核电厂安全级DCS系统信息安全设计研究

核电厂安全级DCS系统信息安全设计研究

信宏伟,付宇

海南核电有限公司  海南昌江  572733

摘要：本文主要为了提升核电厂安全级DCS系统的信息安全性，设计研发一种基于网关，并且集访问控制、完整性校验、入侵检测和安全报警为一体的安全防护系统，由此使得核电厂的DCS系统信息安全性能能够得到优化提升，进而为确保核电厂稳定运行奠定良好基础。

关键词：核电厂；安全级；DCS系统；信息安全设计

1 引言

随着我国核电事业的不断发展，核电厂规模也在逐年扩大，为了能够保证核电厂机组能够顺利投入运行，则必须要保障核安全以及确保核电厂机组运行稳定。其中，核电厂 DCS系统是保障核电厂机组安全稳定运行的重要基础设施，然而在现阶段的 DCS系统中出现了很多不同类型的安全问题。例如，由于系统网络中存在大量冗余信息和设备故障的可能性，则容易导致网络故障以及数据丢失等现象发生。此外，由于 DCS系统中可能会出现大量的设备以及软件问题导致无法进行正常运行，进而影响到核电厂机组稳定运转。因此，为了能够保障核安全和确保机组稳定运行，则必须要对 DCS系统内部所存在的各种安全问题进行有效预防和处理，以下将对核电厂安全级DCS系统信息安全设计进行分析：

2 NASPIC网关

NASPIC网关是一个基于 Linux的虚拟机软件，能够对整个安全级 DCS系统进行实时监控，在此基础上可结合多种功能模块如防火墙、入侵检测以及报警等，实现对系统的实时监控。NASPIC网关主要实现了安全防护和数据加密功能，通过 NASPIC网关应用软件进行配置和管理。其主要涵盖以下方面功能：

2.1 安全防护功能

1）在系统运行过程中，对服务器进行审计；2）在登录或操作时进行验证；3）对数据库信息及用户信息的保护。

2.2 数据加密功能

1）对用户名、口令、数据加密等关键数据的存储和传输进行保护；2）支持 WEB界面中基于密码学算法的应用和验证，实现基于密码学算法的应用程序认证和验证。

2.3 防火墙功能

1）具有访问控制策略；2）具有访问授权策略及认证功能；3）具备访问流量限制功能；4）有入侵检测功能；5）有远程维护支持。

2.4 入侵检测功能

1）具有安全事件检测功能，可及时发现安全问题；2）具备异常处理能力。

3 核电厂安全级DCS系统信息安全设计内容

3.1 访问控制模块

根据《核电厂信息安全通用设计导则》，信息访问控制模块（IRIS）的主要功能是实现核电厂内所有设备的安全控制。核电厂安全级 DCS系统中的 IRIS系统包含多个功能模块，包括控制模块、数据处理模块和通信接口。控制模块负责实现对机组设备状态参数与运行工况的监测，同时对机组主要参数信息进行处理。数据处理包括数据预处理、中间处理和最终存储。通信接口用于实现与核电厂各功能模块之间的网络通信，包括网络接口和应用接口。IRIS系统中数据处理包含多个不同类型的数据处理点，主要有：输入、输出端点、存储单元及外部设备等。

输入端点与输入输出端点通过各种数据处理技术实现数据转换，其中包括：逻辑运算和数值存储、逻辑运算和数字输出、数值存储；内部设备如热工控制单元、调节阀单元等通过物理连接传递输入/输出信号，并对这些信号进行编码以实现设备功能的控制。数据处理过程包括：逻辑运算及数字信号接收过程（输入输出接口）；模拟量转换和数字量转换过程（外部设备）；中间转换和数字输出过程（输入/输出端点）等。

IRIS系统中通信接口是重要的安全设计内容，其中包括： IRIS通信信道； IRIS通信协议；数据加密方式、数据完整性检验方法等。IRIS信息安全设计涉及到通信接口的设计与建设，该信息安全设计主要包括3个方面内容：网络接入控制、网络访问控制以及信息传输控制。

3.2 完整性校验模块

完整性校验模块（Security check plane，简称 CSP）是对安全级 DCS系统网络上的数据进行收集、处理及完整性检查的主要模块。完整性校验模块主要是通过对数据库中数据项的完整性检查，来保证数据的安全性。在安全级 DCS系统上， CSP模块主要包括数据完整性检查功能、完整性校验功能和网络安全功能，以下将对其展开具体分析：

