★中广核数字科技有限公司颜元超，张宏亮，黄启清,禇瑞，农政林

关键词：核电；DCS；全生命周期；网络安全；安全质量

近年来，随着国内外网络安全形势的发展，网络空间已经成为继海、陆、空、天之后的第五疆域，成为新形势下国家安全的重要组成部分，国与国之间的网络安全竞争形势复杂且严峻。从国家战略层来看，工业产业现代化的发达程度体现了一个国家核心竞争力，为此我国较早提出了工业化与信息化融合发展战略并持续开展产业结构调整和升级转型，国内工业控制系统的网络化、智能化水平稳步提升。在复杂安全威胁态势下，数字化控制系统（Digital Control System，DCS）作为核电厂重要的工业控制系统，在深入发展中享受着数字信息开放、互联互通技术带来的生产效率提高与竞争实力增强，但其面临的网络安全风险也逐渐凸显。国家部委高度重视网络安全工作，并针对电力行业出台了一系列相关管理规定、办法和指导文件，为电力行业信息网络安全提供了有效的指导。核电是清洁的典型代表，核电厂规划、建造、运营等活动不仅要遵守电力行业法规标准，同时要遵守核电行业相关法律法规，相关监管要求严格。核电厂DCS是国家重要的关键信息基础设施之一，其网络安全工作备受关注，虽然国家发布了电力行业信息网络安全相关指导，但如何做好核电DCS网络安全管理工作尚未有较好的方法。

网络安全问题是技术因素、人员因素和管理因素的综合，是人员、管理与技术三者互动的结果。统计结果表明，网络安全事故中只有20%~30%是因黑客入侵或其他外部原因造成的，而70%~80%是由于管理因素或人员因素（例如内部员工的疏忽，或有意泄密）造成的，网络安全问题实际上大多都是人的问题。2018年国家发改委在《关于进一步加强核电运行安全管理的指导意见》^[1]通知中提出：“将网络安全纳入核电安全管理体系，加强能力建设，保障核电厂网络安全。”因此，本文对核电领域数字化仪控系统网络安全相关标准开展了分析，提炼出针对数字化仪控网络安全管理相关要求，并基于核电厂仪表与控制系统网络安全防范控制管理框架，将网络安全管理要求与企业DCS开发过程进行融合，提出了一种核电DCS网络安全管理的方法。采用该方法对核电DCS网络安全实施全生命周期管控，可有效提高DCS系统产品可信性、增强核电DCS企业的网络安全管理能力、降低供应链网络安全风险、提升核电厂网络安全防护水平。

1　国内外网络安全法规标准管理要求

1.1　国内网络安全相关要求

我国针对信息网络安全工作先后颁布了一系列的指导文件和法规标准，例如1999年国家标准《GB17859-1999计算机信息系统安全保护等级划分准则》发布；2014年发改委发布了14号令《电力监控系统安全防护规定》，提出电力监控系统应坚持十六字方针原则“安全分区、网络专用、横向隔离、纵向认证”，以保障电力监控系统的网络安全^[2]；2015年能源局发布了国能安全[2015]36号文《电力监控系统安全防护总体方案》，该方案细化了十六字方针原则，定义了电力监控系统通用、专用的安全防护技术与设备，确定了针对电力监控系统的安全防护体系总体框架，提出了发电厂、变电站等的电力监控系统安全防护方案及电力监控系统安全防护评估规范^[3]；2022年能源局发布了《电力行业网络安全管理办法（国能发安全规〔2022〕100号）》，给出了电力行业网络与网络安全的监督管理要求，明确了电力行业建立健全网络与网络安全保障体系和工作责任体系^[4]；同年，能源局发布了《电力行业网络安全等级保护管理办法（国能发安全规〔2022〕101号）》，提出了规范电力行业安全等级保护管理、提高电力信息系统安全保障能力和水平的相关要求及工作指导^[5]。上述指导文件涉及总体目标、安全分区、等级划分、网络架构、组织机构、管理措施、技术措施、整改计划等方面。

我国网络安全法规标准要求的核心内容为等级保护要求，安全要求类分技术要求和管理要求。2019年《GB/T22239-2019网络安全技术-网络安全等级保护基本要求》发布，其中安全控制域10个主要包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理，其中等保四级安全控制点数量为250个，管理要求占比达50%。安全等级保护等保四级要求概览图如图1所示。

