AP1000数字化仪控系统病毒防护分析
2014-06-25吴洋
摘要:AP1000核电站仪控系统采用了基于计算机的数字化仪控平台实现,仪控系统对核电站安全稳定运行起着举足轻重的作用,然而病毒防护又是仪控系统安全运行的一个重要方面。文章主要从技术上分析AP1000病毒预防的设计措施,并提出通过管理手段进一步实现计算机网络安全的方法,为仪控系统的安全稳定运行提供有力保障。
关键词:AP1000;计算机病毒;单向数据传输;网闸
中图分类号:TK323 文献标识码:A 文章编号:1009-2374(2013)13-0041-03
计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码(以下简称病毒)。病毒具有繁殖性、传染性、潜伏性、隐蔽性、破坏性、可触发性等特点。由于计算机科学技术的发展,病毒也在不断地演变和发展,新病毒的出现更具智能性、隐蔽性、多样性、破坏力强等特点,这给企业病毒预防带来了更高的挑战。
由于数字化仪控系统的先进性,现代核电使用基于计算机的数字化仪控系统已是必然,AP1000同样使用了基于计算机系统的控制平台,如何才能防止病毒攻击,保证仪控系统和核电站安全稳定运行,这是使用全厂数字化仪控系统所面临的问题,伊朗布什尔核电站由于受到病毒攻击而推迟发电,这样的消息让人感到震惊和反思。美国核管会于2009年3月也升版计算机及网络安全相关的法规10CFR73.54。
为了更好地使电站安全稳定运行,AP1000从设计角度采用了分层的仪控系统网络结构、计算机集中布置管理、设置域安全服务器、设置病毒服务器、单向数据传输等多项措施避免仪控计算机受到病毒的危害,并提出通过管理手段更好地保证仪控系统安全稳定运行。
1 病毒防护措施
1.1 仪控系统的层级结构设计
AP1000仪控系统从功能上可分为保护和控制两大块,而控制系统主要基于Ovation平台实现,主要系统是电厂控制系统采取分层结构设计,处于最里面的第四层,是电厂的保护和控制的主要组成部分,其中PMS和PLS的设备处于这一层,这些设备布置在电厂的重要保护区域,对此区域的人员进出实施严格控制,PMS和PLS之间的数据通信采用单向传输,数据只能从PMS流向PLS,避免非安全系统受到破坏而影响安全系统的正常功能;第三层为电厂支持层,主要包括应急运行设施、资产管理、关键通信等系统,与第四层的接口也是采用单向数据传输,通过Ovation的企业数据服务器实现,由此避免第三层数据反向流入第四层;第二层主要是办公局域网等网络,可以从第三层获取数据,以支持电厂管理维护的需求,同样地采取单向数据传输措施,第二层不能向第三层写数据,第一层是最外面一层,可直接和英特网进行数据交换,只需设置防火墙、安装杀毒软件等措施即可。
1.2 详细的设计实现
基于Common Q平台实现的保护系统和基于Ovation平台实现的控制系统处于第四层,这些设备都布置在电厂重要保护区域,在附属厂房专门设置四个房间放置PMS四个序列机柜,而Ovation的服务器及交换机都放置在附属厂房两个隔离的计算机房间,此区域未经授权不许进入,数据只能从安全级的保护系统流向非安全级的控制系统,单向数据传输可以避免数据倒流从而非安全级系统影响安全级系统功能,第四层中设备端口都经过严格定义,不使用的端口使之失效定义为“Disable”,远程登录、无线登录、邮件系统等功能都禁止使用,这些措施使得第四层设备受到病毒危害的风险降至最低,它与第三层的接口是通过Ovation的企业数据服务器(Enterprise Data Server,EDS)实现。
