核电站工控信息安全风险分析与探讨.docxVIP

?? ?在过去的几年里，世界各地区因伊朗的“震网病毒”事件惶惶不安，随着工业革命新一轮的浪潮，国家关键基础设施安全与国家安全一并提上日程，各国之间网络空间战拉开序幕。过去采用纯物理隔离的工业控制系统安全防护方式，看似无懈可击，实则在新一轮的技术革命中不堪一击，显得无力而苍白。各国之间能源竞争白热化，纷纷动手抢占资源的至高点。而安全是保证国家和平发展的前提。???核电站往往让大众感到神秘而敬畏，核电站最大的影响是核事故、核灾难。核电站事故不但会影响周边环境，其影响甚至会超出国界。核安全要求在核电站设计、制造、建造、运行和监督管理中，将风险降低到能够实现的最低水平。为此，必须基于人们对核安全的根本目标和原则的理解，正确认识它们之间的相互关系。对核电站规定了三个安全目标：第一个是总的核安全目标，即实现核电站的安全、稳定、可靠运行，其余两个是解释总的目标的辅助性目标，为辐射防护目标和技术安全目标。??总的核安全目标由辐射防护目标和技术安全目标所支持：1. ?辐射防护目标??保证在所有运行状态下，核电站内的辐射照射或由于该核电站任何计划排放放射性物质引起的辐射照射保持低于规定限制并且合理可行尽量低，保证减轻任何事故的放射性后果。2. ?安全技术目标??采取一切合理可行的措施防止核电站事故，并在一旦发生事故时减轻其后果，对于在设计核电站时考虑过的所有可能事故，包括概率很低的事故，要以高可信任度保证任何放射性后果尽可能小且低于规定限制，并保证有严重放射性后果的事故发生的概率极低。而网络安全是保证安全目标的最重要一环，没有网络安全就没有核电站的安全，安全目标也难以保证。??PICS工作站用以提供详细的信息和控制手段来操作电厂运行，如果PICS不可用时，就用后备的常规控制盘安全信息控制系统(SICS)来对电厂进行控制，包括在事故后工况下对电厂物理参数进行显示，以帮助员工对电厂的状态进行监视；包括集中必要的控制命令把反应堆维持在稳定的负荷状态运行一定的时期，并在正常或异常工况下将反应堆带到安全停堆状态。??PICS系统的主要功能是为操纵员在所有的电厂工况（正常、DBC和DEC）下能对电厂进行监控。并通过人机界面设备向机组人员提供信息, SICS提供了安全级人机界面，以执行Fl级和F2级满足抗震要求的控制及信息功能。在正常工况下，如果PICS不可用时，维持电厂在稳定的功率状态运行一段时间；在事故工况下（DBC2到DBC4），且PICS不可用时，将电厂带到并维持在安全停堆状态；在DEC-B（严重事故）工况下控制和监视电厂。??对于控制系统安全，核心关键安全设备的重要性不言而喻，在核电站中核心关键安全设备的选型应遵循以下原则。1.国产化原则??如核电站系统中使用的安全产品应当优先选用国产产品，以杜绝国外供货方提供的产品存在后门以及其它安全隐患。产品应获得国家相关部门的批准或认证。2.成熟性原则??如核电站系统采取的安全产品以及解决方案，在技术上必须是成熟的，而且是被检验确实能够解决安全问题、并且在相关项目上有大规模实施以及成功应用的案例。3.适用性原则??安全产品应当适用于工控系统，支持系统的工业协议（如Modbus、Profibus、S7协议等），产品能够审计及监测系统流量。4.可靠性原则?核电站系统配置的安全产品必须能够适应核系统的工作场景，具备良好的电磁兼容性以及连续工作不中断的能力，并且具备在一些场景下的旁路功能。??通常，串行通信模块每个接口可单独配置为RS-232 或RS-485，且每个通信接口可以单独设置波特率、通信协议等通信参数。COM通过扩展I/O总线，利用MODBUS、自定义通信协议等协议将第三方设备的数据连入自动化控制系统。而PROFIBUS现场总线接口，PROFIBUS主站通信模块为PROFIBUS从站设备及支持MPI协议的PLC与自动控制系统之间提供通讯接口。同时，PROFIBUS-DP 主站接口，负责与PROFIBUS 从站的通信，并可通过扩展I/O总线将PROFIBUS设备连入自动控制系统。类似的还有FF、HART等。??控制器是控制站执行控制任务的核心部件，依据用户可组态的控制策略对现场对象进行实时控制，实现连续控制、顺序控制、逻辑控制等各种类型的回路控制任务，并可实现数据采集、运算输出、故障检测与报警、信息传送等功能。控制器对网络、冗余通道、RAM、RTC、组态数据等进行周期性的自检，并在工作控制器检测到故障时，自动切换到备用控制器。在输入故障时，信号可按组态处在三种情况：保持、量程上限或者量程下限。在输出故障时，信号可根据组态保持或者输出预设安全值。??而在实际生产中，核电站数字化控制系统存在以下信息安全风险：首先，工控计算机和工业以太网，可能遭到与攻击民用/商用计算机和网络手段相同的攻击；其次，针对工业控制系统中的