数字化核电厂信息安全分析

　　在中国核电“十三五”规划中，数字化核电厂引领着核电信息化的新潮。它既要求核电厂将信息化运用于企业的经营管理、投资控制之中，也要求信息化可以助力于生产运行、设备管理等专业领域。其关键在于完成数据的处理、分析、耦合，其前提在“传递”，而数据的传递须建立在信息安全基础之上。

　　分析规范 构建框架

　　核电厂与火电厂，在机组对电网的数据接口上极为相似。电力监控系统的安全防护措施，实现了对电厂生产控制系统与管理信息系统的划分。

　　根据《电力监控系统安全防护规定》的要求，火电厂二次系统原则上划分为生产控制大区和管理信息大区，发电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（安全区I）和非控制区（安全区II），安全区的设置应避免通过广域网形成不同安全区的纵向交叉连接。

　　根据不同安全区域的安全防护要求，确定其安全等级和防护水平，生产控制大区的安全区等级高于管理信息大区，火电厂二次系统安全部署如图1所示。

　　对于生产控制系统而言，核电厂区别传统火电厂之处便在于DCS系统。故此，火电厂二次系统安全部署示意图，对于核电厂而言也同等适用，核电厂安全防护实施策略，应包含且不限于如下内容：

　　安全分区：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。

　　网络专用：建立调度专用数据网络，实现与其他数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联在相同的安全区进行，避免安全区纵向交叉。

　　横向隔离：采用不同强度的电力系统专用单比特安全隔离设备，使各安全区中的业务系统得到有效保护，关键是将实时监控系统与管理信息系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。

　　纵向认证：采用认证、加密、访问控制等手段实现数据的安全传输以及纵向界的安全防护。

　　在应急辅助决策系统所构建的核电厂应急网络中，系统要求能够获取电厂的机组参数、气象数据、环境辐射数据、人员出入数据、模拟机数据以及电厂视频图像等；并能与堆芯损伤评价和环境事故后果评价系统有机结合，实现最大程度的信息共享；具有应急相关信息显示、趋势分析、超限报警、辅助判断、应急响应支持、应急报告等功能，并通过友好的人机和可视化界面，为应急响应和演习工作提供支持；另外，还能够满足核安全法规有关应急情况下，向场外应急组织传送电厂相关数据的要求。按上述要求，对于在运行核电厂，常规的应急辅助决策系统的构建结构如图2所示。

　　由应急辅助决策系统的数据来源可以发现气象数据、环境辐射数据，即环境数据，非常重要。气象数据主要包含平均风速、平均风向、风向标准差、平均温度、大气压、降雨量、大气稳定度等参数。环境监测数据为监测站编码、瞬时剂量率、本小时累加降雨量、前一小时平均剂量率、前一小时剂量率标准差、前一小时剂量率最大值、前一小时剂量率最小值、采集时间。这些数据的记录、积累，不仅在应急工况下有直接作用，对于核电厂在役全寿期的环境影响分析，均有非常重要且直观的指导作用。

　　而另外一处数据也颇为有用，即人员出入数据，该数据存在于核电厂实物保护系统中，但目前尚无明确的规范、规定用于确定实物保护系统的安全等级。然而，人员数据的取得依旧偏向手工统计，不能自动从实物保护系统中获得。而此处数据的孤立性，对于围绕人员出入行为的分析，仅仅只能表现在实物系统闸门人员出入数量的统计上，无法落地提供应急辅助决策系统，以及其他系统直接使用，甚为可惜。

　　通过应急辅助决策系统对环境数据的完善处理，将该数据，乃至其他颇为有用的机组数据、堆芯数据、人员出入数据，合理传入管理信息系统中，应急辅助决策系统的可用性将大幅提升。

　　数字化核电厂网络安全框架

　　以电力监控系统安全防护要求所建立的生产控制大区与管理信息大区的系统分区，较成体系地构建了核电厂的系统分区框架。而应急数据是核电厂独具特色的，对其深入利用，也将加快数字化核电厂各个领域的业务发展。

　　故此，可以将应急辅助决策及其接口系统，归结于管理信息大区III区进行安全防护，以和日常经营管理所在的管理信息大区IV采用单向隔离方式进行数据传递。据此，管理信息大区IV的数据来源将包括生产控制大区相关的机组运行数据、设备可靠性参数，以及应急相关的环境监测数据等，数据覆盖范围将更为全面，对数字化核电厂的建设将大有裨益。网络安全的框架构成的表现形式如图3所示。

　　明晰业务设计防护

　　信息安全的建设以业务需求作为驱动导向，结合核电厂内部业务需求、对外传递数据需求，方可妥当地进行安全架构设计。

1.生产控制大区业务

　　根据电厂二次系统的特点，生产控制大区被分为控制区（安全I区）和非控制区（安全II区），各分区包含不同的具体业务。

　　控制区（安全区I）中的业务系统或功能模块的典型特征为:是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。控制区的典型业务主要包括：220kV主电源/220kV辅助电源计算机监控系统/远动（NCS）、功角测量系统/同步相量测量系统（PMU）、生产控制系统（DCS），其主要使用者为调度员和运行操作人员，数据传输实时性为毫秒级或秒级。

　　非控制区（安全区II）中的业务系统或功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或功能模块联系紧密。非控制区的典型业务主要包括:电能量远方终端ERTU、继电保护信息子站等。

2.管理信息大区业务。

　　管理控制大区依据核电厂特有系统组成，被划分为安全III区和安全IV区。

　　安全区Ⅲ规划为实现安全辅助管理的业务所在区域，如应急辅助决策系统、环境与气象监测系统、实物保护系统。该区域系统间存在依据业务需要构建数据交换关系。应急辅助决策系统分别与国家核应急指挥中心、国家核安全局、省核应急办相连。各系统不与互联网、安全区IV相连。

　　安全区Ⅳ即公司办公局域网，典型业务系统有：企业资产管理系统（N1-ERP）；企业内容管理系统（N1-ECM）；运行管理系统（N1-EAM ESOMS）；实时数据库系统（PI）；设备可靠性管理系统（ERDB）；邮件系统；化学系统；内部门户。

3.接口与安全防护设计。

　　依据电力二次安全防护要求，以及核电厂的特有信息系统情况，对生产控制大区和管理信息大区进行业务细分，目的是确保独立系统的稳定运行，但系统的安全隐患除去人员管理问题，往往来源于周边防护措施的不到位。故此，了解各个系统的对外接口，方可有针对性地设计安全防护措施。如表1所示。

　　纵向防护方面，依据电力监控系统“纵向认证”方式的要求，纵向防护的措施如图4所示。

　　横向防护方面，电厂内部的网络防护措施如图5所示。

　　数字化核电厂的建设，一是在数据来源广泛、全面的条件下，对于数据能够进行高效、及时的分析处理，二是对于处理结果的及时展现。将生产数据、应急数据、业务数据、经营数据等不同数据进行处理后，及时展现更为重要，而及时展现所产生的问题也更为繁多，包含且不限于：终端登录与文件安全防护；人员身份认证与应用访问控制；桌面安全与内容审计管理；终端接入安全管理。

　　来源：互联网