第三层包括应急响应设施、关键通信系统、剂量管理、资产管理、外围数据收集等网络,应急响应设施包括技术支持中心、运行支持中心、应急运行设施等,这些设备从第四层Ovation的企业数据服务器(EDS)获取数据,数据单向传输,应急响应设施为电厂应急情况时提供电站参数信息显示,帮助应急人员了解电站状况,而通信系统、资产管理等相对仪控系统比较独立,不会影响仪控系统功能,就不再作介绍,另外第三层与第二层之间的接口需设置防火墙,且使用De-Militarized Zone (DMZ)提供数据缓冲,建立认证机制,避免第二层网络非法数据进入第三层,保证更低一级的网络不影响更高一级网络的运行。
第二层为公司办公局域网,包括模拟机、电厂电话广播系统等,由电厂IT部门按照公司管理要求建立病毒预防措施,第二层与第一层之间需设置不同于第三层与第二层之间的防火墙。1.3 安全系统向非安全系统传输数据
安全系统通过维护测试面板的PC节点盒收集Common Q数据,然后发送到Ovation工作站,Ovation工作站将数据收集转化为Ovation数据格式后广播到Ovation网络,PC节点盒只设置数据发送端,无接收端,它们之间通过光电转换实现电气隔离,Ovation端的发送端不连接且配置为“Disable”,由此实现数据的单向传输,安全系统端设备采用1E电源供电,非安全系统设备采用非1E级电源供电,非安全级系统的故障将不会影响安全系统的正常工作,1.4 通过企业数据服务器实现数据单向传输
仪控系统与外部系统存在物理连接的唯一途径是通过Ovation系统的企业数据服务器(EDS),也正是通过EDS服务器把控制系统数据导出供其他外部用户使用,数据传输单向,扫描服务器将数据收集后以UDP数据包方式发送给Waterfall发送端,Waterfall发送端通过加密协议将数据传输给Waterfall接收端,而Waterfall接收端不会向Waterfall发送端发送数据,Waterfall发送端也不会接收任何Waterfall接收端的数据,由此实现了数据单向传输。
另外根据国家电力监管委员会发布的《电力二次系统安全防护规定》(电监会5号令)的要求:“在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。”所以经过EDS出来的数据如果进入其他系统,还需再设置一个隔离网闸。
1.5 其他病毒预防措施
1.5.1 设备布置。结合电厂的实物保护系统,将第四层的重要设备布置在电厂重要保护区域,对于Ovation平台,采取主机与附属设备分离布置的设计方法,主机布置在附属厂房专门设置的计算机房间,而操作员站仅仅放置鼠标键盘显示器等附属设备,具体实现方式如图6所示,这种设计理念的好处是:将带有USB接口及光驱的主机集中统一管理,此区域严加管控,使用视频监视、机柜门报警、无授权人员不准进入等措施;而操作员站仅仅包含显示器、鼠标、键盘等终端设备,它们通过KVM(Keyboard、Video、Mouse)转换的方式与主机连接,在人员活动相对较多的操作员站未设置主机与交换机等相关设备,减少人员随意使用U盘,随意将其他计算机接入仪控系统,由此减少遭受病毒传染的风险,又给管理带来方便,只需对两个计算机房间加强管理就可以达到目的,然而计算机房间人员活动较少,容易管理,而操作员站人员相对较多的地方只布置终端,不会形成病毒危害风险。
1.5.2 域控制器。设置了对整个Ovation系统进行整体控制的域控制器,使用域的概念对实时网络中的计算机和用户进行统一管理,Ovation所有Drop都必须先在域中注册,且对每个计算机权限都进行严格定义,为不同的角色定义不同的操作权限,也可以限制用户的非法行为,是实现Ovation平台安全的重要设计方式。
1.5.3 病毒服务器。AP1000设置了基于windows系统的病毒服务器,此服务器安装了卡巴斯基杀毒软件,对Ovation网络上的服务器及交换机进行实时监视和保护,一旦发现存在危险将自动进行隔离和修复,并提供报告支持进一步的采取措施。
