摘要：AP1000核電站儀控系統(tǒng)采用了基于計算機(jī)的數(shù)字化儀控平臺實現(xiàn)，儀控系統(tǒng)對核電站安全穩(wěn)定運行起著舉足輕重的作用，然而病毒防護(hù)又是儀控系統(tǒng)安全運行的一個重要方面。文章主要從技術(shù)上分析AP1000病毒預(yù)防的設(shè)計措施，并提出通過管理手段進(jìn)一步實現(xiàn)計算機(jī)網(wǎng)絡(luò)安全的方法，為儀控系統(tǒng)的安全穩(wěn)定運行提供有力保障。

關(guān)鍵詞：AP1000；計算機(jī)病毒；單向數(shù)據(jù)傳輸；網(wǎng)閘

中圖分類號：TK323 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-2374（2013）13-0041-03

計算機(jī)病毒是編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼（以下簡稱病毒）。病毒具有繁殖性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性等特點。由于計算機(jī)科學(xué)技術(shù)的發(fā)展，病毒也在不斷地演變和發(fā)展，新病毒的出現(xiàn)更具智能性、隱蔽性、多樣性、破壞力強(qiáng)等特點，這給企業(yè)病毒預(yù)防帶來了更高的挑戰(zhàn)。

由于數(shù)字化儀控系統(tǒng)的先進(jìn)性，現(xiàn)代核電使用基于計算機(jī)的數(shù)字化儀控系統(tǒng)已是必然，AP1000同樣使用了基于計算機(jī)系統(tǒng)的控制平臺，如何才能防止病毒攻擊，保證儀控系統(tǒng)和核電站安全穩(wěn)定運行，這是使用全廠數(shù)字化儀控系統(tǒng)所面臨的問題，伊朗布什爾核電站由于受到病毒攻擊而推遲發(fā)電，這樣的消息讓人感到震驚和反思。美國核管會于2009年3月也升版計算機(jī)及網(wǎng)絡(luò)安全相關(guān)的法規(guī)10CFR73.54。

為了更好地使電站安全穩(wěn)定運行，AP1000從設(shè)計角度采用了分層的儀控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、計算機(jī)集中布置管理、設(shè)置域安全服務(wù)器、設(shè)置病毒服務(wù)器、單向數(shù)據(jù)傳輸?shù)榷囗棿胧┍苊鈨x控計算機(jī)受到病毒的危害，并提出通過管理手段更好地保證儀控系統(tǒng)安全穩(wěn)定運行。

1 病毒防護(hù)措施

1.1 儀控系統(tǒng)的層級結(jié)構(gòu)設(shè)計

AP1000儀控系統(tǒng)從功能上可分為保護(hù)和控制兩大塊，保護(hù)系統(tǒng)主要基于Common Q平臺實現(xiàn)，主要系統(tǒng)是反應(yīng)堆保護(hù)與安全監(jiān)測系統(tǒng)（Protection and Safety Monitoring System，PMS），而控制系統(tǒng)主要基于Ovation平臺實現(xiàn)，主要系統(tǒng)是電廠控制系統(tǒng)（Plant Control System，PLS），如圖1所示，采取分層結(jié)構(gòu)設(shè)計，處于最里面的第四層，是電廠的保護(hù)和控制的主要組成部分，其中PMS和PLS的設(shè)備處于這一層，這些設(shè)備布置在電廠的重要保護(hù)區(qū)域，對此區(qū)域的人員進(jìn)出實施嚴(yán)格控制，PMS和PLS之間的數(shù)據(jù)通信采用單向傳輸，數(shù)據(jù)只能從PMS流向PLS，避免非安全系統(tǒng)受到破壞而影響安全系統(tǒng)的正常功能；第三層為電廠支持層，主要包括應(yīng)急運行設(shè)施、資產(chǎn)管理、關(guān)鍵通信等系統(tǒng)，與第四層的接口也是采用單向數(shù)據(jù)傳輸，通過Ovation的企業(yè)數(shù)據(jù)服務(wù)器（Enterprise Data Server，EDS）實現(xiàn)，由此避免第三層數(shù)據(jù)反向流入第四層；第二層主要是辦公局域網(wǎng)等網(wǎng)絡(luò)，可以從第三層獲取數(shù)據(jù)，以支持電廠管理維護(hù)的需求，同樣地采取單向數(shù)據(jù)傳輸措施，第二層不能向第三層寫數(shù)據(jù)，第一層是最外面一層，可直接和英特網(wǎng)進(jìn)行數(shù)據(jù)交換，只需設(shè)置防火墻、安裝殺毒軟件等措施即可。

