今日頭條
官方微信
官方抖音
案例頻道★中廣核數字科技有限公司顏元超,張宏亮,黃啟清,禇瑞,農政林
關鍵詞:核電;DCS;全生命周期;網絡安全;安全質量
近年來,隨著國內外網絡安全形勢的發展,網絡空間已經成為繼海、陸、空、天之后的第五疆域,成為新形勢下國家安全的重要組成部分,國與國之間的網絡安全競爭形勢復雜且嚴峻。從國家戰略層來看,工業產業現代化的發達程度體現了一個國家核心競爭力,為此我國較早提出了工業化與信息化融合發展戰略并持續開展產業結構調整和升級轉型,國內工業控制系統的網絡化、智能化水平穩步提升。在復雜安全威脅態勢下,數字化控制系統(Digital Control System,DCS)作為核電廠重要的工業控制系統,在深入發展中享受著數字信息開放、互聯互通技術帶來的生產效率提高與競爭實力增強,但其面臨的網絡安全風險也逐漸凸顯。國家部委高度重視網絡安全工作,并針對電力行業出臺了一系列相關管理規定、辦法和指導文件,為電力行業信息網絡安全提供了有效的指導。核電是清潔的典型代表,核電廠規劃、建造、運營等活動不僅要遵守電力行業法規標準,同時要遵守核電行業相關法律法規,相關監管要求嚴格。核電廠DCS是國家重要的關鍵信息基礎設施之一,其網絡安全工作備受關注,雖然國家發布了電力行業信息網絡安全相關指導,但如何做好核電DCS網絡安全管理工作尚未有較好的方法。
網絡安全問題是技術因素、人員因素和管理因素的綜合,是人員、管理與技術三者互動的結果。統計結果表明,網絡安全事故中只有20%~30%是因黑客入侵或其他外部原因造成的,而70%~80%是由于管理因素或人員因素(例如內部員工的疏忽,或有意泄密)造成的,網絡安全問題實際上大多都是人的問題。2018年國家發改委在《關于進一步加強核電運行安全管理的指導意見》[1]通知中提出:“將網絡安全納入核電安全管理體系,加強能力建設,保障核電廠網絡安全。”因此,本文對核電領域數字化儀控系統網絡安全相關標準開展了分析,提煉出針對數字化儀控網絡安全管理相關要求,并基于核電廠儀表與控制系統網絡安全防范控制管理框架,將網絡安全管理要求與企業DCS開發過程進行融合,提出了一種核電DCS網絡安全管理的方法。采用該方法對核電DCS網絡安全實施全生命周期管控,可有效提高DCS系統產品可信性、增強核電DCS企業的網絡安全管理能力、降低供應鏈網絡安全風險、提升核電廠網絡安全防護水平。
1 國內外網絡安全法規標準管理要求
1.1 國內網絡安全相關要求
我國針對信息網絡安全工作先后頒布了一系列的指導文件和法規標準,例如1999年國家標準《GB17859-1999計算機信息系統安全保護等級劃分準則》發布;2014年發改委發布了14號令《電力監控系統安全防護規定》,提出電力監控系統應堅持十六字方針原則“安全分區、網絡專用、橫向隔離、縱向認證”,以保障電力監控系統的網絡安全[2];2015年能源局發布了國能安全[2015]36號文《電力監控系統安全防護總體方案》,該方案細化了十六字方針原則,定義了電力監控系統通用、專用的安全防護技術與設備,確定了針對電力監控系統的安全防護體系總體框架,提出了發電廠、變電站等的電力監控系統安全防護方案及電力監控系統安全防護評估規范[3];2022年能源局發布了《電力行業網絡安全管理辦法(國能發安全規〔2022〕100號)》,給出了電力行業網絡與網絡安全的監督管理要求,明確了電力行業建立健全網絡與網絡安全保障體系和工作責任體系[4];同年,能源局發布了《電力行業網絡安全等級保護管理辦法(國能發安全規〔2022〕101號)》,提出了規范電力行業安全等級保護管理、提高電力信息系統安全保障能力和水平的相關要求及工作指導[5]。上述指導文件涉及總體目標、安全分區、等級劃分、網絡架構、組織機構、管理措施、技術措施、整改計劃等方面。
我國網絡安全法規標準要求的核心內容為等級保護要求,安全要求類分技術要求和管理要求。2019年《GB/T22239-2019網絡安全技術-網絡安全等級保護基本要求》發布,其中安全控制域10個主要包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理,其中等保四級安全控制點數量為250個,管理要求占比達50%。安全等級保護等保四級要求概覽圖如圖1所示。
