田湾核电站VVER 机组DCS 网络安全防御策略

乔 峰

（中国核电苏能核电有限公司 设计管理处，连云港222042）

随着数字化仪控技术的快速发展，越来越多的电厂控制系统开始采用数字化DCS。 田湾核电站是全球首家采用数字化DCS 的核电站， 自运行以来，取得了良好的安全业绩，已经成为核电领域各个电站数字化系统的标杆。

DCS 是集计算机技术（computer）、控制技术（control）、通讯技术（communication）和图形显示技术CRT（cathode ray tube）（简称4C 技术）为一体的综合信息系统。 出于工作和管理的需要，第三方系统需要获取DCS 网络的数据；DCS 自身的漏洞，外部网络层出不穷的安全威胁，电站内部对于工业控制系统网络管理的缺失，这此都使工业控制系统暴露在危险且复杂多变的环境中，DCS 随时可能面临来自外部网络的攻击，严重威胁着系统的安全。 核电站的DCS 网络安全一旦出现问题，将严重影响电站的安全稳定运行，所以必须为核电站DCS 制定行之有效的网络安全防御策略。

1 田湾核电站VVER 机组DCS 网络安全概况

田湾核电站的一期、二期机组以及7、8 号机组均采用俄罗斯VVER 型压水堆。 目前，一期工程、二期工程均已投产运行，7、8 号机组处于建设阶段。一期工程、二期工程均采用德国CFSS 公司生产的DCS，常规仪控采用T2000 系列正常运行仪控系统，安全仪控采用TXS 系列安全级仪控系统；7、8 号机组DCS 尚处于招标阶段，但也会选择技术成熟的DCS来对电站工艺过程进行监视。

田湾核电站VVER 机组DCS 自商运以来，能够在统一安全策略下防护系统免受来自外部有组织的团体、 拥有较为丰富资源的胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后能够较快恢复绝大部分功能，暂未出现过因网络安全问题导致严重事故的情况。

核电机组控制系统拓扑结构如图1 所示。 当前国际网络环境十分恶略，核电站的工业控制网络随时都可能遭受来自网络的恶意攻击，网络系统存在着各种安全隐患，严重阻碍着公司安全生产的发展。

图1 核电机组控制系统拓扑结构Fig.1 Topological structure of nuclear power unit control system

2 当前网络环境

在DCS 中，广泛采用通用工业标准的网络协议及网络设备。2010年6月出现的世界上首个专门针对工业控制系统编写的Stuxnet 病毒，同时利用7 个最新漏洞进行攻击， 其中的5 个漏洞是针对Windows 系统，2 个漏洞针对西门子网络通信系统SIMATIC。

2.1 核电站网络安全事件启示

（1）美国Davis Besse 核电站

2003年1月，蠕虫病毒入侵了电站工业控制网络，期间运行人员无法对工艺工程进行监视和控制。事件原因是： 工业控制网络未采取有效防御措施，使得电站的非授权技术人员非法连接电站网络，导致蠕虫病毒感染整个网络。

（2）美国Browns Ferry 核电站

2006年8月， 该电站的PLC 系统网络遭遇了“广播风暴”导致网络瘫痪，电站不可控，最终电站手动停堆。 事件原因是：不完善的网络结构和网络安全机制，导致微小的故障触发了大的事件。

（3）伊朗布什尔核电站

2010年6月出现世界上首个专门针对工业控制系统编写的、 席卷全球工业界破坏性病毒的Stuxnet 病毒，其目的可能是要攻击伊朗的布什尔核电站。 事件原因是：由于工控系统存在的安全漏洞，使得该病毒对核电站的安全运行带来巨大威胁。

以上网络安全事件给人们带来启示：数字化仪控系统的DCS 网络，一旦遭受病毒的入侵、网络安全漏洞的威胁，将对电站安全稳定运行带来巨大的影响， 因此有必要研究DCS 网络安全防御策略，以保证电站安全[1]。

2.2 DCS 网络安全事件统计

截至2019年5月， 全球已发生400 多起针对DCS 的网络安全事件，DCS 网络安全面临越来越大的挑战，有必要引起各个核电站的重视。 网络安全事件的统计如图2 所示。

图2 网络安全事件统计Fig.2 Statistics of network security events

3 VVER 机组DCS 网络安全

2019年5月发布的GB/T 22239—2019 《信息安全技术 网络安全等级保护基本要求》 对网络安全定义为：通过采取必要措施，防范对网络发起的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力[2]。 可见，网络安全关注的重点，就是采取必要措施对网络安全隐患进行防范。 田湾VVER 机组DCS 采用了CFSS 平台，在整个DCS 中使用了分层的概念。

3.1 VVER 机组DCS 网络结构

VVER 机组DCS 分为非安全级平台T2000 系统和安全级平台TXS 系统2 个部分。安全级系统用于实现保护和反应堆紧急停堆功能，非安全级平台主要实现电厂控制、监视和报警显示等功能，非安全级平台与安全级平台通过专用网关相连。 田湾核电站VVER 机组DCS 网络结构如图3 所示。

