今日頭條
官方微信
官方抖音
資訊頻道1 概述
隨著近年來控制和信息技術(網絡通信技術、計算機硬件技術、現場總線技術等)的不斷發展和日益成熟,加之用戶對先進控制功能與管理功能需求的提升,全數字化儀控系統開始全面進入核電站的實際應用。
數字化帶來很多好處,如高精度,無信號漂移,具有容錯、故障自診斷的功能,同時還具有兼容性,開放性等特點;計算機系統可以提供長期的,大容量的數據存儲;同時操縱員支持功能,對事故與事故后對數據進行智能化處理,為操縱員提供最易理解的信息支持。但數字化的網絡技術也有它本身的特點和局限性,網絡安全就是一個典型的問題,特別是近期針對工業控制系統的網絡安全事件不斷出現后,這一問題顯得尤為突出。
針對工業控制領域的網絡安全控制問題,國內并沒有一個成熟的標準和規范可遵照執行,下面僅針對目前完成工程實施的數字化儀控系統的網絡安全實踐情況進行說明。
2 網絡安全核電廠實踐現狀
2.1 核電廠儀控系統介紹
習慣上,核電廠儀控系統按其功能分為以下的四個層次:
0層 工藝系統接口層(包括傳感器,閥門等);
1層 自動控制和保護層;
2層 控制和監視層;
3層 全廠信息管理層(包括MIS系統等)。
核電廠數字化儀控系統總體結構圖(如圖1),整個控制網絡主要通過交換機以工業以太網進行數據通訊和數據交換。DCS系統的1層采用Tricon(1E級)和IA系統(NC和NC+)構成,主要采集來自0層的信息并發出控制驅動命令。2層(后備盤和ECP盤除外)的數據處理系統和HMI系統由ADACS_N系統來實現。1層和2層主要通過IA系統的AW站和ADACS_N系統的CFR服務器采用FoxAPI的方式完成兩者的數據交換。除了對核電廠的監控工作,DCS系統還需要向核電廠管理信息層(三層)以及電廠應急指揮中心等機構發送所需的電廠運行狀態信息。本文中管理信息系統特指核電廠實時信息監控系統(KNS)。它主要為核電廠建立全廠生產過程實時和歷史數據庫平臺,主要為運行、維修、技術支持等生產監管人員提供全廠生產過程實時管理監控服務和綜合優化服務。按照國家核安全當局的要求,要求將電廠的一小部分運行信息實時送至國家核應急中心等地,這就需要通過廣域網完成信息傳輸。除了全廠的DCS系統外,核電廠還有部分采用數字化系統的第三方專用儀控系統如堆外核測、堆芯測量、DEH等。這些專用儀控系統主要通過網關與主DCS系統進行信息交換。
2.2 核電廠儀控系統控制區劃分
在國家發展和改革委員會令第14號《電力監控系統安全防護規定》發布之前,核電廠數字化儀控系統依據國家電監會發布的《電力二次系統安全防護規定》(電監會5號令) 劃分為生產控制大區和管理信息大區。其中1層和2層劃分到生產控制大區中,3層劃分到管理信息大區,0層如果采用總線儀表則也應歸入生產控制大區。1層的保護系統由于有特殊的要求,即使在生產控制大區內部也在1E級的保護系統和非1E級的正常運行控制系統之間設置必要的網關,保證必要的信息隔離確保網絡安全。
2.3 核電廠儀控系統網絡安全措施
2.3.1 用戶名口令控制進入
運行人員對于DCS系統的權限僅限于對于二層終端的使用,沒有修改系統配置以及系統數據的權限。按照操縱員的職責設置不同的用戶名和口令,相應地具有不同的使用權限(如設備控制操作、規程操作、狀態監視、掛牌、交接班等)。另外,根據二層終端的布置位置預先配置不同的使用權限,使之無法超越權限使用。如只有主控制室和遠程停堆站的二層終端具有操作控制權限,布置在技術支持中心、計算機房等的二層終端只有信息監視的權限。這種設置可以最大限度地防止未授權進入。
