核電DCS邊界網絡安全隔離解決方案研究

李若蘭，李啟凌，李 柯，農政林，馬 飛

（1.中國廣核電力股份有限公司，廣東 深圳 518031；2.上海中廣核工程科技有限公司，上海 200241）

0 引言

隨著工業控制系統信息化及數字化的不斷轉型發展，核電數字化控制系統（digital control system，DCS）環境也不再是“信息孤島”，加之網絡攻擊手段日益復雜多變，核電DCS 面臨的網絡安全威脅也與日劇增，對其安全性構成了嚴峻挑戰。一旦DCS 遭受攻擊或被入侵，可能導致設備損壞或生產中斷甚至核安全事故的發生，影響人民利益和社會穩定甚至國家安全。

核電行業正在按照國家及監管單位相關標準法規，推進工控網絡安全防護建設。國家標準GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》[1]中明確提出“一個中心、三重防護”的網絡安全防護原則。工控系統需從安全區域邊界、安全通信網絡和安全計算環境進行三重防護，其中安全區域邊界作為三重防護中的第一道防線，其邊界防護能力至關重要，邊界防護中的隔離技術則是實現邊界防護的重要手段，是當前邊界防護中重要的研究課題及方向。

本文結合核電DCS 網絡安全防護架構，通過研究DCS邊界邏輯隔離、物理隔離及物理斷開的整體防護技術，形成邊界隔離解決方案，在核電DCS 與外部網絡之間實現不同區域邊界的有效隔離，從而建立安全邊界，保護核電DCS免受網絡攻擊和入侵的威脅，確保核電廠安全穩定運行。

1 核電廠工控系統安全分區及邊界隔離要求

發改委14 號令《電力監控系統安全防護規定》[2]提出“安全分區、網絡專用、橫向隔離、縱向認證”十六字方針，根據14 號令要求，國能安全36 號文《電力監控系統安全防護總體方案》[3]對電力監控系統安全分區與網絡隔離做了規定。

核電廠各工控系統，劃分為生產控制大區和管理信息大區。生產控制大區分為控制區（安全區Ⅰ）和非控制區（安全區Ⅱ）。管理信息大區在不影響生產控制大區安全的前提下，分成生產管理區（安全區Ⅲ）、辦公內網區（安全區Ⅳ）。

核電工控系統主要分布于安全Ⅰ區、Ⅱ區及Ⅲ區。

不同區域間需通過隔離等技術手段，確保邊界安全。

安全區Ⅰ與安全區Ⅱ之間，采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻或者相當功能的設備，實現邏輯隔離、報文過濾及訪問控制等功能。

生產控制大區內部的系統和生產管理大區（安全區Ⅲ）之間，需要禁止通用網絡服務（如FTP、HTTP、TELNET、MAIL、RLOGIN 及SNMP 等）通信，采用物理隔離的安全措施，實現業務數據從生產控制大區單向流向生產管理區。

按照核電特點，生產管理區（安全區Ⅲ）和辦公內網區（安全區IV）之間，要考慮物理斷開，實現安全區Ⅲ到安全區Ⅳ的數據單向傳輸。

2 核電DCS網絡安全防護架構

核電DCS 位于安全區Ⅰ，對DCS 的網絡安全防護已形成3 級防護架構：工控網絡安全防護系統、工控廠級態勢感知系統及工控集團級態勢感知系統。

工控網絡安全防護系統由部署在DCS 邊界、網絡及主機環境的網絡安全防護設備構成，按照“一個中心、三重防護”的防護原則對DCS 進行邊界、網絡及主機環境的多重防護，形成綜合防御能力。防護系統設備的物理安裝位置雖與DCS 在一起，但其本身也是一個獨立的工控系統，與DCS 同屬于安全區Ⅰ。工控網絡安全防護系統涉及的具體的防護措施，除邊界隔離措施外，其他防護措施不是本文重點，不做詳述。

工控廠級態勢感知系統接收工控網絡安全防護系統中探針設備的日志和流量信息，對網絡通信進行捕獲、存儲、挖掘、回溯以及定性和定量分析，實現對整個核電廠工控系統的資產集中管理、網絡拓撲管理、安全檢測分析、安全合規評估、攻擊行為溯源、安全態勢監控及應急響應處置等，實現整個電廠網絡安全綜合監控能力。工控廠級態勢感知系統被劃分在安全區Ⅲ。

