北京廣利核系統工程有限公司總經(jīng)理助理兼大項目總經(jīng)理 孫永濱

出于對環(huán)保、生態(tài)和世界能源供應等方面的考慮，核電作為一種安全、清潔、低碳、可靠的能源，已被越來(lái)越多的國家所接受和采用，世界各國均在大力發(fā)展核電能源。據國際原子能機構預測，全球核電裝機容量將在2030年增加至5100億瓦。截至2015年底，我國在運核電機組28臺，總裝機容量2642.7萬(wàn)千瓦，發(fā)電量占全國總發(fā)電量?jì)H3.01%，而世界核電發(fā)電量占總發(fā)電量的平均水平是10%。專(zhuān)家指出，“十三五”期間，我國應從戰略層面進(jìn)一步明確核電在優(yōu)化能源結構中的支柱地位，進(jìn)行規?；l(fā)展，以有效支撐到2030年非化石能源消費占比提高到20%這一目標。當前我國對核電發(fā)展的戰略是從“適度發(fā)展”到“積極發(fā)展”。毫無(wú)疑問(wèn)，“十三五”期間我國核電發(fā)展將進(jìn)入快車(chē)道。

對于核電發(fā)展來(lái)說(shuō)，安全性一直以來(lái)是最為重要的制約因素。特別是日本福島核電站發(fā)生大規模核泄漏事故之后，核電的安全性備受質(zhì)疑，各國對于核電安全的重視也達到了前所未有的高度。我國《核電安全規劃（2011-2020年）》要求，按照全球最高安全要求新建核電項目，新建核電機組必須符合三代安全標準。核電站數字化儀控系統是核電站四大關(guān)鍵性成套設備之一，控制著(zhù)整個(gè)核電站從常規島到核島幾乎所有的閥門(mén)、開(kāi)關(guān)、繼電器等。它是核電站的運行中心和安全屏障，是整個(gè)核電站最關(guān)鍵、最核心技術(shù)的集中體現，也是大型核電裝備現代化程度的重要標志。只有掌握了自動(dòng)化成套控制系統的關(guān)鍵技術(shù)，我國核電站的安全、經(jīng)濟運行才能有真正的保障。

北京廣利核系統工程有限公司致力于面向核電站提供數字化儀控系統的專(zhuān)業(yè)化解決方案。在產(chǎn)品設計中，安全分析貫穿了研發(fā)的整個(gè)過(guò)程，硬件采用多重化設計，軟件嚴格執行V&V（驗證與確認）測試，通訊系統實(shí)現實(shí)時(shí)確定性設計，在整體上保證了系統的功能、性能和可靠性；通過(guò)模塊化結構、自診斷、帶電插拔等措施確保系統的可維護性；采取多重報文過(guò)濾、病毒檢測、數據驗證等多種措施確保系統的安全性。其產(chǎn)品已經(jīng)通過(guò)國內幾乎所有在建和在役核電站近10年數百個(gè)項目的嚴格考驗，產(chǎn)品可利用率高達99.99%，獲得了用戶(hù)的一致好評。

本刊記者采訪(fǎng)了北京廣利核系統工程有限公司總經(jīng)理助理兼大項目總經(jīng)理孫永濱，請他分析我國工業(yè)控制系統安全現狀及廣利核數字化儀控系統在保障核電安全方面的特色和優(yōu)勢。

《自動(dòng)化博覽》：請您分析一下當前我國工業(yè)控制系統安全現狀及發(fā)展情況。

孫永濱：自工業(yè)控制系統安全（以下簡(jiǎn)稱(chēng)“工控安全”）這一課題被業(yè)界人士提出以來(lái)，國內外工控安全防護的理念經(jīng)歷了一系列的發(fā)展演變過(guò)程，總的來(lái)說(shuō)可以劃分為四個(gè)階段：第一個(gè)階段是以隔離為手段的安全防護理念；第二個(gè)階段是縱深防御的安全防護體系；第三階段是工業(yè)控制系統內部生長(cháng)的持續性防御體系；第四階段是以攻為守的國家戰略。

