★中廣核數(shù)字科技有限公司顏元超，張宏亮，黃啟清,禇瑞，農(nóng)政林

關(guān)鍵詞：核電；DCS；全生命周期；網(wǎng)絡(luò)安全；安全質(zhì)量

近年來，隨著國內(nèi)外網(wǎng)絡(luò)安全形勢的發(fā)展，網(wǎng)絡(luò)空間已經(jīng)成為繼海、陸、空、天之后的第五疆域，成為新形勢下國家安全的重要組成部分，國與國之間的網(wǎng)絡(luò)安全競爭形勢復(fù)雜且嚴(yán)峻。從國家戰(zhàn)略層來看，工業(yè)產(chǎn)業(yè)現(xiàn)代化的發(fā)達程度體現(xiàn)了一個國家核心競爭力，為此我國較早提出了工業(yè)化與信息化融合發(fā)展戰(zhàn)略并持續(xù)開展產(chǎn)業(yè)結(jié)構(gòu)調(diào)整和升級轉(zhuǎn)型，國內(nèi)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)化、智能化水平穩(wěn)步提升。在復(fù)雜安全威脅態(tài)勢下，數(shù)字化控制系統(tǒng)（Digital Control System，DCS）作為核電廠重要的工業(yè)控制系統(tǒng)，在深入發(fā)展中享受著數(shù)字信息開放、互聯(lián)互通技術(shù)帶來的生產(chǎn)效率提高與競爭實力增強，但其面臨的網(wǎng)絡(luò)安全風(fēng)險也逐漸凸顯。國家部委高度重視網(wǎng)絡(luò)安全工作，并針對電力行業(yè)出臺了一系列相關(guān)管理規(guī)定、辦法和指導(dǎo)文件，為電力行業(yè)信息網(wǎng)絡(luò)安全提供了有效的指導(dǎo)。核電是清潔的典型代表，核電廠規(guī)劃、建造、運營等活動不僅要遵守電力行業(yè)法規(guī)標(biāo)準(zhǔn)，同時要遵守核電行業(yè)相關(guān)法律法規(guī)，相關(guān)監(jiān)管要求嚴(yán)格。核電廠DCS是國家重要的關(guān)鍵信息基礎(chǔ)設(shè)施之一，其網(wǎng)絡(luò)安全工作備受關(guān)注，雖然國家發(fā)布了電力行業(yè)信息網(wǎng)絡(luò)安全相關(guān)指導(dǎo)，但如何做好核電DCS網(wǎng)絡(luò)安全管理工作尚未有較好的方法。

網(wǎng)絡(luò)安全問題是技術(shù)因素、人員因素和管理因素的綜合，是人員、管理與技術(shù)三者互動的結(jié)果。統(tǒng)計結(jié)果表明，網(wǎng)絡(luò)安全事故中只有20%~30%是因黑客入侵或其他外部原因造成的，而70%~80%是由于管理因素或人員因素（例如內(nèi)部員工的疏忽，或有意泄密）造成的，網(wǎng)絡(luò)安全問題實際上大多都是人的問題。2018年國家發(fā)改委在《關(guān)于進一步加強核電運行安全管理的指導(dǎo)意見》^[1]通知中提出：“將網(wǎng)絡(luò)安全納入核電安全管理體系，加強能力建設(shè)，保障核電廠網(wǎng)絡(luò)安全。”因此，本文對核電領(lǐng)域數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)開展了分析，提煉出針對數(shù)字化儀控網(wǎng)絡(luò)安全管理相關(guān)要求，并基于核電廠儀表與控制系統(tǒng)網(wǎng)絡(luò)安全防范控制管理框架，將網(wǎng)絡(luò)安全管理要求與企業(yè)DCS開發(fā)過程進行融合，提出了一種核電DCS網(wǎng)絡(luò)安全管理的方法。采用該方法對核電DCS網(wǎng)絡(luò)安全實施全生命周期管控，可有效提高DCS系統(tǒng)產(chǎn)品可信性、增強核電DCS企業(yè)的網(wǎng)絡(luò)安全管理能力、降低供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險、提升核電廠網(wǎng)絡(luò)安全防護水平。