1.5.4 运行维护管理措施。以上措施是从设计的技术角度考虑如何实现病毒的预防,这是从源头本质安全的角度考虑如何保护仪控系统,但是光有技术措施还不够,还应该从管理角度发布管理程序和采取一些必要措施,规范仪控系统的维护与使用行为,形成一整套有效的管理机制,牢牢保护仪控系统安全稳定运行,就像一个无形的保护墙,将一系列不安全的行为拒之门外,由此提出通过管理程序的方式规范仪控系统的操作行为,管理程序至少包含以下三个方面的内容:
(1)对工作人员进行授权管理:通过培训授权的方式进行授权上岗,未经授权人员不得进入仪控系统设备间对仪控设备进行操作,对员工进行必要安全教育,加强员工安全意识,预防为主,灌输病毒防护方面的知识和理念,让员工理解病毒危害的隐蔽性及病毒预防的重要性,要求用户严格按照各自授权开展工作,在控制系统上进行工作时,需设置专人监护。
(2)对人员的行为进行管理:禁止在控制系统计算机上使用U盘、光盘、移动硬盘等存储设备,禁止在控制系统计算机内安装、运行与控制系统无关的其他软件,如有需要,必要经过严格的审批程序,除需要使用专用电脑进行调试或维护外,禁止将其他电子设备接入控制系统网络。
(3)控制系统密码管理:控制系统密码应定期进行修改,密码至少一季度修改一次,密码至少8位,不能与用户名相同,且应包括数字、字母及特殊符号,工作人员离开工程师站应登出并锁定计算机。定期对账户、口令、端口和服务等进行检查,及时清理不用的账户。
2 改进建议
尽管Ovation系统不断升级完善,已经可以满足运行控制电厂的需要,但是由于还未集成维护管理方面的功能,目前国内很多核电厂都采用其他系统加以补充,比如使用项目管理信息系统(SPMS)及电厂信息系统(Plant Information, PI)来补充完善管理方面的需要,三门核电就使用项目管理信息系统来实现设备信息管理、工器具管理、工单管理、经验反馈及状态报告等,而秦山三期和田湾核电就开发PI系统来完成运行维护中的某些功能。如果后续控制系统不断完善,能集成管理方面的功能,如重大设备性能分析、状态报告、设备运行台账、运行日志、工单系统、备品备件管理等功能模块,这就使得动态的电站控制与静态的信息相关联,形成一个强大的分布式控制系统(Distributed Control System,DCS),将会给电站的运行维护管理带来极大的方面,也是一个病毒防护的措施,将不再需要采用外部系统导出控制系统数据,从根本上实现了物理隔离,大大提高计算机网络安全,减少病毒进入带来的风险,这也给后续分布式控制系统(DCS)的发展方向提供一定参考。
3 结语
由于仪控系统在电站系统中所起的关键作用,就像人的大脑一样,它控制着整个电站的正常运行,所以保证仪控系统安全稳定运行对核电站的安全稳定运行起至关重要作用,病毒防护又是保证仪控系统稳定运行的一个非常重要的方面,所以本文主要从设计角度分析如何采取措施避免病毒入侵,这是从技术上杜绝病毒进入的方法,这些经验可为核电数字化仪控系统的设计提供一定的参考。然而实际上仪控系统病毒防护无法只通过技术实现,或者说从技术的角度并不是病毒防护的所有,所以从管理上提出要求,通过管理程序方式预防病毒,这是设计的补充,从而也形成一整套的仪控系统病毒防护机制,为核电站仪控系统的高效可靠运行提供保证,这样的思路也为数字化仪控系统的安全运行维护管理提供宝贵参考价值。
参考文献
[1] 陈才亮.DCS分散控制系统安全分析[J].煤矿现代
化,2006,(6).
[2] 周生,吴翔.SIS系统的网络安全分析及防范措施
[J].安徽电气工程职业技术学院学报,2007,(1).
[3] 顾军,缪亚民,范福平,等.AP1000核电厂系统与设备[M].北京:原子能出版社,2010.
[4] 赵静,蒋方纯,王婷.协议异常检测技术在核电厂实时信息系统中的应用.
[5] 江国进,赵静,张焕新,孙永滨.基于核电厂实时信息系统的入侵检测与管理系统.
[6] 李爽,李卓佳.核电站实物保护系统的设计过程与技术方案要素.
[7] 柴松岳.电力二次系统安全防护规定.2004.
