(中核核电运行管理有限公司 浙江海盐 314300)
摘要:结合国家发改委最新颁布的 14 号令《电力监控系统安全防护规定》,以中核核电运行管理有限公司秦山第二核电厂 1/2 号机组为例,阐述了新形势下核电厂电力监控系统的安全防护策略及整改行动。
关键词:核电厂;电力监控系统;安全防护
0.引言
2014 年 9 月 1 日,国家发展改革委员会最新颁布的第 14 号令《电力监控系统安全防护规定》 正式实施,这一国家和政府层面出台的法规性文件,无疑为保障电力系统的安全运行、促进电力企业在新形势下做好电力监控系统安全防护工作上了一道安全锁。当前,随着计算机和网络技术的飞速发展与广泛应用,电力企业在生产、经营和管理的各个环节均面临着日益增大的信息安全风险。相比原国家电监会于 2004 年发布的第 5 号令《电力二次系统安全防护规定》,14 号令对于电力企业加强电力监控系统安全防护提出了新的要求。本文以中核核电运行管理有限公司秦山第二核电厂 1/2号机组(以下简称秦二厂 1/2 号机组)为对象,介绍电力监控系统安全防护策略在核电厂 DCS 系统中的应用策略。
1.系统现状及安全分区简介
1.1 系统简介
秦二厂 1/2 号机组是我国自主设计、自主建造、自主管理和自主运营的首座 2×60 万千瓦商用压水堆核电站,分别于 2002 年 4 月和 2004 年 5 月投入商业运行。机组的生产监控系统包括电站计算机及安全盘系统(KIT/KPS)和常规岛分散控制系统(DCS),其中 KIT 与 DCS 系统通过域间通讯的方式进行核岛与常规岛数据的交互,同时 KIT 系统将机组的重要数据通过网关发送至厂级局域网并通过互联网传送至中核集团。
秦二厂 1/2 号机组电站计算机系统(KIT)主要负责核电站生产数据的采集与监视,常规岛控制系统(DCS)主要负责常规岛辅机的顺序控制(SCS)和协调控制(MCS)。1.2 安全分区目前秦二厂 1/2 号机组的生产控制系统及重要数据的安全,严格按照国家信息安全等级保护 的有关要求,坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,保障电力监控系统的安全。
安全分区是电力二次系统防护体系的结构基础。秦二厂 1/2 号机组内部划分为生产控制大 区和管理信息大区。生产控制大区可以分为控制区和非控制区,根据各系统的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系将电力二次系统有关的业务系统放置在相应的安 全区内,以保证边界清晰,通信安全。电力二次系统安全分区及数据流向如图所示。
2.核电厂生产监控系统安全防护方案
2.1 总体安全防护方案
(1)电厂按照“谁主管谁负责,谁运营谁负责”的原则,建立健全电力监控系统安全防护管理制度,将电力监控系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制。电力监控系统在设计、选型和配置时,禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。对于已经投入运行的系统及设备,按照国家能源局及其派出机构的要求及时进行整改,同时加强相关系统及设备的运行管理和安全防护。
(2)建立健全电力监控系统安全的联合防护和应急机制,制定了《秦山第二核电厂电力二次系统安全防护应急预案》,建立了安全防护工作小组配合电力调度机构统一指挥调度范围内的电力监控系统安全应急处理。
(3)建立健全电力监控系统安全防护评估制度,采取以自评估为主、检查评估为辅的方式,将电力监控系统安全防护评估纳入电力系统安全评价体系。
2.2 业务系统的安全防护措施
以秦二厂 1/2 号机组的全厂电站计算机监控系统(KIT)和常规岛控制系统(DCS)为例,详细阐述具体的安全防护措施。
DCS 系统具有电厂常规岛辅机的控制功能,KIT 系统负责电站数据的采集与监视,无生产控制功能,两者均是生产控制大区内独立的业务系统,按照 14 号令 “生产控制大区内部的安全区之间应 当采用具有访问控制功能的设备、防火墙或者相当功能的设备,实现逻辑隔离” 的要求,目前两者 之间,采用了网关隔离的方式,在进行通讯的同时实现了不同网段之间的隔离,这样能够有效的隔 离不同网段之间的广播,减少网络负荷。后续按照中央网信办网络安全检查的要求,准备增配经公 安部信息安全认证型号为 NF1000-TD 的网康防火墙,通过防火墙设置的访问策略,将 DCS 控制系统 的数据单向送入 KIT 监控系统,保证数据的单向性和系统安全性。
