喬 峰

（中國核電蘇能核電有限公司 設計管理處，連云港222042）

隨著數(shù)字化儀控技術(shù)的快速發(fā)展，越來越多的電廠控制系統(tǒng)開始采用數(shù)字化DCS。 田灣核電站是全球首家采用數(shù)字化DCS 的核電站， 自運行以來，取得了良好的安全業(yè)績，已經(jīng)成為核電領域各個電站數(shù)字化系統(tǒng)的標桿。

DCS 是集計算機技術(shù)（computer）、控制技術(shù)（control）、通訊技術(shù)（communication）和圖形顯示技術(shù)CRT（cathode ray tube）（簡稱4C 技術(shù)）為一體的綜合信息系統(tǒng)。 出于工作和管理的需要，第三方系統(tǒng)需要獲取DCS 網(wǎng)絡的數(shù)據(jù)；DCS 自身的漏洞，外部網(wǎng)絡層出不窮的安全威脅，電站內(nèi)部對于工業(yè)控制系統(tǒng)網(wǎng)絡管理的缺失，這此都使工業(yè)控制系統(tǒng)暴露在危險且復雜多變的環(huán)境中，DCS 隨時可能面臨來自外部網(wǎng)絡的攻擊，嚴重威脅著系統(tǒng)的安全。 核電站的DCS 網(wǎng)絡安全一旦出現(xiàn)問題，將嚴重影響電站的安全穩(wěn)定運行，所以必須為核電站DCS 制定行之有效的網(wǎng)絡安全防御策略。

1 田灣核電站VVER 機組DCS 網(wǎng)絡安全概況

田灣核電站的一期、二期機組以及7、8 號機組均采用俄羅斯VVER 型壓水堆。 目前，一期工程、二期工程均已投產(chǎn)運行，7、8 號機組處于建設階段。一期工程、二期工程均采用德國CFSS 公司生產(chǎn)的DCS，常規(guī)儀控采用T2000 系列正常運行儀控系統(tǒng)，安全儀控采用TXS 系列安全級儀控系統(tǒng)；7、8 號機組DCS 尚處于招標階段，但也會選擇技術(shù)成熟的DCS來對電站工藝過程進行監(jiān)視。

田灣核電站VVER 機組DCS 自商運以來，能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體、 擁有較為豐富資源的脅源發(fā)起的惡意攻擊、較為嚴重的自然災難，以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后能夠較快恢復絕大部分功能，暫未出現(xiàn)過因網(wǎng)絡安全問題導致嚴重事故的情況。

核電機組控制系統(tǒng)拓撲結(jié)構(gòu)如圖1 所示。 當前國際網(wǎng)絡環(huán)境十分惡略，核電站的工業(yè)控制網(wǎng)絡隨時都可能遭受來自網(wǎng)絡的惡意攻擊，網(wǎng)絡系統(tǒng)存在著各種安全隱患，嚴重阻礙著公司安全生產(chǎn)的發(fā)展。

圖1 核電機組控制系統(tǒng)拓撲結(jié)構(gòu)Fig.1 Topological structure of nuclear power unit control system

2 當前網(wǎng)絡環(huán)境

在DCS 中，廣泛采用通用工業(yè)標準的網(wǎng)絡協(xié)議及網(wǎng)絡設備。2010年6月出現(xiàn)的世界上首個專門針對工業(yè)控制系統(tǒng)編寫的Stuxnet 病毒，同時利用7 個最新漏洞進行攻擊， 其中的5 個漏洞是針對Windows 系統(tǒng)，2 個漏洞針對西門子網(wǎng)絡通信系統(tǒng)SIMATIC。

2.1 核電站網(wǎng)絡安全事件啟示

（1）美國Davis Besse 核電站

2003年1月，蠕蟲病毒入侵了電站工業(yè)控制網(wǎng)絡，期間運行人員無法對工藝工程進行監(jiān)視和控制。事件原因是： 工業(yè)控制網(wǎng)絡未采取有效防御措施，使得電站的非授權(quán)技術(shù)人員非法連接電站網(wǎng)絡，導致蠕蟲病毒感染整個網(wǎng)絡。

