下载文档原格式
第24卷 第11期2017年11月仪器仪表用户INSTRUMENTATIONEIC Vol.242017 No.11核电行业工业控制系统信息安全风险评估方法研究徐霞军,祁 勋,陶明驹,赵 磊(江苏核电有限公司,江苏 连云港 222000)摘要:核电行业工业控制系统中部分关键系统具有资产组成单一、整体结构简单等现状,当使用传统的以信息资产为对象的定性风险评估方式进行信息安全风险评估时,出现部分关键工业控制系统风险被低估的情况,进而导致难以全面、客观地反映出核电站工业控制系统所面临的信息安全风险。
田湾核电站组织专项研究,通过对国内外信息安全领域、工业控制领域以及电力行业的风险评估方法进行整合分析,并结合核电行业设备维修、维护管理方式的特点和特色,最终整合经典的信息安全风险评估方式、可靠性维修管理(RCM)方式以及失效模式及影响分析(FMEA)方法,形成更加适用于核电行业工业控制系统的信息安全风险评估方法。
关键词:核电;工业控制系统;风险评估;RCM;FMEA中图分类号:TL48 文献标志码:AResearch on Information Security Risk Assessment Method of IndustrialControl System in Nuclear Power IndustryXu Xiajun, Qi Xun, Tao Mingju, Zhao Lei( Jiangsu Nuclear Power Co., Ltd., Jiangsu, Lianyungang, 222000, China)Abstract: In nuclear power industry, some of the key industrial control system have the characteristics of simple structure and consisting of a single asset. If using traditional information risk assessment methods which uses information assets as objects, some of the key industrial control system will be undervalued, and it will be difficult to comprehensively and objectively reflect the information security risks faced by the industrial control system in nuclear power industry.Tianwan nuclear power plant organi-zation research group,though systematizing and analyzing the information risk analysis methods for information security, industrial control and power industry and combined with the characteristics of equipment maintenance and maintenance management style of nuclear power industry, integrated the classic information security risk assessment method, the Reliability-Centered Maintenance (RCM) method and Failure Mode and Effects Analysis (FMEA) method. The formation of information security risk assessment method is more suitable for industrial control system in nuclear power industry.Key words:nuclear power;industrial control system;risk assessment;RCM;FMEADOI:10.3969/j.issn.1671-1041.2017.11.010文章编号:1671-1041(2017)11-0037-050 引言田湾核电站在国内核电站中较早实现了由全数字化仪控系统进生产控制,在带来高效生产力的同时,由于电站建成时间早、使用时间长等原因,电站内工业控制系统的信息安全风险隐患不断积存。
