劉帝勇，劉　雙

（三門核電有限公司，浙江　三門　317112）

三門核電站二次系統(tǒng)安全防護方案

劉帝勇，劉雙

（三門核電有限公司，浙江三門317112）

安全是核電發(fā)展的基礎和前提，信息安全是核電安全的組成部分之一，而電力二次系統(tǒng)安全防護則是確保核電站信息安全的關鍵。通過對國內(nèi)的相關法律法規(guī)要求和三門核電站二次系統(tǒng)接口、安全架構進行分析，明確指出了三門核電站二次系統(tǒng)安全防護中存在的問題，并針對問題給出了解決方案，對后續(xù)相同堆型機組的二次系統(tǒng)安全防護設計、建設具有一定的指導意義。

AP1000；電力監(jiān)控系統(tǒng)安全防護；等級保護；信息安全

近年來，“震網(wǎng)”病毒、“棱鏡門”竊聽事件、WindowsXP退役導致大量使用XP系統(tǒng)計算機感染病毒等不斷發(fā)生的信息安全事件，引起了人們對計算機網(wǎng)絡和信息安全的廣泛擔憂。

鑒于當前工業(yè)控制系統(tǒng)正面臨前所未有的信息安全威脅，國家相關部門出臺了一系列的規(guī)定，包括原國家電力監(jiān)管委員會（“電監(jiān)會”）于2012年發(fā)布的《核電站二次系統(tǒng)安全防護技術規(guī)定（試行）》［2］、國家發(fā)改委14號令《電力監(jiān)控系統(tǒng)安全防護管理規(guī)定》及其附件均對核電站電力監(jiān)控系統(tǒng)安全防護做出了全面細致的規(guī)定。

三門核電站是全球首座采用第三代先進壓水堆（AP1000）技術的核電站，本文結合三門核電站電力監(jiān)控系統(tǒng)的特點以及國內(nèi)的相關法律法規(guī)要求對三門核電站的電力監(jiān)控系統(tǒng)安全防護進行分析。

1　法規(guī)標準分析

1.1法規(guī)遵從

核電站電力監(jiān)控系統(tǒng)安全防護主要遵從兩個方面的法規(guī)及標準：一是滿足信息安全及等級保護的相關標準；二是滿足電力監(jiān)控系統(tǒng)安全防護的相關要求。

前者主要涉及《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》［3］《中華人民共和國計算機信息系統(tǒng)安全保護條例》《計算機信息系統(tǒng)保密管理暫行規(guī)定》及《計算機信息系統(tǒng)安全保護登記劃分準則》4個法規(guī)標準。后者則主要包括《電力監(jiān)控系統(tǒng)安全防護規(guī)定》［1］及其配套文件《核電站二次系統(tǒng)安全防護技術規(guī)定（試行）》［2］等。

1.2工控信息安全標準遵從

為了有效解決工控系統(tǒng)的信息安全問題，IEC/TC65/WG10（網(wǎng)絡與系統(tǒng)信息安全工作組）與ISA（國際自動化協(xié)會）聯(lián)合制定IEC62443《Industrial Networks and System Security》［8］工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全系列標準。我國工業(yè)過程測量和控制標準委員會（SAC/TC124）與信息安全標準委員會（SAC/ TC260）參照國際標準，制定符合我國具體國情的《工業(yè)控制系統(tǒng)信息安全》系列標準［4］。

1.3等級保護與電力監(jiān)控系統(tǒng)安全防護關系

在2012年發(fā)布的《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》文規(guī)定中，新增了電力監(jiān)控系統(tǒng)安全防護的相關規(guī)定，增加的條款繼承并細化了原電監(jiān)會5號令［5］的內(nèi)容。信息系統(tǒng)安全等級保護主要針對通用的計算機信息系統(tǒng)，從技術與管理等方面提出安全防護措施和要求，電力監(jiān)控系統(tǒng)安全防護則根據(jù)電力行業(yè)的特點，對其予以了細化、補充、完善和加強，可以說是等級保護的一個分支。等級保護的要求是電力監(jiān)控系統(tǒng)安全防護的基礎，兩者相輔相成。電力信息系統(tǒng)的風險評估、等保測評里均涵蓋了電力監(jiān)控系統(tǒng)安全防護評估的大部分內(nèi)容，而后者的重點在于生產(chǎn)控制類信息系統(tǒng)的防護。