图3 VVER 机组DCS 网络结构Fig.3 Network structure for DCS of VVER unit

3.2 VVER 机组DCS 网络安全隐患及其防御措施

3.2.1 DCS 来自外部的安全隐患

在DCS 网络安全的安全隐患中，80%的安全隐患来自外部。 DCS 外部安全隐患如图4 所示。

图4 DCS 的外部安全隐患Fig.4 External security hidden danger of DCS

外部安全隐患主要包括：①非授权用户非法使用移动终端接入DCS 非授权人员利用非法手段，未经允许接入运行中的DCS 网络，导致系统数据丢失或损坏[3]；②病毒感染 使用未经杀毒或者未经安全加密的USB 设备接入到DCS 网络， 导致计算机感染病毒；③网络风暴 DCS 网络因交换机故障导致网络风暴，导致DCS 不可控和不可操作；④访问超出授权范围的数据、应用程序及功能；⑤非法串行设备连接 非法用户非法使用串行设备接入DCS 机柜，造成数据丢失或者损坏。

3.2.2 针对外部安全隐患的防御措施

1）程序制定 制定工业控制系统便携式终端接入管理程序，严格限制非授权移动终端非法接入DCS 网络；

2）病毒查杀 安装杀毒软件对DCS 进行定期扫描，并及时升级病毒库；

3）网络互联设备管理 对存在漏洞的网络交换机进行排查，必要时进行升级替代，彻底消除隐患；

4）外部隐患管理 加强外部管理，制定管理制度，严格禁止未授权用户超范围访问数据和应用程序；

5）工业计算机使用与管理 统一管理全厂工业计算机，制定管理制度，严禁笔记本非法接入仪控机柜。

3.2.3 DCS 内部的安全隐患

内部隐患是发生在系统内部的可能会对DCS安全造成威胁的设备或管理漏洞，虽然比外部隐患影响要小， 但是也会使DCS 网络安全水平降级，同样需要管理者的重视。

内部安全隐患主要包括：①DCS 管理方面中存在漏洞， 例如未对介质实行异地存储等、DCS 数据拷贝防病毒管理等；②网络边界未部署恶意代码检测工具； ③操作系统未启用登陆失败处理功能；④应用系统鉴别信息不符合复杂性要求。

3.2.4 内部安全的防御措施

1）制定工业计算机软件异地存储机制，并按照规定定期移交计算机软件备份；

2）升版程序《工业计算机管理程序》，在程序中增加数据拷贝管理相关规定；

3）通过在网络设备间执行严格的巡检制度、记录制度，能够从管理上降低此类问题的风险；

4）通过管理手段严格限制网络介质的接入，减少恶意代码危害，此措施为长期整改措施；

5）启用操作系统登陆失败处理功能，限制登录失败次数为5 次；

6）应用系统不具备进行二次开发添加身份鉴别机制的条件，通过管理手段加强管理。

通过以上内、外部安全隐患的分析，有针对性地采取相应的防御措施，可以保证VVER 机组DCS的网络安全在技术和管理2 个方面做到万无一失，从而保证电厂的安全稳定运行。

4 最小DCS 的研制

根据国家网络安全法对信息系统安全所提出的安全要求，DCS 工业控制系统的应该加强网络安全防护能力。 根据国家能源局发布的《核电厂网络安全工作规划2018—2021》的要求，核电厂DCS 必须按等保四级的要求进行管理。 对于新建核电厂，能源局将根据网络安全法相关要求， 对DCS 的网络安全进行严格的监管， 要求DCS 的设计满足等级保护四级的基本要求。 因此，开发出能同时开展针对DCS 的人员培训、故障诊断、备件测试，工控安全测试等任务的DCS 最小系统，具有十分重要的意义。

4.1 总体技术要求

根据DCS 最小系统的功能需求，确定最小系统的边界，用最少的硬件实现与现场实际DCS 具有相同功能的仿真平台。 DCS 最小系统应采用与现场实际DCS 相同的开发环境和软件平台，为电站提供一套可执行人员培训、故障诊断与复现、功能验证，备件保养与检测、DCS 故障复现与应急预案演练 （包括网络安全演习） 等多项任务的小型化多功能平台。 该平台以人员培训和应急演练为主要需求，在系统结构和硬件配置上和现场实际DCS 有所区别，具有非常强的针对性。

该系统从功能上应满足以下需求：①涵盖电站DCS 全部类型模件；②可以灵活装载不同工艺系统控制逻辑和画面；③配置有工程师站和操作员站，可开展DCS 组态编辑、画面组态、监视等操作；④可以导入操作规程、报警卡、应急预案等生产活动相关的脚本；⑤系统具有可扩展性，预留通性接口；⑥能够实现故障诊断功能；⑦可以开展应急预案演练，网络安全演习等。