作者简介:吴洋(1984—),男(彝族),贵州纳雍人,中核集团三门核电有限公司助理工程师,研究方向:第三代AP1000核电站数据显示与处理系统(DDS)及运行和控制中心(OCS)的调试。
(责任编辑:周 琼)
1.5 其他病毒预防措施
1.5.1 设备布置。结合电厂的实物保护系统,将第四层的重要设备布置在电厂重要保护区域,对于Ovation平台,采取主机与附属设备分离布置的设计方法,主机布置在附属厂房专门设置的计算机房间,而操作员站仅仅放置鼠标键盘显示器等附属设备,具体实现方式如图6所示,这种设计理念的好处是:将带有USB接口及光驱的主机集中统一管理,此区域严加管控,使用视频监视、机柜门报警、无授权人员不准进入等措施;而操作员站仅仅包含显示器、鼠标、键盘等终端设备,它们通过KVM(Keyboard、Video、Mouse)转换的方式与主机连接,在人员活动相对较多的操作员站未设置主机与交换机等相关设备,减少人员随意使用U盘,随意将其他计算机接入仪控系统,由此减少遭受病毒传染的风险,又给管理带来方便,只需对两个计算机房间加强管理就可以达到目的,然而计算机房间人员活动较少,容易管理,而操作员站人员相对较多的地方只布置终端,不会形成病毒危害风险。
1.5.2 域控制器。设置了对整个Ovation系统进行整体控制的域控制器,使用域的概念对实时网络中的计算机和用户进行统一管理,Ovation所有Drop都必须先在域中注册,且对每个计算机权限都进行严格定义,为不同的角色定义不同的操作权限,也可以限制用户的非法行为,是实现Ovation平台安全的重要设计方式。
1.5.3 病毒服务器。AP1000设置了基于windows系统的病毒服务器,此服务器安装了卡巴斯基杀毒软件,对Ovation网络上的服务器及交换机进行实时监视和保护,一旦发现存在危险将自动进行隔离和修复,并提供报告支持进一步的采取措施。
1.5.4 运行维护管理措施。以上措施是从设计的技术角度考虑如何实现病毒的预防,这是从源头本质安全的角度考虑如何保护仪控系统,但是光有技术措施还不够,还应该从管理角度发布管理程序和采取一些必要措施,规范仪控系统的维护与使用行为,形成一整套有效的管理机制,牢牢保护仪控系统安全稳定运行,就像一个无形的保护墙,将一系列不安全的行为拒之门外,由此提出通过管理程序的方式规范仪控系统的操作行为,管理程序至少包含以下三个方面的内容:
(1)对工作人员进行授权管理:通过培训授权的方式进行授权上岗,未经授权人员不得进入仪控系统设备间对仪控设备进行操作,对员工进行必要安全教育,加强员工安全意识,预防为主,灌输病毒防护方面的知识和理念,让员工理解病毒危害的隐蔽性及病毒预防的重要性,要求用户严格按照各自授权开展工作,在控制系统上进行工作时,需设置专人监护。
(2)对人员的行为进行管理:禁止在控制系统计算机上使用U盘、光盘、移动硬盘等存储设备,禁止在控制系统计算机内安装、运行与控制系统无关的其他软件,如有需要,必要经过严格的审批程序,除需要使用专用电脑进行调试或维护外,禁止将其他电子设备接入控制系统网络。
(3)控制系统密码管理:控制系统密码应定期进行修改,密码至少一季度修改一次,密码至少8位,不能与用户名相同,且应包括数字、字母及特殊符号,工作人员离开工程师站应登出并锁定计算机。定期对账户、口令、端口和服务等进行检查,及时清理不用的账户。
2 改进建议
尽管Ovation系统不断升级完善,已经可以满足运行控制电厂的需要,但是由于还未集成维护管理方面的功能,目前国内很多核电厂都采用其他系统加以补充,比如使用项目管理信息系统(SPMS)及电厂信息系统(Plant Information, PI)来补充完善管理方面的需要,三门核电就使用项目管理信息系统来实现设备信息管理、工器具管理、工单管理、经验反馈及状态报告等,而秦山三期和田湾核电就开发PI系统来完成运行维护中的某些功能。如果后续控制系统不断完善,能集成管理方面的功能,如重大设备性能分析、状态报告、设备运行台账、运行日志、工单系统、备品备件管理等功能模块,这就使得动态的电站控制与静态的信息相关联,形成一个强大的分布式控制系统(Distributed Control System,DCS),将会给电站的运行维护管理带来极大的方面,也是一个病毒防护的措施,将不再需要采用外部系统导出控制系统数据,从根本上实现了物理隔离,大大提高计算机网络安全,减少病毒进入带来的风险,这也给后续分布式控制系统(DCS)的发展方向提供一定参考。
3 结语
由于仪控系统在电站系统中所起的关键作用,就像人的大脑一样,它控制着整个电站的正常运行,所以保证仪控系统安全稳定运行对核电站的安全稳定运行起至关重要作用,病毒防护又是保证仪控系统稳定运行的一个非常重要的方面,所以本文主要从设计角度分析如何采取措施避免病毒入侵,这是从技术上杜绝病毒进入的方法,这些经验可为核电数字化仪控系统的设计提供一定的参考。然而实际上仪控系统病毒防护无法只通过技术实现,或者说从技术的角度并不是病毒防护的所有,所以从管理上提出要求,通过管理程序方式预防病毒,这是设计的补充,从而也形成一整套的仪控系统病毒防护机制,为核电站仪控系统的高效可靠运行提供保证,这样的思路也为数字化仪控系统的安全运行维护管理提供宝贵参考价值。
参考文献
[1] 陈才亮.DCS分散控制系统安全分析[J].煤矿现代
化,2006,(6).