核電站電力監(jiān)控系統(tǒng)安全防護主要基于以下5個基本原則［1-2］：

1）安全分區(qū)。即核電站基于計算機和網(wǎng)絡技術的業(yè)務系統(tǒng)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)可以分為控制區(qū)和非控制區(qū)。

2）橫向隔離。生產(chǎn)控制大區(qū)與管理信息大區(qū)網(wǎng)絡應物理隔離，要求部署符合電力系統(tǒng)安全防護要求的單向隔離裝置。

3）縱向加密。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關及相應設施。

4）網(wǎng)絡專用。電力調(diào)度數(shù)據(jù)網(wǎng)與其他網(wǎng)絡系統(tǒng)物理隔離。

5）綜合防護。對電力監(jiān)控系統(tǒng)從主機、網(wǎng)絡設備、惡意代碼防范、審計、備份和容災等多層面進行信息安全防護。

2　三門核電站電力監(jiān)控系統(tǒng)

2.1電力監(jiān)控系統(tǒng)

核電站的電力監(jiān)控系統(tǒng)包括了核電廠內(nèi)部所有涉及的工業(yè)控制系統(tǒng)，包括DCS、升壓站計算機監(jiān)控系統(tǒng)（NCS）、自動電壓控制（AVC）、同步相量測量（PMU）、電能計量系統(tǒng)、數(shù)據(jù)網(wǎng)接入系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等。三門核電站不僅包括常規(guī)電廠有的一些共性系統(tǒng)，還包括一些個性化的系統(tǒng)，如堆芯運行最佳評估分析系統(tǒng)（Beacon）、企業(yè)數(shù)據(jù)服務器系統(tǒng)（EDS）等。

三門核電站總共有近30個電力監(jiān)控系統(tǒng)，涵蓋核島、常規(guī)島區(qū)域。儀控相關系統(tǒng)是其中較為關鍵的系統(tǒng)，包括DDS（數(shù)據(jù)顯示和處理系統(tǒng)）、PLS（電廠控制系統(tǒng)）、PMS（保護和安全監(jiān)測系統(tǒng)）等，大部分儀控系統(tǒng)與信息網(wǎng)絡相關。三門核電站的儀控系統(tǒng)采用數(shù)字化的控制和保護系統(tǒng)平臺。集成的儀控系統(tǒng)設計可以使所需接口和設備的數(shù)量最小化，從而提供最佳的結構和性能。數(shù)字化儀控一般分為4個層次：過程接口層、控制與數(shù)據(jù)處理層、監(jiān)控層、管理層等。三門核電站的儀控系統(tǒng)基于兩種平臺：Common Q平臺和Ovation平臺，前一個主要用于實現(xiàn)安全系統(tǒng)的操作、數(shù)據(jù)顯示、控制和監(jiān)測；Ovation平臺主要用于執(zhí)行非安全系統(tǒng)的操作、數(shù)據(jù)顯示、控制和監(jiān)測。

2.2三門核電站初始設計網(wǎng)絡分層

根據(jù)設計，三門核電站總體網(wǎng)絡架構分為4層，即Level 1到Level 4（安全級別由低到高）。儀控系統(tǒng)主要集中在Level 4和Level 3，有較為嚴格的單向要求。Level 4包括核電站重要的控制和監(jiān)視系統(tǒng)，安全保護等級最高，Level 3包括部分監(jiān)視和分析系統(tǒng)，Level 1和Level 2主要是防護要求等級較低的一些系統(tǒng)和設備，包括EOF（應急指揮中心）、TSC（運行支持中心）、OSC（運行支持中心）的相關設備等。Level 4的數(shù)據(jù)只能單向傳輸?shù)絃evel 3，Level 1和Level 2以及Level 2和Level 3之間均使用防火墻進行防護。

3　對比分析

電力監(jiān)控系統(tǒng)安全防護相關法規(guī)文件對分區(qū)的要求如下：按照生產(chǎn)大區(qū)（I區(qū)、Ⅱ區(qū)）、管理大區(qū)（Ⅲ區(qū)、Ⅳ區(qū)）的分區(qū)方式來進行系統(tǒng)邊界劃分，大區(qū)之間的防護部署國產(chǎn)的隔離網(wǎng)閘。按照典型的設計規(guī)范要求，生產(chǎn)I區(qū)系統(tǒng)與生產(chǎn)控制相關；生產(chǎn)Ⅱ區(qū)系統(tǒng)與電力監(jiān)控、非生產(chǎn)控制系統(tǒng)相關；管理Ⅲ區(qū)主要為輔助決策系統(tǒng)；管理Ⅳ區(qū)為行政辦公網(wǎng)絡中的信息系統(tǒng)。

