張 林，崔 崗，張興振，王元媛，張立斌，譚勝盛

（深圳中廣核工程設(shè)計(jì)有限公司，上海 200241）

核電廠電氣二次系統(tǒng)信息安全監(jiān)管平臺(tái)的研究

張 林*，崔 崗，張興振，王元媛，張立斌，譚勝盛

（深圳中廣核工程設(shè)計(jì)有限公司，上海 200241）

本文介紹了核電廠電氣二次系統(tǒng)技術(shù)的發(fā)展趨勢(shì)及其面臨的網(wǎng)絡(luò)安全威脅問題；分析了國家能源局對(duì)核電廠電氣二次系統(tǒng)安全防護(hù)部署的強(qiáng)制性技術(shù)監(jiān)管要求；通過解析核電廠電氣二次系統(tǒng)的設(shè)備現(xiàn)狀，研究出一種可實(shí)際部署在核電廠的電氣二次系統(tǒng)的信息安全監(jiān)管平臺(tái)方案，并進(jìn)一步探討了該方案的后續(xù)發(fā)展趨勢(shì)。

前置機(jī)；堡壘機(jī)；信息安全監(jiān)管平臺(tái)；主動(dòng)安全；被動(dòng)安全

核電廠的安全穩(wěn)定運(yùn)行和電力的可靠供應(yīng)直接涉及國民經(jīng)濟(jì)發(fā)展和人民生命財(cái)產(chǎn)安全，甚至影響到國家安全和社會(huì)穩(wěn)定。核電廠電氣二次系統(tǒng)的運(yùn)行直接關(guān)系到核電廠的安全。如何在核電廠建設(shè)、調(diào)試、運(yùn)營階段保證電氣二次系統(tǒng)的信息安全顯得尤為迫切。例如，2010年伊朗布什爾核電廠遭到的“震網(wǎng)病毒”攻擊就是一個(gè)典型的案例［1］；2014年12月26日在韓國建設(shè)中的古里核電廠遭到網(wǎng)絡(luò)攻擊，導(dǎo)致發(fā)生疑似氮?dú)庑孤┦鹿?，造?名工作人員死亡。

1 核電廠電氣二次系統(tǒng)技術(shù)發(fā)展趨勢(shì)

隨著電氣二次系統(tǒng)技術(shù)研究的飛速發(fā)展，電氣二次系統(tǒng)和設(shè)備也在快速地走向智能化、數(shù)字化、信息化。近年來隨著工業(yè)總線運(yùn)用、數(shù)字化變電站、智能電網(wǎng)與物聯(lián)網(wǎng)新興技術(shù)的發(fā)展，電氣二次系統(tǒng)技術(shù)正走向與計(jì)算機(jī)網(wǎng)絡(luò)、通訊技術(shù)、人工智能融合發(fā)展的趨勢(shì)。新的工業(yè)總線、數(shù)字化變電站技術(shù)在核電廠中的運(yùn)用，在帶來技術(shù)革新和方便快捷的同時(shí)，電氣二次系統(tǒng)中許多數(shù)字化的重要信息，便留存在聯(lián)網(wǎng)的計(jì)算機(jī)中，這些信息極易通過互聯(lián)網(wǎng)被盜取，甚至遭到惡意篡改，也有可能成為境內(nèi)外敵對(duì)勢(shì)力進(jìn)行滲透攻擊的重要目標(biāo)。

2012年10月至2013年3月，美國國土安全部下屬的ICS-CERT（工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組）監(jiān)測(cè)到200多起工業(yè)控制系統(tǒng)安全事件，其中主要集中在能源、關(guān)鍵制造業(yè)、交通、通信、水利、核能等行業(yè)（如圖1所示），而能源行業(yè)的安全事故則超過一半［2］。

圖1 ICS-CERT關(guān)于安全事件行業(yè)分布分析（2012.10～2013.03）Fig.1 ICS-CERT distribution analysison security events for industry（2012.10～2013.03）

根據(jù)ICS-CERT往年的安全事件統(tǒng)計(jì)數(shù)據(jù)結(jié)果分析，近年來與工業(yè)控制系統(tǒng)相關(guān)的安全事件正在呈快速增長的趨勢(shì)（如圖2所示）［2］。

核電廠電氣二次系統(tǒng)中很多系統(tǒng)和設(shè)備也屬于工業(yè)控制系統(tǒng)，這些系統(tǒng)設(shè)備與核電廠的生產(chǎn)運(yùn)行密切相關(guān)，如電氣二次系統(tǒng)遭受黑客或病毒攻擊，可能會(huì)導(dǎo)致核電廠發(fā)生緊急停堆的嚴(yán)重事故，甚至發(fā)生核事故。通常，核電廠機(jī)組多、裝機(jī)容量大、機(jī)組的意外投退對(duì)跨地域電網(wǎng)的沖擊也很大，極易誘發(fā)電網(wǎng)發(fā)生大面積停電事故，造成較大的社會(huì)影響，所以加強(qiáng)核電廠電氣二次系統(tǒng)的安全防護(hù)顯得尤其重要。

