AP1000數(shù)字化儀控系統(tǒng)病毒防護(hù)分析

摘要：AP1000核電站儀控系統(tǒng)采用了基于計(jì)算機(jī)的數(shù)字化儀控平臺(tái)實(shí)現(xiàn)，儀控系統(tǒng)對(duì)核電站安全穩(wěn)定運(yùn)行起著舉足輕重的作用，然而病毒防護(hù)又是儀控系統(tǒng)安全運(yùn)行的一個(gè)重要方面。文章主要從技術(shù)上分析AP1000病毒預(yù)防的設(shè)計(jì)措施，并提出通過管理手段進(jìn)一步實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的方法，為儀控系統(tǒng)的安全穩(wěn)定運(yùn)行提供有力保障。

關(guān)鍵詞：AP1000；計(jì)算機(jī)病毒；單向數(shù)據(jù)傳輸；網(wǎng)閘

中圖分類號(hào)：TK323 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-2374（2013）13-0041-03

計(jì)算機(jī)病毒是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼（以下簡(jiǎn)稱病毒）。病毒具有繁殖性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性等特點(diǎn)。由于計(jì)算機(jī)科學(xué)技術(shù)的發(fā)展，病毒也在不斷地演變和發(fā)展，新病毒的出現(xiàn)更具智能性、隱蔽性、多樣性、破壞力強(qiáng)等特點(diǎn)，這給企業(yè)病毒預(yù)防帶來了更高的挑戰(zhàn)。

由于數(shù)字化儀控系統(tǒng)的先進(jìn)性，現(xiàn)代核電使用基于計(jì)算機(jī)的數(shù)字化儀控系統(tǒng)已是必然，AP1000同樣使用了基于計(jì)算機(jī)系統(tǒng)的控制平臺(tái)，如何才能防止病毒攻擊，保證儀控系統(tǒng)和核電站安全穩(wěn)定運(yùn)行，這是使用全廠數(shù)字化儀控系統(tǒng)所面臨的問題，伊朗布什爾核電站由于受到病毒攻擊而推遲發(fā)電，這樣的消息讓人感到震驚和反思。美國核管會(huì)于2009年3月也升版計(jì)算機(jī)及網(wǎng)絡(luò)安全相關(guān)的法規(guī)10CFR73.54。

為了更好地使電站安全穩(wěn)定運(yùn)行，AP1000從設(shè)計(jì)角度采用了分層的儀控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、計(jì)算機(jī)集中布置管理、設(shè)置域安全服務(wù)器、設(shè)置病毒服務(wù)器、單向數(shù)據(jù)傳輸?shù)榷囗?xiàng)措施避免儀控計(jì)算機(jī)受到病毒的危害，并提出通過管理手段更好地保證儀控系統(tǒng)安全穩(wěn)定運(yùn)行。

1 病毒防護(hù)措施

1.1 儀控系統(tǒng)的層級(jí)結(jié)構(gòu)設(shè)計(jì)

AP1000儀控系統(tǒng)從功能上可分為保護(hù)和控制兩大塊，而控制系統(tǒng)主要基于Ovation平臺(tái)實(shí)現(xiàn)，主要系統(tǒng)是電廠控制系統(tǒng)采取分層結(jié)構(gòu)設(shè)計(jì)，處于最里面的第四層，是電廠的保護(hù)和控制的主要組成部分，其中PMS和PLS的設(shè)備處于這一層，這些設(shè)備布置在電廠的重要保護(hù)區(qū)域，對(duì)此區(qū)域的人員進(jìn)出實(shí)施嚴(yán)格控制，PMS和PLS之間的數(shù)據(jù)通信采用單向傳輸，數(shù)據(jù)只能從PMS流向PLS，避免非安全系統(tǒng)受到破壞而影響安全系統(tǒng)的正常功能；第三層為電廠支持層，主要包括應(yīng)急運(yùn)行設(shè)施、資產(chǎn)管理、關(guān)鍵通信等系統(tǒng)，與第四層的接口也是采用單向數(shù)據(jù)傳輸，通過Ovation的企業(yè)數(shù)據(jù)服務(wù)器實(shí)現(xiàn)，由此避免第三層數(shù)據(jù)反向流入第四層；第二層主要是辦公局域網(wǎng)等網(wǎng)絡(luò)，可以從第三層獲取數(shù)據(jù)，以支持電廠管理維護(hù)的需求，同樣地采取單向數(shù)據(jù)傳輸措施，第二層不能向第三層寫數(shù)據(jù)，第一層是最外面一層，可直接和英特網(wǎng)進(jìn)行數(shù)據(jù)交換，只需設(shè)置防火墻、安裝殺毒軟件等措施即可。

1.2 詳細(xì)的設(shè)計(jì)實(shí)現(xiàn)

