核電廠儀控系統(tǒng)安全和網(wǎng)絡(luò)安全協(xié)調(diào)要求

鄭進(jìn)富 黃家城

中圖分類號(hào)：TM632 文獻(xiàn)標(biāo)識(shí)：A 文章編號(hào)：1674- 1145（2020）03- 120- 01

摘 要 為應(yīng)對(duì)日漸嚴(yán)峻的網(wǎng)絡(luò)安全威脅，核電儀控系統(tǒng)需要加強(qiáng)網(wǎng)絡(luò)安全防范措施但是在考慮網(wǎng)絡(luò)安全的同時(shí)，必須解決網(wǎng)絡(luò)安全和功能安全如何協(xié)調(diào)的問(wèn)題本文提出了核電廠儀控系統(tǒng)安全和網(wǎng)絡(luò)安全協(xié)調(diào)要求，在不降低系統(tǒng)安全性的前提下，引入信息安全特性，為核電廠安全穩(wěn)定運(yùn)行提供保障。

關(guān)鍵詞 核電廠 儀控系統(tǒng)安全 網(wǎng)絡(luò)安全 協(xié)調(diào)要求

隨著社會(huì)的不斷發(fā)展，工業(yè)技術(shù)取得了很大的進(jìn)步，尤其是信息化技術(shù)的發(fā)展，極大的促進(jìn)了工業(yè)系統(tǒng)的進(jìn)步，越來(lái)越多的工業(yè)控制系統(tǒng)采用通用的通信協(xié)議和軟硬件系統(tǒng)，并以合適的接入方式與網(wǎng)絡(luò)連接，改善了原有系統(tǒng)的封閉性與專用型，但是同時(shí)也為系統(tǒng)帶來(lái)了安全威脅，容易形成木馬入侵、病毒感染等安全威脅。因而，工控領(lǐng)域的信息安全問(wèn)題日益嚴(yán)重，在核電廠中，儀控系統(tǒng)的安全問(wèn)題是其運(yùn)轉(zhuǎn)中關(guān)注的核心。因而，如何協(xié)調(diào)好儀控系統(tǒng)安全與網(wǎng)絡(luò)安全，是重要內(nèi)容[1]。

一、核電廠儀控系統(tǒng)的總體構(gòu)架要求

（一）各個(gè)儀控系統(tǒng)分配到不同的縱深防御層級(jí)中，以便在一個(gè)層級(jí)中的儀控系統(tǒng)發(fā)生故障時(shí)，其他層級(jí)的儀控系統(tǒng)對(duì)其功能進(jìn)行補(bǔ)償或糾正以避免產(chǎn)生有害后果。

（二）保持縱深防御層級(jí)間和安全等級(jí)間的獨(dú)立性，以便對(duì)一個(gè)縱深防御層級(jí)的儀控系統(tǒng)產(chǎn)生不利影響的事件，不應(yīng)對(duì)其他層級(jí)執(zhí)行安全重要功能的儀控系統(tǒng)產(chǎn)生影響。

（三）對(duì)一個(gè)儀控系統(tǒng)產(chǎn)生不利影響的事件，不應(yīng)對(duì)其他執(zhí)行安全重要功能的儀控系統(tǒng)產(chǎn)生影響。

（四）根據(jù)核安全等級(jí)要求，進(jìn)行儀控功能分類和儀控系統(tǒng)分級(jí)。

（五）根據(jù)信息安全要求，把儀控功能和儀控系統(tǒng)放入對(duì)應(yīng)的信息安全區(qū)中。嚴(yán)格控制儀控系統(tǒng)的復(fù)雜性，消除不必要的復(fù)雜性[2]。

（六）儀控設(shè)備應(yīng)處于適當(dāng)位置和提供合理保護(hù)以便抵御不良環(huán)境因素的影響。

二、核電廠儀控系統(tǒng)安全和網(wǎng)絡(luò)安全協(xié)調(diào)要求

（一）網(wǎng)絡(luò)安全區(qū)域劃分的要求

為了提高系統(tǒng)安全，將對(duì)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分，將儀控系統(tǒng)中的基于計(jì)算機(jī)的和基于數(shù)字邏輯的系統(tǒng)劃分為若干安全區(qū)域，并且將對(duì)安全設(shè)備的功能等級(jí)有著同等重要性的劃分為一組，方便管理并采取安全保護(hù)措施。安全區(qū)域的定義標(biāo)準(zhǔn)包括組織問(wèn)題、本地化、架構(gòu)或技術(shù)方面，主要?jiǎng)澐衷瓌t如下：

首先，在安全區(qū)域的劃分中，應(yīng)該考慮相關(guān)設(shè)備的獨(dú)立性與物理獨(dú)立性；

其次，安全區(qū)域的劃分應(yīng)該考慮數(shù)據(jù)通信、地理/物理隔離以及獨(dú)立性等方面；

再次，從網(wǎng)絡(luò)安全的角度，如果可以有效過(guò)濾和監(jiān)測(cè)分隔之間的通信，則各個(gè)子列可以互相獨(dú)立，反之則各個(gè)子列應(yīng)該被劃分到同一個(gè)安全區(qū)域。

