核电站数字化仪控系统信息安全特征分析

核电站数字化仪控系统信息安全特征分析

石祎昉

福建福清核电有限公司福建福清350300

摘要：笔者从国际电工委员会/核仪器技术委员会（IEC?SC45A）的标准体系出发，分析和阐述了对数字化仪控系统的信息安全设计准则。准则重点从纵深防御、安全隔离和信息安全与功能安全相互协调这三个方面对仪控系统设计要求进行了阐述，可用于指导核电厂等核设施信息安全防护措施的设计和实施。

关键词：信息安全；功能安全；核电站数字化

引言

核电站是国家的重大基础设施，核电站的仪表和控制系统是核电站的控制中枢，是事关电站安全的重要系统。而我国已经投产的和正在建设的核电站其仪控系统大多由数字式系统构成，而这就给网络攻击创造了客观条件，所以数字化仪控系统已经成了核电站重要的信息安全保障对象。本文首先依照国际标准对该领域的信息安全主要特征进行了分析，并总结了若干主要原则和约束条件。

1信息安全的主要特征

1.1保障对象的拓展

数字化仪控系统中的设备可以分为基于数字式计算机技术实现的系统（CB）和基于数字逻辑实现的系统（HPD）两类。目前信息安全乃至工控信息安全领域的主要讨论对象都是基于数字式计算机实现的系统，较少的涉及采用FPGA或CPLD等可编程数字逻辑器件实现的系统。在IEC62645-2014中，已经明确地把可编程逻辑器件所构建的系统作为与基于数字计算机技术实现的系统相并列的对象进行讨论。基于HDL可编程数字逻辑技术实现的系统已经不可避免的被列入了信息安全的讨论范围之内，而这一改变对信息安全相关技术活动的影响需要综合参照IEC62645-2014和IEC62566-2012作为标准基础。

1.2主要威胁范围的限定

威胁利用系统的脆弱性对资产产生破坏是分析信息安全风险的最基本范式，定义对象系统的信息安全威胁是需要解决的问题。依据ISO27000标准体系，物理防护、电力供应、运行环境以及综合性的自然灾害所造成的破坏，均被视作对特定信息安全保障对象的威胁。但是，作为核电厂数字化仪控系统，其运行的物理环境和相关的人员管理措施均被其他法律法规所约束，也被较完善的国际和国内标准所指导和限制，所以IEC62645-2014和IEC62859-2016中都不以这些威胁途径作为主要的讨论和分析对象，而是把讨论的范围限定在数字式攻击（即网络攻击Cyberattacks）。基于同样的理由，这些标准同时把非恶意的活动和偶然事件排除在主要威胁范围之外。虽然这些被包含在ISO/IEC27000标准族、IEC62443标准族[10]或者NIST的相关出版物质的讨论框架内，但为了集中讨论主要威胁，SC45A的主要标准将主要的威胁分析对象限定为以数字式手段进行的攻击活动。

1.3基于功能安全后果导向的分级方法

实现功能安全是仪控系统的主要设计任务，而信息安全的等级划分也来自功能安全后果导向。IEC62645-2014中对系统的信息安全分级方法可以概括如下：1）应根据信息安全威胁所可能产生的最大安全后果向系统分配程度S1至S3。2）向数字化仪控系统分配安全程度应依照如下原则：–向处理A类安全功能的数字化仪控系统分配的安全程度为S1；–向需要实时操作的数字化仪控系统以及处理B类安全功能的数字化仪控系统分配的安全程度不得低于S2；–根据信息安全威胁所可能产生的最大安全后果，向处理C类功能的数字化仪控系统以及协助工厂运行和维护的数字化仪控系统的辅助系统分配的安全程度为S3。