1　國內(nèi)外網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)管理要求

1.1　國內(nèi)網(wǎng)絡(luò)安全相關(guān)要求

我國針對信息網(wǎng)絡(luò)安全工作先后頒布了一系列的指導(dǎo)文件和法規(guī)標(biāo)準(zhǔn)，例如1999年國家標(biāo)準(zhǔn)《GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》發(fā)布；2014年發(fā)改委發(fā)布了14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，提出電力監(jiān)控系統(tǒng)應(yīng)堅持十六字方針原則“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”，以保障電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全^[2]；2015年能源局發(fā)布了國能安全[2015]36號文《電力監(jiān)控系統(tǒng)安全防護總體方案》，該方案細(xì)化了十六字方針原則，定義了電力監(jiān)控系統(tǒng)通用、專用的安全防護技術(shù)與設(shè)備，確定了針對電力監(jiān)控系統(tǒng)的安全防護體系總體框架，提出了發(fā)電廠、變電站等的電力監(jiān)控系統(tǒng)安全防護方案及電力監(jiān)控系統(tǒng)安全防護評估規(guī)范^[3]；2022年能源局發(fā)布了《電力行業(yè)網(wǎng)絡(luò)安全管理辦法（國能發(fā)安全規(guī)〔2022〕100號）》，給出了電力行業(yè)網(wǎng)絡(luò)與網(wǎng)絡(luò)安全的監(jiān)督管理要求，明確了電力行業(yè)建立健全網(wǎng)絡(luò)與網(wǎng)絡(luò)安全保障體系和工作責(zé)任體系^[4]；同年，能源局發(fā)布了《電力行業(yè)網(wǎng)絡(luò)安全等級保護管理辦法（國能發(fā)安全規(guī)〔2022〕101號）》，提出了規(guī)范電力行業(yè)安全等級保護管理、提高電力信息系統(tǒng)安全保障能力和水平的相關(guān)要求及工作指導(dǎo)^[5]。上述指導(dǎo)文件涉及總體目標(biāo)、安全分區(qū)、等級劃分、網(wǎng)絡(luò)架構(gòu)、組織機構(gòu)、管理措施、技術(shù)措施、整改計劃等方面。

我國網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)要求的核心內(nèi)容為等級保護要求，安全要求類分技術(shù)要求和管理要求。2019年《GB/T22239-2019網(wǎng)絡(luò)安全技術(shù)-網(wǎng)絡(luò)安全等級保護基本要求》發(fā)布，其中安全控制域10個主要包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理，其中等保四級安全控制點數(shù)量為250個，管理要求占比達50%。安全等級保護等保四級要求概覽圖如圖1所示。

圖1  我國安全等級保護等保四級要求概覽圖

1.2　RG1.152導(dǎo)則要求分析

美國核管理委員會（NRC）按照《聯(lián)邦法規(guī)》10 CFR50.34、10 CFR50.55a、CRF50附錄A（GDC）、CRF50附錄B（QC）相關(guān)要求，針對核電安全相關(guān)和安全重要系統(tǒng)提出了確保系統(tǒng)和功能可靠性的管理目標(biāo)，明確在系統(tǒng)設(shè)計中應(yīng)考慮諸如系統(tǒng)級設(shè)計特征、多樣性和縱深防御以及確定性設(shè)計等因素。核管理委員會通過RG1.152（Regulator Guide1.152“CRITERIA FOR USE OF COMPUTERS IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS”）導(dǎo)則^[6]，提出了關(guān)于促進功能高可靠性、設(shè)計質(zhì)量、安全開發(fā)和運行環(huán)境（SDOE）的規(guī)定在核電廠安全系統(tǒng)中使用數(shù)字計算機的方法。

