今日頭條
官方微信
官方抖音
案例頻道★中廣核數(shù)字科技有限公司顏元超,張宏亮,黃啟清,禇瑞,農(nóng)政林
關(guān)鍵詞:核電;DCS;全生命周期;網(wǎng)絡(luò)安全;安全質(zhì)量
近年來,隨著國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)的發(fā)展,網(wǎng)絡(luò)空間已經(jīng)成為繼海、陸、空、天之后的第五疆域,成為新形勢(shì)下國(guó)家安全的重要組成部分,國(guó)與國(guó)之間的網(wǎng)絡(luò)安全競(jìng)爭(zhēng)形勢(shì)復(fù)雜且嚴(yán)峻。從國(guó)家戰(zhàn)略層來看,工業(yè)產(chǎn)業(yè)現(xiàn)代化的發(fā)達(dá)程度體現(xiàn)了一個(gè)國(guó)家核心競(jìng)爭(zhēng)力,為此我國(guó)較早提出了工業(yè)化與信息化融合發(fā)展戰(zhàn)略并持續(xù)開展產(chǎn)業(yè)結(jié)構(gòu)調(diào)整和升級(jí)轉(zhuǎn)型,國(guó)內(nèi)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)化、智能化水平穩(wěn)步提升。在復(fù)雜安全威脅態(tài)勢(shì)下,數(shù)字化控制系統(tǒng)(Digital Control System,DCS)作為核電廠重要的工業(yè)控制系統(tǒng),在深入發(fā)展中享受著數(shù)字信息開放、互聯(lián)互通技術(shù)帶來的生產(chǎn)效率提高與競(jìng)爭(zhēng)實(shí)力增強(qiáng),但其面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也逐漸凸顯。國(guó)家部委高度重視網(wǎng)絡(luò)安全工作,并針對(duì)電力行業(yè)出臺(tái)了一系列相關(guān)管理規(guī)定、辦法和指導(dǎo)文件,為電力行業(yè)信息網(wǎng)絡(luò)安全提供了有效的指導(dǎo)。核電是清潔的典型代表,核電廠規(guī)劃、建造、運(yùn)營(yíng)等活動(dòng)不僅要遵守電力行業(yè)法規(guī)標(biāo)準(zhǔn),同時(shí)要遵守核電行業(yè)相關(guān)法律法規(guī),相關(guān)監(jiān)管要求嚴(yán)格。核電廠DCS是國(guó)家重要的關(guān)鍵信息基礎(chǔ)設(shè)施之一,其網(wǎng)絡(luò)安全工作備受關(guān)注,雖然國(guó)家發(fā)布了電力行業(yè)信息網(wǎng)絡(luò)安全相關(guān)指導(dǎo),但如何做好核電DCS網(wǎng)絡(luò)安全管理工作尚未有較好的方法。
網(wǎng)絡(luò)安全問題是技術(shù)因素、人員因素和管理因素的綜合,是人員、管理與技術(shù)三者互動(dòng)的結(jié)果。統(tǒng)計(jì)結(jié)果表明,網(wǎng)絡(luò)安全事故中只有20%~30%是因黑客入侵或其他外部原因造成的,而70%~80%是由于管理因素或人員因素(例如內(nèi)部員工的疏忽,或有意泄密)造成的,網(wǎng)絡(luò)安全問題實(shí)際上大多都是人的問題。2018年國(guó)家發(fā)改委在《關(guān)于進(jìn)一步加強(qiáng)核電運(yùn)行安全管理的指導(dǎo)意見》[1]通知中提出:“將網(wǎng)絡(luò)安全納入核電安全管理體系,加強(qiáng)能力建設(shè),保障核電廠網(wǎng)絡(luò)安全。”因此,本文對(duì)核電領(lǐng)域數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)開展了分析,提煉出針對(duì)數(shù)字化儀控網(wǎng)絡(luò)安全管理相關(guān)要求,并基于核電廠儀表與控制系統(tǒng)網(wǎng)絡(luò)安全防范控制管理框架,將網(wǎng)絡(luò)安全管理要求與企業(yè)DCS開發(fā)過程進(jìn)行融合,提出了一種核電DCS網(wǎng)絡(luò)安全管理的方法。采用該方法對(duì)核電DCS網(wǎng)絡(luò)安全實(shí)施全生命周期管控,可有效提高DCS系統(tǒng)產(chǎn)品可信性、增強(qiáng)核電DCS企業(yè)的網(wǎng)絡(luò)安全管理能力、降低供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、提升核電廠網(wǎng)絡(luò)安全防護(hù)水平。
