加强核电厂工业控制系统信息安全监管的若干思考(梁昊飞)

第30卷 第10期2023年10月仪器仪表用户INSTRUMENTATIONVol.302023 No.10核设施工业控制系统网络安全闭环管理方法研究王 丹，顾俊杰，李逸翔（中国核动力研究设计院，成都 610213）摘 要：核设施工业控制系统网络安全是保障核设施安全稳定运行的重要一环，本文对核设施工业控制系统在网络安全违规行为或风险隐患的处理及管理过程中存在的问题进行深入分析，论述了FRACAS 理论在处理核设施工业控制系统网络安全管理问题的优势，提出了基于FRACAS 的核设施工业控制系统网络安全闭环管理流程。

经实际运用，本文提出的管理流程可为解决网络安全违规行为或风险隐患的重复出现提供有效指导，进而提升核设施工业控制网络安全管理能力。

关键词：工业控制系统；网络安全；闭环管理中图分类号：TP391 文献标志码：AResearch on Network Security Closed Loop Management Method ofNuclear Facility Industrial Control SystemWang Dan ，Gu Junjie ，Li Yixiang（Nuclear Power Institute of China, Chengdu, 610213, China ）Abstract：Network security of nuclear facilities industrial control system is an important part of ensuring the safe and stable operation of nuclear facilities. Through in-depth analysis of the problems existing in the management of nuclear facilities industrial control system in network security violations or risk hazards, this paper discusses the advantages of FRACAS theory in dealing with nuclear facilities industrial control system network security management problems, and puts forward the FRACAS based net-work security closed-loop management process of nuclear facilities industrial control system. In practice, the management process proposed in this article can provide effective guidance for addressing the recurrence of network security violations or risk hazards, thereby improving the network security management ability of nuclear facility industrial control.Key words：industrial control system ；network security ；closed-loop management收稿日期：2023-07-27作者简介：王丹（1992-），女，四川广元人，硕士，工程师，研究方向：工业控制系统安全设计、管理、技术研究等。

MODERN ENTERPRISE CULTURE管理方略　1202020.3MEC 核电厂仪控系统安全和网络安全协调要求郑进富 黄家城 海南核电有限公司中图分类号：ＴＭ６３２ 文献标识：Ａ 文章编号：１６７４－１１４５（２０２０）０３－１２０－０１随着社会的不断发展，工业技术取得了很大的进步，尤其是信息化技术的发展，极大的促进了工业系统的进步，越来越多的工业控制系统采用通用的通信协议和软硬件系统，并以合适的接入方式与网络连接，改善了原有系统的封闭性与专用型，但是同时也为系统带来了安全威胁，容易形成木马入侵、病毒感染等安全威胁。

因而，工控领域的信息安全问题日益严重，在核电厂中，仪控系统的安全问题是其运转中关注的核心。

因而，如何协调好仪控系统安全与网络安全，是重要内容［１］。

一、核电厂仪控系统的总体构架要求（一）各个仪控系统分配到不同的纵深防御层级中，以便在一个层级中的仪控系统发生故障时，其他层级的仪控系统对其功能进行补偿或纠正以避免产生有害后果。

（二）保持纵深防御层级间和安全等级间的独立性，以便对一个纵深防御层级的仪控系统产生不利影响的事件，不应对其他层级执行安全重要功能的仪控系统产生影响。

（三）对一个仪控系统产生不利影响的事件，不应对其他执行安全重要功能的仪控系统产生影响。

（四）根据核安全等级要求，进行仪控功能分类和仪控系统分级。

（五）根据信息安全要求，把仪控功能和仪控系统放入对应的信息安全区中。

严格控制仪控系统的复杂性，消除不必要的复杂性［２］。

（六）仪控设备应处于适当位置和提供合理保护以便抵御不良环境因素的影响。

二、核电厂仪控系统安全和网络安全协调要求（一）网络安全区域划分的要求为了提高系统安全，将对网络安全区域进行划分，将仪控系统中的基于计算机的和基于数字逻辑的系统划分为若干安全区域，并且将对安全设备的功能等级有着同等重要性的划分为一组，方便管理并采取安全保护措施。

安全区域的定义标准包括组织问题、本地化、架构或技术方面，主要划分原则如下：首先，在安全区域的划分中，应该考虑相关设备的独立性与物理独立性；其次，安全区域的划分应该考虑数据通信、地理／物理隔离以及独立性等方面；再次，从网络安全的角度，如果可以有效过滤和监测分隔之间的通信，则各个子列可以互相独立，反之则各个子列应该被划分到同一个安全区域。

