“華龍一號”數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全設(shè)計

張 冬，張志良，王少華

（中國核電工程有限公司，北京 100840）

核電廠的安全性一直是公眾關(guān)注重點，隨著數(shù)字化儀控系統(tǒng)DCS的普及應(yīng)用，網(wǎng)絡(luò)安全已經(jīng)成為核電廠整體安全性能的重要組成部分。福清核電5、6號機組DCS系統(tǒng)由安全級平臺 TXS系統(tǒng)和非安全級平臺 SPPA-T2000系統(tǒng)組成，在項目初設(shè)階段，通過網(wǎng)絡(luò)安全大綱明確網(wǎng)絡(luò)安全的總體要求，規(guī)定了運營方、設(shè)計院、供貨商以及安裝單位的組織關(guān)系和主體責(zé)任，分析了DCS系統(tǒng)結(jié)構(gòu)和全生命周期的網(wǎng)絡(luò)安全風(fēng)險和防護策略；在項目實施階段，按照 RG 5.71網(wǎng)絡(luò)安全監(jiān)管要求，對DCS系統(tǒng)網(wǎng)絡(luò)安全實施情況進行了符合性分析；在項目測試和驗收階段，對DCS系統(tǒng)的網(wǎng)絡(luò)安全特性進行了測試；針對項目運維階段，提出了網(wǎng)絡(luò)安全改造的建議。本項目網(wǎng)絡(luò)安全設(shè)計符合RG 5.71的監(jiān)管要求，實施方案通過了核安全局的安全評審。

本項目首次通過網(wǎng)絡(luò)安全大綱提出DCS系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計要求，指導(dǎo)DCS系統(tǒng)全生命周期的網(wǎng)絡(luò)安全活動。本文根據(jù)福清核電5、6號機組網(wǎng)絡(luò)安全的工程實踐，首先分析了DCS系統(tǒng)的通信設(shè)備、通信協(xié)議和網(wǎng)絡(luò)結(jié)構(gòu)，梳理了網(wǎng)絡(luò)接口和通信模式；然后結(jié)合RG 5.71安全控制要求對網(wǎng)絡(luò)安全防護措施進行總結(jié)；最后，分析了福清核電5、6號機組網(wǎng)絡(luò)安全設(shè)計的不足，并給出了后續(xù)改進的建議。

1 DCS系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)分析[2]

福清核電5、6號機組DCS系統(tǒng)結(jié)構(gòu)如圖1所示，根據(jù) DCS系統(tǒng)實現(xiàn)的功能不同，可將DCS系統(tǒng)分為4層結(jié)構(gòu)：

（1）0層 工藝系統(tǒng)接口層；

（2）1層 自動控制和保護層；

（3）2層 監(jiān)控和操作層；

（4）3層 全廠信息管理系統(tǒng)層。

根據(jù)圖1所示，對DCS系統(tǒng)的各層之間以及層內(nèi)接口進行梳理，對接口邊界的通信模式進行描述，分析其網(wǎng)絡(luò)安全的潛在風(fēng)險。

1.1 安全級系統(tǒng)與非安全級系統(tǒng)接口

TXS系統(tǒng)和SPPA-T2000系統(tǒng)設(shè)置了網(wǎng)絡(luò)通信。網(wǎng)絡(luò)通信接口如圖2所示。TXS系統(tǒng)的網(wǎng)關(guān)設(shè)備SEPC基于LINUX操作系統(tǒng)，安裝在機柜內(nèi)部，與 SPPA-T2000系統(tǒng)的 CM104通信模塊通過 Modbus TCP/IP協(xié)議進行信號傳輸。通過TXS側(cè)網(wǎng)關(guān)SEPC和SPPA-T2000側(cè)CM104模塊進行協(xié)議轉(zhuǎn)換傳輸，實現(xiàn)了信號傳輸?shù)耐ㄐ鸥綦x。而且TXS系統(tǒng)與SPPA-T2000系統(tǒng)之間信號傳輸為單向通信，防止了SPPA-T2000系統(tǒng)的網(wǎng)絡(luò)風(fēng)險向 TXS系統(tǒng)蔓延，影響TXS系統(tǒng)的正常功能。圖2中虛線表示工程師站對TXS系統(tǒng)的診斷、維護和參數(shù)整定等功能，實線表示TXS系統(tǒng)業(yè)務(wù)數(shù)據(jù)的信號流傳輸。

