三门核电站二次系统安全防护方案
2015-10-28刘帝勇
刘帝勇,刘 双
(三门核电有限公司,浙江 三门 317112)
三门核电站二次系统安全防护方案
刘帝勇,刘双
(三门核电有限公司,浙江三门317112)
安全是核电发展的基础和前提,信息安全是核电安全的组成部分之一,而电力二次系统安全防护则是确保核电站信息安全的关键。通过对国内的相关法律法规要求和三门核电站二次系统接口、安全架构进行分析,明确指出了三门核电站二次系统安全防护中存在的问题,并针对问题给出了解决方案,对后续相同堆型机组的二次系统安全防护设计、建设具有一定的指导意义。
AP1000;电力监控系统安全防护;等级保护;信息安全
近年来,“震网”病毒、“棱镜门”窃听事件、WindowsXP退役导致大量使用XP系统计算机感染病毒等不断发生的信息安全事件,引起了人们对计算机网络和信息安全的广泛担忧。
鉴于当前工业控制系统正面临前所未有的信息安全威胁,国家相关部门出台了一系列的规定,包括原国家电力监管委员会(“电监会”)于2012年发布的《核电站二次系统安全防护技术规定(试行)》[2]、国家发改委14号令《电力监控系统安全防护管理规定》及其附件均对核电站电力监控系统安全防护做出了全面细致的规定。
三门核电站是全球首座采用第三代先进压水堆(AP1000)技术的核电站,本文结合三门核电站电力监控系统的特点以及国内的相关法律法规要求对三门核电站的电力监控系统安全防护进行分析。
1 法规标准分析
1.1法规遵从
核电站电力监控系统安全防护主要遵从两个方面的法规及标准:一是满足信息安全及等级保护的相关标准;二是满足电力监控系统安全防护的相关要求。
前者主要涉及《电力行业信息系统安全等级保护基本要求》[3]《中华人民共和国计算机信息系统安全保护条例》《计算机信息系统保密管理暂行规定》及《计算机信息系统安全保护登记划分准则》4个法规标准。后者则主要包括《电力监控系统安全防护规定》[1]及其配套文件《核电站二次系统安全防护技术规定(试行)》[2]等。
1.2工控信息安全标准遵从
为了有效解决工控系统的信息安全问题,IEC/TC65/WG10(网络与系统信息安全工作组)与ISA(国际自动化协会)联合制定IEC62443《Industrial Networks and System Security》[8]工业过程测量、控制和自动化网络与系统信息安全系列标准。我国工业过程测量和控制标准委员会(SAC/TC124)与信息安全标准委员会(SAC/ TC260)参照国际标准,制定符合我国具体国情的《工业控制系统信息安全》系列标准[4]。
1.3等级保护与电力监控系统安全防护关系
在2012年发布的《电力行业信息系统安全等级保护基本要求》文规定中,新增了电力监控系统安全防护的相关规定,增加的条款继承并细化了原电监会5号令[5]的内容。信息系统安全等级保护主要针对通用的计算机信息系统,从技术与管理等方面提出安全防护措施和要求,电力监控系统安全防护则根据电力行业的特点,对其予以了细化、补充、完善和加强,可以说是等级保护的一个分支。等级保护的要求是电力监控系统安全防护的基础,两者相辅相成。电力信息系统的风险评估、等保测评里均涵盖了电力监控系统安全防护评估的大部分内容,而后者的重点在于生产控制类信息系统的防护。
核电站电力监控系统安全防护主要基于以下5个基本原则[1-2]:
1)安全分区。即核电站基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区,生产控制大区可以分为控制区和非控制区。
2)横向隔离。生产控制大区与管理信息大区网络应物理隔离,要求部署符合电力系统安全防护要求的单向隔离装置。
3)纵向加密。在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。
4)网络专用。电力调度数据网与其他网络系统物理隔离。
5)综合防护。对电力监控系统从主机、网络设备、恶意代码防范、审计、备份和容灾等多层面进行信息安全防护。
2 三门核电站电力监控系统
2.1电力监控系统
核电站的电力监控系统包括了核电厂内部所有涉及的工业控制系统,包括DCS、升压站计算机监控系统(NCS)、自动电压控制(AVC)、同步相量测量(PMU)、电能计量系统、数据网接入系统、环境监测系统等。三门核电站不仅包括常规电厂有的一些共性系统,还包括一些个性化的系统,如堆芯运行最佳评估分析系统(Beacon)、企业数据服务器系统(EDS)等。
三门核电站总共有近30个电力监控系统,涵盖核岛、常规岛区域。仪控相关系统是其中较为关键的系统,包括DDS(数据显示和处理系统)、PLS(电厂控制系统)、PMS(保护和安全监测系统)等,大部分仪控系统与信息网络相关。三门核电站的仪控系统采用数字化的控制和保护系统平台。集成的仪控系统设计可以使所需接口和设备的数量最小化,从而提供最佳的结构和性能。数字化仪控一般分为4个层次:过程接口层、控制与数据处理层、监控层、管理层等。三门核电站的仪控系统基于两种平台:Common Q平台和Ovation平台,前一个主要用于实现安全系统的操作、数据显示、控制和监测;Ovation平台主要用于执行非安全系统的操作、数据显示、控制和监测。
2.2三门核电站初始设计网络分层
根据设计,三门核电站总体网络架构分为4层,即Level 1到Level 4(安全级别由低到高)。仪控系统主要集中在Level 4和Level 3,有较为严格的单向要求。Level 4包括核电站重要的控制和监视系统,安全保护等级最高,Level 3包括部分监视和分析系统,Level 1和Level 2主要是防护要求等级较低的一些系统和设备,包括EOF(应急指挥中心)、TSC(运行支持中心)、OSC(运行支持中心)的相关设备等。Level 4的数据只能单向传输到Level 3,Level 1和Level 2以及Level 2和Level 3之间均使用防火墙进行防护。
3 对比分析