（2）美國Browns Ferry 核電站

2006年8月， 該電站的PLC 系統(tǒng)網(wǎng)絡遭遇了“廣播風暴”導致網(wǎng)絡癱瘓，電站不可控，最終電站手動停堆。 事件原因是：不完善的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡安全機制，導致微小的故障觸發(fā)了大的事件。

（3）伊朗布什爾核電站

2010年6月出現(xiàn)世界上首個專門針對工業(yè)控制系統(tǒng)編寫的、 席卷全球工業(yè)界破壞性病毒的Stuxnet 病毒，其目的可能是要攻擊伊朗的布什爾核電站。 事件原因是：由于工控系統(tǒng)存在的安全漏洞，使得該病毒對核電站的安全運行帶來巨大威脅。

以上網(wǎng)絡安全事件給人們帶來啟示：數(shù)字化儀控系統(tǒng)的DCS 網(wǎng)絡，一旦遭受病毒的入侵、網(wǎng)絡安全漏洞的威脅，將對電站安全穩(wěn)定運行帶來巨大的影響， 因此有必要研究DCS 網(wǎng)絡安全防御策略，以保證電站安全[1]。

2.2 DCS 網(wǎng)絡安全事件統(tǒng)計

截至2019年5月， 全球已發(fā)生400 多起針對DCS 的網(wǎng)絡安全事件，DCS 網(wǎng)絡安全面臨越來越大的挑戰(zhàn)，有必要引起各個核電站的重視。 網(wǎng)絡安全事件的統(tǒng)計如圖2 所示。

圖2 網(wǎng)絡安全事件統(tǒng)計Fig.2 Statistics of network security events

3 VVER 機組DCS 網(wǎng)絡安全

2019年5月發(fā)布的GB/T 22239—2019 《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》 對網(wǎng)絡安全定義為：通過采取必要措施，防范對網(wǎng)絡發(fā)起的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力[2]。 可見，網(wǎng)絡安全關(guān)注的重點，就是采取必要措施對網(wǎng)絡安全隱患進行防范。 田灣VVER 機組DCS 采用了CFSS 平臺，在整個DCS 中使用了分層的概念。

3.1 VVER 機組DCS 網(wǎng)絡結(jié)構(gòu)

VVER 機組DCS 分為非安全級平臺T2000 系統(tǒng)和安全級平臺TXS 系統(tǒng)2 個部分。安全級系統(tǒng)用于實現(xiàn)保護和反應堆緊急停堆功能，非安全級平臺主要實現(xiàn)電廠控制、監(jiān)視和報警顯示等功能，非安全級平臺與安全級平臺通過專用網(wǎng)關(guān)相連。 田灣核電站VVER 機組DCS 網(wǎng)絡結(jié)構(gòu)如圖3 所示。

圖3 VVER 機組DCS 網(wǎng)絡結(jié)構(gòu)Fig.3 Network structure for DCS of VVER unit

3.2 VVER 機組DCS 網(wǎng)絡安全隱患及其防御措施

3.2.1 DCS 來自外部的安全隱患

在DCS 網(wǎng)絡安全的安全隱患中，80%的安全隱患來自外部。 DCS 外部安全隱患如圖4 所示。

圖4 DCS 的外部安全隱患Fig.4 External security hidden danger of DCS

外部安全隱患主要包括：①非授權(quán)用戶非法使用移動終端接入DCS 非授權(quán)人員利用非法手段，未經(jīng)允許接入運行中的DCS 網(wǎng)絡，導致系統(tǒng)數(shù)據(jù)丟失或損壞[3]；②病毒感染 使用未經(jīng)殺毒或者未經(jīng)安全加密的USB 設備接入到DCS 網(wǎng)絡， 導致計算機感染病毒；③網(wǎng)絡風暴 DCS 網(wǎng)絡因交換機故障導致網(wǎng)絡風暴，導致DCS 不可控和不可操作；④訪問超出授權(quán)范圍的數(shù)據(jù)、應用程序及功能；⑤非法串行設備連接 非法用戶非法使用串行設備接入DCS 機柜，造成數(shù)據(jù)丟失或者損壞。

