论文部分内容阅读
摘要:核电厂仪控系统的安全性直接影响整体核能行业的网络安全,属于十分重要的系统部分,但是目前在核电厂仪控系统运行发展的过程中,存在网络系统缺乏一定的安全性,主机设备、应用系统、数据信息的安全防护效果低,很容易出现隐患问题。因此,在核电厂仪控系统运行发展的过程中,应重视安全防护策略的应用,保护整体系统运行安全的同时,预防发生隐患问题或是其他的不良现象。
关键词:核电厂仪控系统;安全防护策略;应用
核电属于我国近年来能源行业领域中战略产业,具有一定的运行特殊性,在核电厂仪控系统方面提出很高的安全要求,主要因为在相关系统出现安全隐患的情况下,不仅会影响正常的生产工作,还可能会诱发环境污染问题、人员辐射的后果,对核电行业的发展造成危害。因此,核电厂的仪控系统运行管理工作中应强化安全管控的力度,通过安全方面的有效管理、维护和控制,增强安全水平的同时保证核电厂仪控系统运行的稳定性。
1 核电厂仪控系统安全防护策略
通常情况下核电厂的仪控系统安全防护工作领域中会通过“隔离”技术将业务划分成为不同的网络分段、分区,预防出现网络相互连通的问题,借助单向隔离网闸的形式或者工业防火墙的形式等实现最终的隔离目的,预防网络之间相互连通出现安全隐患问题,在单向隔离网闸的支持下、工业防火墙的支持下,对访问权限进行限制,以免恶意软件造成影响、报文扩散造成影响。除此之外,还可通过系统“净化”的技术措施,采用黑名单的形式、白名单的形式执行工作,确保系统的安全稳定运作。主要的安全防护策略为:
1.1 黑名单技术分析
从黑名单的实际情况而言,主要就是应用防毒软件系统入侵检测系统和防御系统,能够将已知特点的恶意软件准确识别出来,在识别恶意行为的同时,利用设置事前规划的规则进行匹配性文件内容、行为操作和报文形式的检测,在一定程度上可以达到恶意软件识别的目的、恶意攻击行为阻止的目的,起到一定的净化作用,但是核电厂相关仪控系统运行过程中,黑名单技术的应用却有一些缺点问题。首先,内部特征库系统使用黑名单技术,如果不能保证软件的实时性更新,将会影响整体安全管理和控制效果,并且仪控系统和系统外部网络隔离的情况下,不能及时性针对补丁进行更新处理,导致最终的防护效果降低。其次,特征匹配的环节中会出现严重的资源消耗问题,很容易发生仪控系统拥堵现象、运行缓慢现象、不能实时性操作的现象,无法与仪控系统高标准、严要求相适应,并且在相关特征匹配的环节中,无法确保整体系统运作的安全性和准确性,很容易发生误报的问题,尤其是在针对行为特征进行识别的过程中,一般情况下,会将仪控系统当中的I/O读写等操作,当做是恶意行为,阻止此类正常的操作,影响系统的良好运行。最后,相关的黑名单基础只能和已知特征的恶意攻击软件进行匹配,无法及时发现新的攻击行为、新的恶意软件问题、新的漏洞现象,对仪控系统的安全稳定运行会造成不利的危害。
1.2 白名单技术
应用白名单技术的过程中和黑名单技术相比较可以增强整体仪控系统的安全性,主要因为白名单技术应用期间强调“确定的安全”,对于所有未知性的不安全因素,都不允许进入到系统中,能够形成从多个维度、多个方位进行安全防控的结构模型,覆盖系统中很多层面和结构,主要涉及到程序方面、应用方面、协议方面、指令方面、外设方面等等,可以弥补传统的黑名单技术不足之处,属于非常安全的防护措施。按照核电厂仪控系统的运行状况,可以了解到,使用白名单技术进行安全控制、流量方面的监控、操作系统的监督、应用程序的控制,创建系统与网络方面的安全模型,营造良好的白名单安全环境氛围,属于非常有效的安全管理措施,所以在核电厂仪控系统的安全防护过程中,应该积极使用白名单技术[1]。
