核电工控系统运维阶段的网络安全关键技术及防护措施分析研究.pdfVIP

核电工控系统运维阶段的网络安全关键

技术及防护措施分析研究

摘要：自1990年以来，全世界已发生了近30起通过网络攻击核设施的事件。

其中，最严重的当属2010年伊朗核电站遭受的“震网”攻击事件，该事件导致

上千台离心机不可用，给核安全造成巨大的冲击。

根据《中华人民共和国网络安全法》第三章（第二节）第三十一条规定，国

家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重

要行业和领域以及其他一但遭到破坏、丧失功能或者数据泄露，可能严重危害国

家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的

基础上，实行重点保护。

为保障核电工控系统可靠、安全运行，确保其敏感数据不被篡改和泄露，规

范工业控制大区信息系统的安全管理，网络安全防护策略及技术要求以“安全分

区、网络专用、横向隔离、纵向认证”为核心，满足适度防护、纵深防御、统一

管理、技术管理并重、国产化、动态调整六大原则。

关键词：核电工控系统；网络安全；

1、华龙项目核电网络安全技术及防护方案

1.1工控网络结构

华龙项目工控系统以DCS（集散控制系统）为主，DCS按照功能不同可分为

四个层级，分别是Level0（工艺系统接口层）、Level1（自动控制和保护层）、

Level2（操作和信息管理层）、Level3(全场信息管理层)，如图1所示。其中，

Level0层包含现场变送器、执行器，可监测现场的过程参数，并根据上层设备

下发的指令控制设备；Level1层包含现场控制站、通讯站以及网关，负责

level0层的数据并进行自动保护、自动控制或信号预处理；Level2层包含各

类服务器，还有工程师站、操作员站、网关等设备，作为人机交互的接口，向操

作员提供机组运行信息，操作员在人机界面上操作，向下层发送控制信息以维持

机组的运行；Level3层负责对电厂信息进行综合处理，并将相关信息传送给应

急指挥中心、场内场外专网上的用户，该过程为单向传输。

图1工控网络结构

Level0现场数据由过程控制机柜系统进行信号分配、采集与计算，这些过

程控制机柜受数字化仪控子系统A/B/C列隔离及房间抗震要求限制，被分散安装

到不同的房间中，通过交换机组成环形结构的网络拓扑结构，即SNET网（系统

网），后经SNET网送往信息和控制系统的服务器，上传到MNET网（管理网）的

各个人机接口，与操纵员进行信息交互。其中，SNET与MNET均采用经裁剪开发

的UDP协议，交换机采用的为ERPS（以太环保护切换协议）。同时，MNET还可

通过网关从安全级DCS系统调用信息，该网关为单向网关。Level3网关需要将

DCS中的实时数据和历史数据传送到Level3应用系统，通讯协议为TCP/IP协议，

通讯链路上有单向网闸。

1.2华龙网络安全整体防护方案

根据国家信息安全等级保护有关要求，对电力监控系统的技术管理、安全管

理、保密管理以及监督管理提出了进一步要求，其主要内容是“安全分区、网络

专用、横向隔离、纵向认证”的原则。

生产控制大区可以分为控制区（安全区I）和非控制区（安全区Ⅱ），如下

图2所示。控制区是电力生产的重要环节，直接实现对电力一次系统的实时监控，

是安全防护的重点与核心。非控制区是电力生产的必要环节，在线运行但不具备

控制功能。

图2安全分区

管理信息大区是指生产控制大区以外的电力企业管理业务系统的集合，管理

信息大区的传统典型业务系统包括调度生产管理系统、行政电话网管系统、电力

企业数据网等。电力企业在不影响生产控制大区安全的前提下，可以根据各企业

不同安全要求划分安全区。

华龙项目DCS系统总体强度取决于系统中最薄弱的环节，所以在构建DCS系

统网络安全体系时采用“一个中心，三重防护”体系为基础，即以安全区域边界、

安全通信网络和安全计算环境这三个方面为工作重点进行保护，其中以计算环境

的安全为重。结合现场业务需求，构成了由安全管理中心支撑下的安全区域边界、

安全通信网络、安全计算环境所组成的三重防护体系结构的方案模型，形成DCS