张 冬，张志良，王少华

（中国核电工程有限公司，北京 100840）

核电厂的安全性一直是公众关注重点，随着数字化仪控系统DCS的普及应用，网络安全已经成为核电厂整体安全性能的重要组成部分。福清核电5、6号机组DCS系统由安全级平台 TXS系统和非安全级平台 SPPA-T2000系统组成，在项目初设阶段，通过网络安全大纲明确网络安全的总体要求，规定了运营方、设计院、供货商以及安装单位的组织关系和主体责任，分析了DCS系统结构和全生命周期的网络安全风险和防护策略；在项目实施阶段，按照 RG 5.71网络安全监管要求，对DCS系统网络安全实施情况进行了符合性分析；在项目测试和验收阶段，对DCS系统的网络安全特性进行了测试；针对项目运维阶段，提出了网络安全改造的建议。本项目网络安全设计符合RG 5.71的监管要求，实施方案通过了核安全局的安全评审。

本项目首次通过网络安全大纲提出DCS系统网络安全的设计要求，指导DCS系统全生命周期的网络安全活动。本文根据福清核电5、6号机组网络安全的工程实践，首先分析了DCS系统的通信设备、通信协议和网络结构，梳理了网络接口和通信模式；然后结合RG 5.71安全控制要求对网络安全防护措施进行总结；最后，分析了福清核电5、6号机组网络安全设计的不足，并给出了后续改进的建议。

1 DCS系统网络结构分析[2]

福清核电5、6号机组DCS系统结构如图1所示，根据 DCS系统实现的功能不同，可将DCS系统分为4层结构：

（1）0层 工艺系统接口层；

（2）1层 自动控制和保护层；

（3）2层 监控和操作层；

（4）3层 全厂信息管理系统层。

根据图1所示，对DCS系统的各层之间以及层内接口进行梳理，对接口边界的通信模式进行描述，分析其网络安全的潜在风险。

1.1 安全级系统与非安全级系统接口

TXS系统和SPPA-T2000系统设置了网络通信。网络通信接口如图2所示。TXS系统的网关设备SEPC基于LINUX操作系统，安装在机柜内部，与 SPPA-T2000系统的 CM104通信模块通过 Modbus TCP/IP协议进行信号传输。通过TXS侧网关SEPC和SPPA-T2000侧CM104模块进行协议转换传输，实现了信号传输的通信隔离。而且TXS系统与SPPA-T2000系统之间信号传输为单向通信，防止了SPPA-T2000系统的网络风险向 TXS系统蔓延，影响TXS系统的正常功能。图2中虚线表示工程师站对TXS系统的诊断、维护和参数整定等功能，实线表示TXS系统业务数据的信号流传输。

图2 安全级系统与非安全级系统的接口图Fig.2 Interface between security and non-security level systems

另外，TXS系统的优选控制模块与SPPA-T2000系统之间接口为Profibus-DP网络接口，网络传输为双向传输，但采取了如下网络安全防范措施防止网络威胁蔓延：

（1）优选控制模块基于 PLD（可编程逻辑设备）技术，与SPPA-T2000系统的微处理器技术不同，通过设备多样性防止风险蔓延；

（2）基于PLD技术的优选控制模块所有参数都是通过配置硬接线开关量“0”或“1”信号执行，没有配置多余的软件设备；

（3）微处理器和PLD程序的固件只能通过背板特定的连接器才能加载，而且需要将模块从机柜的机架取下才能接触到。机柜正常是关闭的，且状态被实时监测；

（4）微处理器和PLD程序的固件已经过各项软硬件鉴定，且在生命周期中都会校验确保安全。如果必要，可以从设备中读取出来确认其完整性；

（5）优选控制模块设计了内部闭锁功能，禁止软件参数通过 Profibus-DP进行软件修改。

1.2 1层与2层接口

TXS系统送2层PICS（非安全级）显示的信号通过SPPA-T2000系统传输，通信方式参考3.2节的介绍。TXS系统与2层SCIS（安全级）接口为PI（Panel Interface）接口。TXS系统与 2层 SCIS（BUP和 QDS）接口信号通过PI（Panel Interface）模块转换后传输。其中，TXS系统与 BUP的接口信号由硬接线进行传输；TXS系统与 QDS接口为网络信号，PI模块接收 L2网络（Profibus）的保护系统信号，进行协议解析后，再通过 H1网络（TXS Ethernet）将信号传输到QDS，实现网络信号的通信隔离。