圖1 我國安全等級保護等保四級要求概覽圖
1.2 RG1.152導則要求分析
美國核管理委員會(NRC)按照《聯邦法規》10 CFR50.34、10 CFR50.55a、CRF50附錄A(GDC)、CRF50附錄B(QC)相關要求,針對核電安全相關和安全重要系統提出了確保系統和功能可靠性的管理目標,明確在系統設計中應考慮諸如系統級設計特征、多樣性和縱深防御以及確定性設計等因素。核管理委員會通過RG1.152(Regulator Guide1.152“CRITERIA FOR USE OF COMPUTERS IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS”)導則[6],提出了關于促進功能高可靠性、設計質量、安全開發和運行環境(SDOE)的規定在核電廠安全系統中使用數字計算機的方法。
RG1.152導則描述了在數字安全系統生命周期內設計和開發階段建立安全環境的相關指導,確保了數字安全系統的可靠運行。針對數字安全系統保護的安全開發和運行環境,RG1.152要求數字安全系統開發過程應識別和緩解數字安全系統生命周期各階段內可能降低SDOE或系統可靠性的潛在缺陷和漏洞,其中系統生命周期應包括概念、需求、設計、實施、測試、安裝、檢查和驗收測試、運行、維護、退役等階段。
1.3 RG5.71導則要求分析
美國核管會根據聯邦法規中對于計算機、通信系統和網絡的保護需求,針對核設施制定了計算機網絡安全方面的導則“REGULATORY GUIDE5.71,Cyber Security Programs for Nuclear Facilities”(簡稱:RG5.71導則)。RG5.71導則提出了針對核設施網絡安全的監管要求,并從組織機構、技術、運行和管理等方面給出了針對信息網絡的威脅、漏洞和攻擊需要采取的管理對策和網絡安全防護技術[7,8]。
RG5.71要求核設施建立相應的網絡安全大綱以描述如何執行信息網絡安全相關法律、法規的要求,使核設施關鍵數字計算機、通信系統和網絡受到充分保護,避免這些系統、設備受到網絡攻擊。網絡安全大綱應包含:關鍵數字資產的識別、網絡安全大綱實施維護、網絡安全設計、縱深防御策略、文檔化管理制度、安全意識培訓、網絡安全風險評估和管理、配置管理和文檔管理等要素。
(1)組織機構方面,RG5.71描述了應建立一個網絡安全團隊,確定其角色、職責、授權和職能關系,其中包括網絡安全高級主管人員、網絡安全負責人、網絡安全專家等。
(2)技術控制方面,RG5.71描述了應在識別關鍵數字資產(critical digital assets,CDA)的基礎上,采取縱深防御策略,建立網絡安全分區,控制數據流向,并在邊界上采用防御措施等技術措施。同時,導則提出了一系列包括訪問控制、審計和問責、通信保護、識別和認證、系統加固、操作控制等綜合防護控制措施。
(3)管理控制方面,RG5.71針對系統服務和采購、持續監測和安全評估、策略和規程、變更控制、記錄保留及處理等系統生命周期管理方面提出了相關監管要求。
1.4 IEC62645標準要求分析
IEC62645為核電基于計算機的I&CCB&HPD系統有效安全計劃的開發和管理制定了要求并提供了指導。該標準主要目標是定義綱領性措施,以預防、檢測和應對數字化手段對基于計算機的設備裝置(I&C CB&HPD)發起的惡意網絡攻擊行為,包括由以下行為造成的任何危險情況、設備損壞或電站性能退化:
(1)影響系統完整性的惡意修改;
(2)可能危害所需I&CCB&HPD功能的交付和執行的對信息、數據或資源的惡意干擾;
(3)可能危害操作員顯示器或導致I&CCB&HPD系統管理喪失的對信息、數據或資源的惡意干擾;
(4)在可編程邏輯控制器(programmable Logic Controller,PLC)級別對硬件、固件或軟件的惡意修改。
該標準提出了按照安全類別開展網絡安全等級劃分的方法,主要包括:(1)對于處理安全A類功能的I&C系統,將其網絡安全等級劃分為S1級;(2)對于處理安全B類功能以及需要實時操作的I&C系統,將其網絡安全等級劃分為S2級;(3)對于輔助電廠運行和維護的I&C系統,將其網絡安全等級劃分為S3級。同時,該標準主要從核電廠安全計劃、系統安全生命周期的實施、安全防范領域三個方面提出了管理要求,標準整體框架如圖2所示。