工控集團級態勢感知系統接收來自各個核電廠基地的工控廠級態勢感知系統的數據，對相關安全風險和實時安全事件進行專家技術研判，及時并且有針對性地提供安全建議，指導協同各電廠基地快速響應，有效阻斷和清除威脅，實現全集團核電廠協同監控及聯防聯控。工控集團級態勢感知系統被劃分在安全區IV。

“系統級防護、廠級綜合監控、集團級研判預警”的三級核電DCS 網絡安全防護架構，實現全集團核電DCS 的全天候網絡安全監測和預警。三級網絡安全防護架構如圖1所示。

圖1 三級網絡安全防護架構Fig.1 Three-level network security protection architecture

3 核電DCS防護邊界隔離方案

3.1 核電DCS邊界特點

核電DCS 負責核電廠多個重要系統的信號采集及控制，能第一時間讓操縱員獲知現場設備狀態，并下達操縱員指令到就地設備，可以說是核電廠的“神經中樞”。

DCS 與多個工控系統存在直接的業務數據交互，如電動主給水泵系統、常規島廢液收集系統、試驗數據采集系統、試驗儀表系統、核電廠應急指揮系統、核電基地實時監控系統，以及工控網絡安全防護系統等。這些與DCS 通信的工控系統被劃分在不同的安全區，有的與DCS 同屬于安全區Ⅰ，有的屬于安全區Ⅱ或安全區Ⅲ。如電動主給水泵系統、常規島廢液收集系統、工控網絡安全防護系統屬于安全區Ⅰ，試驗數據采集系統和試驗儀表系統屬于安全區Ⅱ，核電廠應急指揮系統和核電基地實時監控系統則屬于安全區Ⅲ。DCS 在與這些工控系統通信時，需要按照核電廠邊界隔離要求對DCS 邊界采取相應隔離措施，避免為核電DCS 帶來直接風險。DCS 邊界防護示意圖如圖2 所示。

圖2 核電DCS邊界防護示意圖Fig.2 Schematic diagram of boundary protection for nuclear power DCS

DCS 邊界通信存在以下通信特點：

1）采用標準工控協議進行通信。如Modbus-TCP、IEC60870-5-104 及Ethernet/IP 等，部分重要系統間通過私有協議進行通信。防護隔離技術需要具備針對工控協議，尤其是私有協議的協議層面的解析及防護能力。

2）涉及與多個第三方系統通信。有些系統間通信采用Modbus-RTU 協議或硬接線通信方式，需要識別和支持串口的安全防護。

3）DCS 可用性要求高。邊界通信具有實時性、穩定性和可靠性要求，防護隔離技術不能影響邊界通信原技術指標要求，要有兜底解決措施。

此外，DCS 的數據還需要送到工控廠級態勢感知系統和工控集團級態勢感知系統去做進一步分析處理，DCS 與這些系統也存在間接的業務數據交互。此部分系統也是DCS 的重要邊界之一，其需要考慮邊界隔離方案，切斷反向間接攻擊的任何可能性，避免為DCS 帶來潛在風險。

3.2 邊界隔離方案

針對核電DCS 邊界，根據其邊界通信特點進行邊界隔離防護。DCS 邊界隔離三道防御線如圖3 所示。

圖3 DCS邊界隔離三道防御線Fig.3 Three defense lines for DCS boundary isolation

1）邊界防護第一道防御線

與同屬于安全區Ⅰ內的工控系統之間進行邏輯隔離?？紤]DCS 與有些系統之間通信采用串口協議，邏輯隔離需要支持串口通信過濾技術，能對Modbus-RTU 協議進行深度解析，實現協議內容過濾。

與安全區Ⅱ內的工控系統之間進行邏輯隔離。由于相關系統間的通信協議通常為標準工業協議或核電私有協議，需實現對核電工控協議深度解析，并對解析內容進行應用層過濾，實現最小化通信隔離。