對比三門核電站原始設計網(wǎng)絡的分層，可以得知國外的分層標準和理念與國內(nèi)標準有相通之處?？刂茀^(qū)，即安全要求最高的區(qū)域，數(shù)據(jù)只能通過單向隔離裝置導出。Level 4相當于生產(chǎn)控制大區(qū)，Level 1～Level 3相當于管理信息大區(qū)。區(qū)別在于，國內(nèi)規(guī)定生產(chǎn)大區(qū)里需再細分為控制區(qū)與非控制區(qū)，原始設計的網(wǎng)絡分層里單向隔離裝置內(nèi)側沒有再進行安全區(qū)域劃分，這樣一來，屬于非控制區(qū)的系統(tǒng)相當于和Level 3或Level 2的系統(tǒng)對等，涉及的相關系統(tǒng)的防護等級要求就有區(qū)別。根據(jù)對標，原始設計的網(wǎng)絡分層無法直接與國內(nèi)的電力監(jiān)控系統(tǒng)安全防護分區(qū)一一對應，電力監(jiān)控系統(tǒng)安全防護的方案設計要綜合考慮兩個層面：即既不破壞原始設計網(wǎng)絡的標準，又要符合國內(nèi)法規(guī)的要求。

4　解決方案

4.1方案分析

第二種方案是將三門核電站所有原始設計的、與生產(chǎn)控制功能相關的系統(tǒng)均納入生產(chǎn)大區(qū)，部署國產(chǎn)的隔離網(wǎng)閘作為大區(qū)之間的分界。

4.2方案比較

上述兩個方案優(yōu)缺點對比如表1所示。從表1的對比可以看出：從安全可控、電力監(jiān)控系統(tǒng)安全防護評審認證、責任分割等角度考慮，方案二相對更佳。

4.3方案二詳細設計

安全防護方案緊緊圍繞“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向加密”十六字方針展開，具體如下。

4.3.1安全分區(qū)

根據(jù)法規(guī)要求，將網(wǎng)絡分成4個區(qū)，各分區(qū)描述如下：

《浙江全省輿圖并水陸道里記》[6]和《道光東陽縣志》[5]記載的大路中許多地名幾經(jīng)更迭，與現(xiàn)地名多有出入，但古道路線大致走向仍然可考，平原地區(qū)古道幾乎都改為公路，只留有部分的古亭、古橋或路碑。因此森林古道保留相對較為完整，經(jīng)調(diào)查，截至2017年底，東陽市現(xiàn)存森林古道73條，總長度大約為163 km(表1)。

（1）控制區(qū)-I區(qū)

1）與調(diào)度端有數(shù)據(jù)接口的電力監(jiān)控系統(tǒng)

與調(diào)度端有數(shù)據(jù)接口的電力監(jiān)控系統(tǒng)包括：同步相量測量（PMU）裝置、AVC系統(tǒng)等，它們通過局域網(wǎng)交換機、縱向加密認證裝置、數(shù)據(jù)網(wǎng)接入設備分別接入?yún)^(qū)域的電力調(diào)度數(shù)據(jù)網(wǎng)和省電力調(diào)度數(shù)據(jù)網(wǎng)的實時VPN子網(wǎng)。

表1　有無隔離網(wǎng)閘方案對比Table 1　Comparison between plan with GAP and plan without GAP

2）廠內(nèi)計算機監(jiān)控系統(tǒng)

廠內(nèi)計算機監(jiān)控系統(tǒng)包括：機組DCS控制系統(tǒng)、輔助系統(tǒng)、PLC控制系統(tǒng)、NCS系統(tǒng)，其中DCS與NCS之間數(shù)據(jù)傳遞為硬接線，不采用通信聯(lián)接；各PLC控制系統(tǒng)與NCS無任何接口，與DCS也不采用通信聯(lián)接。PMS系統(tǒng)（保護和安全監(jiān)測系統(tǒng)）需傳輸數(shù)據(jù)給DCS顯示。IIS（堆內(nèi)探測系統(tǒng)）與DCS、PMS有數(shù)據(jù)交互。