圖2 IEC 62645總體框架示意圖
(1)要求制定和管理核電廠I&C CB&HPD系統安全計劃,包括制定計劃、實施和運行計劃、監控和審查計劃、維護和改進計劃;
(2)要求對I&C CB&HPD系統安全生命周期實施管理,包括需求活動、設計活動、實施活動、驗證活動、安裝和驗收測試活動、運行和維護活動、變更管理、退役活動;
(3)要求開展安全防范領域管理措施,主要包括安全政策、管理安全、資產管理、人力資源安全、物理與環境安全、通信與運行管理、訪問控制、I&C系統采購開發和維護、I&C安全事件管理、運行連續性管理、合規性。
1.5 核電廠儀表與控制系統網絡安全防范控制相關要求分析
GB/T 43532-2023《核電廠儀表和控制系統網絡安全防范管控》[10]規定了核電廠儀表和控制系統網絡安全防范管控目錄,并供用戶進行選擇和應用,從而防止、檢測和應對針對數字化儀表和控制系統的計算機網絡攻擊。該文件適用于生命周期內的所有新建核電廠數字化儀控系統的設計,以及現有核電廠儀控系統的更新或改造。范圍涉及核電廠儀控系統的整個范圍,包括安全級和非安全級系統,也包括屬于儀控系統管控回路的傳感器、執行器和電氣系統。
該標準從網絡安全策略、網絡安全組織、人力資源安全、資產管理、訪問控制、密碼、物理和環境安全、操作安全、通信安全、系統獲取開發和維護、供應商關系、網絡安全事件管理、業務連續性管理的網絡安全、符合性等方面給出了指導。
《核電廠儀表與控制系統網絡安全防范控制》中提出了針對儀控平臺和儀控系統本體網絡安全防范管控的選擇方法和執行過程,并給出核電廠儀控系統的預期環境進行初步威脅和風險評估,簡要流程圖如圖3所示。
圖3 儀控系統初步威脅和風險評估流程示意圖
2 DCS系統與安質環體系
2.1 DCS系統簡介
數字化儀控系統[11-14]屬于專用計算機系統,其主要為嵌入式系統,現已成為工業領域的重要組成部分。數字化儀控系統是隨著計算機技術的發展而不斷發展的。上世紀70年代,集成電路技術的高速發展,使計算機性能提升和價格降低,并得到了廣泛推廣,DCS也應運而生。DCS以計算機技術為基礎,綜合了工業過程控制、網絡通信和人機交互技術,具有集中監視顯示操作和分散式采集、控制的特點。
核電廠數字化控制系統是分布式控制系統的一種,它是由一定數量、功能不同(模擬量輸入/輸出、數字量輸入/輸出、各類通信、主處理等主要功能)的硬件板卡/模塊構成的控制站系統(Level1),以及由服務器、工程師站、操縱員站等商用計算機構成的人機交互系統(Level2),負責核電廠的現場儀表信息采集與執行器控制功能,是核電廠反應堆的“神經中樞”。在產品研發和工程設計無缺陷、現場操作使用符合規程的情況下,核電廠數字化控制系統可以為現場維護人員和操縱員提供實時、簡潔和準確的反應堆運行狀態信息,現場維護人員或操縱員可根據這些運行狀態信息,開展日常維護、故障恢復、監視控制等活動。
圖4 典型DCS的結構圖
核電行業內主流的核電廠數字化控制系統,主要有歐洲(阿海琺、西門子)的Teleperm-XS與Teleperm-XP,以及美國西屋AP1000核電系列的代表CommonQ+Ovation。數字化控制系統在我國核電廠的應用情況呈現多樣化狀態。國內三代先進壓水堆機組的非安全級數字化控制系統已經開始應用我國自主產品,但大多數已建成的核電廠采購的數字化控制系統,還均來自于國外企業。2010年伊朗核電廠遭受“震網”病毒攻擊,該病毒針對西門子的PLC進行了定向網絡安全攻擊,造成該核電廠離心機被損壞。“震網病毒”對于伊朗核電廠離心機設備的攻擊案例,給核電領域敲響了警鐘,使得核電領域從業人員意識到網絡攻擊威脅的嚴重性和網絡安全的重要性。
2.2 DCS系統全周期過程活動
核電DCS系統全生命周期涉及研發、驗證、采購、制造、工程設計、集成裝配、FT/FAT、發運/交付、改造/維護等活動,每個階段均需要對安全、質量、環境開展管控。主要活動流程如圖5所示。
圖5 核電DCS全生命周期過程活動示意圖
2.3 安全、質量、環境管理體系
