核电厂仪控系统安全防护策略研究及应用
中核辽宁核电有限公司,中国 ·辽宁 葫芦岛 125112
【摘要】目前,中国核电厂覆盖范围不断扩大,其仪控系统的应用也逐渐增多,面对运行中存在的诸多风险,积极采取系统安全防护策略能够提高整个核电厂的运行效率与质量。鉴于此论文对仪控系统安全运行展开探讨。 Abstract: at present, the coverage of nuclear power plant in China is expanding, and the application of its I & C system is gradually increasing. In the face of many risks in operation, actively adopting system safety protection strategy can improve the operation efficiency and quality of the whole nuclear power plant. In view of this article, the safe operation of the I & C system is discussed.
【关键词】核电厂;仪控系统;安全防护;仪控安全
Key words: nuclear power plant; I & C system; safety protection; I & C safety
1 引言
核电厂仪控系统中,有安全级与非安全级两种系统,前者需要具有执行紧急堆停、安全壳隔离等核安全功能,因此对仪控系统性能和仪控设备的安全可靠性有着较高的要求。通信网络系统作为数字化仪控系统的核心,在安全级数字化仪控系统中的重要地位更加凸显。因此,保证通信网络设计具有功能冗余性、独立性以及多样性,满足单一故障准则和故障安全准则等,是确保通信网络安全可靠的设计原则。
2 核电厂仪控系统分析
仪表控制系统不同于传统的IT信息系统,是一种信息物理融合系统,是以电子电气技术为基础,以计算机信息技术为手段,实现信息管理与自动控制一体化的工业生产运行系统。仪表控制系统由可编程逻辑控制器PLC、远程控制器RTU、分散式控制器DCS及监测和数据采集系统SCADA等仪表控制设备及系统构成,并有信息化领域的管理运行系统。核电仪表控制系统对实时性和可用性的要求较高,并且封闭性较强。典型的核电工控子系统包括全数字化仪控系统、常规岛控制系统、开关站综合监控系统、辐射气象监测系统以及失水事故监视系统等。在建立工控系统安全评估模型前,必须先确定工控系统的网络结构,明确所需评估的对象和评估范围[1]。
3 核电行业仪表控制系统信息安全的威胁
核电厂信息安全的威胁主要来自黑客攻击、数据操纵、病毒、蠕虫和特洛伊木马等,包括以下部分。第一,未识别关键监测点和控制路径,可能导致核电厂仪控系统关键控制路径过饱和、关键监测点出现故障、遭受攻击时未能被及时发现,导致危害进一步扩大。第二,用户、数据与设备认证手段不足,导致核电控制系统信息泄漏,DCS、PLC、仪器、仪表、采集系统(QDP、ILC、BCC等)、核电厂专用控制系统PLS、TOS等关键系统、设备的控制指令被篡改,关键控制数据被篡改,从而失去控制。第三,缺乏网络通信数据完整性校验,未实施数据流控制、未加密、弱加密,使数据在传输过程中可能会丢失、误码或者被篡改,甚至程序的逻辑被修改,从而对核电厂的正常运行产生安全威胁。第四,可能导致核电厂工艺参数信息泄漏,生产系统遭受病毒攻击,核心资产数据泄漏等后果。问题包括:未定义网络边界,不清楚攻击源在哪里,存在泄密、攻击、病毒等;存在许多不可控的安全隐患,如未定义生产网络和办公网络的边界。第五,安全边界防护设备或者策略配置不当,如不根据核电厂的安全需求进行合理的安全防护设计,或者防护设备策略配置不当,可能导致其防护设备无法起到应有的防护作用,甚至对核电厂的生产运行造成负面影响。第六,专用系统中存在非法流量。网络缺少运行专用网络协议,在专有的系统(如核心区的控制系统)中,使控制系统和其他非控制系统的流量共线,导致安全级别高的系统可能受到来自安全级别低的系统的攻击串染,并存在系统下发指令错误而导致系统沦陷的可能[2]。
4 核电厂仪控系统安全防护策略
4.1 软件修改防护
