摘要：AP1000核電站儀控系統(tǒng)采用了基于計算機的數(shù)字化儀控平臺實現(xiàn)，儀控系統(tǒng)對核電站安全穩(wěn)定運行起著舉足輕重的作用，然而病毒防護又是儀控系統(tǒng)安全運行的一個重要方面。文章主要從技術上分析AP1000病毒預防的設計措施，并提出通過管理手段進一步實現(xiàn)計算機網(wǎng)絡安全的方法，為儀控系統(tǒng)的安全穩(wěn)定運行提供有力保障。

關鍵詞：AP1000；計算機病毒；單向數(shù)據(jù)傳輸；網(wǎng)閘

中圖分類號：TK323 文獻標識碼：A 文章編號：1009-2374（2013）13-0041-03

計算機病毒是編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼（以下簡稱病毒）。病毒具有繁殖性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性等特點。由于計算機科學技術的發(fā)展，病毒也在不斷地演變和發(fā)展，新病毒的出現(xiàn)更具智能性、隱蔽性、多樣性、破壞力強等特點，這給企業(yè)病毒預防帶來了更高的挑戰(zhàn)。

由于數(shù)字化儀控系統(tǒng)的先進性，現(xiàn)代核電使用基于計算機的數(shù)字化儀控系統(tǒng)已是必然，AP1000同樣使用了基于計算機系統(tǒng)的控制平臺，如何才能防止病毒攻擊，保證儀控系統(tǒng)和核電站安全穩(wěn)定運行，這是使用全廠數(shù)字化儀控系統(tǒng)所面臨的問題，伊朗布什爾核電站由于受到病毒攻擊而推遲發(fā)電，這樣的消息讓人感到震驚和反思。美國核管會于2009年3月也升版計算機及網(wǎng)絡安全相關的法規(guī)10CFR73.54。

為了更好地使電站安全穩(wěn)定運行，AP1000從設計角度采用了分層的儀控系統(tǒng)網(wǎng)絡結構、計算機集中布置管理、設置域安全服務器、設置病毒服務器、單向數(shù)據(jù)傳輸?shù)榷囗棿胧┍苊鈨x控計算機受到病毒的危害，并提出通過管理手段更好地保證儀控系統(tǒng)安全穩(wěn)定運行。

1 病毒防護措施

1.1 儀控系統(tǒng)的層級結構設計

AP1000儀控系統(tǒng)從功能上可分為保護和控制兩大塊，保護系統(tǒng)主要基于Common Q平臺實現(xiàn)，主要系統(tǒng)是反應堆保護與安全監(jiān)測系統(tǒng)（Protection and Safety Monitoring System，PMS），而控制系統(tǒng)主要基于Ovation平臺實現(xiàn)，主要系統(tǒng)是電廠控制系統(tǒng)（Plant Control System，PLS），如圖1所示，采取分層結構設計，處于最里面的第四層，是電廠的保護和控制的主要組成部分，其中PMS和PLS的設備處于這一層，這些設備布置在電廠的重要保護區(qū)域，對此區(qū)域的人員進出實施嚴格控制，PMS和PLS之間的數(shù)據(jù)通信采用單向傳輸，數(shù)據(jù)只能從PMS流向PLS，避免非安全系統(tǒng)受到破壞而影響安全系統(tǒng)的正常功能；第三層為電廠支持層，主要包括應急運行設施、資產(chǎn)管理、關鍵通信等系統(tǒng)，與第四層的接口也是采用單向數(shù)據(jù)傳輸，通過Ovation的企業(yè)數(shù)據(jù)服務器（Enterprise Data Server，EDS）實現(xiàn)，由此避免第三層數(shù)據(jù)反向流入第四層；第二層主要是辦公局域網(wǎng)等網(wǎng)絡，可以從第三層獲取數(shù)據(jù)，以支持電廠管理維護的需求，同樣地采取單向數(shù)據(jù)傳輸措施，第二層不能向第三層寫數(shù)據(jù)，第一層是最外面一層，可直接和英特網(wǎng)進行數(shù)據(jù)交換，只需設置防火墻、安裝殺毒軟件等措施即可。

1.2 詳細的設計實現(xiàn)

如圖2所示為四層結構的詳細實現(xiàn)方式，由圖2可以看出，基于Common Q平臺實現(xiàn)的保護系統(tǒng)和基于Ovation平臺實現(xiàn)的控制系統(tǒng)處于第四層，這些設備都布置在電廠重要保護區(qū)域，在附屬廠房專門設置四個房間放置PMS四個序列機柜，而Ovation的服務器及交換機都放置在附屬廠房兩個隔離的計算機房間，此區(qū)域未經(jīng)授權不許進入，數(shù)據(jù)只能從安全級的保護系統(tǒng)流向非安全級的控制系統(tǒng)，單向數(shù)據(jù)傳輸可以避免數(shù)據(jù)倒流從而非安全級系統(tǒng)影響安全級系統(tǒng)功能，第四層中設備端口都經(jīng)過嚴格定義，不使用的端口使之失效定義為“Disable”，遠程登錄、無線登錄、郵件系統(tǒng)等功能都禁止使用，這些措施使得第四層設備受到病毒危害的風險降至最低，它與第三層的接口是通過Ovation的企業(yè)數(shù)據(jù)服務器（Enterprise Data Server，EDS）實現(xiàn)。