SPPA-T2000系统通过工业以太网总线plant bus与2层（OM690）、工程师站（ES680）和诊断系统（DS670）进行通信。

2层设备之间通过工业以太网总线terminal bus进行通信。

1.3 第三方仪控系统与DCS系统接口

第三方仪控系统与 SPPA-T2000通过CM104通信模块进行通信，实现通信隔离；有特殊需求的信号通过硬接线传输。

1.4 2层与3层接口

DCS系统的2层通过XU（External Unit）模块与 3层系统进行通信，再通过防火墙与 3层系统进行连接，确保2层到3层的单向隔离传输。

2 网络安全防护措施

福清核电 5、6号机组 DCS系统依据 RG 5.71的网络安全要求，从技术和管理两个方面进行防护。技术措施主要包括访问控制、审计功能、通信保护、身份识别和认证以及系统加固五个方面；管理措施主要包括物理环境安全、存储介质管理、人员安全、安全意识和培训、事件响应以及配置管理六个方面[3]。

2.1 技术防护措施

2.1.1访问控制

访问控制包括实体访问和逻辑访问。DCS设备按照功能的不同布置在核岛电气厂房和安全厂房的不同房间，通过严格的安保措施满足实体访问要求。逻辑访问的人机接口主要是位于计算机房的工程师站。工程师站通过专有网络与 DCS系统进行通信，用于对DCS系统进行诊断，参数整定，应用软件升级，操作模式切换和定期试验支持等功能。具体措施如下：

（1）TXS和SPPA-T2000的机柜布置在电气厂房和安全厂房，工程师站布置在计算机房，配有专人保管的房间门禁和柜门钥匙。同时TXS和SPPA-T2000系统的主机和应用程序都设有账户和口令，只有管理权限的人员才能创建和管理这些账户。

（2）电厂正常运行期间，TXS系统工程师站仅用于对系统运行状态进行监视，不能对参数进行整定和修改。

（3）工程师站设有密码保护功能，口令长度不小于8位，复杂度包含大小写字母、数字和符号的组合。只有被授权的维修人员才能进行操作，每个用户的密码不同。

（4）不同角色的用户对系统的访问权限不同，只有拥有合法的权限级别才能进行相应操作，否则软件将产生错误信息，并拒绝指令。

（5）DCS系统禁用未使用的存储介质接口和网络端口。

（6）正常运行期间，只有主控制室和远程停堆站的操纵员终端具有操作控制权限，布置在技术支持中心、计算机房等的终端只有信息监视的权限。

2.1.2审计功能

审计功能可以对系统的信息进行跟踪，发现异常事件的时间和内容，分析产生的原因。DCS系统具备的审计措施有：

（1）所有的登录尝试都被日志文档记录，且有时间标识，可以通过相关工具进行追踪审计，具有抗抵赖性。

（2）应用软件和工艺参数的修改均被日志记录，可以被追踪和识别。

（3）TXS系统配置了检查加载文件和软件配置的工具，可以显示文件和软件的版本信息。

（4）DCS系统的工程师站具备自诊断功能，可以检测到系统运行的异常状态，对异常工况发出仪控报警。

（5）TXS系统设计了完善的定期试验方案，对自诊断不能覆盖的功能进行试验，确保反应堆保护系统的功能可以全部被确认。

（6）TXS系统配置专门软件可以对数据进行备份和恢复。

（7）SPPA-T2000的服务器具有备份和存储功能，可以对数据进行备份和恢复。

2.1.3通信保护

DCS系统的网络通信接口包含以下几种：TXS系统与SPPA-T2000系统的接口，优选控制模块与SPPA-T2000系统的接口，TXS系统与 PI模块的接口以及 SPPA-T2000与第三方控制系统的接口。DCS系统的通信保护措施如下：