1.4划定信息安全防护区域时的注意事项

依据IEC62645-2014里的定义，信息安全防护区域允许将功能安全具有相同重要性的仪控系统分组在一起以用于管理和应用保护措施。在实践中，应考虑如下的原则。第一，根据IEC62645-2014，信息安全区域的划定应考虑和利用为加强安全目的而引入的独立性和物理分离要求。第二，数据通信方面（包括逻辑分离）和地理/物理分离以及独立方面应共同考虑，以划定安全区。对于多分隔系统，要额外考虑如下原则。第一，给定的数字化仪控系统的分隔（或列）应分组在同一个信息安全防护区域，除非能从信息安全角度有效的过滤和监测分隔之间的通信。第二，给定的数字化仪控系统的分隔（或列）如果使用通用工程工具进行配置，则应分组在同一信息安全防护区域。

2核电DCS系统设计

2.1硬件构架

本装置的硬件部分主要包括：服务器、调试箱、与DCS控制器机柜的接口，硬件架构如图2所示。服务器用于运行电厂工艺模型、DCS一层仿真系统软件、通讯以及工程调试管理软件。在开发阶段，采用机架式服务器；工程应用阶段，为了方便移动，可采用便携式移动终端配合服务器使用。便携式调试装置主要包括电源、通讯控制器、I/O模块和小型交换机等，主要用于将模型软件计算出的工艺过程数据传递给实际机组的DCS控制机柜，同时将DCS控制机柜的控制输出信号反馈到服务器中。调试装置将根据电厂实际DCS机柜的通道类型和通道数，来配置不同种类和数量的I/O模块。为了在工程应用中方便携带，移动测试不同系统的DCS控制机柜，所有的I/O模块集成在旅行箱形状的调试装置中。

图2核电数字化系统调试装置硬件架构图

2.2工艺系统模型与仿真的DCS一层

电厂工艺系统模型和仿真的DCS一层参考机组设计数据，在RINSIM平台上开发，对各主要系统采用不同的软件建模。以下软件/工具都是有广泛的工程应用、成熟的软件。1）堆芯物理：SimCore2）主冷却剂系统：SimTherm3）安全壳：SimCont4）流体和电气网络系统：SimGen5）DCS控制层：SimGen采用纯模拟方式（simulation），按DCS一层控制器的功能分布实现了DCS的控制层的图形化建模，按机柜设计图进行了I/O点表的配置。DCS一层机柜：在研制过程中，采用仿真的DCS一层机柜代替。机柜的I/O接口部分采用NI的I/O板卡代替；控制逻辑部分在服务器中仿真。

2.3通讯接口

通信接口软件用于建立仿真模型主机的I/O变量和一层DCS机柜的硬件设备点之间的映射关系，完成软件变量与硬件设备点之间的通信传输。为了提高软件的重构能力，以及软件的通用性，本装置专门设计了软件变量与硬件I/O设备的映射关系工具，该工具的主要功能是建立系统软件变量和硬件设备点之间的映射关系，并产生一系列配置文件供通信接口软件使用。通信接口软件为C/S架构，分为模型主机端（客户端）和数据板卡端（服务器端）。其中，数据板卡端的接口软件运行在通信控制器中，作为数据收发的服务器端，接受来自模型主机端请求。同时，数据板卡端的接口软件通过TCP/IP协议将数据同步至数据板卡模块中，进而由其通过硬接线的方式传送至DCS机柜。模型主机端的接口软件作为仿真支撑平台的一部分，由仿真主控程序MST进行统一调度。电厂模型启动运行时，通信接口软件将同时启动，同步连接数据板卡端的服务器程序。因为核电厂DCS系统验证试验对于I/O采集响应时间有较高的要求，所以在该方案选择了NI的CRIO系列，DCS采样速度最快可到微秒级，满足反应堆保护系统快速响应测试的需求（通过FPGA进行精确的数字I/O时间控制和延时计算），I/O模块通过MXI进行扩展。

结语

本文基于IEC的SC45A标准体系进行分析，总结了其信息安全角度的几个主要特征，从保障对象，分析方法和威胁范围三个角度对其进行了分析。未来的工作将进一步基于信息安全特征提出基于该标准体系的信息安全设计准则。

参考文献

[1]卿斯汉.关键基础设施安全防护[J]信息网络安全，2015（2）：1-6.

[2]核动力厂基于计算机的安全重要系统的软件：HAD102/16[S].