采用纵深防御体系架构，确保核电可靠安全(缪学勤)Adopting Defence in depth Architecture，Ensuring the Reliability and Securityof Nuclear Power摘要：核电安全关系国家安全，在建设核电厂时应优先考虑核电厂网络信息安全。

由于工业网络安全有更高要求，所以工业网络开始转向基于工业防火墙/VPN技术相结合的硬件解决方案。

深入分析了核电厂网络安全的主要威胁，比较全面地论述了工业网络信息安全中涉及的主要技术和解决方案，阐述了核电厂全数字化控制系统信息安全多层分布式纵深防御解决方案。

采用基于硬件的信息安全技术，创建核电厂纵深防御体系架构，确保核电厂可靠安全。

关键词：核电厂信息安全黑客攻击硬件解决方案纵深防御体系架构0 引言近年来，黑客攻击工厂企业网络的事件逐年增加。

据信息安全事件国际组织不完全统计，多年来世界各地共发生162起信息安全事件。

近几年，美国公开报道的、因黑客攻击造成巨大损失的事件多达30起。

据说，由于各种原因，还有很多起事件中的受害公司不准报道，保守秘密。

其中，2008年1月，黑客攻击了美国的电力设施，导致多个城市大面积停电，造成了严重的经济损失。

由此使得工业网络的信息安全成为工业自动化领域新的关注热点。

1 核电厂开始面临黑客攻击的威胁2010年6月，德国专家首次监测到专门攻击西门子公司工业控制系统的”Stuxnet(震网)”病毒。

该病毒利用Windows操作系统漏洞，透过USB传播，并试图从系统中窃取数据。

到目前为止，”Stuxnet”病毒已经感染了全球超过45000个网络，主要集中在伊朗、印度尼西亚、印度和美国，而伊朗遭到的攻击最为严重，其境内60%的个人电脑感染了这种病毒。

最近，经过大量数据的分析研究发现，该病毒能够通过伪装RealTek和JMicron两大公司的数字签名，从而绕过安全产品的检测；同时，该病毒只有在指定配置的工业控制系统中才会被激活，对那些不属于自己打击对象的系统，”Stuxnet”会在留下其”电子指纹”后绕过。

由此，赛门铁克公司和卡巴斯基公司网络安全专家认为，该病毒是有史以来最高端的”蠕虫”病毒，其目的可能是要攻击伊朗的布什尔核电厂，如图1所示。

因为这种”Stuxnet”病毒的目标是攻击核电站，所以被形容为全球首个”计算机超级武器”或”网络炸弹”。

”Stuxnet蠕虫”病毒专门寻找目标设施的控制系统，借以控制核电设施的冷却系统或涡轮机的运作，最严重的情况是病毒控制关键过程并开启一连串执行程序，使设施失控，最终导致整个系统自我毁灭。

受”Stuxnet”病毒的影响，伊朗布什尔核电厂于2010年8月启用后发生了一连串的故障。

但由于发现得早，并及时采取措施，才没有造成严重后果。

由此可见，出于各种目的一些黑客开始向工业领域渗透，把关键基础设施(如电力、核电、化工、炼油等)的工业控制系统作为攻击目标。

在这种情况下，美国发电厂和大型电力企业对网络安全特别重视。

2009年，美国联邦能源管理委员会FERC(Federal Energy Regulatory Commission)正式批准了CIP002~CIP 009关键基础设施保护8个强制性标准。

CIP标准由北美电力可靠性保护协会NERC(North American Electric Reliability Council)负责制定。

该标准是对大型电力系统有着深远影响的网络安全标准，标准规定了大型电力系统确保进行安全可靠信息交换所需的最低要求。

美国联邦能源管理局向电力企业下达命令：每个发电、输电和配电部门，无论是否属于关键资产部门，都必须在2009年年底之前履行这些条例。

电力供应和输配电部门必须采取明确的安全防范措施，以确保持续供电。

不符合该标准的情况一经发现，企业可能被处以高达每天100万美元的罚款。

随着核电厂数字化、智能化程度的提高和新的通信方式的出现，核电厂信息安全防护难度不断增加。

为了应对核电厂信息安全新的挑战，美国核能研究院NEI(Nuclear Energy Institute)于2007年5月发布了”核电厂网络信息安全导则”(Cyber Security Guidance for Nuclear Power Plants)白皮书；同年12月，美国核管理委员会NRC(Nuclear Regulatory Commission)颁布了DI&C ISG01”核电厂网络信息安全”(CyberSecurity)过渡性审查导则，高度重视核电厂信息安全。

2 核电厂全数字化控制系统核电站全数字化控制系统是以工业网络为中心实现的实时分布式系统。

系统采用分散控制、集中管理的分层分布式控制结构，包括运行和控制中心系统、电厂控制系统、保护和安全检测系统、多样化驱动系统、数据显示和处理系统以及堆芯仪表系统等子系统。

控制系统由工程师站、操作站、现场控制站、通信控制站、打印服务站、系统服务器、管理网络以及系统网络等组成。

核电厂全数字化控制系统构成如图2所示。

图2 核电厂全数字化控制系统构成简图整个系统是基于Client/Server体系结构的大型分布式控制系统，从逻辑结构上划分，系统共分为现场采集控制层、监控层和管理层三层网络。