2021工业控制系统中信息安全的风险及防护措施范文 目前计算机技术已经广泛的应用在工业发展中,而工业是国家经济发展的命脉,但目前工业控制系统的信息安全受到了较大的威胁,黑客可以通过网络来入侵工业控制安全信息防护系统,这便会对工业发展造成非常大的影响。
目前我国的石油、电力以及军工等工业发展都使用了工业控制系统,这些工业控制系统一旦遭受黑客的入侵将会给我国的经济造成非常大的影响。
现今黑客技术越来越高,而且黑客病毒越来越多,这些都对我国的工业控制系统的信息安全造成了较大的威胁。
在伊朗核电站遭受病毒攻击以后,其工控系统的安全性受到了极大的威胁,并且危害到了核电站的运行安全,这次事件也使得人们更加注重工控系统的信息安全,目前各个国家都在大力发展自身的工控系统安全性,使得自身的信息安全防护系统得到有效的保障。
1工业系统的概述 工业控制系统主要是将计算机技术运用到工业生产中,并且用计算机来控制工业的具体操作,工业控制系统中包含多个子系统,控制系统就是通过控制子系统来达到完成相应的动作,工控系统在工作中会对生产过程中的数据进行实时监控。
然后依据数据的变换来相应的控制设备达到稳定的状态。
由于工业控制系统都是采取计算机来进行控制的,在工业生产以及管理方面更加便捷,大大减少了人力工作,并且提高了工作效率,但同时其信息安全也受到较大的威胁,工控系统能够对整个生产过程进行控制,所以当工业控制系统遭受黑客入侵以后就能够控制整个生产线,这对于工业生产安全性是非常有害的。
2工业控制系统中信息安全的风险 目前工控系统与网络技术的联系更加密切,与网络密切结合必然就会使得其信息安全性受到威胁,其风险因素更加突出,下面将详述目前工控系统中信息安全的风险因素。
2.1系统融合造成的风险 在工控系统中如果控制系统与管理系统联网必然会给系统信息的安全性带来非常大的威胁,因为黑客一旦入侵管理系统就能够控制工业生产中的控制系统,这对于工业生产而言是非常有害的,而且对于工业生产的安全性造成了较大的危害。
工控系统安全防护问题对策分析随着工业化和信息化的发展,工控系统在工业生产中扮演着至关重要的角色。
工控系统的安全问题一直备受关注,因为一旦受到攻击或者故障,将会对生产运营造成严重的影响。
对工控系统的安全防护问题进行分析并制定对策十分必要。
1.攻击手段多样化工控系统的安全问题主要来源于网络攻击和病毒感染。
网络攻击手段包括端口扫描、密码破解、恶意代码注入、拒绝服务攻击等,而病毒感染则会通过USB接口、网络传输等途径侵入系统。
还存在内部员工的意外操作或者故意破坏等人为因素对工控系统的安全造成威胁。
2.安全防护不足许多工控系统在设计和建设时,并未充分考虑安全性。
缺乏足够的网络安全防护措施,密码设置简单易破解,缺乏安全审计和访问控制等安全机制。
由于工控系统的硬件和软件长期运行,往往存在漏洞和安全隐患。
1.加强网络安全防护针对工控系统的网络安全问题,应加强网络安全管理,建立网络边界防火墙,实施访问控制和安全隔离,对重要数据进行加密传输等措施。
及时更新安全补丁,加强网络设备的安全防护,定期进行网络安全检测和评估。
2.加强系统安全管理对工控系统的密码管理和访问控制进行加强,设置复杂密码,并定期更换,限制权限分级管理,建立安全审计机制,并对系统进行安全事件日志记录和分析,及时发现和处理可疑行为。
3.加强安全意识教育培训加强员工的安全意识教育培训,让员工更加重视工控系统的安全问题,提高他们的安全防范意识,建立安全责任制度,对员工的安全操作行为进行考核和奖惩,确保员工的行为符合安全要求。
