以造成信息安全事件。

u操作系统漏洞。操作系统基本上是进口的，有些漏洞可以被利用来进行攻击。

u网络数据被破坏或者伪造。控制器要和其他网络设备交换数据，包括重要的实时数据与操作命令等。

u非法网络连接。控制器的物理接口包括网络接口，串行通讯口等。

5.3 预防措施

针对上述威胁，不但需要技术方面的防范，同时更需要管理层面的预防，技术与管理相辅相成，缺一不可。

u制定安全管理制定，主要包括：门禁管理、人员管理、权限管理、访问控制管理、防尾随管理、安全防护系统的维护管理、常规设备及各系统的维护管理、恶意代码的防护管理、数据及系统的备份管理、用户口令密钥及数字证书的管理、培训管理等。

u按规定使用外设。比如使用U盘、光盘、移动硬盘等外设，避免病毒、木马、恶意代码、入侵到核电工控系统内。

u按规定保存或使用数据。避免设计原理、组态。关键数据等信息的泄密、被破解、数据被破坏等问题。

u按规定使用网络连接。避免核电工控系统网络被恶意接入。

u按规定升级操作系统、应用软件以及控制系统补丁。避免软件部分存在漏洞被恶意利用。

6 核电工控系统信息安全潜在风险

核电工控系统信息安全涉及多层次，多领域的风险，虽然可以通过各种技术手段和管理手段进行预防，但通过多次发生的病毒对工控系统进行攻击实例可以确定完全阻止病毒攻击工控系统是不可能的。即使再完美地预防也存在核电工控系统信息安全潜在风险。

6.1 操作系统的风险

微软将Windows7之后的操作系统，从一个本地操作系统，转变为云操作系统，其所有底层应用，都会同步到微软在美国的服务器上。因此国家机关政府采购中心在2014年招标的一批协议供货产品中，要求所有计算机类产品不允许安装Windows8操作系统。

核电工控系统中的IT设备出于安全、稳定、兼容性等因素考虑，多数都使用微软的Windows7和早期的Windows Sever作为操作系统，同时在系统上安装微软的office软件。微软官方通知，在2017年1月14日停止对Windows7系统提供主流更新，只提供安全补丁，直到2020年1月14日。“震网”（Stuxnet）病毒就是使用了Windows系统四个零日漏洞进行攻击的，也就是说随着Windows7停止更新，零日漏洞和其他漏洞将不断增加，并得不到对应的补丁，操作系统的防护屏障将彻底丧失，病毒将如入无人之境。

6.2 工控系统软件的风险

国内核电厂使用的工控系统软件早期以国外的为主，其中就有西门子的SIMATICWinCC系统，近年来逐步被国内系统替代，国产化将是未来趋势。在有记载的病毒攻击中并没有国产工控系统被攻击的记录，但这并不能说明国产工控系统就没有漏洞。随着国产工控系统在国内国际核电厂越来越多地使用，将来一旦黑客或不法分子针对性攻击，国产工控系统也许将面临信息安全的风险。

6.3 工控系统硬件的风险

核电工控系统设备大量使用国外品牌产品，即使是国内品牌在其设备中也大量使用国外芯片，其中计算机类产品几乎全部使用美国的Intel CPU。

在2018年初，Intel CPU被爆出一系列漏洞事件，理论上来说，此次的漏洞几乎影响所有型号的CPU，一度造成社会恐慌。

自“中兴芯片事件”后，国内对芯片国产化的呼声越来越高，从核电信息安全的角度出发，核电工控系统也需要芯片国产化，避免芯片中有意或无意的漏洞对我国核电工控系统的影响。

7 结束语

我国的核电站控制系统中软件系统和硬件设备大部分掌握在国外厂商手中，其架构体系、设备、网络、数据、运维体系等都存在各种不同的信息安全风险，对安全生产存在信息安全威胁。一方面需要实现核电工控系统的国产化从根本上改变信息安全不受控的情况，另一方面从底层到上层进行层层设防的“多层次纵深防御”以加强核电信息安全。

探索适合核电工控领域的信息安全措施，树立正确的核安防理念，建立有中国特色的工控信息安全体系不是一蹴而就的事情，核电工控信息安全之路任重道远。

参考文献：

[1] GB11922-1996.工业过程控制和测量用电动执行机构[S].

[2] 祝榮荣，张士文，殳国华.智能型阀门电动执行机构控制器的设计[J].工业仪表与自动化装置，2005（4）：26-28.

[3] 赵晋梅，贾宝凤，问奴虎.智能电动执行器的应用[J].中国仪器仪表，2004（6）：37-38.

[4] 史旭明，万诗新.国内外工业控制系统信息安全标准与现状分析[J].阀门，2004（6）：4-6.

【通联编辑：梁书】