图1  我国安全等级保护等保四级要求概览图

1.2　RG1.152导则要求分析

美国核管理委员会（NRC）按照《联邦法规》10 CFR50.34、10 CFR50.55a、CRF50附录A（GDC）、CRF50附录B（QC）相关要求，针对核电安全相关和安全重要系统提出了确保系统和功能可靠性的管理目标，明确在系统设计中应考虑诸如系统级设计特征、多样性和纵深防御以及确定性设计等因素。核管理委员会通过RG1.152（Regulator Guide1.152“CRITERIA FOR USE OF COMPUTERS IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS”）导则^[6]，提出了关于促进功能高可靠性、设计质量、安全开发和运行环境（SDOE）的规定在核电厂安全系统中使用数字计算机的方法。

RG1.152导则描述了在数字安全系统生命周期内设计和开发阶段建立安全环境的相关指导，确保了数字安全系统的可靠运行。针对数字安全系统保护的安全开发和运行环境，RG1.152要求数字安全系统开发过程应识别和缓解数字安全系统生命周期各阶段内可能降低SDOE或系统可靠性的潜在缺陷和漏洞，其中系统生命周期应包括概念、需求、设计、实施、测试、安装、检查和验收测试、运行、维护、退役等阶段。

1.3　RG5.71导则要求分析

美国核管会根据联邦法规中对于计算机、通信系统和网络的保护需求，针对核设施制定了计算机网络安全方面的导则“REGULATORY GUIDE5.71，Cyber Security Programs for Nuclear Facilities”（简称：RG5.71导则）。RG5.71导则提出了针对核设施网络安全的监管要求，并从组织机构、技术、运行和管理等方面给出了针对信息网络的威胁、漏洞和攻击需要采取的管理对策和网络安全防护技术^[7,8]。

RG5.71要求核设施建立相应的网络安全大纲以描述如何执行信息网络安全相关法律、法规的要求，使核设施关键数字计算机、通信系统和网络受到充分保护，避免这些系统、设备受到网络攻击。网络安全大纲应包含：关键数字资产的识别、网络安全大纲实施维护、网络安全设计、纵深防御策略、文档化管理制度、安全意识培训、网络安全风险评估和管理、配置管理和文档管理等要素。

（1）组织机构方面，RG5.71描述了应建立一个网络安全团队，确定其角色、职责、授权和职能关系，其中包括网络安全高级主管人员、网络安全负责人、网络安全专家等。

（2）技术控制方面，RG5.71描述了应在识别关键数字资产（critical digital assets，CDA）的基础上，采取纵深防御策略，建立网络安全分区，控制数据流向，并在边界上采用防御措施等技术措施。同时，导则提出了一系列包括访问控制、审计和问责、通信保护、识别和认证、系统加固、操作控制等综合防护控制措施。

（3）管理控制方面，RG5.71针对系统服务和采购、持续监测和安全评估、策略和规程、变更控制、记录保留及处理等系统生命周期管理方面提出了相关监管要求。

1.4　IEC62645标准要求分析

IEC62645为核电基于计算机的I&CCB&HPD系统有效安全计划的开发和管理制定了要求并提供了指导。该标准主要目标是定义纲领性措施，以预防、检测和应对数字化手段对基于计算机的设备装置（I&C CB&HPD）发起的恶意网络攻击行为，包括由以下行为造成的任何危险情况、设备损坏或电站性能退化：

（1）影响系统完整性的恶意修改；

（2）可能危害所需I&CCB&HPD功能的交付和执行的对信息、数据或资源的恶意干扰；

（3）可能危害操作员显示器或导致I&CCB&HPD系统管理丧失的对信息、数据或资源的恶意干扰；

（4）在可编程逻辑控制器（programmable Logic Controller，PLC）级别对硬件、固件或软件的恶意修改。

该标准提出了按照安全类别开展网络安全等级划分的方法，主要包括：（1）对于处理安全A类功能的I&C系统，将其网络安全等级划分为S1级；（2）对于处理安全B类功能以及需要实时操作的I&C系统，将其网络安全等级划分为S2级；（3）对于辅助电厂运行和维护的I&C系统，将其网络安全等级划分为S3级。同时，该标准主要从核电厂安全计划、系统安全生命周期的实施、安全防范领域三个方面提出了管理要求，标准整体框架如图2所示。