圖2 ICS-CERT統(tǒng)計(jì)的工業(yè)控制系統(tǒng)安全事件（按財(cái)年統(tǒng)計(jì)）Fig.2 ICS-CERT statisticsof industrialcontrolsystem security events（by fiscal year）

2 國家能源局對(duì)核電廠電氣二次系統(tǒng)安全防護(hù)部署的技術(shù)要求

國家發(fā)展和改革委員會(huì)于2014年發(fā)布了14號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》［3］，該文為電氣二次系統(tǒng)安全防護(hù)提供了指導(dǎo)方針。據(jù)此，國家能源局于2014年頒布了317號(hào)文《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》［4］和318號(hào)文《電力行業(yè)信息安全等級(jí)保護(hù)管理辦法》［5］。早在2012年，國家電力監(jiān)管委員會(huì)2012年12號(hào)文《關(guān)于電力二次系統(tǒng)安全防護(hù)工作情況的通報(bào)》的附件中詳細(xì)通報(bào)了電力二次系統(tǒng)安全防護(hù)工作的情況［6］。

國家能源局在2013年頒布了《核電站二次系統(tǒng)安全防護(hù)技術(shù)規(guī)定（試行）》［7］（以下簡(jiǎn)稱《規(guī)定》），該《規(guī)定》的征求意見稿中給出了核電廠電氣二次系統(tǒng)安全部署示意圖及其詳細(xì)的技術(shù)要求。這意味著國家能源局即將出臺(tái)的《電力二次系統(tǒng)安全防護(hù)規(guī)定》將核電廠列入其中。試行的綜合安全防護(hù)要求將成為強(qiáng)制執(zhí)行內(nèi)容，因此擁有一套有效的，針對(duì)電氣信息安全的監(jiān)管系統(tǒng)是非常必要的。在《規(guī)定》的征求意見稿附件5《發(fā)電廠二次系統(tǒng)安全防護(hù)方案（征求意見稿）》中，給出了核電廠電氣二次系統(tǒng)安全防護(hù)的技術(shù)要求，其部署如圖3所示。

圖3 核電廠二次系統(tǒng)安全部署示意圖Fig.3 Security schem atic diagram for the secondary electrical system ofnuclear power p lant

2.1 核電廠電氣二次系統(tǒng)安全防護(hù)遵循的基本原則

2.1.1 安全分區(qū)

核電廠基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)將該系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，并根據(jù)業(yè)務(wù)系統(tǒng)的重要性和對(duì)一次系統(tǒng)的影響程度再將生產(chǎn)控制大區(qū)劃分為控制（安全區(qū)I）和非控制（安全區(qū)II），重點(diǎn)保護(hù)生產(chǎn)控制以及直接影響電力生產(chǎn)（機(jī)組運(yùn)行）的系統(tǒng)。

2.1.2 網(wǎng)絡(luò)專用

電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò)，承載電力實(shí)時(shí)控制、在線生產(chǎn)交易等業(yè)務(wù)。核電廠端的電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。核電廠端的電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，并分別連接控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)II）。

2.1.3 橫向隔離

在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、國產(chǎn)硬件防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。防火墻的功能、性能、電磁兼容性必須經(jīng)過國家有關(guān)部門的認(rèn)證和測(cè)試。

2.1.4 縱向認(rèn)證

核電廠生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。

2.1.5 綜合防護(hù)

綜合防護(hù)是結(jié)合國家信息安全等級(jí)保護(hù)工作的相關(guān)要求對(duì)電氣二次系統(tǒng)從主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計(jì)、備份及容災(zāi)等多個(gè)層面進(jìn)行信息安全防護(hù)的過程。

2.2 核電廠電氣二次系統(tǒng)的業(yè)務(wù)系統(tǒng)和功能模塊劃分

核電廠的控制（安全區(qū)I）主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：自動(dòng)電壓控制功能AVC、廠級(jí)信息監(jiān)控系統(tǒng)的監(jiān)控功能、網(wǎng)控系統(tǒng)、繼電保護(hù)、輔機(jī)控制系統(tǒng)、相量測(cè)量裝置PMU和自動(dòng)控制裝置（安控、電力系統(tǒng)穩(wěn)定器PSS裝置等）等。

核電廠的非控制（安全區(qū)II）主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：廠級(jí)信息監(jiān)控系統(tǒng)的優(yōu)化功能、電能量采集裝置和故障錄波裝置等。