基于Common Q平臺(tái)實(shí)現(xiàn)的保護(hù)系統(tǒng)和基于Ovation平臺(tái)實(shí)現(xiàn)的控制系統(tǒng)處于第四層，這些設(shè)備都布置在電廠重要保護(hù)區(qū)域，在附屬廠房專門設(shè)置四個(gè)房間放置PMS四個(gè)序列機(jī)柜，而Ovation的服務(wù)器及交換機(jī)都放置在附屬廠房?jī)蓚€(gè)隔離的計(jì)算機(jī)房間，此區(qū)域未經(jīng)授權(quán)不許進(jìn)入，數(shù)據(jù)只能從安全級(jí)的保護(hù)系統(tǒng)流向非安全級(jí)的控制系統(tǒng)，單向數(shù)據(jù)傳輸可以避免數(shù)據(jù)倒流從而非安全級(jí)系統(tǒng)影響安全級(jí)系統(tǒng)功能，第四層中設(shè)備端口都經(jīng)過嚴(yán)格定義，不使用的端口使之失效定義為“Disable”，遠(yuǎn)程登錄、無線登錄、郵件系統(tǒng)等功能都禁止使用，這些措施使得第四層設(shè)備受到病毒危害的風(fēng)險(xiǎn)降至最低，它與第三層的接口是通過Ovation的企業(yè)數(shù)據(jù)服務(wù)器（Enterprise Data Server，EDS）實(shí)現(xiàn)。

第三層包括應(yīng)急響應(yīng)設(shè)施、關(guān)鍵通信系統(tǒng)、劑量管理、資產(chǎn)管理、外圍數(shù)據(jù)收集等網(wǎng)絡(luò)，應(yīng)急響應(yīng)設(shè)施包括技術(shù)支持中心、運(yùn)行支持中心、應(yīng)急運(yùn)行設(shè)施等，這些設(shè)備從第四層Ovation的企業(yè)數(shù)據(jù)服務(wù)器（EDS）獲取數(shù)據(jù)，數(shù)據(jù)單向傳輸，應(yīng)急響應(yīng)設(shè)施為電廠應(yīng)急情況時(shí)提供電站參數(shù)信息顯示，幫助應(yīng)急人員了解電站狀況，而通信系統(tǒng)、資產(chǎn)管理等相對(duì)儀控系統(tǒng)比較獨(dú)立，不會(huì)影響儀控系統(tǒng)功能，就不再作介紹，另外第三層與第二層之間的接口需設(shè)置防火墻，且使用De-Militarized Zone （DMZ）提供數(shù)據(jù)緩沖，建立認(rèn)證機(jī)制，避免第二層網(wǎng)絡(luò)非法數(shù)據(jù)進(jìn)入第三層，保證更低一級(jí)的網(wǎng)絡(luò)不影響更高一級(jí)網(wǎng)絡(luò)的運(yùn)行。

第二層為公司辦公局域網(wǎng)，包括模擬機(jī)、電廠電話廣播系統(tǒng)等，由電廠IT部門按照公司管理要求建立病毒預(yù)防措施，第二層與第一層之間需設(shè)置不同于第三層與第二層之間的防火墻。1.3 安全系統(tǒng)向非安全系統(tǒng)傳輸數(shù)據(jù)

安全系統(tǒng)通過維護(hù)測(cè)試面板的PC節(jié)點(diǎn)盒收集Common Q數(shù)據(jù)，然后發(fā)送到Ovation工作站，Ovation工作站將數(shù)據(jù)收集轉(zhuǎn)化為Ovation數(shù)據(jù)格式后廣播到Ovation網(wǎng)絡(luò)，PC節(jié)點(diǎn)盒只設(shè)置數(shù)據(jù)發(fā)送端，無接收端，它們之間通過光電轉(zhuǎn)換實(shí)現(xiàn)電氣隔離，Ovation端的發(fā)送端不連接且配置為“Disable”，由此實(shí)現(xiàn)數(shù)據(jù)的單向傳輸，安全系統(tǒng)端設(shè)備采用1E電源供電，非安全系統(tǒng)設(shè)備采用非1E級(jí)電源供電，非安全級(jí)系統(tǒng)的故障將不會(huì)影響安全系統(tǒng)的正常工作，1.4 通過企業(yè)數(shù)據(jù)服務(wù)器實(shí)現(xiàn)數(shù)據(jù)單向傳輸

儀控系統(tǒng)與外部系統(tǒng)存在物理連接的唯一途徑是通過Ovation系統(tǒng)的企業(yè)數(shù)據(jù)服務(wù)器（EDS），也正是通過EDS服務(wù)器把控制系統(tǒng)數(shù)據(jù)導(dǎo)出供其他外部用戶使用，數(shù)據(jù)傳輸單向，掃描服務(wù)器將數(shù)據(jù)收集后以UDP數(shù)據(jù)包方式發(fā)送給Waterfall發(fā)送端，Waterfall發(fā)送端通過加密協(xié)議將數(shù)據(jù)傳輸給Waterfall接收端，而Waterfall接收端不會(huì)向Waterfall發(fā)送端發(fā)送數(shù)據(jù)，Waterfall發(fā)送端也不會(huì)接收任何Waterfall接收端的數(shù)據(jù)，由此實(shí)現(xiàn)了數(shù)據(jù)單向傳輸。

另外根據(jù)國家電力監(jiān)管委員會(huì)發(fā)布的《電力二次系統(tǒng)安全防護(hù)規(guī)定》（電監(jiān)會(huì)5號(hào)令）的要求：“在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置?！彼越?jīng)過EDS出來的數(shù)據(jù)如果進(jìn)入其他系統(tǒng)，還需再設(shè)置一個(gè)隔離網(wǎng)閘。