图2 IEC 62645总体框架示意图

（1）要求制定和管理核电厂I&C CB&HPD系统安全计划，包括制定计划、实施和运行计划、监控和审查计划、维护和改进计划；

（2）要求对I&C CB&HPD系统安全生命周期实施管理，包括需求活动、设计活动、实施活动、验证活动、安装和验收测试活动、运行和维护活动、变更管理、退役活动；

（3）要求开展安全防范领域管理措施，主要包括安全政策、管理安全、资产管理、人力资源安全、物理与环境安全、通信与运行管理、访问控制、I&C系统采购开发和维护、I&C安全事件管理、运行连续性管理、合规性。

1.5　核电厂仪表与控制系统网络安全防范控制相关要求分析

GB/T 43532-2023《核电厂仪表和控制系统网络安全防范管控》^[10]规定了核电厂仪表和控制系统网络安全防范管控目录，并供用户进行选择和应用，从而防止、检测和应对针对数字化仪表和控制系统的计算机网络攻击。该文件适用于生命周期内的所有新建核电厂数字化仪控系统的设计，以及现有核电厂仪控系统的更新或改造。范围涉及核电厂仪控系统的整个范围，包括安全级和非安全级系统，也包括属于仪控系统管控回路的传感器、执行器和电气系统。

该标准从网络安全策略、网络安全组织、人力资源安全、资产管理、访问控制、密码、物理和环境安全、操作安全、通信安全、系统获取开发和维护、供应商关系、网络安全事件管理、业务连续性管理的网络安全、符合性等方面给出了指导。

《核电厂仪表与控制系统网络安全防范控制》中提出了针对仪控平台和仪控系统本体网络安全防范管控的选择方法和执行过程，并给出核电厂仪控系统的预期环境进行初步威胁和风险评估，简要流程图如图3所示。

图3 仪控系统初步威胁和风险评估流程示意图

2　DCS系统与安质环体系

2.1　DCS系统简介

数字化仪控系统^[11-14]属于专用计算机系统，其主要为嵌入式系统，现已成为工业领域的重要组成部分。数字化仪控系统是随着计算机技术的发展而不断发展的。上世纪70年代，集成电路技术的高速发展，使计算机性能提升和价格降低，并得到了广泛推广，DCS也应运而生。DCS以计算机技术为基础，综合了工业过程控制、网络通信和人机交互技术，具有集中监视显示操作和分散式采集、控制的特点。

核电厂数字化控制系统是分布式控制系统的一种，它是由一定数量、功能不同（模拟量输入/输出、数字量输入/输出、各类通信、主处理等主要功能）的硬件板卡/模块构成的控制站系统（Level1），以及由服务器、工程师站、操纵员站等商用计算机构成的人机交互系统（Level2），负责核电厂的现场仪表信息采集与执行器控制功能，是核电厂反应堆的“神经中枢”。在产品研发和工程设计无缺陷、现场操作使用符合规程的情况下，核电厂数字化控制系统可以为现场维护人员和操纵员提供实时、简洁和准确的反应堆运行状态信息，现场维护人员或操纵员可根据这些运行状态信息，开展日常维护、故障恢复、监视控制等活动。

图4 典型DCS的结构图

核电行业内主流的核电厂数字化控制系统，主要有欧洲（阿海珐、西门子）的Teleperm-XS与Teleperm-XP，以及美国西屋AP1000核电系列的代表CommonQ+Ovation。数字化控制系统在我国核电厂的应用情况呈现多样化状态。国内三代先进压水堆机组的非安全级数字化控制系统已经开始应用我国自主产品，但大多数已建成的核电厂采购的数字化控制系统，还均来自于国外企业。2010年伊朗核电厂遭受“震网”病毒攻击，该病毒针对西门子的PLC进行了定向网络安全攻击，造成该核电厂离心机被损坏。“震网病毒”对于伊朗核电厂离心机设备的攻击案例，给核电领域敲响了警钟，使得核电领域从业人员意识到网络攻击威胁的严重性和网络安全的重要性。

2.2　DCS系统全周期过程活动

核电DCS系统全生命周期涉及研发、验证、采购、制造、工程设计、集成装配、FT/FAT、发运/交付、改造/维护等活动，每个阶段均需要对安全、质量、环境开展管控。主要活动流程如图5所示。