核电厂仪表和控制系统纵深防御与多样性分析陈辉峰核电厂仪表和控制系统纵深防御与多样性分析Analysis of the Depth-in-defense and Diversityof the Instrument and Control System of Nuclear Power Plant(深圳中广核工程设计有限公司上海分公司，上海200241)摘要：纵深防御与多样性准则贯穿于核电厂安全有关的所有活动中，仪表和控制系统作为核电厂的重要组成部分也不例外。

基于 N U R EG/C R6303对纵深防御和多样性的技术要求，研究和总结了两者之间的关系，并结合核电厂仪表和控制系统结构，分别从纵深防御应用以及多样性在系统间和系统功能中的应用等方面进行分析，认为在设计过程中引入纵深防御与多样性准则是非常必要的。

通过在功能和系统设备中设置多重屏障和多样化，可以有效地提高核电厂的安全性能，并且防止潜在故障的发生。

关键词：核电厂数字化仪表和控制纵深防御安全系统可靠性中图分类号：TH7 文献标志码：A D O I：10.16086/j. cnki. issnlOOO -0380.201511032Abstract：Depth-in-defense and diversity criterion are throughout a ll the activities related to the safety of nuclear power plant, as one of the important components of the nuclear power p la n t, instrument and control (I&C) systems are not excluded. Based on N U R E G/C R6303, the technical requirements of depth-in-defense and diversity, the relationship between them is researched and summarized. In accordance w ith the stocture of I&C system of nuclear power p la n t，the application of depth-in-defense and the application of diversity among systems afunctions are analyzed respectively; it is considered that introducing depth-in-defense and diversity criterion in design process is necessary. By setting up m ultiple barriers and diversification in functions and system equipment may effective improve the safety performance of nuclear power plan t, and prevent occurrence of potential failures.Keywords ：Nuclear power plant D igital I&C system Depth in defense 〇引言在核电厂中，纵深防御与多样性（d ep th-in-defensea n d diversity，D3 )准贝[J贯彻于安全有关的所有活动中，包括与组织、人员行为或设计有关的各个方面，以确保这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正。

引言：工控系统信息安全是当今重要的议题之一。

随着工控系统的普及和互联网技术的发展，工控系统信息安全面临着越来越复杂的威胁和挑战。

本文将深入探讨工控系统信息安全的现状、存在的问题以及应对策略，以提高工控系统的安全性和可靠性。

概述：工控系统是指用于监控和控制工业过程的计算机系统，广泛应用于能源、交通、制造等行业。

工控系统信息安全是指保护工控系统免受恶意攻击和非法访问的措施和方法。

随着工业互联网的兴起，工控系统信息安全面临着越来越严峻的挑战。

工控系统的攻击主要分为物理攻击和网络攻击两种类型。

物理攻击主要是指通过直接接触物理设备来进行攻击，如破坏、损坏设备。

网络攻击则是指通过互联网对工控系统进行攻击，如入侵、篡改数据。

正文：1. 工控系统信息安全的现状1.1 工控系统信息安全威胁的日益增加- 恶意软件和病毒的传播- 黑客攻击和网络钓鱼- 内部威胁和员工失误1.2 工控系统信息安全意识的欠缺- 缺乏对工控系统信息安全的重视 - 缺乏专业的安全人才- 缺乏信息安全教育和培训2. 工控系统信息安全存在的问题2.1 工控系统硬件和软件的安全漏洞 - 设备制造商的安全意识不足- 软件开发和测试不完善2.2 工控系统网络架构的薄弱环节- 缺乏网络隔离和访问控制- 网络设备配置不当- 网络监控和日志管理不完善2.3 工控系统人员的安全意识不足- 员工缺乏安全意识培训- 员工的信息安全行为不规范- 内部人员的滥用权限3. 提高工控系统信息安全的策略3.1 加强工控系统硬件和软件的安全性 - 设备制造商应加强研发安全性能- 软件开发应进行安全测试和漏洞修复 3.2 加强工控系统网络架构的安全性- 完善网络隔离和访问控制策略- 增加网络设备的安全配置和更新- 建立完善的网络监控和日志管理系统 3.3 提高工控系统人员的安全意识- 进行定期的信息安全教育和培训- 建立严格的权限管理机制- 建立内部人员行为监控和审计机制4. 工控系统信息安全的挑战4.1 工控系统的复杂性对安全提出要求- 工控系统的复杂性和关联性- 安全性与可用性的权衡4.2 工控系统的时效性和响应性要求- 实时性和即时性对安全的影响- 安全事件应急响应的挑战5. 工控系统信息安全的前景5.1 新技术对工控系统信息安全的推动- 区块链技术的应用- 人工智能的应用5.2 国家政策对工控系统信息安全的重视- 加强法律法规和标准的制定- 建立国家级安全评估和认证体系总结：工控系统信息安全是保障工业过程安全和可靠运行的重要环节。