3）其他系統(tǒng)

自動控制裝置（勵磁系統(tǒng)的PSS），與DCS進行通信；火警探測系統(tǒng)（完全獨立）。

（2）非控制區(qū)-Ⅱ區(qū)

非控制區(qū)包括電能量采集終端、繼電保護信息管理子站（無遠方設置功能）等，它們通過防火墻、數(shù)據(jù)網(wǎng)接入設備分別接入省調(diào)接入網(wǎng)和地調(diào)接入網(wǎng)的非實時VPN子網(wǎng)。EDS系統(tǒng)和Beacon系統(tǒng)作為DCS系統(tǒng)的延伸，與管理信息大區(qū)存在數(shù)據(jù)接口。EDS系統(tǒng)通過OPC服務器傳輸數(shù)據(jù)至管理信息大區(qū)的實時數(shù)據(jù)服務器。電子式劑量計系統(tǒng)部署在每臺機組附屬廠房、SRTF衛(wèi)生出入口，采集的數(shù)據(jù)考慮通過無線通信系統(tǒng)傳輸至行政辦公網(wǎng)計算機。RMS（輻射監(jiān)測系統(tǒng)）與DCS有數(shù)據(jù)交互。

Beacon系統(tǒng)包括兩臺監(jiān)測服務器和一臺預測服務器，反應堆物理人員辦公電腦及主控制室電腦需訪問BEACON預測服務器。BEACON預測服務器屬于生產(chǎn)控制大區(qū)，辦公網(wǎng)絡屬于管理信息大區(qū)。Beacon系統(tǒng)使用的軟件無法穿透隔離網(wǎng)閘，因此Beacon系統(tǒng)考慮設計專網(wǎng)延伸。

（3）管理信息區(qū)-Ⅲ區(qū)

管理信息Ⅲ區(qū)運行調(diào)度管理信息業(yè)務，該區(qū)包括調(diào)度相關系統(tǒng)、生產(chǎn)數(shù)據(jù)管理系統(tǒng)（PI）、環(huán)境監(jiān)測系統(tǒng)（數(shù)據(jù)需傳給DCS）、應急分析與指揮系統(tǒng)、無線通信系統(tǒng)、電站實物保護系統(tǒng)等。Ⅲ區(qū)的系統(tǒng)與Ⅳ區(qū)的辦公系統(tǒng)連接時均通過防火墻進行邏輯隔離。

（4）管理信息區(qū)-Ⅳ區(qū)

管理信息IV區(qū)內(nèi)包括典型業(yè)務系統(tǒng)有：

1）辦公自動化系統(tǒng)（OA）；

2）MIS/ERP系統(tǒng)；

3）其他管理信息系統(tǒng)。

（5）外部網(wǎng)絡

外部網(wǎng)絡包括因特網(wǎng)、上級集團廣域網(wǎng)、核安全應急相關部門。

4.3.2網(wǎng)絡專用

電力調(diào)度數(shù)據(jù)網(wǎng)在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公用數(shù)據(jù)網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)。三門核電數(shù)據(jù)網(wǎng)接入部分通過路由器連接華東網(wǎng)調(diào)和省調(diào)，接入網(wǎng)絡專用、獨立。

4.3.3橫向隔離

橫向隔離是電力監(jiān)控安全防護系統(tǒng)的橫向防線。在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力橫向安全隔離裝置，隔離強度應接近或達到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應當采用防火墻實現(xiàn)邏輯隔離［1］。

按照數(shù)據(jù)通信方向，電力橫向隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡方式的單向數(shù)據(jù)傳輸，反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)的單向數(shù)據(jù)傳輸。

正向橫向隔離主要用于DCS與PI系統(tǒng)、應急信息系統(tǒng)的隔離，以及電能采集終端等與廠級管理信息系統(tǒng)之間的隔離。MES系統(tǒng)與DCS之間部署反向隔離裝置。