2 核电厂仪控系统安全防护策略的应用
上述内容分析,并且研究了黑名单技术和白名单技术的安全防护策略,发现白名单技术的应用效果较高,因此,在核电厂仪控系统安全防护的过程中,需要重点应用白名单策略,主要为:
2.1 程序方面的白名单策略
程序白名单的技术措施指的就是在仪控系统主机中设置合法软件基线列表,只有确保程序在列表内,才能正常运作,其他的程序无法运行,例如:病毒程序、木马程序、攻击性软件程序等,使用白名单技术的过程中,专业化的主机防护软件,能够起到漏洞问题的抵御作用,预防针对性攻击所带来的影响,所有的操作人员的层面、工程师的层面、数据服务器层面等,都可以良好的进行安全防护处理,改善安全防护的现状,增强整体的防护性能,在一定程度上能够使得工控机的部分向着安全性、稳定性的方向运作。而且主控机使用白名单技术,还具有一定的预防病毒侵袭的优势作用,防护性能很高。从实际情况而言,程序白名单技术在应用的过程中可以有效抵御各类恶意攻击,防护性能高,甚至还能在抵御攻击的过程中减少系统的资源开销,不会对主机的正常运行造成威胁,同时也不需要对库系统进行升级处理,维护的操作便利,对生产的整个流程不会产生过高的影响。因此,核电厂的仪控系统安全防护策略应用的过程中,需重点将白名单技术融入操作站程序、工程师站程序、服务器程序等,增强安全防护的有效性[2]。
2.2 应用外设白名单技术
从外设白名单技术来讲,应用在核电厂的仪控系统中,主要就是利用控制软件合法注册移动介质,创建介质类型的白名单系统,准确识别各类移动介质是否合法,对其进行读写处理,确保仪控系统不会受到外部区域的恶意系统、恶意介质影响。此类技术应用的过程中,主要借助外设开关的部分在外部区域中设置接口,确保不会出现不法数据信息入侵的现象,预防发生内部系统数据信息泄露的问题。与此同时,还可对移动介质注册方面安全性、有效性的管理,不仅可以确保内部系统数据信息流动的安全性,还能预防U盘的随意性使用引发安全隐患问题。
2.3 工程协议和工控行为的白名单技术
首先,工程协议类型白名单技术应用的过程中,利用安全性的防护系统实现网络报文的深入性分析、指令的有效识别目的,例如:工业防护墙系统,应用的过程结合技术要求对没有关联的协议进行阻断,及时发现有不安全的工业协议数据信息或是不安全的指令,这样可以确保仪控系统通信、网络的安全水平。其次,应用工控行为的白名单技术,创建网络系统中每个节点相互的连接形式,对于下发指令的工控行为、网络交互的工控行为,都可以实现深度性的解析目的,创建工控行为的基线、白名单,一旦发现有非法报文就能够自动化的过滤处理,确保进入网络系统中的都属于合法性报文或是连接,同时还可以预防出现恶意操作的问题,例如:一些员工恶意进行操作发出不良的指令,此情况下白名单就能够及时阻止,预防仪控系统出现安全隐患。通常情况下,工程行为白名单技术应用的过程中,学习的时间周期很长,需要采集很多数据信息,按照各类特征创建行为模型,因此在使用此类技术的过程中应重点创建学习模型,保证安全防护效果。
结语:
综上所述,近年来在核电厂的仪控系统实际运作发展的阶段,安全防护工作受到广泛重视,一旦出现严重的安全問题,将会引发不良的危害。而白名单技术不仅能增强仪控系统安全性,还能从多层次入手预防安全问题,因此,核电厂在仪控系统安全维护的过程中应重视白名单技术的使用。
参考文献
[1]范丽辰,王桂海.核电仪控系统的发展综述[C].第三届中国(国际)核电仪控技术大会,2015.
