1 概述
随着近年来控制和信息技术(网络通信技术、计算机硬件技术、现场总线技术等)的不断发展和日益成熟,加之用户对先进控制功能与管理功能需求的提升,全数字化仪控系统开始全面进入核电站的实际应用。
数字化带来很多好处,如高精度,无信号漂移,具有容错、故障自诊断的功能,同时还具有兼容性,开放性等特点;计算机系统可以提供长期的,大容量的数据存储;同时操纵员支持功能,对事故与事故后对数据进行智能化处理,为操纵员提供最易理解的信息支持。但数字化的网络技术也有它本身的特点和局限性,网络安全就是一个典型的问题,特别是近期针对工业控制系统的网络安全事件不断出现后,这一问题显得尤为突出。
针对工业控制领域的网络安全控制问题,国内并没有一个成熟的标准和规范可遵照执行,下面仅针对目前完成工程实施的数字化仪控系统的网络安全实践情况进行说明。
2 网络安全核电厂实践现状
2.1 核电厂仪控系统介绍
习惯上,核电厂仪控系统按其功能分为以下的四个层次:
0层 工艺系统接口层(包括传感器,阀门等);
1层 自动控制和保护层;
2层 控制和监视层;
3层 全厂信息管理层(包括MIS系统等)。
核电厂数字化仪控系统总体结构图(如图1),整个控制网络主要通过交换机以工业以太网进行数据通讯和数据交换。DCS系统的1层采用Tricon(1E级)和IA系统(NC和NC+)构成,主要采集来自0层的信息并发出控制驱动命令。2层(后备盘和ECP盘除外)的数据处理系统和HMI系统由ADACS_N系统来实现。1层和2层主要通过IA系统的AW站和ADACS_N系统的CFR服务器采用FoxAPI的方式完成两者的数据交换。除了对核电厂的监控工作,DCS系统还需要向核电厂管理信息层(三层)以及电厂应急指挥中心等机构发送所需的电厂运行状态信息。本文中管理信息系统特指核电厂实时信息监控系统(KNS)。它主要为核电厂建立全厂生产过程实时和历史数据库平台,主要为运行、维修、技术支持等生产监管人员提供全厂生产过程实时管理监控服务和综合优化服务。按照国家核安全当局的要求,要求将电厂的一小部分运行信息实时送至国家核应急中心等地,这就需要通过广域网完成信息传输。除了全厂的DCS系统外,核电厂还有部分采用数字化系统的第三方专用仪控系统如堆外核测、堆芯测量、DEH等。这些专用仪控系统主要通过网关与主DCS系统进行信息交换。
2.2 核电厂仪控系统控制区划分
在国家发展和改革委员会令第14号《电力监控系统安全防护规定》发布之前,核电厂数字化仪控系统依据国家电监会发布的《电力二次系统安全防护规定》(电监会5号令) 划分为生产控制大区和管理信息大区。其中1层和2层划分到生产控制大区中,3层划分到管理信息大区,0层如果采用总线仪表则也应归入生产控制大区。1层的保护系统由于有特殊的要求,即使在生产控制大区内部也在1E级的保护系统和非1E级的正常运行控制系统之间设置必要的网关,保证必要的信息隔离确保网络安全。
2.3 核电厂仪控系统网络安全措施
2.3.1 用户名口令控制进入
运行人员对于DCS系统的权限仅限于对于二层终端的使用,没有修改系统配置以及系统数据的权限。按照操纵员的职责设置不同的用户名和口令,相应地具有不同的使用权限(如设备控制操作、规程操作、状态监视、挂牌、交接班等)。另外,根据二层终端的布置位置预先配置不同的使用权限,使之无法超越权限使用。如只有主控制室和远程停堆站的二层终端具有操作控制权限,布置在技术支持中心、计算机房等的二层终端只有信息监视的权限。这种设置可以最大限度地防止未授权进入。
只有维修人员具有对于一层以及二层工程师站的登录用户名和登录口令以及进入计算机房的权限。也就是只有维修人员才具有对系统进行故障处理以及修改的权限。
2.3.2 物理行政手段
从职责分工上讲,核电厂运行期间需要接触到数字化仪控系统的人员,主要包括运行人员和调试维修人员。运行人员接触仪控系统的场所主要是主控制室、远程停堆站以及现场巡检。
维修人员具有所有仪控设备(软硬件)的进入权限,如电子机柜的柜门钥匙,主控盘台的门钥匙等由维修人员掌握。对于主要仪控设备的机柜还专门设置了门开报警,在机柜门被打开的时候给出报警信号。
图1 核电厂仪控结构总貌图
考虑到进入系统的接口控制,只有工程师站的计算机保留了USB口等介质接入接口。系统内的其它计算机的外接接口均封闭。
2.3.3 网络隔离措施
由于国内没有发布专门针对网络安全的相关标准,在设计上主要是按照电监会5号令的要求(电监会5号令已经废止,目前是按照刚发布的发改委14号令的要求)设置相应的网络隔离措施。
(1)生产控制区和管理信息区的信息隔离