（1）在数据完整性检验过程中，首先要验证所有需要检验结果的元数据项，然后通过对元数据项进行查询、比较、分析等方式来验证其正确性。

（2）当数据库中记录的元数据项中包含不正确或不完整时，系统将会拒绝接收来自网络服务器中记录的元数据项。

（3）如果有多个元系统不一致时（尤其是有冲突时），则会在逻辑上自动判断冲突是否发生，并通过网络服务器将冲突消息进行上传、处理（如删除等）。

（4）当系统中存在多种元表信息时，系统会优先根据元表字段对元数据进行检查或将检查结果发送给网络服务器。

（5）如果元数据项出现错误或损坏，则系统会自动拒绝接收错误或损坏的元表信息。

（6）如果用户登录时没有正确读取数据库中记录的相应元表信息，则在服务器上会提示用户重新登录数据库并进行校验；若错误未被纠正或未被允许重新登录时，则会报警至网络服务器并报告给相应主管部门来处理。

3.3 入侵检测模块

入侵检测模块又称防火墙模块或入侵防护器（IDS），其主要功能是在网络层中发现威胁和错误信息，通过阻止或防止网络内部的恶意活动来保护系统免受侵害或免受干扰。

入侵检测系统一般由防火墙模块以及流量监测等组件组成。在网络层和主机层中都需要设置入侵检测系统来识别入侵行为。

入侵防御系统主要用于保护信息系统不受非法程序和非法操作的侵入、干扰、破坏和拒绝服务等危害，保证其数据在存储中的安全性以及在运行过程中的完整性；同时还可以用于防范网络攻击，避免信息在传输过程中被恶意篡改、窃取或破坏，保证信息安全传输或存储不被他人窃取；此外还可以用于防止未经授权人员（如黑客）对数据进行分析利用，为相关人员提供有效帮助等用途；除此之外还可以防范由于恶意行为造成信息泄露风险或导致重要文件丢失而可能引起的重大事件发生。

3.4 安全报警模块

在安全级 DCS系统中，报警模块是通过与核电厂安全级 DCS设备之间的通信，对现场设备进行实时的监测，从而为操作人员提供一个安全、可靠的监控平台。

具体包括以下几个部分：

（1）设备运行状态监测与故障诊断：主要包括对 DCS设备状态（如电压、电流以及运行温度等）进行监测和报警，同时对各仪表参数进行分析和检测。

（2）系统信息存储：在出现异常情况时及时进行信息的存储与报警。

（3）报警响应与处理：实时接收或转发发生的各种事件，并根据事件类型作出响应和处理。

（4）操作人员防护：包括对操作人员的身份认证和操作权限管理；通过设置合理的访问控制策略，使操作人员能够严格按照程序流程执行；对于异常情况做出相应处理；设置安全事件处理预案等措施。

（5）其它设备报警信号监测与触发机制：能够根据异常情况或操作状态实时向其他功能模块进行报警提醒或控制信号输出，如压力容器、蒸汽发生器等。

（6）对 DCS系统中敏感设备和装置进行访问控制和安全防护，确保敏感信息不被非法访问；在 DCS系统运行过程中禁止非授权人通过网络登录系统或访问数据库等方式实施非法行为；对于非授权人可能采用的手段，应做好充分有效的防护措施等。

4 结束语

随着核能行业信息化程度的提高，信息化带来的便利，信息安全问题也变得越来越严重。本文通过分析 NASPIC网关所面对的信息安全问题，提出了基于该协议带来的信息安全威胁的增强方案。本设计方案满足了核电厂 DCS系统的信息安全需求，同时也为核动力装置在使用传统工业协议时出现的类似信息安全问题提供了参考。

参考文献

[1]刘明星,马宇,赵芯妍,蒋维,黄俊.核电厂安全级DCS网关网络信息安全设计研究[J].核动力工程,2018,39(06):132-136.

[2]赵庆,刘朝晖,陈智.基于攻击树的核电厂DCS系统信息安全脆弱性分析[J].南华大学学报(自然科学版),2018,32(03):54-59.

[3]张谊,刘官荣,黄鹏,彭浩.核电厂安全级DCS平台信息安全脆弱性分析[J].仪器仪表用户,2018,25(01):82-84+81.