核电厂仪控系统安全和网络安全协调要求

核电厂仪控系统安全和网络安全协调要求

林天颂王绍蓉

福建福清核电有限公司福建福清350318

摘要：核电厂数字化仪控系统是核电厂安全运行的中枢神经系统，鉴于伊朗某核电站的控制系统遭受过网震病毒攻击的事情，使得核电厂控制系统的网络安全成为了当前研究的重点。由于核电厂数字化仪控系统涉及大量的软件系统，且容易遭受病毒的攻击，因此对核电厂数字化仪控系统网络完全的研究和防范已刻不容缓。

关键词：核电厂；数字控制系统；网络安全

引言

随着现代工业技术的发展，工业化与信息化正在不断融合，工业控制系统越来越多采用通用的通信协议和软硬件系统，并且以各种方式接入网络，从而打破了这些系统原有的封闭性和专用性，造成病毒、木马等安全威胁向工控领域迅速扩散。工业控制系统所面临的信息安全问题日益严重，而且呈现出诸多与传统IT系统不同的特点。核电厂作为国家关键基础设施，是关注的核心，重中之重。仪控系统作为核电厂的神经中枢、关键数字资产，是重点保护对象。而仪控系统从功能安全角度已有完整的法规标准和技术。如何在不降低安全的情况下考虑加强信息安全，有必要提出协调功能安全和信息安全的整体框架。

1安全和网络安全协调要求

1.1网络安全区域划分原则

为了更切实地实施分级方法，需要将仪控系统中的基于计算机的和基于数字逻辑的系统划分为若干安全区域，分级保护原则适用于各个安全区域。区域允许将在安全和设备功能方面有着相似重要性的系统分为一组，以管理并应用保护措施。定义安全区域的标准可能包括组织问题、本地化、架构或技术方面。划分网络安全区域应考虑如下原则：（1）网络安全区域的划定应考虑和利用为加强安全目的而引入的独立性和物理隔离要求；（2）划定网络安全区域应同时考虑数据通信、地理/物理隔离以及独立性等方面；（3）除非能够从网络安全防范角度有效的过滤和监测分隔之间的通信，否则由多个子列组成的仪控系统应划分到同一个网络安全区域中。

1.2隔离原则

隔离设计在某些情况下也可用于网络安全防范。应由负责网络安全的人员按照场景进行分析，利用隔离措施促进安全防范。功能安全相关标准所提出的用于支持A类功能的控制系统的独立性要求，对网络安全是有益的，应针对具体场景进行评估和验证，以便在网络安全防范中纳入这些措施。这些控制系统的独立性要求包括：（1）对于那些仅用于检测或保护目的的A类信号，对同时用于控制系统（无论其类别）的A类系统信号需要予以特别关注。这是由于传感器故障可导致控制系统的测量值超出需求容许值，并产生不安全的控制动作，同时还会方案保护系统对不安全工况的探测。（2）保护系统和控制系统应设计成如下的形似和：对两个系统之间所传递的信号，假设单一故障包括了后继故障，不能引发事故或要求安全动作的瞬态，同时，也不能引发A类系统不可接受的降级。（3）当A类系统内的一个单一随机故障及其后任何后续故障可引发一个控制系统动作，从而成为导致一个要求安全动作的工况时，即使此时有第二个随机故障使得A类系统降级，A类系统仍应有提供安全动作的能力。应采取措施，无论任何原因，包括测试或维修目的，使得部件或组建旁通或退出运行，系统都应满足这一要求。（4）即使有效的旁通、传感器和设备有测试证据证明的高可靠性，对提供控制信号的二取一表决的保护系统将要求比较论证和证明。如果在维护期间使用了合适的旁通措施，则采用故障安全的设备和自动探测故障传感器的三取二系统能够满足要求。