1 國(guó)內(nèi)外網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)管理要求
1.1 國(guó)內(nèi)網(wǎng)絡(luò)安全相關(guān)要求
我國(guó)針對(duì)信息網(wǎng)絡(luò)安全工作先后頒布了一系列的指導(dǎo)文件和法規(guī)標(biāo)準(zhǔn),例如1999年國(guó)家標(biāo)準(zhǔn)《GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》發(fā)布;2014年發(fā)改委發(fā)布了14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》,提出電力監(jiān)控系統(tǒng)應(yīng)堅(jiān)持十六字方針原則“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”,以保障電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全[2];2015年能源局發(fā)布了國(guó)能安全[2015]36號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》,該方案細(xì)化了十六字方針原則,定義了電力監(jiān)控系統(tǒng)通用、專用的安全防護(hù)技術(shù)與設(shè)備,確定了針對(duì)電力監(jiān)控系統(tǒng)的安全防護(hù)體系總體框架,提出了發(fā)電廠、變電站等的電力監(jiān)控系統(tǒng)安全防護(hù)方案及電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估規(guī)范[3];2022年能源局發(fā)布了《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(國(guó)能發(fā)安全規(guī)〔2022〕100號(hào))》,給出了電力行業(yè)網(wǎng)絡(luò)與網(wǎng)絡(luò)安全的監(jiān)督管理要求,明確了電力行業(yè)建立健全網(wǎng)絡(luò)與網(wǎng)絡(luò)安全保障體系和工作責(zé)任體系[4];同年,能源局發(fā)布了《電力行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法(國(guó)能發(fā)安全規(guī)〔2022〕101號(hào))》,提出了規(guī)范電力行業(yè)安全等級(jí)保護(hù)管理、提高電力信息系統(tǒng)安全保障能力和水平的相關(guān)要求及工作指導(dǎo)[5]。上述指導(dǎo)文件涉及總體目標(biāo)、安全分區(qū)、等級(jí)劃分、網(wǎng)絡(luò)架構(gòu)、組織機(jī)構(gòu)、管理措施、技術(shù)措施、整改計(jì)劃等方面。
我國(guó)網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)要求的核心內(nèi)容為等級(jí)保護(hù)要求,安全要求類分技術(shù)要求和管理要求。2019年《GB/T22239-2019網(wǎng)絡(luò)安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》發(fā)布,其中安全控制域10個(gè)主要包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理,其中等保四級(jí)安全控制點(diǎn)數(shù)量為250個(gè),管理要求占比達(dá)50%。安全等級(jí)保護(hù)等保四級(jí)要求概覽圖如圖1所示。
圖1 我國(guó)安全等級(jí)保護(hù)等保四級(jí)要求概覽圖
1.2 RG1.152導(dǎo)則要求分析