4.完善安全应急响应预案建立健全的安全应急响应预案,对工控系统可能发生的安全事件进行预案制定,明确责任人和应急处置流程,定期组织应急演练,提高系统运维人员的应急处置能力。
5.加强硬件和软件安全管理对工控系统的硬件和软件进行安全漏洞排查和修复,定期对系统进行安全风险评估和安全测试,及时更新系统和应用软件的安全补丁,确保系统的正常运行和安全防护。
2021年第20卷第2期核电厂仪控系统信息安全研究□徐博雅【内容摘要】随着数字化仪控系统的大规模应用,核电厂信息安全问题日益凸显,本文主要从法规和技术两个角度对信息安全的要求出发,分析了当今核电厂仪控系统设计过程中的信息安全要求并提出建议。
【关键词】核电厂;仪控系统;信息安全【作者简介】徐博雅(1985.12 ),男,河北人,中国原子能科学研究院工程师;研究方向:反应堆工程与技术随着核电仪控系统数字化的进程随之而来的是信息安全问题日益突出,《中华人民共和国网络安全法》的颁发,将网络、信息安全从规章制度上升到法律的高度。
本文将从信息安全技术和信息安全管理两个方面对核电厂仪控系统信息安全进行分析,提出安全要求。
一、工业控制系统信息安全简述在信息安全领域,工业控制系统信息安全一直处于被忽视的地位;技术和管理手段落后,信息安全意识不足。
人们的主要精力集中于互联网安全、个人隐私安全、资金安全等方面;造成这种局面的原因主要是因为工业控制系统一般是独立而封闭的局域网,对外开放的端口较少导致主观意识上认为系统是安全的,信息安全宣传教育不到位导致的安全意识不足。
从以往的经验看,工业控制系统信息安全存在的隐患是最大的,信息安全事件造成的后果最为严重。
国内工业控制系统的信息安全问题主要集中在以下方面:一是研发、设计、制造水平限制导致的信息安全技术手段落后;二是信息安全管理体系不完善导致的风险;三是信息安全教育不足导致的人为信息安全风险。
而工业系统信息安全造成的后果却非常严重,例如:2015年12月23日乌克兰发生持续三个小时的电网系统事故,影响140万居民用电,经分析确定为网络攻击导致的供电中断事故;2019年3月7日委内瑞拉发生全国性的大范围停电,全国18个州电力供应中断。
从公开资料分析,这两次事件都是有组织、有计划、多渠道、持续性的网络攻击事件,是网络战的经典案例。
二、核电厂仪控系统信息安全需求核电厂的安全性一直是核电厂设计工作的重点,信息安全已经成为核电厂整体安全性的重要组成部分,信息安全设计应贯彻在核电厂仪控系统的设计、制造、调试和运行的整个生命周期中。
核电站安全生产运行存在哪些风险近年来世界不少国家相继出现核电站的泄漏风险,不仅为地区和世界带来前所未有的问题和危机,同时也可能造成更加严重的环境污染,成为当前核电站设施发展的重要议题。
1、技术风险核电站运行的系统风险中,技术风险是其项目本身自带的风险内容,需要对项目建设或者项目运行的技术类型、技术难度、技术复杂程度等一系列因素进行分析和探索。
技术风险,包含核电站的总体规划以及所有关联设备,不少的技术问题,大多是由于设备异常或者设备失效等因素所引发,因此核电站的技术问题,是一项极为复杂和多样的风险问题,需要从多元化的角度和策略进行分析。
其还包含设备技术风险、人员技术风险以及系统运行技术风险,任何一项内容,都可能造成核电站运行过程中产生不确定的问题和隐患。
通常,作为核电站系统运行管理部门,都会构建完善的技术风险管理举措,其目的是进一步控制技术风险出现的频率和程度,从系统化的运行模式中,控制技术风险的影响。
另外,我国核电站设施众多,包含的核电技术种类万千,几乎涵盖全世界所有核电技术的应用类型,对应的技术复杂程度以及技术风险种类极为庞杂,需要大量专业化以及专项化的核电人才给予相应的保障和支持。
近年来,我国相继开展CP1000等级的核电站技术研究,与法国、德国等国家相继开展核电技术研究,进一步将技术风险问题进行限制和管控,防范技术风险的出现和影响。
2、管理风险核电站运行系统的管理风险,主要是指项目运行过程中的管理体系、管理人员、管理举措等相关内容产生的风险问题。
通常,管理风险大多是针对项目的常见风险问题进行规划和考量,不少风险问题是由于管理不善或者管理疏漏等情况产生的异常风险。