RG1.152導(dǎo)則描述了在數(shù)字安全系統(tǒng)生命周期內(nèi)設(shè)計和開發(fā)階段建立安全環(huán)境的相關(guān)指導(dǎo)，確保了數(shù)字安全系統(tǒng)的可靠運行。針對數(shù)字安全系統(tǒng)保護的安全開發(fā)和運行環(huán)境，RG1.152要求數(shù)字安全系統(tǒng)開發(fā)過程應(yīng)識別和緩解數(shù)字安全系統(tǒng)生命周期各階段內(nèi)可能降低SDOE或系統(tǒng)可靠性的潛在缺陷和漏洞，其中系統(tǒng)生命周期應(yīng)包括概念、需求、設(shè)計、實施、測試、安裝、檢查和驗收測試、運行、維護、退役等階段。

1.3　RG5.71導(dǎo)則要求分析

美國核管會根據(jù)聯(lián)邦法規(guī)中對于計算機、通信系統(tǒng)和網(wǎng)絡(luò)的保護需求，針對核設(shè)施制定了計算機網(wǎng)絡(luò)安全方面的導(dǎo)則“REGULATORY GUIDE5.71，Cyber Security Programs for Nuclear Facilities”（簡稱：RG5.71導(dǎo)則）。RG5.71導(dǎo)則提出了針對核設(shè)施網(wǎng)絡(luò)安全的監(jiān)管要求，并從組織機構(gòu)、技術(shù)、運行和管理等方面給出了針對信息網(wǎng)絡(luò)的威脅、漏洞和攻擊需要采取的管理對策和網(wǎng)絡(luò)安全防護技術(shù)^[7,8]。

RG5.71要求核設(shè)施建立相應(yīng)的網(wǎng)絡(luò)安全大綱以描述如何執(zhí)行信息網(wǎng)絡(luò)安全相關(guān)法律、法規(guī)的要求，使核設(shè)施關(guān)鍵數(shù)字計算機、通信系統(tǒng)和網(wǎng)絡(luò)受到充分保護，避免這些系統(tǒng)、設(shè)備受到網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全大綱應(yīng)包含：關(guān)鍵數(shù)字資產(chǎn)的識別、網(wǎng)絡(luò)安全大綱實施維護、網(wǎng)絡(luò)安全設(shè)計、縱深防御策略、文檔化管理制度、安全意識培訓(xùn)、網(wǎng)絡(luò)安全風(fēng)險評估和管理、配置管理和文檔管理等要素。

（1）組織機構(gòu)方面，RG5.71描述了應(yīng)建立一個網(wǎng)絡(luò)安全團隊，確定其角色、職責(zé)、授權(quán)和職能關(guān)系，其中包括網(wǎng)絡(luò)安全高級主管人員、網(wǎng)絡(luò)安全負(fù)責(zé)人、網(wǎng)絡(luò)安全專家等。

（2）技術(shù)控制方面，RG5.71描述了應(yīng)在識別關(guān)鍵數(shù)字資產(chǎn)（critical digital assets，CDA）的基礎(chǔ)上，采取縱深防御策略，建立網(wǎng)絡(luò)安全分區(qū)，控制數(shù)據(jù)流向，并在邊界上采用防御措施等技術(shù)措施。同時，導(dǎo)則提出了一系列包括訪問控制、審計和問責(zé)、通信保護、識別和認(rèn)證、系統(tǒng)加固、操作控制等綜合防護控制措施。

（3）管理控制方面，RG5.71針對系統(tǒng)服務(wù)和采購、持續(xù)監(jiān)測和安全評估、策略和規(guī)程、變更控制、記錄保留及處理等系統(tǒng)生命周期管理方面提出了相關(guān)監(jiān)管要求。

1.4　IEC62645標(biāo)準(zhǔn)要求分析

IEC62645為核電基于計算機的I&CCB&HPD系統(tǒng)有效安全計劃的開發(fā)和管理制定了要求并提供了指導(dǎo)。該標(biāo)準(zhǔn)主要目標(biāo)是定義綱領(lǐng)性措施，以預(yù)防、檢測和應(yīng)對數(shù)字化手段對基于計算機的設(shè)備裝置（I&C CB&HPD）發(fā)起的惡意網(wǎng)絡(luò)攻擊行為，包括由以下行為造成的任何危險情況、設(shè)備損壞或電站性能退化：