核電廠的管理信息大區(qū)主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：廠級(jí)信息監(jiān)控系統(tǒng)的管理功能、檢修管理系統(tǒng)和管理信息系統(tǒng)M IS。

考慮到核電廠信息安全的嚴(yán)格要求以及核電廠電氣二次系統(tǒng)與日常正常運(yùn)營有密切關(guān)系，目前信息監(jiān)管平臺(tái)后臺(tái)只考慮部署在非控制（安全區(qū)II）內(nèi)，且與管理信息大區(qū)無任何聯(lián)系。電氣二次系統(tǒng)和網(wǎng)絡(luò)設(shè)備分別由獨(dú)立部署在控制（安全區(qū)I）和非控制（安全區(qū)II）的前置機(jī)處理分析，不僅保證了控制分區(qū)隔離的要求，還增強(qiáng)了對(duì)外部網(wǎng)絡(luò)攻擊的抵御和防范能力。

3 國內(nèi)核電廠電氣二次系統(tǒng)安全防護(hù)現(xiàn)狀

目前國內(nèi)投運(yùn)和在建的核電廠電氣二次系統(tǒng)均已按照國家能源局的規(guī)定要求，以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體原則劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，其中生產(chǎn)控制大區(qū)又分為控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)II）。由于投運(yùn)核電廠建設(shè)較早，尚無具備《規(guī)定》中要求的綜合安全防護(hù)關(guān)于入侵檢測(cè)、主機(jī)與網(wǎng)絡(luò)設(shè)備加固、應(yīng)用安全控制、安全審計(jì)、惡意代碼防范等功能。防護(hù)設(shè)備主要靠縱向認(rèn)證、橫向隔離等防火墻和交換機(jī)隔離來實(shí)現(xiàn)。在建核電廠除與電網(wǎng)聯(lián)絡(luò)的調(diào)度系統(tǒng)采取一定的安全防護(hù)措施外，均沒有依照國家能源局2013年頒布的《核電廠二次系統(tǒng)安全防護(hù)技術(shù)規(guī)定（試行）》［7］執(zhí)行。因此，投運(yùn)和在建的核電廠對(duì)電氣二次系統(tǒng)安全防護(hù)均未有采取一套專用、統(tǒng)一、綜合的技術(shù)應(yīng)對(duì)措施。

核電廠各個(gè)控制分區(qū)之間設(shè)置縱向、橫向隔離和安全防護(hù)功能。該功能要求對(duì)應(yīng)的設(shè)備通常由不同廠家供應(yīng)，且分散在不同的廠房。不同類型的安全防護(hù)設(shè)備遍布于各處的安全信息毫無關(guān)聯(lián)，安全策略執(zhí)行也難以保持一致，安全審計(jì)工作也十分困難［8］。按傳統(tǒng)方式分散管理這些安全設(shè)備變得非常困難，甚至不現(xiàn)實(shí)，且會(huì)成為許多安全隱患形成的根源；同時(shí)，核電廠中受過安全防護(hù)專業(yè)訓(xùn)練的IT人員非常缺乏。這種缺乏集中監(jiān)管和統(tǒng)計(jì)分析手段的狀態(tài)成為電氣二次系統(tǒng)安全防護(hù)體系建設(shè)時(shí)面臨的新問題。因此迫切需要一種技術(shù)手段，實(shí)現(xiàn)對(duì)電氣二次系統(tǒng)安全設(shè)備運(yùn)行狀態(tài)及安全策略進(jìn)行統(tǒng)一監(jiān)管，解決核電廠電氣二次系統(tǒng)面臨的日益迫切的安全威脅及監(jiān)管難題。另外，一套專用、統(tǒng)一、綜合的核電廠電氣二次系統(tǒng)信息安全監(jiān)管平臺(tái)能從技術(shù)上最大限度的發(fā)揮出所有安全服務(wù)的功能，提高運(yùn)行維護(hù)人員的工作效率，促進(jìn)核電廠電氣二次系統(tǒng)安全防護(hù)體系落到實(shí)處，發(fā)揮實(shí)效，同時(shí)也滿足國家能源局《規(guī)定》中的強(qiáng)制監(jiān)管要求。

4 核電廠電氣二次系統(tǒng)的信息監(jiān)管平臺(tái)方案

為滿足國家能源局《規(guī)定》的要求，實(shí)現(xiàn)核電廠電氣二次系統(tǒng)的安全防護(hù)控制和統(tǒng)一監(jiān)管，設(shè)計(jì)了一種信息監(jiān)管平臺(tái)架構(gòu)方案。該架構(gòu)方案由硬件（數(shù)據(jù)采集器、堡壘機(jī)和專用加密存儲(chǔ)設(shè)備、信息監(jiān)管服務(wù)器等）和軟件（信息監(jiān)管平臺(tái)軟件平臺(tái)、堡壘機(jī)軟件平臺(tái)、無線信號(hào)管理軟件等）組成。

