核电站非安全级DCS网络和主机信息安全防护

第28卷第1期2021年1月仪器仪表用户INSTRUMENTATION

Vol.282021 No.1

薛文俊，韩新宇，徐勇

（国核自仪系统工程有限公司，上海 200241）

摘要：

随着工业4.0的浪潮滚滚而来，核电站控制系统已经普遍改造为SCADA、DCS 等数字化控制系统。工业以太网、工业现场总线，以及大量标准互联网技术已经被应用于核电站控制系统。本文将聚焦于网络安全和主机安全，探讨核电站非安全级DCS 的信息安全防护。DCS 网络安全防护将主要涉及3个方面，包括区域划分、边界防护和网络入侵防护。DCS 主机安全防护将主要涉及集中管理，用于给出一种核电站非安全级DCS 的信息安全防护方案，着重通过网络安全防护措施和主机安全防护措施，有效提高核电站非安全级DCS 的信息安全防护能力。关键词：核电站非安全级DCS ；网络安全；主机安全

涂料过滤器中图分类号：TK08 文献标志码：A

Cyber Security Protection of Non-safety DCS Network

and Host of NPP

Xue Wenjun ，Han Xinyu ，Xu Yong

（State Nuclear Power Automation System Engineering Company, Shanghai, 200241, China）

Abstract：With the arrival of industry 4.0, NPP control system has been generally upgraded to digital control system such as SCADA or DCS. Industry Ethernet, industry field bus, and a large number of standard internet technologies have been applied to NPP control system. This article will focus on network security and host security to explore the cyber security protection of Non-safety DCS. DCS network security protection will mainly involve three aspects, including regional division, boundary pro-tection and network intrusion prevention. DCS host security protection will mainly involve centralized management. The article is used to give an cyber security protection plan for nuclear power plant Non-safety DCS, focusing on network security protection measures and host security protection measures to effectively improve the cyber security protection capability of nuclear power plant Non-safety DCS.

Key words：non-safety DCS of NPP；network security；host security

DOI:10.3969/j.issn.1671-1041.2021.01.020

文章编号：1671-1041(2021)1-0081-04

0 引言

在传统观念中，核电站控制系统一般部署专用设备，运行专用协议，并且与互联网完全隔离。因此，对于核电站控制系统而言，信息安全防护问题未曾受到足够的重视，但是下面这则新闻也许将提醒核电从业人员是时候采用全新的观念来看待核电站控制系统的信息安全防护问题了。

2018年8月3日晚间，台积电在台湾北、中、南三处重要生产基地，同时因病毒入侵而导致生产线停摆，约造成17.6亿人民币损失。台积电的办公网络和产线控制网络是隔离的，而且生产线控制网络也不会与互联网直接连接完全封闭，此次病毒感染事件极有可能是内部人员携带病毒的移动存储设备，而恰巧部分终端未合规所引发的病毒攻击事件。

收稿日期：2020-10-23

作者简介：薛文俊（1987-），男，上海人，本科，工程师，研究方向：核电站非安全级DCS信息安全防护技术研究与应用。

第28卷82仪器仪表用户INSTRUMENTATION

1 电力行业信息系统安全等级保护基本要求

国家能源局作为发电企业的上级主管单位，按照公安

部《关于开展信息安全等级保护安全建设整改工作的指导

意见》要求，结合行业信息系统特点和工作实践，依据《信

息系统安全等级保护基本要求》《电力行业网络与信息安全

监督管理暂行规定》《电力二次系统安全防护规定》等，组

织编制了《电力行业信息系统安全等级保护基本要求》，并

于2012年11月正式印发施行[1]。核电发电企业作为发电

企业的一支，同样要求施行“电力等保要求”。

“电力等保要求”在主体框架结构上，以层面、控制

点和项为支撑点。其中，层面表示在整体上大的安全层面，

准入控制系统

一共分为10大安全层面，其中技术部分分为物理安全、网

络安全、主机安全、应用安全和数据安全及备份恢复5大

安全层面。

根据“电力等保要求”，核电站非安全级DCS属于生

产控制类信息系统，并且可以将核电站非安全级DCS定义

为保护等级3级。

2 网络安全

2.1 网络安全概述

网络安全是“电力等保要求”技术部分的5大安全层面之一。网络安全为核电站非安全级DCS在网络环境的安全运行提供支持。通信和计算机网络是保障生产控制类业务稳定运行的基础设施，网络安全事故将导致网络传输的数据完整性、机密性和网络服务的可用性遭受极大破坏。网络安全防护的重点之一是保障网络边界的安全性，结合《电力监控系统安全防护规定》中网络分区、边界隔离与加密认证等