第三層包括應急響應設施、關鍵通信系統(tǒng)、劑量管理、資產(chǎn)管理、外圍數(shù)據(jù)收集等網(wǎng)絡，應急響應設施包括技術支持中心、運行支持中心、應急運行設施等，這些設備從第四層Ovation的企業(yè)數(shù)據(jù)服務器（EDS）獲取數(shù)據(jù)，數(shù)據(jù)單向傳輸，應急響應設施為電廠應急情況時提供電站參數(shù)信息顯示，幫助應急人員了解電站狀況，而通信系統(tǒng)、資產(chǎn)管理等相對儀控系統(tǒng)比較獨立，不會影響儀控系統(tǒng)功能，就不再作介紹，另外第三層與第二層之間的接口需設置防火墻，且使用De-Militarized Zone （DMZ）提供數(shù)據(jù)緩沖，建立認證機制，避免第二層網(wǎng)絡非法數(shù)據(jù)進入第三層，保證更低一級的網(wǎng)絡不影響更高一級網(wǎng)絡的運行。

第二層為公司辦公局域網(wǎng)，包括模擬機、電廠電話廣播系統(tǒng)等，由電廠IT部門按照公司管理要求建立病毒預防措施，第二層與第一層之間需設置不同于第三層與第二層之間的防火墻。

另外根據(jù)國家電力監(jiān)管委員會發(fā)布的《電力二次系統(tǒng)安全防護規(guī)定》（電監(jiān)會5號令）的要求：“在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置?！彼越?jīng)過EDS出來的數(shù)據(jù)如果進入其他系統(tǒng)，還需再設置一個隔離網(wǎng)閘。

1.5 其他病毒預防措施

1.5.1 設備布置。結合電廠的實物保護系統(tǒng)，將第四層的重要設備布置在電廠重要保護區(qū)域，對于Ovation平臺，采取主機與附屬設備分離布置的設計方法，主機布置在附屬廠房專門設置的計算機房間，而操作員站僅僅放置鼠標鍵盤顯示器等附屬設備，具體實現(xiàn)方式如圖6所示，這種設計理念的好處是：將帶有USB接口及光驅(qū)的主機集中統(tǒng)一管理，此區(qū)域嚴加管控，使用視頻監(jiān)視、機柜門報警、無授權人員不準進入等措施；而操作員站僅僅包含顯示器、鼠標、鍵盤等終端設備，它們通過KVM（Keyboard、Video、Mouse）轉(zhuǎn)換的方式與主機連接，在人員活動相對較多的操作員站未設置主機與交換機等相關設備，減少人員隨意使用U盤，隨意將其他計算機接入儀控系統(tǒng)，由此減少遭受病毒傳染的風險，又給管理帶來方便，只需對兩個計算機房間加強管理就可以達到目的，然而計算機房間人員活動較少，容易管理，而操作員站人員相對較多的地方只布置終端，不會形成病毒危害風險。

1.5.2 域控制器。設置了對整個Ovation系統(tǒng)進行整體控制的域控制器，使用域的概念對實時網(wǎng)絡中的計算機和用戶進行統(tǒng)一管理，Ovation所有Drop都必須先在域中注冊，且對每個計算機權限都進行嚴格定義，為不同的角色定義不同的操作權限，也可以限制用戶的非法行為，是實現(xiàn)Ovation平臺安全的重要設計方式。

1.5.3 病毒服務器。AP1000設置了基于windows系統(tǒng)的病毒服務器，此服務器安裝了卡巴斯基殺毒軟件，對Ovation網(wǎng)絡上的服務器及交換機進行實時監(jiān)視和保護，一旦發(fā)現(xiàn)存在危險將自動進行隔離和修復，并提供報告支持進一步的采取措施。

1.5.4 運行維護管理措施。以上措施是從設計的技術角度考慮如何實現(xiàn)病毒的預防，這是從源頭本質(zhì)安全的角度考慮如何保護儀控系統(tǒng)，但是光有技術措施還不夠，還應該從管理角度發(fā)布管理程序和采取一些必要措施，規(guī)范儀控系統(tǒng)的維護與使用行為，形成一整套有效的管理機制，牢牢保護儀控系統(tǒng)安全穩(wěn)定運行，就像一個無形的保護墻，將一系列不安全的行為拒之門外，由此提出通過管理程序的方式規(guī)范儀控系統(tǒng)的操作行為，管理程序至少包含以下三個方面的內(nèi)容：

（1）對工作人員進行授權管理：通過培訓授權的方式進行授權上崗，未經(jīng)授權人員不得進入儀控系統(tǒng)設備間對儀控設備進行操作，對員工進行必要安全教育，加強員工安全意識，預防為主，灌輸病毒防護方面的知識和理念，讓員工理解病毒危害的隱蔽性及病毒預防的重要性，要求用戶嚴格按照各自授權開展工作，在控制系統(tǒng)上進行工作時，需設置專人監(jiān)護。

