核电厂电气二次系统信息安全监管平台的研究
2015-01-06张兴振王元媛张立斌谭胜盛
张 林,崔 岗,张兴振,王元媛,张立斌,谭胜盛
(深圳中广核工程设计有限公司,上海 200241)
核电厂电气二次系统信息安全监管平台的研究
张 林*,崔 岗,张兴振,王元媛,张立斌,谭胜盛
(深圳中广核工程设计有限公司,上海 200241)
本文介绍了核电厂电气二次系统技术的发展趋势及其面临的网络安全威胁问题;分析了国家能源局对核电厂电气二次系统安全防护部署的强制性技术监管要求;通过解析核电厂电气二次系统的设备现状,研究出一种可实际部署在核电厂的电气二次系统的信息安全监管平台方案,并进一步探讨了该方案的后续发展趋势。
前置机;堡垒机;信息安全监管平台;主动安全;被动安全
核电厂的安全稳定运行和电力的可靠供应直接涉及国民经济发展和人民生命财产安全,甚至影响到国家安全和社会稳定。核电厂电气二次系统的运行直接关系到核电厂的安全。如何在核电厂建设、调试、运营阶段保证电气二次系统的信息安全显得尤为迫切。例如,2010年伊朗布什尔核电厂遭到的“震网病毒”攻击就是一个典型的案例[1];2014年12月26日在韩国建设中的古里核电厂遭到网络攻击,导致发生疑似氮气泄漏事故,造成3名工作人员死亡。
1 核电厂电气二次系统技术发展趋势
随着电气二次系统技术研究的飞速发展,电气二次系统和设备也在快速地走向智能化、数字化、信息化。近年来随着工业总线运用、数字化变电站、智能电网与物联网新兴技术的发展,电气二次系统技术正走向与计算机网络、通讯技术、人工智能融合发展的趋势。新的工业总线、数字化变电站技术在核电厂中的运用,在带来技术革新和方便快捷的同时,电气二次系统中许多数字化的重要信息,便留存在联网的计算机中,这些信息极易通过互联网被盗取,甚至遭到恶意篡改,也有可能成为境内外敌对势力进行渗透攻击的重要目标。
2012年10月至2013年3月,美国国土安全部下属的ICS-CERT(工业控制系统应急响应小组)监测到200多起工业控制系统安全事件,其中主要集中在能源、关键制造业、交通、通信、水利、核能等行业(如图1所示),而能源行业的安全事故则超过一半[2]。
图1 ICS-CERT关于安全事件行业分布分析(2012.10~2013.03)Fig.1 ICS-CERT distribution analysison security events for industry(2012.10~2013.03)
根据ICS-CERT往年的安全事件统计数据结果分析,近年来与工业控制系统相关的安全事件正在呈快速增长的趋势(如图2所示)[2]。
核电厂电气二次系统中很多系统和设备也属于工业控制系统,这些系统设备与核电厂的生产运行密切相关,如电气二次系统遭受黑客或病毒攻击,可能会导致核电厂发生紧急停堆的严重事故,甚至发生核事故。通常,核电厂机组多、装机容量大、机组的意外投退对跨地域电网的冲击也很大,极易诱发电网发生大面积停电事故,造成较大的社会影响,所以加强核电厂电气二次系统的安全防护显得尤其重要。
图2 ICS-CERT统计的工业控制系统安全事件(按财年统计)Fig.2 ICS-CERT statisticsof industrialcontrolsystem security events(by fiscal year)
2 国家能源局对核电厂电气二次系统安全防护部署的技术要求
国家发展和改革委员会于2014年发布了14号文《电力监控系统安全防护规定》[3],该文为电气二次系统安全防护提供了指导方针。据此,国家能源局于2014年颁布了317号文《电力行业网络与信息安全管理办法》[4]和318号文《电力行业信息安全等级保护管理办法》[5]。早在2012年,国家电力监管委员会2012年12号文《关于电力二次系统安全防护工作情况的通报》的附件中详细通报了电力二次系统安全防护工作的情况[6]。