美國(guó)核管理委員會(huì)(NRC)按照《聯(lián)邦法規(guī)》10 CFR50.34、10 CFR50.55a、CRF50附錄A(GDC)、CRF50附錄B(QC)相關(guān)要求,針對(duì)核電安全相關(guān)和安全重要系統(tǒng)提出了確保系統(tǒng)和功能可靠性的管理目標(biāo),明確在系統(tǒng)設(shè)計(jì)中應(yīng)考慮諸如系統(tǒng)級(jí)設(shè)計(jì)特征、多樣性和縱深防御以及確定性設(shè)計(jì)等因素。核管理委員會(huì)通過RG1.152(Regulator Guide1.152“CRITERIA FOR USE OF COMPUTERS IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS”)導(dǎo)則[6],提出了關(guān)于促進(jìn)功能高可靠性、設(shè)計(jì)質(zhì)量、安全開發(fā)和運(yùn)行環(huán)境(SDOE)的規(guī)定在核電廠安全系統(tǒng)中使用數(shù)字計(jì)算機(jī)的方法。
RG1.152導(dǎo)則描述了在數(shù)字安全系統(tǒng)生命周期內(nèi)設(shè)計(jì)和開發(fā)階段建立安全環(huán)境的相關(guān)指導(dǎo),確保了數(shù)字安全系統(tǒng)的可靠運(yùn)行。針對(duì)數(shù)字安全系統(tǒng)保護(hù)的安全開發(fā)和運(yùn)行環(huán)境,RG1.152要求數(shù)字安全系統(tǒng)開發(fā)過程應(yīng)識(shí)別和緩解數(shù)字安全系統(tǒng)生命周期各階段內(nèi)可能降低SDOE或系統(tǒng)可靠性的潛在缺陷和漏洞,其中系統(tǒng)生命周期應(yīng)包括概念、需求、設(shè)計(jì)、實(shí)施、測(cè)試、安裝、檢查和驗(yàn)收測(cè)試、運(yùn)行、維護(hù)、退役等階段。
1.3 RG5.71導(dǎo)則要求分析
美國(guó)核管會(huì)根據(jù)聯(lián)邦法規(guī)中對(duì)于計(jì)算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò)的保護(hù)需求,針對(duì)核設(shè)施制定了計(jì)算機(jī)網(wǎng)絡(luò)安全方面的導(dǎo)則“REGULATORY GUIDE5.71,Cyber Security Programs for Nuclear Facilities”(簡(jiǎn)稱:RG5.71導(dǎo)則)。RG5.71導(dǎo)則提出了針對(duì)核設(shè)施網(wǎng)絡(luò)安全的監(jiān)管要求,并從組織機(jī)構(gòu)、技術(shù)、運(yùn)行和管理等方面給出了針對(duì)信息網(wǎng)絡(luò)的威脅、漏洞和攻擊需要采取的管理對(duì)策和網(wǎng)絡(luò)安全防護(hù)技術(shù)[7,8]。
RG5.71要求核設(shè)施建立相應(yīng)的網(wǎng)絡(luò)安全大綱以描述如何執(zhí)行信息網(wǎng)絡(luò)安全相關(guān)法律、法規(guī)的要求,使核設(shè)施關(guān)鍵數(shù)字計(jì)算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò)受到充分保護(hù),避免這些系統(tǒng)、設(shè)備受到網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全大綱應(yīng)包含:關(guān)鍵數(shù)字資產(chǎn)的識(shí)別、網(wǎng)絡(luò)安全大綱實(shí)施維護(hù)、網(wǎng)絡(luò)安全設(shè)計(jì)、縱深防御策略、文檔化管理制度、安全意識(shí)培訓(xùn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和管理、配置管理和文檔管理等要素。
(1)組織機(jī)構(gòu)方面,RG5.71描述了應(yīng)建立一個(gè)網(wǎng)絡(luò)安全團(tuán)隊(duì),確定其角色、職責(zé)、授權(quán)和職能關(guān)系,其中包括網(wǎng)絡(luò)安全高級(jí)主管人員、網(wǎng)絡(luò)安全負(fù)責(zé)人、網(wǎng)絡(luò)安全專家等。