（1）影響系統(tǒng)完整性的惡意修改；

（2）可能危害所需I&CCB&HPD功能的交付和執(zhí)行的對信息、數(shù)據(jù)或資源的惡意干擾；

（3）可能危害操作員顯示器或?qū)е翴&CCB&HPD系統(tǒng)管理喪失的對信息、數(shù)據(jù)或資源的惡意干擾；

（4）在可編程邏輯控制器（programmable Logic Controller，PLC）級別對硬件、固件或軟件的惡意修改。

該標(biāo)準(zhǔn)提出了按照安全類別開展網(wǎng)絡(luò)安全等級劃分的方法，主要包括：（1）對于處理安全A類功能的I&C系統(tǒng)，將其網(wǎng)絡(luò)安全等級劃分為S1級；（2）對于處理安全B類功能以及需要實時操作的I&C系統(tǒng)，將其網(wǎng)絡(luò)安全等級劃分為S2級；（3）對于輔助電廠運行和維護的I&C系統(tǒng)，將其網(wǎng)絡(luò)安全等級劃分為S3級。同時，該標(biāo)準(zhǔn)主要從核電廠安全計劃、系統(tǒng)安全生命周期的實施、安全防范領(lǐng)域三個方面提出了管理要求，標(biāo)準(zhǔn)整體框架如圖2所示。

圖2 IEC 62645總體框架示意圖

（1）要求制定和管理核電廠I&C CB&HPD系統(tǒng)安全計劃，包括制定計劃、實施和運行計劃、監(jiān)控和審查計劃、維護和改進計劃；

（2）要求對I&C CB&HPD系統(tǒng)安全生命周期實施管理，包括需求活動、設(shè)計活動、實施活動、驗證活動、安裝和驗收測試活動、運行和維護活動、變更管理、退役活動；

（3）要求開展安全防范領(lǐng)域管理措施，主要包括安全政策、管理安全、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、通信與運行管理、訪問控制、I&C系統(tǒng)采購開發(fā)和維護、I&C安全事件管理、運行連續(xù)性管理、合規(guī)性。

1.5　核電廠儀表與控制系統(tǒng)網(wǎng)絡(luò)安全防范控制相關(guān)要求分析

GB/T 43532-2023《核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控》^[10]規(guī)定了核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控目錄，并供用戶進行選擇和應(yīng)用，從而防止、檢測和應(yīng)對針對數(shù)字化儀表和控制系統(tǒng)的計算機網(wǎng)絡(luò)攻擊。該文件適用于生命周期內(nèi)的所有新建核電廠數(shù)字化儀控系統(tǒng)的設(shè)計，以及現(xiàn)有核電廠儀控系統(tǒng)的更新或改造。范圍涉及核電廠儀控系統(tǒng)的整個范圍，包括安全級和非安全級系統(tǒng)，也包括屬于儀控系統(tǒng)管控回路的傳感器、執(zhí)行器和電氣系統(tǒng)。

該標(biāo)準(zhǔn)從網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全組織、人力資源安全、資產(chǎn)管理、訪問控制、密碼、物理和環(huán)境安全、操作安全、通信安全、系統(tǒng)獲取開發(fā)和維護、供應(yīng)商關(guān)系、網(wǎng)絡(luò)安全事件管理、業(yè)務(wù)連續(xù)性管理的網(wǎng)絡(luò)安全、符合性等方面給出了指導(dǎo)。

《核電廠儀表與控制系統(tǒng)網(wǎng)絡(luò)安全防范控制》中提出了針對儀控平臺和儀控系統(tǒng)本體網(wǎng)絡(luò)安全防范管控的選擇方法和執(zhí)行過程，并給出核電廠儀控系統(tǒng)的預(yù)期環(huán)境進行初步威脅和風(fēng)險評估，簡要流程圖如圖3所示。