只有維修人員具有對于一層以及二層工程師站的登錄用戶名和登錄口令以及進入計算機房的權限。也就是只有維修人員才具有對系統進行故障處理以及修改的權限。
2.3.2 物理行政手段
從職責分工上講,核電廠運行期間需要接觸到數字化儀控系統的人員,主要包括運行人員和調試維修人員。運行人員接觸儀控系統的場所主要是主控制室、遠程停堆站以及現場巡檢。
維修人員具有所有儀控設備(軟硬件)的進入權限,如電子機柜的柜門鑰匙,主控盤臺的門鑰匙等由維修人員掌握。對于主要儀控設備的機柜還專門設置了門開報警,在機柜門被打開的時候給出報警信號。
圖1 核電廠儀控結構總貌圖
考慮到進入系統的接口控制,只有工程師站的計算機保留了USB口等介質接入接口。系統內的其它計算機的外接接口均封閉。
2.3.3 網絡隔離措施
由于國內沒有發布專門針對網絡安全的相關標準,在設計上主要是按照電監會5號令的要求(電監會5號令已經廢止,目前是按照剛發布的發改委14號令的要求)設置相應的網絡隔離措施。
(1)生產控制區和管理信息區的信息隔離
即儀控系統的二層和三層之間(如圖1)設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置用于控制儀控系統的信息流,該裝置物理上就具備單向通訊的特性,進行信息發送時也不需要先進行一般通訊傳輸的握手交互等雙向信息交換的方式,這種方式只允許將生產控制區(儀控系統的一層和二層)的信息以實時或定期發送的方式傳輸至管理信息區(本項目中采用南瑞的syskeeper 2000單向隔離裝置)(詳細網絡結構及接口見圖2)。這種設計完全符合電監會5號令中 “在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置”的要求。這種方式既能夠完成向電廠管理信息網的有效信息傳輸,又能夠有效防止可能的來自管理信息網的網絡安全威脅。
圖2 生產控制區和管理信息區的網絡結構詳圖
(2)生產控制區內部的隔離
生產控制區內(一層和二層)主要包括三個部分的信息交換: 一層和二層之間,主儀控系統與第三方專用儀控系統之間,非安全儀控系統與安全儀控系統(保護系統)之間的信息交換。
由于主儀控系統的1層和2層分別采用不同公司的產品,1層和2層主要通過IA系統的AW站和ADACS_N系統的CFR服務器采用FoxAPI的方式完成兩者之間的數據交換。
從分區的角度,獨立第三方儀控系統也劃分在生產控制區中,因此這些獨立第三方儀控系統與主DCS系統的數據交換也屬于生產控制區內部的信息交換,原則上可以直接相連接而不作處理。但是考慮到這些獨立第三方儀控系統在電廠管理中分屬不同的生產部門,為安全起見,系統設計的時候還是在這些系統和主DCS系統之間設置了通訊網關進行一定的邏輯隔離,主要通過圖1中的“FDSI GATEWAY”來實現一定程度的信息隔離。
核電廠儀控系統中對于安全要求最高的是保護系統(安全儀控系統)。按照IEC61508的功能安全等級保護系統劃分為SIL4級。關于保護系統在安全方面的措施下文會有詳細的描述,此處僅從安全分區和信息隔離的角度進行描述。在保護系統與非安全儀控系統之間設置有經過鑒定的單向網關裝置,如圖1的“1E到NC FDSI Gateway”網關裝置。該網關同樣具有單向特性,只允許保護系統向非安全儀控系統單向發送信息,而從非安全儀控系統向保護系統的信息發送是不被允許的。
以上三個方面的措施都滿足電監會5號令關于“生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施,實現邏輯隔離。”
(3)與廣域網的隔離
