核电厂安全级DCS信息安全隔离方案研究 本文关键词:核电厂,信息安全,隔离,方案,研究
核电厂安全级DCS信息安全隔离方案研究 本文简介:摘要:随着网络技术的快速发展和各类信息安全事件的频繁发生,核电领域的信息安全受到越来越多地关注,控制系统一旦被入侵,就有可能给企业、社会和环境带来不可估量的影响。安全级DCS作为核电厂反应堆保护系统,其信息安全防范设计尤为重要。安全级DCS相关设备包含:保护组处理机柜、专设安全设施机柜、信号传输站、
核电厂安全级DCS信息安全隔离方案研究 本文内容:
摘 要:随着网络技术的快速发展和各类信息安全事件的频繁发生,核电领域的信息安全受到越来越多地关注,控制系统一旦被入侵,就有可能给企业、社会和环境带来不可估量的影响。安全级DCS作为核电厂反应堆保护系统,其信息安全防范设计尤为重要。安全级DCS相关设备包含:保护组处理机柜、专设安全设施机柜、信号传输站、安全显示站、工程师站、网关站等设备,各个设备受到信息安全威胁后对核电厂反应堆保护系统影响不一样,如何做好各个设备之间的隔离,从而将信息安全威胁降到最低,本文进行了信息安全防范分级,并根据分级结果对安全级DCS提出了具体的隔离方案。
关键词:安全级DCS;信息安全;安全防范分级;隔离
引言
发改委《电力监控系统安全防护规定》(国家发改委14号令)2014 总则第二条提出了坚持“安全分区、网络专用、横向隔离、纵向认证”的原则。GB/T 30976.1-2014章节6.6.1,控制系统应能对控制系统网络与非控制系统网络进行逻辑分区,关键控制系统网络和其它控制系统网络进行逻辑分区。控制系统应能对关键控制网络和其它控制网络进行逻辑和物理隔离。通过上述防护规定和标准可以看出,隔离措施已经是信息安全重要的技术手段和规定,隔离措施将信息安全威胁拒之门外,相比于已经受到威胁再采取处理措施显得更为有效。因此,做好安全级DCS信息安全隔离措施,是做好安全级DCS信息安全防范的重点。
1 信息安全防范等级划分
发电厂基于计算机业务系统划分生产控制大区和管理信息大区,生产控制大区可以分为控制区(安全区I)和非控制区(安全区II)。安全分区用于识别出关键控制网络和其它控制网络,安全分区还用于给出网络边界容易受到攻击的脆弱点,是隔离措施设计的基础。安全级DCS中不同系统和设备安全防范失效对安全级DCS产生的影响程度是不一样的。
根据标准GB/T 15474-2010,A类功能是指对于达到或维持核电厂安全以防止设计基准事件导致不可接受的后果起主要作用的功能。B类功能是指对于达到或维持核电厂安全起补充A类功能的作用,尤其是在达到受控状态后运行所需的功能,以防止设计基准事件导致不可接受后果或者缓解设计基准事件的后果。C类功能是指对于达到或维持核电厂安全起辅助或间接作用的功能,包括那些有一定安全重要性但不属于A类或B类的功能。在标准IEC62645-2014中,将系统和设备分为S1、S2和S3 3个安全防范等级,其中:
1) 执行A类功能仪控系统的安全防范等级为S1级。
2) 需要实时操作和执行B类功能仪控系统的安全防范等级不低于S2级。
3)执行C类功能、辅助电站操作和维护仪控系统的安全防范等级为S3级。
如果系统中有任何一个功能遭受恶意行为或事件时所造成的最大后果被认为对应于更严厉的安全防范等级,则该系统应该被赋予的安全防范等级应该比上述所推荐的安全防范等级更高。结合GB/T 15474-2010 功能分类方法和 IEC62645-2014安全分级方法,进行安全防范等级分配。保护组处理机柜、专设安全设施机柜、信号传输站、安全显示站为S1级,非安全级DCS和安全级DCS之间的通信设备网关、协议转换设备为S2级,非安全级DCS和工程师站为S3级。其中S1级设备与外界的通信均通过S2级设备完成。
2 安全级DCS信息安全防范隔离
在讲到隔离措施之前,首先要对隔离方式进行认识,隔离按照其实现方式分为逻辑隔离和物理隔离。逻辑隔离主要通过逻辑隔离器实现,逻辑隔离器是一种不同网络间的隔离部件,被隔离的两端仍然存在物理采用中间机安装防病毒软件还需做好如下方面的工作:
1) 防病毒软件需要进行充分地测试和评估,做好与控制系统软件的兼容问题。
2) 做好病毒库更新问题中间机完成病毒库升级后,需要对前几个月或前几次导入的数据进行病毒查杀,具体时间由管理规程规定,管理者根据病毒查杀结果分析是否采取相应的措施。
2.1.2 工程师站下装开关单向隔离
IEC 62645-2014 中5.2.3.2.4有如下要求,从S2级系统到S1级系统的数据网络传输必须仅限于那些无法避免的传输(例如,制动器优先控制系统、授权的系统、重置系统等),并且必须由完整的理由和安全防范风险分析所支持。任何从S2级系统到S1级系统的数据传输都必须通过应用静态规定(例如,格式和时间窗口控制等)而确保安全防范。
