Page 139 - 核能协会奖励公报2023(终版20240607)
P. 139
中国核能行业协会科学技术奖励公报 2023
核电厂工业控制系统边界
网络安全防护方法研究及应用 [2023HNJ73]
本项目属于网络安全技术领域。大部分在 本项目所
役核电厂考虑到稳定性因素 , 未在工控系统内 采用的工控
部进行网络安全建设 , 仅仅依靠工控边界单向 边界网络安
网闸进行单点防护。一旦网闸出现安全漏洞, 全防护技术
攻击者突破边界,轻则导致感染病毒,重则导 方法经现场
致被勒索甚至停机。因此针对当前工控边界完 应用验证,与
全依赖于网闸,缺乏多重防护、集中监测分析 常规工控边
和异常状况下快速处置能力的主要问题,本项 界防护方案
目研究并设计一套适应核电厂工业控制系统边 相 比, 在 检
界网络安全防护场景的防护方法;同时基于网 测 方 法、 处
络安全防护方法定制研发相应的工控边界网络 置效率、纵深
安全防护设备(工控边界态势感知系统、主机 防御、主机防
白名单系统、工控边界专用防火墙),结合防 护以及安全
护方法和定制的防护设备为核电厂工控边界网 展示等方面
络安全防护提供一整套可落地的解决方案。 具有明显优
本项目的成果主要创新有: 势。项目成果
三
(1)国内首次提出一种工控边界网络安全 具有自主知识产权,技术自主可控,申请发明
等
综合性防护方法,解决了工控边界网络安全状 专利 5 项,获得发明专利授权 2 项,软件著
奖
态无法集中监测、工控边界防御手段过于单一、 作权登记 2 项,发表 EI 论文 2 篇,取得公安
出现安全威胁无法及时处置的问题; 部销售许可 1 项,相关成果已应用于福清核电、
(2)基于工控边界安全数据多元整合技 田湾核电等,达到国际先进水平。
术、白名单为主黑名单为辅的安全检测技术、 本防护方案和防护产品在 2021 年 -2022
工控边界安全展示技术,研制了工控边界态势 年连续两年国家级的攻防演习中进行了实战验
感知系统,实现了工控边界安全威胁的高精度 证,成功守护了靶标系统,证明了该防护方案
辨识和安全态势的集中监测; 和防护产品的有效性;同时,依据该防护方案
(3)研究构建了网络、进程、外设、账户 对江苏核电、福清核电工控边界进行网络安全
四个维度主机白名单,运用轻量化应用层客户 改造,相关产品也在改造中进行常态化的应用,
端管控技术,研制了主机白名单系统,实现对 将可能成为攻击跳板的工控边界系统改造成守
主机的白名单防护; 护工控系统网络安全的最后一道边界防线,极
(4)基于工控边界流量的深度解析及白名 大提升了核电 DCS 的网络安全纵深防御能力。
单检测技术、工控边界远程一键隔离安全处置 同时,该套工控边界网络安全防护方案适合大
技术,研制了工控边界专用防火墙,实现工控 部分电力或工控系统边界数据传输的场景,具
边界流量的数据级安全审计,以及针对风险的 备向其它核电同行、工控行业等推广的价值。
远程快速处置。
完成单位:中核武汉核电运行技术股份有限公司
通讯地址:湖北省武汉市东湖新技术开发区民族大道 1021 号
联.系.人:辛露..电话:027-81735918..传真:027-81735000
电子邮箱:xinlu@cnnp.com.cn
129