圖3 儀控系統(tǒng)初步威脅和風(fēng)險評估流程示意圖

2　DCS系統(tǒng)與安質(zhì)環(huán)體系

2.1　DCS系統(tǒng)簡介

數(shù)字化儀控系統(tǒng)^[11-14]屬于專用計算機系統(tǒng)，其主要為嵌入式系統(tǒng)，現(xiàn)已成為工業(yè)領(lǐng)域的重要組成部分。數(shù)字化儀控系統(tǒng)是隨著計算機技術(shù)的發(fā)展而不斷發(fā)展的。上世紀(jì)70年代，集成電路技術(shù)的高速發(fā)展，使計算機性能提升和價格降低，并得到了廣泛推廣，DCS也應(yīng)運而生。DCS以計算機技術(shù)為基礎(chǔ)，綜合了工業(yè)過程控制、網(wǎng)絡(luò)通信和人機交互技術(shù)，具有集中監(jiān)視顯示操作和分散式采集、控制的特點。

核電廠數(shù)字化控制系統(tǒng)是分布式控制系統(tǒng)的一種，它是由一定數(shù)量、功能不同（模擬量輸入/輸出、數(shù)字量輸入/輸出、各類通信、主處理等主要功能）的硬件板卡/模塊構(gòu)成的控制站系統(tǒng)（Level1），以及由服務(wù)器、工程師站、操縱員站等商用計算機構(gòu)成的人機交互系統(tǒng)（Level2），負(fù)責(zé)核電廠的現(xiàn)場儀表信息采集與執(zhí)行器控制功能，是核電廠反應(yīng)堆的“神經(jīng)中樞”。在產(chǎn)品研發(fā)和工程設(shè)計無缺陷、現(xiàn)場操作使用符合規(guī)程的情況下，核電廠數(shù)字化控制系統(tǒng)可以為現(xiàn)場維護人員和操縱員提供實時、簡潔和準(zhǔn)確的反應(yīng)堆運行狀態(tài)信息，現(xiàn)場維護人員或操縱員可根據(jù)這些運行狀態(tài)信息，開展日常維護、故障恢復(fù)、監(jiān)視控制等活動。

圖4 典型DCS的結(jié)構(gòu)圖

核電行業(yè)內(nèi)主流的核電廠數(shù)字化控制系統(tǒng)，主要有歐洲（阿海琺、西門子）的Teleperm-XS與Teleperm-XP，以及美國西屋AP1000核電系列的代表CommonQ+Ovation。數(shù)字化控制系統(tǒng)在我國核電廠的應(yīng)用情況呈現(xiàn)多樣化狀態(tài)。國內(nèi)三代先進壓水堆機組的非安全級數(shù)字化控制系統(tǒng)已經(jīng)開始應(yīng)用我國自主產(chǎn)品，但大多數(shù)已建成的核電廠采購的數(shù)字化控制系統(tǒng)，還均來自于國外企業(yè)。2010年伊朗核電廠遭受“震網(wǎng)”病毒攻擊，該病毒針對西門子的PLC進行了定向網(wǎng)絡(luò)安全攻擊，造成該核電廠離心機被損壞。“震網(wǎng)病毒”對于伊朗核電廠離心機設(shè)備的攻擊案例，給核電領(lǐng)域敲響了警鐘，使得核電領(lǐng)域從業(yè)人員意識到網(wǎng)絡(luò)攻擊威脅的嚴(yán)重性和網(wǎng)絡(luò)安全的重要性。

2.2　DCS系統(tǒng)全周期過程活動

核電DCS系統(tǒng)全生命周期涉及研發(fā)、驗證、采購、制造、工程設(shè)計、集成裝配、FT/FAT、發(fā)運/交付、改造/維護等活動，每個階段均需要對安全、質(zhì)量、環(huán)境開展管控。主要活動流程如圖5所示。