例如:日本福冈核电站的泄漏问题,虽然看起来是由于海啸引发的事故灾难,但是实际上依然存在对于风险的管控不当以及管控不足等问题,特别是对于自然灾害以及相关风险,未能建立完善的管理机制以及预警体系,导致在管理过程中,出现无法解决的风险和问题。
核电站安全性分析与评估核能作为一种清洁、高效的能源形式,给人们带来了诸多好处。
但是,与此同时,由核电站可能带来的风险也让人们倍感担忧。
因此,核电站的安全性分析和评估显得尤为重要。
本文将从多个方面探讨核电站安全性的问题。
一、安全性的定义核电站安全性指的是核电站的设计、建设、运营、维护等方面的能力,使其在面对各种意外事件时,能够保证核反应堆的核不发生或者发生小范围的核事故,同时最大程度地保护人类环境和生命财产安全。
二、安全性评估的方法核电站安全性评估的方法主要有以下三种:1、基于风险的评估方法该方法通过对核电站所处环境、设备的状态、人员的能力以及各种事故可能发生的概率进行全面评估,并通过专业的软件工具进行计算,得出维持核反应堆安全性的最小条件。
2、定量评估法该方法主要依据一定的标准,将核电站的各种安全性指标进行量化,并以数字的方式进行评估。
通常,指标是通过风险分析的方法来确定的。
3、综合评估法该方法是将以上两种方法相结合,在定量评估的基础上,综合考虑各种非量化的因素对核电站安全性的影响。
比如:人员素质、管理体制、技术水平等等。
三、评估指标的体系核电站的安全性评估指标非常繁多,这很大程度上是由于核电站本质上是一个大型系统,涉及到诸多方面。
这里我们列举一些主要指标:1、核反应堆的设计核反应堆的设计一直是影响核电站安全性最关键的因素之一。
评估时,要关注于核反应堆本身的安全设计(如有无冗余、安全治理等方面)以及反应堆与其他设施之间的安全性联系。
2、核反应堆周围的基础设置核反应堆周围的基础设置对核电站的安全性也有着至关重要的影响。
这包括:安全措施的设计和实现、消防设施的设置、应急计划的完善等方面。
3、人员素质核电站的人员素质是其安全性的保障之一。
评估时,要考虑到工作人员的专业素养和训练、工作场所的安全性、组织管理安全等等。
4、外部环境因素诸如地震、洪灾、台风等外部因素对核电站的安全性构成着影响。
评估时,需要充分考虑到外部因素对核电站的影响,并采取相应的应对措施。
核电工程实施项目风险管理的探讨与研究摘要:本文对核电工程中的风险以及风险管理进行了探讨和研究,并针对核电工程的特点,对风险的概念和分类进行了探讨,对风险管理的过程进行了改进,提出了项目综合风险管理模型。
在模型中,增加了风险管理的动态反馈、控制功能,并研究了各个阶段中的分析策略和方法。
最后,提出了核电工程的风险管理的组织形式。
关键词:项目管理,项目风险管理,风险管理,核电工程1、引言风险管理是一门新兴的边缘学科,属于价值工程(VE)范畴,是大型建设项目和投资项目的一个重要的内容。
20世纪30年代,风险管理开始在美国出现,到50年代逐渐发展为一门学科。
在美国保险管理学会(ASIM – The American Society of Insurance Management)的推动下,风险管理教育开始在美国风行。
风险管理逐渐成为项目管理的一个重要内容。
在20世纪70-80年代,风险管理得到了迅速的发展,美英日法德等国家纷纷建立了全国性和地区性的风险管理协会。
1986年,欧洲11个国家召开了欧洲风险研究会,风险管理逐渐成为全世界关注的问题。
中国对风险管理的研究开始于20世纪80年代中后期,并开始逐渐应用到工程项目中。
但是,由于对项目管理和风险管理的认识还不够,因此风险管理还不完善,风险管理的基础比较薄弱,存在诸多的缺陷和不足。
项目风险管理是指项目管理团队通过风险识别、风险量化和风险控制,采用多种管理方法、技术和工具,对项目所涉及的各种风险实施有效的控制和管理,采取主动行动,尽量使风险事件的有利后果(带来的机会)最大,而使风险事件所带来的不利后果(威胁)降到最低,以最少的成本保证项目安全、可靠地实施,从而实现项目的总体目标。
2、核电工程实施项目风险管理的意义核电工程具有项目周期长(建设周期一般在5年左右)、投资巨大(一般在1500-2000美元/KWh装机容量)等特点,在项目的实施过程中,面临着各种风险:经济风险、技术风险、管理风险、人员风险、安全风险、社会政治风险、自然环境风险、设备材料风险。