国家能源局在2013年颁布了《核电站二次系统安全防护技术规定(试行)》[7](以下简称《规定》),该《规定》的征求意见稿中给出了核电厂电气二次系统安全部署示意图及其详细的技术要求。这意味着国家能源局即将出台的《电力二次系统安全防护规定》将核电厂列入其中。试行的综合安全防护要求将成为强制执行内容,因此拥有一套有效的,针对电气信息安全的监管系统是非常必要的。在《规定》的征求意见稿附件5《发电厂二次系统安全防护方案(征求意见稿)》中,给出了核电厂电气二次系统安全防护的技术要求,其部署如图3所示。
图3 核电厂二次系统安全部署示意图Fig.3 Security schem atic diagram for the secondary electrical system ofnuclear power p lant
2.1 核电厂电气二次系统安全防护遵循的基本原则
2.1.1 安全分区
核电厂基于计算机及网络技术的业务系统将该系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度再将生产控制大区划分为控制(安全区I)和非控制(安全区II),重点保护生产控制以及直接影响电力生产(机组运行)的系统。
2.1.2 网络专用
电力调度数据网是与生产控制大区相连接的专用网络,承载电力实时控制、在线生产交易等业务。核电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。核电厂端的电力调度数据网应划分为逻辑隔离的实时子网和非实时子网,并分别连接控制区(安全区I)和非控制区(安全区II)。
2.1.3 横向隔离
在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、国产硬件防火墙或者相当功能的设施,实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家有关部门的认证和测试。
2.1.4 纵向认证
核电厂生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
2.1.5 综合防护
综合防护是结合国家信息安全等级保护工作的相关要求对电气二次系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。
2.2 核电厂电气二次系统的业务系统和功能模块划分
核电厂的控制(安全区I)主要包括以下业务系统和功能模块:自动电压控制功能AVC、厂级信息监控系统的监控功能、网控系统、继电保护、辅机控制系统、相量测量装置PMU和自动控制装置(安控、电力系统稳定器PSS装置等)等。
核电厂的非控制(安全区II)主要包括以下业务系统和功能模块:厂级信息监控系统的优化功能、电能量采集装置和故障录波装置等。
核电厂的管理信息大区主要包括以下业务系统和功能模块:厂级信息监控系统的管理功能、检修管理系统和管理信息系统M IS。
考虑到核电厂信息安全的严格要求以及核电厂电气二次系统与日常正常运营有密切关系,目前信息监管平台后台只考虑部署在非控制(安全区II)内,且与管理信息大区无任何联系。电气二次系统和网络设备分别由独立部署在控制(安全区I)和非控制(安全区II)的前置机处理分析,不仅保证了控制分区隔离的要求,还增强了对外部网络攻击的抵御和防范能力。
3 国内核电厂电气二次系统安全防护现状
目前国内投运和在建的核电厂电气二次系统均已按照国家能源局的规定要求,以“安全分区、网络专用、横向隔离、纵向认证”的总体原则划分为生产控制大区和管理信息大区,其中生产控制大区又分为控制区(安全区I)和非控制区(安全区II)。由于投运核电厂建设较早,尚无具备《规定》中要求的综合安全防护关于入侵检测、主机与网络设备加固、应用安全控制、安全审计、恶意代码防范等功能。防护设备主要靠纵向认证、横向隔离等防火墙和交换机隔离来实现。在建核电厂除与电网联络的调度系统采取一定的安全防护措施外,均没有依照国家能源局2013年颁布的《核电厂二次系统安全防护技术规定(试行)》[7]执行。因此,投运和在建的核电厂对电气二次系统安全防护均未有采取一套专用、统一、综合的技术应对措施。
