随着现代工业技术的发展,工业化与信息化正在不断融合,工业控制系统越来越多采用通用的通信协议和软硬件系统,并且以各种方式接入网络,从而打破了这些系统原有的封闭性和专用性,造成病毒、木马等安全威胁向工控领域迅速扩散。工业控制系统所面临的信息安全问题日益严重,而且呈现出诸多与传统IT系统不同的特点。核电厂作为国家关键基础设施,是关注的核心,重中之重。仪控系统作为核电厂的神经中枢、关键数字资产,是重点保护对象。而仪控系统从功能安全角度已有完整的法规标准和技术。如何在不降低安全的情况下考虑加强信息安全,有必要提出协调功能安全和信息安全的整体框架。
1核电厂仪控系统安全管理原则
数字式仪控系统整体结构层面应考虑以下原则:(1)网络安全措施不能影响核电厂安全目标。网络安全措施不应损害仪控系统架构实施的多样性和纵深防御的有效性。(2)首先按照IEC61513的要求,进行仪控系统功能初次分配,并进行仪控系统架构总体设计,然后考虑可能影响整体系统架构的网络安全要求。通过迭代设计过程,将可能影响系统架构的网络安全要求整合到一起。(3)网络安全功能不得对安全重要功能所要求的性能、有效性、可靠性和可操作性产生不利影响。(4)安全重要系统增加的网络安全特征应进行失效模式和后果分析,并考虑预防、控制或缓解措施。(5)当两种架构设计有相同等级的安全性时,优先考虑具备网络安全防范特性的设计。但应避免不必要的复杂设计,因为复杂设计既不利于功能安全也不利于网络安全。
2核电厂仪控系统安全防护策略研究及应用
2.1工控行为白名单
工控网内所有节点之间的连接建立,以及指令下发、数据上报等网络交互都属于工控行为。基于对指令的深度解析、业务的深度理解,从正常的工控业务学习工控行为基线,可以建立工控行为白名单。工控协议白名单负责过滤非法报文,保证进入网络的都是合法报文、合法连接,但不能阻止误操作或恶意操作(比如:对公司不满的员工在正常的操作员站下发不合适的指令,停止设备运行)。工控行为白名单的主要作用是弥补工控协议白名单的不足,阻止误操作或恶意操作。建立工控行为白名单需要经过较长的学习过程,采集大量数据,结合多种特征建立行为模型。工控行为白名单生成过程如图1所示。工控行为建模重点是回答4个问题,简称4W:谁(Who),什么时间(When),使用哪些主机(Where),做哪些事情(What)。Who:对应主机的用户,或者系统账号。核电厂仪控系统的所有操作必须能对应授权的操作员。这部分数据由安装在主机上的主机防护软件提供。When:工控行为的时间,也就是网络报文的时间,这部分数据由审计设备提供。对工控行为建模要求整个系统必须统一时钟,否则可能导致学习模型不准确。Where:工控行为涉及的主机节点,即每个工控指令或报文的双方。这部分数据由审计设备提供。What:工控行为的具体内容,对应工控指令。这部分数据由审计设备提供。对工控报文解析得越细,对工控业务理解得越深刻,这个模型就越准确。上述4W数据中,Who的数据需要由主机防护软件提供,其他数据都是由审计设备提供。为保证系统的松耦合,在没有Who的情况下,其他3个W(When、Where、What)可以完成建模工作。在有Who的情况下,模型可以精确到具体的人/账号;在没有Who的情况下,模型精确到网络中的主机。有了4W模型,就可以建立工控行为白名单,即从模型生成规则。这些工控行为白名单下发到审计设备或防火墙后,就可以及时发现异常行为、阻止异常行为。工控行为白名单包括以下特点。①报文深度解析,识别工控指令。②海量数据分析,横向(人、网络)、纵向(时间)结合,形成完整的立体模型———4W模型。③4W模型转换为工控行为白名单,简化防护策略。④有效识别、阻止误操作、恶意操作。
工控行为白名单生成过程图
2.2建立仪控设备分级管理原则
核电厂有数量庞大、类型各异的仪控设备。这些仪控设备对老化降质的敏感程度有很大差异,评估并量化每一个仪控设备的降质程度既不可行,也没必要。对此,应使用一个系统的办法,把资源集中到那些对电厂的安全运行有重大影响并易老化降质的仪控设备上。老化管理应使用基于安全的方法来甄别筛选仪控设备,具体过程如下。①列出所有系统和设备,并识别出安全重要仪控设备及影响机组可用率的设备。②在上述基础上分析直接或间接导致降低或丧失安全功能或影响机组可用率的部件,并识别出部件内部安全重要元件。③从安全重要元件列表中识别出老化降质可能导致部件故障的元器件,并识别出容易老化降质的短寿命元器件。根据大亚湾核电站仪控设备的核安全和机组可用率要求,以及设备是否使用短寿命元器件,将仪控设备分为A、B、C三个级别进行管理。对三个级别的仪控设备采取不同的老化缓解策略,以尽可能取得老化风险控制和成本控制的最佳效益。大亚湾核电基地仪控设备分级情况如下。A级设备:影响重要核安全功能的设备或单一故障导致停机停堆或需要停机停堆处理的设备。根据老化识别,对A级设备可进一步分为A1级设备和A2级设备。其中,A1级设备是指含有短寿命元器件的A级设备或老化失效危险度高的A级设备,A2级设备是指除A1级外的所有A级设备。B级设备:此类设备本身没有安全级别的要求和鉴定要求,但它的失效可能引起安全相关设备功能水平的降低。该类设备的故障或瞬态,可能导致电厂的能力因子、可用率的降低。对B级设备,可根据老化识别进一步分为B1级设备和B2级设备。其中,B1级设备是指含有短寿命元器件的B级设备或老化失效危险度高的B级设备,B2级设备是指除B1级外的所有B级设备。C级设备:除A级和B级以外的其他设备。C级设备不纳入老化管理范围。
2.3保障对象的拓展
数字化仪控系统中的设备可以分为基于数字式计算机技术实现的系统(CB)和基于数字逻辑实现的系统(HPD)两类。目前信息安全乃至工控信息安全领域的主要讨论对象都是基于数字式计算机实现的系统,较少的涉及采用FPGA或CPLD等可编程数字逻辑器件实现的系统。在IEC62645-2014中,已经明确地把可编程逻辑器件所构建的系统作为与基于数字计算机技术实现的系统相并列的对象进行讨论。
结语
随着仪控设备可靠性和老化管理工作的进一步开展,要求不断开发新的老化分析技术,尤其是针对DCS、PLC等数字化板件的老化检测技术。在核电厂的业务场景,操作系统、应用软件和业务操作都比较稳定,变化较少,对可靠性要求极高。采用白名单技术的工控主机防护软件、工业防火墙、审计设备等产品,在防护功能上与传统黑名单产品相似,但是更适合核电厂的特殊场景,最终防护效果更好、对生产系统的影响更小。采用白名单技术的安全产品应该被纳入核电厂整体安全解决方案的备选列表,并得到越来越广泛的应用。
参考文献
[1]王小山,杨安,石志强,孙利民.工业控制系统信息安全新趋势[J].信息网络安全,2015(01).
[2]卿斯汉.关键基础设施安全防护[J].信息网络安全,2015(02).
[3]章坚青,王根生.核电厂安全重要仪表和控制系统标准体系概述[J].自动化仪表,2010(09).