核能技术的安全问题核能技术是一种重要的能源形式,具有高能量密度和稳定的发电能力。
然而,由于核能的特殊性质,核能技术也存在一些安全问题需要引起我们的重视和关注。
本文将对核能技术的安全问题进行探讨和分析。
一、核能技术的重要性核能技术作为一种可再生能源形式,在全球范围内广泛应用于发电、医疗、科研等领域。
核能发电具有低碳、高效、持久等优势,可以为人类解决能源紧缺和环境污染等问题。
然而,随着核能技术的广泛应用,相关的安全问题也开始浮出水面。
二、1.辐射泄漏核能反应堆运转过程中产生的辐射是重要的安全隐患。
一旦发生事故或泄漏,会对人类健康和环境造成严重影响。
如1986年的切尔诺贝利核事故,大量的辐射物质泄漏导致了大面积的污染和人员伤亡。
因此,科学家和工程师们必须采取一系列的安全措施来防止辐射泄漏的发生,确保核能技术的安全使用。
2.核废料处理核能技术的应用会产生大量的废料,其中包括高放射性核废料和低放射性核废料。
这些核废料对环境和人类健康都构成一定的威胁。
目前,科学家们正在研究和开发各种处理方法,包括隔离、转化和储存等,以解决核废料产生和处理的问题。
3.恶意利用核能技术的发展与和平利用密不可分,然而核技术的本质也使其存在恶意利用的风险。
核武器的制造和扩散是核能技术安全面临的一个重要挑战。
国际社会需要通过国际合作和多边机制,共同努力维护核技术的和平利用,阻止核扩散和核武器的传播。
4.安全文化建设核能技术的安全问题需要全社会共同关注和参与。
只有建立良好的安全文化,培养专业的人才,完善相应的法律法规和管理制度,才能有效预防和应对核能技术的安全隐患。
各国应加强信息共享和技术交流,共同提高核能技术安全水平。
三、应对1.加强监管和管理核能技术的安全问题需要严格的监管和管理措施。
各国政府应制定和执行相关的法律法规,建立健全的监管机构,并加强对核能设施的安全检查和评估。
同时,加强国际合作,共同推进核能技术的安全发展。
2.提升安全技术核能技术的安全问题需要不断提升和完善相应的安全技术。
核能的安全问题及风险评估核能被广泛应用于能源领域,因为它是一种高效、清洁、可持续的能源。
与此同时,核能也存在着安全问题和风险。
在本文中,我们将讨论核能的安全问题以及相关的风险评估。
一、核能的安全问题核能产生的能源是通过控制和利用核反应的过程来获得的。
虽然这种过程被认为是高效和可持续的,但当过程出现故障时,就会产生一系列的安全问题。
1.辐射危害核反应产生的辐射具有很高的危害性。
如果不加适当控制,这些辐射物质将导致人身伤害和环境污染。
2.核事故核反应所产生的能量是非常大的,一旦控制不当就会引发核事故。
例如切尔诺贝利核电站事故和福岛核电站事故就是由于控制不当导致的。
3.核武器扩散核反应技术可以用于制造核武器。
如果技术不加适当的管制,就会导致核武器扩散,严重威胁到世界和平和安全。
二、风险评估为了有效地防范核能的安全问题,需要进行全面的风险评估。
核能的风险评估分为以下三个步骤。
1.风险识别在风险评估的第一步中,需要识别所有可能存在的风险。
识别的过程包括收集数据和信息,确定重点关注的领域和问题。
2.风险分析在风险评估的第二步中,需要对风险进行分析。
分析包括确定风险的性质、影响以及概率。
通过分析,可以确定哪些风险是最重要的、最紧迫的。
3.风险评估和控制在风险评估的最后一步中,需要评估并控制所有可能存在的风险。
控制包括采取预防措施和应急措施。
通过有效的控制措施,可以降低潜在风险的发生概率,并减少风险的严重程度。
三、对核能的安全问题的控制和管理为了有效地控制和管理核能的安全问题,需要采取以下几个措施。
1.加强核安全监管核安全监管是保障核能安全的基本前提。
在监管中,要求核能相关企业和机构按照相关法律法规进行规范化管理,设立应急预案,有计划地进行核安全演练等。
加强核安全监管,可以及时发现和处理风险事件,保障核能的安全和可持续性。
2.采取适当的风险管理措施在核能的使用过程中,需要采取适当的风险管理措施,将潜在风险控制在可控制的范围内。
核电工控系统运维阶段的网络安全关键技术及防护措施分析研究摘要:自1990年以来,全世界已发生了近30起通过网络攻击核设施的事件。