3.2.2 針對外部安全隱患的防御措施

1）程序制定 制定工業(yè)控制系統(tǒng)便攜式終端接入管理程序，嚴格限制非授權(quán)移動終端非法接入DCS 網(wǎng)絡；

2）病毒查殺 安裝殺毒軟件對DCS 進行定期掃描，并及時升級病毒庫；

3）網(wǎng)絡互聯(lián)設備管理 對存在漏洞的網(wǎng)絡交換機進行排查，必要時進行升級替代，徹底消除隱患；

4）外部隱患管理 加強外部管理，制定管理制度，嚴格禁止未授權(quán)用戶超范圍訪問數(shù)據(jù)和應用程序；

5）工業(yè)計算機使用與管理 統(tǒng)一管理全廠工業(yè)計算機，制定管理制度，嚴禁筆記本非法接入儀控機柜。

3.2.3 DCS 內(nèi)部的安全隱患

內(nèi)部隱患是發(fā)生在系統(tǒng)內(nèi)部的可能會對DCS安全造成威脅的設備或管理漏洞，雖然比外部隱患影響要小， 但是也會使DCS 網(wǎng)絡安全水平降級，同樣需要管理者的重視。

內(nèi)部安全隱患主要包括：①DCS 管理方面中存在漏洞， 例如未對介質(zhì)實行異地存儲等、DCS 數(shù)據(jù)拷貝防病毒管理等；②網(wǎng)絡邊界未部署惡意代碼檢測工具； ③操作系統(tǒng)未啟用登陸失敗處理功能；④應用系統(tǒng)鑒別信息不符合復雜性要求。

3.2.4 內(nèi)部安全的防御措施

1）制定工業(yè)計算機軟件異地存儲機制，并按照規(guī)定定期移交計算機軟件備份；

2）升版程序《工業(yè)計算機管理程序》，在程序中增加數(shù)據(jù)拷貝管理相關(guān)規(guī)定；

3）通過在網(wǎng)絡設備間執(zhí)行嚴格的巡檢制度、記錄制度，能夠從管理上降低此類問題的風險；

4）通過管理手段嚴格限制網(wǎng)絡介質(zhì)的接入，減少惡意代碼危害，此措施為長期整改措施；

5）啟用操作系統(tǒng)登陸失敗處理功能，限制登錄失敗次數(shù)為5 次；

6）應用系統(tǒng)不具備進行二次開發(fā)添加身份鑒別機制的條件，通過管理手段加強管理。

通過以上內(nèi)、外部安全隱患的分析，有針對性地采取相應的防御措施，可以保證VVER 機組DCS的網(wǎng)絡安全在技術(shù)和管理2 個方面做到萬無一失，從而保證電廠的安全穩(wěn)定運行。

4 最小DCS 的研制

根據(jù)國家網(wǎng)絡安全法對信息系統(tǒng)安全所提出的安全要求，DCS 工業(yè)控制系統(tǒng)的應該加強網(wǎng)絡安全防護能力。 根據(jù)國家能源局發(fā)布的《核電廠網(wǎng)絡安全工作規(guī)劃2018—2021》的要求，核電廠DCS 必須按等保四級的要求進行管理。 對于新建核電廠，能源局將根據(jù)網(wǎng)絡安全法相關(guān)要求， 對DCS 的網(wǎng)絡安全進行嚴格的監(jiān)管， 要求DCS 的設計滿足等級保護四級的基本要求。 因此，開發(fā)出能同時開展針對DCS 的人員培訓、故障診斷、備件測試，工控安全測試等任務的DCS 最小系統(tǒng)，具有十分重要的意義。