[2] 杨景利,刘元,孟庆军,等. 核电厂仪控系统安全防护策略研究及应用[J]. 自动化仪表,2019,40(6):93-97.
西门子电站自动化有限公司 210000
关键词:核电厂仪控系统;安全防护策略;应用
核电属于我国近年来能源行业领域中战略产业,具有一定的运行特殊性,在核电厂仪控系统方面提出很高的安全要求,主要因为在相关系统出现安全隐患的情况下,不仅会影响正常的生产工作,还可能会诱发环境污染问题、人员辐射的后果,对核电行业的发展造成危害。因此,核电厂的仪控系统运行管理工作中应强化安全管控的力度,通过安全方面的有效管理、维护和控制,增强安全水平的同时保证核电厂仪控系统运行的稳定性。
1 核电厂仪控系统安全防护策略
通常情况下核电厂的仪控系统安全防护工作领域中会通过“隔离”技术将业务划分成为不同的网络分段、分区,预防出现网络相互连通的问题,借助单向隔离网闸的形式或者工业防火墙的形式等实现最终的隔离目的,预防网络之间相互连通出现安全隐患问题,在单向隔离网闸的支持下、工业防火墙的支持下,对访问权限进行限制,以免恶意软件造成影响、报文扩散造成影响。除此之外,还可通过系统“净化”的技术措施,采用黑名单的形式、白名单的形式执行工作,确保系统的安全稳定运作。主要的安全防护策略为:
1.1 黑名单技术分析
从黑名单的实际情况而言,主要就是应用防毒软件系统入侵检测系统和防御系统,能够将已知特点的恶意软件准确识别出来,在识别恶意行为的同时,利用设置事前规划的规则进行匹配性文件内容、行为操作和报文形式的检测,在一定程度上可以达到恶意软件识别的目的、恶意攻击行为阻止的目的,起到一定的净化作用,但是核电厂相关仪控系统运行过程中,黑名单技术的应用却有一些缺点问题。首先,内部特征库系统使用黑名单技术,如果不能保证软件的实时性更新,将会影响整体安全管理和控制效果,并且仪控系统和系统外部网络隔离的情况下,不能及时性针对补丁进行更新处理,导致最终的防护效果降低。其次,特征匹配的环节中会出现严重的资源消耗问题,很容易发生仪控系统拥堵现象、运行缓慢现象、不能实时性操作的现象,无法与仪控系统高标准、严要求相适应,并且在相关特征匹配的环节中,无法确保整体系统运作的安全性和准确性,很容易发生误报的问题,尤其是在针对行为特征进行识别的过程中,一般情况下,会将仪控系统当中的I/O读写等操作,当做是恶意行为,阻止此类正常的操作,影响系统的良好运行。最后,相关的黑名单基础只能和已知特征的恶意攻击软件进行匹配,无法及时发现新的攻击行为、新的恶意软件问题、新的漏洞现象,对仪控系统的安全稳定运行会造成不利的危害。
1.2 白名单技术
应用白名单技术的过程中和黑名单技术相比较可以增强整体仪控系统的安全性,主要因为白名单技术应用期间强调“确定的安全”,对于所有未知性的不安全因素,都不允许进入到系统中,能够形成从多个维度、多个方位进行安全防控的结构模型,覆盖系统中很多层面和结构,主要涉及到程序方面、应用方面、协议方面、指令方面、外设方面等等,可以弥补传统的黑名单技术不足之处,属于非常安全的防护措施。按照核电厂仪控系统的运行状况,可以了解到,使用白名单技术进行安全控制、流量方面的监控、操作系统的监督、应用程序的控制,创建系统与网络方面的安全模型,营造良好的白名单安全环境氛围,属于非常有效的安全管理措施,所以在核电厂仪控系统的安全防护过程中,应该积极使用白名单技术[1]。
2 核电厂仪控系统安全防护策略的应用
