核电厂仪控系统安全和网络安全协调要求
发表时间：2020-04-03T05:47:04.431Z 来源：《建筑学研究前沿》2019年24期作者：姚路锋
[导读] 核电是我国能源行业国家级战略产业，其自身运行过程具有特殊性，所以对核电厂仪控系统有更为严格的安全要求。

福建福清核电有限公司福建福清 350318
摘要：核电是我国能源行业国家级战略产业，其自身运行过程具有特殊性，所以对核电厂仪控系统有更为严格的安全要求。

一旦发生事故，除了生产运行受到影响外，还可能导致环境污染和人员辐射危害，并进一步波及全球核电行业。

伊朗震网事件、韩国核电厂泄密事件等重大的核电网络安全事件说明了核电网络安全的重要性和关键性。

在我国核电网络安全建设运维过程中，由于进口设备多、维护团队多，潜在植入漏洞和引入漏洞的风险较大。

关键词：仪控；核电；安全；协调
引言
随着现代工业技术的发展，工业化与信息化正在不断融合，工业控制系统越来越多采用通用的通信协议和软硬件系统，并且以各种方式接入网络，从而打破了这些系统原有的封闭性和专用性，造成病毒、木马等安全威胁向工控领域迅速扩散。

工业控制系统所面临的信息安全问题日益严重，而且呈现出诸多与传统IT系统不同的特点。

核电厂作为国家关键基础设施，是关注的核心，重中之重。

仪控系统作为核电厂的神经中枢、关键数字资产，是重点保护对象。

而仪控系统从功能安全角度已有完整的法规标准和技术。

如何在不降低安全的情况下考虑加强信息安全，有必要提出协调功能安全和信息安全的整体框架。

1安全级仪控系统需求的描述方法
1.1自然语言需求
在通常的需求实践中，最常见且使用最广泛的一种需求描述方式是使用自然语言。

由于自然语言的广泛性和其描述问题的普适性，使得自然语言需求具备普遍、灵活、可理解这几个主要的优势。

但是，使用自然语言对同一事物进行描述和理解会因人而异，这是由于自然语言本身具有的二义性和人们的认知水平不同而导致的。

1.2模型化需求
在使用自然语言描述需求的同时，人们也专门创建了一些建模语言，如：数据流语言、状态图、AND/OR目标图等模型化建模语言来描述需求。

认知科学中的研究表明，与来自文本中的信息相比，人类更容易捕获并记住来自图画中的信息。

这些发现对于使用需求模型来理解和记忆需求提供了有力的支撑。

需求模型对于关注特定方面的支持十分有用，通过提供预定义的抽象化机制，建模语言支持用于关注特定的方面，同时消除不必要的细节。

对于用自然语言描述的需求，进行正确性、完整性以及一致性等质量属性的检查通常十分耗时且容易出错。

需求建模语言支持对需求的特定质量属性的检查。

然而，与自然语言需求相比，模型化需求所提供的表达能力有限，不能作为一种普适性的需求描述方法，而且需要需求的涉众熟悉相应的建模语言后才能理解需求。

2核电厂仪控系统安全和网络安全协调要求
2.1网络安全区域划分原则
为了更切实地实施分级方法，需要将仪控系统中的基于计算机的和基于数字逻辑的系统划分为若干安全区域，分级保护原则适用于各个安全区域。

区域允许将在安全和设备功能方面有着相似重要性的系统分为一组，以管理并应用保护措施。

定义安全区域的标准可能包括组织问题、本地化、架构或技术方面。

划分网络安全区域应考虑如下原则：（1）网络安全区域的划定应考虑和利用为加强安全目的而引入的独立性和物理隔离要求；（2）划定网络安全区域应同时考虑数据通信、地理/物理隔离以及独立性等方面；（3）除非能够从网络安全防范角度有效的过滤和监测分隔之间的通信，否则由多个子列组成的仪控系统应划分到同一个网络安全区域中。

2.2网络安全的生命周期
核电厂数字化仪控系统网络安全的防范活动是一个动态的过程，根据不同时间的环境情况对网络安全的防范措施进行维护和更新，始终使核电厂的网络处于安全稳定的运行状态。