1.5 其他病毒預(yù)防措施

1.5.1 設(shè)備布置。結(jié)合電廠的實(shí)物保護(hù)系統(tǒng)，將第四層的重要設(shè)備布置在電廠重要保護(hù)區(qū)域，對(duì)于Ovation平臺(tái)，采取主機(jī)與附屬設(shè)備分離布置的設(shè)計(jì)方法，主機(jī)布置在附屬廠房專門設(shè)置的計(jì)算機(jī)房間，而操作員站僅僅放置鼠標(biāo)鍵盤顯示器等附屬設(shè)備，具體實(shí)現(xiàn)方式如圖6所示，這種設(shè)計(jì)理念的好處是：將帶有USB接口及光驅(qū)的主機(jī)集中統(tǒng)一管理，此區(qū)域嚴(yán)加管控，使用視頻監(jiān)視、機(jī)柜門報(bào)警、無授權(quán)人員不準(zhǔn)進(jìn)入等措施；而操作員站僅僅包含顯示器、鼠標(biāo)、鍵盤等終端設(shè)備，它們通過KVM（Keyboard、Video、Mouse）轉(zhuǎn)換的方式與主機(jī)連接，在人員活動(dòng)相對(duì)較多的操作員站未設(shè)置主機(jī)與交換機(jī)等相關(guān)設(shè)備，減少人員隨意使用U盤，隨意將其他計(jì)算機(jī)接入儀控系統(tǒng)，由此減少遭受病毒傳染的風(fēng)險(xiǎn)，又給管理帶來方便，只需對(duì)兩個(gè)計(jì)算機(jī)房間加強(qiáng)管理就可以達(dá)到目的，然而計(jì)算機(jī)房間人員活動(dòng)較少，容易管理，而操作員站人員相對(duì)較多的地方只布置終端，不會(huì)形成病毒危害風(fēng)險(xiǎn)。

1.5.2 域控制器。設(shè)置了對(duì)整個(gè)Ovation系統(tǒng)進(jìn)行整體控制的域控制器，使用域的概念對(duì)實(shí)時(shí)網(wǎng)絡(luò)中的計(jì)算機(jī)和用戶進(jìn)行統(tǒng)一管理，Ovation所有Drop都必須先在域中注冊(cè)，且對(duì)每個(gè)計(jì)算機(jī)權(quán)限都進(jìn)行嚴(yán)格定義，為不同的角色定義不同的操作權(quán)限，也可以限制用戶的非法行為，是實(shí)現(xiàn)Ovation平臺(tái)安全的重要設(shè)計(jì)方式。

1.5.3 病毒服務(wù)器。AP1000設(shè)置了基于windows系統(tǒng)的病毒服務(wù)器，此服務(wù)器安裝了卡巴斯基殺毒軟件，對(duì)Ovation網(wǎng)絡(luò)上的服務(wù)器及交換機(jī)進(jìn)行實(shí)時(shí)監(jiān)視和保護(hù)，一旦發(fā)現(xiàn)存在危險(xiǎn)將自動(dòng)進(jìn)行隔離和修復(fù)，并提供報(bào)告支持進(jìn)一步的采取措施。

1.5.4 運(yùn)行維護(hù)管理措施。以上措施是從設(shè)計(jì)的技術(shù)角度考慮如何實(shí)現(xiàn)病毒的預(yù)防，這是從源頭本質(zhì)安全的角度考慮如何保護(hù)儀控系統(tǒng)，但是光有技術(shù)措施還不夠，還應(yīng)該從管理角度發(fā)布管理程序和采取一些必要措施，規(guī)范儀控系統(tǒng)的維護(hù)與使用行為，形成一整套有效的管理機(jī)制，牢牢保護(hù)儀控系統(tǒng)安全穩(wěn)定運(yùn)行，就像一個(gè)無形的保護(hù)墻，將一系列不安全的行為拒之門外，由此提出通過管理程序的方式規(guī)范儀控系統(tǒng)的操作行為，管理程序至少包含以下三個(gè)方面的內(nèi)容：

（1）對(duì)工作人員進(jìn)行授權(quán)管理：通過培訓(xùn)授權(quán)的方式進(jìn)行授權(quán)上崗，未經(jīng)授權(quán)人員不得進(jìn)入儀控系統(tǒng)設(shè)備間對(duì)儀控設(shè)備進(jìn)行操作，對(duì)員工進(jìn)行必要安全教育，加強(qiáng)員工安全意識(shí)，預(yù)防為主，灌輸病毒防護(hù)方面的知識(shí)和理念，讓員工理解病毒危害的隱蔽性及病毒預(yù)防的重要性，要求用戶嚴(yán)格按照各自授權(quán)開展工作，在控制系統(tǒng)上進(jìn)行工作時(shí)，需設(shè)置專人監(jiān)護(hù)。

（2）對(duì)人員的行為進(jìn)行管理：禁止在控制系統(tǒng)計(jì)算機(jī)上使用U盤、光盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備，禁止在控制系統(tǒng)計(jì)算機(jī)內(nèi)安裝、運(yùn)行與控制系統(tǒng)無關(guān)的其他軟件，如有需要，必要經(jīng)過嚴(yán)格的審批程序，除需要使用專用電腦進(jìn)行調(diào)試或維護(hù)外，禁止將其他電子設(shè)備接入控制系統(tǒng)網(wǎng)絡(luò)。