上述内容分析,并且研究了黑名单技术和白名单技术的安全防护策略,发现白名单技术的应用效果较高,因此,在核电厂仪控系统安全防护的过程中,需要重点应用白名单策略,主要为:
2.1 程序方面的白名单策略
程序白名单的技术措施指的就是在仪控系统主机中设置合法软件基线列表,只有确保程序在列表内,才能正常运作,其他的程序无法运行,例如:病毒程序、木马程序、攻击性软件程序等,使用白名单技术的过程中,专业化的主机防护软件,能够起到漏洞问题的抵御作用,预防针对性攻击所带来的影响,所有的操作人员的层面、工程师的层面、数据服务器层面等,都可以良好的进行安全防护处理,改善安全防护的现状,增强整体的防护性能,在一定程度上能够使得工控机的部分向着安全性、稳定性的方向运作。而且主控机使用白名单技术,还具有一定的预防病毒侵袭的优势作用,防护性能很高。从实际情况而言,程序白名单技术在应用的过程中可以有效抵御各类恶意攻击,防护性能高,甚至还能在抵御攻击的过程中减少系统的资源开销,不会对主机的正常运行造成威胁,同时也不需要对库系统进行升级处理,维护的操作便利,对生产的整个流程不会产生过高的影响。因此,核电厂的仪控系统安全防护策略应用的过程中,需重点将白名单技术融入操作站程序、工程师站程序、服务器程序等,增强安全防护的有效性[2]。
2.2 应用外设白名单技术
从外设白名单技术来讲,应用在核电厂的仪控系统中,主要就是利用控制软件合法注册移动介质,创建介质类型的白名单系统,准确识别各类移动介质是否合法,对其进行读写处理,确保仪控系统不会受到外部区域的恶意系统、恶意介质影响。此类技术应用的过程中,主要借助外设开关的部分在外部区域中设置接口,确保不会出现不法数据信息入侵的现象,预防发生内部系统数据信息泄露的问题。与此同时,还可对移动介质注册方面安全性、有效性的管理,不仅可以确保内部系统数据信息流动的安全性,还能预防U盘的随意性使用引发安全隐患问题。
2.3 工程协议和工控行为的白名单技术
首先,工程协议类型白名单技术应用的过程中,利用安全性的防护系统实现网络报文的深入性分析、指令的有效识别目的,例如:工业防护墙系统,应用的过程结合技术要求对没有关联的协议进行阻断,及时发现有不安全的工业协议数据信息或是不安全的指令,这样可以确保仪控系统通信、网络的安全水平。其次,应用工控行为的白名单技术,创建网络系统中每个节点相互的连接形式,对于下发指令的工控行为、网络交互的工控行为,都可以实现深度性的解析目的,创建工控行为的基线、白名单,一旦发现有非法报文就能够自动化的过滤处理,确保进入网络系统中的都属于合法性报文或是连接,同时还可以预防出现恶意操作的问题,例如:一些员工恶意进行操作发出不良的指令,此情况下白名单就能够及时阻止,预防仪控系统出现安全隐患。通常情况下,工程行为白名单技术应用的过程中,学习的时间周期很长,需要采集很多数据信息,按照各类特征创建行为模型,因此在使用此类技术的过程中应重点创建学习模型,保证安全防护效果。
结语:
综上所述,近年来在核电厂的仪控系统实际运作发展的阶段,安全防护工作受到广泛重视,一旦出现严重的安全問题,将会引发不良的危害。而白名单技术不仅能增强仪控系统安全性,还能从多层次入手预防安全问题,因此,核电厂在仪控系统安全维护的过程中应重视白名单技术的使用。
参考文献
[1]范丽辰,王桂海.核电仪控系统的发展综述[C].第三届中国(国际)核电仪控技术大会,2015.
[2] 杨景利,刘元,孟庆军,等. 核电厂仪控系统安全防护策略研究及应用[J]. 自动化仪表,2019,40(6):93-97.
西门子电站自动化有限公司 210000