一個(gè)系統的生命周期一般包括規劃階段、設計階段、實(shí)施階段、運維階段以及退役/升級換代階段，工控系統全生命周期的安全防護也會(huì )覆蓋這五個(gè)階段。如今工控安全防護已從單一的隔離階段，過(guò)渡到了多種技術(shù)并用的縱深防御階段，追求一種攻守兼備的防護體系。防護體系中不但要涵蓋縱深防御的不同層次，還要擁有發(fā)現隱患、管理威脅、預知威脅的能力。

當下，工控安全防護體系構成層次正逐級提高。一些企業(yè)內部若出了工控安全事件，往往會(huì )自發(fā)地進(jìn)行安全防護，事件也會(huì )形成一定的行業(yè)推動(dòng)效應；而沒(méi)有發(fā)生相關(guān)事件的企業(yè)與行業(yè)的工控安全防護意識都較為薄弱，即使意識到存在安全的威脅與隱患，也苦于找不到對癥下藥的手段。國內的存量在裝工控系統以國外工控設備與復制國外陳舊技術(shù)的國產(chǎn)設備為主，相關(guān)標準照搬國外的會(huì )使我國處于一個(gè)很被動(dòng)的境地。因此，整個(gè)工業(yè)自動(dòng)化界正急需一個(gè)能落地的工控安全防護標準。按照國外的相關(guān)經(jīng)驗，此類(lèi)標準應由跨政府部門(mén)的多個(gè)機構來(lái)組織推動(dòng)。在國家層面驅動(dòng)、行業(yè)用戶(hù)推廣下，以史為鑒、以實(shí)為據，憑我國現有基礎設施規模和先進(jìn)性完全有能力引領(lǐng)工控安全的技術(shù)創(chuàng )新和標準制定。我國工控安全防護理念的進(jìn)步也將不只停留在技術(shù)人員的研究中，而是切切實(shí)實(shí)為業(yè)界所接受。最終業(yè)主與安全供應商將共同突破傳統安全理念，真正助力我國工控安全。

《自動(dòng)化博覽》：請您介紹一下廣利核的安全產(chǎn)品或解決方案，能為核電用戶(hù)提供哪些幫助？

孫永濱：廣利核公司目前有五大產(chǎn)品平臺：FirmSys、FitRel、SpeedyHold、HOLLiAS-N和EmInfoSys。這五大產(chǎn)品平臺可應用于不同安全等級的核電站數字化儀控系統中。其中，FirmSys（和睦系統）是核安全級DCS通用平臺，主要應用于核電站控制保護系統，對核反應堆進(jìn)行控制和保護，在異常工況時(shí)保證在最短時(shí)間內實(shí)現安全停堆，從而確保核電站的安全。FitRel是安全相關(guān)級產(chǎn)品，是保護系統的后備，當保護系統發(fā)生共因故障時(shí)，基于FitRel的多樣性?xún)x控系統（KDS）能夠確保將核電站導向安全狀態(tài)。SpeedyHold是核電站專(zhuān)用儀控系統平臺，可以實(shí)現上述系統的報警處理和指示等。HOLLiAS-N是非安全級DCS平臺，可用于核島、常規島系統和BOP的非安全級儀控系統的控制和調節。EmInfoSys是應急響應支持系統，主要應用于應付各種突發(fā)事件（包括核應急），能夠有效預防和妥善應對生產(chǎn)安全事故，最大限度地輔助應急響應人員處理應急事件，全面提高安全生產(chǎn)應急救援和應急管理能力，以減少生產(chǎn)安全事故造成的人員傷亡和財產(chǎn)損失。廣利核公司基于這五個(gè)產(chǎn)品平臺構建的核電站數字化儀控系統能夠滿(mǎn)足縱深防御的保護策略，從而確保核電站的安全。