具体要求，严格落实安全控制策略；另一个防护重点是网络内部对各类安全策略、机制、措施和网络设备自身防护能力进行规范要求，从而抵御各类来自网络内外部的攻击行为[1]。

2.2 网络安全实践

核电站非安全级DCS由3个基本子系统组成：过程控制系统、网络系统和操作管理系统。网络系统主要用于连接系统各节点，实现系统的网络通讯[2]。

某DCS平台网络系统如下，监控环网拓扑结构如图1所示，信息环网拓扑结构与监控环网一致。监控环网主要用于传输生产控制类业务实时数据；信息环网主要用于历史数据、打印数据、日志审计数据，以及设备运行状态数据等的传输。信息环网与监控环网物理隔离，用于分担网络负载。监控环网与信息环网均采用冗余配置，有效避免单点故障。

2.2.1 区域划分

根据“电力等保要求”，对DCS进行区域划分，同时还需考虑与DCS接口的其他仪控系统的区域划分。原则上通过区域化的方式，简化同一区域中连接安全的管理要求。

安全防护问题大多是由网络连接引起的，分配在同一区域的数字设备应具有相同的保护等级。主要关注不同区域之间设备连接的安全性。

DCS主要划分至生产控制大区（控制区），但是用于运行支持中心、技术支持中心和应急信息系统的电厂数据服务器将划分至生产控制大区（非控制区）。与DCS接口的其他仪控系统主要划分至生产控制大区（控制区），但是“气象和环境监测系统”将划分至管理信息大区。因此，当其他系统与DCS存在接口时，必须要考虑这些系统是否存在与不安全网络连接的可能性。

2.2.2 边界防护

在生产控制大区（控制区）内，当核电站安全级系统“保护和安全监测系统”与DCS存在接口时，原则上不得向“保护和安全监测系统”发送任何类型的网络数据流（如确认、信号通知），甚至是任何类型的“握手”协议（包括TCP/IP），包括采用控制连接指示的协议，即只允许严格的单向通讯。因此，在此接口处部署单向网关，在实现功能安全的同时保证了信息安全。

当某仪控系统与DCS存在接口，并且采用接口服务器实现协议转换时，通常此仪控系统内的计算机无法纳入DCS的主机安全防护体系内，因此宜在接口处部署工业防火墙，实现逻辑隔离。目前，市场主流的工业防火墙均支持深度工业协议的解析，例如对于标准MODBUS TCP协议，能够解析当前数据流中的功能码，并且结合用户配置的规则，执行允许或阻止动作。

原则上不允许其他区域的数据流流入生产控制大区（控制区），因此在生产控制大区（控制区）边界处部署单向网关。如果生产控制大区（控制区）必须从其他区域获取数据，宜部署反向网闸，使得通