按照國家核安全當局的監管要求,需要將反映核電廠運行的實時信息送至國家核應急中心等部門。這部分信息的傳輸需要通過核電廠儀控系統的3層部分來實現(如圖1所示)。對于這一部分的安全防護和信息隔離主要是按照電監會5號令的要求“在生產控制大區與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施”的要求,一般采用衛士通系列等產品,主要包括以下的功能:安全隧道:用戶數據通過密碼機廠的安全隧道進行安全的網絡傳輸。數據包加密:除了對原有IP包進行封裝外,還要進行加密處理,保證數據在網絡上傳輸的機密性。設備和管理員身份認證。
訪問控制。出于信息安全和信息傳輸的可靠性的要求,部分時候還會在信息傳輸端設置雙的完善空間。”
2.4 核電廠保護系統網絡安全措施
2.4.1 保護系統的安全計劃
按照針對核電廠安全重要儀控系統的標準IEC 61513(Ref.1.5.1.1)以及Reg. Guide 1.152 (Ref. 1.5.1.2)的要求首先要對保護系統編制其安全計劃以確保保護系統的可用性(防止非授權的進入和破壞),完整性(防止未授權的修改)和保密性(未經授權的披露)(operability, integrity and confidentiality)這個計劃要求匹配在保護系統軟件開發過程中以及整個軟件生命周期中為確保和維持保護系統的設計以及維護過程中的安全性而采取的措施。依靠行政和技術手段來保護I&C系統結構并防止惡意的攻擊以預防危害電廠安全重要功能的發生。
2.4.2 人員活動及工作場所控制
在工程的不同階段不同的人員擁有不同的權限,同時還需要考慮保護系統整個生命周期中環境的變化,如設計場所,調試場所,電廠現場等。
物理保護主要涉及防止未授權的接近(打開保護系統機柜門)不同的保護組和保護列,機組有不同的機柜鑰匙;涉及保護系統工作人員的身份確認和授權確認以及可靠性確認。運行期間機柜設有門開報警及時通知主控室人員。
工程階段人員: 包括RPS設計團隊,設計經理負責在軟件系統內分配設計團隊里各成員的登入登出權限;分配不同人員對于各類文件,設計成果軟件,系統配置查看的不同登入登出權限。需要說明的是,權限的分配還需要結合用戶ID和密碼。人員包括軟件編碼人員、IV&V人員和硬件設計人員等。
工廠測試階段人員:涉及的人員包括供貨方測試人員、IV&V人員、買方測試人員,只有供貨方測試人員有進入系統的權限。
現場測試人員: 買方安裝人員、供貨方安裝監督人員、SAT團隊,只有SAT團隊中的供貨方人員有進入系統的權限。
運行期間人員: 調試維護人員、運行人員,只有維護人員有進入系統的權限。
關于供貨商對于其在保護系統軟件設計和測試過程至軟硬件在現場完成安裝中的計算機安全責任以及移交現場后的保護系統網絡安全責任移交現場買方。包括保護系統的機柜上鎖以及系統軟件的用戶保護口令等。
2.4.3 不同階段的安全控制措施
(1)保護系統的安全需求
在保護系統的需求階段,主要由設計方提出保護系統安全方面的需求,主要包括:
·軟件本身具有防入侵特性;
·影響操作系統軟件完整性應用軟件的修正,改變或影響不允許;
·物理保護;
·人員身份確認和授權確認;
·機柜門帶鎖且針對不同的保護組,保護列,機組有不同的機柜鑰匙;
·保護系統機柜門開報警,及時通知主控室人員;
·軟件按照標準IEC 61513要求保證完整性,可用性,保密性;
·建立完整的安全計劃防止保護系統受到攻擊而破壞安全功能。
·安全計劃必須明確對包括系統和設備在內的保護系統功能的安全需求;
·可能失效的措施必須在過程中明確;
·由于未授權進入和修改所導致的風險必須以系統化的方式進行管理;