ＤＯＩ:１０.３９６９/ｊ.ｉｓｓｎ.２０９５－５０９Ｘ.２０１８.１１.０１９核电厂ＤＣＳ系统研发过程中的信息安全保护肖安洪ꎬ杨大为ꎬ曾㊀辉ꎬ张㊀娜ꎬ刘玲霜ꎬ周俊燚ꎬ郭㊀文(中国核动力研究设计院核反应堆系统设计技术重点实验室ꎬ四川成都㊀６１０２１３)摘要:简要介绍了核电厂仪控系统(ＤＣＳ)中信息安全的概念和内容ꎬ指出保护信息安全的必要性ꎮ为保护仪控系统的信息安全ꎬ项目团队在开发过程中需按照法规标准的要求采取相应的保护措施ꎮ结合中国核动力研究设计院自主知识产权ＤＣＳ平台的研发过程ꎬ通过描述在开发过程中已经执行的信息安全保护工作和取得的成绩㊁效果ꎬ阐述了在软件研发工作中制定实施信息安全保护策略㊁达到保护核电厂仪控系统信息安全目的的方法ꎮ关键词:核电ꎻ仪控系统ꎻ研发ꎻ信息安全ꎻ保护策略中图分类号:ＴＰ３１１㊀㊀㊀文献标识码:Ａ㊀㊀㊀文章编号:２０９５－５０９Ｘ(２０１８)１１－００８３－０４１　核电厂ＤＣＳ系统信息安全保护的背景和必要性核电厂仪控系统(ＤＣＳ)是一个通用的㊁用于核电厂安全控制保护的系统ꎬ可应用于不同类型核反应堆的安全级仪控系统ꎬ包括紧急停堆系统(ＲＴＳ)㊁专设安全设施驱动系统(ＥＳＦＡＳ)㊁事故后监测系统(ＰＡＭＳ)等ꎮＤＣＳ系统如同核电厂的 大脑神经中枢 ꎬ在电厂的信息采集㊁传递与控制的过程中起到非常重要的作用ꎮ如今随着计算机技术的应用ꎬ逐渐实现了模拟组件被可编程㊁建立在离散逻辑基础上的数字化系统所取代ꎬ因此数字化仪控成为当前仪控领域的发展热点ꎮ主流仪控系统在享受数字化带来的功能和性能上飞跃的同时ꎬ也因为数字化引入了一个新的问题 信息安全ꎮ仪控系统作为核电厂的 大脑神经中枢 ꎬ时刻监视着核电厂㊁核反应堆的各种仪表状态ꎬ收集这些状态信息实时反映给核电厂工作人员ꎬ并在各类状态数值超出安全范围时自动启用停堆系统㊁反应堆冷却系统等安全设施ꎬ消除危险状态ꎬ保障核电厂安全运行ꎮ因核电厂的特殊性ꎬ一旦仪控系统中的硬件或软件在运行中发生故障ꎬ导致核电厂的安全保护系统失效ꎬ将可能引起重大的安全事故ꎬ造成巨大的人身伤亡和财产损失ꎬ甚至威胁国家安全ꎮ数字化仪控系统的安全控制功能更多的是以软件编程方式实现ꎬ其运行过程中必然存在信息交互和传递ꎬ所以仪控系统的故障失效ꎬ一方面可能是因为在系统开发过程中遗留下的程序缺陷所致ꎻ另一方面也可能是因为外部的恶意程序 病毒 进入系统后故意为之ꎮ显然ꎬ后者具有更强的隐蔽性和破坏性ꎮ曾在２０１０年闹得沸沸扬扬的伊朗 震网 事件便是一个典型例子ꎮ一种名为 震网 的病毒通过Ｕ盘和局域网的传播ꎬ侵入了西门子公司为伊朗布什尔核电站设计的工业控制软件系统ꎬ并夺取了一系列核心生产设施的控制权ꎮ当核电站的仪控系统被 震网 感染后ꎬ它首先会篡改监控的状态信息ꎬ让监控人员和操作人员看到的始终是正常状态ꎬ然后控制离心机不断加速ꎬ最终导致其因高温而损毁ꎮ该病毒在２００９年底到２０１０年初这段时间给伊朗布什尔核电站造成严重影响ꎬ约１/５的离心机因此报废ꎬ并导致放射性物质泄漏ꎮ这次事故不仅是给伊朗核电站带来了重大的人身伤亡和财产损失ꎬ更是给伊朗的国家战略造成了致命打击ꎬ而 震网 病毒的源头则很可能是由美国和以色列制作ꎬ作为专门针对伊朗的新一代网络武器ꎬ藏身于伊朗为建造核电站而从国外购入的设备中ꎬ最终进入到核电厂的仪控系统ꎮ由此可见ꎬ核电厂仪控系统的信息安全直接关系到国家的核心利益ꎬ保护仪控系统的信息安全已经成为数字化核电仪控系统研发中一个至关重要的环节[１]ꎮ收稿日期:２０１７－０７－１７作者简介:肖安洪(１９８１ )ꎬ男ꎬ重庆人ꎬ中国核动力研究设计院高级工程师ꎬ主要从事核动力软件研发㊁核安全级软件验证与确认相关工程和科研工作ꎮ３８ ２０１８年１１月㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀机械设计与制造工程㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀Ｎｏｖ.２０１８第４７卷第１１期㊀㊀㊀㊀㊀㊀㊀㊀㊀ＭａｃｈｉｎｅＤｅｓｉｇｎａｎｄＭａｎｕｆａｃｔｕｒｉｎｇＥｎｇｉｎｅｅｒｉｎｇ㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀Ｖｏｌ.４７Ｎｏ.１１２㊀核电厂仪控系统信息安全保护的法规标准要求针对核电站仪控系统数字化的趋势和信息安全保护的重要性ꎬ国家出具了一批专门适用于核电厂安全设备在研发生产过程中需要满足的安全标准和导则ꎮ这些标准和导则对ＤＣＳ系统研发全流程的各个方面提出了关于安全性的要求ꎬ其中对于软件研发的信息安全保护ꎬ主要规定了安全防范分析㊁安全防范设计㊁用户访问和开发阶段的安全防范４个方面的内容ꎮ目前比较常用的关于核电厂仪控系统设备的安全类法规㊁导则和标准有:１)ＨＡＦ１０２ ２００４ꎬ核动力厂设计安全规定ꎻ２)ＨＡＤ１０２＿１６ ２００４ꎬ核动力厂基于计算机的安全重要系统软件ꎻ３)ＮＢ－Ｔ２００５４ ２０１１ꎬ核电厂安全重要仪表和控制系统执行Ａ类功能的计算机软件ꎻ４)ＮＢ－Ｔ２００２６ ２０１０ꎬ核电厂安全重要仪表和控制系统总体要求ꎮ按照标准要求ꎬ信息安全保护的总体目标是保护软件和数据不被未授权的人员和系统读取或修改ꎬ不能拒绝授权人员和系统的访问ꎮ软件的使用引起了某些潜在的对信息安全的威胁ꎬ主要的对策通常在系统层级考虑ꎬ如物理隔绝保护措施等ꎮ对软件提出信息安全保护要求有助于减少软件的薄弱环节ꎬ且能够支持系统层级的保护措施ꎮ为解决核电数字仪控系统的信息安全隐患ꎬ在系统的设计开发中必须采取分层次的纵深防御策略ꎬ从而使管理者能够在每个层次监视系统ꎮ核电数字仪控系统信息安全保护应关注如下几个方面:确保软件开发环境的纯净ꎻ用户访问的安全性ꎻ文件和数据的完整性㊁保密性ꎻ严格的配置管理和变更控制策略ꎻ控制系统网络设备和使用者的验证㊁认证ꎮ系统层级的核电仪控系统信息安全防御策略应从减少仪控系统网络易受攻击的接口面开始ꎮ第一阶段是建立具体的控制系统安全规则ꎬ这些规则详细描述哪些设备㊁协议和应用可以在控制系统上运行ꎻ谁有访问这些设备的权限ꎬ且从哪里访问是合乎规定的ꎻ不同权限的使用者可以被允许执行哪些操作ꎮ第二阶段是划分确定适当的区域实施以上规则ꎬ可通过在已有的控制系统的设备上或添加的新设备上进行适当的配置来实现ꎮ第三阶段是监控规则的实施ꎬ定位违规的区域且反馈给规则的制定者ꎬ以此来确保规则的有效性ꎮ信息安全是一个连续的过程ꎬ因此需要连续的监控和调整ꎮ可用于确保核电数字仪控系统信息安全的技术措施有:１)识别安全隐患ꎮ系统研发团队首先应识别软件研发环境中可能存在的安全隐患ꎬ特别是在不断推进的开发进程中可能引入新问题的接口或操作ꎬ应制定相应的规则予以防范ꎮ２)分析网络ꎮ为制定综合性的开发环境信息安全保护规则ꎬ网络管理者需要能够对所有子网执行信息分析的工具ꎬ通常选择被动扫描和辨识工具ꎮ３)创建网络和配置管理规则ꎮ一旦辨识了设备㊁网络㊁应用和使用者ꎬ则可以制定相应的信息安全规则来保护开发环境网络和配置管理库ꎮ４)创建严谨防御边界ꎮ在某些情况下ꎬ需要从企业网或因特网访问控制系统ꎬ因此需要创建严谨的信息安全防御边界ꎮ边界防火墙必须创建至少３个安全区域 