圖5 核電DCS全生命周期過程活動示意圖

2.3　安全、質(zhì)量、環(huán)境管理體系

按照GB/T 19001-2016、GB/T 24001-2016、GB/T 45001-2020建立以過程為基礎(chǔ)的安質(zhì)環(huán)一體化管理體系，按照“P-D-C-A”的方法，系統(tǒng)地識別、策劃和管理公司的各個過程，建立程序和相關(guān)制度，并根據(jù)需要形成文件。當(dāng)公司的業(yè)務(wù)、組織機構(gòu)、外部環(huán)境、安質(zhì)環(huán)管理方針、管理目標(biāo)等發(fā)生重大變化時，總經(jīng)理部組織對安質(zhì)環(huán)一體化管理體系重新策劃，做出相應(yīng)變更，在體系策劃和實施時要考慮變更的目的及其潛在后果，確保體系的完整性、資源的可獲得性、責(zé)任和權(quán)限的分配或再分配。針對核電的產(chǎn)品和服務(wù)的設(shè)計和制造活動，在GB/T 19001-2016質(zhì)量管理體系的基礎(chǔ)上，參考HAF003和相關(guān)核安全法規(guī)的部分規(guī)定，確保滿足各相關(guān)法規(guī)和標(biāo)準(zhǔn)對核電產(chǎn)品全生命周期的質(zhì)量管理和控制要求。

公司產(chǎn)品實現(xiàn)過程包括：銷售過程、產(chǎn)品研發(fā)過程、采購過程、制造過程、工程設(shè)計過程、運維服務(wù)等主要過程；支持過程包括：文件管理、記錄管理、內(nèi)部審核、管理評審、過程監(jiān)視和測量、數(shù)據(jù)分析、培訓(xùn)等過程。各個主要過程及其相關(guān)關(guān)系如圖6所示。

圖6 安全質(zhì)量環(huán)境各主要過程關(guān)系示意圖

根據(jù)業(yè)務(wù)（包括工業(yè)自動控制系統(tǒng)、核電電氣儀控系統(tǒng)等）活動的研發(fā)、設(shè)計、生產(chǎn)、集成、技術(shù)服務(wù)和運維服務(wù)的特點，確定上述一體化管理體系所需的過程及其在組織中的應(yīng)用，以及伴隨發(fā)生的風(fēng)險因素和影響：

（1）確定這些過程所需的輸入和期望的輸出；

（2）（2）確定這些過程的順序和相互作用；

（3）確定和應(yīng)用所需的準(zhǔn)則和方法，以確保這些過程的有效運行和控制；

（4）確定這些過程所需的可以獲得的資源；

（5）分配這些過程的職責(zé)和權(quán)限；

（6）按照要求應(yīng)對風(fēng)險和機遇；

（7）評價這些過程，實施所需的變更，以確保實現(xiàn)這些過程的預(yù)期結(jié)果；

（8）改進過程和質(zhì)量管理體系。

與此同時，制定并實施《項目過程控制程序》《設(shè)計和開發(fā)控制程序》，以規(guī)定和控制軟件、硬件、結(jié)構(gòu)件以及系統(tǒng)產(chǎn)品的研發(fā)過程和工程設(shè)計過程，確保產(chǎn)品滿足顧客及各相關(guān)方的要求。

3　核電DCS網(wǎng)絡(luò)安全管理方法

基于核電DCS全生命周期的網(wǎng)絡(luò)安全實踐，與安全、質(zhì)量、環(huán)境管控體系進行融合，形成針對核電DCS網(wǎng)絡(luò)安全的管理方法。

3.1　系統(tǒng)需求階段

一般由買方或買方指定的設(shè)計方提出核電廠儀控系統(tǒng)的安全防范的相關(guān)要求，包括并不限于電廠營運單位的安全防范大綱和網(wǎng)絡(luò)安全防范的各種良好實踐，作為后續(xù)各階段的設(shè)計輸入和參考依據(jù)。