該架構(gòu)方案采用主動(dòng)安全管控和被動(dòng)安全監(jiān)測(cè)兩種方式相融合的策略實(shí)現(xiàn)對(duì)核電廠電氣二次系統(tǒng)在建設(shè)、調(diào)試、運(yùn)營、檢修全周期過程中的安全防護(hù)管理，并能為后期大型核電集團(tuán)對(duì)地理位置分散的各個(gè)核電基地建立專用、統(tǒng)一、綜合的信息安全防護(hù)監(jiān)管平臺(tái)提供外部延伸接口和支持。核電發(fā)展的實(shí)踐表明，很多安全事件發(fā)生在核電廠偏離正常運(yùn)行工況進(jìn)行檢修和試驗(yàn)期間。另外，在停堆檢修期間，由于核電廠控制保護(hù)系統(tǒng)等的變化、檢修活動(dòng)的增加以及防范意識(shí)的相對(duì)下降，致使風(fēng)險(xiǎn)高于正常功率運(yùn)行期間，因此大修期間的核安全風(fēng)險(xiǎn)控制和管理問題顯得尤為突出［9］。本方案可以解決核電廠大修期間的數(shù)據(jù)和信息安全管控問題。

信息數(shù)據(jù)輸入輸出安全管控平臺(tái)與安全信息可視化監(jiān)測(cè)平臺(tái)兩種主、被動(dòng)安全措施相融合，加強(qiáng)和完善了核電廠電氣二次系統(tǒng)信息安全防護(hù)功能，形成了一套立體安全防護(hù)屏障。利用該方案可對(duì)核電廠電氣二次系統(tǒng)的安全防護(hù)設(shè)備做到可測(cè)、可控、可視。核電廠電氣二次系統(tǒng)信息安全監(jiān)管平臺(tái)構(gòu)架方案如圖4所示。

圖4 核電廠電氣二次系統(tǒng)信息安全監(jiān)管平臺(tái)構(gòu)架方案示意圖Fig.4 Schematic diagram of securitymonitoring platform for the secondary electricalsystem of nuclear power plant

圖5給出了核電廠電氣二次系統(tǒng)信息安全監(jiān)管平臺(tái)物理分層示意圖［10］。由圖可見，該平臺(tái)架構(gòu)方案按照數(shù)據(jù)流的處理方向分為三個(gè)物理分層［11］，即數(shù)據(jù)展現(xiàn)層、數(shù)據(jù)處理分析層和數(shù)據(jù)采集層。數(shù)據(jù)采集層側(cè)重對(duì)核電廠電氣二次系統(tǒng)安全設(shè)備的日志采集；數(shù)據(jù)處理分析層則對(duì)采集的數(shù)據(jù)進(jìn)行事件過濾，將采集數(shù)據(jù)分流到不同的內(nèi)容識(shí)別模塊，由不同功能的模塊分別進(jìn)行處理；數(shù)據(jù)展現(xiàn)層以圖形化的方式進(jìn)行展示，建立一種直觀、易操作的強(qiáng)大功能圖形界面，同時(shí)能適應(yīng)核電廠電氣二次安全防護(hù)標(biāo)準(zhǔn)。

4.1 信息監(jiān)管平臺(tái)的工作流程

（1）生產(chǎn)控制（安全區(qū)I）

圖5 核電廠電氣二次系統(tǒng)信息安全監(jiān)管平臺(tái)物理分層示意圖Fig.5 Physical layer diagram ofsecuritymonitoring platform for thesecondary electricalsystem of nuclear power plant

生產(chǎn)控制（安全區(qū)I）內(nèi)設(shè)置分布式數(shù)據(jù)采集器，通過數(shù)據(jù)鏈路采集被監(jiān)管的系統(tǒng)和設(shè)備（開關(guān)站監(jiān)控系統(tǒng)、繼電保護(hù)子站、制動(dòng)裝置、PMU、AGC、縱向隔離或通訊設(shè)備、橫向隔離或通訊設(shè)備等）的日志信息，并將該信息匯總通過數(shù)據(jù)鏈路送給I區(qū)前置機(jī)。前置機(jī)也可以通過雙向的數(shù)據(jù)鏈路遠(yuǎn)程實(shí)現(xiàn)對(duì)被監(jiān)管的系統(tǒng)和設(shè)備的日志配置。