电力监控系统安全防护相关法规文件对分区的要求如下:按照生产大区(I区、Ⅱ区)、管理大区(Ⅲ区、Ⅳ区)的分区方式来进行系统边界划分,大区之间的防护部署国产的隔离网闸。按照典型的设计规范要求,生产I区系统与生产控制相关;生产Ⅱ区系统与电力监控、非生产控制系统相关;管理Ⅲ区主要为辅助决策系统;管理Ⅳ区为行政办公网络中的信息系统。
对比三门核电站原始设计网络的分层,可以得知国外的分层标准和理念与国内标准有相通之处。控制区,即安全要求最高的区域,数据只能通过单向隔离装置导出。Level 4相当于生产控制大区,Level 1~Level 3相当于管理信息大区。区别在于,国内规定生产大区里需再细分为控制区与非控制区,原始设计的网络分层里单向隔离装置内侧没有再进行安全区域划分,这样一来,属于非控制区的系统相当于和Level 3或Level 2的系统对等,涉及的相关系统的防护等级要求就有区别。根据对标,原始设计的网络分层无法直接与国内的电力监控系统安全防护分区一一对应,电力监控系统安全防护的方案设计要综合考虑两个层面:即既不破坏原始设计网络的标准,又要符合国内法规的要求。
4 解决方案
4.1方案分析
第二种方案是将三门核电站所有原始设计的、与生产控制功能相关的系统均纳入生产大区,部署国产的隔离网闸作为大区之间的分界。
4.2方案比较
上述两个方案优缺点对比如表1所示。从表1的对比可以看出:从安全可控、电力监控系统安全防护评审认证、责任分割等角度考虑,方案二相对更佳。
4.3方案二详细设计
安全防护方案紧紧围绕“安全分区、网络专用、横向隔离、纵向加密”十六字方针展开,具体如下。
4.3.1安全分区
根据法规要求,将网络分成4个区,各分区描述如下:
《浙江全省舆图并水陆道里记》[6]和《道光东阳县志》[5]记载的大路中许多地名几经更迭,与现地名多有出入,但古道路线大致走向仍然可考,平原地区古道几乎都改为公路,只留有部分的古亭、古桥或路碑。因此森林古道保留相对较为完整,经调查,截至2017年底,东阳市现存森林古道73条,总长度大约为163 km(表1)。
(1)控制区-I区
1)与调度端有数据接口的电力监控系统
与调度端有数据接口的电力监控系统包括:同步相量测量(PMU)装置、AVC系统等,它们通过局域网交换机、纵向加密认证装置、数据网接入设备分别接入区域的电力调度数据网和省电力调度数据网的实时VPN子网。
表1 有无隔离网闸方案对比Table 1 Comparison between plan with GAP and plan without GAP
2)厂内计算机监控系统
厂内计算机监控系统包括:机组DCS控制系统、辅助系统、PLC控制系统、NCS系统,其中DCS与NCS之间数据传递为硬接线,不采用通信联接;各PLC控制系统与NCS无任何接口,与DCS也不采用通信联接。PMS系统(保护和安全监测系统)需传输数据给DCS显示。IIS(堆内探测系统)与DCS、PMS有数据交互。
3)其他系统
自动控制装置(励磁系统的PSS),与DCS进行通信;火警探测系统(完全独立)。
(2)非控制区-Ⅱ区
非控制区包括电能量采集终端、继电保护信息管理子站(无远方设置功能)等,它们通过防火墙、数据网接入设备分别接入省调接入网和地调接入网的非实时VPN子网。EDS系统和Beacon系统作为DCS系统的延伸,与管理信息大区存在数据接口。EDS系统通过OPC服务器传输数据至管理信息大区的实时数据服务器。电子式剂量计系统部署在每台机组附属厂房、SRTF卫生出入口,采集的数据考虑通过无线通信系统传输至行政办公网计算机。RMS(辐射监测系统)与DCS有数据交互。
Beacon系统包括两台监测服务器和一台预测服务器,反应堆物理人员办公电脑及主控制室电脑需访问BEACON预测服务器。BEACON预测服务器属于生产控制大区,办公网络属于管理信息大区。Beacon系统使用的软件无法穿透隔离网闸,因此Beacon系统考虑设计专网延伸。
(3)管理信息区-Ⅲ区
管理信息Ⅲ区运行调度管理信息业务,该区包括调度相关系统、生产数据管理系统(PI)、环境监测系统(数据需传给DCS)、应急分析与指挥系统、无线通信系统、电站实物保护系统等。Ⅲ区的系统与Ⅳ区的办公系统连接时均通过防火墙进行逻辑隔离。
(4)管理信息区-Ⅳ区
管理信息IV区内包括典型业务系统有:
1)办公自动化系统(OA);
2)MIS/ERP系统;
3)其他管理信息系统。
(5)外部网络
外部网络包括因特网、上级集团广域网、核安全应急相关部门。
4.3.2网络专用
电力调度数据网在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公用数据网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。三门核电数据网接入部分通过路由器连接华东网调和省调,接入网络专用、独立。
4.3.3横向隔离
横向隔离是电力监控安全防护系统的横向防线。在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力横向安全隔离装置,隔离强度应接近或达到物理隔离。生产控制大区内部的安全区之间应当采用防火墙实现逻辑隔离[1]。
按照数据通信方向,电力横向隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输,反向安全隔离装置用于从管理信息大区到生产控制大区的单向数据传输。
正向横向隔离主要用于DCS与PI系统、应急信息系统的隔离,以及电能采集终端等与厂级管理信息系统之间的隔离。MES系统与DCS之间部署反向隔离装置。
4.3.4纵向认证
在生产控制大区与广域网的纵向连接处设置国家指定部门检测认证的电力专用纵向加密认证装置,实现双向加密和访问控制。纵向认证主要用于核电厂电力监控网与电力调度网之间的隔离,实现边界防护。三门核电调度相关系统通过纵向加密认证装置接入省调和华东网调。
5 结束语
电力是国民经济重要的基础设施之一,电力安全直接关系国计民生,一直是党和政府高度关注的重点[6]。目前国内核电站完全按照《电力监控系统安全防护规定》文要求开展电力监控系统安全防护建设工作的较少,已运行电站均是参照常规电厂进行建设,对基于AP1000技术的新建三代核电站来说,信息安全是一个新的课题,如何与国内的信息安全标准良好的融合,如何确保核电站电力监控系统的安全需要深入研究、实践。
