資源描述:
《核電站數(shù)字化儀控系統(tǒng)DCS產(chǎn)品研發(fā)信息安全技術(shù)研究》由會員上傳分享,免費在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1���、核電站數(shù)字化儀控系統(tǒng)DCS產(chǎn)品研發(fā)信息安全技術(shù)研究莫昌瑜白濤謝逸欽石桂連北京廣利核系統(tǒng)工程有限公司摘要:本文提出了一套針對核電站數(shù)字化儀控系統(tǒng)DCS產(chǎn)品研發(fā)的信息安全分析與設(shè)計方法�。首先�����,進行了信息安全威脅分析����,識別岀了核電站數(shù)字化儀控系統(tǒng)DCS產(chǎn)品存在的脆弱性;其次,開展了風(fēng)險評估工作�,確定所面臨的信息安全風(fēng)險,在此基礎(chǔ)上根據(jù)信息安全風(fēng)險等級提出了基于“縱深防御”理念的核電站數(shù)字化儀控系統(tǒng)DCS產(chǎn)品信息安全防護方案��。關(guān)鍵詞:信息安全;威脅分析;縱深防御;作者簡介:莫昌瑜(1985-)�,男��,海南人�����,碩士
2��、��,工程師�����,現(xiàn)主要從事核安全級數(shù)字化儀控系統(tǒng)可靠性設(shè)計與分析工作��。收稿日期:2017-07-05ResearchonInformationSecurityTechnologyofDCSProductR&DinNuclearPowerStationDigitalInstrumentControlSystemMoChangyuBaiTaoXieYiqinShiGu訂ionChinaTechenergyCo.,Ltd?;Abstract:Thispaperproposedamethodofcybersecuri
3��、tyaboutnuclearpowerstationI&CSystemDCSproductdevelopment.Firstofall,thispaperintroducedthecybersecuritythreatanalysismethod,thenidentifiedthevulnerabi1ityofnuclearpowerstationT&CSystemDCSproduct,andthenconductedthecybersccurityriskasscssmcntfornuclearpow
4�、erstationl&CSystemDCSproduct.Afterall,designaDefense-in-DepthprincipalcybersecurityprotectionarchitecturefornuclearpowerstationI&CSystemDCSproductbasedontheriskassessmentresult.Keyword:cybersecurity;threatanalysis;defcnsc-in-depth;Received:2017-07-050引言工
5�、業(yè)控制系統(tǒng)(ICS)是基礎(chǔ)工業(yè)中非常重要的專用計算機系統(tǒng),包括DCSPLCSCADA等細分類別��。工業(yè)控制系統(tǒng)通常情況下不接入互聯(lián)網(wǎng)�����,且其部署現(xiàn)場均具有良好的安保���。因此�����,工業(yè)控制系統(tǒng)的“封閉性”使得人們普遍認(rèn)為信息安全對于工業(yè)控制系統(tǒng)并不是最重要的���。隨著兩化融合的深度推進,越來越多的工業(yè)控制系統(tǒng)以各種各樣的方式接入互聯(lián)網(wǎng)�����,針對工業(yè)控制系統(tǒng)的信息安全攻擊事件呈現(xiàn)逐年上漲的趨勢�����?�!罢鹁W(wǎng)病毒”對于伊朗核電站的攻擊���,使得全球工業(yè)領(lǐng)域真正意識到信息安全威脅的嚴(yán)重性����。核電領(lǐng)域及工控領(lǐng)域相關(guān)組織開始針對工業(yè)控制系統(tǒng)
6、的信息安全開展系統(tǒng)性研究�����,NRC發(fā)布了RG1.152和RG5.71,要求核電站關(guān)鍵數(shù)字計算機應(yīng)從生命周期的角度建立一套完整的信息安全防御體系���,內(nèi)容涉及政策���、程序、技術(shù)[1,2]�����。NTST發(fā)布了針對ICS的信息安全實施指南SP800-82,從信息安全風(fēng)險管理的角度�,系統(tǒng)描述了工業(yè)控制系統(tǒng)信息安全架構(gòu)和產(chǎn)品信息安全技術(shù)措施的設(shè)計和應(yīng)用,為工業(yè)控制系統(tǒng)建立信息安全防御體系提供了良好的應(yīng)用素材固�����。IEC61513要求核電I&C系統(tǒng)應(yīng)建立一個Security計劃[4],IEC62645在此基礎(chǔ)上提出了核電I&C系
7��、統(tǒng)應(yīng)建立一個涉及全生命周期的Cyber,Security程序����,并針對執(zhí)行不同等級安全功能的系統(tǒng)提岀了不同的CyberSecurity要求⑸。由于核電站數(shù)字化儀控系統(tǒng)的信息安全對于核電站安全性和經(jīng)濟性關(guān)系重大���,所以亟需研發(fā)岀一套適用于國產(chǎn)核安全級儀控系統(tǒng)的信息安全防護方案。在這一背景下����,木文結(jié)合核電站數(shù)字化儀控系統(tǒng)研發(fā)工作的實踐經(jīng)驗,通過系統(tǒng)研究核電領(lǐng)域和工業(yè)控制領(lǐng)域的標(biāo)準(zhǔn)要求和技術(shù)現(xiàn)狀��,對核電站數(shù)字化儀控系統(tǒng)開展威脅與脆弱性識別��、在此基礎(chǔ)上開展風(fēng)險評估�、并進行了信息安全防護方案設(shè)計。1信息安全設(shè)計技術(shù)研
8��、究信息安全設(shè)計的依據(jù)是面臨的威脅和脆弱性��,這對于IT類系統(tǒng)和核電站數(shù)字化儀控系統(tǒng)都適用�。本文最終得到信息安全防護方案的技術(shù)路線如圖1所示圖1核電站數(shù)字化儀控系統(tǒng)信息安全技術(shù)路線Fig.1Nuclearpowerplantdigitalinstrumentcontrolsysteminfonuationsecuritytechnologyline下載原圖上述技術(shù)路線是信息安全設(shè)計的通用技術(shù)路線,其核心原則是先識別出威脅和脆弱性�����,再確定信息安全