（2）生產(chǎn)非控制（安全區(qū)II）

生產(chǎn)非控制（安全區(qū)II）內(nèi)也設(shè)置分布式數(shù)據(jù)采集器，通過數(shù)據(jù)鏈路采集被監(jiān)管的系統(tǒng)和設(shè)備（故障錄波裝置、電能量采集裝置、廠級(jí)監(jiān)控信息系統(tǒng)（監(jiān)測(cè)功能）、縱向隔離或通訊設(shè)備、橫向隔離或通訊設(shè)備等）的日志信息，并將該信息匯總通過數(shù)據(jù)鏈路送給II區(qū)前置機(jī)。前置機(jī)也可以通過雙向的數(shù)據(jù)鏈路遠(yuǎn)程實(shí)現(xiàn)對(duì)被監(jiān)管的系統(tǒng)和設(shè)備的日志配置。

（3）堡壘機(jī)和監(jiān)管中心后臺(tái)

堡壘機(jī)將自身運(yùn)行的安全日志及其核電廠軟件及信息數(shù)據(jù)使用記錄通過單向數(shù)據(jù)鏈路送至監(jiān)管中心后臺(tái)監(jiān)測(cè)。監(jiān)管中心后臺(tái)通過單向的加密數(shù)據(jù)鏈路接受來自I區(qū)和II區(qū)的前置機(jī)安全信息和堡壘機(jī)安全信息，并匯總、分析和篩選處理，統(tǒng)計(jì)、歸納和形成報(bào)表，篩選非常重要的安全信息通過專用的加密數(shù)據(jù)鏈路遠(yuǎn)傳至核電集團(tuán)核電廠信息安全防護(hù)大統(tǒng)一監(jiān)管平臺(tái)。

詳細(xì)流程參見主動(dòng)安全管控工作流程圖6和被動(dòng)安全監(jiān)測(cè)工作流程圖7。

圖6 主動(dòng)安全管控工作流程圖Fig.6 Work flow chart for active safety control process

圖7 被動(dòng)安全監(jiān)測(cè)工作流程圖Fig.7 W ork flow chart for passive safetymonitoring process

4.2 信息監(jiān)管平臺(tái)的技術(shù)特點(diǎn)

（1）主動(dòng)安全管控

本架構(gòu)方案采用一套信息輸入中心審核堡壘機(jī)。該堡壘機(jī)作為核電廠生產(chǎn)控制I和II區(qū)的主動(dòng)安全管控設(shè)施，主要負(fù)責(zé)對(duì)核電廠在建設(shè)、調(diào)試、運(yùn)營、檢修階段對(duì)軟件和數(shù)據(jù)信息輸入的安全防護(hù)和管理控制。所有需要在控制區(qū)輸入的軟件和數(shù)據(jù)信息都必須經(jīng)堡壘機(jī)審核鑒定通過后，再通過專用存儲(chǔ)設(shè)備和終端設(shè)備導(dǎo)出，轉(zhuǎn)移到核電廠生產(chǎn)控制I和II區(qū)內(nèi)服務(wù)的系統(tǒng)和設(shè)備。專用存儲(chǔ)設(shè)備和終端設(shè)備包括專用加密U盤或硬盤、筆記本電腦、工控機(jī)、手持式控制面板終端等。該專用存儲(chǔ)設(shè)備和終端設(shè)備的使用和儲(chǔ)存都必須嚴(yán)格管控，專人專管，使用時(shí)也會(huì)在堡壘機(jī)上留存記錄。平常普通技術(shù)人員沒有授權(quán)，無法接觸到該類型設(shè)備。

例如：生產(chǎn)控制I區(qū)繼電保護(hù)子站在核電廠大修期間為升級(jí)部分功能，需要輸入軟件和信息數(shù)據(jù)。首先該繼電保護(hù)子站的供應(yīng)商提出申請(qǐng)，提供該軟件和信息數(shù)據(jù)給核電廠安全防護(hù)專責(zé)人員審核，并將其輸入堡壘機(jī)進(jìn)行病毒掃描、木馬測(cè)試。做好事件記錄，堡壘機(jī)存檔。通過驗(yàn)證后，允許將該軟件和信息數(shù)據(jù)輸出至核電廠專用的加密U盤或硬盤。在安全防護(hù)專責(zé)人員陪同下攜帶該加密U盤或硬盤至繼電保護(hù)子站設(shè)備現(xiàn)場(chǎng)，將加密U盤或硬盤經(jīng)專用隔離設(shè)備連接至繼電保護(hù)子站，待數(shù)據(jù)輸入完畢后由安全防護(hù)專責(zé)人員帶回堡壘機(jī)刪除加密U盤或硬盤中的軟件和信息數(shù)據(jù)，以備后用。繼電保護(hù)子站的供應(yīng)商工程師只能在現(xiàn)有繼電保護(hù)子站后臺(tái)上利用已經(jīng)輸入的軟件和信息數(shù)據(jù)進(jìn)行升級(jí)操作，現(xiàn)場(chǎng)不允許攜帶任何外來的移動(dòng)存儲(chǔ)設(shè)備。另外核電集團(tuán)核電廠信息安全防護(hù)大統(tǒng)一監(jiān)管平臺(tái)也會(huì)采集堡壘機(jī)的日志信息，及時(shí)獲取該事件的記錄信息。