核电厂各个控制分区之间设置纵向、横向隔离和安全防护功能。该功能要求对应的设备通常由不同厂家供应,且分散在不同的厂房。不同类型的安全防护设备遍布于各处的安全信息毫无关联,安全策略执行也难以保持一致,安全审计工作也十分困难[8]。按传统方式分散管理这些安全设备变得非常困难,甚至不现实,且会成为许多安全隐患形成的根源;同时,核电厂中受过安全防护专业训练的IT人员非常缺乏。这种缺乏集中监管和统计分析手段的状态成为电气二次系统安全防护体系建设时面临的新问题。因此迫切需要一种技术手段,实现对电气二次系统安全设备运行状态及安全策略进行统一监管,解决核电厂电气二次系统面临的日益迫切的安全威胁及监管难题。另外,一套专用、统一、综合的核电厂电气二次系统信息安全监管平台能从技术上最大限度的发挥出所有安全服务的功能,提高运行维护人员的工作效率,促进核电厂电气二次系统安全防护体系落到实处,发挥实效,同时也满足国家能源局《规定》中的强制监管要求。
4 核电厂电气二次系统的信息监管平台方案
为满足国家能源局《规定》的要求,实现核电厂电气二次系统的安全防护控制和统一监管,设计了一种信息监管平台架构方案。该架构方案由硬件(数据采集器、堡垒机和专用加密存储设备、信息监管服务器等)和软件(信息监管平台软件平台、堡垒机软件平台、无线信号管理软件等)组成。
该架构方案采用主动安全管控和被动安全监测两种方式相融合的策略实现对核电厂电气二次系统在建设、调试、运营、检修全周期过程中的安全防护管理,并能为后期大型核电集团对地理位置分散的各个核电基地建立专用、统一、综合的信息安全防护监管平台提供外部延伸接口和支持。核电发展的实践表明,很多安全事件发生在核电厂偏离正常运行工况进行检修和试验期间。另外,在停堆检修期间,由于核电厂控制保护系统等的变化、检修活动的增加以及防范意识的相对下降,致使风险高于正常功率运行期间,因此大修期间的核安全风险控制和管理问题显得尤为突出[9]。本方案可以解决核电厂大修期间的数据和信息安全管控问题。
信息数据输入输出安全管控平台与安全信息可视化监测平台两种主、被动安全措施相融合,加强和完善了核电厂电气二次系统信息安全防护功能,形成了一套立体安全防护屏障。利用该方案可对核电厂电气二次系统的安全防护设备做到可测、可控、可视。核电厂电气二次系统信息安全监管平台构架方案如图4所示。
图4 核电厂电气二次系统信息安全监管平台构架方案示意图Fig.4 Schematic diagram of securitymonitoring platform for the secondary electricalsystem of nuclear power plant
图5给出了核电厂电气二次系统信息安全监管平台物理分层示意图[10]。由图可见,该平台架构方案按照数据流的处理方向分为三个物理分层[11],即数据展现层、数据处理分析层和数据采集层。数据采集层侧重对核电厂电气二次系统安全设备的日志采集;数据处理分析层则对采集的数据进行事件过滤,将采集数据分流到不同的内容识别模块,由不同功能的模块分别进行处理;数据展现层以图形化的方式进行展示,建立一种直观、易操作的强大功能图形界面,同时能适应核电厂电气二次安全防护标准。
4.1 信息监管平台的工作流程
(1)生产控制(安全区I)
图5 核电厂电气二次系统信息安全监管平台物理分层示意图Fig.5 Physical layer diagram ofsecuritymonitoring platform for thesecondary electricalsystem of nuclear power plant
生产控制(安全区I)内设置分布式数据采集器,通过数据链路采集被监管的系统和设备(开关站监控系统、继电保护子站、制动装置、PMU、AGC、纵向隔离或通讯设备、横向隔离或通讯设备等)的日志信息,并将该信息汇总通过数据链路送给I区前置机。前置机也可以通过双向的数据链路远程实现对被监管的系统和设备的日志配置。
(2)生产非控制(安全区II)