1.2 詳細(xì)的設(shè)計實現(xiàn)

如圖2所示為四層結(jié)構(gòu)的詳細(xì)實現(xiàn)方式，由圖2可以看出，基于Common Q平臺實現(xiàn)的保護(hù)系統(tǒng)和基于Ovation平臺實現(xiàn)的控制系統(tǒng)處于第四層，這些設(shè)備都布置在電廠重要保護(hù)區(qū)域，在附屬廠房專門設(shè)置四個房間放置PMS四個序列機(jī)柜，而Ovation的服務(wù)器及交換機(jī)都放置在附屬廠房兩個隔離的計算機(jī)房間，此區(qū)域未經(jīng)授權(quán)不許進(jìn)入，數(shù)據(jù)只能從安全級的保護(hù)系統(tǒng)流向非安全級的控制系統(tǒng)，單向數(shù)據(jù)傳輸可以避免數(shù)據(jù)倒流從而非安全級系統(tǒng)影響安全級系統(tǒng)功能，第四層中設(shè)備端口都經(jīng)過嚴(yán)格定義，不使用的端口使之失效定義為“Disable”，遠(yuǎn)程登錄、無線登錄、郵件系統(tǒng)等功能都禁止使用，這些措施使得第四層設(shè)備受到病毒危害的風(fēng)險降至最低，它與第三層的接口是通過Ovation的企業(yè)數(shù)據(jù)服務(wù)器（Enterprise Data Server，EDS）實現(xiàn)。

第三層包括應(yīng)急響應(yīng)設(shè)施、關(guān)鍵通信系統(tǒng)、劑量管理、資產(chǎn)管理、外圍數(shù)據(jù)收集等網(wǎng)絡(luò)，應(yīng)急響應(yīng)設(shè)施包括技術(shù)支持中心、運行支持中心、應(yīng)急運行設(shè)施等，這些設(shè)備從第四層Ovation的企業(yè)數(shù)據(jù)服務(wù)器（EDS）獲取數(shù)據(jù)，數(shù)據(jù)單向傳輸，應(yīng)急響應(yīng)設(shè)施為電廠應(yīng)急情況時提供電站參數(shù)信息顯示，幫助應(yīng)急人員了解電站狀況，而通信系統(tǒng)、資產(chǎn)管理等相對儀控系統(tǒng)比較獨立，不會影響儀控系統(tǒng)功能，就不再作介紹，另外第三層與第二層之間的接口需設(shè)置防火墻，且使用De-Militarized Zone （DMZ）提供數(shù)據(jù)緩沖，建立認(rèn)證機(jī)制，避免第二層網(wǎng)絡(luò)非法數(shù)據(jù)進(jìn)入第三層，保證更低一級的網(wǎng)絡(luò)不影響更高一級網(wǎng)絡(luò)的運行。

第二層為公司辦公局域網(wǎng)，包括模擬機(jī)、電廠電話廣播系統(tǒng)等，由電廠IT部門按照公司管理要求建立病毒預(yù)防措施，第二層與第一層之間需設(shè)置不同于第三層與第二層之間的防火墻。

另外根據(jù)國家電力監(jiān)管委員會發(fā)布的《電力二次系統(tǒng)安全防護(hù)規(guī)定》（電監(jiān)會5號令）的要求：“在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置?！彼越?jīng)過EDS出來的數(shù)據(jù)如果進(jìn)入其他系統(tǒng)，還需再設(shè)置一個隔離網(wǎng)閘。