4.3.4縱向認證

在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處設置國家指定部門檢測認證的電力專用縱向加密認證裝置，實現(xiàn)雙向加密和訪問控制。縱向認證主要用于核電廠電力監(jiān)控網(wǎng)與電力調(diào)度網(wǎng)之間的隔離，實現(xiàn)邊界防護。三門核電調(diào)度相關系統(tǒng)通過縱向加密認證裝置接入省調(diào)和華東網(wǎng)調(diào)。

5　結束語

電力是國民經(jīng)濟重要的基礎設施之一，電力安全直接關系國計民生，一直是黨和政府高度關注的重點［6］。目前國內(nèi)核電站完全按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》文要求開展電力監(jiān)控系統(tǒng)安全防護建設工作的較少，已運行電站均是參照常規(guī)電廠進行建設，對基于AP1000技術的新建三代核電站來說，信息安全是一個新的課題，如何與國內(nèi)的信息安全標準良好的融合，如何確保核電站電力監(jiān)控系統(tǒng)的安全需要深入研究、實踐。

本文明確核電站電力監(jiān)控系統(tǒng)安全防護工作應遵循的信息安全、等級保護和電力監(jiān)控系統(tǒng)安全防護的相關法規(guī)要求，并在此基礎上提出了三門核電站電力監(jiān)控系統(tǒng)安全防護的解決方案，為后續(xù)核電機組的相關工作開展提供參考。

AP1000核電技術在后續(xù)國產(chǎn)化過程中，應將電力監(jiān)控系統(tǒng)安全防護納入總體考慮范疇，從設計源頭確保符合國家法規(guī)及行業(yè)標準。

［1］ 國家發(fā)展和改革委員會. 電力監(jiān)控系統(tǒng)安全防護規(guī)定［S］，2014.（National Development and Reform Commission. Rules for Safety Protection of Electric Power Monitoring System［S］，2014.）

［2］ 國家電力監(jiān)管委員會. 核電站二次系統(tǒng)安全防護規(guī)定（試行）［S］，2012.（State Electricity Regulatory Commission. Rules for Safety Protection of the Secondary System in Nuclear Power Plant （Trial）［S］，2012.）

［3］ 國家電力監(jiān)管委員會. 電力行業(yè)信息系統(tǒng)安全等級保護基本要求［S］，2012.（State Electricity Regulatory Commission. Basic Requirements for Information System Classification Security Protection in Power Sector［S］，2012.）

［4］ 鄒春明，鄭志千，劉智勇，等.電力二次安全防護技術在工業(yè)控制系統(tǒng)中的應用［J］. 電網(wǎng)技術，2013（11）：27-32.（ZOU Chun-ming， ZHENG Zhi-qian， LIU Zhi-yong，et al. The application of safety protection technique for the electric power secondary system in the industrial control system［J］. Power Grid Technology， 2013（11）：27-32.）

［5］ 國家電力監(jiān)管委員會. 電力二次系統(tǒng)安全防護規(guī)定（電監(jiān)會5號令）［S］，2004.（State Electricity Regulatory Commission. Rules for the Safety Protection of the Electric Power Secondary System （SERC Decree No. 5） ［S］，2004.）

［6］ 余勇，林為民.電力行業(yè)信息系統(tǒng)等級保護的研究和實施［J］. 信息網(wǎng)絡安全，2009（12）：29-31.（YU Yong，LIN Wei-min. Study on and implementation of information system classification security protection for the power sector［J］. Information and Network Security， 2009（12）：29-31.）

Safety Protection Scheme of the Secondary Electric System of Sanmen NPP

LIU Di-yong， LIU Shuang
（Sanmen Nuclear Power Co.， Ltd.， Sanmen of Zhejiang Prov. 317112， China）

Safety is a prerequisite for nuclear power development， and information security is an integral part of nuclear power safety. Safety protection of the secondary system is key to ensure the information security of nuclear power plant. Based on relevant national laws， regulations and requirements， together with analysis of the secondary system， its interface and safety architecture， the problems in the safety protection of the secondary system in Sanmen nuclear power plant are identified， and solutions are given accordingly. For the same type of follow-up units， it would be instructive for the design and the construction of the safety protection of the secondary system.

AP1000； safety protection for the electric monitoring system； classified protection；information security

TM623Article character：AArticle ID：1674-1617（2015）03-0266-05

TM623

A

1674-1617（2015）03-0266-05

2015-06-15

劉帝勇（1977—），男，本科，高工，主要從事企業(yè)信息化方面的工作。