3.2　系統(tǒng)設(shè)計階段

針對系統(tǒng)設(shè)計輸入中網(wǎng)絡(luò)安全的需求進行分析，結(jié)合網(wǎng)絡(luò)安全風(fēng)險評估報告、網(wǎng)絡(luò)安全良好實踐和經(jīng)驗反饋，進行適用性分析和系統(tǒng)設(shè)計，并識別出產(chǎn)品和系統(tǒng)中需要增補開發(fā)/改進的需求，進行產(chǎn)品的研發(fā)和升級，滿足儀控系統(tǒng)產(chǎn)品和系統(tǒng)網(wǎng)絡(luò)安全要求，包括：（1）進行安全防范方面的適應(yīng)性分析并編制適用性分析報告；（2）按照《工程設(shè)計控制程序（安全級）》和《工程設(shè)計控制程序》，設(shè)計人員進行需求分析、系統(tǒng)架構(gòu)設(shè)計及功能分析工作；（3）識別出產(chǎn)品研發(fā)的需求，在網(wǎng)絡(luò)安全方面進行產(chǎn)品的總體設(shè)計；（4）網(wǎng)絡(luò)安全小組組織對總體設(shè)計方案進行專項評估，確保設(shè)計方案滿足網(wǎng)絡(luò)安全的要求。

3.3　軟硬件需求階段

根據(jù)系統(tǒng)設(shè)計階段的輸出，對網(wǎng)絡(luò)安全在系統(tǒng)硬件和應(yīng)用軟件功能進行分析，設(shè)計人員按照《工程設(shè)計控制程序（安全級）》和《工程設(shè)計控制程序》，提出軟硬件產(chǎn)品的需求并開展設(shè)計工作。

3.4　軟硬件詳細(xì)設(shè)計及實現(xiàn)階段

詳細(xì)設(shè)計階段主要包括工程硬件設(shè)計和工程軟件設(shè)計兩部分工作，按照《工程設(shè)計控制程序（安全級）》和《工程設(shè)計控制程序》具體執(zhí)行；根據(jù)上一階段分解任務(wù)，進行軟硬件單產(chǎn)品的網(wǎng)絡(luò)安全方面的詳細(xì)設(shè)計和實現(xiàn)。

3.5　采購活動

采購管理方面，為了保證所采購的物項能滿足網(wǎng)絡(luò)安全產(chǎn)品設(shè)計和制造的需要，對采購控制如下：凡是對網(wǎng)絡(luò)安全設(shè)計和制造質(zhì)量有影響的物項的采購都必須事先制定采購文件，在采購文件中應(yīng)包括網(wǎng)絡(luò)安全產(chǎn)品的有關(guān)要求、設(shè)計基準(zhǔn)、標(biāo)準(zhǔn)、技術(shù)規(guī)格書以及所必須的其他要求，對采購物項和服務(wù)進行質(zhì)量控制。

（1）自產(chǎn)品固件（含測試固件、最終固件）受控發(fā)布；

（2）涉及固件下載芯片從庫房出庫并記錄齊全；

（3）生產(chǎn)過程下載固件所需電腦、各種移動介質(zhì)等工具均通過公司統(tǒng)一采購，并合格入庫，領(lǐng)用記錄齊全；

（4）電腦、各種移動介質(zhì)等需要定期由專業(yè)人員進行病毒消殺；

（5）下載固件所需網(wǎng)絡(luò)需與公司辦公互聯(lián)網(wǎng)獨立設(shè)置。

3.6　廠內(nèi)系統(tǒng)集成活動

為了保證系統(tǒng)集成和裝配階段能滿足網(wǎng)絡(luò)安全的要求，如環(huán)境防護、工裝防護、下裝工具等方面，企業(yè)按照《設(shè)備裝配和系統(tǒng)集成工作流程》執(zhí)行該階段的工作。

3.7　確認(rèn)及驗收測試活動

對上游設(shè)計輸入及脆弱性評估進行分析，制定測試程序及用例，驗證軟硬件集成后的儀控系統(tǒng)滿足上游設(shè)計輸入及脆弱性評估要求。測試人員開展網(wǎng)絡(luò)安全相關(guān)的測試與驗證活動，并提供設(shè)計驗證結(jié)果。

3.8　現(xiàn)場安裝活動

系統(tǒng)集成人員負(fù)責(zé)核電現(xiàn)場儀控設(shè)備硬件的安裝復(fù)原、改造工作；軟件安裝和升級工作由測試專業(yè)人員完成。完成后，需要確認(rèn)符合電廠特定的策略、程序以及儀控系統(tǒng)安全防范計劃。