按照GB/T 19001-2016、GB/T 24001-2016、GB/T 45001-2020建立以過程為基礎的安質環一體化管理體系,按照“P-D-C-A”的方法,系統地識別、策劃和管理公司的各個過程,建立程序和相關制度,并根據需要形成文件。當公司的業務、組織機構、外部環境、安質環管理方針、管理目標等發生重大變化時,總經理部組織對安質環一體化管理體系重新策劃,做出相應變更,在體系策劃和實施時要考慮變更的目的及其潛在后果,確保體系的完整性、資源的可獲得性、責任和權限的分配或再分配。針對核電的產品和服務的設計和制造活動,在GB/T 19001-2016質量管理體系的基礎上,參考HAF003和相關核安全法規的部分規定,確保滿足各相關法規和標準對核電產品全生命周期的質量管理和控制要求。
公司產品實現過程包括:銷售過程、產品研發過程、采購過程、制造過程、工程設計過程、運維服務等主要過程;支持過程包括:文件管理、記錄管理、內部審核、管理評審、過程監視和測量、數據分析、培訓等過程。各個主要過程及其相關關系如圖6所示。
圖6 安全質量環境各主要過程關系示意圖
根據業務(包括工業自動控制系統、核電電氣儀控系統等)活動的研發、設計、生產、集成、技術服務和運維服務的特點,確定上述一體化管理體系所需的過程及其在組織中的應用,以及伴隨發生的風險因素和影響:
(1)確定這些過程所需的輸入和期望的輸出;
(2)(2)確定這些過程的順序和相互作用;
(3)確定和應用所需的準則和方法,以確保這些過程的有效運行和控制;
(4)確定這些過程所需的可以獲得的資源;
(5)分配這些過程的職責和權限;
(6)按照要求應對風險和機遇;
(7)評價這些過程,實施所需的變更,以確保實現這些過程的預期結果;
(8)改進過程和質量管理體系。
與此同時,制定并實施《項目過程控制程序》《設計和開發控制程序》,以規定和控制軟件、硬件、結構件以及系統產品的研發過程和工程設計過程,確保產品滿足顧客及各相關方的要求。
3 核電DCS網絡安全管理方法
基于核電DCS全生命周期的網絡安全實踐,與安全、質量、環境管控體系進行融合,形成針對核電DCS網絡安全的管理方法。
3.1 系統需求階段
一般由買方或買方指定的設計方提出核電廠儀控系統的安全防范的相關要求,包括并不限于電廠營運單位的安全防范大綱和網絡安全防范的各種良好實踐,作為后續各階段的設計輸入和參考依據。
3.2 系統設計階段
針對系統設計輸入中網絡安全的需求進行分析,結合網絡安全風險評估報告、網絡安全良好實踐和經驗反饋,進行適用性分析和系統設計,并識別出產品和系統中需要增補開發/改進的需求,進行產品的研發和升級,滿足儀控系統產品和系統網絡安全要求,包括:(1)進行安全防范方面的適應性分析并編制適用性分析報告;(2)按照《工程設計控制程序(安全級)》和《工程設計控制程序》,設計人員進行需求分析、系統架構設計及功能分析工作;(3)識別出產品研發的需求,在網絡安全方面進行產品的總體設計;(4)網絡安全小組組織對總體設計方案進行專項評估,確保設計方案滿足網絡安全的要求。
3.3 軟硬件需求階段
根據系統設計階段的輸出,對網絡安全在系統硬件和應用軟件功能進行分析,設計人員按照《工程設計控制程序(安全級)》和《工程設計控制程序》,提出軟硬件產品的需求并開展設計工作。
3.4 軟硬件詳細設計及實現階段
詳細設計階段主要包括工程硬件設計和工程軟件設計兩部分工作,按照《工程設計控制程序(安全級)》和《工程設計控制程序》具體執行;根據上一階段分解任務,進行軟硬件單產品的網絡安全方面的詳細設計和實現。
3.5 采購活動
采購管理方面,為了保證所采購的物項能滿足網絡安全產品設計和制造的需要,對采購控制如下:凡是對網絡安全設計和制造質量有影響的物項的采購都必須事先制定采購文件,在采購文件中應包括網絡安全產品的有關要求、設計基準、標準、技術規格書以及所必須的其他要求,對采購物項和服務進行質量控制。
(1)自產品固件(含測試固件、最終固件)受控發布;
(2)涉及固件下載芯片從庫房出庫并記錄齊全;
(3)生產過程下載固件所需電腦、各種移動介質等工具均通過公司統一采購,并合格入庫,領用記錄齊全;
(4)電腦、各種移動介質等需要定期由專業人員進行病毒消殺;