图5 核电DCS全生命周期过程活动示意图

2.3　安全、质量、环境管理体系

按照GB/T 19001-2016、GB/T 24001-2016、GB/T 45001-2020建立以过程为基础的安质环一体化管理体系，按照“P-D-C-A”的方法，系统地识别、策划和管理公司的各个过程，建立程序和相关制度，并根据需要形成文件。当公司的业务、组织机构、外部环境、安质环管理方针、管理目标等发生重大变化时，总经理部组织对安质环一体化管理体系重新策划，做出相应变更，在体系策划和实施时要考虑变更的目的及其潜在后果，确保体系的完整性、资源的可获得性、责任和权限的分配或再分配。针对核电的产品和服务的设计和制造活动，在GB/T 19001-2016质量管理体系的基础上，参考HAF003和相关核安全法规的部分规定，确保满足各相关法规和标准对核电产品全生命周期的质量管理和控制要求。

公司产品实现过程包括：销售过程、产品研发过程、采购过程、制造过程、工程设计过程、运维服务等主要过程；支持过程包括：文件管理、记录管理、内部审核、管理评审、过程监视和测量、数据分析、培训等过程。各个主要过程及其相关关系如图6所示。

图6 安全质量环境各主要过程关系示意图

根据业务（包括工业自动控制系统、核电电气仪控系统等）活动的研发、设计、生产、集成、技术服务和运维服务的特点，确定上述一体化管理体系所需的过程及其在组织中的应用，以及伴随发生的风险因素和影响：

（1）确定这些过程所需的输入和期望的输出；

（2）（2）确定这些过程的顺序和相互作用；

（3）确定和应用所需的准则和方法，以确保这些过程的有效运行和控制；

（4）确定这些过程所需的可以获得的资源；

（5）分配这些过程的职责和权限；

（6）按照要求应对风险和机遇；

（7）评价这些过程，实施所需的变更，以确保实现这些过程的预期结果；

（8）改进过程和质量管理体系。

与此同时，制定并实施《项目过程控制程序》《设计和开发控制程序》，以规定和控制软件、硬件、结构件以及系统产品的研发过程和工程设计过程，确保产品满足顾客及各相关方的要求。

3　核电DCS网络安全管理方法

基于核电DCS全生命周期的网络安全实践，与安全、质量、环境管控体系进行融合，形成针对核电DCS网络安全的管理方法。

3.1　系统需求阶段

一般由买方或买方指定的设计方提出核电厂仪控系统的安全防范的相关要求，包括并不限于电厂营运单位的安全防范大纲和网络安全防范的各种良好实践，作为后续各阶段的设计输入和参考依据。

3.2　系统设计阶段

针对系统设计输入中网络安全的需求进行分析，结合网络安全风险评估报告、网络安全良好实践和经验反馈，进行适用性分析和系统设计，并识别出产品和系统中需要增补开发/改进的需求，进行产品的研发和升级，满足仪控系统产品和系统网络安全要求，包括：（1）进行安全防范方面的适应性分析并编制适用性分析报告；（2）按照《工程设计控制程序（安全级）》和《工程设计控制程序》，设计人员进行需求分析、系统架构设计及功能分析工作；（3）识别出产品研发的需求，在网络安全方面进行产品的总体设计；（4）网络安全小组组织对总体设计方案进行专项评估，确保设计方案满足网络安全的要求。

3.3　软硬件需求阶段

根据系统设计阶段的输出，对网络安全在系统硬件和应用软件功能进行分析，设计人员按照《工程设计控制程序（安全级）》和《工程设计控制程序》，提出软硬件产品的需求并开展设计工作。

3.4　软硬件详细设计及实现阶段

详细设计阶段主要包括工程硬件设计和工程软件设计两部分工作，按照《工程设计控制程序（安全级）》和《工程设计控制程序》具体执行；根据上一阶段分解任务，进行软硬件单产品的网络安全方面的详细设计和实现。

3.5　采购活动

采购管理方面，为了保证所采购的物项能满足网络安全产品设计和制造的需要，对采购控制如下：凡是对网络安全设计和制造质量有影响的物项的采购都必须事先制定采购文件，在采购文件中应包括网络安全产品的有关要求、设计基准、标准、技术规格书以及所必须的其他要求，对采购物项和服务进行质量控制。