圖2 安全級系統(tǒng)與非安全級系統(tǒng)的接口圖Fig.2 Interface between security and non-security level systems

另外，TXS系統(tǒng)的優(yōu)選控制模塊與SPPA-T2000系統(tǒng)之間接口為Profibus-DP網(wǎng)絡(luò)接口，網(wǎng)絡(luò)傳輸為雙向傳輸，但采取了如下網(wǎng)絡(luò)安全防范措施防止網(wǎng)絡(luò)威脅蔓延：

（1）優(yōu)選控制模塊基于 PLD（可編程邏輯設(shè)備）技術(shù)，與SPPA-T2000系統(tǒng)的微處理器技術(shù)不同，通過設(shè)備多樣性防止風(fēng)險蔓延；

（2）基于PLD技術(shù)的優(yōu)選控制模塊所有參數(shù)都是通過配置硬接線開關(guān)量“0”或“1”信號執(zhí)行，沒有配置多余的軟件設(shè)備；

（3）微處理器和PLD程序的固件只能通過背板特定的連接器才能加載，而且需要將模塊從機柜的機架取下才能接觸到。機柜正常是關(guān)閉的，且狀態(tài)被實時監(jiān)測；

（4）微處理器和PLD程序的固件已經(jīng)過各項軟硬件鑒定，且在生命周期中都會校驗確保安全。如果必要，可以從設(shè)備中讀取出來確認(rèn)其完整性；

（5）優(yōu)選控制模塊設(shè)計了內(nèi)部閉鎖功能，禁止軟件參數(shù)通過 Profibus-DP進行軟件修改。

1.2 1層與2層接口

TXS系統(tǒng)送2層PICS（非安全級）顯示的信號通過SPPA-T2000系統(tǒng)傳輸，通信方式參考3.2節(jié)的介紹。TXS系統(tǒng)與2層SCIS（安全級）接口為PI（Panel Interface）接口。TXS系統(tǒng)與 2層 SCIS（BUP和 QDS）接口信號通過PI（Panel Interface）模塊轉(zhuǎn)換后傳輸。其中，TXS系統(tǒng)與 BUP的接口信號由硬接線進行傳輸；TXS系統(tǒng)與 QDS接口為網(wǎng)絡(luò)信號，PI模塊接收 L2網(wǎng)絡(luò)（Profibus）的保護系統(tǒng)信號，進行協(xié)議解析后，再通過 H1網(wǎng)絡(luò)（TXS Ethernet）將信號傳輸?shù)絈DS，實現(xiàn)網(wǎng)絡(luò)信號的通信隔離。

SPPA-T2000系統(tǒng)通過工業(yè)以太網(wǎng)總線plant bus與2層（OM690）、工程師站（ES680）和診斷系統(tǒng)（DS670）進行通信。

2層設(shè)備之間通過工業(yè)以太網(wǎng)總線terminal bus進行通信。

1.3 第三方儀控系統(tǒng)與DCS系統(tǒng)接口

第三方儀控系統(tǒng)與 SPPA-T2000通過CM104通信模塊進行通信，實現(xiàn)通信隔離；有特殊需求的信號通過硬接線傳輸。

1.4 2層與3層接口

DCS系統(tǒng)的2層通過XU（External Unit）模塊與 3層系統(tǒng)進行通信，再通過防火墻與 3層系統(tǒng)進行連接，確保2層到3層的單向隔離傳輸。