針對上述邊界，考慮工控系統可用性要求高，邏輯隔離設備要支持BYPASS 功能，包括以太網口和串口等，保證隔離設備故障及異常情況下能夠快速恢復業務正常通信。并針對工控系統特定的入侵行為和重要操作，建立核電工控特征檢測庫，對于邊界通信進行工控特定行為入侵防御，保證重要入侵行為的識別和阻斷。

工控網絡安全防護系統單獨劃分為安全管理區域，與被防護的DCS 之間有直接通信行為的鏈路，采用ACL 過濾和異常攻擊行為檢測等措施進行邊界邏輯隔離。

2）邊界防護第二道防御線

用材林(含薪炭林)按其生長發育的階段性大致可分為幼齡期、中齡期、成熟期三個階段。幼齡林屬于用材林的初始時期，主要是造林，保證林木個體成活率，只有投入，沒有產出。中齡林屬于林木快速生長階段，這個階段不僅關注林木個體的生長情況，還需關注林木之間的相互作用。近熟林、成熟林、過熟林屬于林木的成熟期，林分年齡接近、已到或者超過主伐年齡的林木，該階段的林木可以進行砍伐。

DCS 與安全Ⅲ區工控系統之間的通信進行物理隔離。

DCS 的工控網絡安全防護系統與安全區Ⅲ的工控廠級態勢感知系統之間的通信進行物理隔離。

3）邊界防護第三道防御線

工控廠級態勢感知系統與工控集團級態勢感知系統之間，根據核電特點，部署物理斷開類隔離設備，實現物理斷開，單向導通，保證不會有任何數據從辦公網區向工控廠級態勢感知系統傳遞，切斷反向攻擊的任何可能性。

4 邊界隔離技術

4.1 邏輯隔離技術

邏輯隔離主要通過ACL（Access Control List）訪問控制列表進行訪問權限控制，同時針對工控協議以及核電私有協議，建立工業協議白名單，最小化地允許特定的協議流量通過，再輔之以工控入侵防御技術，實現核電邊界通信的過濾及安全隔離。針對串口等特殊接口，開發自適應多接口方式，建立串口白名單基線，實現串口通信協議過濾。

1）ACL 策略控制

ACL 可以定義一組規則，基于不同的條件來控制訪問，如源IP 地址、目標IP 地址、協議類型和端口號等。根據這些條件，ACL 可以過濾和控制數據包的傳輸。當網絡流量數據包經過隔離設備時，設備會檢查數據包與ACL 中定義的規則是否匹配，并根據匹配結果決定是否允許或拒絕數據包的傳輸。

2）工業協議白名單

針對工控系統的特點，基于協議解析引擎技術[6]對工業協議尤其是核電私有協議建立可信工業協議集、協議規約和讀寫功能碼規則，通過智能學習形成工業協議及通信行為白名單。當邊界網絡流量流經隔離設備時，設備對網絡數據包進行識別和解析，對不在白名單內的違反協議規約、非法攻擊及異常操作的行為進行審計和告警。通過工業協議白名單，對于Modbus、S7、OPC 等常見的工業協議以及核電私有協議，能夠做到值域級細粒度的訪問控制。

3）工控入侵防御

工控入侵防御是一種安全機制，可通過分析網絡流量中的工業協議，檢測工控特定入侵及異常行為（包括重要下裝、重置、刪除等動作），并通過一定的響應方式，實時地中止危險行為，保護工控系統免受侵害。

入侵防御基于特征庫或“黑名單”規則庫形式，規則庫中可內置多條威脅事件，支持多種事件類型和協議類型，覆蓋針對工控系統的攻擊事件和惡意代碼。當邊界網絡流量流經隔離設備時，設備對網絡數據包進行識別和解析，并與規則庫中威脅事件進行匹配，根據匹配原則判別是否發生了入侵行為。

入侵防御用于檢測已知類型的攻擊行為，對于不在特征庫中的新類型的入侵行為無能為力。而協議白名單是建立“正?；顒訖n案”，可對正?；顒右酝獾奈粗袨檫M行檢測。黑白名單兩種技術相結合，可檢測出更廣泛的攻擊，包括已知的和未知的攻擊行為。

4）安全保障

隔離設備具有串口BYPASS 和以太網口BYPASS 功能，可保障在隔離設備異?；蛘邤嚯娗闆r下，隔離設備BYPASS 功能可迅速重新建立兩側業務連接，及時恢復通信。同時隔離設備軟硬件設計上采用多種措施保障協議過濾低延時，實現工控系統邊界通信高可用性。