（2）被動(dòng)安全監(jiān)測(cè)

本架構(gòu)方案還采用了一套信息監(jiān)管中心平臺(tái)。該平臺(tái)作為核電廠生產(chǎn)控制I和II區(qū)的信息監(jiān)管中心，主要負(fù)責(zé)對(duì)核電廠生產(chǎn)控制I和II區(qū)的業(yè)務(wù)系統(tǒng)和縱向、橫向邊界隔離和安全設(shè)備的運(yùn)行狀態(tài)監(jiān)測(cè)。該架構(gòu)方案采用了將前置機(jī)下放至各個(gè)控制分區(qū)內(nèi)的布置，將分區(qū)內(nèi)的安全監(jiān)測(cè)信息通過光纖加密單向傳輸至監(jiān)管中心后臺(tái)，有效地加強(qiáng)了安全防護(hù)水平，也滿足能源局《規(guī)定》中對(duì)控制分區(qū)的隔離要求。

例如，生產(chǎn)控制II區(qū)廠級(jí)監(jiān)控信息系統(tǒng)在核電廠調(diào)試完畢移交給運(yùn)行管理后，某一天設(shè)備突然出現(xiàn)異常信息。該設(shè)備的供應(yīng)商工程師為逃避工作審批流程，違反操作流程，私自將其裝有調(diào)試軟件的筆記本電腦接入廠級(jí)監(jiān)控信息系統(tǒng)。生產(chǎn)控制II區(qū)的分布式數(shù)據(jù)采集器通過對(duì)廠級(jí)監(jiān)控信息系統(tǒng)的日志采集，能在第一時(shí)間獲得沒經(jīng)授權(quán)的計(jì)算機(jī)異常接入事件信息，并將該信息快速反饋至生產(chǎn)控制II區(qū)前置機(jī)，再由前置機(jī)快速反饋至信息監(jiān)管中心后臺(tái)，發(fā)出報(bào)警窗口或聲、光等報(bào)警信息，安全防護(hù)專責(zé)人員便能及時(shí)知道何時(shí)、何地發(fā)生了異常設(shè)備接入事件，并能立即通知現(xiàn)場(chǎng)及時(shí)處理。同時(shí)信息監(jiān)管中心后臺(tái)也將能將該事件的信息快速發(fā)送至核電集團(tuán)核電廠信息安全防護(hù)大統(tǒng)一監(jiān)管平臺(tái)，并做好記錄及其報(bào)備工作。

4.3 信息監(jiān)管平臺(tái)的設(shè)備功能

4.3.1 前置機(jī)的功能

前置機(jī)布置在核電廠各生產(chǎn)控制分區(qū)，與信息監(jiān)管中心采用單向光纖加密通信。前置機(jī)數(shù)量根據(jù)業(yè)務(wù)量的大小進(jìn)行設(shè)置。

4.3.2 堡壘機(jī)的功能

堡壘機(jī)具有如下的多重功能：

（1）審核外來文件（包括軟件和信息數(shù)據(jù)等，下同）內(nèi)容的合法性和安全性；

（2）審核后續(xù)操作的合法性，必要時(shí)進(jìn)行阻斷；

（3）記錄操作日志；

（4）存儲(chǔ)核電廠建設(shè)、調(diào)試、運(yùn)行、檢修至壽命末期全周期間所有外來文件輸入的信息，并歸檔；

（5）能將核電廠建設(shè)、調(diào)試、運(yùn)行、檢修至壽命末期全周期間所有外來文件通過安全審核后輸出到專用的加密存儲(chǔ)設(shè)備，并在安全專管人員的現(xiàn)場(chǎng)見證下，通過專有加密存儲(chǔ)設(shè)備將這些外來文件導(dǎo)入至對(duì)應(yīng)的電氣二次系統(tǒng)使用。

對(duì)有后臺(tái)主機(jī)的系統(tǒng)或設(shè)備外來文件的輸入，可通過堡壘機(jī)審核后經(jīng)專有加密存儲(chǔ)設(shè)備（定制U盤或硬盤）導(dǎo)入。

對(duì)無后臺(tái)主機(jī)的系統(tǒng)或設(shè)備，可能需要外部電腦或特制工控機(jī)、手持式控制面板（如變頻器控制器等）通過通訊口對(duì)系統(tǒng)或設(shè)備進(jìn)行調(diào)試和文件輸入。在這種情況下，需要采購該類型的設(shè)備做備份留用，作為后期大修或維護(hù)期間數(shù)據(jù)和軟件輸入的專用特制工具。日后的檢修和維護(hù)人員數(shù)據(jù)和軟件輸入都必須使用該特制工具。

