1　概述

    隨著(zhù)近年來(lái)控制和信息技術(shù)（網(wǎng)絡(luò )通信技術(shù)、計算機硬件技術(shù)、現場(chǎng)總線(xiàn)技術(shù)等）的不斷發(fā)展和日益成熟，加之用戶(hù)對先進(jìn)控制功能與管理功能需求的提升，全數字化儀控系統開(kāi)始全面進(jìn)入核電站的實(shí)際應用。

    數字化帶來(lái)很多好處，如高精度，無(wú)信號漂移，具有容錯、故障自診斷的功能，同時(shí)還具有兼容性，開(kāi)放性等特點(diǎn)；計算機系統可以提供長(cháng)期的，大容量的數據存儲；同時(shí)操縱員支持功能，對事故與事故后對數據進(jìn)行智能化處理，為操縱員提供最易理解的信息支持。但數字化的網(wǎng)絡(luò )技術(shù)也有它本身的特點(diǎn)和局限性，網(wǎng)絡(luò )安全就是一個(gè)典型的問(wèn)題，特別是近期針對工業(yè)控制系統的網(wǎng)絡(luò )安全事件不斷出現后，這一問(wèn)題顯得尤為突出。

    針對工業(yè)控制領(lǐng)域的網(wǎng)絡(luò )安全控制問(wèn)題，國內并沒(méi)有一個(gè)成熟的標準和規范可遵照執行，下面僅針對目前完成工程實(shí)施的數字化儀控系統的網(wǎng)絡(luò )安全實(shí)踐情況進(jìn)行說(shuō)明。

    2　網(wǎng)絡(luò )安全核電廠(chǎng)實(shí)踐現狀

    2.1　核電廠(chǎng)儀控系統介紹

    習慣上，核電廠(chǎng)儀控系統按其功能分為以下的四個(gè)層次：

    0層 工藝系統接口層（包括傳感器，閥門(mén)等）；

    1層 自動(dòng)控制和保護層； 

    2層 控制和監視層；

    3層 全廠(chǎng)信息管理層（包括MIS系統等）。

     核電廠(chǎng)數字化儀控系統總體結構圖（如圖1），整個(gè)控制網(wǎng)絡(luò )主要通過(guò)交換機以工業(yè)以太網(wǎng)進(jìn)行數據通訊和數據交換。DCS系統的1層采用Tricon（1E級）和IA系統（NC和NC+）構成，主要采集來(lái)自0層的信息并發(fā)出控制驅動(dòng)命令。2層（后備盤(pán)和ECP盤(pán)除外）的數據處理系統和HMI系統由ADACS_N系統來(lái)實(shí)現。1層和2層主要通過(guò)IA系統的AW站和ADACS_N系統的CFR服務(wù)器采用FoxAPI的方式完成兩者的數據交換。除了對核電廠(chǎng)的監控工作，DCS系統還需要向核電廠(chǎng)管理信息層（三層）以及電廠(chǎng)應急指揮中心等機構發(fā)送所需的電廠(chǎng)運行狀態(tài)信息。本文中管理信息系統特指核電廠(chǎng)實(shí)時(shí)信息監控系統（KNS）。它主要為核電廠(chǎng)建立全廠(chǎng)生產(chǎn)過(guò)程實(shí)時(shí)和歷史數據庫平臺，主要為運行、維修、技術(shù)支持等生產(chǎn)監管人員提供全廠(chǎng)生產(chǎn)過(guò)程實(shí)時(shí)管理監控服務(wù)和綜合優(yōu)化服務(wù)。按照國家核安全當局的要求，要求將電廠(chǎng)的一小部分運行信息實(shí)時(shí)送至國家核應急中心等地，這就需要通過(guò)廣域網(wǎng)完成信息傳輸。除了全廠(chǎng)的DCS系統外，核電廠(chǎng)還有部分采用數字化系統的第三方專(zhuān)用儀控系統如堆外核測、堆芯測量、DEH等。這些專(zhuān)用儀控系統主要通過(guò)網(wǎng)關(guān)與主DCS系統進(jìn)行信息交換。
 