[2] 周生,吴翔.SIS系统的网络安全分析及防范措施
[J].安徽电气工程职业技术学院学报,2007,(1).
[3] 顾军,缪亚民,范福平,等.AP1000核电厂系统与设备[M].北京:原子能出版社,2010.
[4] 赵静,蒋方纯,王婷.协议异常检测技术在核电厂实时信息系统中的应用.
[5] 江国进,赵静,张焕新,孙永滨.基于核电厂实时信息系统的入侵检测与管理系统.
[6] 李爽,李卓佳.核电站实物保护系统的设计过程与技术方案要素.
[7] 柴松岳.电力二次系统安全防护规定.2004.
作者简介:吴洋(1984—),男(彝族),贵州纳雍人,中核集团三门核电有限公司助理工程师,研究方向:第三代AP1000核电站数据显示与处理系统(DDS)及运行和控制中心(OCS)的调试。
(责任编辑:周 琼)
1.5 其他病毒预防措施
1.5.1 设备布置。结合电厂的实物保护系统,将第四层的重要设备布置在电厂重要保护区域,对于Ovation平台,采取主机与附属设备分离布置的设计方法,主机布置在附属厂房专门设置的计算机房间,而操作员站仅仅放置鼠标键盘显示器等附属设备,具体实现方式如图6所示,这种设计理念的好处是:将带有USB接口及光驱的主机集中统一管理,此区域严加管控,使用视频监视、机柜门报警、无授权人员不准进入等措施;而操作员站仅仅包含显示器、鼠标、键盘等终端设备,它们通过KVM(Keyboard、Video、Mouse)转换的方式与主机连接,在人员活动相对较多的操作员站未设置主机与交换机等相关设备,减少人员随意使用U盘,随意将其他计算机接入仪控系统,由此减少遭受病毒传染的风险,又给管理带来方便,只需对两个计算机房间加强管理就可以达到目的,然而计算机房间人员活动较少,容易管理,而操作员站人员相对较多的地方只布置终端,不会形成病毒危害风险。
1.5.2 域控制器。设置了对整个Ovation系统进行整体控制的域控制器,使用域的概念对实时网络中的计算机和用户进行统一管理,Ovation所有Drop都必须先在域中注册,且对每个计算机权限都进行严格定义,为不同的角色定义不同的操作权限,也可以限制用户的非法行为,是实现Ovation平台安全的重要设计方式。
1.5.3 病毒服务器。AP1000设置了基于windows系统的病毒服务器,此服务器安装了卡巴斯基杀毒软件,对Ovation网络上的服务器及交换机进行实时监视和保护,一旦发现存在危险将自动进行隔离和修复,并提供报告支持进一步的采取措施。
1.5.4 运行维护管理措施。以上措施是从设计的技术角度考虑如何实现病毒的预防,这是从源头本质安全的角度考虑如何保护仪控系统,但是光有技术措施还不够,还应该从管理角度发布管理程序和采取一些必要措施,规范仪控系统的维护与使用行为,形成一整套有效的管理机制,牢牢保护仪控系统安全稳定运行,就像一个无形的保护墙,将一系列不安全的行为拒之门外,由此提出通过管理程序的方式规范仪控系统的操作行为,管理程序至少包含以下三个方面的内容:
(1)对工作人员进行授权管理:通过培训授权的方式进行授权上岗,未经授权人员不得进入仪控系统设备间对仪控设备进行操作,对员工进行必要安全教育,加强员工安全意识,预防为主,灌输病毒防护方面的知识和理念,让员工理解病毒危害的隐蔽性及病毒预防的重要性,要求用户严格按照各自授权开展工作,在控制系统上进行工作时,需设置专人监护。