同时 KIT 系统需要将机组的部分数据信息送至办公局域网及广域网,两者处于不同的安全区,按照 14 号令“生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向 单向安全隔离装置”的要求,配置了通讯网关及经原电监会认证的南瑞 SysKeeper-2000 型电力专 用横向单向安全隔离装置,机组数据只能由 KIT 系统服务器通过网关主机发送给局域网服务器,而办公局域网无法通过网关主机访问 KIT 系统的服务器及相关终端,防止了病毒及木马的入侵,保证 了系统的安全性。
办公局域网的生产信息系统与中核集团的广域网之间的采用硬件防火墙进行数据的通讯,将机 组的数据信息送至集团公司。
在实施网络安全防护技术的基础上,加强工业控制系统的安全管理和漏洞堵塞,电厂制定了相应的安全运行管理规定,如禁止 U 盘及手机等移动存储设备与控制计算机相连接,在服务器和操作员站的注册表中关闭 USB 口,USB 接口外部加封条;拷贝历史数据和程序组态时需有部门负责人的审批和授权,只允许在备份服务器上使用光盘刻录机刻制光盘,不允许使用其他移动存储介质复制数据;使用系统供应商认证的补丁软件光盘,经公司信息安全部门的病毒查杀后方可在现场使用;在核电厂机组换料大修期间执行预防性的项目对工业控制系统的服务器、操作员站和工程师站进行病毒的查杀,杀毒软件现用现装,完成后将杀毒软件删除,尽可能的避免对控制系统的影响;工程师站和服务器的密码定期更换且满足密码的复杂度要求,控制系统的机柜门上锁,钥匙由专门的维修工程师负责管理;对于组态使用的笔记本电脑做到“专本专用”,不准连接外网及安装其他无关软件。
2.3 电力监控系统后续的安全防护整改行动
2015 年 4 月中央网信办对秦二厂 1/2 号机组进行了网络安全检查,整体情况较好,同时也提出了部分改进项,如 DCS 和 KIT 系统的网络交换机目前采用的为 HIRSCHMANN 的 MS20 模块化交换机,由于此前罗杰康曾报出其公司生产的工业交换机、路由器等网络设备均存在后门账户,可通过该账户修改网络配置,造成通讯中断或系统瘫痪,因此网信办建议将控制系统的网络设备更换为国产设备,目前正在与系统供应商调研相关的国产华为交换机,进行相应的替代测试。另外目前 DCS 与 KIT系统的应用平台均为 Windows XP SP2 的操作系统,由于微软已停止对该版本的操作系统的支持服务,因此使用该操作系统有一定的安全隐患,目前也在与系统供应商考虑操作系统平台的升级计划,主要针对新版操作系统与控制系统软件的兼容性问题。
3.结束语
目前秦二厂 1/2 号机组依照 14 号令和《核电站二次系统安全防护技术规定(试行)》等,邀请 了第三方国电南自公司对电力监控系统开展安全评估工作,包括资产评估、安全威胁及脆弱性分析、漏洞扫描、网络结构安全分析、应用安全扫描、对外服务代码分析、安全组织架构及管理制度分析、综合风险分析工作,最终形成整体安全防护水平安全评估报告,并协助完成安全防护评估报告的上 报审批、审查工作。同时公司在安全防护评估的基础上对电力监控系统整改现状调研和分析,参照 国家及电力行业信息系统等级保护标准体系,开展秦二厂 DCS 和 KIT 系统的等级保护定级、备案、整改、测评工作,以保证定级系统安全等级保护能力达到国家及行业相关要求,为下一步核电厂电 力监控系统安全防护标准的建立奠定基础。
参考文献:
[1]赵宏世 《网络隔离技术在 DCS 中的应用》
[2]瞿德双,刘月梅 《新建电厂的电力二次系统安全防护》
[3]国家发改委《电力监控系统安全防护规定》
论文作者:关悦,周焕,张进松,张瑞华,张洛凌
论文发表刊物:《电力设备》2015年第10期供稿
论文发表时间:2016/4/20
标签:安全防护论文; 监控系统论文; 电力论文; 系统论文; 核电厂论文; 机组论文; 控制系统论文; 《电力设备》2015年第10期供稿论文;