4.2 详细技术要求

DCS 最小系统的建设应遵循核电站设计建造的总体要求，应满足电气设计、物项制造、仪控设计等多项行业标准。 作为核电站生产技术人员，更关心的是DCS 最小系统的组织机构、设备特性、功能实现这3 个方面，即将机组的实际DCS 真正地做到“最小化”。

4.2.1 构架设计

为更好的实现平台功能和现场实际系统的复现， 最小系统应使用与现场DCS 类似的构架设计。系统采用基于冗余工业数据网络的分散控制系统，根据功能可划分为 Level-1 层和Level-2 层2 个层次：信号的输入输出与逻辑运算层、计算服务和监视操作层，2 个层次之间通过处理服务器进行连接。处理服务器同时给Level 1/2 层提供相应的数据服务，结构如图5 所示。

Level 1 层总线应符合最新的网络标准，保证传输速率为10 Mb/s（西门子Ethernet 为10 Mb/s）时传输距离可以达500 m；Level 2 层（处理服务器、操作员站、工程师站）采用冗余的网络（虚拟环）进行通信，具有较高的可靠性，实时性以及安全性。 作为Level 1 和Level 2 起到桥梁作用的处理服务器，为人机界面提供报警、计算、历史数据、实时数据等多项服务，在整个系统中具有具足轻重的地位。 系统重要服务器都进行了冗余配置，当出现单一服务器故障后，另一台服务器可以实现无扰的切换，不发生通讯中断或数据丢失。

4.2.2 硬件结构及配置

硬件包括控制机柜、操作员站、工程师站，诊断终端、存储终端、网络互连设备及隔离网闸等。 最小DCS 平台结构如图5 所示。

图5 最小DCS 平台结构Fig.5 Platform architecture of minimum DCS

4.2.3 系统软件组成

系统软件应包括操作系统、 系统平台配套软件。 系统平台配套软件分为离线和在线两大部分，离线软件主要是系统组态配置软件，用于通过组态编程，将通用的DCS 转换为一个能够实现特定工艺功能的控制系统，例如实现应急预案演练或者网络安全演习的平台。

组态软件包括：①设备组态软件；②数据库组态软件；③逻辑运算组态软件；④报警组态软件；⑤画面组态软件；等。

4.3 平台应用

通过最小DCS 平台， 可以对VVER 机组DCS所可能遭受的外部网络攻击进行模拟测试，并根据测试结果针对性的采取相应的改进措施。 利用该平台，可以分析电站实时网络至外部局域网的单向数据传输时安全性方面的特点。 田湾核电站电力信息系统网络结构如图6 所示。

需要注意的是，VVER 机组DCS 由西门子公司设计供货，由于国外没有隔离网闸（网络正向安全隔离装置）的标准设备，无法达到我国网络安全法规定的关于生产控制大区与管理控制大区之间传输数据的安全要求，DCS 以及仪控系统部署在生产控制大区，数据传输必须通过隔离网闸成。

5 新建机组DCS 网络安全要求

图6 田湾核电站电力信息系统网络结构Fig.6 Network structure of power information system for Tianwan nuclear power station

田湾核电站7、8 号机组目前处于建设阶段，根据2017年6月1日起实施的 《中华人民共和国网络安全法》的要求，电厂DCS 的建设需要按照“三同时制度”开展，即“同时设计、同时施工、同时投产”，在DCS 设计阶段、施工阶段和发电阶段都应该考虑网络安全的要求。 因此，技术设计阶段应充分分析国家法规和标准对信息系统网络安全的要求，在DCS 招标、采购和设计阶段对系统提出技术和管理方面的要求，保障网络安全的硬件、软件和管理措施随着DCS 主体工程的投产同时投入运行。

6 结语

随着数字化DCS 的快速发展，电厂的开放程度也越来越大，也导致了面对的网络安全威胁也越来越严重。 尤其是近些年发生在信息系统中，尤其是核电站控制系统中的网络安全事件，更为人们敲响了警钟。 所以，VVER 机组DCS 网络安全防护策略应从管理和技术两方面入手，做到管理隐患从容应对，技术缺陷处理及时有效。 同时，也要努力实现DCS 网络与第三方系统的网络传输实现单向传输，使得管理信息大区的任何操作或威胁不会影响生产控制大区DCS 的正常运行。

与此同时， 应该更注重加强管理方面的要求。从内到外不断强调DCS 网络安全的重要性，严格制定DCS 的网络安全管理制度，培养电厂技术人员与管理人员具备良好的工作习惯和网络安全意识，从而杜绝由于人因导致的DCS 网络安全事件。 同时，应该建立核电厂DCS 网络安全标准体系，并在整个核能行业宣扬重视网络安全，保证整个行业具有高度安全的网络环境。