核电厂dcs系统信息安全防护

河南科技

2019年11月

HenanScienceandTechnology

信息技术

核电厂DCS系统信息安全防护

张敏

（中核控制系统工程有限公司，北京102401）

摘要：随着计算机的飞速发展，信息安全越来越重要，这种重要性不仅体现在互联网和个人计算机领域，同

样也体现在工控领域。而核电厂DCS系统是工控系统的一个分支，在核电厂的运行中起到极其关键的作用。本文探讨核电厂DCS系统信息安全防护的方法，旨在分析核电厂DCS系统信息安全设计中的注意要点，从而确保核电厂建成后能够安全运行，保障国家的发展和人民生命的安全。关键词：信息安全；防护方法；DCS系统；核电厂中图分类号：TM623；TP309

文献标识码：A

文章编号：1003-5168（2019）32-0044-02

InformationSecurityProtectionZHANGofMin

DCSinNuclearPowerPlant

（ChinaNuclearControlSystemEngineeringCo.,Ltd.，Beijing102401）

Abstract:onlyreflectedWithinthetherapidInternetdevelopmentandpersonalofcomputers,computers,informationbutalsointhesecurityfieldofisindustrialmoreandcontrol.moreimportant,Asabranchwhichofindus⁃isnottrialmethodcontrolofinformationsystem,DCSsecurityplaysprotectionanimportantofnuclearroleinpowertheoperationplantDCSofsystem,nuclearaimingpoweratplant.analyzingThispaperthekeydiscussedpointsoftheformationin⁃

powersecurityKeywords:plant,designofDCSsysteminnuclearpowerplant,soastoensurethesafetyandstabilityofnuclearinformationandtoguaranteesecuritythe；developmentprotectionmethodofthe；DCScountrysystemand；thenuclearsafetypowerofpeople'splantlives.1

核电厂DCS系统信息安全属性的定义

则可能导致事故发生后无法进行责任追查。

核电厂DCS系统信息安全属性涉及五个方面。一是2

信息安全防护方法

可用性，即确保DCS系统可以被任何授权的操作人员使造成信息安全危险的行为主要有如下四种方式，即用的系统能力。二是完整性，即确保DCS系统只被授权截取、中断、篡改和伪造。针对上述危险行为，DCS系统操作人员修改的系统能力。三是机密性，即确保DCS系信息安全可以采用以下防护方法。

统只被授权操作人员查看的系统能力。四是认证性，即能够确认操作人员身份的系统能力。五是可追究性，即2.1

确保操作人员的动作被记录的系统能力。

DCS系统网络与外部网络之间应使用物理隔离措施

边界防护

进行防护，确保DCS系统到外部网络的绝对单向数据传根据以上定义可知，核电厂DCS系统丧失信息安全输。同时，应兼顾DCS系统网络与外部网络数据通信的属性将引发如下危险：DCS系统丧失完整性和认证性，可实时性。DCS系统与第三方系统之间的网络通信应采能引起系统的配置、程序、指令、信号和数据被篡改，造成取隔离措施进行防护，例如，可以在DCS系统侧部署工

误动或拒动，导致设备故障、损坏甚至引发核安全事业防火墙。安全级系统与非安全级系统之间的网络应故［1］。DCS系统丧失可用性会引发系统执行功能异常或从物理层面确保安全级系统到非安全级系统数据的单

性能降级，也可能导致设备故障、损坏甚至引发核安全事向传输［2，3］

。

故。DCS系统丧失机密性将可能导致系统配置信息、密码、生产工艺、关键参数等外泄。DCS系统丧失可追究性

2.2

设置访问控制权限，访问控制

由授权主体进行访问控制策略

收稿日期：2019-10-04

作者简介：张敏(1985—)，女，硕士，工程师，研究方向：软件验证与确认。

第32期

核电厂DCS系统信息安全防护

·45·

的配置，规定访问规则。记录非法登录，当超过规定的连件、控制操作事件、系统进程事件、客户端请求事件、数据续无效登陆次数时，触发报警，同时应锁定登录权限。设传输事件、系统资源的异常使用和重要系统命令的使用置会话自动锁定，对30min内不活动的会话进行锁定，只等，并生成审计日志。系统结合黑白名单技术，对系统内有使用身份验证后才能重新进行访问。

