“華龍一號”數字化儀控系統網絡安全設計

張 冬，張志良，王少華

（中國核電工程有限公司，北京 100840）

核電廠的安全性一直是公眾關注重點，隨著數字化儀控系統DCS的普及應用，網絡安全已經成為核電廠整體安全性能的重要組成部分。福清核電5、6號機組DCS系統由安全級平臺 TXS系統和非安全級平臺 SPPA-T2000系統組成，在項目初設階段，通過網絡安全大綱明確網絡安全的總體要求，規定了運營方、設計院、供貨商以及安裝單位的組織關系和主體責任，分析了DCS系統結構和全生命周期的網絡安全風險和防護策略；在項目實施階段，按照 RG 5.71網絡安全監管要求，對DCS系統網絡安全實施情況進行了符合性分析；在項目測試和驗收階段，對DCS系統的網絡安全特性進行了測試；針對項目運維階段，提出了網絡安全改造的建議。本項目網絡安全設計符合RG 5.71的監管要求，實施方案通過了核安全局的安全評審。

本項目首次通過網絡安全大綱提出DCS系統網絡安全的設計要求，指導DCS系統全生命周期的網絡安全活動。本文根據福清核電5、6號機組網絡安全的工程實踐，首先分析了DCS系統的通信設備、通信協議和網絡結構，梳理了網絡接口和通信模式；然后結合RG 5.71安全控制要求對網絡安全防護措施進行總結；最后，分析了福清核電5、6號機組網絡安全設計的不足，并給出了后續改進的建議。

1 DCS系統網絡結構分析[2]

福清核電5、6號機組DCS系統結構如圖1所示，根據 DCS系統實現的功能不同，可將DCS系統分為4層結構：

（1）0層 工藝系統接口層；

（2）1層 自動控制和保護層；

（3）2層 監控和操作層；

（4）3層 全廠信息管理系統層。

根據圖1所示，對DCS系統的各層之間以及層內接口進行梳理，對接口邊界的通信模式進行描述，分析其網絡安全的潛在風險。

1.1 安全級系統與非安全級系統接口

TXS系統和SPPA-T2000系統設置了網絡通信。網絡通信接口如圖2所示。TXS系統的網關設備SEPC基于LINUX操作系統，安裝在機柜內部，與 SPPA-T2000系統的 CM104通信模塊通過 Modbus TCP/IP協議進行信號傳輸。通過TXS側網關SEPC和SPPA-T2000側CM104模塊進行協議轉換傳輸，實現了信號傳輸的通信隔離。而且TXS系統與SPPA-T2000系統之間信號傳輸為單向通信，防止了SPPA-T2000系統的網絡風險向 TXS系統蔓延，影響TXS系統的正常功能。圖2中虛線表示工程師站對TXS系統的診斷、維護和參數整定等功能，實線表示TXS系統業務數據的信號流傳輸。

圖2 安全級系統與非安全級系統的接口圖Fig.2 Interface between security and non-security level systems

另外，TXS系統的優選控制模塊與SPPA-T2000系統之間接口為Profibus-DP網絡接口，網絡傳輸為雙向傳輸，但采取了如下網絡安全防范措施防止網絡威脅蔓延：

