乏燃料后处理厂数字化仪控系统病毒防护研究

刘建伟，杨庆彧，刘泽辰

（中国核电工程有限公司，北京 100840）

0 引言

随着计算机技术的发展，数字化仪控系统和企业信息管理系统得到了越来越广泛的应用。计算机病毒的危害在工控行业也不断出现，2010 年震网病毒攻击伊朗布什尔核设施就是一个典型例子[1]，网络安全事件多数为被植入病毒所致。习总书记在提出网络强国战略时，强调：“没有网络安全就没有国家安全，没有信息化就没有现代化”，网络安全在国内越来越被重视。

计算机病毒种类有很多，如蠕虫、木马、黑客病毒、脚本病毒、宏病毒等恶意传播代码，它们可以使计算机速度变慢，硬盘变小，数据丢失，密码被盗，信息泄露，芯片被毁以及网络瘫痪等危险破坏性，有些甚至可以在PLC控制器之间传播。因此，乏燃料后处理厂（以下简称后处理厂）仪控系统必须重视计算机病毒防范。

本文分析计算机病毒的特性，结合后处理厂总体网络安全纵深防御策略，研究防治计算机病毒的有效策略[2]，让读者对其有一个理性的认识，进而增强病毒防范意识。

1 计算机病毒特点

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能，破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，它对仪控系统网络安全构成了最直接的威胁。

计算机病毒的种类繁多，来源广泛，且具有很大的隐藏性和破坏性，其具有以下特点：

1）破坏性。破坏性是病毒的最大特点，轻则会占用系统资源，降低效率，影响系统的运行；重则具有明确的破坏性，如拥塞网络，篡改数据或控制逻辑，删除文件，加密摧毁磁盘中的数据，使之无法恢复，机器瘫痪等。

2）传染性。传染性是病毒的基本特征。计算机病毒在一定条件下通过网络、U 盘等渠道传染给其他计算机或控制器，从已被感染的计算机扩散到未被感染的设备。

3）隐蔽性。病毒是以程序代码、组图逻辑块或隐含文件的形式存在于其他程序中，有些通过病毒软件可以检查；有些不经过程序代码分析或病毒代码扫描，病毒程序与正常程序不易被区别开来。

4）潜伏性。有些病毒不会第一时间进行攻击，只有满足特定条件才会激活破坏模块，执行破坏系统的操作，这增加了病毒检测的难度。

5）不可预见性。病毒常常被人们修改或与其它技术融合，如某些病毒集普通病毒、蠕虫、木马和黑客等技术于一身，生出变种和变体，对控制系统带来了巨大的毁坏，病毒对反病毒软件常常都是超前的，无法预测。

6）形式多样性。逻辑控制块、可执行程序、脚本文件等都有可能携带计算机病毒。

2 后处理厂网络安全纵深防御策略

后处理厂网络完全秉承核安全文化的纵深防御策略，对后处理厂厂内的计算机系统按照信息流向进行分层，并针对每一层的情况确定网络层边界，建立信息安全多层纵深防御系统[3]。

数字化仪控系统中易受到病毒威胁的系统、设备和部件是非常广泛的。后处理厂数字化仪控系统按功能一般划分为4 个层级：

“0”层：工艺系统接口层（智能型仪表设备，存在受病毒威胁的可能）。

“1”层：自动控制和保护层（包含数字化仪控设备，存在受病毒威胁的可能）。

“2”层：控制和信息管理层（包含很多计算机和服务器，易受病毒威胁）。

“3”层：全厂信息管理层（包含很多数字化终端设备，易受病毒威胁）。

后处理厂一般数字化仪控系统典型总体架构如图1，包含安全级仪控系统和非安全级仪控系统两个部分。安全级仪控系统负责安全功能指令的产生，非安全级仪控系统负责正常生产的运行。整个系统以工业以太网为骨干，各种终端系统通过该网络系统相连，包括人机接口设备、控制机柜、各种功能服务器，以及第三方系统等。

图1 后处理厂仪控总体一般性架构图Fig.1 Overall general architecture of the I&C of the post-processing plant

根据对全厂安全性和可用性的重要程度，将后处理厂的关键资产划分到最重要的层级中，保证核心区域的安全。从整体结构来考虑，整个后处理厂网络安全分5 个层级，图2 为后处理厂计算机系统信息安全纵深防御的一般建议模型。

图2 后处理厂计算机系统信息安全纵深防御模型Fig.2 Defense-in-depth model of computer system information security of reprocessing plant

按此对上述后处理厂仪控系统进行划分：

◇第0 层网络

第0 层网络为互联网，为后处理厂企业以外的网络。

◇第1 层网络

第1 层网络部署企业广域网，主要包括厂前区办公系统等，提供适当的信息安全保护，使用传统IT 行业通用的保护手段进行信息安全保护，通常采用杀毒软件和防火墙等软件方案解决安全问题。

◇第2 层和第3 层网络

第2 层和第3 层网络提供中等级别的保护，从第4 层单向获取数据。主要包括应急响应设施、运行支持、涉密办公系统等辅助功能，通常与第1 层网络物理隔离。仪控功能第3 层属于该层范围。

◇第4 层网络

第4 层网络承载后处理厂的核安全与生产安全责任，包括生产监控系统、安全控制系统等，后处理厂数字化仪控系统主体位于其中，在实体保卫区范围内。针对网络威胁提供最高等级的保护，数据单向传至第3 层网络。仪控系统功能分层的第0、1、2 层属于该层网络。