管理层采用TCP/IP以太网；在监控层，操作站、工程师站、中央处理服务器以及不同系统之间采用工业以太网，有很强的网络互联能力；现场采集控制层采用高速现场总线。

反应堆保护安全级系统与非安全级系统之间数据通信通过安全级网关执行。

从而可以看出，整个系统的网络信息安全大多采用普通IT领域网络信息安全技术，面对日益严重的黑客攻击威胁，这些措施很难实现有效防御。

3 核电厂网络信息安全威胁分析核电厂网络信息安全的潜在威胁主要来自黑客攻击、数据操纵(datamanipulation)、间谍(espionage)、病毒、蠕虫和特洛伊木马等。

①黑客攻击是通过攻击核电厂自动化系统的要害或弱点，使得核电厂网络信息的保密性、完整性、可靠性、可控性和可用性等受到伤害，造成不可估量的损失。

黑客攻击又分为来自外部的攻击和来自内部的攻击。

来自外部的攻击包括非授权访问(指一个非授权用户的入侵)和拒绝服务DoS(denial of service)攻击(即黑客想办法让目标设备停止提供服务或资源访问)。

这样一来，设备便不能执行它的正常功能，或它的动作妨碍了别的设备执行其正常功能，从而导致系统瘫痪，停止运行。

来自内部的安全威胁主要是指由于自动化系统技术人员技术水平的局限性以及经验的不足而可能导致各种意想不到的操作失误，其势必会对系统或信息安全产生较大的影响。

严重黑客攻击的性质已经从单纯的娱乐扩展到了犯罪、恐怖主义，甚至国家赞助的间谍活动。

在这种情况下，核电厂自动化系统必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。

黑客攻击工业网络如图3所示。

图3 黑客攻击工业网络②数据操纵，即冒充自动化系统的授权用户或系统的组成部分，实施对自动化系统数据的截获、重放或篡改，并导致一种非授权的后果，造成重大损失。

③计算机病毒是指编制或者在计算机程序插入的破坏计算机功能或者毁坏数据的、影响计算机使用并能够自我复制的一组计算机指令或者程序代码。

按传染方式划分，计算机病毒可划分为引导型病毒、文件型病毒和混合型病毒。

计算机病毒的破坏性主要有两个方面：一是占用系统的时间和空间资源；二是干扰或破坏系统的运行、破坏或删除程序和数据文件，甚至破坏硬件。

④蠕虫病毒是网络病毒中出现最早、传播最广泛的一种病毒类型。

蠕虫病毒是利用网络缺陷进行繁殖的病毒程序，它们能利用网络，从一台设备传播到其他设备，并自动计算网络地址，不断自我复制，通过网络发送造成网络阻塞，使网络服务器不能访问，甚至造成系统瘫痪。

对于工业自动化系统来说，当蠕虫病毒大规模爆发时，交换机和路由器首先会受到影响，蠕虫病毒攻击能够导致整个网络的路由振荡，可能使信息管理层网络的部分流量流入工业以太网，增加其通信负荷、影响其实时性。

在控制层，工业以太网交换机连接的设备终端一旦感染病毒，病毒发作就会消耗带宽和交换机资源。

⑤特洛伊木马病毒，顾名思义，就是一种伪装潜伏的网络病毒，等待时机成熟就出来进行破坏。

木马能修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的发作要在用户的设备里运行客户端程序，一旦发作，就可设置后门，将该用户的隐私定时地发送到木马程序指定的地址，一般同时还内置可进入该用户设备的端口，并可任意控制此计算机设备进行文件删除、复制和修改密码等非法操作。

4 IT信息网络和工业自动化网络间主要差别众所周知，在办公应用环境，计算机病毒和蠕虫往往会导致公司网络故障，因而办公网络的信息安全越来越受到重视，通常采用杀毒软件和防火墙等软件方案解决安全问题。

在工业应用环境中，恶意软件的入侵将会造成生产线停顿，导致严重后果。

因此，工业网络安全有更高的要求，办公应用的信息安全解决方案已不能满足这些要求。

办公网络与工业网络主要的差别如表1所示。

表1 办公室和工业环境中信息安全解决方案的要求5 工业网络信息安全转向硬件解决方案5 1 网络安全软件解决方案早期，工业自动化系统曾采用办公环境使用的网络安全软件解决方案。

软件主要包括杀毒程序，它们通常被安装在基于Windows的控制器、机器人或工业PC上。

但是，由于在工厂中各种各样的设备大多是混合使用的，因此，它们之间可能会产生相反作用，从而影响被保护的系统。

例如，美国的一家过程自动化工厂在一台工业PC上安装了杀毒程序，该杀毒软件妨碍了一个重要锅炉系统的紧急停机，导致了严重后果；另一个例子是某制造工厂在多台工业PC上安装了杀毒程序，由于多个杀毒软件执行时进程之间可能会发生冲突，使得工厂的流水线不能启动，造成巨大损失。

5 2 工业网络安全硬件解决方案为了确保工业自动化系统的信息安全，工业网络目前都转向采用基于硬件的防火墙和VPN(virtual private network)技术。

硬件防火墙主要是在优化过的Intel架构的专业工业控制计算机硬件平台上，集成防火墙软件形成的产品。

硬件防火墙具有高速、高安全性和高稳定性等优点。

硬件平台一般均采用几百兆甚至上千兆的高速CPU芯片，以多芯片模式工作，个别甚至采用了ASIC芯片来提高系统的处理能力；硬件平台的操作系统一般针对安全需要作了最小化优化，并且结合防火墙这一唯一的功能环境要求，在采集数据包的底层驱动上也作了优化。

在存储方面，采用Flash存储，使系统的关键数据存储相对传统技术，在读写速度和稳定性上都有很大提高。

另外，加固的设备外壳、标准的设计尺寸以及优化的电源，使硬件防火墙更适用于大型工业生产环境。