（1）優選控制模塊基于 PLD（可編程邏輯設備）技術，與SPPA-T2000系統的微處理器技術不同，通過設備多樣性防止風險蔓延；

（2）基于PLD技術的優選控制模塊所有參數都是通過配置硬接線開關量“0”或“1”信號執行，沒有配置多余的軟件設備；

（3）微處理器和PLD程序的固件只能通過背板特定的連接器才能加載，而且需要將模塊從機柜的機架取下才能接觸到。機柜正常是關閉的，且狀態被實時監測；

（4）微處理器和PLD程序的固件已經過各項軟硬件鑒定，且在生命周期中都會校驗確保安全。如果必要，可以從設備中讀取出來確認其完整性；

（5）優選控制模塊設計了內部閉鎖功能，禁止軟件參數通過 Profibus-DP進行軟件修改。

1.2 1層與2層接口

TXS系統送2層PICS（非安全級）顯示的信號通過SPPA-T2000系統傳輸，通信方式參考3.2節的介紹。TXS系統與2層SCIS（安全級）接口為PI（Panel Interface）接口。TXS系統與 2層 SCIS（BUP和 QDS）接口信號通過PI（Panel Interface）模塊轉換后傳輸。其中，TXS系統與 BUP的接口信號由硬接線進行傳輸；TXS系統與 QDS接口為網絡信號，PI模塊接收 L2網絡（Profibus）的保護系統信號，進行協議解析后，再通過 H1網絡（TXS Ethernet）將信號傳輸到QDS，實現網絡信號的通信隔離。

SPPA-T2000系統通過工業以太網總線plant bus與2層（OM690）、工程師站（ES680）和診斷系統（DS670）進行通信。

2層設備之間通過工業以太網總線terminal bus進行通信。

1.3 第三方儀控系統與DCS系統接口

第三方儀控系統與 SPPA-T2000通過CM104通信模塊進行通信，實現通信隔離；有特殊需求的信號通過硬接線傳輸。

1.4 2層與3層接口

DCS系統的2層通過XU（External Unit）模塊與 3層系統進行通信，再通過防火墻與 3層系統進行連接，確保2層到3層的單向隔離傳輸。

2 網絡安全防護措施

福清核電 5、6號機組 DCS系統依據 RG 5.71的網絡安全要求，從技術和管理兩個方面進行防護。技術措施主要包括訪問控制、審計功能、通信保護、身份識別和認證以及系統加固五個方面；管理措施主要包括物理環境安全、存儲介質管理、人員安全、安全意識和培訓、事件響應以及配置管理六個方面[3]。

2.1 技術防護措施

2.1.1訪問控制

訪問控制包括實體訪問和邏輯訪問。DCS設備按照功能的不同布置在核島電氣廠房和安全廠房的不同房間，通過嚴格的安保措施滿足實體訪問要求。邏輯訪問的人機接口主要是位于計算機房的工程師站。工程師站通過專有網絡與 DCS系統進行通信，用于對DCS系統進行診斷，參數整定，應用軟件升級，操作模式切換和定期試驗支持等功能。具體措施如下：

（1）TXS和SPPA-T2000的機柜布置在電氣廠房和安全廠房，工程師站布置在計算機房，配有專人保管的房間門禁和柜門鑰匙。同時TXS和SPPA-T2000系統的主機和應用程序都設有賬戶和口令，只有管理權限的人員才能創建和管理這些賬戶。

（2）電廠正常運行期間，TXS系統工程師站僅用于對系統運行狀態進行監視，不能對參數進行整定和修改。

（3）工程師站設有密碼保護功能，口令長度不小于8位，復雜度包含大小寫字母、數字和符號的組合。只有被授權的維修人員才能進行操作，每個用戶的密碼不同。

（4）不同角色的用戶對系統的訪問權限不同，只有擁有合法的權限級別才能進行相應操作，否則軟件將產生錯誤信息，并拒絕指令。

（5）DCS系統禁用未使用的存儲介質接口和網絡端口。

（6）正常運行期間，只有主控制室和遠程停堆站的操縱員終端具有操作控制權限，布置在技術支持中心、計算機房等的終端只有信息監視的權限。

2.1.2審計功能

審計功能可以對系統的信息進行跟蹤，發現異常事件的時間和內容，分析產生的原因。DCS系統具備的審計措施有：

（1）所有的登錄嘗試都被日志文檔記錄，且有時間標識，可以通過相關工具進行追蹤審計，具有抗抵賴性。

（2）應用軟件和工藝參數的修改均被日志記錄，可以被追蹤和識別。

（3）TXS系統配置了檢查加載文件和軟件配置的工具，可以顯示文件和軟件的版本信息。

（4）DCS系統的工程師站具備自診斷功能，可以檢測到系統運行的異常狀態，對異常工況發出儀控報警。

（5）TXS系統設計了完善的定期試驗方案，對自診斷不能覆蓋的功能進行試驗，確保反應堆保護系統的功能可以全部被確認。

（6）TXS系統配置專門軟件可以對數據進行備份和恢復。

（7）SPPA-T2000的服務器具有備份和存儲功能，可以對數據進行備份和恢復。

2.1.3通信保護

DCS系統的網絡通信接口包含以下幾種：TXS系統與SPPA-T2000系統的接口，優選控制模塊與SPPA-T2000系統的接口，TXS系統與 PI模塊的接口以及 SPPA-T2000與第三方控制系統的接口。DCS系統的通信保護措施如下：