即仪控系统的二层和三层之间(如图1)设置经国家指定部门检测认证的电力专用横向单向安全隔离装置用于控制仪控系统的信息流,该装置物理上就具备单向通讯的特性,进行信息发送时也不需要先进行一般通讯传输的握手交互等双向信息交换的方式,这种方式只允许将生产控制区(仪控系统的一层和二层)的信息以实时或定期发送的方式传输至管理信息区(本项目中采用南瑞的syskeeper 2000单向隔离装置)(详细网络结构及接口见图2)。这种设计完全符合电监会5号令中 “在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置”的要求。这种方式既能够完成向电厂管理信息网的有效信息传输,又能够有效防止可能的来自管理信息网的网络安全威胁。
图2 生产控制区和管理信息区的网络结构详图
(2)生产控制区内部的隔离
生产控制区内(一层和二层)主要包括三个部分的信息交换: 一层和二层之间,主仪控系统与第三方专用仪控系统之间,非安全仪控系统与安全仪控系统(保护系统)之间的信息交换。
由于主仪控系统的1层和2层分别采用不同公司的产品,1层和2层主要通过IA系统的AW站和ADACS_N系统的CFR服务器采用FoxAPI的方式完成两者之间的数据交换。
从分区的角度,独立第三方仪控系统也划分在生产控制区中,因此这些独立第三方仪控系统与主DCS系统的数据交换也属于生产控制区内部的信息交换,原则上可以直接相连接而不作处理。但是考虑到这些独立第三方仪控系统在电厂管理中分属不同的生产部门,为安全起见,系统设计的时候还是在这些系统和主DCS系统之间设置了通讯网关进行一定的逻辑隔离,主要通过图1中的“FDSI GATEWAY”来实现一定程度的信息隔离。
核电厂仪控系统中对于安全要求最高的是保护系统(安全仪控系统)。按照IEC61508的功能安全等级保护系统划分为SIL4级。关于保护系统在安全方面的措施下文会有详细的描述,此处仅从安全分区和信息隔离的角度进行描述。在保护系统与非安全仪控系统之间设置有经过鉴定的单向网关装置,如图1的“1E到NC FDSI Gateway”网关装置。该网关同样具有单向特性,只允许保护系统向非安全仪控系统单向发送信息,而从非安全仪控系统向保护系统的信息发送是不被允许的。
以上三个方面的措施都满足电监会5号令关于“生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。”
(3)与广域网的隔离
按照国家核安全当局的监管要求,需要将反映核电厂运行的实时信息送至国家核应急中心等部门。这部分信息的传输需要通过核电厂仪控系统的3层部分来实现(如图1所示)。对于这一部分的安全防护和信息隔离主要是按照电监会5号令的要求“在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施”的要求,一般采用卫士通系列等产品,主要包括以下的功能:安全隧道:用户数据通过密码机厂的安全隧道进行安全的网络传输。数据包加密:除了对原有IP包进行封装外,还要进行加密处理,保证数据在网络上传输的机密性。设备和管理员身份认证。
访问控制。出于信息安全和信息传输的可靠性的要求,部分时候还会在信息传输端设置双的完善空间。”
2.4 核电厂保护系统网络安全措施
2.4.1 保护系统的安全计划
按照针对核电厂安全重要仪控系统的标准IEC 61513(Ref.1.5.1.1)以及Reg. Guide 1.152 (Ref. 1.5.1.2)的要求首先要对保护系统编制其安全计划以确保保护系统的可用性(防止非授权的进入和破坏),完整性(防止未授权的修改)和保密性(未经授权的披露)(operability, integrity and confidentiality)这个计划要求匹配在保护系统软件开发过程中以及整个软件生命周期中为确保和维持保护系统的设计以及维护过程中的安全性而采取的措施。依靠行政和技术手段来保护I&C系统结构并防止恶意的攻击以预防危害电厂安全重要功能的发生。
2.4.2 人员活动及工作场所控制
在工程的不同阶段不同的人员拥有不同的权限,同时还需要考虑保护系统整个生命周期中环境的变化,如设计场所,调试场所,电厂现场等。
物理保护主要涉及防止未授权的接近(打开保护系统机柜门)不同的保护组和保护列,机组有不同的机柜钥匙;涉及保护系统工作人员的身份确认和授权确认以及可靠性确认。运行期间机柜设有门开报警及时通知主控室人员。
工程阶段人员: 包括RPS设计团队,设计经理负责在软件系统内分配设计团队里各成员的登入登出权限;分配不同人员对于各类文件,设计成果软件,系统配置查看的不同登入登出权限。需要说明的是,权限的分配还需要结合用户ID和密码。人员包括软件编码人员、IV&V人员和硬件设计人员等。
工厂测试阶段人员:涉及的人员包括供货方测试人员、IV&V人员、买方测试人员,只有供货方测试人员有进入系统的权限。