(5)下載固件所需網絡需與公司辦公互聯網獨立設置。
3.6 廠內系統集成活動
為了保證系統集成和裝配階段能滿足網絡安全的要求,如環境防護、工裝防護、下裝工具等方面,企業按照《設備裝配和系統集成工作流程》執行該階段的工作。
3.7 確認及驗收測試活動
對上游設計輸入及脆弱性評估進行分析,制定測試程序及用例,驗證軟硬件集成后的儀控系統滿足上游設計輸入及脆弱性評估要求。測試人員開展網絡安全相關的測試與驗證活動,并提供設計驗證結果。
3.8 現場安裝活動
系統集成人員負責核電現場儀控設備硬件的安裝復原、改造工作;軟件安裝和升級工作由測試專業人員完成。完成后,需要確認符合電廠特定的策略、程序以及儀控系統安全防范計劃。
3.9 運行及維護活動
企業將核電儀控系統交付給核電廠后,在運行及維護期間,如有必要,配合核電廠進行相關的風險及安全防范管控的再評估。
3.10 變更活動
若核電廠對核電儀控系統有變更活動計劃,應基于風險評估考慮其對安全防范的影響并進行文檔記錄。公司將根據該變更活動計劃評估和影響分析文件,對涉及的核電儀控系統進行再評估,并以文件記錄。
3.11 退役活動
若供貨的核電儀控系統進入退役階段,且仍有所供貨的相關核電儀控系統在運,公司將保證避免該系統的敏感信息泄露。
4 結論
本文針對核電DCS網絡安全管理相關要求的研究分析,結合核電DCS開發過程的活動特點,將企業安全質量環境管理體系進行融合,形成了一種核電DCS網絡安全管理的方法。經過多年實踐檢驗,該方法可以有效對核電DCS網絡安全實施全生命周期管控,確保了DCS系統及其相關網絡安全防護產品的質量和可信性,增強了核電供應鏈安全,為核電廠網絡安全防護水平提升提供了支撐。
作者簡介:
顏元超(1987-),男,江蘇人,工程師,學士,現就職于中廣核數字科技有限公司,主要從事核電站網絡安全總體設計工作。
參考文獻:
[1] 關于進一步加強核電運行安全管理的指導意見,發改能源 [2018] 765號.
[2] 電力監控系統安全防護規定 (國家發改委2014年第14號令).
[3] 電力監控系統安全防護總體方案 (國能安全〔2015〕36號文).
[4] 電力行業網絡安全管理辦法 (國能發安全規〔2015〕100號文).
[5] 電力行業網絡安全等級保護管理辦法 (國能發安全規〔2022〕101號文).
[6] Regulator Guide 1.152, "CRITERIA FOR USE OF COMPUTERS IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS", July 2011, Revision 3.
[7] 錢單. RG5.71導則在國內核設施網絡安全領域的應用探討[J]. 科技傳播, 2018, 10 (5) : 129 - 130.
[8] 美國核監管委員會. 核設施的網絡安全程序: RG5.71[S]. 2010.
[9] IEC 62645, Nuclear power plants–Instrumentation and control systems–Requirements for security programmes for computer-based systems, Edition 1.0 2014 - 08
[10] GB/T 43532-2023, 核電廠儀表和控制系統網絡安全防范管控[S].
[11] 上官斌, 張睿瓊, 張黎明, 等. 核電廠數字化儀控系統 (DCS) 工程科學管理體系[C]. 全國電力行業企業現代化管理創新5年經典案例集, 2015 : 547 - 550.
[12] 王慧. 計算機控制系統 (第二版) [M]. 北京: 化學工業出版社, 2005.
[13] 李正軍, 計算機控制系統[M]. 北京: 機械工業出版社, 2005.
[14] 王錦標, 計算機控制系統[M]. 北京: 清華大學出版社, 2005.
[15] 景陽. 核電數字化分布式儀控系統研制進度風險管理研究[D]. 北京: 中國科學院大學, 2017.
摘自《自動化博覽》2024年9月刊
北京市公安局海淀分局備案號:11010802023656號