控制系统网络组件信息安全区㊁隔离区㊁不可靠区ꎮ５)确保身份管理和防止设备欺诈ꎮ仪控系统的入侵多是由于无意或不当操作导致ꎬ如员工使用移动存储设备时引入了蠕虫或木马ꎮ因此ꎬ为确保区域内的信息安全ꎬ必须对接入点进行认证和健康检查ꎮ６)设立安全远程访问ꎮ为最小化远程访问使用不当以及可能带来的危害ꎬ使用者必须被限制ꎬ且使用者只能使用特定的经过授权的功能ꎮ７)监控和汇报ꎮ一旦定义了访问规则ꎬ防火墙㊁交换机和入侵检测设备将执行这些规则ꎬ同时作为监控站来记录任何违反规则的情况ꎮ８)文件防篡改ꎮ使用特征码标注等防篡改措施保存代码和数据文件ꎬ确保已归入版本管理的文件不被恶意篡改或替换ꎮ９)针对系统软件ꎬ实行安全防范分析和安全防范设计ꎬ分析软件潜在的信息安全威胁ꎬ要考虑到系统和软件安全生命周期相关阶段的各个方面ꎬ制定信息安全保护计划ꎮ信息安全保护计划应保证引入的软件能最大限度地减少系统的薄弱环节ꎮ３㊀利用信息安全分析手段保障ＤＣＳ系统的信息安全在ＤＣＳ系统的研发过程中ꎬ验证与确认工作贯穿始终ꎬ除确保系统软硬件的功能正确性之外ꎬ保障软件研发过程中的信息安全也是验证与确认４８２０１８年第４７卷㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀机械设计与制造工程㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀流程中至关重要的一环[２]ꎮ利用信息安全分析的技术手段ꎬ按照安全类标准和导则的相关要求ꎬ从软件开发环境的保护㊁项目配置管理㊁对经过Ｖ＆Ｖ的软件代码进行标识㊁加强调试过程中的代码修改管理４个方面着手ꎬ制定并实施详尽的信息安全保障措施ꎮ３.１㊀软件开发环境的保护软件开发环境的安全与所开发ＤＣＳ系统的信息安全直接相关ꎬＤＣＳ系统软件开发所需使用的每一台设备都做到了与互联网物理隔绝ꎬ每个开发人员必须使用专有的Ｋｅｙ配合密码口令才能打开和使用开发设备ꎬ并且对于Ｋｅｙ的保护和密码口令的更换周期都做了严格的规定ꎮ同时严禁在任何情况下将未经上级审批的移动存储介质与开发设备相连接ꎬ包括但不限于各类手机㊁Ｕ盘㊁光盘和移动硬盘等ꎬ并利用后台扫描软件时刻监视记录每台开发设备外部接口的连接状况ꎬ从源头上杜绝了外部恶意软件和代码刻意或偶然进入ＤＣＳ系统软件的开发环境中ꎮ为便于项目团队内部的技术交流和文件传递ꎬ日常工作中的常用主机都与单位的内网连接ꎬ该内网同样通过技术手段与外部互联网相隔开ꎬ并有专业团队对内网的信息安全状态作实时而严格的管控ꎮ即便是在ＤＣＳ项目团队内部进行文件或代码传递ꎬ也需要在传递之前标注文件的密级㊁传递目标和传递用途ꎬ经过项目上级管理团队的核查审批后方能从一台设备传递到另一台设备ꎮ除此之外ꎬＤＣＳ系统由嵌入式结构设计构成ꎬ单板调试环节必不可少ꎮ基于内网主机不可与外部设备相联接的要求ꎬ项目团队配备了专门用于单板调试的单机ꎮ这类单机不与任何网络相联接ꎬ仅用于联接单板调试ꎮ在开发工具的选择上ꎬＤＣＳ系统的开发人员只能使用经过严格审查获得批准的正版软件ꎬ避免了木马㊁蠕虫等恶意代码藏身于工具进入软件开发环境ꎬ危及信息安全ꎮ３.