（2）對人員的行為進行管理：禁止在控制系統(tǒng)計算機上使用U盤、光盤、移動硬盤等存儲設備，禁止在控制系統(tǒng)計算機內(nèi)安裝、運行與控制系統(tǒng)無關的其他軟件，如有需要，必要經(jīng)過嚴格的審批程序，除需要使用專用電腦進行調(diào)試或維護外，禁止將其他電子設備接入控制系統(tǒng)網(wǎng)絡。

（3）控制系統(tǒng)密碼管理：控制系統(tǒng)密碼應定期進行修改，密碼至少一季度修改一次，密碼至少8位，不能與用戶名相同，且應包括數(shù)字、字母及特殊符號，工作人員離開工程師站應登出并鎖定計算機。定期對賬戶、口令、端口和服務等進行檢查，及時清理不用的賬戶。

2 改進建議

盡管Ovation系統(tǒng)不斷升級完善，已經(jīng)可以滿足運行控制電廠的需要，但是由于還未集成維護管理方面的功能，目前國內(nèi)很多核電廠都采用其他系統(tǒng)加以補充，比如使用項目管理信息系統(tǒng)（SPMS）及電廠信息系統(tǒng)（Plant Information， PI）來補充完善管理方面的需要，三門核電就使用項目管理信息系統(tǒng)來實現(xiàn)設備信息管理、工器具管理、工單管理、經(jīng)驗反饋及狀態(tài)報告等，而秦山三期和田灣核電就開發(fā)PI系統(tǒng)來完成運行維護中的某些功能。如果后續(xù)控制系統(tǒng)不斷完善，能集成管理方面的功能，如重大設備性能分析、狀態(tài)報告、設備運行臺賬、運行日志、工單系統(tǒng)、備品備件管理等功能模塊，這就使得動態(tài)的電站控制與靜態(tài)的信息相關聯(lián)，形成一個強大的分布式控制系統(tǒng)（Distributed Control System，DCS），將會給電站的運行維護管理帶來極大的方面，也是一個病毒防護的措施，將不再需要采用外部系統(tǒng)導出控制系統(tǒng)數(shù)據(jù)，從根本上實現(xiàn)了物理隔離，大大提高計算機網(wǎng)絡安全，減少病毒進入帶來的風險，這也給后續(xù)分布式控制系統(tǒng)（DCS）的發(fā)展方向提供一定參考。

3 結語

由于儀控系統(tǒng)在電站系統(tǒng)中所起的關鍵作用，就像人的大腦一樣，它控制著整個電站的正常運行，所以保證儀控系統(tǒng)安全穩(wěn)定運行對核電站的安全穩(wěn)定運行起至關重要作用，病毒防護又是保證儀控系統(tǒng)穩(wěn)定運行的一個非常重要的方面，所以本文主要從設計角度分析如何采取措施避免病毒入侵，這是從技術上杜絕病毒進入的方法，這些經(jīng)驗可為核電數(shù)字化儀控系統(tǒng)的設計提供一定的參考。然而實際上儀控系統(tǒng)病毒防護無法只通過技術實現(xiàn)，或者說從技術的角度并不是病毒防護的所有，所以從管理上提出要求，通過管理程序方式預防病毒，這是設計的補充，從而也形成一整套的儀控系統(tǒng)病毒防護機制，為核電站儀控系統(tǒng)的高效可靠運行提供保證，這樣的思路也為數(shù)字化儀控系統(tǒng)的安全運行維護管理提供寶貴參考價值。

參考文獻

[1] 陳才亮.DCS分散控制系統(tǒng)安全分析[J].煤礦現(xiàn)代

化，2006，（6）.

[2] 周生，吳翔.SIS系統(tǒng)的網(wǎng)絡安全分析及防范措施

[J].安徽電氣工程職業(yè)技術學院學報，2007，（1）.

[3] 顧軍，繆亞民，范福平，等.AP1000核電廠系統(tǒng)與設備[M].北京：原子能出版社，2010.

[4] 趙靜，蔣方純，王婷.協(xié)議異常檢測技術在核電廠實時信息系統(tǒng)中的應用.

[5] 江國進，趙靜，張煥新，孫永濱.基于核電廠實時信息系統(tǒng)的入侵檢測與管理系統(tǒng).

[6] 李爽，李卓佳.核電站實物保護系統(tǒng)的設計過程與技術方案要素.

[7] 柴松岳.電力二次系統(tǒng)安全防護規(guī)定.2004.

作者簡介：吳洋（1984—），男（彝族），貴州納雍人，中核集團三門核電有限公司助理工程師，研究方向：第三代AP1000核電站數(shù)據(jù)顯示與處理系統(tǒng)（DDS）及運行和控制中心（OCS）的調(diào)試。

（責任編輯：周 瓊）