（1）TXS系统网络均采用专有通信协议，不对外开放，外界对系统漏洞了解少，不易进行有针对性攻击。

（2）工程师站与TXS处理器之间通过专用的网络连接，按照预设的网络路径进行信号传输，非授权的外部计算机不能对TXS处理器进行修改。

（3）SPPA-T2000与第三方控制系统之间通过CM104网关进行通信隔离。

（4）DCS系统未配置无线和远程操作的接口。

（5）TXS与SPPA-T2000之间的数据传输为单向通信。

2.1.4身份识别和认证

DCS系统采取的身份识别和认证措施有：

（1）通过工程师站对TXS系统进行参数整定时，需要双因子身份认证：账户口令和硬钥匙开关。

（2）通过工程师站对 SPPA-T2000系统进行参数整定和组态修改时，需要进行身份认证。

（3）操作系统的身份认证口令长度应不少于8位，复杂度包含大小写字母、数字和符号的组合。

（4）TXS处理器与工程师站之间通过专用的网络连接，按照预设的网络路径进行信号传输，非授权的外部计算机不能对TXS处理器进行修改。

2.1.5系统加固

DCS系统采取的系统加固措施有：

（1）DCS系统开发单位内部网络装有防火墙，并且在系统和软件集成阶段每台计算机都安装有杀毒软件，确保系统的开发环境和应用软件安全。

（2）DCS系统经过严格的 V&V测试，确保系统设计与设计输入一致。

（3）TXS系统禁用或删除多余的服务和程序。

（4）DCS系统的自动逻辑功能通过平台自诊断功能进行校验，可以及时发现入侵行为。

（5）DCS系统在软件下装之前要求进行病毒查杀，确保系统安全。

（6）TXS系统的软件修改需要获得工程师站登录权限，且通过就地硬钥匙开关释放后才能进行。

2.2 管理防护措施

管理措施主要是运行和维修人员在工作中采取的网络安全防护措施，可以概括为以下几个方面[8]：

（1）物理环境安全：电站内部人员进出厂区需要进行身份验证，非电站人员进出厂区需要身份登记。在环境保护方面，电气和安全厂房设置有通风系统，对环境温度和湿度进行调节；DCS设备经过严格的抗震和电磁兼容等试验，确保功能可以抵御预期的环境变化风险。

（2）存储介质管理：对于存储介质进行台账登记管理，只有登记的存储介质才能使用，介质报废后统一销毁。

（3）人员安全：对核电厂人员的范围，权限和活动进行规范。对不同角色的工作人员进行不同程度的权限授权，根据工作任务设定进入厂区范围和可访问设备的权限。当人员终止或工作移交他人后，终止所有设备和系统访问，通知相关人员进行状态终止或变更。

（4）安全意识和培训：定期对电厂人员进行安全培训，掌握网络安全基本知识，提高网络安全的防护意识，熟悉应急预案的操作流程。

（5）事件响应：建立网络安全应急工作机制，明确应急指挥体系、工作流程及网络安全应急工作组织和人员等信息，规定应急预案的演练周期，确保在应急期间可以采取稳妥有序的措施，同时避免引发新的事故。