（1）TXS系統網絡均采用專有通信協議，不對外開放，外界對系統漏洞了解少，不易進行有針對性攻擊。

（2）工程師站與TXS處理器之間通過專用的網絡連接，按照預設的網絡路徑進行信號傳輸，非授權的外部計算機不能對TXS處理器進行修改。

（3）SPPA-T2000與第三方控制系統之間通過CM104網關進行通信隔離。

（4）DCS系統未配置無線和遠程操作的接口。

（5）TXS與SPPA-T2000之間的數據傳輸為單向通信。

2.1.4身份識別和認證

DCS系統采取的身份識別和認證措施有：

（1）通過工程師站對TXS系統進行參數整定時，需要雙因子身份認證：賬戶口令和硬鑰匙開關。

（2）通過工程師站對 SPPA-T2000系統進行參數整定和組態修改時，需要進行身份認證。

（3）操作系統的身份認證口令長度應不少于8位，復雜度包含大小寫字母、數字和符號的組合。

（4）TXS處理器與工程師站之間通過專用的網絡連接，按照預設的網絡路徑進行信號傳輸，非授權的外部計算機不能對TXS處理器進行修改。

2.1.5系統加固

DCS系統采取的系統加固措施有：

（1）DCS系統開發單位內部網絡裝有防火墻，并且在系統和軟件集成階段每臺計算機都安裝有殺毒軟件，確保系統的開發環境和應用軟件安全。

（2）DCS系統經過嚴格的 V&V測試，確保系統設計與設計輸入一致。

（3）TXS系統禁用或刪除多余的服務和程序。

（4）DCS系統的自動邏輯功能通過平臺自診斷功能進行校驗，可以及時發現入侵行為。

（5）DCS系統在軟件下裝之前要求進行病毒查殺，確保系統安全。

（6）TXS系統的軟件修改需要獲得工程師站登錄權限，且通過就地硬鑰匙開關釋放后才能進行。

2.2 管理防護措施

管理措施主要是運行和維修人員在工作中采取的網絡安全防護措施，可以概括為以下幾個方面[8]：

（1）物理環境安全：電站內部人員進出廠區需要進行身份驗證，非電站人員進出廠區需要身份登記。在環境保護方面，電氣和安全廠房設置有通風系統，對環境溫度和濕度進行調節；DCS設備經過嚴格的抗震和電磁兼容等試驗，確保功能可以抵御預期的環境變化風險。

（2）存儲介質管理：對于存儲介質進行臺賬登記管理，只有登記的存儲介質才能使用，介質報廢后統一銷毀。

（3）人員安全：對核電廠人員的范圍，權限和活動進行規范。對不同角色的工作人員進行不同程度的權限授權，根據工作任務設定進入廠區范圍和可訪問設備的權限。當人員終止或工作移交他人后，終止所有設備和系統訪問，通知相關人員進行狀態終止或變更。

（4）安全意識和培訓：定期對電廠人員進行安全培訓，掌握網絡安全基本知識，提高網絡安全的防護意識，熟悉應急預案的操作流程。

（5）事件響應：建立網絡安全應急工作機制，明確應急指揮體系、工作流程及網絡安全應急工作組織和人員等信息，規定應急預案的演練周期，確保在應急期間可以采取穩妥有序的措施，同時避免引發新的事故。