(2)对人员的行为进行管理:禁止在控制系统计算机上使用U盘、光盘、移动硬盘等存储设备,禁止在控制系统计算机内安装、运行与控制系统无关的其他软件,如有需要,必要经过严格的审批程序,除需要使用专用电脑进行调试或维护外,禁止将其他电子设备接入控制系统网络。
(3)控制系统密码管理:控制系统密码应定期进行修改,密码至少一季度修改一次,密码至少8位,不能与用户名相同,且应包括数字、字母及特殊符号,工作人员离开工程师站应登出并锁定计算机。定期对账户、口令、端口和服务等进行检查,及时清理不用的账户。
2 改进建议
尽管Ovation系统不断升级完善,已经可以满足运行控制电厂的需要,但是由于还未集成维护管理方面的功能,目前国内很多核电厂都采用其他系统加以补充,比如使用项目管理信息系统(SPMS)及电厂信息系统(Plant Information, PI)来补充完善管理方面的需要,三门核电就使用项目管理信息系统来实现设备信息管理、工器具管理、工单管理、经验反馈及状态报告等,而秦山三期和田湾核电就开发PI系统来完成运行维护中的某些功能。如果后续控制系统不断完善,能集成管理方面的功能,如重大设备性能分析、状态报告、设备运行台账、运行日志、工单系统、备品备件管理等功能模块,这就使得动态的电站控制与静态的信息相关联,形成一个强大的分布式控制系统(Distributed Control System,DCS),将会给电站的运行维护管理带来极大的方面,也是一个病毒防护的措施,将不再需要采用外部系统导出控制系统数据,从根本上实现了物理隔离,大大提高计算机网络安全,减少病毒进入带来的风险,这也给后续分布式控制系统(DCS)的发展方向提供一定参考。
3 结语
由于仪控系统在电站系统中所起的关键作用,就像人的大脑一样,它控制着整个电站的正常运行,所以保证仪控系统安全稳定运行对核电站的安全稳定运行起至关重要作用,病毒防护又是保证仪控系统稳定运行的一个非常重要的方面,所以本文主要从设计角度分析如何采取措施避免病毒入侵,这是从技术上杜绝病毒进入的方法,这些经验可为核电数字化仪控系统的设计提供一定的参考。然而实际上仪控系统病毒防护无法只通过技术实现,或者说从技术的角度并不是病毒防护的所有,所以从管理上提出要求,通过管理程序方式预防病毒,这是设计的补充,从而也形成一整套的仪控系统病毒防护机制,为核电站仪控系统的高效可靠运行提供保证,这样的思路也为数字化仪控系统的安全运行维护管理提供宝贵参考价值。
参考文献
[1] 陈才亮.DCS分散控制系统安全分析[J].煤矿现代
化,2006,(6).
[2] 周生,吴翔.SIS系统的网络安全分析及防范措施
[J].安徽电气工程职业技术学院学报,2007,(1).
[3] 顾军,缪亚民,范福平,等.AP1000核电厂系统与设备[M].北京:原子能出版社,2010.
[4] 赵静,蒋方纯,王婷.协议异常检测技术在核电厂实时信息系统中的应用.
[5] 江国进,赵静,张焕新,孙永滨.基于核电厂实时信息系统的入侵检测与管理系统.
[6] 李爽,李卓佳.核电站实物保护系统的设计过程与技术方案要素.
[7] 柴松岳.电力二次系统安全防护规定.2004.
作者简介:吴洋(1984—),男(彝族),贵州纳雍人,中核集团三门核电有限公司助理工程师,研究方向:第三代AP1000核电站数据显示与处理系统(DDS)及运行和控制中心(OCS)的调试。
(责任编辑:周 琼)