4.2 物理隔離技術

在生產控制大區與生產管理區之間，應實現單向物理隔離，保證數據只能從生產控制大區向生產管理區單向傳遞，從而防止攻擊行為從外部網絡向內部網絡進行滲透或擴散，保護內部網絡。

隔離裝置單向通信架構如圖4 所示。內網是高安全等級的工控系統，外網是低安全等級的工控系統。正常情況下，數據交換單元、外網處理單元和內網處理單元在物理上是完全斷開的。

圖4 隔離裝置單向通信架構Fig.4 Unidirectional communication architecture of isolation device

隔離裝置由內網處理單元、數據交換單元及外網處理單元組成。當內網高安全等級工控系統的數據需要傳遞到外網低安全等級工控系統時，內網系統對隔離裝置發起數據連接請求，然后隔離設備的內網處理單元將通信數據的所有協議剝離，并寫入數據交換單元的高速數據傳輸通道中，同時對需要傳輸的數據進行完整性和安全性檢查，如防病毒和惡意代碼等。

當數據全部通過數據交換單元的單向安全通道，隔離裝置的內網處理單元立即中斷和內網系統的連通，把單向安全通道里的數據推向外網側，在外網處理單元收到數據并與外網成功建立數據連接后，對通訊內容重新進行TCP/IP 的封裝和應用協議的封裝，隨即交給外網系統。

在硬件控制邏輯電路收到完整的數據交換信號之后，隔離裝置立即切斷和外網的直接連接。

當外網的應答數據需要傳輸到內網的時候，必須通過專用反向安全通道進行數據擺渡，傳輸原理與上述相同。硬件控制電路控制反向安全傳輸通道的硬件深度，應答字節數不能大于一個字節，并且一個字節只能表示0 或255這兩種狀態，否則反向安全傳輸通道會將報文丟棄。

物理隔離設備實現了無協議的純數據，在沒有物理通道的情況下，數據通過隔離部件從內網源端到達外網目的端，實現數據從內網到外網的跨安全區的單向數據擺渡。

4.3 物理斷開技術

單向物理隔離設備尚存在一個字節的反向應答，在核電生產管理區（安全區Ⅲ）至辦公內網區（安全區IV）之間，要實現完全的物理斷開。

物理斷開設備通過激光器的內部設計和工作原理，利用激光的單向傳輸特性構造唯一的、物理斷開的信息單向導入通道，并且根據光傳輸的特點，在實現網絡間無反饋的純單向數據傳輸的同時，又滿足數據的高性能傳輸要求。

激光發射器只發射激光，激光為空間輸出形式。

激光探測器在接收端接收光，且只接收約定頻段的激光信號。

物理斷開設備數據通道架構如圖5 所示。

圖5 物理斷開設備數據通道架構Fig.5 Data channel architecture of physically disconnected devices

物理斷開設備能把數據從發送端網絡單向傳輸至接收端網絡，在傳輸過程中根據策略對數據進行合規性檢查、病毒掃描、源/目的用戶檢查等安全控制。在計算運算的同時進行自身安全防護，以國產密碼為基因實施身份識別、狀態度量、保密存儲等功能，從而排斥進入機體的有害攻擊行為，增強自身免疫能力。

5 結語

本文基于核電DCS 網絡安全防護架構，提出了針對核電DCS 安全區域邊界隔離防護的三道防御線的解決方案，并對三道防御線的邏輯隔離、物理隔離、物理斷開的邊界隔離關鍵技術進行了研究。解決方案通過限制及阻斷DCS網絡與外部網絡間的通信，建立安全區域邊界，可有效保障系統邊界安全。解決方案已在多個核電基地得到良好應用，可為核電其他工控系統以及核電以外的其他高安全領域網絡安全防護邊界隔離提供借鑒及經驗。隨著網絡威脅的演變和攻擊技術的不斷進步，安全區域邊界隔離解決方案也需要不斷優化和改進，以應對不斷變化的、復雜的新型威脅和攻擊，做好核電工控系統網絡安全防護，保障核安全。