２㊀严格的配置管理措施配置管理是提升项目开发管理效率的必要方法ꎬ也是保障系统信息安全的重要手段ꎬ严格到位的配置管理可以有效地防止已经通过安全验证的配置项被随意改动ꎬ带来信息安全隐患ꎮＤＣＳ系统开发项目团队制定了详尽的配置管理计划ꎬ并配备有专门的配置管理人员ꎮ配置管理人员需要为每一个进入配置管理阶段的配置项进行唯一性标识ꎬ详细记录下标识时的各种状态属性信息ꎮ此后每一次改动都将更新标识ꎬ一旦发生预期之外的改动便可及时发现ꎮ配置管理人员还负责为每一个项目工作人员分配不同的配置管理权限ꎬ通常一个开发人员只能对自己承担开发的那部分软硬件代码或设计文件等配置项进行修改和保存ꎮ而即便是对自己编写的代码配置项进行修改ꎬ在登录修改之前也必须经过组合方式的权限认证ꎬ包括但不限于密码㊁钥匙㊁识别卡㊁指纹等识别方式ꎮ３.３㊀利用Ｖ＆Ｖ方法和防篡改手段对软件代码进行需求确认和标识为了避免软件代码中留有 后门 等可能造成重大信息安全威胁的漏洞ꎬ利用Ｖ＆Ｖ方法对软件功能与需求的一致性做了非常细致的分析确认ꎮ每一个软件功能需求说明书中罗列出的功能都必须在编写的代码中得以正确实现ꎬ同样的ꎬ代码具备的任一功能都必须可以反向追溯到功能需求说明书的描述中ꎬ只有这种实现功能与需求说明一一对应的代码才被认为是有效代码ꎬ才能进入配置管理阶段ꎮ尽管严格的配置管理措施已经可以在很大程度上保障了软件配置项的信息安全ꎬ但如果有人刻意为之ꎬ利用破译或盗取配置管理权限等方式恶意修改配置项的内容或标识ꎬ仍是难以防范ꎮ为此利用防篡改技术手段ꎬ对经过Ｖ＆Ｖ的软件代码采取ＭＤ５特征码等防篡改措施ꎬ保证ＤＣＳ系统采用的软件代码与通过验证的代码之间的一致性ꎬ防止被恶意更改或替换ꎮ任何代码经过Ｖ＆Ｖ之后ꎬ在进入配置管理库配置标识的同时ꎬ还将利用特定的防篡改措施产生一个特征码ꎮ该特征码是由软件代码中的全体字符通过一系列复杂的计算而成ꎬ如果有人刻意对配置库的代码进行了任意字符的修改ꎬ其修改后代码的特征码都将不同于原特征码ꎬ使相关人员能够轻易发现被恶意篡改的代码和文件ꎬ从而保护了ＤＣＳ系统软件的信息安全ꎮ３.４㊀加强调试过程中的代码修改管理对于任何规模稍大的软件开发过程来说ꎬ调试修改都是最费时费力的阶段ꎮ此阶段各部分代码都将被频繁修改ꎬ而任何一次修改都可能给ＤＣＳ系统的信息安全埋下隐患ꎮ同时ꎬ开发人员在对代码进行修改时ꎬ很可能因为之前的代码已经通过了信息安全验证而放松警惕ꎬ因此加强在调试修改过５８２０１８年第１１期㊀㊀㊀㊀㊀㊀㊀㊀㊀肖安洪:核电厂ＤＣＳ系统研发过程中的信息安全保护程中的代码修改管理显得尤为重要ꎮ短期内大量反复的软件代码修改使得单纯使用配置管理措施来保障软件配置项的信息安全变得既繁琐又效率低下ꎬ频繁的配置管理入库操作也可能使得配置管理人员发生不可预知的失误ꎮ为此ꎬ在ＤＣＳ系统软件的调试修改阶段ꎬ规定了任何开发人员都不得将调试设备中的代码直接入库ꎬ必须对修改后的代码执行严格Ｖ＆Ｖ流程ꎬ确保新代码在功能上和信息安全性上ꎬ既没有引入新的隐患ꎬ也没有丢失之前正确的部分ꎬ才能进入配置管理库并打上新的标识ꎮ这样既避免了因频繁修改代码带来的配置管理工作量大增的问题ꎬ也极大地保障了ＤＣＳ系统软件开发在全流程中的信息安全ꎮ４㊀结束语在当前信息安全上升到国家安全的形势下ꎬ核电厂ＤＣＳ系统作为核安全的重要组成部分ꎬ不管是其研发过程中还是运行时的信息安全ꎬ都得到了越来越多的重视ꎮ上述信息安全保护策略在ＤＣＳ系统软件开发过程中的制定和严格执行ꎬ保障了ＤＣＳ系统研发工作安全高效的持续推进ꎬ取得了核电ＤＣＳ系统研发过程中信息安全 零事故 的成绩ꎬ为ＤＣＳ系统能够成功研制并实现多功能㊁高性能㊁高安全性的目标要求起到了坚实的支撑作用ꎮ但是这还远远不够ꎬ应该按照国家发布的信息安全等级保护要求ꎬ结合ＤＣＳ系统生命周期模型ꎬ在不同的阶段采取针对性的措施ꎬ切实提高信息安全防范技术水平ꎬ防范类似 震网 事件在我国的出现ꎬ为我国的核安全作出应尽贡献ꎮ参考文献:[１]㊀国家核安全局.