其中,最严重的当属2010年伊朗核电站遭受的“震网”攻击事件,该事件导致上千台离心机不可用,给核安全造成巨大的冲击。
根据《中华人民共和国网络安全法》第三章(第二节)第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他一但遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
为保障核电工控系统可靠、安全运行,确保其敏感数据不被篡改和泄露,规范工业控制大区信息系统的安全管理,网络安全防护策略及技术要求以“安全分区、网络专用、横向隔离、纵向认证”为核心,满足适度防护、纵深防御、统一管理、技术管理并重、国产化、动态调整六大原则。
关键词:核电工控系统;网络安全;1、华龙项目核电网络安全技术及防护方案1.1工控网络结构华龙项目工控系统以DCS(集散控制系统)为主,DCS按照功能不同可分为四个层级,分别是Level 0(工艺系统接口层)、Level 1(自动控制和保护层)、Level 2(操作和信息管理层)、Level 3(全场信息管理层),如图1所示。
其中,Level 0层包含现场变送器、执行器,可监测现场的过程参数,并根据上层设备下发的指令控制设备;Level 1层包含现场控制站、通讯站以及网关,负责level 0层的数据并进行自动保护、自动控制或信号预处理;Level 2层包含各类服务器,还有工程师站、操作员站、网关等设备,作为人机交互的接口,向操作员提供机组运行信息,操作员在人机界面上操作,向下层发送控制信息以维持机组的运行;Level 3层负责对电厂信息进行综合处理,并将相关信息传送给应急指挥中心、场内场外专网上的用户,该过程为单向传输。
在过去的几年里,世界各地区因伊朗的“震网病毒”事件惶惶不安,随着工业革命新一轮的浪潮,国家关键基础设施安全与国家安全一并提上日程,各国之间网络空间战拉开序幕。
过去采用纯物理隔离的工业控制系统安全防护方式,看似无懈可击,实则在新一轮的技术革命中不堪一击,显得无力而苍白。
各国之间能源竞争白热化,纷纷动手抢占资源的至高点。
而安全是保证国家和平发展的前提。
核电站往往让大众感到神秘而敬畏,核电站最大的影响是核事故、核灾难。
核电站事故不但会影响周边环境,其影响甚至会超出国界。
核安全要求在核电站设计、制造、建造、运行和监督管理中,将风险降低到能够实现的最低水平。
为就没有核电站的安全,安全目标也难以保证。
PICS工作站用以提供详细的信息和控制手段来操作电厂运行,如果PICS不可用时,就用后备的常规控制盘安全信息控制系统(SICS)来对电厂进行控制,包括在事故后工况下对电厂物理参数进行显示,以帮助员工对电厂的状态进行监视;包括集中必要的控制命令把反应堆维持在稳定的负荷状态运行一定的时期,并在正常或异常工况下将反应堆带到安全停堆状态。
PICS系统的主要功能是为操纵员在所有的电厂工况(正常、DBC和DEC)下能对电厂进行监控。
并通过人机界面设备向机组人员提供信息, SICS提供了安全级人机界面,以执行Fl级和F2级满足抗震要求的控制及信息功能。
在正常工况下,如果PICS不可用时,维持电厂在稳定的功率状态运行一段时间;在事故工况下(DBC2到DBC4),且PICS不可用时,将电厂带到并维持在安全停堆状态;在DEC-B(严重事故)工况下控制和监视电厂。
对于控制系统安全,核心关键安全设备的重要性不言而喻,在核电站中核心关键安全设备的选型应遵循以下原则。
1.国产化原则如核电站系统中使用的安全产品应当优先选用国产产品,以杜绝国外供货方提供的产品存在后门以及其它安全隐患。
产品应获得国家相关部门的批准或认证。
2.成熟性原则如核电站系统采取的安全产品以及解决方案,在技术上必须是成熟的,而且是被检验确实能够解决安全问题、并且在相关项目上有大规模实施以及成功应用的案例。
3.适用性原则安全产品应当适用于工控系统,支持系统的工业协议(如Modbus、Profibus、S7协议等),产品能够审计及监测系统流量。
4.可靠性原则核电站系统配置的安全产品必须能够适应核系统的工作场景,具备良好的电磁兼容性以及连续工作不中断的能力,并且具备在一些场景下的旁路功能。
