核电行业工控网络安全整体解决方案研究

闫怀超，陈政熙

（上海工业自动化仪表研究院有限公司，上海 200233）

核能发电是利用核反应堆中核裂变释放出的热能进行发电的方式。近年来，以洁净、安全等优点被许多国家接受。核能发电可以概括为两种方式：第一种是反应堆堆芯先对循环在一回路的冷却剂进行加热，通过蒸汽发生器将热量传递到二回路、三回路，回路中循环的水被加热，形成高温蒸汽推动汽轮发电机；第二种方式是由沸水堆的堆芯加热循环在一回路中的冷却剂，形成高温高压的饱和蒸汽，饱和蒸汽经汽水分离并干燥后直接推动汽轮发电机。

我国能源建设和核电发展的重要原则是要确保安全，随着“两化融合”工作的逐步深入，在核电领域，更多的数字化控制技术得到了广泛的应用，高智能化的同时，也使网络安全问题成为核电厂运维过程中日益凸显的重要议题。2010 年的“震网”病毒攻击事件成为工控网络安全的导火索并引起世界各国的高度关注，核电厂重要信息和电力监控等系统的网络安全保障逐渐得到重视并成为网络安全工作的日常。本文分析了当前核电领域所面临的问题，根据国家对核电建设的要求和标准，给出核电领域网络安全整体解决方案。

1 核电厂DCS系统网络结构

核能发电工控系统网络层级分为I/O 层（level 0）、过程控制层（level 1）、操作监视层（level 2）及信息管理层（level 3）。如图1 所示，Level 0 的主要设备是温湿度传感器、各类执行器等，主要进行现场各类信号的采集工作。Level 1衔接了监视层和I/O层，一方面将监视层的控制指令处理并发送至I/O 层的各类设备，完成执行控制工作；另一方面也会将I/O层采集到的实时数据进行回传处理。level 2的设备主要包括服务器、工程师和操作员站等，是整个系统的中心监控［1］，可实现人机界面的交互，完成对系统的管理和监控，包括数据显示、异常报警等任务。level 3是在基础DCS功能之上的各种高级应用，优化控制、WEB Server、与MIS、MES、ERP的接口等。

图1 典型核能发电厂DCS系统网络结构示意图Fig.1 Schematic diagram of the network structure of DCS system of typical nuclear power plant

2 核能发电厂工控系统网络安全现状分析

在国家基础设施的业务单位中，工业控制系统的使用非常广泛，工控系统的安全运行是企业稳定发展的重要保障。目前，主要在压水堆领域供货的数字化仪控平台有Areva 公司的Teleperm XS 平台以及Westinghouse 公司的Com⁃mon Q平台等。国内厂商也在积极推进数字化仪控系统国产化工作，除广利核公司，目前中核东方已经推出了非安全级仪控平台NicSys，国核自仪也与美国洛克希德马丁公司合作研发了安全级仪控平台NuPac。但目前由于技术发展、运维管理等方面的原因，工控系统的硬件设备长期被国外设备占据，我国工控产品的供应商构成复杂，国内工控产品依然处在低端水平。由此带来的后果是系统面临着诸如设备高危漏洞、国外设备后门、高级持续性威胁（Ad⁃vanced Persistent Threat，简称APT）、工业网络病毒以及无线技术应用风险等威胁［2］，直接后果会导致人身伤害甚至生命损失、设备无法正常运行或损坏、机密信息被窃取、直接经济损失、连锁反应导致的更大经济损失等，还可能造成不可预期的社会影响。

3 核能发电厂工控系统全生命周期解决方案

3.1 核电厂监控系统安全防护

为了保障电力信息系统的安全性，国家发改委和国家能源局先后发布了《电力二次系统安全防护规定》（电监会令第5 号）、《电力监控系统安全防护规定》和《电力监控系统安全防护总体方案》，明确了电力监控系统安全防护体系的整体框架和总体原则，加强电力监控系统安全防护工作，保障电力系统的安全稳定运行［3］。图2为核电厂监控系统安全部署示意图。