2 網(wǎng)絡(luò)安全防護措施

福清核電 5、6號機組 DCS系統(tǒng)依據(jù) RG 5.71的網(wǎng)絡(luò)安全要求，從技術(shù)和管理兩個方面進行防護。技術(shù)措施主要包括訪問控制、審計功能、通信保護、身份識別和認(rèn)證以及系統(tǒng)加固五個方面；管理措施主要包括物理環(huán)境安全、存儲介質(zhì)管理、人員安全、安全意識和培訓(xùn)、事件響應(yīng)以及配置管理六個方面[3]。

2.1 技術(shù)防護措施

2.1.1訪問控制

訪問控制包括實體訪問和邏輯訪問。DCS設(shè)備按照功能的不同布置在核島電氣廠房和安全廠房的不同房間，通過嚴(yán)格的安保措施滿足實體訪問要求。邏輯訪問的人機接口主要是位于計算機房的工程師站。工程師站通過專有網(wǎng)絡(luò)與 DCS系統(tǒng)進行通信，用于對DCS系統(tǒng)進行診斷，參數(shù)整定，應(yīng)用軟件升級，操作模式切換和定期試驗支持等功能。具體措施如下：

（1）TXS和SPPA-T2000的機柜布置在電氣廠房和安全廠房，工程師站布置在計算機房，配有專人保管的房間門禁和柜門鑰匙。同時TXS和SPPA-T2000系統(tǒng)的主機和應(yīng)用程序都設(shè)有賬戶和口令，只有管理權(quán)限的人員才能創(chuàng)建和管理這些賬戶。

（2）電廠正常運行期間，TXS系統(tǒng)工程師站僅用于對系統(tǒng)運行狀態(tài)進行監(jiān)視，不能對參數(shù)進行整定和修改。

（3）工程師站設(shè)有密碼保護功能，口令長度不小于8位，復(fù)雜度包含大小寫字母、數(shù)字和符號的組合。只有被授權(quán)的維修人員才能進行操作，每個用戶的密碼不同。

（4）不同角色的用戶對系統(tǒng)的訪問權(quán)限不同，只有擁有合法的權(quán)限級別才能進行相應(yīng)操作，否則軟件將產(chǎn)生錯誤信息，并拒絕指令。

（5）DCS系統(tǒng)禁用未使用的存儲介質(zhì)接口和網(wǎng)絡(luò)端口。

（6）正常運行期間，只有主控制室和遠程停堆站的操縱員終端具有操作控制權(quán)限，布置在技術(shù)支持中心、計算機房等的終端只有信息監(jiān)視的權(quán)限。

2.1.2審計功能

審計功能可以對系統(tǒng)的信息進行跟蹤，發(fā)現(xiàn)異常事件的時間和內(nèi)容，分析產(chǎn)生的原因。DCS系統(tǒng)具備的審計措施有：

（1）所有的登錄嘗試都被日志文檔記錄，且有時間標(biāo)識，可以通過相關(guān)工具進行追蹤審計，具有抗抵賴性。

（2）應(yīng)用軟件和工藝參數(shù)的修改均被日志記錄，可以被追蹤和識別。

（3）TXS系統(tǒng)配置了檢查加載文件和軟件配置的工具，可以顯示文件和軟件的版本信息。

（4）DCS系統(tǒng)的工程師站具備自診斷功能，可以檢測到系統(tǒng)運行的異常狀態(tài)，對異常工況發(fā)出儀控報警。

（5）TXS系統(tǒng)設(shè)計了完善的定期試驗方案，對自診斷不能覆蓋的功能進行試驗，確保反應(yīng)堆保護系統(tǒng)的功能可以全部被確認(rèn)。