    2.2　核電廠(chǎng)儀控系統控制區劃分

    在國家發(fā)展和改革委員會(huì )令第14號《電力監控系統安全防護規定》發(fā)布之前，核電廠(chǎng)數字化儀控系統依據國家電監會(huì )發(fā)布的《電力二次系統安全防護規定》(電監會(huì )5號令) 劃分為生產(chǎn)控制大區和管理信息大區。其中1層和2層劃分到生產(chǎn)控制大區中，3層劃分到管理信息大區，0層如果采用總線(xiàn)儀表則也應歸入生產(chǎn)控制大區。1層的保護系統由于有特殊的要求，即使在生產(chǎn)控制大區內部也在1E級的保護系統和非1E級的正常運行控制系統之間設置必要的網(wǎng)關(guān)，保證必要的信息隔離確保網(wǎng)絡(luò )安全。

    2.3　核電廠(chǎng)儀控系統網(wǎng)絡(luò )安全措施

    2.3.1　用戶(hù)名口令控制進(jìn)入

     運行人員對于DCS系統的權限僅限于對于二層終端的使用，沒(méi)有修改系統配置以及系統數據的權限。按照操縱員的職責設置不同的用戶(hù)名和口令，相應地具有不同的使用權限（如設備控制操作、規程操作、狀態(tài)監視、掛牌、交接班等）。另外，根據二層終端的布置位置預先配置不同的使用權限，使之無(wú)法超越權限使用。如只有主控制室和遠程停堆站的二層終端具有操作控制權限，布置在技術(shù)支持中心、計算機房等的二層終端只有信息監視的權限。這種設置可以最大限度地防止未授權進(jìn)入。

    只有維修人員具有對于一層以及二層工程師站的登錄用戶(hù)名和登錄口令以及進(jìn)入計算機房的權限。也就是只有維修人員才具有對系統進(jìn)行故障處理以及修改的權限。

    2.3.2　物理行政手段

    從職責分工上講，核電廠(chǎng)運行期間需要接觸到數字化儀控系統的人員，主要包括運行人員和調試維修人員。運行人員接觸儀控系統的場(chǎng)所主要是主控制室、遠程停堆站以及現場(chǎng)巡檢。

    維修人員具有所有儀控設備（軟硬件）的進(jìn)入權限，如電子機柜的柜門(mén)鑰匙，主控盤(pán)臺的門(mén)鑰匙等由維修人員掌握。對于主要儀控設備的機柜還專(zhuān)門(mén)設置了門(mén)開(kāi)報警，在機柜門(mén)被打開(kāi)的時(shí)候給出報警信號。

    考慮到進(jìn)入系統的接口控制，只有工程師站的計算機保留了USB口等介質(zhì)接入接口。系統內的其它計算機的外接接口均封閉。

    2.3.3　網(wǎng)絡(luò )隔離措施

    由于國內沒(méi)有發(fā)布專(zhuān)門(mén)針對網(wǎng)絡(luò )安全的相關(guān)標準，在設計上主要是按照電監會(huì )5號令的要求（電監會(huì )5號令已經(jīng)廢止，目前是按照剛發(fā)布的發(fā)改委14號令的要求）設置相應的網(wǎng)絡(luò )隔離措施。

    （1）生產(chǎn)控制區和管理信息區的信息隔離

    即儀控系統的二層和三層之間（如圖1）設置經(jīng)國家指定部門(mén)檢測認證的電力專(zhuān)用橫向單向安全隔離裝置用于控制儀控系統的信息流，該裝置物理上就具備單向通訊的特性，進(jìn)行信息發(fā)送時(shí)也不需要先進(jìn)行一般通訊傳輸的握手交互等雙向信息交換的方式，這種方式只允許將生產(chǎn)控制區（儀控系統的一層和二層）的信息以實(shí)時(shí)或定期發(fā)送的方式傳輸至管理信息區（本項目中采用南瑞的syskeeper 2000單向隔離裝置）（詳細網(wǎng)絡(luò )結構及接口見(jiàn)圖2）。這種設計完全符合電監會(huì )5號令中 “在生產(chǎn)控制大區與管理信息大區之間必須設置經(jīng)國家指定部門(mén)檢測認證的電力專(zhuān)用橫向單向安全隔離裝置”的要求。這種方式既能夠完成向電廠(chǎng)管理信息網(wǎng)的有效信息傳輸，又能夠有效防止可能的來(lái)自管理信息網(wǎng)的網(wǎng)絡(luò )安全威脅。

 