（3）控制系統(tǒng)密碼管理：控制系統(tǒng)密碼應(yīng)定期進(jìn)行修改，密碼至少一季度修改一次，密碼至少8位，不能與用戶名相同，且應(yīng)包括數(shù)字、字母及特殊符號(hào)，工作人員離開工程師站應(yīng)登出并鎖定計(jì)算機(jī)。定期對(duì)賬戶、口令、端口和服務(wù)等進(jìn)行檢查，及時(shí)清理不用的賬戶。

2 改進(jìn)建議

盡管Ovation系統(tǒng)不斷升級(jí)完善，已經(jīng)可以滿足運(yùn)行控制電廠的需要，但是由于還未集成維護(hù)管理方面的功能，目前國內(nèi)很多核電廠都采用其他系統(tǒng)加以補(bǔ)充，比如使用項(xiàng)目管理信息系統(tǒng)（SPMS）及電廠信息系統(tǒng)（Plant Information， PI）來補(bǔ)充完善管理方面的需要，三門核電就使用項(xiàng)目管理信息系統(tǒng)來實(shí)現(xiàn)設(shè)備信息管理、工器具管理、工單管理、經(jīng)驗(yàn)反饋及狀態(tài)報(bào)告等，而秦山三期和田灣核電就開發(fā)PI系統(tǒng)來完成運(yùn)行維護(hù)中的某些功能。如果后續(xù)控制系統(tǒng)不斷完善，能集成管理方面的功能，如重大設(shè)備性能分析、狀態(tài)報(bào)告、設(shè)備運(yùn)行臺(tái)賬、運(yùn)行日志、工單系統(tǒng)、備品備件管理等功能模塊，這就使得動(dòng)態(tài)的電站控制與靜態(tài)的信息相關(guān)聯(lián)，形成一個(gè)強(qiáng)大的分布式控制系統(tǒng)（Distributed Control System，DCS），將會(huì)給電站的運(yùn)行維護(hù)管理帶來極大的方面，也是一個(gè)病毒防護(hù)的措施，將不再需要采用外部系統(tǒng)導(dǎo)出控制系統(tǒng)數(shù)據(jù)，從根本上實(shí)現(xiàn)了物理隔離，大大提高計(jì)算機(jī)網(wǎng)絡(luò)安全，減少病毒進(jìn)入帶來的風(fēng)險(xiǎn)，這也給后續(xù)分布式控制系統(tǒng)（DCS）的發(fā)展方向提供一定參考。

3 結(jié)語

由于儀控系統(tǒng)在電站系統(tǒng)中所起的關(guān)鍵作用，就像人的大腦一樣，它控制著整個(gè)電站的正常運(yùn)行，所以保證儀控系統(tǒng)安全穩(wěn)定運(yùn)行對(duì)核電站的安全穩(wěn)定運(yùn)行起至關(guān)重要作用，病毒防護(hù)又是保證儀控系統(tǒng)穩(wěn)定運(yùn)行的一個(gè)非常重要的方面，所以本文主要從設(shè)計(jì)角度分析如何采取措施避免病毒入侵，這是從技術(shù)上杜絕病毒進(jìn)入的方法，這些經(jīng)驗(yàn)可為核電數(shù)字化儀控系統(tǒng)的設(shè)計(jì)提供一定的參考。然而實(shí)際上儀控系統(tǒng)病毒防護(hù)無法只通過技術(shù)實(shí)現(xiàn)，或者說從技術(shù)的角度并不是病毒防護(hù)的所有，所以從管理上提出要求，通過管理程序方式預(yù)防病毒，這是設(shè)計(jì)的補(bǔ)充，從而也形成一整套的儀控系統(tǒng)病毒防護(hù)機(jī)制，為核電站儀控系統(tǒng)的高效可靠運(yùn)行提供保證，這樣的思路也為數(shù)字化儀控系統(tǒng)的安全運(yùn)行維護(hù)管理提供寶貴參考價(jià)值。

參考文獻(xiàn)

[1] 陳才亮.DCS分散控制系統(tǒng)安全分析[J].煤礦現(xiàn)代

化，2006，（6）.

[2] 周生，吳翔.SIS系統(tǒng)的網(wǎng)絡(luò)安全分析及防范措施

[J].安徽電氣工程職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007，（1）.

[3] 顧軍，繆亞民，范福平，等.AP1000核電廠系統(tǒng)與設(shè)備[M].北京：原子能出版社，2010.

[4] 趙靜，蔣方純，王婷.協(xié)議異常檢測(cè)技術(shù)在核電廠實(shí)時(shí)信息系統(tǒng)中的應(yīng)用.

[5] 江國進(jìn)，趙靜，張煥新，孫永濱.基于核電廠實(shí)時(shí)信息系統(tǒng)的入侵檢測(cè)與管理系統(tǒng).

[6] 李爽，李卓佳.核電站實(shí)物保護(hù)系統(tǒng)的設(shè)計(jì)過程與技術(shù)方案要素.

[7] 柴松岳.電力二次系統(tǒng)安全防護(hù)規(guī)定.2004.