(2)技術(shù)控制方面,RG5.71描述了應(yīng)在識(shí)別關(guān)鍵數(shù)字資產(chǎn)(critical digital assets,CDA)的基礎(chǔ)上,采取縱深防御策略,建立網(wǎng)絡(luò)安全分區(qū),控制數(shù)據(jù)流向,并在邊界上采用防御措施等技術(shù)措施。同時(shí),導(dǎo)則提出了一系列包括訪問控制、審計(jì)和問責(zé)、通信保護(hù)、識(shí)別和認(rèn)證、系統(tǒng)加固、操作控制等綜合防護(hù)控制措施。
(3)管理控制方面,RG5.71針對(duì)系統(tǒng)服務(wù)和采購(gòu)、持續(xù)監(jiān)測(cè)和安全評(píng)估、策略和規(guī)程、變更控制、記錄保留及處理等系統(tǒng)生命周期管理方面提出了相關(guān)監(jiān)管要求。
1.4 IEC62645標(biāo)準(zhǔn)要求分析
IEC62645為核電基于計(jì)算機(jī)的I&CCB&HPD系統(tǒng)有效安全計(jì)劃的開發(fā)和管理制定了要求并提供了指導(dǎo)。該標(biāo)準(zhǔn)主要目標(biāo)是定義綱領(lǐng)性措施,以預(yù)防、檢測(cè)和應(yīng)對(duì)數(shù)字化手段對(duì)基于計(jì)算機(jī)的設(shè)備裝置(I&C CB&HPD)發(fā)起的惡意網(wǎng)絡(luò)攻擊行為,包括由以下行為造成的任何危險(xiǎn)情況、設(shè)備損壞或電站性能退化:
(1)影響系統(tǒng)完整性的惡意修改;
(2)可能危害所需I&CCB&HPD功能的交付和執(zhí)行的對(duì)信息、數(shù)據(jù)或資源的惡意干擾;
(3)可能危害操作員顯示器或?qū)е翴&CCB&HPD系統(tǒng)管理喪失的對(duì)信息、數(shù)據(jù)或資源的惡意干擾;
(4)在可編程邏輯控制器(programmable Logic Controller,PLC)級(jí)別對(duì)硬件、固件或軟件的惡意修改。
該標(biāo)準(zhǔn)提出了按照安全類別開展網(wǎng)絡(luò)安全等級(jí)劃分的方法,主要包括:(1)對(duì)于處理安全A類功能的I&C系統(tǒng),將其網(wǎng)絡(luò)安全等級(jí)劃分為S1級(jí);(2)對(duì)于處理安全B類功能以及需要實(shí)時(shí)操作的I&C系統(tǒng),將其網(wǎng)絡(luò)安全等級(jí)劃分為S2級(jí);(3)對(duì)于輔助電廠運(yùn)行和維護(hù)的I&C系統(tǒng),將其網(wǎng)絡(luò)安全等級(jí)劃分為S3級(jí)。同時(shí),該標(biāo)準(zhǔn)主要從核電廠安全計(jì)劃、系統(tǒng)安全生命周期的實(shí)施、安全防范領(lǐng)域三個(gè)方面提出了管理要求,標(biāo)準(zhǔn)整體框架如圖2所示。
圖2 IEC 62645總體框架示意圖
(1)要求制定和管理核電廠I&C CB&HPD系統(tǒng)安全計(jì)劃,包括制定計(jì)劃、實(shí)施和運(yùn)行計(jì)劃、監(jiān)控和審查計(jì)劃、維護(hù)和改進(jìn)計(jì)劃;
(2)要求對(duì)I&C CB&HPD系統(tǒng)安全生命周期實(shí)施管理,包括需求活動(dòng)、設(shè)計(jì)活動(dòng)、實(shí)施活動(dòng)、驗(yàn)證活動(dòng)、安裝和驗(yàn)收測(cè)試活動(dòng)、運(yùn)行和維護(hù)活動(dòng)、變更管理、退役活動(dòng);
(3)要求開展安全防范領(lǐng)域管理措施,主要包括安全政策、管理安全、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、通信與運(yùn)行管理、訪問控制、I&C系統(tǒng)采購(gòu)開發(fā)和維護(hù)、I&C安全事件管理、運(yùn)行連續(xù)性管理、合規(guī)性。
1.5 核電廠儀表與控制系統(tǒng)網(wǎng)絡(luò)安全防范控制相關(guān)要求分析