信过程支持身份鉴别和数据加密传输。

图 1 某DCS平台监控环网拓扑示意图

Fig.1 DCS Monitoring network topology diagram

薛文俊·核电站非安全级DCS网络和主机信息安全防护

第1期83

2.2.3 网络入侵防护

部署网络准入控制策略，在用户访问网络之前确保用

户的身份是可信的。在实际核电站运维场景中，可能出现

因设备故障需要供应商进行排错的情况，避免移动终端随

意接入DCS网络非常重要。当终端接入DCS网络时，首

先由终端设备和交换机进行交互通讯。然后，网络接入设

备将终端信息发送给策略服务器，对接入终端和终端使用

者进行检查。当终端和终端使用者符合策略服务器上定义

的策略后，策略服务器会通知网络接入设备，对终端进行

授权和访问控制。在部署网络准入控制策略的基础上，对

那些未开放给运维的交换机端口，增加IP/MAC绑定策略，

实现双重保护，并且能够有效避免ARP欺骗攻击。

部署入侵检测策略，及时有效地对异常网络运行工况

进行报警。采取旁路部署的方式，用于避免入侵检测工作

影响生产业务的正常运行。在设置入侵检测策略的原则时，

既要考虑支持DCS实际使用工业协议的深度检测，也要考

虑支持木马、蠕虫等常规入侵行为的甄别，这将有效减少

入侵检测的误报率。

目前，主流入侵检测产品通常采用特征库比对的方式

进行实现，实际误报率较为严重，可能使得运维人员面对

仿真海枣树

持续的、大量的、重复的报警事件而无从下手。因此，在

部署入侵检测策略时，建议结合白名单策略一同实施，由

此可以有效提高运维工作的效率。

部署终端非法外联报警策略，及时有效地对异常网络

数据进行报警。对于核电站而言，通过管理手段或许能够

有效地降低人员私自将DCS网络连接至互联网。那么为什么仍然要检测终端非法外联的行为，主要原因是及时发现可能存在的高级持续性威胁攻击。图2展示了一个典型的高级持续性威胁攻击的分析模型，俗称KILL CHAIN。在KILL CHAIN的第6个环节“命令与控制”中，将为攻击者建立可远程控制目标系统的路径，具体的通信行为包含主动外联命令控制服务器等。因此，检测终端非法外联的行为，对于及时发现可能存在的高级持续性威胁攻击有着较大的帮助。

3 主机安全

3.1 主机安全概述

主机安全同样是“电力等保要求”技术部分的5大安全层面之一。主机安全包括服务器、工作站等在内的计算机设备所运行的操作系统及数据库系统的安全。操作系统是管理和分配计算机软硬件资源，提供人机接口和软硬件接口的计算机程序，任何计算机软件都必须在操作系统的支持下才能运行。数据库系统包括数据库及其管理软件，其核心功能是存储、维护和为应用系统提供数据。对于定义为电力生产控制类信息系统的核电站非安全级DCS来说，主机系统是其构成的关键部分，是承载各类业务应用和服务的软硬件平台，也是信息安全保障的重点[1]。3.2 主机安全实践

核电站非安全级DCS将依据集中管理的思路，实施主机安全防护。

提供防病毒和补丁的集中管理。DCS通过部署防病毒服务器实现主机防病毒的集中管理，以及操作系统补丁的集中管理。商用计算机系统与DCS工作站在防病毒策略和补丁升级策略上是完全不同的。由于工业控制系统强调可用性，尤其要避免因系统不可用而引起的业务中断，DCS 工作站宜舍弃对疑似病毒行为的实时拦截，仅要求报警指示，并且还宜舍弃对操作系统补丁的及时修复，必须在验证预计修复的操作系统补丁不会影响生产业务系统正常运行后，阶段性的批量修复这些操作系统补丁[3]。

提供主机安全策略的集中管理。DCS通过部署域控制器实现主机安全策略的集中管理。任何位于Administrators 组的账号均是攻击者的首要目标，口令破解仍旧是攻击者获取操作系统最高权限的最有效方式之一。尽管通过周期性的更换口令，设定口令历史限制，可以非常有效地保护账户口令，但是这些措施将使运维工作变得十分低效，并且容易出错。因而通过域控制器统一管理账号和口令，既能够有效实现口令安全，同时也为运维工作带来便利。值得注意的是，为了避免域控制器的单点故障，部署冗余域控制器十分必要。

图 2 KILL CHAIN

Fig.2 KILL CHAIN

第28卷

仪器仪表用户INSTRUMENTATION 提供主机运行状态的集中管理。在传统IT 主机运维过程中，普遍重视主机运行状态，但在工业控制领域由于主机运行场景固定，反而不受重视。主机运行状态主要包括存活状态、CPU 使用率、内存使用率，以及磁盘使用率等。就实现技术而言，普遍采用SNMP 协议（简单网络管理协议）获取主机的运行状态。值得注意的是，由于目前Windows 操作系统不支持SNMP V3版本，无法实现用户身份鉴别和数据加密传输。仅能采用SNMP V2版本，其中Community 不允许采用默认值Public 和Private。