现场测试人员: 买方安装人员、供货方安装监督人员、SAT团队,只有SAT团队中的供货方人员有进入系统的权限。
运行期间人员: 调试维护人员、运行人员,只有维护人员有进入系统的权限。
关于供货商对于其在保护系统软件设计和测试过程至软硬件在现场完成安装中的计算机安全责任以及移交现场后的保护系统网络安全责任移交现场买方。包括保护系统的机柜上锁以及系统软件的用户保护口令等。
2.4.3 不同阶段的安全控制措施
(1)保护系统的安全需求
在保护系统的需求阶段,主要由设计方提出保护系统安全方面的需求,主要包括:
·软件本身具有防入侵特性;
·影响操作系统软件完整性应用软件的修正,改变或影响不允许;
·物理保护;
·人员身份确认和授权确认;
·机柜门带锁且针对不同的保护组,保护列,机组有不同的机柜钥匙;
·保护系统机柜门开报警,及时通知主控室人员;
·软件按照标准IEC 61513要求保证完整性,可用性,保密性;
·建立完整的安全计划防止保护系统受到攻击而破坏安全功能。
·安全计划必须明确对包括系统和设备在内的保护系统功能的安全需求;
·可能失效的措施必须在过程中明确;
·由于未授权进入和修改所导致的风险必须以系统化的方式进行管理;
·所采取的安全措施应不会对系统可靠性和可用性造成负面影响;
·登入登出系统的口令系统;
·保护系统与其他系统的接口处理,如设置网关等。
(2)设计阶段的安全措施
前文已经描述过,核电厂保护系统按照IEC61508的安全等级划分为SIL4,供货商按照SIL4的要求确保软件中没有包含后门以及特洛伊木马等,即所有涉及危及计算机安全的威胁都会被除去。
设计阶段保护系统面临的安全风险包括:
·未经授权的修改(工程数据的完整性威胁);
·未经授权进入而导致的破坏(影响可用性);
·未经授权的分发(影响机密性)。
针对以上的风险,供货商将完成实施以下的措施和方法:
·只有经过资质鉴定和考核的人员才允许接触和编写保护系统的软件代码;
·在供货商的工作场所设有人员进入控制系统(门禁等),以防止未经授权的人员进入到相应的工作场所;
·安全相关信息仅提供给经授权的人员;
·相关的计算机设置开机权限;
·系统的信息传输受控(如保护系统与其它系统的信息交换采用单向通讯协议,奇偶校验,网关设置,防火墙等);
·存储器只读保护(还包括文件备份等);
·计算机防病毒措施;
·相关文档的安全措施;
·不同阶段不同的人员拥有不同的权限;
·使用校验和生成一个软件指纹;
·所采用的控制器是经过网络安全论证的(运行状态下不允许通过网络写入);
·进入系统的用户名/密码保护;
·不允许在软件应用程序的代码编制,修改以及变更的过程中影响到系统的完整性。保护系统所使用的是系统内置的实时执行器固件,该执行器作为控制器(CPU)的一部分。执行器独立于应用软件不可能在使用过程中因突发事件而被修改。
从硬件上,所有的保护系统机柜都有专门的柜门锁,只有相关的设计人员才能打开机柜。另外在软件系统内部还根据不同的设计人员权限定义不同的系统进入口令如代码编辑、数据库、系统状态变化以及启动运行权限。
(3)测试阶段的安全措施
测试阶段主要考虑以下的风险:
·未经授权的修改(工程数据的完整性威胁);
·未经授权的分发(影响机密性)。
一般采取以下措施:
·只有经过资质鉴定和考核的人员才允许接触和编写保护系统的软件代码;
·安全相关信息仅提供给经授权的人员;
·相关文档的安全措施;
·控制机柜的钥匙;
·控制测试工具的接触权限;
·控制移动介质;
·控制物资仓库。
(4)运行阶段的安全措施
一旦保护系统在现场完成安装,当然系统的移交还包括了对于文件移交的安全措施。保护系统相关的文件移交按照买方与供货方确定的工作程序进行。移交之后,买方业主将承担起预防所有保护系统网络安全相关威胁的责任,当然包括了机柜钥匙以及系统保护口令等的移交。业主将按照标准的要求(如IEC-61513等)的执行相应的措施以缓解和防止会影响电厂安全的网络安全事故的出现。
系统运行阶段安全措施主要保证保护系统运行期间的数据保护以及保护系统运行阶段的网络安全威胁和应对措施。
3 结语
随着基于工业以太网的全数字化仪控系统在核电厂的广泛应用,基于信息网络的安全事件也不断出现,这对核电厂的信息安全提出了更高的要求。我国还没有建立一套完善的关于工业控制系统信息安全的完整体系,近期在转化相应的国际标准如IEC62443《工业过程测量和控制安全-网络和系统安全》)方面进展很大。对应的核电厂仪控系统特别是保护系统信息安全方面的要求及措施也有很大的完善空间。
作者简介
张玉峰(1974-), 男,高级工程师。2000年毕业于西安交通大学核能科学与工程专业,硕士,现就职于中国核电工程有限公司,主要从事核电厂仪表与控制系统相关工程和研究工作。
摘自《工业控制系统信息安全专刊(第一辑)》