1.5 其他病毒預(yù)防措施

1.5.1 設(shè)備布置。結(jié)合電廠的實物保護(hù)系統(tǒng)，將第四層的重要設(shè)備布置在電廠重要保護(hù)區(qū)域，對于Ovation平臺，采取主機(jī)與附屬設(shè)備分離布置的設(shè)計方法，主機(jī)布置在附屬廠房專門設(shè)置的計算機(jī)房間，而操作員站僅僅放置鼠標(biāo)鍵盤顯示器等附屬設(shè)備，具體實現(xiàn)方式如圖6所示，這種設(shè)計理念的好處是：將帶有USB接口及光驅(qū)的主機(jī)集中統(tǒng)一管理，此區(qū)域嚴(yán)加管控，使用視頻監(jiān)視、機(jī)柜門報警、無授權(quán)人員不準(zhǔn)進(jìn)入等措施；而操作員站僅僅包含顯示器、鼠標(biāo)、鍵盤等終端設(shè)備，它們通過KVM（Keyboard、Video、Mouse）轉(zhuǎn)換的方式與主機(jī)連接，在人員活動相對較多的操作員站未設(shè)置主機(jī)與交換機(jī)等相關(guān)設(shè)備，減少人員隨意使用U盤，隨意將其他計算機(jī)接入儀控系統(tǒng)，由此減少遭受病毒傳染的風(fēng)險，又給管理帶來方便，只需對兩個計算機(jī)房間加強(qiáng)管理就可以達(dá)到目的，然而計算機(jī)房間人員活動較少，容易管理，而操作員站人員相對較多的地方只布置終端，不會形成病毒危害風(fēng)險。

1.5.2 域控制器。設(shè)置了對整個Ovation系統(tǒng)進(jìn)行整體控制的域控制器，使用域的概念對實時網(wǎng)絡(luò)中的計算機(jī)和用戶進(jìn)行統(tǒng)一管理，Ovation所有Drop都必須先在域中注冊，且對每個計算機(jī)權(quán)限都進(jìn)行嚴(yán)格定義，為不同的角色定義不同的操作權(quán)限，也可以限制用戶的非法行為，是實現(xiàn)Ovation平臺安全的重要設(shè)計方式。

1.5.3 病毒服務(wù)器。AP1000設(shè)置了基于windows系統(tǒng)的病毒服務(wù)器，此服務(wù)器安裝了卡巴斯基殺毒軟件，對Ovation網(wǎng)絡(luò)上的服務(wù)器及交換機(jī)進(jìn)行實時監(jiān)視和保護(hù)，一旦發(fā)現(xiàn)存在危險將自動進(jìn)行隔離和修復(fù)，并提供報告支持進(jìn)一步的采取措施。

1.5.4 運行維護(hù)管理措施。以上措施是從設(shè)計的技術(shù)角度考慮如何實現(xiàn)病毒的預(yù)防，這是從源頭本質(zhì)安全的角度考慮如何保護(hù)儀控系統(tǒng)，但是光有技術(shù)措施還不夠，還應(yīng)該從管理角度發(fā)布管理程序和采取一些必要措施，規(guī)范儀控系統(tǒng)的維護(hù)與使用行為，形成一整套有效的管理機(jī)制，牢牢保護(hù)儀控系統(tǒng)安全穩(wěn)定運行，就像一個無形的保護(hù)墻，將一系列不安全的行為拒之門外，由此提出通過管理程序的方式規(guī)范儀控系統(tǒng)的操作行為，管理程序至少包含以下三個方面的內(nèi)容：

（1）對工作人員進(jìn)行授權(quán)管理：通過培訓(xùn)授權(quán)的方式進(jìn)行授權(quán)上崗，未經(jīng)授權(quán)人員不得進(jìn)入儀控系統(tǒng)設(shè)備間對儀控設(shè)備進(jìn)行操作，對員工進(jìn)行必要安全教育，加強(qiáng)員工安全意識，預(yù)防為主，灌輸病毒防護(hù)方面的知識和理念，讓員工理解病毒危害的隱蔽性及病毒預(yù)防的重要性，要求用戶嚴(yán)格按照各自授權(quán)開展工作，在控制系統(tǒng)上進(jìn)行工作時，需設(shè)置專人監(jiān)護(hù)。

（2）對人員的行為進(jìn)行管理：禁止在控制系統(tǒng)計算機(jī)上使用U盤、光盤、移動硬盤等存儲設(shè)備，禁止在控制系統(tǒng)計算機(jī)內(nèi)安裝、運行與控制系統(tǒng)無關(guān)的其他軟件，如有需要，必要經(jīng)過嚴(yán)格的審批程序，除需要使用專用電腦進(jìn)行調(diào)試或維護(hù)外，禁止將其他電子設(shè)備接入控制系統(tǒng)網(wǎng)絡(luò)。

（3）控制系統(tǒng)密碼管理：控制系統(tǒng)密碼應(yīng)定期進(jìn)行修改，密碼至少一季度修改一次，密碼至少8位，不能與用戶名相同，且應(yīng)包括數(shù)字、字母及特殊符號，工作人員離開工程師站應(yīng)登出并鎖定計算機(jī)。定期對賬戶、口令、端口和服務(wù)等進(jìn)行檢查，及時清理不用的賬戶。