2核电厂仪控安全系统设计

2.1安全级仪控系统的需求建立

在传统的开发方法中，核电厂安全级仪控系统通过系统需求规范文档来定义其需求。需求规范通常以自然语言进行描述，并通过一个通用的结构进行组织。通常，系统需求规范的开发流程如图1所示。如图1所示，需求开发是一个迭代的过程，其需求确认的环节是对需求制品的检查。为了检查需求的质量，应将这些需求反馈给需求的涉众，对这些需求进行沟通和确认，以检查出文档化需求与涉众真实需求与期望之间的偏差。

2.2需求文档的质量属性

1）完整性：系统需求文档的集合应包含所有涉众的相关信息，即没有遗漏任何相关的需求，以使开发人员能够获得实现系统功能所需的全部信息。2）可追踪性：系统需求的来源、演化及其在后续开发阶段的使用应是可追踪的。在需求良好管理的情况下，可追踪性可以通过从低层需求到上层需求，上层需求到源需求之间的逐一追踪来建立。3）无歧义性：需求的文档化描述应只有一种合理的解释。在需求开发阶段出现的缺陷有很大一部分原因是用户与需求开发人员对需求理解的差异。使用自然语言描述的需求容易产生理解上的二义性。这是编制需求规范时需要重点关注的。避免歧义的有效方法有：文档审查，定义语法规则，采用需求模型补充说明等方法。4）一致性：需求的内容应一致且不矛盾，各需求不应与其他需求冲突。5）可验证性：每个需求都应有方法证明系统满足需求。这里的方法指当存在有限成本下，人或机器可以验证产品满足需求。对于那些不具备定性的要求或者描述不清的陈述，如：“较快的响应速度”，被认为其是不可验证的需求。

图1需求开发流程

3网络安全风险防范分析

3.1网络安全风险防范方法

根据上述网络安全防范的策略，并结合核电厂的特点对核电厂数字化仪控系统网络安全风险防范的方法进行分析，以降低或减少网络风险的发生，从而使核电厂数字化仪控系统网络处于安全运行的环境中。①阻止风险发生。采用物理设备阻止非法人员的闯入，通过警告标语提醒不要非法闯入，通过行政手段或程序来阻止攻击者或恶意程序代码去破环系统。②侦查风险。通过安装监控设备及时发现未授权者的非法闯入行为，并做出适当的响应。包含闯入侦查系统、安全事件监视系统、病毒库、防火墙、邮件/链接过滤系统、人员培训等。③延迟风险发生。通过设置障碍减慢非法闯入者的行为，从而迫使闯入者放弃非法入侵的行动，或为安全响应团队争取响应时间。涉及安全门、物理障碍、安全码、网络分割、访问控制等内容。④拒绝。拒绝未授权的用户或者软件的进入控制系统，可以通过防火墙、白名单、入侵预防系统和访问控制的方法来实现。⑤防御。防御的目标是采取行动消除非法入侵或者恶意的软件攻击，从而使系统回到正常的运行状态。如果不能完全消除非法入侵和恶意软件的攻击，可以通过将入侵者和恶意软件隔离在某一个区域内使其不对整个系统造成影响。

3.2风险防范策略

①风险分级。对已识别出来的核电厂数字化仪控系统的网络安全风险进行分级，然后根据风险等级制定相应的防范措施。②风险转移。对某一类风险采用第三方管理的方法，尽管这样不能消除风险，但可以将风险对网络安全的影响转移到第三方。③终止活动。通过停止有风险的活动或有风险系统的运行来阻止风险的扩大，从而最终减小风险带来的影响。

结语

随着国内核电仪控技术的发展，对于需求工程的理解也在逐步深入。在需求开发阶段将整个系统的功能、性能需求表达清楚，开发具备良好形式的需求规范，有助于为下游设计提供高质量的需求输入。这对于提高产品质量，满足客户需求，避免不必要的返工都有着积极的意义。

参考文献

[1]夏丹阳,刘汪平.需求管理在核电DCS系统开发中的应用[J].仪器仪表用户,2015,22(2).

[2]王小山,杨安,石志强,孙利民.工业控制系统信息安全新趋势[J].信息网络安全,2015(01).

[3]章坚青,王根生.核电厂安全重要仪表和控制系统标准体系概述[J].自动化仪表,2010(09).