針對這五大產(chǎn)品，廣利核公司提供自規劃-研發(fā)-生產(chǎn)-運行-退役全生命周期的安全防護解決方案。在規劃階段，規劃所有產(chǎn)品的協(xié)議都采用定制的私有協(xié)議，最大限度地避免了協(xié)議漏洞；在研發(fā)階段，利用獨立的研發(fā)環(huán)境進(jìn)行開(kāi)發(fā)設計，同時(shí)在開(kāi)發(fā)過(guò)程中充分考慮產(chǎn)品的安全性設計，不采用無(wú)線(xiàn)及通用的接口方案，也不為人為接入提供后門(mén)；在生產(chǎn)階段，擁有自己的產(chǎn)品線(xiàn)，所有設備的生產(chǎn)都在公司內完成，避免了惡意代碼植入的可能；在運行階段，提供有效的管理措施及技術(shù)措施，包括網(wǎng)關(guān)隔離、防火墻引入、USB禁用等手段，有效地保證了核電站的安全運行；在退役階段，廣利核公司提供設備升級、改造等服務(wù)。

同時(shí)，廣利核公司非常重視內部信息安全及保密，在內部部署了專(zhuān)門(mén)的加密系統，對公司的各種內部文件進(jìn)行加密，防止核心技術(shù)資料外泄，提高了公司的核心競爭力。

在近十年的發(fā)展中，核電工業(yè)控制系統呈現出整體開(kāi)放的趨勢，因此核電站工業(yè)控制系統信息安全也面臨著(zhù)操作系統漏洞、安全策略漏洞和應用軟件漏洞的威脅和挑戰，一旦這些漏洞被不良意圖黑客所掌握，那么后果不堪設想。廣利核的核安全級產(chǎn)品——“和睦系統”采用了私有通信協(xié)議與自主網(wǎng)絡(luò )架構，涵蓋所有關(guān)鍵信號的采集、處理和輸出，所有這些通信協(xié)議和網(wǎng)絡(luò )架構屬于廣利核自主創(chuàng )造，不同于市場(chǎng)上任意一種通用協(xié)議或網(wǎng)絡(luò )架構，在一定程度上避免了來(lái)自于外部網(wǎng)絡(luò )對安全級設備和功能的攻擊。在權限控制和防止物理攻擊方面，我們也開(kāi)展了相關(guān)研究，力求為核電應用提供更全面的安全防護。

《自動(dòng)化博覽》：據您所知，國內外工業(yè)安全標準制定和實(shí)施情況如何？我國與國外有什么樣的差距？在哪些方面還有待完善？

孫永濱：2000年，國際電工委員會(huì )正式發(fā)布了IEC61508電氣/電子/可編程電子安全系統的功能安全標準。2006年，美國國家標準與技術(shù)研究院（NIST）分別制定了NISTSP800-82SCADA和工業(yè)控制系統安全指南；2011年，制定了NISTSP800-82工業(yè)控制系統信息安全指南，旨在指導開(kāi)發(fā)商、集成商建立安全的工業(yè)控制系統。2009年，國際電工協(xié)會(huì )工業(yè)過(guò)程測量、控制與自動(dòng)化/網(wǎng)絡(luò )與系統信息安全工作組（ IEC/TC65/WG10）與國際自動(dòng)化協(xié)會(huì )ISA99成立聯(lián)合工作組組織制定了IEC62443工業(yè)自動(dòng)化和控制系統信息安全標準，旨在應對工業(yè)自動(dòng)化和控制系統信息安全挑戰，以規避工業(yè)控制系統在信息安全方面的風(fēng)險。據我們了解，美國、英國、法國、德國、荷蘭、瑞典等國家非常重視工業(yè)控制系統信息安全標準化工作，在標準法規方面已出臺了從國家法規標準到行業(yè)規范指南等一系列規范性文件。