·所采取的安全措施應不會對系統可靠性和可用性造成負面影響;
·登入登出系統的口令系統;
·保護系統與其他系統的接口處理,如設置網關等。
(2)設計階段的安全措施
前文已經描述過,核電廠保護系統按照IEC61508的安全等級劃分為SIL4,供貨商按照SIL4的要求確保軟件中沒有包含后門以及特洛伊木馬等,即所有涉及危及計算機安全的威脅都會被除去。
設計階段保護系統面臨的安全風險包括:
·未經授權的修改(工程數據的完整性威脅);
·未經授權進入而導致的破壞(影響可用性);
·未經授權的分發(影響機密性)。
針對以上的風險,供貨商將完成實施以下的措施和方法:
·只有經過資質鑒定和考核的人員才允許接觸和編寫保護系統的軟件代碼;
·在供貨商的工作場所設有人員進入控制系統(門禁等),以防止未經授權的人員進入到相應的工作場所;
·安全相關信息僅提供給經授權的人員;
·相關的計算機設置開機權限;
·系統的信息傳輸受控(如保護系統與其它系統的信息交換采用單向通訊協議,奇偶校驗,網關設置,防火墻等);
·存儲器只讀保護(還包括文件備份等);
·計算機防病毒措施;
·相關文檔的安全措施;
·不同階段不同的人員擁有不同的權限;
·使用校驗和生成一個軟件指紋;
·所采用的控制器是經過網絡安全論證的(運行狀態下不允許通過網絡寫入);
·進入系統的用戶名/密碼保護;
·不允許在軟件應用程序的代碼編制,修改以及變更的過程中影響到系統的完整性。保護系統所使用的是系統內置的實時執行器固件,該執行器作為控制器(CPU)的一部分。執行器獨立于應用軟件不可能在使用過程中因突發事件而被修改。
從硬件上,所有的保護系統機柜都有專門的柜門鎖,只有相關的設計人員才能打開機柜。另外在軟件系統內部還根據不同的設計人員權限定義不同的系統進入口令如代碼編輯、數據庫、系統狀態變化以及啟動運行權限。
(3)測試階段的安全措施
測試階段主要考慮以下的風險:
·未經授權的修改(工程數據的完整性威脅);
·未經授權的分發(影響機密性)。
一般采取以下措施:
·只有經過資質鑒定和考核的人員才允許接觸和編寫保護系統的軟件代碼;
·安全相關信息僅提供給經授權的人員;
·相關文檔的安全措施;
·控制機柜的鑰匙;
·控制測試工具的接觸權限;
·控制移動介質;
·控制物資倉庫。
(4)運行階段的安全措施
一旦保護系統在現場完成安裝,當然系統的移交還包括了對于文件移交的安全措施。保護系統相關的文件移交按照買方與供貨方確定的工作程序進行。移交之后,買方業主將承擔起預防所有保護系統網絡安全相關威脅的責任,當然包括了機柜鑰匙以及系統保護口令等的移交。業主將按照標準的要求(如IEC-61513等)的執行相應的措施以緩解和防止會影響電廠安全的網絡安全事故的出現。
系統運行階段安全措施主要保證保護系統運行期間的數據保護以及保護系統運行階段的網絡安全威脅和應對措施。
3 結語
隨著基于工業以太網的全數字化儀控系統在核電廠的廣泛應用,基于信息網絡的安全事件也不斷出現,這對核電廠的信息安全提出了更高的要求。我國還沒有建立一套完善的關于工業控制系統信息安全的完整體系,近期在轉化相應的國際標準如IEC62443《工業過程測量和控制安全-網絡和系統安全》)方面進展很大。對應的核電廠儀控系統特別是保護系統信息安全方面的要求及措施也有很大的完善空間。
作者簡介
張玉峰(1974-), 男,高級工程師。2000年畢業于西安交通大學核能科學與工程專業,碩士,現就職于中國核電工程有限公司,主要從事核電廠儀表與控制系統相關工程和研究工作。
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號