    （2）生產(chǎn)控制區內部的隔離

    生產(chǎn)控制區內（一層和二層）主要包括三個(gè)部分的信息交換： 一層和二層之間，主儀控系統與第三方專(zhuān)用儀控系統之間，非安全儀控系統與安全儀控系統（保護系統）之間的信息交換。

    由于主儀控系統的1層和2層分別采用不同公司的產(chǎn)品，1層和2層主要通過(guò)IA系統的AW站和ADACS_N系統的CFR服務(wù)器采用FoxAPI的方式完成兩者之間的數據交換。

    從分區的角度，獨立第三方儀控系統也劃分在生產(chǎn)控制區中，因此這些獨立第三方儀控系統與主DCS系統的數據交換也屬于生產(chǎn)控制區內部的信息交換，原則上可以直接相連接而不作處理。但是考慮到這些獨立第三方儀控系統在電廠(chǎng)管理中分屬不同的生產(chǎn)部門(mén)，為安全起見(jiàn)，系統設計的時(shí)候還是在這些系統和主DCS系統之間設置了通訊網(wǎng)關(guān)進(jìn)行一定的邏輯隔離，主要通過(guò)圖1中的“FDSI GATEWAY”來(lái)實(shí)現一定程度的信息隔離。

    核電廠(chǎng)儀控系統中對于安全要求最高的是保護系統（安全儀控系統）。按照IEC61508的功能安全等級保護系統劃分為SIL4級。關(guān)于保護系統在安全方面的措施下文會(huì )有詳細的描述，此處僅從安全分區和信息隔離的角度進(jìn)行描述。在保護系統與非安全儀控系統之間設置有經(jīng)過(guò)鑒定的單向網(wǎng)關(guān)裝置，如圖1的“1E到NC FDSI Gateway”網(wǎng)關(guān)裝置。該網(wǎng)關(guān)同樣具有單向特性，只允許保護系統向非安全儀控系統單向發(fā)送信息，而從非安全儀控系統向保護系統的信息發(fā)送是不被允許的。

    以上三個(gè)方面的措施都滿(mǎn)足電監會(huì )5號令關(guān)于“生產(chǎn)控制大區內部的安全區之間應當采用具有訪(fǎng)問(wèn)控制功能的設備、防火墻或者相當功能的設施，實(shí)現邏輯隔離。”

    （3）與廣域網(wǎng)的隔離

    按照國家核安全當局的監管要求，需要將反映核電廠(chǎng)運行的實(shí)時(shí)信息送至國家核應急中心等部門(mén)。這部分信息的傳輸需要通過(guò)核電廠(chǎng)儀控系統的3層部分來(lái)實(shí)現（如圖1所示）。對于這一部分的安全防護和信息隔離主要是按照電監會(huì )5號令的要求“在生產(chǎn)控制大區與廣域網(wǎng)的縱向交接處應當設置經(jīng)過(guò)國家指定部門(mén)檢測認證的電力專(zhuān)用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應設施”的要求，一般采用衛士通系列等產(chǎn)品，主要包括以下的功能：

    安全隧道：用戶(hù)數據通過(guò)密碼機廠(chǎng)的安全隧道進(jìn)行安全的網(wǎng)絡(luò )傳輸。

    數據包加密：除了對原有IP包進(jìn)行封裝外，還要進(jìn)行加密處理，保證數據在網(wǎng)絡(luò )上傳輸的機密性。

    設備和管理員身份認證。

    訪(fǎng)問(wèn)控制。

    出于信息安全和信息傳輸的可靠性的要求，部分時(shí)候還會(huì )在信息傳輸端設置雙機熱備份。

    2.4　核電廠(chǎng)保護系統網(wǎng)絡(luò )安全措施

    2.4.1　保護系統的安全計劃

    按照針對核電廠(chǎng)安全重要儀控系統的標準I E C 61513（Ref. 1.5.1.1）以及Reg. Guide 1.152 (Ref.1.5.1.2)的要求首先要對保護系統編制其安全計劃以確保保護系統的可用性（防止非授權的進(jìn)入和破壞），完整性（防止未授權的修改）和保密性(未經(jīng)授權的披露)（operability, integrity and confidentiality）這個(gè)計劃要求匹配在保護系統軟件開(kāi)發(fā)過(guò)程中以及整個(gè)軟件生命周期中為確保和維持保護系統的設計以及維護過(guò)程中的安全性而采取的措施。依靠行政和技術(shù)手段來(lái)保護I&C系統結構并防止惡意的攻擊以預防危害電廠(chǎng)安全重要功能的發(fā)生。

