田灣核電站VVER 機組DCS 網絡安全防御策略

喬 峰

（中國核電蘇能核電有限公司 設計管理處，連云港222042）

隨著數字化儀控技術的快速發展，越來越多的電廠控制系統開始采用數字化DCS。 田灣核電站是全球首家采用數字化DCS 的核電站， 自運行以來，取得了良好的安全業績，已經成為核電領域各個電站數字化系統的標桿。

DCS 是集計算機技術（computer）、控制技術（control）、通訊技術（communication）和圖形顯示技術CRT（cathode ray tube）（簡稱4C 技術）為一體的綜合信息系統。 出于工作和管理的需要，第三方系統需要獲取DCS 網絡的數據；DCS 自身的漏洞，外部網絡層出不窮的安全威脅，電站內部對于工業控制系統網絡管理的缺失，這此都使工業控制系統暴露在危險且復雜多變的環境中，DCS 隨時可能面臨來自外部網絡的攻擊，嚴重威脅著系統的安全。 核電站的DCS 網絡安全一旦出現問題，將嚴重影響電站的安全穩定運行，所以必須為核電站DCS 制定行之有效的網絡安全防御策略。

1 田灣核電站VVER 機組DCS 網絡安全概況

田灣核電站的一期、二期機組以及7、8 號機組均采用俄羅斯VVER 型壓水堆。 目前，一期工程、二期工程均已投產運行，7、8 號機組處于建設階段。一期工程、二期工程均采用德國CFSS 公司生產的DCS，常規儀控采用T2000 系列正常運行儀控系統，安全儀控采用TXS 系列安全級儀控系統；7、8 號機組DCS 尚處于招標階段，但也會選擇技術成熟的DCS來對電站工藝過程進行監視。

田灣核電站VVER 機組DCS 自商運以來，能夠在統一安全策略下防護系統免受來自外部有組織的團體、 擁有較為豐富資源的脅源發起的惡意攻擊、較為嚴重的自然災難，以及其他相當危害程度的威脅所造成的主要資源損害，能夠發現安全漏洞和安全事件，在系統遭到損害后能夠較快恢復絕大部分功能，暫未出現過因網絡安全問題導致嚴重事故的情況。

核電機組控制系統拓撲結構如圖1 所示。 當前國際網絡環境十分惡略，核電站的工業控制網絡隨時都可能遭受來自網絡的惡意攻擊，網絡系統存在著各種安全隱患，嚴重阻礙著公司安全生產的發展。

圖1 核電機組控制系統拓撲結構Fig.1 Topological structure of nuclear power unit control system

2 當前網絡環境

在DCS 中，廣泛采用通用工業標準的網絡協議及網絡設備。2010年6月出現的世界上首個專門針對工業控制系統編寫的Stuxnet 病毒，同時利用7 個最新漏洞進行攻擊， 其中的5 個漏洞是針對Windows 系統，2 個漏洞針對西門子網絡通信系統SIMATIC。

2.1 核電站網絡安全事件啟示

（1）美國Davis Besse 核電站

2003年1月，蠕蟲病毒入侵了電站工業控制網絡，期間運行人員無法對工藝工程進行監視和控制。事件原因是： 工業控制網絡未采取有效防御措施，使得電站的非授權技術人員非法連接電站網絡，導致蠕蟲病毒感染整個網絡。

（2）美國Browns Ferry 核電站

2006年8月， 該電站的PLC 系統網絡遭遇了“廣播風暴”導致網絡癱瘓，電站不可控，最終電站手動停堆。 事件原因是：不完善的網絡結構和網絡安全機制，導致微小的故障觸發了大的事件。

（3）伊朗布什爾核電站

2010年6月出現世界上首個專門針對工業控制系統編寫的、 席卷全球工業界破壞性病毒的Stuxnet 病毒，其目的可能是要攻擊伊朗的布什爾核電站。 事件原因是：由于工控系統存在的安全漏洞，使得該病毒對核電站的安全運行帶來巨大威脅。