通常,串行通信模块每个接口可单独配置为RS-232 或RS-485,且每个通信入自动控制系统。
类似的还有FF、HART等。
控制器是控制站执行控制任务的核心部件,依据用户可组态的控制策略对现场对象进行实时控制,实现连续控制、顺序控制、逻辑控制等各种类型的回路控制任务,并可实现数据采集、运算输出、故障检测与报警、信息传送等功能。
控制器对网络、冗余通道、RAM、RTC、组态数据等进行周期性的自检,并在工作控制器检测到故障时,自动切换到备用控制器。
在输入故障时,信号可按组态处在三种情况:保持、量程上限或者量程下限。
在输出故障时,信号可根据组态保持或者输出预设安全值。
而在实际生产中,核电站数字化控制系统存在以下信息安全风险:首先,工控计算机和工业以太网,可能遭到与攻击民用/商用计算机和网络手段相同的攻击;其次,针对工业控制系统中的组态及系统配置管理软件的攻击,可以改变控制系统内在逻辑,从根本上破坏控制系统应用功能;再次,核电站数字化控制系统与其他系统接口通常采用基于RS-485、232的现场总线(如Profibus、Modbus 等),极易遭到窃听和恶意攻击,如果不考虑信息安全防护措施,将成为极易被攻击的薄弱点。
此外,核电站数字化仪控系统实时性高,且要求连续运行,不能采用目前传统的加密、解密设备,从而无法保障信源认证、消息完整性检验和信息内容保密。
常规防病毒软件也会极大的损害核电站控制系统的实时性。
所以从信息安全角度来讲,以当前国内核电站数字化控制系统的现状,信息安全风险极高。
由于现场运维人员缺乏对技术网络和过程状态的了解,导致如工业网络中出现未授权的网络设备、未经授权的网络通信、操作员或工程师失误向控制设备发送破坏性的命令,缺乏DCS\PLC来往通信控制技术过程的命令和参数值的监测、事件缺乏取证数据、出现可疑的技术过程参数时缺乏有关安全威胁数据、缺乏PLC\DCS等修改尝试和危险过程控制命令时的活动数据、缺乏重新配置或更改DCS\PLC状态的命令审计,包括终止、暂停、变更DCS\PLC、固件变更、控制过程参数和算法,在工业控制系统网络保护设计的过程中,通过过程控制的抽象层运行,分析和检测流量来源,同时对工业网络和工业控制过程进行完整性控制。
另外,核电站其非安全区本身的架构设计存在缺陷,还有诸多的系统漏洞,以及管理上的隐患。
给神秘的核电站,带来了安全危机。
在架构设计上缺陷如:▪未识别关键监测点和控制路径,可能导致核电站仪控系统关键控制路径业务过饱和,关键监测点出现故障,遭受攻击时未能被及时发现,导致危害进一步扩大。
▪用户、数据与设备认证手段不足,导致核电控制系统信息泄露,DCS、PLC、仪器、仪表、采集系统(KDO、KME、EPP、LSS、TRA等)、核电站专用控制系统KSN、KDA等关键系统、设备控制指令被篡改,关键控制数据被篡改,失去控制。
▪缺乏网络通信数据完整性校验,未实施数据流控制,未加密,弱加密,数据在传输过程中可能会有丢失或者误码或者被篡改,甚至程序的逻辑被修改,从而对核电站的正常运行产生难以应对的安全威胁。
▪未定义网络边界,不清楚攻击源在哪里,泄密、攻击、病毒等等,存在许许多多不可控的安全隐患,如未定义生产网络和办公网络的边界,可能导致核电站工艺参数信息泄露,生产系统遭受病毒攻击,核心资产数据泄密等等。
▪安全边界防护设备或者策略配置不当,如不根据核电站的安全需求进行合理的安全防护设计,或者防护设备策略配置不当,可能导致其防护设备起不到应有的防护作用,甚至对核电站的生产运行造成负面的影响,例如在生产安全区内部署不能满足生产实时性的阻断性防护设备,可能导致控制网络中断,最终造成生产事故,再如,防护设备自身存在Bug,导致其Bug被黑客或对手利用,对核电站造成损害。
▪专用系统中存在非法流量,专网中没有运行专用网络协议,在专有的系统中,如生产区的控制系统中,将控制系统和其他非控制系统的流量走共同的线缆,导致安全级别高的系统可能受到来自安全级别低的系统的攻击串染。
没有走专有的协议,同样存在系统下发指令错误,导致系统沦陷的可能。
▪关键设备未梳理出来,就做不到关键核心设备重点保护,一旦核电站遭受攻击,系统将全面瘫痪。