核电厂数字化仪控系统网络安全控制的生命周期分为评估、设计、实施、维护四个阶段，每个阶段活动完成后才可以进行下一阶段的活动。

第一阶段：评估
对核电厂运行环境、数字化仪控系统运行状态、现场安全控制策略、各种风险等内容进行评估后，制定核电厂网络安全控制的需求，以此作为设计阶段的输入。

第二阶段：设计
根据评估阶段制定的需求作为设计输入，以此设计核电厂数字化仪控系统网络安全的控制方案，设计的内容包括系统安全防护策略、安全控制流程和程序、设计有效的管理组织等。

第三阶段：实施
根据设计阶段制定的控制方案在现场开展修改实施活动，主要涉及硬件/软件的升级、网关/防火墙的安装等。

第四阶段：维护
在维护阶段定期对核电厂数字化仪控系统的网络安全进行检查，以发现网络安全是否需要继续升级改造。

同时在维护期间开展人员的培训，各种安全控制手册、程序的升版工作。

2.3黑、白名单技术对比
传统的防病毒软件、入侵检测系统(intrusiondetectionsystem，IDS)、入侵防御系统(intrusionprotectionsystem，IPS)等都属于典型的黑名单类产品。

黑名单类产品基于已知特征进行恶意软件识别、恶意行为识别，通过设置规划好的“不允许”规则来检测匹配文件、报文、行为等，实现对恶意软件和攻击行为的识别和阻止，达到净化效果。

在核电厂的网络环境里，黑名单类产品有如下缺点。

①内置特征库，需要实时更新才能达到较好的防护效果;核电厂仪控系统与外网隔离，无法及时更新系统补丁，不能保证防护效果。

②在特征匹配过程中会消耗较多资源，可能会造成系统拥堵或缓慢、实时性较差，不满足核电厂仪控系统高实时性的要求。

③特征匹配不能保证完全准确，可能会存在误报;特别是行为特征识别中，往往会将仪控系统的I/O卡读写等驱动层面的操作当成恶意行为进行阻止。

④只能对已知特征进行匹配，发现已知的恶意软件和攻击行为，无法防护“0day”漏洞和有针对性的攻击。

综合考虑上述黑名单类产品的弱点，需要在核电厂仪控系统的安全防护方案中引入不同于黑名单的防护技术———白名单技术。

图1白名单和黑名单技术对比图
2.4隔离原则
（1）对于那些仅用于检测或保护目的的A类信号，对同时用于控制系统（无论其类别）的A类系统信号需要予以特别关注。

这是由于传感器故障可导致控制系统的测量值超出需求容许值，并产生不安全的控制动作，同时还会方案保护系统对不安全工况的探测。

（2）保护系统和控制系统应设计成如下的形似和：对两个系统之间所传递的信号，假设单一故障包括了后继故障，不能引发事故或要求安全动作的瞬态，同时，也不能引发A类系统不可接受的降级。

（3）当A类系统内的一个单一随机故障及其后任何后续故障可引发一个控制系统动作，从而成为导致一个要求安全动作的工况时，即使此时有第二个随机故障使得A类系统降级，A类系统仍应有提供安全动作的能力。

应采取措施，无论任何原因，包括测试或维修目的，使得部件或组建旁通或退出运行，系统都应满足这一要求。

（4）即使有效的旁通、传感器和设备有测试证据证明的高可靠性，对提供控制信号的二取一表决的保护系统将要求比较论证和证明。

如果在维护期间使用了合适的旁通措施，则采用故障安全的设备和自动探测故障传感器的三取二系统能够满足要求。

结语
随着国内核电仪控技术的发展，对于需求工程的理解也在逐步深入。

在需求开发阶段将整个系统的功能、性能需求表达清楚，开发具备良好形式的需求规范，有助于为下游设计提供高质量的需求输入。

这对于提高产品质量，满足客户需求，避免不必要的返工都有着积极的意义。

参考文献
[1]夏丹阳,刘汪平.需求管理在核电DCS系统开发中的应用[J].仪器仪表用户,2015,22(2).
[2]毛磊，郑威，谢新勤.核电仪控系统网络安全保护[J].网络空间安全，2016(6):40-43.
[3]周继翔，朱攀，肖鹏.核电厂仪控系统纵深防御和多样性设计[J].核动力工程，2014，35（1）：122-124.。