核动力厂基于计算机的安全重要系统软件:ＨＡＤ１２/１６ ２００４[Ｓ].北京:国家核安全局ꎬ２００４. [２]㊀ＩＥＥＥＣｏｍｐｕｔｅｒＳｏｃｉｅｔｙ.ＩＥＥＥＳｔａｎｄａｒｄｆｏｒＳｏｆｔｗａｒｅＶｅｒｉｆｉｃａｔｉｏｎａｎｄＶａｌｉｄａｔｉｏｎ:ＩＥＥＥＳｔｄ１０１２ ２００４[Ｓ].ＮｅｗＹｏｒｋ:ＩＥＥＥꎬ２００４.ＴｈｅｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎｉｎｔｈｅｐｒｏｃｅｓｓｏｆｒｅｓｅａｒｃｈａｎｄｄｅｖｅｌｏｐｍｅｎｔｏｆＮＰＳＤＣＳＸｉａｏＡｎｈｏｎｇꎬＹａｎｇＤａｗｅｉꎬＺｅｎｇＨｕｉꎬＺｈａｎｇＮａꎬＬｉｕＬｉｎｇｓｈｕａｎｇꎬＺｈｏｕＪｕｎｙｉꎬＧｕｏＷｅｎ(ＳｔａｔｅＫｅｙＬａｂｏｒａｔｏｒｙｏｆＲｅａｃｔｏｒＳｙｓｔｅｍＤｅｓｉｇｎＴｅｃｈｎｏｌｏｇｙꎬＮｕｃｌｅａｒＰｏｗｅｒＩｎｓｔｉｔｕｔｅｏｆＣｈｉｎａꎬＳｉｃｈｕａｎＣｈｅｎｇｄｕꎬ６１０２１３ꎬＣｈｉｎａ)Ａｂｓｔｒａｃｔ:ＩｔｂｒｉｅｆｌｙｉｎｔｒｏｄｕｃｅｓｔｈｅｃｏｎｃｅｐｔａｎｄｃｏｎｔｅｎｔｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｏｆＮＰＳＤＣＳａｎｄｄｅｓｃｒｉｂｅｓｔｈｅｎｅ￣ｃｅｓｓｉｔｙｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎ.ＩｎｏｒｄｅｒｔｏｐｒｏｔｅｃｔｔｈｅｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｏｆＤＣＳꎬｉｔａｎａｌｙｚｅｓｔｈｅｒｅ￣ｑｕｉｒｅｍｅｎｔｓｏｆｓｏｍｅｓｔａｎｄａｒｄｓｉｎｔｈｅｐｒｏｃｅｓｓｏｆｄｅｖｅｌｏｐｍｅｎｔａｎｄｔｈｅｐｒｏｊｅｃｔｔｅａｍｆｏｒｓｏｍｅｐｒｏｔｅｃｔｉｖｅｍｅａｓｕｒｅｓ.ＣｏｍｂｉｎｉｎｇｔｈｅｒｅｓｅａｒｃｈａｎｄｄｅｖｅｌｏｐｍｅｎｔｐｒｏｃｅｓｓｏｆＤＣＳｐｌａｔｆｏｒｍꎬｉｔｔａｋｅｓｔｈｅｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎｗｏｒｋａｓｏｂｊｅｃｔꎬｓｈｏｗｓｔｈｅｓｔｒａｔｅｇｙｏｆｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎｉｎｔｈｅｐｒｏｃｅｓｓｏｆｓｏｆｔｗａｒｅｒｅｓｅａｒｃｈａｎｄｄｅｖｅｌ￣ｏｐｍｅｎｔ.ＴｈｉｓｍｅｅｔｓｔｈｅｒｅｑｕｉｒｅｍｅｎｔｏｆｐｒｏｔｅｃｔｉｎｇｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｏｆＮＰＳＤＣＳ.Ｋｅｙｗｏｒｄｓ:ＤＣＳꎻｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙꎻｐｒｏｔｅｃｔｉｏｎｓｔｒａｔｅｇｙꎻｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙａｎａｌｙｓｉｓ６８２０１８年第４７卷㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀机械设计与制造工程㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀。