以上網絡安全事件給人們帶來啟示：數字化儀控系統的DCS 網絡，一旦遭受病毒的入侵、網絡安全漏洞的威脅，將對電站安全穩定運行帶來巨大的影響， 因此有必要研究DCS 網絡安全防御策略，以保證電站安全[1]。

2.2 DCS 網絡安全事件統計

截至2019年5月， 全球已發生400 多起針對DCS 的網絡安全事件，DCS 網絡安全面臨越來越大的挑戰，有必要引起各個核電站的重視。 網絡安全事件的統計如圖2 所示。

圖2 網絡安全事件統計Fig.2 Statistics of network security events

3 VVER 機組DCS 網絡安全

2019年5月發布的GB/T 22239—2019 《信息安全技術 網絡安全等級保護基本要求》 對網絡安全定義為：通過采取必要措施，防范對網絡發起的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力[2]。 可見，網絡安全關注的重點，就是采取必要措施對網絡安全隱患進行防范。 田灣VVER 機組DCS 采用了CFSS 平臺，在整個DCS 中使用了分層的概念。

3.1 VVER 機組DCS 網絡結構

VVER 機組DCS 分為非安全級平臺T2000 系統和安全級平臺TXS 系統2 個部分。安全級系統用于實現保護和反應堆緊急停堆功能，非安全級平臺主要實現電廠控制、監視和報警顯示等功能，非安全級平臺與安全級平臺通過專用網關相連。 田灣核電站VVER 機組DCS 網絡結構如圖3 所示。

圖3 VVER 機組DCS 網絡結構Fig.3 Network structure for DCS of VVER unit

3.2 VVER 機組DCS 網絡安全隱患及其防御措施

3.2.1 DCS 來自外部的安全隱患

在DCS 網絡安全的安全隱患中，80%的安全隱患來自外部。 DCS 外部安全隱患如圖4 所示。

圖4 DCS 的外部安全隱患Fig.4 External security hidden danger of DCS

外部安全隱患主要包括：①非授權用戶非法使用移動終端接入DCS 非授權人員利用非法手段，未經允許接入運行中的DCS 網絡，導致系統數據丟失或損壞[3]；②病毒感染 使用未經殺毒或者未經安全加密的USB 設備接入到DCS 網絡， 導致計算機感染病毒；③網絡風暴 DCS 網絡因交換機故障導致網絡風暴，導致DCS 不可控和不可操作；④訪問超出授權范圍的數據、應用程序及功能；⑤非法串行設備連接 非法用戶非法使用串行設備接入DCS 機柜，造成數據丟失或者損壞。

3.2.2 針對外部安全隱患的防御措施

1）程序制定 制定工業控制系統便攜式終端接入管理程序，嚴格限制非授權移動終端非法接入DCS 網絡；

2）病毒查殺 安裝殺毒軟件對DCS 進行定期掃描，并及時升級病毒庫；

3）網絡互聯設備管理 對存在漏洞的網絡交換機進行排查，必要時進行升級替代，徹底消除隱患；

4）外部隱患管理 加強外部管理，制定管理制度，嚴格禁止未授權用戶超范圍訪問數據和應用程序；

5）工業計算機使用與管理 統一管理全廠工業計算機，制定管理制度，嚴禁筆記本非法接入儀控機柜。

3.2.3 DCS 內部的安全隱患

內部隱患是發生在系統內部的可能會對DCS安全造成威脅的設備或管理漏洞，雖然比外部隱患影響要小， 但是也會使DCS 網絡安全水平降級，同樣需要管理者的重視。

內部安全隱患主要包括：①DCS 管理方面中存在漏洞， 例如未對介質實行異地存儲等、DCS 數據拷貝防病毒管理等；②網絡邊界未部署惡意代碼檢測工具； ③操作系統未啟用登陸失敗處理功能；④應用系統鑒別信息不符合復雜性要求。