作者簡(jiǎn)介：吳洋（1984—），男（彝族），貴州納雍人，中核集團(tuán)三門核電有限公司助理工程師，研究方向：第三代AP1000核電站數(shù)據(jù)顯示與處理系統(tǒng)（DDS）及運(yùn)行和控制中心（OCS）的調(diào)試。

（責(zé)任編輯：周 瓊）

1.5 其他病毒預(yù)防措施

1.5.1 設(shè)備布置。結(jié)合電廠的實(shí)物保護(hù)系統(tǒng)，將第四層的重要設(shè)備布置在電廠重要保護(hù)區(qū)域，對(duì)于Ovation平臺(tái)，采取主機(jī)與附屬設(shè)備分離布置的設(shè)計(jì)方法，主機(jī)布置在附屬廠房專門設(shè)置的計(jì)算機(jī)房間，而操作員站僅僅放置鼠標(biāo)鍵盤顯示器等附屬設(shè)備，具體實(shí)現(xiàn)方式如圖6所示，這種設(shè)計(jì)理念的好處是：將帶有USB接口及光驅(qū)的主機(jī)集中統(tǒng)一管理，此區(qū)域嚴(yán)加管控，使用視頻監(jiān)視、機(jī)柜門報(bào)警、無授權(quán)人員不準(zhǔn)進(jìn)入等措施；而操作員站僅僅包含顯示器、鼠標(biāo)、鍵盤等終端設(shè)備，它們通過KVM（Keyboard、Video、Mouse）轉(zhuǎn)換的方式與主機(jī)連接，在人員活動(dòng)相對(duì)較多的操作員站未設(shè)置主機(jī)與交換機(jī)等相關(guān)設(shè)備，減少人員隨意使用U盤，隨意將其他計(jì)算機(jī)接入儀控系統(tǒng)，由此減少遭受病毒傳染的風(fēng)險(xiǎn)，又給管理帶來方便，只需對(duì)兩個(gè)計(jì)算機(jī)房間加強(qiáng)管理就可以達(dá)到目的，然而計(jì)算機(jī)房間人員活動(dòng)較少，容易管理，而操作員站人員相對(duì)較多的地方只布置終端，不會(huì)形成病毒危害風(fēng)險(xiǎn)。

1.5.2 域控制器。設(shè)置了對(duì)整個(gè)Ovation系統(tǒng)進(jìn)行整體控制的域控制器，使用域的概念對(duì)實(shí)時(shí)網(wǎng)絡(luò)中的計(jì)算機(jī)和用戶進(jìn)行統(tǒng)一管理，Ovation所有Drop都必須先在域中注冊(cè)，且對(duì)每個(gè)計(jì)算機(jī)權(quán)限都進(jìn)行嚴(yán)格定義，為不同的角色定義不同的操作權(quán)限，也可以限制用戶的非法行為，是實(shí)現(xiàn)Ovation平臺(tái)安全的重要設(shè)計(jì)方式。

1.5.3 病毒服務(wù)器。AP1000設(shè)置了基于windows系統(tǒng)的病毒服務(wù)器，此服務(wù)器安裝了卡巴斯基殺毒軟件，對(duì)Ovation網(wǎng)絡(luò)上的服務(wù)器及交換機(jī)進(jìn)行實(shí)時(shí)監(jiān)視和保護(hù)，一旦發(fā)現(xiàn)存在危險(xiǎn)將自動(dòng)進(jìn)行隔離和修復(fù)，并提供報(bào)告支持進(jìn)一步的采取措施。

1.5.4 運(yùn)行維護(hù)管理措施。以上措施是從設(shè)計(jì)的技術(shù)角度考慮如何實(shí)現(xiàn)病毒的預(yù)防，這是從源頭本質(zhì)安全的角度考慮如何保護(hù)儀控系統(tǒng)，但是光有技術(shù)措施還不夠，還應(yīng)該從管理角度發(fā)布管理程序和采取一些必要措施，規(guī)范儀控系統(tǒng)的維護(hù)與使用行為，形成一整套有效的管理機(jī)制，牢牢保護(hù)儀控系統(tǒng)安全穩(wěn)定運(yùn)行，就像一個(gè)無形的保護(hù)墻，將一系列不安全的行為拒之門外，由此提出通過管理程序的方式規(guī)范儀控系統(tǒng)的操作行為，管理程序至少包含以下三個(gè)方面的內(nèi)容：

（1）對(duì)工作人員進(jìn)行授權(quán)管理：通過培訓(xùn)授權(quán)的方式進(jìn)行授權(quán)上崗，未經(jīng)授權(quán)人員不得進(jìn)入儀控系統(tǒng)設(shè)備間對(duì)儀控設(shè)備進(jìn)行操作，對(duì)員工進(jìn)行必要安全教育，加強(qiáng)員工安全意識(shí)，預(yù)防為主，灌輸病毒防護(hù)方面的知識(shí)和理念，讓員工理解病毒危害的隱蔽性及病毒預(yù)防的重要性，要求用戶嚴(yán)格按照各自授權(quán)開展工作，在控制系統(tǒng)上進(jìn)行工作時(shí)，需設(shè)置專人監(jiān)護(hù)。

（2）對(duì)人員的行為進(jìn)行管理：禁止在控制系統(tǒng)計(jì)算機(jī)上使用U盤、光盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備，禁止在控制系統(tǒng)計(jì)算機(jī)內(nèi)安裝、運(yùn)行與控制系統(tǒng)無關(guān)的其他軟件，如有需要，必要經(jīng)過嚴(yán)格的審批程序，除需要使用專用電腦進(jìn)行調(diào)試或維護(hù)外，禁止將其他電子設(shè)備接入控制系統(tǒng)網(wǎng)絡(luò)。