（6）TXS系統(tǒng)配置專門軟件可以對數(shù)據(jù)進行備份和恢復(fù)。

（7）SPPA-T2000的服務(wù)器具有備份和存儲功能，可以對數(shù)據(jù)進行備份和恢復(fù)。

2.1.3通信保護

DCS系統(tǒng)的網(wǎng)絡(luò)通信接口包含以下幾種：TXS系統(tǒng)與SPPA-T2000系統(tǒng)的接口，優(yōu)選控制模塊與SPPA-T2000系統(tǒng)的接口，TXS系統(tǒng)與 PI模塊的接口以及 SPPA-T2000與第三方控制系統(tǒng)的接口。DCS系統(tǒng)的通信保護措施如下：

（1）TXS系統(tǒng)網(wǎng)絡(luò)均采用專有通信協(xié)議，不對外開放，外界對系統(tǒng)漏洞了解少，不易進行有針對性攻擊。

（2）工程師站與TXS處理器之間通過專用的網(wǎng)絡(luò)連接，按照預(yù)設(shè)的網(wǎng)絡(luò)路徑進行信號傳輸，非授權(quán)的外部計算機不能對TXS處理器進行修改。

（3）SPPA-T2000與第三方控制系統(tǒng)之間通過CM104網(wǎng)關(guān)進行通信隔離。

（4）DCS系統(tǒng)未配置無線和遠程操作的接口。

（5）TXS與SPPA-T2000之間的數(shù)據(jù)傳輸為單向通信。

2.1.4身份識別和認(rèn)證

DCS系統(tǒng)采取的身份識別和認(rèn)證措施有：

（1）通過工程師站對TXS系統(tǒng)進行參數(shù)整定時，需要雙因子身份認(rèn)證：賬戶口令和硬鑰匙開關(guān)。

（2）通過工程師站對 SPPA-T2000系統(tǒng)進行參數(shù)整定和組態(tài)修改時，需要進行身份認(rèn)證。

（3）操作系統(tǒng)的身份認(rèn)證口令長度應(yīng)不少于8位，復(fù)雜度包含大小寫字母、數(shù)字和符號的組合。

（4）TXS處理器與工程師站之間通過專用的網(wǎng)絡(luò)連接，按照預(yù)設(shè)的網(wǎng)絡(luò)路徑進行信號傳輸，非授權(quán)的外部計算機不能對TXS處理器進行修改。

2.1.5系統(tǒng)加固

DCS系統(tǒng)采取的系統(tǒng)加固措施有：

（1）DCS系統(tǒng)開發(fā)單位內(nèi)部網(wǎng)絡(luò)裝有防火墻，并且在系統(tǒng)和軟件集成階段每臺計算機都安裝有殺毒軟件，確保系統(tǒng)的開發(fā)環(huán)境和應(yīng)用軟件安全。

（2）DCS系統(tǒng)經(jīng)過嚴(yán)格的 V&V測試，確保系統(tǒng)設(shè)計與設(shè)計輸入一致。

（3）TXS系統(tǒng)禁用或刪除多余的服務(wù)和程序。

（4）DCS系統(tǒng)的自動邏輯功能通過平臺自診斷功能進行校驗，可以及時發(fā)現(xiàn)入侵行為。

（5）DCS系統(tǒng)在軟件下裝之前要求進行病毒查殺，確保系統(tǒng)安全。

（6）TXS系統(tǒng)的軟件修改需要獲得工程師站登錄權(quán)限，且通過就地硬鑰匙開關(guān)釋放后才能進行。

2.2 管理防護措施

管理措施主要是運行和維修人員在工作中采取的網(wǎng)絡(luò)安全防護措施，可以概括為以下幾個方面[8]：

（1）物理環(huán)境安全：電站內(nèi)部人員進出廠區(qū)需要進行身份驗證，非電站人員進出廠區(qū)需要身份登記。在環(huán)境保護方面，電氣和安全廠房設(shè)置有通風(fēng)系統(tǒng)，對環(huán)境溫度和濕度進行調(diào)節(jié)；DCS設(shè)備經(jīng)過嚴(yán)格的抗震和電磁兼容等試驗，確保功能可以抵御預(yù)期的環(huán)境變化風(fēng)險。