3.2.4 內部安全的防御措施

1）制定工業計算機軟件異地存儲機制，并按照規定定期移交計算機軟件備份；

2）升版程序《工業計算機管理程序》，在程序中增加數據拷貝管理相關規定；

3）通過在網絡設備間執行嚴格的巡檢制度、記錄制度，能夠從管理上降低此類問題的風險；

4）通過管理手段嚴格限制網絡介質的接入，減少惡意代碼危害，此措施為長期整改措施；

5）啟用操作系統登陸失敗處理功能，限制登錄失敗次數為5 次；

6）應用系統不具備進行二次開發添加身份鑒別機制的條件，通過管理手段加強管理。

通過以上內、外部安全隱患的分析，有針對性地采取相應的防御措施，可以保證VVER 機組DCS的網絡安全在技術和管理2 個方面做到萬無一失，從而保證電廠的安全穩定運行。

4 最小DCS 的研制

根據國家網絡安全法對信息系統安全所提出的安全要求，DCS 工業控制系統的應該加強網絡安全防護能力。 根據國家能源局發布的《核電廠網絡安全工作規劃2018—2021》的要求，核電廠DCS 必須按等保四級的要求進行管理。 對于新建核電廠，能源局將根據網絡安全法相關要求， 對DCS 的網絡安全進行嚴格的監管， 要求DCS 的設計滿足等級保護四級的基本要求。 因此，開發出能同時開展針對DCS 的人員培訓、故障診斷、備件測試，工控安全測試等任務的DCS 最小系統，具有十分重要的意義。

4.1 總體技術要求

根據DCS 最小系統的功能需求，確定最小系統的邊界，用最少的硬件實現與現場實際DCS 具有相同功能的仿真平臺。 DCS 最小系統應采用與現場實際DCS 相同的開發環境和軟件平臺，為電站提供一套可執行人員培訓、故障診斷與復現、功能驗證，備件保養與檢測、DCS 故障復現與應急預案演練 （包括網絡安全演習） 等多項任務的小型化多功能平臺。 該平臺以人員培訓和應急演練為主要需求，在系統結構和硬件配置上和現場實際DCS 有所區別，具有非常強的針對性。

該系統從功能上應滿足以下需求：①涵蓋電站DCS 全部類型模件；②可以靈活裝載不同工藝系統控制邏輯和畫面；③配置有工程師站和操作員站，可開展DCS 組態編輯、畫面組態、監視等操作；④可以導入操作規程、報警卡、應急預案等生產活動相關的腳本；⑤系統具有可擴展性，預留通性接口；⑥能夠實現故障診斷功能；⑦可以開展應急預案演練，網絡安全演習等。

4.2 詳細技術要求

DCS 最小系統的建設應遵循核電站設計建造的總體要求，應滿足電氣設計、物項制造、儀控設計等多項行業標準。 作為核電站生產技術人員，更關心的是DCS 最小系統的組織機構、設備特性、功能實現這3 個方面，即將機組的實際DCS 真正地做到“最小化”。

4.2.1 構架設計

為更好的實現平臺功能和現場實際系統的復現， 最小系統應使用與現場DCS 類似的構架設計。系統采用基于冗余工業數據網絡的分散控制系統，根據功能可劃分為 Level-1 層和Level-2 層2 個層次：信號的輸入輸出與邏輯運算層、計算服務和監視操作層，2 個層次之間通過處理服務器進行連接。處理服務器同時給Level 1/2 層提供相應的數據服務，結構如圖5 所示。