（6）配置管理：通过配置管理程序对设备的改造和实施活动进行管控。配置变化前需要进行充分地分析和论证，记录详细的施工过程和维护人员信息。

3 DCS系统网络安全风险及优化措施

通过分析，福清核电5、6号机组系统的各个功能层及边界接口之间分别采取了相应的措施实现了物理或逻辑隔离，不同网络结构采用专有的通信协议，可以一定程度上阻止潜在的网络安全风险，符合纵深防御的设计要求。但是在技术角度，福清核电 5、6号机组的DCS系统在边界隔离、主机防护、移动介质管理等方面尚有改进余地，存在一定的网络安全风险。

3.1 第三方系统风险

非安全级DCS系统与多个第三方仪控系统通过网关通信连接，如厂区辐射和气象监测系统、火灾探测报警系统、汽轮机控制保护系统、汽轮机监视系统等。这些独立的第三方仪控系统划分在生产控制大区，与DCS系统保持一致。目前现有核电站包括福清核电 5、6号机组，这种与第三方仪控系统的通信连接，没有采取有效的网络隔离措施，一旦某个第三方仪控系统受到网络攻击，很容易蔓延到非安全级 DCS系统。

3.2 移动介质风险

福清核电5、6号机组DCS系统主机包括SPPA-T2000系统的工程师站、各类服务器、操作员站以及TXS系统工程师站，只有工程师站保留了USB口等介质接入接口，其他计算机的外接接口均封闭。同时核电厂有严格的移动介质管理制度，禁止随意私自插接移动存储介质。只有DCS系统维护人员才有权限在工程师站使用移动存储介质，安全级DCS系统的工程师站不是实时在线，只有系统离线时才能连接工程师站。正常情况，通过严格的管理措施，不可能发生携带针对核电厂DCS系统木马病毒的移动介质接入 DCS系统的情况，但不能排除心怀恶意的员工故意为之。同时，物理接近的破坏以及行政管理的缺失也是重要风险，但是核电厂设置了极为严格的物理防护、行政管理以及网络安全应急准备等应对措施。

3.3 DCS系统网络安全持续优化

福清核电5、6号机组后续的“华龙一号”项目在设计阶段已考虑 DCS全生命周期内的信息安全问题，同时技术上从边界防护、访问控制、账户管理、主机防护、入侵防御以及审计日志等方面进行加强，同时考虑不同安全等级的系统满足不同的设计要求。管理上加强在DCS系统开发、测试、安装、调试及运营等不同阶段采取不同的网络安全管理措施[4]。

3.3.1技术优化[5,6]

在DCS系统边界及系统内部边界部署防护设备确保系统间的网络独立性，隔离网络风险。规范通信接口协议，按照通信协议特点和网络安全等级规定不同类型系统的边界防护措施和防护深度。

通过制定人员的访问控制、设备的访问控制及应用进程访问控制规则，通过限制非法人员、设备和应用进程对DCS系统进行非法访问。

在DCS系统关键节点配置监测DCS系统网络入侵行为和系统审计的设备，包括入侵监测设备，工业防火墙、主机防护软件、入侵监测系统和安全集控中心等。规范安全审计系统接入方式、审计内容及审计深度，审计日志的保存和备份措施满足相关标准要求。所有网络安全技术措施需经过充分的安全评估和兼容性测试。

3.3.2管理优化

在福清核电5、6号机组安全管理措施的基础上，进行查缺补漏，加强相关措施的执行力度。包括加强系统设计、集成、测试场所应实施严格的进出控制管理，DCS系统软件实体的访问控制管理，企业员工（包括员工、合作企业、第三方协议者以及临时员工）的安全防范管理以及工程实施阶段的DCS系统进行远程访问管理等。

4 结论

福清核电5、6号机组的DCS系统网络安全设计属于探索中前进，总体上符合RG 5.71的防护要求。本文对福清核电5、6号机组的DCS系统网络安全结构进行了阐述，同时从技术防护和管理两方面所采用的措施进行了归纳总结，并对DCS系统网络安全风险和持续优化进行了总结，这些技术和管理措施以及经验总结，对后续项目具有很高的参考和借鉴价值。