（3）控制系統(tǒng)密碼管理：控制系統(tǒng)密碼應(yīng)定期進(jìn)行修改，密碼至少一季度修改一次，密碼至少8位，不能與用戶名相同，且應(yīng)包括數(shù)字、字母及特殊符號(hào)，工作人員離開工程師站應(yīng)登出并鎖定計(jì)算機(jī)。定期對(duì)賬戶、口令、端口和服務(wù)等進(jìn)行檢查，及時(shí)清理不用的賬戶。

2 改進(jìn)建議

盡管Ovation系統(tǒng)不斷升級(jí)完善，已經(jīng)可以滿足運(yùn)行控制電廠的需要，但是由于還未集成維護(hù)管理方面的功能，目前國內(nèi)很多核電廠都采用其他系統(tǒng)加以補(bǔ)充，比如使用項(xiàng)目管理信息系統(tǒng)（SPMS）及電廠信息系統(tǒng)（Plant Information， PI）來補(bǔ)充完善管理方面的需要，三門核電就使用項(xiàng)目管理信息系統(tǒng)來實(shí)現(xiàn)設(shè)備信息管理、工器具管理、工單管理、經(jīng)驗(yàn)反饋及狀態(tài)報(bào)告等，而秦山三期和田灣核電就開發(fā)PI系統(tǒng)來完成運(yùn)行維護(hù)中的某些功能。如果后續(xù)控制系統(tǒng)不斷完善，能集成管理方面的功能，如重大設(shè)備性能分析、狀態(tài)報(bào)告、設(shè)備運(yùn)行臺(tái)賬、運(yùn)行日志、工單系統(tǒng)、備品備件管理等功能模塊，這就使得動(dòng)態(tài)的電站控制與靜態(tài)的信息相關(guān)聯(lián)，形成一個(gè)強(qiáng)大的分布式控制系統(tǒng)（Distributed Control System，DCS），將會(huì)給電站的運(yùn)行維護(hù)管理帶來極大的方面，也是一個(gè)病毒防護(hù)的措施，將不再需要采用外部系統(tǒng)導(dǎo)出控制系統(tǒng)數(shù)據(jù)，從根本上實(shí)現(xiàn)了物理隔離，大大提高計(jì)算機(jī)網(wǎng)絡(luò)安全，減少病毒進(jìn)入帶來的風(fēng)險(xiǎn)，這也給后續(xù)分布式控制系統(tǒng)（DCS）的發(fā)展方向提供一定參考。

3 結(jié)語

由于儀控系統(tǒng)在電站系統(tǒng)中所起的關(guān)鍵作用，就像人的大腦一樣，它控制著整個(gè)電站的正常運(yùn)行，所以保證儀控系統(tǒng)安全穩(wěn)定運(yùn)行對(duì)核電站的安全穩(wěn)定運(yùn)行起至關(guān)重要作用，病毒防護(hù)又是保證儀控系統(tǒng)穩(wěn)定運(yùn)行的一個(gè)非常重要的方面，所以本文主要從設(shè)計(jì)角度分析如何采取措施避免病毒入侵，這是從技術(shù)上杜絕病毒進(jìn)入的方法，這些經(jīng)驗(yàn)可為核電數(shù)字化儀控系統(tǒng)的設(shè)計(jì)提供一定的參考。然而實(shí)際上儀控系統(tǒng)病毒防護(hù)無法只通過技術(shù)實(shí)現(xiàn)，或者說從技術(shù)的角度并不是病毒防護(hù)的所有，所以從管理上提出要求，通過管理程序方式預(yù)防病毒，這是設(shè)計(jì)的補(bǔ)充，從而也形成一整套的儀控系統(tǒng)病毒防護(hù)機(jī)制，為核電站儀控系統(tǒng)的高效可靠運(yùn)行提供保證，這樣的思路也為數(shù)字化儀控系統(tǒng)的安全運(yùn)行維護(hù)管理提供寶貴參考價(jià)值。

參考文獻(xiàn)

[1] 陳才亮.DCS分散控制系統(tǒng)安全分析[J].煤礦現(xiàn)代

化，2006，（6）.

[2] 周生，吳翔.SIS系統(tǒng)的網(wǎng)絡(luò)安全分析及防范措施

[J].安徽電氣工程職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007，（1）.

[3] 顧軍，繆亞民，范福平，等.AP1000核電廠系統(tǒng)與設(shè)備[M].北京：原子能出版社，2010.

[4] 趙靜，蔣方純，王婷.協(xié)議異常檢測(cè)技術(shù)在核電廠實(shí)時(shí)信息系統(tǒng)中的應(yīng)用.

[5] 江國進(jìn)，趙靜，張煥新，孫永濱.基于核電廠實(shí)時(shí)信息系統(tǒng)的入侵檢測(cè)與管理系統(tǒng).

[6] 李爽，李卓佳.核電站實(shí)物保護(hù)系統(tǒng)的設(shè)計(jì)過程與技術(shù)方案要素.

[7] 柴松岳.電力二次系統(tǒng)安全防護(hù)規(guī)定.2004.