《关于加强工业控制系统信息安全管理的通知》关于加强工业控制系统信息安全管理的通知工信部协[2011]451号各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

二、明确重点领域工业控制系统信息安全管理要求加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

各地区、各部门、各单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求。

核电厂仪控系统安全和网络安全协调要求发表时间：2020-04-03T05:47:04.431Z 来源：《建筑学研究前沿》2019年24期作者：姚路锋[导读] 核电是我国能源行业国家级战略产业，其自身运行过程具有特殊性，所以对核电厂仪控系统有更为严格的安全要求。

福建福清核电有限公司福建福清 350318摘要：核电是我国能源行业国家级战略产业，其自身运行过程具有特殊性，所以对核电厂仪控系统有更为严格的安全要求。

一旦发生事故，除了生产运行受到影响外，还可能导致环境污染和人员辐射危害，并进一步波及全球核电行业。

伊朗震网事件、韩国核电厂泄密事件等重大的核电网络安全事件说明了核电网络安全的重要性和关键性。

在我国核电网络安全建设运维过程中，由于进口设备多、维护团队多，潜在植入漏洞和引入漏洞的风险较大。

关键词：仪控；核电；安全；协调引言随着现代工业技术的发展，工业化与信息化正在不断融合，工业控制系统越来越多采用通用的通信协议和软硬件系统，并且以各种方式接入网络，从而打破了这些系统原有的封闭性和专用性，造成病毒、木马等安全威胁向工控领域迅速扩散。

工业控制系统所面临的信息安全问题日益严重，而且呈现出诸多与传统IT系统不同的特点。

核电厂作为国家关键基础设施，是关注的核心，重中之重。

仪控系统作为核电厂的神经中枢、关键数字资产，是重点保护对象。

而仪控系统从功能安全角度已有完整的法规标准和技术。

如何在不降低安全的情况下考虑加强信息安全，有必要提出协调功能安全和信息安全的整体框架。

1安全级仪控系统需求的描述方法1.1自然语言需求在通常的需求实践中，最常见且使用最广泛的一种需求描述方式是使用自然语言。

由于自然语言的广泛性和其描述问题的普适性，使得自然语言需求具备普遍、灵活、可理解这几个主要的优势。

但是，使用自然语言对同一事物进行描述和理解会因人而异，这是由于自然语言本身具有的二义性和人们的认知水平不同而导致的。

1.2模型化需求在使用自然语言描述需求的同时，人们也专门创建了一些建模语言，如：数据流语言、状态图、AND/OR目标图等模型化建模语言来描述需求。