随着我国国民经济的快速发展,环境日趋恶劣,能源供应正在成为制约我国经济、社会和环境发展的一个瓶颈,传统能源的外部性环境成本得到重视,我国能源结构向清洁低碳化倾斜,核电始终被寄予厚望。根据核电十三五规划,到2020年,我国核电将达到5800万千瓦在运,3000万千瓦在建的规模。
核电站从工程管理、工程设计、设备制造、工程建设、安全运行和退役,无一不体现高端技术,仪控系统就是其中一项重要的组成部分。随着全球信息化和数字化技术的迅猛发展,核电仪控系统的数字化是当前核电技术发展的必然趋势,目前国内在建的核电站均采用了全数字化的仪控技术。日本福岛发生核事故之后,客观上对核电安全的要求提高,对仪控技术与装置的研究、设计、制造、选型、应用、维护提出了越来越高的要求,全数字化仪控系统的应用将对确保核电厂的安全、可靠、经济运行,起到至关重要的作用。
核电数字化仪控系统架构
典型的核电数字化仪控系统结构分为四层,分别为:
LEVEL0:现场控制层,主要包括以执行器和变送器为主的现场设备;
LEVEL1:过程控制层, 主要基于数据采集单元、数字化仪控控制站和PLC产品,完成现场信号输入输出、自动控制和保护功能;
LEVEL2:操作控制层(操作和信息管理层),主要包括放置于主控室、远程停堆站、技术支持中心等控制室的操作站、后备用盘等人机交互设备和相关的数据处理设备;
LEVEL3:管理层,即第三方控制接口以及管理层,主要包括电站信息系统、应急处理系统等。
其中管理层采用TCP/IP以太网,在操作控制层和过程控制层以及不同辅控系统之间采用工业以太网互联;过程控制层采用高速现场总线进行通信。反应堆保护安全级控制系统与非安全级控制系统之间数据通信通过安全级网关执行,核电数字化仪控系统架构如图1所示。
图1 核电数字化仪控系统架构
核电数字化仪控系统安全脆弱性分析
技术脆弱性:
核电数字化仪控系统的数字化和信息化程度不断提高,其越来越多地采用通用协议、通用硬件和通用软件,以各种方式与办公网络等公共网络连接,不仅具有工控网络特有的安全脆弱性,还引入了传统信息资产的安全脆弱性,主要体现在网络、主机、应用软件以及数据安全方面【由于核电站能源利用的特殊性,核电站已经采取了十分严格的物理安全措施】:
网络脆弱性:网络安全边界不清晰,未部署网络边界防护设备或设备策略配置不当,未对关键监测点进行网络安全监测和审计;
主机脆弱性:主机终端使用默认配置,导致不安全或不必要的端口或服务没有关闭,缺乏安全管控措施(包括防病毒、恶意代码监测、外设管控等);
应用软件脆弱性:核电数字化仪控系统设计时更多关注可用性和功能实现,忽略了系统的安全性,导致工控系统安全漏洞快速增长,如缓冲区溢出、拒绝服务等高危漏洞;同时应用软件的补丁程序未及时安装更新、认证和访问控制措施不足;
数据安全脆弱性:敏感数据传输和存储未加密,对敏感数据的访问控制措施不当,缺乏对敏感数据操作的审计。
管理脆弱性:
核电数字化仪控系统的管理脆弱性主要体现在信息安全策略及程序文件不充分甚至缺失、信息安全培训计划及相关规章制度欠缺、很少或基本没有组织信息安全培训和意识培训、第三方运维管理措施不完善、以及缺乏完备的授权验证机制、软件不能及时更新等方面。
核电数字化仪控系统安全解决方案
2016年11月11日工信部发布的《工业控制系统信息安全防护指南》(以下简称“指南”)涵盖工业控制系统设计、选型、建设、测试,运行、检修、废弃各阶段安全防护工作要求,更加明确地提出了工控系统信息安全防护的指导思想。本文基于指南的相关要求提出了核电数字化仪控系统信息安全的纵深防御解决方案,总体安全防护架构图如图2所示,具体防护措施如下:
图2 核电数字化仪控系统安全防护架构图
安全技术体系建设:
- 网络安全防护
- 网络边界划分:二层信息网和厂级管理层之间的网络边界(二层信息网到厂级管理层的数据单向传输);监控网和现场控制层之间的网络边界;安全级控制系统和非安全级控制系统之间的网络边界;监控网和第三方专用仪控系统之间的网络边界;
- 网络边界防护:二层信息网和厂级管理层之间、安全级控制系统和非安全级控制系统之间部署单向隔离装置实现数据单向传输;在监控网和现场控制层之间、监控网和第三方专用仪控系统之间部署工业安全网关阻断来自监控网的病毒传播、黑客攻击等行为,限制违法操作,避免其对控制网络的影响和对生产流程的破坏;
- 内部网络监测:在二层信息网和监控网分别旁路部署工控入侵监测系统和工控异常行为审计系统准确监测网络异常流量,通过对相关工控协议进行深度解析,及时发现潜在的网络攻击和异常行为并在第一时间告警。
- 主机安全防护
核电数字化仪控系统主机资产主要包括操作员站、工程师站、服务器、网络设备以及业务应用系统。
- 对主机终端进行安全加固:实现对账号权限、口令策略、系统服务、补丁更新、日志管理等方面的安全配置,结合核电业务需求和相关信息安全标准规范制定各类主机资产安全配置基线,并部署工控安全配置核查系统定期进行安全配置审计;
- 在主机终端部署工控终端管控系统实现对外设进行严格的访问控制、状态监控、进程监控、病毒防护、恶意代码监测、操作行为审计、基于白名单机制的应用程序管控;
- 应用安全防护
核电数字化仪控系统应用主要包括操作员站、工程师站以及服务器的监视软件、组态软件等应用软件,控制站的嵌入式操作系统以及应用软件。
- 部署工控漏洞扫描系统和工控漏洞挖掘系统对上下位机操作系统和应用软件进行漏洞扫描,对工控资产进行风险评估和验证漏洞修复情况;
- 加强供应链管理,在核电数字化仪控系统设计和选型阶段,通过合同要求等方式约束工控设备供货商将信息安全因素考虑其中,选择经过严格测试和认证的安全工控产品和应用软件;
- 建立漏洞管理和补丁更新的应急响应机制并责任落实到人,不仅关注涉及操作员站、服务器等传统IT资产的漏洞信息,更重要的要关注涉及控制器、PLC等工控设备的漏洞信息,在安装补丁前进行充分的安全评估和验证测试。
- 数据安全防护
- 数据在存储传输过程中通过加密方式进行处理,加强对敏感数据的访问控制;
- 部署数据库审计系统,对存储关键数据的数据库进行异常行为进行告警通知、审计记录和事后追踪分析;