（2）存儲介質(zhì)管理：對于存儲介質(zhì)進行臺賬登記管理，只有登記的存儲介質(zhì)才能使用，介質(zhì)報廢后統(tǒng)一銷毀。

（3）人員安全：對核電廠人員的范圍，權(quán)限和活動進行規(guī)范。對不同角色的工作人員進行不同程度的權(quán)限授權(quán)，根據(jù)工作任務(wù)設(shè)定進入廠區(qū)范圍和可訪問設(shè)備的權(quán)限。當(dāng)人員終止或工作移交他人后，終止所有設(shè)備和系統(tǒng)訪問，通知相關(guān)人員進行狀態(tài)終止或變更。

（4）安全意識和培訓(xùn)：定期對電廠人員進行安全培訓(xùn)，掌握網(wǎng)絡(luò)安全基本知識，提高網(wǎng)絡(luò)安全的防護意識，熟悉應(yīng)急預(yù)案的操作流程。

（5）事件響應(yīng)：建立網(wǎng)絡(luò)安全應(yīng)急工作機制，明確應(yīng)急指揮體系、工作流程及網(wǎng)絡(luò)安全應(yīng)急工作組織和人員等信息，規(guī)定應(yīng)急預(yù)案的演練周期，確保在應(yīng)急期間可以采取穩(wěn)妥有序的措施，同時避免引發(fā)新的事故。

（6）配置管理：通過配置管理程序?qū)υO(shè)備的改造和實施活動進行管控。配置變化前需要進行充分地分析和論證，記錄詳細(xì)的施工過程和維護人員信息。

3 DCS系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險及優(yōu)化措施

通過分析，福清核電5、6號機組系統(tǒng)的各個功能層及邊界接口之間分別采取了相應(yīng)的措施實現(xiàn)了物理或邏輯隔離，不同網(wǎng)絡(luò)結(jié)構(gòu)采用專有的通信協(xié)議，可以一定程度上阻止?jié)撛诘木W(wǎng)絡(luò)安全風(fēng)險，符合縱深防御的設(shè)計要求。但是在技術(shù)角度，福清核電 5、6號機組的DCS系統(tǒng)在邊界隔離、主機防護、移動介質(zhì)管理等方面尚有改進余地，存在一定的網(wǎng)絡(luò)安全風(fēng)險。

3.1 第三方系統(tǒng)風(fēng)險

非安全級DCS系統(tǒng)與多個第三方儀控系統(tǒng)通過網(wǎng)關(guān)通信連接，如廠區(qū)輻射和氣象監(jiān)測系統(tǒng)、火災(zāi)探測報警系統(tǒng)、汽輪機控制保護系統(tǒng)、汽輪機監(jiān)視系統(tǒng)等。這些獨立的第三方儀控系統(tǒng)劃分在生產(chǎn)控制大區(qū)，與DCS系統(tǒng)保持一致。目前現(xiàn)有核電站包括福清核電 5、6號機組，這種與第三方儀控系統(tǒng)的通信連接，沒有采取有效的網(wǎng)絡(luò)隔離措施，一旦某個第三方儀控系統(tǒng)受到網(wǎng)絡(luò)攻擊，很容易蔓延到非安全級 DCS系統(tǒng)。

3.2 移動介質(zhì)風(fēng)險

福清核電5、6號機組DCS系統(tǒng)主機包括SPPA-T2000系統(tǒng)的工程師站、各類服務(wù)器、操作員站以及TXS系統(tǒng)工程師站，只有工程師站保留了USB口等介質(zhì)接入接口，其他計算機的外接接口均封閉。同時核電廠有嚴(yán)格的移動介質(zhì)管理制度，禁止隨意私自插接移動存儲介質(zhì)。只有DCS系統(tǒng)維護人員才有權(quán)限在工程師站使用移動存儲介質(zhì)，安全級DCS系統(tǒng)的工程師站不是實時在線，只有系統(tǒng)離線時才能連接工程師站。正常情況，通過嚴(yán)格的管理措施，不可能發(fā)生攜帶針對核電廠DCS系統(tǒng)木馬病毒的移動介質(zhì)接入 DCS系統(tǒng)的情況，但不能排除心懷惡意的員工故意為之。同時，物理接近的破壞以及行政管理的缺失也是重要風(fēng)險，但是核電廠設(shè)置了極為嚴(yán)格的物理防護、行政管理以及網(wǎng)絡(luò)安全應(yīng)急準(zhǔn)備等應(yīng)對措施。