生产非控制(安全区II)内也设置分布式数据采集器,通过数据链路采集被监管的系统和设备(故障录波装置、电能量采集装置、厂级监控信息系统(监测功能)、纵向隔离或通讯设备、横向隔离或通讯设备等)的日志信息,并将该信息汇总通过数据链路送给II区前置机。前置机也可以通过双向的数据链路远程实现对被监管的系统和设备的日志配置。
(3)堡垒机和监管中心后台
堡垒机将自身运行的安全日志及其核电厂软件及信息数据使用记录通过单向数据链路送至监管中心后台监测。监管中心后台通过单向的加密数据链路接受来自I区和II区的前置机安全信息和堡垒机安全信息,并汇总、分析和筛选处理,统计、归纳和形成报表,筛选非常重要的安全信息通过专用的加密数据链路远传至核电集团核电厂信息安全防护大统一监管平台。
详细流程参见主动安全管控工作流程图6和被动安全监测工作流程图7。
图6 主动安全管控工作流程图Fig.6 Work flow chart for active safety control process
图7 被动安全监测工作流程图Fig.7 W ork flow chart for passive safetymonitoring process
4.2 信息监管平台的技术特点
(1)主动安全管控
本架构方案采用一套信息输入中心审核堡垒机。该堡垒机作为核电厂生产控制I和II区的主动安全管控设施,主要负责对核电厂在建设、调试、运营、检修阶段对软件和数据信息输入的安全防护和管理控制。所有需要在控制区输入的软件和数据信息都必须经堡垒机审核鉴定通过后,再通过专用存储设备和终端设备导出,转移到核电厂生产控制I和II区内服务的系统和设备。专用存储设备和终端设备包括专用加密U盘或硬盘、笔记本电脑、工控机、手持式控制面板终端等。该专用存储设备和终端设备的使用和储存都必须严格管控,专人专管,使用时也会在堡垒机上留存记录。平常普通技术人员没有授权,无法接触到该类型设备。
例如:生产控制I区继电保护子站在核电厂大修期间为升级部分功能,需要输入软件和信息数据。首先该继电保护子站的供应商提出申请,提供该软件和信息数据给核电厂安全防护专责人员审核,并将其输入堡垒机进行病毒扫描、木马测试。做好事件记录,堡垒机存档。通过验证后,允许将该软件和信息数据输出至核电厂专用的加密U盘或硬盘。在安全防护专责人员陪同下携带该加密U盘或硬盘至继电保护子站设备现场,将加密U盘或硬盘经专用隔离设备连接至继电保护子站,待数据输入完毕后由安全防护专责人员带回堡垒机删除加密U盘或硬盘中的软件和信息数据,以备后用。继电保护子站的供应商工程师只能在现有继电保护子站后台上利用已经输入的软件和信息数据进行升级操作,现场不允许携带任何外来的移动存储设备。另外核电集团核电厂信息安全防护大统一监管平台也会采集堡垒机的日志信息,及时获取该事件的记录信息。
(2)被动安全监测
本架构方案还采用了一套信息监管中心平台。该平台作为核电厂生产控制I和II区的信息监管中心,主要负责对核电厂生产控制I和II区的业务系统和纵向、横向边界隔离和安全设备的运行状态监测。该架构方案采用了将前置机下放至各个控制分区内的布置,将分区内的安全监测信息通过光纤加密单向传输至监管中心后台,有效地加强了安全防护水平,也满足能源局《规定》中对控制分区的隔离要求。
例如,生产控制II区厂级监控信息系统在核电厂调试完毕移交给运行管理后,某一天设备突然出现异常信息。该设备的供应商工程师为逃避工作审批流程,违反操作流程,私自将其装有调试软件的笔记本电脑接入厂级监控信息系统。生产控制II区的分布式数据采集器通过对厂级监控信息系统的日志采集,能在第一时间获得没经授权的计算机异常接入事件信息,并将该信息快速反馈至生产控制II区前置机,再由前置机快速反馈至信息监管中心后台,发出报警窗口或声、光等报警信息,安全防护专责人员便能及时知道何时、何地发生了异常设备接入事件,并能立即通知现场及时处理。同时信息监管中心后台也将能将该事件的信息快速发送至核电集团核电厂信息安全防护大统一监管平台,并做好记录及其报备工作。
4.3 信息监管平台的设备功能
4.3.1 前置机的功能