运行的模块/程序进行识别和监控，杜绝未经识别的模块/设置物理安全防护措施，防止未经授的非法访问，可程序的运行。

以采取如下措施来实现：锁柜、设备场所的权限控制以及审计日志记录存储设备配置为“仅可读”，防止对存相关组织和行政措施等。对重要的程序、文件和数据等储设备记录的更改。同时，应合理分配审计记录存储容设置安全标记，控制对有安全标记信息资源的访问权量，定期备份，防止存储超过容量上限，在审计存储容量限。在设计上对DCS系统可编程区域的访问，并阻即将达到上限时，系统应提供报警或信息指示。审计记止这些区域的非法访问。

2.3录的时间标签由系统唯一确定的时钟源确定，确保审计保护密码、密码管理

密钥数据库，防止非法访问主机用户和密分析的正确性。DCS系统应保护审计进程，防止未经授码列表，将密码副本存储在有限访问的安全位置。控制权的中断。

更改主密码的权限，防止主密码泄露造成密码管理的失2.7

效。控制密码的长度、强度和复杂性，确保密码有足够的DCS系统具备定期对历史数据、数据备份与恢复

安全性。

备份的能力。系统应具备检测备份介质有效性的能力，系统组态文件进行

2.4对DCS移动存储介质的访问控制

确保在预期的恢复时间内可以完成备份的恢复。

系统主机的物理接口进行，可以采用

USB3结论

备，对存储介质进行病毒和木马的查杀，端口设备绑定的方式。同时，部署文件拷贝中转设并禁用未使用的信息安全问题贯穿DCS系统的整个生命周期，同时网络端口、协议端口以及USB接口。当有设备通过备用信息安全问题需要采用技术手段与管理手段解决。本文网络端口接入时，DCS系统将拒绝并报警，只有经授权允针对造成信息安全危险的四种行为，探究了几种核电厂许或硬件组态后才允许新设备的接入。

2.5DCS的过程中保证系统的完整性、系统信息安全防护的方法，可用性、目的是在机密性、DCS系统设计认证性和在DCS入侵防御

系统合适位置部署入侵检测系统，监视网络可追究性，将由信息安全事件导致的事故危害降到最低。

边界处的网络行为，包括端口扫描攻击、暴露攻击、木马后门攻击、DoS攻击、缓冲区溢出攻击、IP碎片攻击、网络参考文献：

蠕虫等，并在检测到攻击行为时记录攻击源IP、攻击类［1］CharlesPPfleeger，ShariLawrencePfleeger，Jonathan型、攻击目标和攻击时间，提供实时报警。同时，应确保Margulies.PrinciplesandTechnologyofInformationSecurity入侵检测系统不影响DCS系统的正常运行。

［M］.Beijing：ElectronicIndustryPress，2016.

2.6［2］国家质量监督检验检疫总局，中国国家标准化管理委对DCS审计日志

网络中的网络设备运行状况、网络流量等进员会.工业自动化和控制系统网络安全集散控制系统（DCS）行审计，审计日志应包括日期和时间、类型、主体标识、客第1部分：防护要求：GB/T33009.1—2016［S］.北京：中国标准体标识等。对工程师站、操作员站、服务器、数据库等重出版社，2016.

要系统的用户操作，以及组态软件、编程软件、监控软件、［3］USANuclearRegulatoryCommission.CyberSecurity数据服务和通信软件等的运行事件等进行安全审计，如ProgramsForNuclearFacilities：RG5.71—2010［S］.Rockville：用户登录事件、组态事件、编程事件、程序的上传下载事

USANuclearRegulatoryCommission，2010.