安全管理体系建设:
核电数字化仪控系统的信息安全管理体系建设是一个系统性的工程,应遵循和借鉴国内外有关核设施信息安全的相关标准和最佳实践,在对实际控制系统全面、科学风险评估的基础上,综合考虑成本和风险平衡,建设有效的、可操作实施的信息安全管理体系。
符合性分析
| 《指南》要求项 | 要求内容 | 防护措施 | 符合情况 |
| 网络安全 | |||
| 三、边界安全防护 | 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。 | 根据核电数字化仪控系统架构和安全性进行网络边界划分,在网络边界处部署工业安全网关和单向隔离装置,实现核电系统和厂级管理网的的逻辑隔离和不同网络分层之间的安全防护。 | 符合 |
| 通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。 | |||
| 六、远程访问安全 | 确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。 | 部署工业安全网网关(支持VPN功能)实现对远程维护访问的身份认证和数据加密。 | 符合 |
| 确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行; | |||
| 七、安全监测与应急演练 | 在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为; | 在二层信息网和监控网分别旁路部署工控入侵监测系统和工控异常行为审计系统准确监测网络异常流量,及时发现潜在的网络攻击和异常行为并在第一时间告警。 | 符合 |
| 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。 | 在重要控制设备前部署工业安全网关,阻断来自监控网的病毒传播、黑客攻击等行为,限制违法操作,避免其对控制网络的影响和对生产流程的破坏。 | 符合 | |
| 主机安全 | |||
| 一、安全软件选择与管理 | 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。 | 在主机终端部署工控终端管控系统实现对外设进行严格的访问控制、状态监控、进程监控、病毒防护、恶意代码监测、操作行为审计、基于白名单机制的应用程序管控。 | 符合 |
| 建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。 | |||
| 五、身份认证 | 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。 | 在工控终端设置多因素认证,强化口令强度,禁止使用设备默认口令,实现工控终端的强认证。 | 符合 |
| 强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。 | |||
| 加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。 | |||
| 应用安全 | |||
| 二、配置与补丁管理 | 做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计; | 对主机终端进行安全加固:实现对账号权限、口令策略、系统服务、补丁更新、日志管理等方面的安全配置,结合核电业务需求和相关信息安全标准规范制定各类主机资产安全配置基线,并部署工控安全配置核查系统定期进行安全配置审计。 | 符合 |
| 对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。 | 建立漏洞管理和补丁更新的应急相应机制并责任落实到人,不仅关注涉及操作员站、服务器等传统IT资产的漏洞信息,更重要的要关注涉及控制器、PLC等工控设备的漏洞信息,在安装补丁前进行充分的安全评估和验证测试。 | 符合 | |
| 密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。 | |||
| 十、供应链管理 | 在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。 | 加强供应链管理,在核电数字化仪控系统设计和选型阶段,通过合同要求等方式越是工控设备供货商将信息安全因素考虑其中,选择经过严格测试和认证的安全工控产品; | 符合 |
| 数据安全 | |||
| 九、数据安全 | 对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。 | 数据在存储传输过程中通过加密方式进行数据处理,加强对敏感数据的访问控制;
部署数据库审计系统,对存储关键数据的数据库进行异常行为进行告警通知、审计记录和事后追踪分析; |
符合 |
关键技术思考
核电数字化仪控系统信息安全需要形成从网络边界隔离防护到内部网络异常行为审计,从工控设备安全风险评估到工控终端安全管控,到最后的敏感数据安全防护的纵深防御技术体系,结合核电数字化仪控系统实际安全需求提出以下几点关键技术:
- 核电数字化仪控系统是核电站的“神经中枢”,对工控设备的安全性和可靠性要求极高,同样用于核电数字化仪控系统的工控安全设备在设计上要充分地考虑自身的安全性、可靠性以及性能等因素,并需要进行充分的验证和测试;
- 目前,国内在役的核电站数字化仪控系统和工控设备主要被国外技术垄断,需要在获取相关资料的基础上对这些工控设备和协议进行深度地分析,以支撑工控安全设备的功能;
- 目前国内在役的各核电站数字化仪控系统架构不尽相同,要在充分挖掘各核电站客户实际安全需求的基础上不断完善工控安全产品体系,优化工控安全产品功能以及工控安全产品跟核电数字化仪控系统设备的兼容性。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880