（二）共因故障處理要求

在一些特殊的情況下，共因故障處理能夠加強(qiáng)網(wǎng)絡(luò)安全。在共因故障的處理中，相關(guān)負(fù)責(zé)人要根據(jù)特定的場(chǎng)景，對(duì)可能出現(xiàn)的惡意攻擊和威脅進(jìn)行評(píng)估。在網(wǎng)絡(luò)安全的防范中，使用多樣性手段，對(duì)相關(guān)利弊進(jìn)行串聯(lián)分析，提高安全防范效果，但是這種方式相對(duì)較復(fù)雜；以并聯(lián)方式則可能增加系統(tǒng)接入路徑和漏洞對(duì)于集成到系統(tǒng)中的網(wǎng)絡(luò)安全防范措施，對(duì)多樣化系統(tǒng)中出現(xiàn)共因故障的風(fēng)險(xiǎn)，并做好預(yù)防措施，既要求能保證網(wǎng)絡(luò)安全，還應(yīng)該降低共因故障的發(fā)生率。

（三）隔離要求

隔離設(shè)計(jì)在某些情況下也可用于網(wǎng)絡(luò)安全防范。由負(fù)責(zé)網(wǎng)絡(luò)安全的人員按照?qǐng)鼍斑M(jìn)行分析，利用隔離措施促進(jìn)安全防范。功能安全相關(guān)標(biāo)準(zhǔn)所提出的用于支持A類功能的控制系統(tǒng)的獨(dú)立性要求，對(duì)網(wǎng)絡(luò)安全是有益的，針對(duì)具體場(chǎng)景進(jìn)行評(píng)估和驗(yàn)證，以便在網(wǎng)絡(luò)安全防范中納入這些措施[3]。獨(dú)立性要求包括：

1.對(duì)于A類信號(hào)，主要目的是檢測(cè)和保護(hù)，或者用于控制系統(tǒng)，對(duì)于后者來(lái)說(shuō)，要特別關(guān)注，因?yàn)槿绻麄鞲衅靼l(fā)生故障，可能會(huì)導(dǎo)致控制系統(tǒng)的測(cè)量值超出需求容許值，發(fā)生不全的控制動(dòng)作，同時(shí)還會(huì)對(duì)方案保護(hù)系統(tǒng)發(fā)生不安全工況的探測(cè)。

2.保護(hù)系統(tǒng)和控制系統(tǒng)按照如下要求設(shè)計(jì)：對(duì)于在兩個(gè)系統(tǒng)之間傳遞的信息，如果單一故障有可能引發(fā)后繼故障，要求不能引發(fā)事故，或要求安全動(dòng)作的瞬態(tài)，同時(shí)，也不能引發(fā)A類系統(tǒng)不可接受的降級(jí)。

3.當(dāng)A類系統(tǒng)中，任何一個(gè)單一故障以及后續(xù)故障，都會(huì)引起控制系統(tǒng)的動(dòng)作，從而成為導(dǎo)致一個(gè)要求安全動(dòng)作的工況時(shí)，即便出現(xiàn)第二個(gè)隨機(jī)故障引發(fā)A類系統(tǒng)降級(jí)，此時(shí)A類系統(tǒng)仍然具備安全動(dòng)作的能力。這種情況下，要采取測(cè)試或者維護(hù)措施，使得部件或組建旁通或退出運(yùn)行，系統(tǒng)都應(yīng)滿足這一要求。

4.即便設(shè)備、傳感器等有測(cè)試資料顯示其具有較高的可靠性，對(duì)于能夠控制信號(hào)的二取一表決的保護(hù)系統(tǒng)，要求檢測(cè)其可靠性。在維護(hù)期間，如果使用了旁通措施，則必須采用安全設(shè)備，同時(shí)利用故障自動(dòng)探測(cè)傳感器的三取二系統(tǒng)，確保安全防護(hù)。

三、結(jié)語(yǔ)

在核電廠儀控系統(tǒng)設(shè)計(jì)時(shí)，考慮功能安全和信息安全的協(xié)調(diào)要求，使儀控系統(tǒng)在保證安全性的同時(shí)也具備適當(dāng)?shù)男畔踩匦裕瑸榇_保電站安全穩(wěn)定運(yùn)行、免受網(wǎng)絡(luò)攻擊提供了有力保障。

參考文獻(xiàn)：

[1]王小山，楊安，石志強(qiáng)，孫利民.工業(yè)控制系統(tǒng)信息安全新趨勢(shì)[J].信息網(wǎng)絡(luò)安全，2015（01）.

[2]卿斯?jié)h.關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)[J].信息網(wǎng)絡(luò)安全，2015（02）.

[3]章堅(jiān)青，王根生.核電廠安全重要儀表和控制系統(tǒng)標(biāo)準(zhǔn)體系概述[J].自動(dòng)化儀表，2010（09）.