4.1 總體技術(shù)要求

根據(jù)DCS 最小系統(tǒng)的功能需求，確定最小系統(tǒng)的邊界，用最少的硬件實現(xiàn)與現(xiàn)場實際DCS 具有相同功能的仿真平臺。 DCS 最小系統(tǒng)應采用與現(xiàn)場實際DCS 相同的開發(fā)環(huán)境和軟件平臺，為電站提供一套可執(zhí)行人員培訓、故障診斷與復現(xiàn)、功能驗證，備件保養(yǎng)與檢測、DCS 故障復現(xiàn)與應急預案演練 （包括網(wǎng)絡安全演習） 等多項任務的小型化多功能平臺。 該平臺以人員培訓和應急演練為主要需求，在系統(tǒng)結(jié)構(gòu)和硬件配置上和現(xiàn)場實際DCS 有所區(qū)別，具有非常強的針對性。

該系統(tǒng)從功能上應滿足以下需求：①涵蓋電站DCS 全部類型模件；②可以靈活裝載不同工藝系統(tǒng)控制邏輯和畫面；③配置有工程師站和操作員站，可開展DCS 組態(tài)編輯、畫面組態(tài)、監(jiān)視等操作；④可以導入操作規(guī)程、報警卡、應急預案等生產(chǎn)活動相關(guān)的腳本；⑤系統(tǒng)具有可擴展性，預留通性接口；⑥能夠?qū)崿F(xiàn)故障診斷功能；⑦可以開展應急預案演練，網(wǎng)絡安全演習等。

4.2 詳細技術(shù)要求

DCS 最小系統(tǒng)的建設應遵循核電站設計建造的總體要求，應滿足電氣設計、物項制造、儀控設計等多項行業(yè)標準。 作為核電站生產(chǎn)技術(shù)人員，更關(guān)心的是DCS 最小系統(tǒng)的組織機構(gòu)、設備特性、功能實現(xiàn)這3 個方面，即將機組的實際DCS 真正地做到“最小化”。

4.2.1 構(gòu)架設計

為更好的實現(xiàn)平臺功能和現(xiàn)場實際系統(tǒng)的復現(xiàn)， 最小系統(tǒng)應使用與現(xiàn)場DCS 類似的構(gòu)架設計。系統(tǒng)采用基于冗余工業(yè)數(shù)據(jù)網(wǎng)絡的分散控制系統(tǒng)，根據(jù)功能可劃分為 Level-1 層和Level-2 層2 個層次：信號的輸入輸出與邏輯運算層、計算服務和監(jiān)視操作層，2 個層次之間通過處理服務器進行連接。處理服務器同時給Level 1/2 層提供相應的數(shù)據(jù)服務，結(jié)構(gòu)如圖5 所示。

Level 1 層總線應符合最新的網(wǎng)絡標準，保證傳輸速率為10 Mb/s（西門子Ethernet 為10 Mb/s）時傳輸距離可以達500 m；Level 2 層（處理服務器、操作員站、工程師站）采用冗余的網(wǎng)絡（虛擬環(huán)）進行通信，具有較高的可靠性，實時性以及安全性。 作為Level 1 和Level 2 起到橋梁作用的處理服務器，為人機界面提供報警、計算、歷史數(shù)據(jù)、實時數(shù)據(jù)等多項服務，在整個系統(tǒng)中具有具足輕重的地位。 系統(tǒng)重要服務器都進行了冗余配置，當出現(xiàn)單一服務器故障后，另一臺服務器可以實現(xiàn)無擾的切換，不發(fā)生通訊中斷或數(shù)據(jù)丟失。

4.2.2 硬件結(jié)構(gòu)及配置

硬件包括控制機柜、操作員站、工程師站，診斷終端、存儲終端、網(wǎng)絡互連設備及隔離網(wǎng)閘等。 最小DCS 平臺結(jié)構(gòu)如圖5 所示。

圖5 最小DCS 平臺結(jié)構(gòu)Fig.5 Platform architecture of minimum DCS

4.2.3 系統(tǒng)軟件組成

系統(tǒng)軟件應包括操作系統(tǒng)、 系統(tǒng)平臺配套軟件。 系統(tǒng)平臺配套軟件分為離線和在線兩大部分，離線軟件主要是系統(tǒng)組態(tài)配置軟件，用于通過組態(tài)編程，將通用的DCS 轉(zhuǎn)換為一個能夠?qū)崿F(xiàn)特定工藝功能的控制系統(tǒng)，例如實現(xiàn)應急預案演練或者網(wǎng)絡安全演習的平臺。