Level 1 層總線應符合最新的網絡標準，保證傳輸速率為10 Mb/s（西門子Ethernet 為10 Mb/s）時傳輸距離可以達500 m；Level 2 層（處理服務器、操作員站、工程師站）采用冗余的網絡（虛擬環）進行通信，具有較高的可靠性，實時性以及安全性。 作為Level 1 和Level 2 起到橋梁作用的處理服務器，為人機界面提供報警、計算、歷史數據、實時數據等多項服務，在整個系統中具有具足輕重的地位。 系統重要服務器都進行了冗余配置，當出現單一服務器故障后，另一臺服務器可以實現無擾的切換，不發生通訊中斷或數據丟失。

4.2.2 硬件結構及配置

硬件包括控制機柜、操作員站、工程師站，診斷終端、存儲終端、網絡互連設備及隔離網閘等。 最小DCS 平臺結構如圖5 所示。

圖5 最小DCS 平臺結構Fig.5 Platform architecture of minimum DCS

4.2.3 系統軟件組成

系統軟件應包括操作系統、 系統平臺配套軟件。 系統平臺配套軟件分為離線和在線兩大部分，離線軟件主要是系統組態配置軟件，用于通過組態編程，將通用的DCS 轉換為一個能夠實現特定工藝功能的控制系統，例如實現應急預案演練或者網絡安全演習的平臺。

組態軟件包括：①設備組態軟件；②數據庫組態軟件；③邏輯運算組態軟件；④報警組態軟件；⑤畫面組態軟件；等。

4.3 平臺應用

通過最小DCS 平臺， 可以對VVER 機組DCS所可能遭受的外部網絡攻擊進行模擬測試，并根據測試結果針對性的采取相應的改進措施。 利用該平臺，可以分析電站實時網絡至外部局域網的單向數據傳輸時安全性方面的特點。 田灣核電站電力信息系統網絡結構如圖6 所示。

需要注意的是，VVER 機組DCS 由西門子公司設計供貨，由于國外沒有隔離網閘（網絡正向安全隔離裝置）的標準設備，無法達到我國網絡安全法規定的關于生產控制大區與管理控制大區之間傳輸數據的安全要求，DCS 以及儀控系統部署在生產控制大區，數據傳輸必須通過隔離網閘成。

5 新建機組DCS 網絡安全要求

圖6 田灣核電站電力信息系統網絡結構Fig.6 Network structure of power information system for Tianwan nuclear power station

田灣核電站7、8 號機組目前處于建設階段，根據2017年6月1日起實施的 《中華人民共和國網絡安全法》的要求，電廠DCS 的建設需要按照“三同時制度”開展，即“同時設計、同時施工、同時投產”，在DCS 設計階段、施工階段和發電階段都應該考慮網絡安全的要求。 因此，技術設計階段應充分分析國家法規和標準對信息系統網絡安全的要求，在DCS 招標、采購和設計階段對系統提出技術和管理方面的要求，保障網絡安全的硬件、軟件和管理措施隨著DCS 主體工程的投產同時投入運行。

6 結語

隨著數字化DCS 的快速發展，電廠的開放程度也越來越大，也導致了面對的網絡安全威脅也越來越嚴重。 尤其是近些年發生在信息系統中，尤其是核電站控制系統中的網絡安全事件，更為人們敲響了警鐘。 所以，VVER 機組DCS 網絡安全防護策略應從管理和技術兩方面入手，做到管理隱患從容應對，技術缺陷處理及時有效。 同時，也要努力實現DCS 網絡與第三方系統的網絡傳輸實現單向傳輸，使得管理信息大區的任何操作或威脅不會影響生產控制大區DCS 的正常運行。

與此同時， 應該更注重加強管理方面的要求。從內到外不斷強調DCS 網絡安全的重要性，嚴格制定DCS 的網絡安全管理制度，培養電廠技術人員與管理人員具備良好的工作習慣和網絡安全意識，從而杜絕由于人因導致的DCS 網絡安全事件。 同時，應該建立核電廠DCS 網絡安全標準體系，并在整個核能行業宣揚重視網絡安全，保證整個行業具有高度安全的網絡環境。