提供日志审计的集中管理。针对“电力等保要求”的审计要求，部署日志服务器是一种高效的实现方法。部署日志服务器将提供两个优势：① 统一采集和存储日志，这将有利于保护日志，有效预防日志在本地存储时存在的丢失问题，并且还可以通过设置日志的访问控制策略，实现审计角的独立性；② 关联分析，目前信息安全防护方案已经不再仅仅局限于发现和解决局部异常工况，而是要从局部异常工况推演全局系统是否正在受到高级持续性威胁攻击，显然分布式的日志系统几乎无法满足此项要求。

4 结束语

本文着重探讨了核电站非安全级DCS 信息安全防护中

的网络和主机安全防护措施。笔者认为，核电站非安全级DCS 网络和主机信息安全防护有以下几个难点：① 信息安全防护措施不能影响业务系统的可用性。因此，原则上尽量采取旁路部署的方式，采取异常报警的方式，避免主动拦截。即使严格按照上述原则，在现场部署前仍然要进行长期兼容性测试，尤其需要明确额外部署的信息安全商业现货运行时的行为特征，建议通过分析信息安全业务日志、数据载荷等方式实现；② 信息安全防护措施要将防护高级持续性威胁攻击作为防护背景，当高级持续性威胁攻击投入足够多的资源时，仅仅依靠已知的信息安全防护措施几乎不可能防御，但是及时发现异常工况，有助于尽早甄别出高级持续性威胁攻击，以此达到控制后果和降低损失的目的；③ 平衡安全性和便捷性，不建议无节制的追求安全性，使得运维工作的成本极其高昂。

参考文献：

国家能源局.电力行业信息系统安全等级保护基本要求释义：生

产控制类信息系统分册 [M].北京：电子工业出版社,2015.

李江海，黄晓津.核电数字化仪控系统安全综述[J].原子能科学技

术,2012,46:412-415.

张勇涛，马光强，杜乔瑞.核电站数字化仪控系统信息安全隐患

分析及应对策略[J].核电仪控,2013(2):48-53.

[1][2][3]（上接第89页）

5 结论描图纸

本文针对某特定城市，分别通过卷积神经网络模型和灰模型进行短期天气预测研究，整体来看两种模型的预测结果与实际温度的相对误差和均方误差较小，都能较为精准地对温度进行短期预测，两种方法在对温度短期预测中具有参考价值。但两种模型的预测精度判断和温度的选择以及波动幅度有一

定相关性。总体来看，卷积神经网络预测模型精度高于灰模型，这一结论可以为不同时间序列及天气温度波动情况的短期天气预测提供新的思路。

图7 卷积神经网络与灰模型误差对比

Fig.7 Error comparison between convolution neural

network and grey model

参考文献：

张展耀.基于深度学习理论的光伏功率短期预测研究[D].北京：华北电力大学,2019.

Oscar Martínez‐Alvarado,Claudio Sánchez. Examining model error in potential temperature and potential vorticity weather forecasts at different lead times[J]. Quarterly Journal of the Royal Meteorological Society,2020,146(728).

余沣，董存，王铮，等.考虑山东近海不同风能天气特征的风电功率区间预测模型[J].电网技术,2020,44(04):1238-1247.

漆雾净化装置

石高辉，陈晓荣，刘亚茹，等.基于卷积神经网络的人脸关键点检测算法设计[J].电子测量技术,2019,42(24):125-130.

宋佳兴，刘庆伟，罗哲，等.基于深度神经网络的车辆检测系统[J].传动技术,2019,33(04):3-9.

Moslem Azamfar,Jaskaran Singh,Inaki Bravo-Imaz,Jay Lee. Multisensor data fusion for gearbox fault diagnosis using 2-D convolutional neural network and motor current signature analysis[J].Mechanical Systems and Signal Processing,2020,144.周东方，王志虎，丁风海.基于灰神经网络的装备计量预测研究与实现[J].计算机测量与控制,2020,28(06):23-27.

val-031南晓雪.基于灰模型的港口船舶通航能力估计[J].舰船科学技术,2020,42(12):196-198.

史云扬，李牧，付野，等.基于灰-BP神经网络模型的多情景交通用地需求预测——以长江中游城市为例[J].中国农业大学学报,2020,25(06):142-153.

[1][2]

[3]

[4][5]

[6]

[7][8]

[9]

本文发布于:2024-09-25 12:25:34，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/2/342109.html

上一篇：探讨医院网络改造中地址划分和准入应用

下一篇：计算机信息系统安全专用产品销售许可证目录(2010年3月)