1、前言
核能行业网络安全事件暴露了核电厂仪控系统缺少网络、主机、应用、数据等各方面的网络安全防护手段,一旦发生网络安全事件后果严重。在我国核电网络安全建设运维过程中,由于进口设备多、维护团队多,潜在植入漏洞和引入漏洞的风险较大。
2、核电厂仪控系统信息安全总体要求
核电厂仪控系统信息安全的目标是确保系统的可用性、完整性和保密性,确保由信息安全事件导致的危害降到最低。控制系统系统丧失完整性可能导致误动或拒动,导致设备丧失可用性、设备损毁甚至引发核安全事故。信息安全问题需要技术手段和管理手段密切配合。信息安全要求不仅要包含技术要求,还要对核电厂整个生命周期的各个阶段提出管理要求。
2.1核电厂仪控系统信息安全要采用纵深防护的手段
对信息安全进行防范分级。信息安全防范等级的分配应依据该系统被网络攻击攻破时核电厂在安全和性能方面所遭受的最严重的后果确定。对于不同防范等级的系统采用分级管理,确保系统的核心系统能应对任何信息安全风险。对同防范等级内的系统要进一步落实细化分区管理方案。根据工业控制系统设计规范的分层管理,对现场控制层、过程监控层、生产管理层、企业资源层进行功能划分。根据不同功能的特点采用不同的防护措施,对于同一防范等级分区内的不同功能的信息安全防范要求应同一考虑。对不同防范等级之间的通信应只允许高安全防范等级分区向低安全防范等级进行单向通信。
2.2核电厂应设置独立的信息安全防护审计平台
平台负责监测整个控制系统的信息安全,设置入侵检测,实时记录并提供报警;提供统一管理策略如:身份认证、白名单、病毒防护、补丁管理等。核电厂控制系统应采用符合安全认证的防火墙和控制设备;设置安全防护屏障,禁止采用未通过安全认证的通信协议进行通信。
3、核电厂仪控系统信息安全详细要求
3.1核电厂仪控系统信息安全技术
本节主要从整个核电厂仪控系统结构进行分析,对不同功能的设备提出不同的要求,规范核电厂仪控系统不同类型设备的信息安全技术的性能要求,核电厂仪控系统对信息安全技术的要求:一是现场设备层各类设备不被恶意破坏,不能因恶意攻击导致设备误动或拒动,造成现场事故。二是控制层各类控制器不被破坏或操控,保证控制单元内的程序和组态信息不被篡改,控制器内的自动指令能顺利下发到现场设备,并及时反馈现场运行状态给监视控制层。三是保护各操纵员站、工程师站、服务器等不被破坏,设备上的软件和数据不被篡改,保证操纵人员可以对电厂进行操作,能够监视电厂状态以及对电厂运行服务的计算机化设备的运行状态,保证电厂运行数据不被破坏。四是保护管理系统的软件和数据不被破坏、保证电厂。
根据上述要求信息安全技术要从以下几个方面开展设计:一是从核电厂控制系统信息安全要求有完整的信息安全设计文件。包含整个控制系统的所有通讯、诊断、维护和测试设备以及通信接口的详细清单,还包括系统内部、子系统与子系统之间以及与外部系统之间的通信路径和信息流进行风险分析和评估,对信息流的控制进行权限分配说明,以及对系统和设备间的许可和不受许可的信息流进行分析与处理。二是应从网络总体规划角度避免系统某个设备或某个局域网遭受攻击时蔓延至整个网络。三是每一项系统外的防范措施都必须进行验证或评估。四是应有独立的信息安全审计系统,审计系统应能生成带时间戳的审计记录,审计系统的时间不能被随意修改,应保证审计记录不可被修改。核电厂控制系统信息安全要从整体出发,明确系统安全区域边界。对边界的数据交换应使用物理隔离技术措施进行防护。边界防护应纳入信息安全管理范围。
3.2核电厂仪控系统信息安全管理体系
信息安全管理体系要求应制定信息安全工作的总体方针和安全策略,建立一体化的信息安全管理框架,制定信息安全工作的总体目标、范围、原则等,规范信息安全管理体系:一是建立信息安全管理体系,制定信息安全相关方针、目标和规程。开展信息安全风险评估、分析和评价;二是进行信息安全系统性培训,强化安全教育、提升人员安全意识;三是建立完善的信息安全监管体系,建立惩罚措施;四是定期开展安全测评,形成安全报告并提出改进建议;五是及时识别和处理安全漏洞和隐患,并制定补救措施;六是及时跟进信息安全法律法规和行业标准,对信息安全事件进行监视和评估。
4、核电厂仪控系统信息安全设计
根据对核电厂信息安全技术和管理要求,对核电厂信息安全设计进行细化,核电厂仪控系统信息安全设计必须满足以下条件。
(1)根据信息安全体系要求对核电厂信息安全防范等级进行分级。系统分级的主题可以是系统、设备或系统与设备之间系统与系统之间的通信网络。一般将执行安全级功能以及可能会对安全性有影响功能的系统或设备包括与之连接的通信网络纳入一级;将执行非安全级功能以及电厂正常运行所必须功能的系统或设备纳入一级;其它不会影响电厂安全性和可用性的系统或设备纳入一级。
(2)总体设计时要及时评估信息安全风险。在总体设计时要评估系统内所有的网络通信、诊断、维护和测试设备以及通信接口的详细清单,并对之进行风险分析和评估。对于低一级到高一级通信的网络与通信接口匀应纳入高一级的管理范围。
(3)要保证网络间的隔离和各个子网的独立性。在网络规划是应保证整个仪控系统内的每个子网的独立性,避免因某个局域网遭受攻击而蔓延至整个网络。
(4)对系统边界的防护要求.核电厂仪控系统在与外部网络连接时,应采用物理隔离技术措施进行防护,边界防护应纳入整个系统的信息安全管理范围,确保仪控系统与外部网络的通信是单向的。
(5)访问控制方面应有明确的访问控制权限应实时记录账户登录情况,对异常登录能及时记录并报警,必要时锁定登录权限。对于可编程区域和数据库区域应采取更严格的用户权限管理,严格区分不同用户可访问的区域。
(6)移动存储和无线网络要求。严格限制移动存储介质的访问和无线网络设备的接入,只允许通过边界安全控制设备接入,对于非法接入应能通过技术手段识别并报警。
(7)审计管理应能实时监测网络中的设备运行状况,流量等数据,并监测数据异常应能记录工程师站、操纵员站、服务器、控制器等重要设备的访问日志和操作控制事件等,对于数据异常应能及时识别和监控,并给出包含日期、时间等标识的审计报告。
(8)系统应能定期对历史数组态文件等进行备份。并通过通信网络传输至备用场地;系统应能检测备份介质的运行状态,确保备份的数据处于可恢复状态。
(9)应删除或禁用所有与系统运行操作和维护不相关的组件。
5、结语
核电厂信息安全有其区别于其它核电厂安全设计的特殊性,没有绝对安全的控制系统,信息技术的快速迭代导致相应的信息安全技术与防范手段也需要快速跟进。这对信息安全管理体系提出了新的要求,要求能及时信息安全事件、及时评估信息安全风险、灵活调整信息安全策略。同时对信息安全技术也提出了新的要求,要求及时更新信息安全产品、及时识别风险、及时对漏洞进行修补。
参考文献:
[1]国际电工委员会.核电厂仪器仪表和控制系统针对计算机系统的安全方案的要求:IEC62645[S].2014.
[2]毛磊,郑威,谢新勤.核电仪控系统网络安全保护[J].网络空间安全,2016(6):40-43.