生产与控制分离的安全分区方式作为众所周知的电力监控系统安全防护体系的基础，在电力企业得到了广泛应用。生产控制大区可以分为控制区（又称安全区I）和非控制区（又称安全区II）［4］。控制区的典型系统包括厂级离散控制系统、开关站监控系统等，这些系统主要是为调度员和运行操作人员提供日常生产数据和运维数据，由于实时性要求较高，所以常使用专用通道进行数据传输。在非控制区中，各系统多以厂级监控和数据采集为主，不具备控制功能，常通过电力调度数据网络进行通信。除此以外的其他电力企业管理业务系统均属于管理信息大区。电力企业可以在确保生产控制大区安全的前提下，自主进行安全区域的划分［5］。

图2 核电厂监控系统安全部署示意图Fig.2 Schematic diagram of security deployment of nuclear power plant monitoring system

3.2 工控系统全生命周期解决方案

如图3 所示，通常情况下，在核能发电厂中，安全威胁和薄弱环节往往出现在边界或一些关键节点，安全防护的重点一般是对网络边界及重要节点做加固，并采取隔离、监控等手段。与此同时，应对这些新增加的安全设备进行安全策略的配置，否则安全设备只是形同虚设，反而会给原系统增加新的风险点。在此基础上，可采用“纵深防御”的思想，将控制系统的网络划分出清晰明确的层次，在每个层次之间都设置相应的防护机制，以此将威胁控制在一定的区域内，避免在工控内网中扩散。以上两点防护建议一般被称为被动防护机制。目前，绝大多数工控企业采取了这种防护机制，被动防御对已知安全漏洞可以发挥重要的防御作用，有效将大多数的病毒、木马隔离在工控系统外，这对工控安全防护至关重要。

安全是一个动态的过程，为进一步提高工控系统的安全防护能力，将被动防御机制转为主动防御是非常必要的。考虑工控系统的全生命周期，要做到以下几个方面：

（1）设备检测方面，需要覆盖主要工控协议，支持未知协议检测，针对工控设备系统有多种检测方法；

（2）安全服务方面，需要系统风险评估、设备漏洞挖掘、安全渗透攻击、安全技术培训；

（3）威胁管理方面，需要离线威胁管理平台、多种威胁评估工具、工控设备漏洞验证、全网防御方案建议；

（4）安全数据库方面，需要设备安全漏洞库、网络结构模型库、设备风险统计库，覆盖主流生产商；

（5）智能保护方面，需要工业等级硬件设计、自动学习网络行为、自动生成防御策略、“一键式”安全部署；

（6）监控审计方面，需要工业等级硬件设计、自动学习网络行为、自动生成告警报告、全网安全监控审计。

图3 核电厂工控系统网络安全被动防御架构图Fig.3 Nuclear power plant industrial control system network security passive defense architecture diagram

如图4 所示，针对设备安全、威胁管理、智能保护等方面的要求，需要在核电系统重要节点的旁路适当增加安全审计平台和数据采集装置（探针），在重要的网络边界（如第二与第三层网络） 之间增加安全网关等设备，对网络边界和重要节点的数据流量进行安全监控，对核心交换设备、服务器进行数据采集并上传至信息安全集中化监测平台，运用态势感知安全技术，建立主动安全保障体系，解决企业内典型网络安全设备的有关问题，如安全日志等信息的实时集中汇集、综合分析、态势感知、实时异常报警等。用户基于本平台，高效地实现资产安全状况的统一管理和安全风险的智能分析，使工业企业的利益增加，风险降低，可有效提升智能制造行业网络安全监测和态势感知能力，实现网络安全事件和风险的监测、分析、审计、追踪溯源和风险可视化，增强工控网络安全情报共享和预警通报能力。

4 结语

核能发电领域工控安全的工作仍然任重而道远，本文分析了核能发电领域典型工控系统的网络结构，阐述了当前国内核电行业的发展现状和问题，指出了核能发电厂工控系统的主要安全问题，有助于了解信息安全在核电领域的意义，最后根据国家相应文件的要求提出了核电行业工控网络安全整体解决方案，具有可实施性，为核电厂工控网络安全防护和第三代核电技术的建设提供了参考。

图4 核电厂工控系统网络安全主动防御架构图Fig.4 Nuclear power plant industrial control system network security active defense architecture diagram