王睿智
福建福清核电有限公司 福建 福清 350318
Research and application of safety protection Strategy for nuclear Power plant's instrument control system
摘要:核能行业的网络安全事件暴露了缺乏针对核电厂IC系统的网络,主机,应用程序和数据的网络安全保护措施。一旦发生网络安全事件,后果将非常严重。在分析核电相关网络安全标准的基础上,研究白名单策略与黑名单策略的技术差异,提出在核电厂现场应用白名单保护策略的工作方向,从而详细分析程序白名单,外围白名单,工业控制协议白名单,工业控制行为白名单的基本概念,技术特点和实际应用场景,描述白名单保护策略的具体实施计划,包括计划,设计,验证,实施和维护5个步骤以及在实际核电站中部署产品。经过核电厂的实际验证,白名单技术保护的网络区域可以有效地防止恶意软件的破坏,并防止恶意消息的传输,从而保护核电厂IC系统的安全。
Abstract: Network security incidents in the nuclear energy industry have exposed the lack of network security protection measures for IC systems in nuclear power plants, including networks, hosts, applications and data. Once a network security incident occurs, the consequences will be very serious. Based on the analysis of the nuclear power related network safety standards, the whitelist and blacklist strategy of technical differences, put forward at the scene of the nuclear power plant application whitelisting protection strategy work direction, thereby white list, detailed analysis of peripheral white list, industrial control protocol white list, the basic concept of industrial control behavior white list, technical features and practical application scenarios, describe the whitelist protection strategies of the concrete implementation plan, including plan, design, validation, implementation and maintenance of the five steps and deployment in the actual plant products. Through the actual verification of nuclear power plant, the network area protected by whitelist technology can effectively prevent the damage of malicious software and prevent the transmission of malicious messages, so as to protect the security of nuclear power plant IC system.
关键词:核电厂;仪器控制系统安全防护
Key words: Nuclear power plant; Instrument control system safety protection
引言
随着现代工业技术的发展,工业化与信息化不断融合,工业控制系统越来越多地采用通用的通信协议以及软件和硬件系统,并且以各种方式连接到网络,从而破坏了这些系统的原始功能。封闭性和特殊性已导致诸如病毒和特洛伊木马之类的安全威胁迅速传播到工业控制领域。工业控制系统面临的信息安全问题变得越来越严重,并且它们表现出与传统IT系统不同的特征。作为国家的关键基础设施,核电站是关注的核心和重中之重。仪器控制系统作为核电站的神经中枢和关键数字资产,是关键保护对象。从功能安全的角度来看,仪器控制系统具有完整的法规,标准和技术。如何考虑在不降低安全性的情况下加强信息安全,有必要提出一个协调功能安全和信息安全的总体框架。
1核电站仪表控制系统安全防护原理
1.1网络安全区划分原则
为了更好地实施分类方法,有必要将仪表控制系统中的计算机和数字逻辑的系统划分为几个安全区域。区域允许在安全性和设备功能方面具有类似重要性的系统组合在一起,以方便管理和采取保护措施。定义安全区域的标准可能包括组织问题,本地化,体系结构或技术方面。在划分网络安全区域时应考虑以下原则: (1)网络安全区域的划分应考虑并使用为增强安全性而引入的独立性和物理隔离要求;
(2)网络安全区域的划分还应考虑数据通信,地理/物理隔离和独立性;