在非安全区的核电设备存在诸如以下漏洞,其漏洞一旦没利用,对其控制系统进行攻击,将可能造成大面积的生产安全事故。
系统自身的漏洞如:▪缓冲区溢出▪拒绝服务▪非标准报文处理▪未及时升级补丁包遗留的操作系统漏洞▪运行不必要的服务▪未有适当的日志记录另外按照漏洞可能造成的危害,核电站工控系统技术漏洞可分为非授权执行、非授权写入、非授权读取和拒绝服务四大类威胁:▪非授权执行指的是ShellCode执行、命令注入等可以直接对系统造成较大程度控制的漏洞。
▪非授权写入指的是能以某种方式在系统上写入文件、修改用户密码和系统配置等,但无法直接执行代码的漏洞。
▪非授权读取指的是能读取指定或任意文件、内存信息等漏洞。
▪拒绝服务负载过大导致软件无法正常工作。
核电系统漏洞被攻击路径:▪服务器漏洞这是指位于提供网络服务的进程中的漏洞,攻击者可以通过网络在另一台电脑上直接进行攻击,进而获取远程服务器上存储的重要数据甚至控制权限。
由于远程服务器面临整个因特网上的网络访问,相应的风险威胁很高。
▪客户端漏洞很多是基于浏览器的,这类漏洞需要诱使用户访问某个恶意网页才会被触发。
包括ActiveX控件、跨站脚本攻击、JAVA插件和flash插件或者浏览器自身的问题。
用户的系统将面临被控制的风险,用户的登陆凭证、账户、口令可能被窃取。
由于需要客户端主动触发漏洞,对应的风险相对于前者较低。
▪本地漏洞这是指必须登录到安装软件的核电站设备操作系统上才能利用的漏洞,该类漏洞主要用来提权。
因利用条件苛刻,通常攻击者先利用远程漏洞获得远程执行登录或者远程执行权限。
然后再利用本地漏洞进行提权,将已获得的控制权限扩大化。
由于需要先获取本地登录,对应的风险相对于前者较低。
作为关乎国家安全最最关键的核心关键基础设施,核电站工控系统安全对国家安全、社会经济具有重要的影响,通过分析其系统中存在的风险,其安全防护机制亟待完善和提高。
1. 管理上应具备以下管理措施▪信息安全领导小组▪相应的安全管理制度▪安全应急预案▪安全审计流程▪系统配置备份▪内部外部之间的沟通▪信息安全基本技能培训,信息安全意识培训,信息安全管理培训▪外包开发,制定安全开发规范,外包软件采购验收计划▪系统改造时的安全变更制度规范▪针对运营环境变更的硬性指标总制度▪应制定关键数据资产及通信保护方针和规程▪应制定身份识别和验证保护方针和规程2. 关键数据资产的划分以及信息安全防御模型目前核电站数字化控制系统的信息安全标准尚无专门标准规范进行规定,为此也无专门设计的防御策略。
在此根据核电站工艺系统“纵深防御”模型,设计核电站控制系统信息安全纵深防御模型。
纵深防御原为军事术语。
我国的核安全法规HAF102《核动力厂设计安全规定》要求核电站必须具有5层纵深防御的措施,该概念在核电站的另一个典型应用是在设计中设置的多道实体屏障。
通过燃料元件包壳-压力边界-安全壳的三重纵深防御,大大降低大规模放射性物质释放的风险。
核电站信息安全纵深防御模型对核电站内的数字设备进行分层,并针对每一层的情况确定不同网络层的边界,建立信息安全多层的纵深防御模型。
针对每一层网络,确定该层络的信息安全要求,分配在同一层的数字设备具有相同的保护等级,确定该层网络缓解安全风险的方法。
同时确定网络间的接口安全要求、网络间的隔离要求,确定是否需要部署物理隔离、逻辑隔离等网关设备。
核电站数字化仪控系统平台纵深防御模型见下图:核电站数字化仪控系统平台纵深防御模型▪▪▪▪▪▪▪网络设备应该静态配置,并且禁用不使用的端口;▪与低层网络之间的设备保持物理隔离;▪部署身份认证系统,授权访问相关设备以及功能;▪卸载不需要的程序应用以及操作系统功能。
卸载非必要和不使用的应用以及操作系统功能,建立白名单系统,授权以外的程序不允许运行。
Level 2 控制和监视层Level 2主要为电站的实时生产信息管理系统,实时接收来自一二层的生产数据。
这一层的安全防护主要有:▪通过专有隔离装置与Level 3连接;▪SICS和PICS行为、指令、流量实时监测审计;▪深度解析工控协议,阻断不信任异常行为;▪建立主机面正常行为白名单模型,将风险隔离在模型之外;▪网络设备应该静态配置,并且禁用不使用的端口;▪卸载不需要的程序应用以及操作系统功能,建立白名单系统,授权以外的程序不允许运行。