作者簡(jiǎn)介：吳洋（1984—），男（彝族），貴州納雍人，中核集團(tuán)三門核電有限公司助理工程師，研究方向：第三代AP1000核電站數(shù)據(jù)顯示與處理系統(tǒng)（DDS）及運(yùn)行和控制中心（OCS）的調(diào)試。

（責(zé)任編輯：周 瓊）

1.5 其他病毒預(yù)防措施

1.5.1 設(shè)備布置。結(jié)合電廠的實(shí)物保護(hù)系統(tǒng)，將第四層的重要設(shè)備布置在電廠重要保護(hù)區(qū)域，對(duì)于Ovation平臺(tái)，采取主機(jī)與附屬設(shè)備分離布置的設(shè)計(jì)方法，主機(jī)布置在附屬廠房專門設(shè)置的計(jì)算機(jī)房間，而操作員站僅僅放置鼠標(biāo)鍵盤顯示器等附屬設(shè)備，具體實(shí)現(xiàn)方式如圖6所示，這種設(shè)計(jì)理念的好處是：將帶有USB接口及光驅(qū)的主機(jī)集中統(tǒng)一管理，此區(qū)域嚴(yán)加管控，使用視頻監(jiān)視、機(jī)柜門報(bào)警、無授權(quán)人員不準(zhǔn)進(jìn)入等措施；而操作員站僅僅包含顯示器、鼠標(biāo)、鍵盤等終端設(shè)備，它們通過KVM（Keyboard、Video、Mouse）轉(zhuǎn)換的方式與主機(jī)連接，在人員活動(dòng)相對(duì)較多的操作員站未設(shè)置主機(jī)與交換機(jī)等相關(guān)設(shè)備，減少人員隨意使用U盤，隨意將其他計(jì)算機(jī)接入儀控系統(tǒng)，由此減少遭受病毒傳染的風(fēng)險(xiǎn)，又給管理帶來方便，只需對(duì)兩個(gè)計(jì)算機(jī)房間加強(qiáng)管理就可以達(dá)到目的，然而計(jì)算機(jī)房間人員活動(dòng)較少，容易管理，而操作員站人員相對(duì)較多的地方只布置終端，不會(huì)形成病毒危害風(fēng)險(xiǎn)。

1.5.2 域控制器。設(shè)置了對(duì)整個(gè)Ovation系統(tǒng)進(jìn)行整體控制的域控制器，使用域的概念對(duì)實(shí)時(shí)網(wǎng)絡(luò)中的計(jì)算機(jī)和用戶進(jìn)行統(tǒng)一管理，Ovation所有Drop都必須先在域中注冊(cè)，且對(duì)每個(gè)計(jì)算機(jī)權(quán)限都進(jìn)行嚴(yán)格定義，為不同的角色定義不同的操作權(quán)限，也可以限制用戶的非法行為，是實(shí)現(xiàn)Ovation平臺(tái)安全的重要設(shè)計(jì)方式。

1.5.3 病毒服務(wù)器。AP1000設(shè)置了基于windows系統(tǒng)的病毒服務(wù)器，此服務(wù)器安裝了卡巴斯基殺毒軟件，對(duì)Ovation網(wǎng)絡(luò)上的服務(wù)器及交換機(jī)進(jìn)行實(shí)時(shí)監(jiān)視和保護(hù)，一旦發(fā)現(xiàn)存在危險(xiǎn)將自動(dòng)進(jìn)行隔離和修復(fù)，并提供報(bào)告支持進(jìn)一步的采取措施。

1.5.4 運(yùn)行維護(hù)管理措施。以上措施是從設(shè)計(jì)的技術(shù)角度考慮如何實(shí)現(xiàn)病毒的預(yù)防，這是從源頭本質(zhì)安全的角度考慮如何保護(hù)儀控系統(tǒng)，但是光有技術(shù)措施還不夠，還應(yīng)該從管理角度發(fā)布管理程序和采取一些必要措施，規(guī)范儀控系統(tǒng)的維護(hù)與使用行為，形成一整套有效的管理機(jī)制，牢牢保護(hù)儀控系統(tǒng)安全穩(wěn)定運(yùn)行，就像一個(gè)無形的保護(hù)墻，將一系列不安全的行為拒之門外，由此提出通過管理程序的方式規(guī)范儀控系統(tǒng)的操作行為，管理程序至少包含以下三個(gè)方面的內(nèi)容：

（1）對(duì)工作人員進(jìn)行授權(quán)管理：通過培訓(xùn)授權(quán)的方式進(jìn)行授權(quán)上崗，未經(jīng)授權(quán)人員不得進(jìn)入儀控系統(tǒng)設(shè)備間對(duì)儀控設(shè)備進(jìn)行操作，對(duì)員工進(jìn)行必要安全教育，加強(qiáng)員工安全意識(shí)，預(yù)防為主，灌輸病毒防護(hù)方面的知識(shí)和理念，讓員工理解病毒危害的隱蔽性及病毒預(yù)防的重要性，要求用戶嚴(yán)格按照各自授權(quán)開展工作，在控制系統(tǒng)上進(jìn)行工作時(shí)，需設(shè)置專人監(jiān)護(hù)。

（2）對(duì)人員的行為進(jìn)行管理：禁止在控制系統(tǒng)計(jì)算機(jī)上使用U盤、光盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備，禁止在控制系統(tǒng)計(jì)算機(jī)內(nèi)安裝、運(yùn)行與控制系統(tǒng)無關(guān)的其他軟件，如有需要，必要經(jīng)過嚴(yán)格的審批程序，除需要使用專用電腦進(jìn)行調(diào)試或維護(hù)外，禁止將其他電子設(shè)備接入控制系統(tǒng)網(wǎng)絡(luò)。