2 改進(jìn)建議

盡管Ovation系統(tǒng)不斷升級完善，已經(jīng)可以滿足運行控制電廠的需要，但是由于還未集成維護(hù)管理方面的功能，目前國內(nèi)很多核電廠都采用其他系統(tǒng)加以補充，比如使用項目管理信息系統(tǒng)（SPMS）及電廠信息系統(tǒng)（Plant Information， PI）來補充完善管理方面的需要，三門核電就使用項目管理信息系統(tǒng)來實現(xiàn)設(shè)備信息管理、工器具管理、工單管理、經(jīng)驗反饋及狀態(tài)報告等，而秦山三期和田灣核電就開發(fā)PI系統(tǒng)來完成運行維護(hù)中的某些功能。如果后續(xù)控制系統(tǒng)不斷完善，能集成管理方面的功能，如重大設(shè)備性能分析、狀態(tài)報告、設(shè)備運行臺賬、運行日志、工單系統(tǒng)、備品備件管理等功能模塊，這就使得動態(tài)的電站控制與靜態(tài)的信息相關(guān)聯(lián)，形成一個強(qiáng)大的分布式控制系統(tǒng)（Distributed Control System，DCS），將會給電站的運行維護(hù)管理帶來極大的方面，也是一個病毒防護(hù)的措施，將不再需要采用外部系統(tǒng)導(dǎo)出控制系統(tǒng)數(shù)據(jù)，從根本上實現(xiàn)了物理隔離，大大提高計算機(jī)網(wǎng)絡(luò)安全，減少病毒進(jìn)入帶來的風(fēng)險，這也給后續(xù)分布式控制系統(tǒng)（DCS）的發(fā)展方向提供一定參考。

3 結(jié)語

由于儀控系統(tǒng)在電站系統(tǒng)中所起的關(guān)鍵作用，就像人的大腦一樣，它控制著整個電站的正常運行，所以保證儀控系統(tǒng)安全穩(wěn)定運行對核電站的安全穩(wěn)定運行起至關(guān)重要作用，病毒防護(hù)又是保證儀控系統(tǒng)穩(wěn)定運行的一個非常重要的方面，所以本文主要從設(shè)計角度分析如何采取措施避免病毒入侵，這是從技術(shù)上杜絕病毒進(jìn)入的方法，這些經(jīng)驗可為核電數(shù)字化儀控系統(tǒng)的設(shè)計提供一定的參考。然而實際上儀控系統(tǒng)病毒防護(hù)無法只通過技術(shù)實現(xiàn)，或者說從技術(shù)的角度并不是病毒防護(hù)的所有，所以從管理上提出要求，通過管理程序方式預(yù)防病毒，這是設(shè)計的補充，從而也形成一整套的儀控系統(tǒng)病毒防護(hù)機(jī)制，為核電站儀控系統(tǒng)的高效可靠運行提供保證，這樣的思路也為數(shù)字化儀控系統(tǒng)的安全運行維護(hù)管理提供寶貴參考價值。

參考文獻(xiàn)

[1] 陳才亮.DCS分散控制系統(tǒng)安全分析[J].煤礦現(xiàn)代

化，2006，（6）.

[2] 周生，吳翔.SIS系統(tǒng)的網(wǎng)絡(luò)安全分析及防范措施

[J].安徽電氣工程職業(yè)技術(shù)學(xué)院學(xué)報，2007，（1）.

[3] 顧軍，繆亞民，范福平，等.AP1000核電廠系統(tǒng)與設(shè)備[M].北京：原子能出版社，2010.

[4] 趙靜，蔣方純，王婷.協(xié)議異常檢測技術(shù)在核電廠實時信息系統(tǒng)中的應(yīng)用.

[5] 江國進(jìn)，趙靜，張煥新，孫永濱.基于核電廠實時信息系統(tǒng)的入侵檢測與管理系統(tǒng).

[6] 李爽，李卓佳.核電站實物保護(hù)系統(tǒng)的設(shè)計過程與技術(shù)方案要素.

[7] 柴松岳.電力二次系統(tǒng)安全防護(hù)規(guī)定.2004.

作者簡介：吳洋（1984—），男（彝族），貴州納雍人，中核集團(tuán)三門核電有限公司助理工程師，研究方向：第三代AP1000核電站數(shù)據(jù)顯示與處理系統(tǒng)（DDS）及運行和控制中心（OCS）的調(diào)試。

（責(zé)任編輯：周 瓊）