前置机布置在核电厂各生产控制分区,与信息监管中心采用单向光纤加密通信。前置机数量根据业务量的大小进行设置。
4.3.2 堡垒机的功能
堡垒机具有如下的多重功能:
(1)审核外来文件(包括软件和信息数据等,下同)内容的合法性和安全性;
(2)审核后续操作的合法性,必要时进行阻断;
(3)记录操作日志;
(4)存储核电厂建设、调试、运行、检修至寿命末期全周期间所有外来文件输入的信息,并归档;
(5)能将核电厂建设、调试、运行、检修至寿命末期全周期间所有外来文件通过安全审核后输出到专用的加密存储设备,并在安全专管人员的现场见证下,通过专有加密存储设备将这些外来文件导入至对应的电气二次系统使用。
对有后台主机的系统或设备外来文件的输入,可通过堡垒机审核后经专有加密存储设备(定制U盘或硬盘)导入。
对无后台主机的系统或设备,可能需要外部电脑或特制工控机、手持式控制面板(如变频器控制器等)通过通讯口对系统或设备进行调试和文件输入。在这种情况下,需要采购该类型的设备做备份留用,作为后期大修或维护期间数据和软件输入的专用特制工具。日后的检修和维护人员数据和软件输入都必须使用该特制工具。
5 技术创新特点
架构方案主要的技术创新点如下:
(1)前置机的设计
在生产控制I和II分区范围内分别设置前置机,有效防范外部黑客入侵。
(2)监管中心的整体应用
本架构方案在适用于各个核电厂基地的同时,还能为后期大型核电集团对地理位置分散的各个核电基地建立专用、统一、综合的信息安全防护监管平台提供外部延伸接口和支持。
(3)堡垒机
主动安全设备堡垒机的使用加强了对核电厂建设、调试、运行、检修至寿命末期全周期间软件和信息数据输入的安全管控。
(4)专用加密存储设备的运用
核电厂内部专有加密存储设备和特制工具终端设备的统一专人管控,除加强了软件和信息数据的安全转移外,还提供了操作的记录供以后查询。
(5)专用网络安全设备的运用
采用专用网络安全设备如网闸、加密机、入侵监测等。
(6)单向外部加密传输的设计
生产控制区内的前置机与信息监管后台之间采用光纤单向加密传输,只允许向外部发送数据,有效地阻止了可能出现的外部入侵。
(7)防无线入侵设备的运用
核电厂电气系统和设备布置的房间采用无线入侵防御设备,严防任何无关的无线网络信号覆盖。并可以对监测到的异常无线网络信号进行干预和管制。
6 信息监管平台后续发展趋势
随着计算机信息安全技术的发展和进步,核电厂电气二次系统信息安全监管平台也将会进一步发展和优化。信息监管平台不仅要解决安全信息的监测问题,在未来更是要在主动安全防控的基础上更进一步发展。由于核电厂是国家重要的能源基础设施,面对飞速发展的互联网网络技术,加强与安全生产密切相关的系统主动安全防控手段尤其重要,而主动安全防控手段又恰是防控领域里面临的最大难题。在核电厂建设、调试、运营、检修的全生命周期里,主动安全防控不仅牵涉到核电厂业主方、设备供货商、核电厂建设承包商、核电厂委托运营方、维护和大修第三方委托公司等众多单位,还牵涉到各种不同类型的系统和设备,并还要穿插在不同的位置环境及其面临的不同工程阶段。面对各种对象在不同时间、空间上的安全防控要求,要严格做到无任何风险和漏洞需要做进一步的详细的系统性研究。此外,核安全文化对核安全监管有引领作用[12],信息安全监管不仅仅是依赖一套系统或设备,还需要核电厂业主和运营商提高思想意识,制定专门的规章制度,设立配套的专责人员,才能为核电厂的安全保驾护航。
7 结论
核电厂电气二次系统信息安全监管平台架构方案的研究,对核电厂电气二次系统信息安全防护的设计具有一定的现实指导意义,并为核电厂电气二次系统面临日益迫切的网络安全威胁问题提供了一种很有实用价值的探索。全面加强安全监管,在实践中不断提升安全水平,设计上实现“兜底”并不意味着绝对安全,真正确保核电安全还需从核电选址、设计、建造、运行直至退役的全过程进行全面严格的安全监管[13]。
[1]胡江,孙国臣,张加军,等.由“震网”病毒事件浅谈核电站信息安全现状及监管[J].核科学与工程,2015(1):181-185.