(3) 除非能够从网络安全的角度有效地过滤和监视分区之间的通信,否则应将由多个子列组成的仪器控制系统划分为同一网络安全区域。
1.2隔离原理
在某些情况下,隔离设计还可以用于网络安全保护。网络安全负责人应根据实际情况来分析,并采取隔离措施,促进安全防范。功能安全相关标准提出的用于支持A类功能的控制系统的独立性要求有利于网络安全,应评估和验证特定方案,以将这些措施包括在网络安全预防措施中。这些控制系统的独立性要求包括:(1)对于仅用于检测或保护目的的A类信号,应特别注意也用于控制系统的A类系统信号(无论其类型如何) 。这是因为传感器故障可能导致控制系统的测量值超过所需的允许值,并产生不安全的控制动作。同时,它还将计划保护系统免于检测到不安全状况。 (2)保护系统和控制系统的设计应具有以下相似性和总和:对于两个系统之间传输的信号,假定单个故障包括后续故障,并且不会引起需要安全措施的事故或瞬变。同时,它们不能触发不可接受的A类系统降级。 (3)当A系统中的单个随机故障及其后的任何后续故障都可以触发控制系统动作,从而导致需要安全动作的工作状态时,即使有第二个随机故障使A系统如果系统降级,则A类系统仍应具有提供安全措施的能力。无论出于何种原因(包括测试或维护目的),都应采取措施绕开或退出组件的操作,系统应满足此要求。 (4)即使有效的旁路,传感器和设备具有经试验证据证明的高可靠性,提供控制信号的保护系统也需要进行比较论证和证明。如果在维护期间使用了适当的旁路措施,则使用故障安全设备和自动检测故障传感器的三分之二系统可以满足要求。
2核电厂仪控系统安全防护策略研究及应用
2.1黑白名单技术的比较
传统的防病毒软件,入侵检测系统(入侵检测系统,IDS),入侵保护系统(入侵保护系统,IPS)等都是典型的黑名单产品。黑名单产品根据已知特征执行恶意软件识别和恶意行为识别,并通过设置计划内的“不允许”规则识别并防止恶意软件和攻击行为,从而检测匹配的文件,消息,行为等。达到净化效果。在核电厂的网络环境中,黑名单产品具有以下缺点。内置功能库需要实时更新以实现更好的保护;核电厂的仪表和控制系统与外部网络隔离,系统补丁无法及时更新,保护效果无法得到保证。在特征匹配的过程中,会消耗更多的资源,可能导致系统拥塞或运行缓慢,实时性能差,无法满足核电站IC系统的高实时性要求。特征匹配的准确性无法保证,否则可能引起误报。特别是在行为特征的识别中,通常会阻止驱动程序级别的操作(例如,仪表控制系统的I/O卡读写)为恶意行为。仅可以匹配已知特征,可以找到已知恶意软件和攻击行为,但不能保护“ 0day”漏洞和定向攻击。考虑到上述黑名单产品的弱点,有必要将保护技术——(不同于黑名单技术)引入到核电厂IC系统的安全保护方案中。
2.2完善相关法律法规
完善相关法律法规,使网络安全的法规要求反映在各级法规中。如上所述,当前位于我国的核安全法规几乎没有与网络安全相关的法规,法规水平很低,并且某些工业要求无法反映核电厂的特殊要求。无论是国际原子能机构还是核监管委员会,对信息安全的要求都涵盖了文件/监管系统的所有级别,包括程序和可执行性。因此,对于我国,迫切需要将网络安全要求添加到更高级别的法规甚至法律中。
2.3加强监管
首先,可能需要将系统漏洞,病毒,特洛伊木马,网络攻击和内部恶意行为视为基本设计威胁。在数字仪器控制系统的设计,验证和确认中必须考虑这些威胁。它还可以提出一些分析和判断风险或威胁的基本要求。其次,根据确定的设计基准威胁,结合我国的安全监管和核电厂的实际情况,提出网络安全计划或计划的标准格式和内容,并要求核电厂要提供相应的计划或计划,并且需要监管机构的审查和批准。第三,明确安全控制措施的基本要求,包括技术,操作和管理。这些安全措施可以成为网络安全计划的一部分,也可以计划标准格式和内容,要求核电厂进行详细的安排。
2.4整个行业的信息共享和经验反馈
一旦发现漏洞,病毒或特洛伊木马入侵,应向整个行业报告并反馈经验,并应事先采取对策以防止同一系统中再次发生相同或相似的情况。同时为数字仪表控制系统的开发和完善提供参考。
结论
经过多年的发展,采用白名单技术的工业控制安全产品已经取得了长足的进步,并得到了国内外安全从业者的认可。大量现场应用结果表明,该技术产品具有安全性高,可靠性高,功耗低,省时省力的特点。白名单技术产品不仅适用于一般工业场所,而且有望在不久的将来成为核电厂IC系统的“标准配置”。在核电厂的业务场景中,操作系统,应用程序软件和业务运营相对稳定,几乎没有变化,并且对可靠性的要求非常高。使用白名单技术的工业控制主机保护软件,工业防火墙,审计设备等产品在保护功能上与传统黑名单产品相似,但更适合核电站的特殊场合,最终的保护效果更好。影响更大。系统很小。使用白名单技术的安全产品应包括在核电厂总体安全解决方案的候选列表中,并且应越来越广泛地使用。
参考文献
[1]国家质量监督检验检疫总局.工业自动化和控制系统网络安全集散控制系统(DCS)第4部分:风险与脆弱性检测要求:GB/T33009.4-2016[S].2016.
[2]国家质量监督检验检疫总局.网络安全技术工业控制系统网络安全应用指南:GB/T32919-2016[S].2016.
[3]王小山,杨安,石志强,孙利民.工业控制系统信息安全新趋势[J].信息网络安全,2015(01).
[4]卿斯汉.关键基础设施安全防护[J].信息网络安全,2015(02).
[5]国家核安全局.HAF102-2016核动力厂设计安全规定[S].2016.