仪控系统修改的目的是消除或避免系统故障。仪控系统的硬件故障一般源于设计或制造中的错误,或是使用过程中的磨损、老化以及环境改变。软件故障不存在磨损和老化因素,主要由设计或开发中的错误以及使用过程中的环境改变而引起,也是典型的运行核电厂仪控系统软件的故障来源,软件故障本身具有隐蔽性。针对不同的修改类型和范围,对运行核电厂的软件修改可进行如下分类。第一类,因工作需要实施的临时控制变更。第二类,因技术改造等需要实施的永久性变更。第三类,供方软件配置错误或组态逻辑/参数与现场实际要求不一致而产生的修改。第四类,供方新发布的软件,现场需要实施的增量式或覆盖式升版。数字化仪控系统的软件V&V的主要任务是查找可能存在的缺陷,评估软件潜在的风险与危害,并提供解决方案以保证产品质量。重要的技术改造以及厂家发布的增量或覆盖式修改必须要有针对性的V&V,以保证软件功能的正确性和安全性。其他几类变更或修改同样需要质量管控。虽然无需像初始软件开发使用完整的V&V流程,但仍应采用某一种或几种V&V活动子项来进行变更内容的验证和确认。
4.2 优化通信网络
SINECH1和SINECL2/FO都是由西门子公司研制的局域网,在目前的仪表控制系统中应用十分广泛,前者主要是基于IEEE802.3(Ethernet)标准中的规范,后者主要是基于IEEE802.4标准中的规范,是一种总线型系统。SINEC1.2是对SINECH1的改进,其有两种形式:SINEC和SINEC1.2/FO,后者较前者的传送距离更远。TXP系统中的SINECH1是在以太网规范基础上建立的,系统中主要的功能冗余结构为2个独立的耦合器,将冗余总线与耦合器连接,在其中一个耦合器出现故障而失去作用时,不会影响整个通信网络产生故障。SINECH1形成开放式的通信网络,采用的是树形网络拓扑结构,提高了网络通信的实时性。为符合通信网络安全标准,增加性能的可靠性,SINECH1使用了环网设计,并形成了SIMATICNET以太网结构,极大地提高了通信网络的容错能力,充分满足通信网络的单一故障准则,在单节点发生故障时能够做到不影响系统正常工作。TXS系统中通信网络主要是SINEC1.2,其功能冗余设计是在系统的上层应用,使其符合通信网络设计的单一故障准则,提高其安全可靠性。同时,在SINEC1.2的通信设计中,电气隔离被应用在其中,且在其传输协议中包括数据隔离的内容,有效地降低了通信网络间的相互干扰作用。
4.3 黑、白名单技术对比
传统的防病毒软件、入侵检测系统、入侵防御系统等都属于典型的黑名单类产品。黑名单类产品基于已知特征进行恶意软件识别、恶意行为识别,通过设置规划好的“不允许”规则来检测匹配文件、报文、行为等,实现对恶意软件和攻击行为的识别和阻止,达到净化效果。在核电厂的网络环境里,黑名单类产品有如下缺点。第一,内置特征库,需要实时更新才能达到较好的防护效果;核电厂仪控系统与外网隔离,无法及时更新系统补丁,不能保证防护效果。第二,在特征匹配过程中会消耗较多资源,可能会造成系统拥堵或缓慢、实时性较差,不满足核电厂仪控系统高实时性的要求。第三,特征匹配不能保证完全准确,可能会存在误报;特别是行为特征识别中,往往会将仪控系统的I/O卡读写等驱动层面的操作当成恶意行为进行阻止。第四,只能对已知特征进行匹配,发现已知的恶意软件和攻击行为,无法防护“0day”漏洞和有针对性的攻击。综合考虑上述黑名单类产品的弱点,需要在核电厂仪控系统的安全防护方案中引入不同于黑名单的防护技术——白名单技术[3]。
4.4 TTCAN协议防护技术
随着电子和通讯技术的发展,核电厂仪控系统及设备已主要采用全数字化技术实现,现场总线也逐渐成为其中重要的数据传输方式。核电厂安全级仪控系统,作为反应堆运行、控制的关键系统,承载大量、周期性的反应堆运行安全关键数据传输,要求网络通讯满足传输速率和响应时间要求,实时性强;同时,要求数据传输完整、可靠,避免冲突和丢包,以确保整个反应堆系统的安全、稳定运行。TTCAN是基于CAN的高层协议,在传统CAN协议基础上引入了时间触发机制,通过时间触发和时分多址结合的方式进行通讯,从而提高总线网络数据传输的实时性和确定性,同时提高总线网络的带宽利用率,能够更好地满足核电厂安全级仪控系统高速率、高实时、高可靠的总线网络数据传输需求。
5 结语
在核电厂的业务场景,操作系统、应用软件和业务操作都比较稳定,变化较少,对可靠性要求极高。采用白名单技术的工控主机防护软件、工业防火墙、审计设备等产品,在防护功能上与传统黑名单产品相似,但是更适合核电厂的特殊场景,最终防护效果更好、对生产系统的影响更小。采用白名单技术的安全产品应该被纳入核电厂整体安全解决方案的备选列表,并得到越来越广泛的应用。
参考文献
[1]范丽辰,王桂海.核电仪控系统的发展综述[C].第三届中国(国际)核电仪控技术大会,2015.
[2]区和坚.工业控制系统信息安全研究综述[J].自动化仪表,2017,38(7):4-8.
[3]张醒,徐建平.工业控制系统重要节点的快速挖掘[J].自动化仪表,2016,37(7):67-71.