对于核电站安全级DCS系统,工程师站需要下装更新等操作存在S2往S1传送数据的情况,根据标准要求并结合安全级DCS实际情况,工程师站往安全级DCS传送数据采用类似时间窗口控制的开关控制方式。现场控制站往工程师站传送数据不受控制,正常运行时,工程师站向现场控制站等设备发送数据的物理链路为断开状态,当需要往现场下装数据时物理链路才闭合,做到了工程师站与控制系统的物理隔离。工程师站开关控制单向通信图如图3所示。
2.1.3 协议转换设备隔离
由于工程师站采用普通通信协议,安全级DCS采用专用通信协议,协议转换设备是为了实现工程师站和安全级设备之间的协议转换和隔离功能。从工程师站发送的下装数据经过协议转换后发送到安全级设备,安全级设备解析下装数据后进行组态配置。从安全级设备发送的状态数据通过协议转换设备后上传到工程师站,现场人员通过工程师站获取安全级设备的状态信息。协议转化设备应包括收、发两个设备,下装数据和上传的状态数据相互独立,从而实现协议转化设备的收发隔离。
工程师站和安全级设备采用两种不同的数据协议,通过对两种协议的解析,去除非法数据,接收满足协议的合法数据,达到数据隔离的目的。实现了工程师站对安全级设备的下装功能和获取安全级设备状态信息的功能。
因此,从信息安全角度,协议转化设备应实现以下功能:
1)安全级设备协议和工程师站通用协议的转化,去除非法数据。
2)接收数据和发送数据隔离工程师站通过协议转换设备两种协议的转化并去除非法数据、结合工程师站下装开关控制、防病毒软件的使用,工程师站采用了多种隔离方式的组合,从而实现多层次的纵深防御。
2.2 网关站隔离
网关站用于实现安全级DCS与非安全级DCS之间协议转换和数据通信功能,网关作为安全级DCS与非安全级DCS的接口,在信息安全防范分级图中属于S2级,非安全级DCS一旦存在威胁就可能通过网关对安全级DCS进行攻击。
网关的实现方式多样,传统网关采用普通计算机方式实现,从信息安全角度再配防火墙隔离。显然,传统计算机加防火墙方式只能实现逻辑隔离,不能满足安全级DCS对信息安全防范的要求。
安全级DCS网关应设置成如安全级通信设备和非安全级通信设备的方式,完成安全级DCS与非安全DCS的协议转换。该方式由于切断安全级DCS和非安全级DCS之间的直接通信,相互的连接是通过间接地与网关建立连接而实现的,所以非安全级DCS网络是无法知道安全级DCS网络的真实网络地址的,也无法通过数据包的内容对安全级DCS软件、系统等进行判断。通过该方式攻击者无法收集到任何有用的信息,从而无法展开有效的攻击行为[7].
网关站的通信方式还应优化设计为单向通信,只从安全级向非安全级发送数据,从而彻底隔离非安全级DCS带来的网络威胁,保证安全级DCS平台安全性。单向通信隔离图如图4所示。
3 结束语
安全级DCS作为核电厂反应堆保护系统,其信息安全防范设计十分重要,隔离措施是信息安全防范中重要的防范措施。各设备供应商应根据平台具体情况设计相应的隔离方案,同时根据隔离方案制定防病毒软件查杀管理、工程师站开关控制等相应的管理措施,真正做到将信息安全网络威胁拒之门外。
参考文献:
[1] 邱意民。国家发展和改革委员会。电力监控系统安全防护规定[S].杭州: 浙江人民出版社,2014 (z2)。
[2] I/Cei.IEC 62645 Nuclear power plants–Instrumentation andcontrol systems–Requirements for security programmes forcomputer-based systems[S].2014:08.
[3] IEC 62443-3-3 Industrial communication networks-Networkand system security-Part3-3:System security requirements andsecurity levels[S].2013.
[4] GB/T 30976.1-2014工业控制系统信息安全 第1部分:评估规范[S].2014.
[5] 中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会。GB/T 15474-2010核电厂安全重要仪表和控制功能分类[S].2010:11.
[6] IEEE 7-4.3.2-2003 Criteria for Digital Computers in Safety Systemof Nuclear Power Generating Stations[S].2003:11.
[7] 郑威, 毛磊, 陈嘉彧。 核电厂信息安全隔离方案研究:第三届中国(国际)核电仪控技术大会论文集[C].2015.
[8] 杨安义,李晶,卞玉芳,等。我国核电站DCS系统信息安全研究:核电厂信息安全研讨会论文集[C]. 2016,4.
《核电厂安全级DCS信息安全隔离方案研究》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/show/212573.html
转载请保留,谢谢!
- 下一篇:兰州市白道坪项目地质情况评价