2011年，我們國家工信部發(fā)布了《關(guān)于加強工業(yè)控制系統信息安全管理的通知》，要求加強國家主要工業(yè)領(lǐng)域基礎設施控制系統與SCADA系統的安全保護工作也陸續有相關(guān)標準出臺。同年，全國工業(yè)過(guò)程測量控制和自動(dòng)化標準化技術(shù)委員會(huì )（SAC/TC124）發(fā)布了《GB/T26333-2010工業(yè)控制網(wǎng)絡(luò )安全風(fēng)險評估規范》。2012年，國務(wù)院發(fā)布《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》，明確提出要開(kāi)展工業(yè)控制系統信息安全檢查工作。2014年，SAC/TC124聯(lián)合全國信息安全標準化技術(shù)委員會(huì )發(fā)布了GB/T30976.1-2014工業(yè)控制系統信息安全第1部分評估規范和GB/T30976.2-2014工業(yè)控制系統信息安全第2部分驗收規范。

在工業(yè)領(lǐng)域，電力行業(yè)一直走在相關(guān)標準制定和規范的前列，2005年發(fā)布了電監會(huì )5號令《電力二次系統安全防護規定》，2014年發(fā)布了發(fā)改委14號令《電力監控系統安全防護規定》。工業(yè)控制系統是國家重要基礎設施（如電力、交通、能源、通信、水利等）的“大腦”和“中樞神經(jīng)”。 從總體上看，我國工控系統信息安全防護體系建設滯后于工控系統建設，在防護意識、防護策略、防護機制、法規標準、防護檢測等方面都存在不少問(wèn)題，涉及工控系統的信息安全工作需要繼續加大投入。

未來(lái)一段時(shí)期內，我國在工控安全標準完善上要做的工作主要有以下幾個(gè)方面：分析工業(yè)控制系統信息安全保障體系建設需求，基于國家信息安全標準體系框架，建立工業(yè)控制系統信息安全標準體系總體框架；在標準體系框架內梳理現有信息安全標準在工業(yè)控制系統建設中的應用關(guān)系，確定工業(yè)控制系統信息安全標準體系中強制使用和推薦使用的標準目錄，并開(kāi)展重點(diǎn)標準的研制規劃，逐步完善標準體系。

在核電站工業(yè)控制系統領(lǐng)域，我國應多部門(mén)、多專(zhuān)業(yè)領(lǐng)域聯(lián)合起來(lái)，加強針對核電站工業(yè)控制系統的安全標準和建設標準等的頂層設計。并且，研究核電站工業(yè)控制系統的安全標準，為核電站工控系統的設計、建設、運維提供安全依據；搭建核電站工控系統測試平臺，解決核電站工控系統安全問(wèn)題。

《自動(dòng)化博覽》：請您分享一個(gè)廣利核近期在核電工業(yè)安全方面的成功案例。

孫永濱：2015年廣利核公司基于華龍一號核電站DCS原型系統進(jìn)行了工業(yè)安全的攻防演練。攻防演練通過(guò)對目標系統進(jìn)行了潛在的風(fēng)險分析，設計了典型攻擊路徑演示攻擊者接入網(wǎng)絡(luò )后自上而下攻擊控制器的過(guò)程：攻擊電腦接入控制網(wǎng)絡(luò )，在攻擊電腦上運行攻擊程序；攻擊程序向下經(jīng)過(guò)服務(wù)器系統，進(jìn)一步攻擊控制器；攻擊程序通過(guò)控制器，控制LED報警燈產(chǎn)生誤報警，同時(shí)系統遭遇攻擊被檢測平臺監測進(jìn)行報警提示。引入保護原型后，對控制器進(jìn)行保護，避免了惡意代碼的攻擊。下一步廣利核公司將對保護原型做進(jìn)一步研發(fā)，防護更多的惡意程序。

摘自《自動(dòng)化博覽》2016年2月刊