    2.4.2　人員活動(dòng)及工作場(chǎng)所控制

    在工程的不同階段不同的人員擁有不同的權限，同時(shí)還需要考慮保護系統整個(gè)生命周期中環(huán)境的變化，如設計場(chǎng)所，調試場(chǎng)所，電廠(chǎng)現場(chǎng)等。

    物理保護主要涉及防止未授權的接近（打開(kāi)保護系統機柜門(mén)）不同的保護組和保護列，機組有不同的機柜鑰匙；涉及保護系統工作人員的身份確認和授權確認以及可靠性確認。運行期間機柜設有門(mén)開(kāi)報警及時(shí)通知主控室人員。

    工程階段人員： 包括RPS設計團隊，設計經(jīng)理負責在軟件系統內分配設計團隊里各成員的登入登出權限；分配不同人員對于各類(lèi)文件，設計成果軟件，系統配置查看的不同登入登出權限。需要說(shuō)明的是，權限的分配還需要結合用戶(hù)ID和密碼。人員包括軟件編碼人員、IV&V人員和硬件設計人員等。

    工廠(chǎng)測試階段人員：涉及的人員包括供貨方測試人員、IV&V人員、買(mǎi)方測試人員，只有供貨方測試人員有進(jìn)入系統的權限。

    現場(chǎng)測試人員： 買(mǎi)方安裝人員、供貨方安裝監督人員、SAT團隊，只有SAT團隊中的供貨方人員有進(jìn)入系統的權限。

    運行期間人員： 調試維護人員、運行人員，只有維護人員有進(jìn)入系統的權限。

    關(guān)于供貨商對于其在保護系統軟件設計和測試過(guò)程至軟硬件在現場(chǎng)完成安裝中的計算機安全責任以及移交現場(chǎng)后的保護系統網(wǎng)絡(luò )安全責任移交現場(chǎng)買(mǎi)方。包括保護系統的機柜上鎖以及系統軟件的用戶(hù)保護口令等。

    2.4.3　不同階段的安全控制措施

    （1）保護系統的安全需求

    在保護系統的需求階段，主要由設計方提出保護系統安全方面的需求，主要包括：

    ·軟件本身具有防入侵特性；

    ·影響操作系統軟件完整性應用軟件的修正，改變或影響不允許；

    ·物理保護；

    ·人員身份確認和授權確認；

    ·機柜門(mén)帶鎖且針對不同的保護組，保護列，機組有不同的機柜鑰匙；

    ·保護系統機柜門(mén)開(kāi)報警，及時(shí)通知主控室人員；

    ·軟件按照標準IEC 61513要求保證完整性，可用性，保密性；

    ·建立完整的安全計劃防止保護系統受到攻擊而破壞安全功能。

    ·安全計劃必須明確對包括系統和設備在內的保護系統功能的安全需求；

    ·可能失效的措施必須在過(guò)程中明確；

    ·由于未授權進(jìn)入和修改所導致的風(fēng)險必須以系統化的方式進(jìn)行管理；

    ·所采取的安全措施應不會(huì )對系統可靠性和可用性造成負面影響；

    ·登入登出系統的口令系統；

    ·保護系統與其他系統的接口處理，如設置網(wǎng)關(guān)等。

    （2）設計階段的安全措施

    前文已經(jīng)描述過(guò)，核電廠(chǎng)保護系統按照IEC61508的安全等級劃分為SIL4，供貨商按照SIL4的要求確保軟件中沒(méi)有包含后門(mén)以及特洛伊木馬等，即所有涉及危及計算機安全的威脅都會(huì )被除去。

    設計階段保護系統面臨的安全風(fēng)險包括：

    ·未經(jīng)授權的修改（工程數據的完整性威脅）；

    ·未經(jīng)授權進(jìn)入而導致的破壞（影響可用性）；

    ·未經(jīng)授權的分發(fā)（影響機密性）。

    針對以上的風(fēng)險，供貨商將完成實(shí)施以下的措施和方法：

    ·只有經(jīng)過(guò)資質(zhì)鑒定和考核的人員才允許接觸和編寫(xiě)保護系統的軟件代碼；

    ·在供貨商的工作場(chǎng)所設有人員進(jìn)入控制系統（門(mén)禁等），以防止未經(jīng)授權的人員進(jìn)入到相應的工作場(chǎng)所；