5 技術(shù)創(chuàng)新特點(diǎn)

架構(gòu)方案主要的技術(shù)創(chuàng)新點(diǎn)如下：

（1）前置機(jī)的設(shè)計(jì)

在生產(chǎn)控制I和II分區(qū)范圍內(nèi)分別設(shè)置前置機(jī)，有效防范外部黑客入侵。

（2）監(jiān)管中心的整體應(yīng)用

本架構(gòu)方案在適用于各個(gè)核電廠基地的同時(shí)，還能為后期大型核電集團(tuán)對(duì)地理位置分散的各個(gè)核電基地建立專用、統(tǒng)一、綜合的信息安全防護(hù)監(jiān)管平臺(tái)提供外部延伸接口和支持。

（3）堡壘機(jī)

主動(dòng)安全設(shè)備堡壘機(jī)的使用加強(qiáng)了對(duì)核電廠建設(shè)、調(diào)試、運(yùn)行、檢修至壽命末期全周期間軟件和信息數(shù)據(jù)輸入的安全管控。

（4）專用加密存儲(chǔ)設(shè)備的運(yùn)用

核電廠內(nèi)部專有加密存儲(chǔ)設(shè)備和特制工具終端設(shè)備的統(tǒng)一專人管控，除加強(qiáng)了軟件和信息數(shù)據(jù)的安全轉(zhuǎn)移外，還提供了操作的記錄供以后查詢。

（5）專用網(wǎng)絡(luò)安全設(shè)備的運(yùn)用

采用專用網(wǎng)絡(luò)安全設(shè)備如網(wǎng)閘、加密機(jī)、入侵監(jiān)測(cè)等。

（6）單向外部加密傳輸?shù)脑O(shè)計(jì)

生產(chǎn)控制區(qū)內(nèi)的前置機(jī)與信息監(jiān)管后臺(tái)之間采用光纖單向加密傳輸，只允許向外部發(fā)送數(shù)據(jù)，有效地阻止了可能出現(xiàn)的外部入侵。

（7）防無線入侵設(shè)備的運(yùn)用

核電廠電氣系統(tǒng)和設(shè)備布置的房間采用無線入侵防御設(shè)備，嚴(yán)防任何無關(guān)的無線網(wǎng)絡(luò)信號(hào)覆蓋。并可以對(duì)監(jiān)測(cè)到的異常無線網(wǎng)絡(luò)信號(hào)進(jìn)行干預(yù)和管制。

6 信息監(jiān)管平臺(tái)后續(xù)發(fā)展趨勢(shì)

隨著計(jì)算機(jī)信息安全技術(shù)的發(fā)展和進(jìn)步，核電廠電氣二次系統(tǒng)信息安全監(jiān)管平臺(tái)也將會(huì)進(jìn)一步發(fā)展和優(yōu)化。信息監(jiān)管平臺(tái)不僅要解決安全信息的監(jiān)測(cè)問題，在未來更是要在主動(dòng)安全防控的基礎(chǔ)上更進(jìn)一步發(fā)展。由于核電廠是國家重要的能源基礎(chǔ)設(shè)施，面對(duì)飛速發(fā)展的互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)，加強(qiáng)與安全生產(chǎn)密切相關(guān)的系統(tǒng)主動(dòng)安全防控手段尤其重要，而主動(dòng)安全防控手段又恰是防控領(lǐng)域里面臨的最大難題。在核電廠建設(shè)、調(diào)試、運(yùn)營、檢修的全生命周期里，主動(dòng)安全防控不僅牽涉到核電廠業(yè)主方、設(shè)備供貨商、核電廠建設(shè)承包商、核電廠委托運(yùn)營方、維護(hù)和大修第三方委托公司等眾多單位，還牽涉到各種不同類型的系統(tǒng)和設(shè)備，并還要穿插在不同的位置環(huán)境及其面臨的不同工程階段。面對(duì)各種對(duì)象在不同時(shí)間、空間上的安全防控要求，要嚴(yán)格做到無任何風(fēng)險(xiǎn)和漏洞需要做進(jìn)一步的詳細(xì)的系統(tǒng)性研究。此外，核安全文化對(duì)核安全監(jiān)管有引領(lǐng)作用［12］，信息安全監(jiān)管不僅僅是依賴一套系統(tǒng)或設(shè)備，還需要核電廠業(yè)主和運(yùn)營商提高思想意識(shí)，制定專門的規(guī)章制度，設(shè)立配套的專責(zé)人員，才能為核電廠的安全保駕護(hù)航。