3.3 DCS系統(tǒng)網(wǎng)絡(luò)安全持續(xù)優(yōu)化

福清核電5、6號機組后續(xù)的“華龍一號”項目在設(shè)計階段已考慮 DCS全生命周期內(nèi)的信息安全問題，同時技術(shù)上從邊界防護、訪問控制、賬戶管理、主機防護、入侵防御以及審計日志等方面進行加強，同時考慮不同安全等級的系統(tǒng)滿足不同的設(shè)計要求。管理上加強在DCS系統(tǒng)開發(fā)、測試、安裝、調(diào)試及運營等不同階段采取不同的網(wǎng)絡(luò)安全管理措施[4]。

3.3.1技術(shù)優(yōu)化[5,6]

在DCS系統(tǒng)邊界及系統(tǒng)內(nèi)部邊界部署防護設(shè)備確保系統(tǒng)間的網(wǎng)絡(luò)獨立性，隔離網(wǎng)絡(luò)風(fēng)險。規(guī)范通信接口協(xié)議，按照通信協(xié)議特點和網(wǎng)絡(luò)安全等級規(guī)定不同類型系統(tǒng)的邊界防護措施和防護深度。

通過制定人員的訪問控制、設(shè)備的訪問控制及應(yīng)用進程訪問控制規(guī)則，通過限制非法人員、設(shè)備和應(yīng)用進程對DCS系統(tǒng)進行非法訪問。

在DCS系統(tǒng)關(guān)鍵節(jié)點配置監(jiān)測DCS系統(tǒng)網(wǎng)絡(luò)入侵行為和系統(tǒng)審計的設(shè)備，包括入侵監(jiān)測設(shè)備，工業(yè)防火墻、主機防護軟件、入侵監(jiān)測系統(tǒng)和安全集控中心等。規(guī)范安全審計系統(tǒng)接入方式、審計內(nèi)容及審計深度，審計日志的保存和備份措施滿足相關(guān)標(biāo)準(zhǔn)要求。所有網(wǎng)絡(luò)安全技術(shù)措施需經(jīng)過充分的安全評估和兼容性測試。

3.3.2管理優(yōu)化

在福清核電5、6號機組安全管理措施的基礎(chǔ)上，進行查缺補漏，加強相關(guān)措施的執(zhí)行力度。包括加強系統(tǒng)設(shè)計、集成、測試場所應(yīng)實施嚴(yán)格的進出控制管理，DCS系統(tǒng)軟件實體的訪問控制管理，企業(yè)員工（包括員工、合作企業(yè)、第三方協(xié)議者以及臨時員工）的安全防范管理以及工程實施階段的DCS系統(tǒng)進行遠程訪問管理等。

4 結(jié)論

福清核電5、6號機組的DCS系統(tǒng)網(wǎng)絡(luò)安全設(shè)計屬于探索中前進，總體上符合RG 5.71的防護要求。本文對福清核電5、6號機組的DCS系統(tǒng)網(wǎng)絡(luò)安全結(jié)構(gòu)進行了闡述，同時從技術(shù)防護和管理兩方面所采用的措施進行了歸納總結(jié)，并對DCS系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險和持續(xù)優(yōu)化進行了總結(jié)，這些技術(shù)和管理措施以及經(jīng)驗總結(jié)，對后續(xù)項目具有很高的參考和借鑒價值。