3.9　運行及維護活動

企業(yè)將核電儀控系統(tǒng)交付給核電廠后，在運行及維護期間，如有必要，配合核電廠進行相關(guān)的風(fēng)險及安全防范管控的再評估。

3.10　變更活動

若核電廠對核電儀控系統(tǒng)有變更活動計劃，應(yīng)基于風(fēng)險評估考慮其對安全防范的影響并進行文檔記錄。公司將根據(jù)該變更活動計劃評估和影響分析文件，對涉及的核電儀控系統(tǒng)進行再評估，并以文件記錄。

3.11　退役活動

若供貨的核電儀控系統(tǒng)進入退役階段，且仍有所供貨的相關(guān)核電儀控系統(tǒng)在運，公司將保證避免該系統(tǒng)的敏感信息泄露。

4　結(jié)論

本文針對核電DCS網(wǎng)絡(luò)安全管理相關(guān)要求的研究分析，結(jié)合核電DCS開發(fā)過程的活動特點，將企業(yè)安全質(zhì)量環(huán)境管理體系進行融合，形成了一種核電DCS網(wǎng)絡(luò)安全管理的方法。經(jīng)過多年實踐檢驗，該方法可以有效對核電DCS網(wǎng)絡(luò)安全實施全生命周期管控，確保了DCS系統(tǒng)及其相關(guān)網(wǎng)絡(luò)安全防護產(chǎn)品的質(zhì)量和可信性，增強了核電供應(yīng)鏈安全，為核電廠網(wǎng)絡(luò)安全防護水平提升提供了支撐。

作者簡介：

顏元超（1987-），男，江蘇人，工程師，學(xué)士，現(xiàn)就職于中廣核數(shù)字科技有限公司，主要從事核電站網(wǎng)絡(luò)安全總體設(shè)計工作。

參考文獻：

[1] 關(guān)于進一步加強核電運行安全管理的指導(dǎo)意見，發(fā)改能源 [2018] 765號.

[2] 電力監(jiān)控系統(tǒng)安全防護規(guī)定 (國家發(fā)改委2014年第14號令).

[3] 電力監(jiān)控系統(tǒng)安全防護總體方案 (國能安全〔2015〕36號文).

[4] 電力行業(yè)網(wǎng)絡(luò)安全管理辦法 (國能發(fā)安全規(guī)〔2015〕100號文).

[5] 電力行業(yè)網(wǎng)絡(luò)安全等級保護管理辦法 (國能發(fā)安全規(guī)〔2022〕101號文).

[6] Regulator Guide 1.152, "CRITERIA FOR USE OF COMPUTERS IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS", July 2011, Revision 3.

[7] 錢單. RG5.71導(dǎo)則在國內(nèi)核設(shè)施網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用探討[J]. 科技傳播, 2018, 10 (5) : 129 - 130.

[8] 美國核監(jiān)管委員會. 核設(shè)施的網(wǎng)絡(luò)安全程序: RG5.71[S]. 2010．

[9] IEC 62645, Nuclear power plants–Instrumentation and control systems–Requirements for security programmes for computer-based systems, Edition 1.0 2014 - 08

[10] GB/T 43532-2023, 核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控[S].

[11] 上官斌, 張睿瓊, 張黎明, 等. 核電廠數(shù)字化儀控系統(tǒng) (DCS) 工程科學(xué)管理體系[C]. 全國電力行業(yè)企業(yè)現(xiàn)代化管理創(chuàng)新5年經(jīng)典案例集, 2015 : 547 - 550.

[12] 王慧. 計算機控制系統(tǒng) (第二版) [M]. 北京: 化學(xué)工業(yè)出版社, 2005.

[13] 李正軍, 計算機控制系統(tǒng)[M]. 北京: 機械工業(yè)出版社, 2005.

 [14] 王錦標(biāo), 計算機控制系統(tǒng)[M]. 北京: 清華大學(xué)出版社, 2005.

[15] 景陽. 核電數(shù)字化分布式儀控系統(tǒng)研制進度風(fēng)險管理研究[D]. 北京: 中國科學(xué)院大學(xué), 2017.

摘自《自動化博覽》2024年9月刊