（3）控制系統(tǒng)密碼管理：控制系統(tǒng)密碼應(yīng)定期進(jìn)行修改，密碼至少一季度修改一次，密碼至少8位，不能與用戶名相同，且應(yīng)包括數(shù)字、字母及特殊符號(hào)，工作人員離開工程師站應(yīng)登出并鎖定計(jì)算機(jī)。定期對(duì)賬戶、口令、端口和服務(wù)等進(jìn)行檢查，及時(shí)清理不用的賬戶。

2 改進(jìn)建議

盡管Ovation系統(tǒng)不斷升級(jí)完善，已經(jīng)可以滿足運(yùn)行控制電廠的需要，但是由于還未集成維護(hù)管理方面的功能，目前國內(nèi)很多核電廠都采用其他系統(tǒng)加以補(bǔ)充，比如使用項(xiàng)目管理信息系統(tǒng)（SPMS）及電廠信息系統(tǒng)（Plant Information， PI）來補(bǔ)充完善管理方面的需要，三門核電就使用項(xiàng)目管理信息系統(tǒng)來實(shí)現(xiàn)設(shè)備信息管理、工器具管理、工單管理、經(jīng)驗(yàn)反饋及狀態(tài)報(bào)告等，而秦山三期和田灣核電就開發(fā)PI系統(tǒng)來完成運(yùn)行維護(hù)中的某些功能。如果后續(xù)控制系統(tǒng)不斷完善，能集成管理方面的功能，如重大設(shè)備性能分析、狀態(tài)報(bào)告、設(shè)備運(yùn)行臺(tái)賬、運(yùn)行日志、工單系統(tǒng)、備品備件管理等功能模塊，這就使得動(dòng)態(tài)的電站控制與靜態(tài)的信息相關(guān)聯(lián)，形成一個(gè)強(qiáng)大的分布式控制系統(tǒng)（Distributed Control System，DCS），將會(huì)給電站的運(yùn)行維護(hù)管理帶來極大的方面，也是一個(gè)病毒防護(hù)的措施，將不再需要采用外部系統(tǒng)導(dǎo)出控制系統(tǒng)數(shù)據(jù)，從根本上實(shí)現(xiàn)了物理隔離，大大提高計(jì)算機(jī)網(wǎng)絡(luò)安全，減少病毒進(jìn)入帶來的風(fēng)險(xiǎn)，這也給后續(xù)分布式控制系統(tǒng)（DCS）的發(fā)展方向提供一定參考。

3 結(jié)語

由于儀控系統(tǒng)在電站系統(tǒng)中所起的關(guān)鍵作用，就像人的大腦一樣，它控制著整個(gè)電站的正常運(yùn)行，所以保證儀控系統(tǒng)安全穩(wěn)定運(yùn)行對(duì)核電站的安全穩(wěn)定運(yùn)行起至關(guān)重要作用，病毒防護(hù)又是保證儀控系統(tǒng)穩(wěn)定運(yùn)行的一個(gè)非常重要的方面，所以本文主要從設(shè)計(jì)角度分析如何采取措施避免病毒入侵，這是從技術(shù)上杜絕病毒進(jìn)入的方法，這些經(jīng)驗(yàn)可為核電數(shù)字化儀控系統(tǒng)的設(shè)計(jì)提供一定的參考。然而實(shí)際上儀控系統(tǒng)病毒防護(hù)無法只通過技術(shù)實(shí)現(xiàn)，或者說從技術(shù)的角度并不是病毒防護(hù)的所有，所以從管理上提出要求，通過管理程序方式預(yù)防病毒，這是設(shè)計(jì)的補(bǔ)充，從而也形成一整套的儀控系統(tǒng)病毒防護(hù)機(jī)制，為核電站儀控系統(tǒng)的高效可靠運(yùn)行提供保證，這樣的思路也為數(shù)字化儀控系統(tǒng)的安全運(yùn)行維護(hù)管理提供寶貴參考價(jià)值。

參考文獻(xiàn)

[1] 陳才亮.DCS分散控制系統(tǒng)安全分析[J].煤礦現(xiàn)代

化，2006，（6）.

[2] 周生，吳翔.SIS系統(tǒng)的網(wǎng)絡(luò)安全分析及防范措施

[J].安徽電氣工程職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007，（1）.

[3] 顧軍，繆亞民，范福平，等.AP1000核電廠系統(tǒng)與設(shè)備[M].北京：原子能出版社，2010.

[4] 趙靜，蔣方純，王婷.協(xié)議異常檢測(cè)技術(shù)在核電廠實(shí)時(shí)信息系統(tǒng)中的應(yīng)用.

[5] 江國進(jìn)，趙靜，張煥新，孫永濱.基于核電廠實(shí)時(shí)信息系統(tǒng)的入侵檢測(cè)與管理系統(tǒng).

[6] 李爽，李卓佳.核電站實(shí)物保護(hù)系統(tǒng)的設(shè)計(jì)過程與技術(shù)方案要素.

[7] 柴松岳.電力二次系統(tǒng)安全防護(hù)規(guī)定.2004.

作者簡(jiǎn)介：吳洋（1984—），男（彝族），貴州納雍人，中核集團(tuán)三門核電有限公司助理工程師，研究方向：第三代AP1000核電站數(shù)據(jù)顯示與處理系統(tǒng)（DDS）及運(yùn)行和控制中心（OCS）的調(diào)試。

（責(zé)任編輯：周 瓊）