[2]李鸿培,忽朝俭,王晓鹏.2014工业控制系统的安全研究与实践[M].绿盟科技,2014:2-3.
[3]国家发展和改革委员会令14号,电力监控系统安全防护规定[S].国家发展和改革委员会,2014.
[4]国家能源局317号,电力行业网络与信息安全管理办法[S].国家能源局,2014.
[5]国家能源局318号,电力行业信息安全等级保护管理办法[S].国家能源局,2014.
[6]国家电力监管委员会.关于电力二次系统安全防护工作情况的通报[S].国家电力监管委员会,2012.
[7]国家能源局.核电站二次系统安全防护技术规定(试行)及相关配套文件(征求意见稿)[S].国家能源局,2013.
[8]郑伟,刘旭,郑方方,等.一体化信息安全管理平台设计与建设[J].数字技术与运用,2012(6):198-200.
[9]刘卫华.重水堆大修期间的核安全要求及管理[J].核安全,2005(2):16-20.
[10]王宁平,韩保信.信息内网安全监管平台解决方案[J].电力系统通信,2012(11):51-54.
[11]金学成,孙炜,梁野,等.电力二次系统内网安全监视平台的设计和实现[J].电力系统自动化,2011(16):99-104.
[12]柴建设.核安全文化与核安全监管[J].核安全,2013(9):5-9.
[13]董毅漫,张弛,宋大虎,等.我国核电安全目标发展取向的思考[J].核安全,2012(4):10-15.
[14]田嘉.电厂二次系统安全防护方案的设计与规划[J].电力信息化,2011(4):60-64.
[15]章政海.电厂二次系统安全防护总体设计研究[J].电力信息化,2013(1):107-110.
TheResearch on the In formation Security M onitoring Platform of Secondary ElectricalSystem for Nuclear Power Plant in China
ZHANG Lin*,CUIGang,ZHANGXinzheng,WANGYuanyuan,ZHANG Libin,TANShengsheng
(CNPDC,Shanghai200241,China)
The technicaldevelopment trends and facing network safety threats for the secondary electrical system ofnuclear power plantwere described.Themandatory technical regulatory requirements of National Energy Adm inistration for the secondary electrical system security in nuclear power plantwere analyzed.By analyzing theequipmentactuality of theelectricalsecondary system ofnuclearpowerplant,a schemeon the information securitymonitoring platform,which can actually be deployed in nuclear power plantsecondary electricalsystem,wasdeveloped finally thesubsequentdevelopment trend of theschemewasdiscussed.
frontend server;accessgateway;information securitymonitoring platform;active safety;passivesafety
TK
:A
:1672-5360(2015)04-0076-07
2015-09-01
2015-10-17
深圳中广核工程设计有限公司科技创新项目,项目编号K-A 2014.017
张 林(1977—),男,上海人,工程师/学士,现主要从事核电站电气系统设计工作
*通讯作者:张 林,E-mail:lin.zhang.sh@gmail.com