組態(tài)軟件包括：①設備組態(tài)軟件；②數(shù)據(jù)庫組態(tài)軟件；③邏輯運算組態(tài)軟件；④報警組態(tài)軟件；⑤畫面組態(tài)軟件；等。

4.3 平臺應用

通過最小DCS 平臺， 可以對VVER 機組DCS所可能遭受的外部網(wǎng)絡攻擊進行模擬測試，并根據(jù)測試結(jié)果針對性的采取相應的改進措施。 利用該平臺，可以分析電站實時網(wǎng)絡至外部局域網(wǎng)的單向數(shù)據(jù)傳輸時安全性方面的特點。 田灣核電站電力信息系統(tǒng)網(wǎng)絡結(jié)構(gòu)如圖6 所示。

需要注意的是，VVER 機組DCS 由西門子公司設計供貨，由于國外沒有隔離網(wǎng)閘（網(wǎng)絡正向安全隔離裝置）的標準設備，無法達到我國網(wǎng)絡安全法規(guī)定的關(guān)于生產(chǎn)控制大區(qū)與管理控制大區(qū)之間傳輸數(shù)據(jù)的安全要求，DCS 以及儀控系統(tǒng)部署在生產(chǎn)控制大區(qū)，數(shù)據(jù)傳輸必須通過隔離網(wǎng)閘成。

5 新建機組DCS 網(wǎng)絡安全要求

圖6 田灣核電站電力信息系統(tǒng)網(wǎng)絡結(jié)構(gòu)Fig.6 Network structure of power information system for Tianwan nuclear power station

田灣核電站7、8 號機組目前處于建設階段，根據(jù)2017年6月1日起實施的 《中華人民共和國網(wǎng)絡安全法》的要求，電廠DCS 的建設需要按照“三同時制度”開展，即“同時設計、同時施工、同時投產(chǎn)”，在DCS 設計階段、施工階段和發(fā)電階段都應該考慮網(wǎng)絡安全的要求。 因此，技術(shù)設計階段應充分分析國家法規(guī)和標準對信息系統(tǒng)網(wǎng)絡安全的要求，在DCS 招標、采購和設計階段對系統(tǒng)提出技術(shù)和管理方面的要求，保障網(wǎng)絡安全的硬件、軟件和管理措施隨著DCS 主體工程的投產(chǎn)同時投入運行。

6 結(jié)語

隨著數(shù)字化DCS 的快速發(fā)展，電廠的開放程度也越來越大，也導致了面對的網(wǎng)絡安全威脅也越來越嚴重。 尤其是近些年發(fā)生在信息系統(tǒng)中，尤其是核電站控制系統(tǒng)中的網(wǎng)絡安全事件，更為人們敲響了警鐘。 所以，VVER 機組DCS 網(wǎng)絡安全防護策略應從管理和技術(shù)兩方面入手，做到管理隱患從容應對，技術(shù)缺陷處理及時有效。 同時，也要努力實現(xiàn)DCS 網(wǎng)絡與第三方系統(tǒng)的網(wǎng)絡傳輸實現(xiàn)單向傳輸，使得管理信息大區(qū)的任何操作或威脅不會影響生產(chǎn)控制大區(qū)DCS 的正常運行。

與此同時， 應該更注重加強管理方面的要求。從內(nèi)到外不斷強調(diào)DCS 網(wǎng)絡安全的重要性，嚴格制定DCS 的網(wǎng)絡安全管理制度，培養(yǎng)電廠技術(shù)人員與管理人員具備良好的工作習慣和網(wǎng)絡安全意識，從而杜絕由于人因?qū)е碌腄CS 網(wǎng)絡安全事件。 同時，應該建立核電廠DCS 網(wǎng)絡安全標準體系，并在整個核能行業(yè)宣揚重視網(wǎng)絡安全，保證整個行業(yè)具有高度安全的網(wǎng)絡環(huán)境。