本文明确核电站电力监控系统安全防护工作应遵循的信息安全、等级保护和电力监控系统安全防护的相关法规要求,并在此基础上提出了三门核电站电力监控系统安全防护的解决方案,为后续核电机组的相关工作开展提供参考。
AP1000核电技术在后续国产化过程中,应将电力监控系统安全防护纳入总体考虑范畴,从设计源头确保符合国家法规及行业标准。
[1] 国家发展和改革委员会. 电力监控系统安全防护规定[S],2014.(National Development and Reform Commission. Rules for Safety Protection of Electric Power Monitoring System[S],2014.)
[2] 国家电力监管委员会. 核电站二次系统安全防护规定(试行)[S],2012.(State Electricity Regulatory Commission. Rules for Safety Protection of the Secondary System in Nuclear Power Plant (Trial)[S],2012.)
[3] 国家电力监管委员会. 电力行业信息系统安全等级保护基本要求[S],2012.(State Electricity Regulatory Commission. Basic Requirements for Information System Classification Security Protection in Power Sector[S],2012.)
[4] 邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J]. 电网技术,2013(11):27-32.(ZOU Chun-ming, ZHENG Zhi-qian, LIU Zhi-yong,et al. The application of safety protection technique for the electric power secondary system in the industrial control system[J]. Power Grid Technology, 2013(11):27-32.)
[5] 国家电力监管委员会. 电力二次系统安全防护规定(电监会5号令)[S],2004.(State Electricity Regulatory Commission. Rules for the Safety Protection of the Electric Power Secondary System (SERC Decree No. 5) [S],2004.)
[6] 余勇,林为民.电力行业信息系统等级保护的研究和实施[J]. 信息网络安全,2009(12):29-31.(YU Yong,LIN Wei-min. Study on and implementation of information system classification security protection for the power sector[J]. Information and Network Security, 2009(12):29-31.)
Safety Protection Scheme of the Secondary Electric System of Sanmen NPP
LIU Di-yong, LIU Shuang
(Sanmen Nuclear Power Co., Ltd., Sanmen of Zhejiang Prov. 317112, China)
Safety is a prerequisite for nuclear power development, and information security is an integral part of nuclear power safety. Safety protection of the secondary system is key to ensure the information security of nuclear power plant. Based on relevant national laws, regulations and requirements, together with analysis of the secondary system, its interface and safety architecture, the problems in the safety protection of the secondary system in Sanmen nuclear power plant are identified, and solutions are given accordingly. For the same type of follow-up units, it would be instructive for the design and the construction of the safety protection of the secondary system.
AP1000; safety protection for the electric monitoring system; classified protection;information security
TM623Article character:AArticle ID:1674-1617(2015)03-0266-05
TM623
A
1674-1617(2015)03-0266-05
2015-06-15
刘帝勇(1977—),男,本科,高工,主要从事企业信息化方面的工作。