7 結(jié)論

核電廠電氣二次系統(tǒng)信息安全監(jiān)管平臺(tái)架構(gòu)方案的研究，對(duì)核電廠電氣二次系統(tǒng)信息安全防護(hù)的設(shè)計(jì)具有一定的現(xiàn)實(shí)指導(dǎo)意義，并為核電廠電氣二次系統(tǒng)面臨日益迫切的網(wǎng)絡(luò)安全威脅問題提供了一種很有實(shí)用價(jià)值的探索。全面加強(qiáng)安全監(jiān)管，在實(shí)踐中不斷提升安全水平，設(shè)計(jì)上實(shí)現(xiàn)“兜底”并不意味著絕對(duì)安全，真正確保核電安全還需從核電選址、設(shè)計(jì)、建造、運(yùn)行直至退役的全過程進(jìn)行全面嚴(yán)格的安全監(jiān)管［13］。

［1］胡江，孫國臣，張加軍，等.由“震網(wǎng)”病毒事件淺談核電站信息安全現(xiàn)狀及監(jiān)管［J］.核科學(xué)與工程，2015（1）：181-185.

［2］李鴻培，忽朝儉，王曉鵬.2014工業(yè)控制系統(tǒng)的安全研究與實(shí)踐［M］.綠盟科技，2014：2-3.

［3］國家發(fā)展和改革委員會(huì)令14號(hào)，電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定［S］.國家發(fā)展和改革委員會(huì)，2014.

［4］國家能源局317號(hào)，電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法［S］.國家能源局，2014.

［5］國家能源局318號(hào)，電力行業(yè)信息安全等級(jí)保護(hù)管理辦法［S］.國家能源局，2014.

［6］國家電力監(jiān)管委員會(huì).關(guān)于電力二次系統(tǒng)安全防護(hù)工作情況的通報(bào)［S］.國家電力監(jiān)管委員會(huì)，2012.

［7］國家能源局.核電站二次系統(tǒng)安全防護(hù)技術(shù)規(guī)定（試行）及相關(guān)配套文件（征求意見稿）［S］.國家能源局，2013.

［8］鄭偉，劉旭，鄭方方，等.一體化信息安全管理平臺(tái)設(shè)計(jì)與建設(shè)［J］.數(shù)字技術(shù)與運(yùn)用，2012（6）：198-200.

［9］劉衛(wèi)華.重水堆大修期間的核安全要求及管理［J］.核安全，2005（2）：16-20.

［10］王寧平，韓保信.信息內(nèi)網(wǎng)安全監(jiān)管平臺(tái)解決方案［J］.電力系統(tǒng)通信，2012（11）：51-54.

［11］金學(xué)成，孫煒，梁野，等.電力二次系統(tǒng)內(nèi)網(wǎng)安全監(jiān)視平臺(tái)的設(shè)計(jì)和實(shí)現(xiàn)［J］.電力系統(tǒng)自動(dòng)化，2011（16）：99-104.

［12］柴建設(shè).核安全文化與核安全監(jiān)管［J］.核安全，2013（9）：5-9.

［13］董毅漫，張弛，宋大虎，等.我國核電安全目標(biāo)發(fā)展取向的思考［J］.核安全，2012（4）：10-15.

［14］田嘉.電廠二次系統(tǒng)安全防護(hù)方案的設(shè)計(jì)與規(guī)劃［J］.電力信息化，2011（4）：60-64.

［15］章政海.電廠二次系統(tǒng)安全防護(hù)總體設(shè)計(jì)研究［J］.電力信息化，2013（1）：107-110.

TheResearch on the In formation Security M onitoring Platform of Secondary ElectricalSystem for Nuclear Power Plant in China

ZHANG Lin*，CUIGang，ZHANGXinzheng，WANGYuanyuan，ZHANG Libin，TANShengsheng
（CNPDC，Shanghai200241，China）

The technicaldevelopment trends and facing network safety threats for the secondary electrical system ofnuclear power plantwere described.Themandatory technical regulatory requirements of National Energy Adm inistration for the secondary electrical system security in nuclear power plantwere analyzed.By analyzing theequipmentactuality of theelectricalsecondary system ofnuclearpowerplant，a schemeon the information securitymonitoring platform，which can actually be deployed in nuclear power plantsecondary electricalsystem，wasdeveloped finally thesubsequentdevelopment trend of theschemewasdiscussed.

frontend server；accessgateway；information securitymonitoring platform；active safety；passivesafety

TK

：A

：1672-5360（2015）04-0076-07

2015-09-01

2015-10-17

深圳中廣核工程設(shè)計(jì)有限公司科技創(chuàng)新項(xiàng)目，項(xiàng)目編號(hào)K-A 2014.017

張 林（1977—），男，上海人，工程師/學(xué)士，現(xiàn)主要從事核電站電氣系統(tǒng)設(shè)計(jì)工作

*通訊作者：張 林，E-mail：lin.zhang.sh@gmail.com