（6）配置管理：通過配置管理程序對設備的改造和實施活動進行管控。配置變化前需要進行充分地分析和論證，記錄詳細的施工過程和維護人員信息。

3 DCS系統網絡安全風險及優化措施

通過分析，福清核電5、6號機組系統的各個功能層及邊界接口之間分別采取了相應的措施實現了物理或邏輯隔離，不同網絡結構采用專有的通信協議，可以一定程度上阻止潛在的網絡安全風險，符合縱深防御的設計要求。但是在技術角度，福清核電 5、6號機組的DCS系統在邊界隔離、主機防護、移動介質管理等方面尚有改進余地，存在一定的網絡安全風險。

3.1 第三方系統風險

非安全級DCS系統與多個第三方儀控系統通過網關通信連接，如廠區輻射和氣象監測系統、火災探測報警系統、汽輪機控制保護系統、汽輪機監視系統等。這些獨立的第三方儀控系統劃分在生產控制大區，與DCS系統保持一致。目前現有核電站包括福清核電 5、6號機組，這種與第三方儀控系統的通信連接，沒有采取有效的網絡隔離措施，一旦某個第三方儀控系統受到網絡攻擊，很容易蔓延到非安全級 DCS系統。

3.2 移動介質風險

福清核電5、6號機組DCS系統主機包括SPPA-T2000系統的工程師站、各類服務器、操作員站以及TXS系統工程師站，只有工程師站保留了USB口等介質接入接口，其他計算機的外接接口均封閉。同時核電廠有嚴格的移動介質管理制度，禁止隨意私自插接移動存儲介質。只有DCS系統維護人員才有權限在工程師站使用移動存儲介質，安全級DCS系統的工程師站不是實時在線，只有系統離線時才能連接工程師站。正常情況，通過嚴格的管理措施，不可能發生攜帶針對核電廠DCS系統木馬病毒的移動介質接入 DCS系統的情況，但不能排除心懷惡意的員工故意為之。同時，物理接近的破壞以及行政管理的缺失也是重要風險，但是核電廠設置了極為嚴格的物理防護、行政管理以及網絡安全應急準備等應對措施。

3.3 DCS系統網絡安全持續優化

福清核電5、6號機組后續的“華龍一號”項目在設計階段已考慮 DCS全生命周期內的信息安全問題，同時技術上從邊界防護、訪問控制、賬戶管理、主機防護、入侵防御以及審計日志等方面進行加強，同時考慮不同安全等級的系統滿足不同的設計要求。管理上加強在DCS系統開發、測試、安裝、調試及運營等不同階段采取不同的網絡安全管理措施[4]。

3.3.1技術優化[5,6]

在DCS系統邊界及系統內部邊界部署防護設備確保系統間的網絡獨立性，隔離網絡風險。規范通信接口協議，按照通信協議特點和網絡安全等級規定不同類型系統的邊界防護措施和防護深度。

通過制定人員的訪問控制、設備的訪問控制及應用進程訪問控制規則，通過限制非法人員、設備和應用進程對DCS系統進行非法訪問。

在DCS系統關鍵節點配置監測DCS系統網絡入侵行為和系統審計的設備，包括入侵監測設備，工業防火墻、主機防護軟件、入侵監測系統和安全集控中心等。規范安全審計系統接入方式、審計內容及審計深度，審計日志的保存和備份措施滿足相關標準要求。所有網絡安全技術措施需經過充分的安全評估和兼容性測試。

3.3.2管理優化

在福清核電5、6號機組安全管理措施的基礎上，進行查缺補漏，加強相關措施的執行力度。包括加強系統設計、集成、測試場所應實施嚴格的進出控制管理，DCS系統軟件實體的訪問控制管理，企業員工（包括員工、合作企業、第三方協議者以及臨時員工）的安全防范管理以及工程實施階段的DCS系統進行遠程訪問管理等。

4 結論

福清核電5、6號機組的DCS系統網絡安全設計屬于探索中前進，總體上符合RG 5.71的防護要求。本文對福清核電5、6號機組的DCS系統網絡安全結構進行了闡述，同時從技術防護和管理兩方面所采用的措施進行了歸納總結，并對DCS系統網絡安全風險和持續優化進行了總結，這些技術和管理措施以及經驗總結，對后續項目具有很高的參考和借鑒價值。