（1）自产品固件（含测试固件、最终固件）受控发布；

（2）涉及固件下载芯片从库房出库并记录齐全；

（3）生产过程下载固件所需电脑、各种移动介质等工具均通过公司统一采购，并合格入库，领用记录齐全；

（4）电脑、各种移动介质等需要定期由专业人员进行病毒消杀；

（5）下载固件所需网络需与公司办公互联网独立设置。

3.6　厂内系统集成活动

为了保证系统集成和装配阶段能满足网络安全的要求，如环境防护、工装防护、下装工具等方面，企业按照《设备装配和系统集成工作流程》执行该阶段的工作。

3.7　确认及验收测试活动

对上游设计输入及脆弱性评估进行分析，制定测试程序及用例，验证软硬件集成后的仪控系统满足上游设计输入及脆弱性评估要求。测试人员开展网络安全相关的测试与验证活动，并提供设计验证结果。

3.8　现场安装活动

系统集成人员负责核电现场仪控设备硬件的安装复原、改造工作；软件安装和升级工作由测试专业人员完成。完成后，需要确认符合电厂特定的策略、程序以及仪控系统安全防范计划。

3.9　运行及维护活动

企业将核电仪控系统交付给核电厂后，在运行及维护期间，如有必要，配合核电厂进行相关的风险及安全防范管控的再评估。

3.10　变更活动

若核电厂对核电仪控系统有变更活动计划，应基于风险评估考虑其对安全防范的影响并进行文档记录。公司将根据该变更活动计划评估和影响分析文件，对涉及的核电仪控系统进行再评估，并以文件记录。

3.11　退役活动

若供货的核电仪控系统进入退役阶段，且仍有所供货的相关核电仪控系统在运，公司将保证避免该系统的敏感信息泄露。

4　结论

本文针对核电DCS网络安全管理相关要求的研究分析，结合核电DCS开发过程的活动特点，将企业安全质量环境管理体系进行融合，形成了一种核电DCS网络安全管理的方法。经过多年实践检验，该方法可以有效对核电DCS网络安全实施全生命周期管控，确保了DCS系统及其相关网络安全防护产品的质量和可信性，增强了核电供应链安全，为核电厂网络安全防护水平提升提供了支撑。

作者简介：

颜元超（1987-），男，江苏人，工程师，学士，现就职于中广核数字科技有限公司，主要从事核电站网络安全总体设计工作。

参考文献：

[1] 关于进一步加强核电运行安全管理的指导意见，发改能源 [2018] 765号.

[2] 电力监控系统安全防护规定 (国家发改委2014年第14号令).

[3] 电力监控系统安全防护总体方案 (国能安全〔2015〕36号文).

[4] 电力行业网络安全管理办法 (国能发安全规〔2015〕100号文).

[5] 电力行业网络安全等级保护管理办法 (国能发安全规〔2022〕101号文).

[6] Regulator Guide 1.152, "CRITERIA FOR USE OF COMPUTERS IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS", July 2011, Revision 3.

[7] 钱单. RG5.71导则在国内核设施网络安全领域的应用探讨[J]. 科技传播, 2018, 10 (5) : 129 - 130.

[8] 美国核监管委员会. 核设施的网络安全程序: RG5.71[S]. 2010．

[9] IEC 62645, Nuclear power plants–Instrumentation and control systems–Requirements for security programmes for computer-based systems, Edition 1.0 2014 - 08

[10] GB/T 43532-2023, 核电厂仪表和控制系统网络安全防范管控[S].

[11] 上官斌, 张睿琼, 张黎明, 等. 核电厂数字化仪控系统 (DCS) 工程科学管理体系[C]. 全国电力行业企业现代化管理创新5年经典案例集, 2015 : 547 - 550.

[12] 王慧. 计算机控制系统 (第二版) [M]. 北京: 化学工业出版社, 2005.

[13] 李正军, 计算机控制系统[M]. 北京: 机械工业出版社, 2005.

 [14] 王锦标, 计算机控制系统[M]. 北京: 清华大学出版社, 2005.

[15] 景阳. 核电数字化分布式仪控系统研制进度风险管理研究[D]. 北京: 中国科学院大学, 2017.

摘自《自动化博览》2024年9月刊