GB/T 43532-2023《核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控》[10]規(guī)定了核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控目錄,并供用戶進(jìn)行選擇和應(yīng)用,從而防止、檢測(cè)和應(yīng)對(duì)針對(duì)數(shù)字化儀表和控制系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)攻擊。該文件適用于生命周期內(nèi)的所有新建核電廠數(shù)字化儀控系統(tǒng)的設(shè)計(jì),以及現(xiàn)有核電廠儀控系統(tǒng)的更新或改造。范圍涉及核電廠儀控系統(tǒng)的整個(gè)范圍,包括安全級(jí)和非安全級(jí)系統(tǒng),也包括屬于儀控系統(tǒng)管控回路的傳感器、執(zhí)行器和電氣系統(tǒng)。
該標(biāo)準(zhǔn)從網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全組織、人力資源安全、資產(chǎn)管理、訪問控制、密碼、物理和環(huán)境安全、操作安全、通信安全、系統(tǒng)獲取開發(fā)和維護(hù)、供應(yīng)商關(guān)系、網(wǎng)絡(luò)安全事件管理、業(yè)務(wù)連續(xù)性管理的網(wǎng)絡(luò)安全、符合性等方面給出了指導(dǎo)。
《核電廠儀表與控制系統(tǒng)網(wǎng)絡(luò)安全防范控制》中提出了針對(duì)儀控平臺(tái)和儀控系統(tǒng)本體網(wǎng)絡(luò)安全防范管控的選擇方法和執(zhí)行過程,并給出核電廠儀控系統(tǒng)的預(yù)期環(huán)境進(jìn)行初步威脅和風(fēng)險(xiǎn)評(píng)估,簡(jiǎn)要流程圖如圖3所示。
圖3 儀控系統(tǒng)初步威脅和風(fēng)險(xiǎn)評(píng)估流程示意圖
2 DCS系統(tǒng)與安質(zhì)環(huán)體系
2.1 DCS系統(tǒng)簡(jiǎn)介
數(shù)字化儀控系統(tǒng)[11-14]屬于專用計(jì)算機(jī)系統(tǒng),其主要為嵌入式系統(tǒng),現(xiàn)已成為工業(yè)領(lǐng)域的重要組成部分。數(shù)字化儀控系統(tǒng)是隨著計(jì)算機(jī)技術(shù)的發(fā)展而不斷發(fā)展的。上世紀(jì)70年代,集成電路技術(shù)的高速發(fā)展,使計(jì)算機(jī)性能提升和價(jià)格降低,并得到了廣泛推廣,DCS也應(yīng)運(yùn)而生。DCS以計(jì)算機(jī)技術(shù)為基礎(chǔ),綜合了工業(yè)過程控制、網(wǎng)絡(luò)通信和人機(jī)交互技術(shù),具有集中監(jiān)視顯示操作和分散式采集、控制的特點(diǎn)。
核電廠數(shù)字化控制系統(tǒng)是分布式控制系統(tǒng)的一種,它是由一定數(shù)量、功能不同(模擬量輸入/輸出、數(shù)字量輸入/輸出、各類通信、主處理等主要功能)的硬件板卡/模塊構(gòu)成的控制站系統(tǒng)(Level1),以及由服務(wù)器、工程師站、操縱員站等商用計(jì)算機(jī)構(gòu)成的人機(jī)交互系統(tǒng)(Level2),負(fù)責(zé)核電廠的現(xiàn)場(chǎng)儀表信息采集與執(zhí)行器控制功能,是核電廠反應(yīng)堆的“神經(jīng)中樞”。在產(chǎn)品研發(fā)和工程設(shè)計(jì)無缺陷、現(xiàn)場(chǎng)操作使用符合規(guī)程的情況下,核電廠數(shù)字化控制系統(tǒng)可以為現(xiàn)場(chǎng)維護(hù)人員和操縱員提供實(shí)時(shí)、簡(jiǎn)潔和準(zhǔn)確的反應(yīng)堆運(yùn)行狀態(tài)信息,現(xiàn)場(chǎng)維護(hù)人員或操縱員可根據(jù)這些運(yùn)行狀態(tài)信息,開展日常維護(hù)、故障恢復(fù)、監(jiān)視控制等活動(dòng)。
圖4 典型DCS的結(jié)構(gòu)圖