    ·安全相關(guān)信息僅提供給經(jīng)授權的人員；

    ·相關(guān)的計算機設置開(kāi)機權限；

    ·系統的信息傳輸受控（如保護系統與其它系統的信息交換采用單向通訊協(xié)議，奇偶校驗，網(wǎng)關(guān)設置，防火墻等）；

    ·存儲器只讀保護（還包括文件備份等）；

    ·計算機防病毒措施；

    ·相關(guān)文檔的安全措施；

    ·不同階段不同的人員擁有不同的權限；

    ·使用校驗和生成一個(gè)軟件指紋；

    ·所采用的控制器是經(jīng)過(guò)網(wǎng)絡(luò )安全論證的（運行狀態(tài)下不允許通過(guò)網(wǎng)絡(luò )寫(xiě)入）；

    ·進(jìn)入系統的用戶(hù)名/密碼保護；

    ·不允許在軟件應用程序的代碼編制，修改以及變更的過(guò)程中影響到系統的完整性。保護系統所使用的是系統內置的實(shí)時(shí)執行器固件，該執行器作為控制器（CPU）的一部分。執行器獨立于應用軟件不可能在使用過(guò)程中因突發(fā)事件而被修改。

    從硬件上，所有的保護系統機柜都有專(zhuān)門(mén)的柜門(mén)鎖，只有相關(guān)的設計人員才能打開(kāi)機柜。另外在軟件系統內部還根據不同的設計人員權限定義不同的系統進(jìn)入口令如代碼編輯、數據庫、系統狀態(tài)變化以及啟動(dòng)運行權限。

    （3）測試階段的安全措施

    測試階段主要考慮以下的風(fēng)險：

    ·未經(jīng)授權的修改（工程數據的完整性威脅）；

    ·未經(jīng)授權的分發(fā)（影響機密性）。

    一般采取以下措施：

    ·只有經(jīng)過(guò)資質(zhì)鑒定和考核的人員才允許接觸和編寫(xiě)保護系統的軟件代碼；

    ·安全相關(guān)信息僅提供給經(jīng)授權的人員；

    ·相關(guān)文檔的安全措施；

    ·控制機柜的鑰匙；

    ·控制測試工具的接觸權限；

    ·控制移動(dòng)介質(zhì)；

    ·控制物資倉庫。

    （4）運行階段的安全措施

    一旦保護系統在現場(chǎng)完成安裝，當然系統的移交還包括了對于文件移交的安全措施。保護系統相關(guān)的文件移交按照買(mǎi)方與供貨方確定的工作程序進(jìn)行。移交之后，買(mǎi)方業(yè)主將承擔起預防所有保護系統網(wǎng)絡(luò )安全相關(guān)威脅的責任，當然包括了機柜鑰匙以及系統保護口令等的移交。業(yè)主將按照標準的要求（如IEC-61513等）的執行相應的措施以緩解和防止會(huì )影響電廠(chǎng)安全的網(wǎng)絡(luò )安全事故的出現。

    系統運行階段安全措施主要保證保護系統運行期間的數據保護以及保護系統運行階段的網(wǎng)絡(luò )安全威脅和應對措施。

    3　結語(yǔ)

    隨著(zhù)基于工業(yè)以太網(wǎng)的全數字化儀控系統在核電廠(chǎng)的廣泛應用，基于信息網(wǎng)絡(luò )的安全事件也不斷出現，這對核電廠(chǎng)的信息安全提出了更高的要求。我國還沒(méi)有建立一套完善的關(guān)于工業(yè)控制系統信息安全的完整體系，近期在轉化相應的國際標準如IEC 62443《工業(yè)過(guò)程測量和控制安全-網(wǎng)絡(luò )和系統安全》）方面進(jìn)展很大。對應的核電廠(chǎng)儀控系統特別是保護系統信息安全方面的要求及措施也有很大的完善空間。 

    作者簡(jiǎn)介

    張玉峰（1974-）， 男，高級工程師。2000年畢業(yè)于西安交通大學(xué)核能科學(xué)與工程專(zhuān)業(yè)，碩士，現就職于中國核電工程有限公司，主要從事核電廠(chǎng)儀表與控制系統相關(guān)工程和研究工作。