该层包含安全级仪控系统和非安全级仪控系统，核安全重于生产安全。若安全级控制系统采用数字化控制手段，则数据传输的单向隔离装置为安全级和非安全级仪控系统的访问边界；若安全级控制系统采用常规控制手段，其数字化配套设备需要采取严格的信息安全手段，如试验装置等。

后处理厂计算机病毒防范是后处理厂总体网络安全策略中的重要部分，不应脱离纵深防御的核安全总体框架。从管理制度体系和信息技术手段两个方面着手，制度为第一层保障，技术手段依靠完善的信息管理制度，建立完整的信息安全技术体系，以规范信息安全载体的制造、配置、应用、检测、评估、维护、改造等一系列活动，确保在任何一个环节不会被种植恶意代码。

3 病毒的防治策略

计算机病毒防护策略从安全意识抓起，对病毒的破坏性要有充分认识，采取主动防御为主、保守杀毒为辅策略，结合上述病毒的各种特性和现有病毒防护手段，及时发现、检测清理病毒。所谓主动防御，主要是指加强对相关人员的培训和资产的审计力度，建立起层层防御机制；所谓保守杀毒主要是指保证后处理厂的正常生产，不能因过分地强调安全性而降低仪控系统的可用性。

3.1 工控系统病毒防治的特点

目前工控系统病毒防治策略多参考IT 行业的经验，后处理厂也是如此，但有些病毒是专门针对工控系统，只在DCS 或PLC 中运行和传播。因此，还需结合仪控系统的特点制定防治策略。

鉴于病毒种类的形式多种多样，有些还具备很深的隐蔽性，因此仪控人员对后处理厂仪控系统所包含的软硬件资产及后处理厂数据必须熟练掌握，并具备足够的IT 知识，据此认真审计每一项仪控资产，将这些贯穿在信息安全载体的制造、配置、应用、检测、评估、维护、改造等一系列活动中。

对于计算机病毒的传播性，一是由于人的因素将病毒带入安全区内，对此需要尽量缩小可接触人员的范围，严格权限管理；二是由于技术上的原因，病毒感染了仪控系统，对此应划分安全区和网络分层，确保仪控系统与其他安全区和网络层外的系统边界清晰，物理上以隔离装置作为唯一边界。

由于病毒的不可预见性，所以防御总是有限的，因而需要建立起多样化病毒检测手段和快速的灾难恢复机制。由于工控系统存在：

◇总线协议复杂多样。

◇实时性要求强。

◇节点计算资源有限。

◇设备可靠性要求高。

◇故障恢复时间短。

◇安全机制不能影响实时性。

◇工控设备不易更换。

因此，传统的“封堵查杀”安全防护技术难以解决后处理厂工控系统安全，推荐使用可信保障的安全管理支持下的环境、区域边界、通信网络三重防御多级框架。融合专网专用，分区隔离的思想，以实现可信、可控、可管的系统安全互联、区域边界安全防护和环境安全。

3.2 后处理厂工控系统防治策略

后处理厂计算机病毒的防治终极目标就是确保第4 网络层不受计算机病毒的侵害，用图3 来简单说明纵深防御型病毒防护策略手段。除此之外还应注意以下几项：

图3 纵深防御型病毒防护策略Fig.3 Defense-in-depth virus protection strategy

1）一般核设施工厂的信息安全往往是信息部门负责，而仪控设备由设备管理部门负责，存在责任与实体分离的情况，后处理厂信息安全团队应由两个部门联合成立。

2）技术防范因在严格的制度管理之下才能充分发挥作用，脱离实体防护的技术手段是不现实的。

3）在设备选型上应考虑病毒防护软件的资源消耗因素，不应由于设备在运行病毒例行检查时导致显示和操作延缓，影响仪控系统的可用性。

4）有限使用杀毒工具，由于工控软件比较小众，因而杀毒软件对工控软件存在不能100%识别的情况，一旦误杀将是致命的，所以在杀毒软件和工控软件兼容性没有得到绝对验证前，不能随意开启杀毒软件的查杀功能，至多作为病毒报警工具，为审计和人工查杀提供数据依据。

5）安全级系统病毒防护有其特殊性，鉴于安全级仪控系统对可用性的高要求，若安全级系统采用数字化手段，则更多的是要强调管理的重要性。从产品的研发开始，有着严格的验证与确认程序，系统应具有充分的封闭性和专有性，力求做到防范于未然。对于常规手段的安全级系统，其数字化辅助工具或系统应制定严格信息安全防护策略。

6）处置预案快速，切实可行。当发现有设备遭到病毒侵害时，能够有效地对系统进行灾难恢复，平时完善备份机制。

后处理厂工控系统计算机病毒防治仅仅采用技术手段是不够的，从管理上要建立起可信连接机制，包括人和资产，对工控系统的安全策略以及环境、应用区域边界和通信网络上的安全机制实现统一管理。在安全管理内部又分为系统资源管理、安全控制和审计3 部分。可信管理对关键资源信息度量策略和基准库进行管理，实现多级互联。

4 结语

纵深防御型病毒防护策略符合网络安全策略的重要部分，贯彻在信息安全载体的制造、配置、应用、检测、评估、维护、改造等一系列活动中。但对于安全级仪控系统，须强调防患于未然，已经运行中的安全级系统主要保证系统的封闭性，并加强审计[4]。

由于想彻底消灭病毒是很困难的。对用户而言，应树立网络安全意识，充分认识病毒，了解病毒的特性，采取主动防御为主、杀毒为辅策略，结合现有防毒技术及时发现、检测清理病毒，最大限度地预防病毒的感染，建立可信保障的安全管理支持下的环境、区域边界、通信网络三重防御多级框架。保证信息安全的同时，也必须要保证后处理厂仪控系统的可用性不降级。