核電行業(yè)內(nèi)主流的核電廠數(shù)字化控制系統(tǒng),主要有歐洲(阿海琺、西門子)的Teleperm-XS與Teleperm-XP,以及美國(guó)西屋AP1000核電系列的代表CommonQ+Ovation。數(shù)字化控制系統(tǒng)在我國(guó)核電廠的應(yīng)用情況呈現(xiàn)多樣化狀態(tài)。國(guó)內(nèi)三代先進(jìn)壓水堆機(jī)組的非安全級(jí)數(shù)字化控制系統(tǒng)已經(jīng)開始應(yīng)用我國(guó)自主產(chǎn)品,但大多數(shù)已建成的核電廠采購(gòu)的數(shù)字化控制系統(tǒng),還均來自于國(guó)外企業(yè)。2010年伊朗核電廠遭受“震網(wǎng)”病毒攻擊,該病毒針對(duì)西門子的PLC進(jìn)行了定向網(wǎng)絡(luò)安全攻擊,造成該核電廠離心機(jī)被損壞。“震網(wǎng)病毒”對(duì)于伊朗核電廠離心機(jī)設(shè)備的攻擊案例,給核電領(lǐng)域敲響了警鐘,使得核電領(lǐng)域從業(yè)人員意識(shí)到網(wǎng)絡(luò)攻擊威脅的嚴(yán)重性和網(wǎng)絡(luò)安全的重要性。
2.2 DCS系統(tǒng)全周期過程活動(dòng)
核電DCS系統(tǒng)全生命周期涉及研發(fā)、驗(yàn)證、采購(gòu)、制造、工程設(shè)計(jì)、集成裝配、FT/FAT、發(fā)運(yùn)/交付、改造/維護(hù)等活動(dòng),每個(gè)階段均需要對(duì)安全、質(zhì)量、環(huán)境開展管控。主要活動(dòng)流程如圖5所示。
圖5 核電DCS全生命周期過程活動(dòng)示意圖
2.3 安全、質(zhì)量、環(huán)境管理體系
按照GB/T 19001-2016、GB/T 24001-2016、GB/T 45001-2020建立以過程為基礎(chǔ)的安質(zhì)環(huán)一體化管理體系,按照“P-D-C-A”的方法,系統(tǒng)地識(shí)別、策劃和管理公司的各個(gè)過程,建立程序和相關(guān)制度,并根據(jù)需要形成文件。當(dāng)公司的業(yè)務(wù)、組織機(jī)構(gòu)、外部環(huán)境、安質(zhì)環(huán)管理方針、管理目標(biāo)等發(fā)生重大變化時(shí),總經(jīng)理部組織對(duì)安質(zhì)環(huán)一體化管理體系重新策劃,做出相應(yīng)變更,在體系策劃和實(shí)施時(shí)要考慮變更的目的及其潛在后果,確保體系的完整性、資源的可獲得性、責(zé)任和權(quán)限的分配或再分配。針對(duì)核電的產(chǎn)品和服務(wù)的設(shè)計(jì)和制造活動(dòng),在GB/T 19001-2016質(zhì)量管理體系的基礎(chǔ)上,參考HAF003和相關(guān)核安全法規(guī)的部分規(guī)定,確保滿足各相關(guān)法規(guī)和標(biāo)準(zhǔn)對(duì)核電產(chǎn)品全生命周期的質(zhì)量管理和控制要求。
公司產(chǎn)品實(shí)現(xiàn)過程包括:銷售過程、產(chǎn)品研發(fā)過程、采購(gòu)過程、制造過程、工程設(shè)計(jì)過程、運(yùn)維服務(wù)等主要過程;支持過程包括:文件管理、記錄管理、內(nèi)部審核、管理評(píng)審、過程監(jiān)視和測(cè)量、數(shù)據(jù)分析、培訓(xùn)等過程。各個(gè)主要過程及其相關(guān)關(guān)系如圖6所示。
圖6 安全質(zhì)量環(huán)境各主要過程關(guān)系示意圖
根據(jù)業(yè)務(wù)(包括工業(yè)自動(dòng)控制系統(tǒng)、核電電氣儀控系統(tǒng)等)活動(dòng)的研發(fā)、設(shè)計(jì)、生產(chǎn)、集成、技術(shù)服務(wù)和運(yùn)維服務(wù)的特點(diǎn),確定上述一體化管理體系所需的過程及其在組織中的應(yīng)用,以及伴隨發(fā)生的風(fēng)險(xiǎn)因素和影響:
(1)確定這些過程所需的輸入和期望的輸出;
(2)(2)確定這些過程的順序和相互作用;
(3)確定和應(yīng)用所需的準(zhǔn)則和方法,以確保這些過程的有效運(yùn)行和控制;
(4)確定這些過程所需的可以獲得的資源;
(5)分配這些過程的職責(zé)和權(quán)限;
(6)按照要求應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇;
(7)評(píng)價(jià)這些過程,實(shí)施所需的變更,以確保實(shí)現(xiàn)這些過程的預(yù)期結(jié)果;
(8)改進(jìn)過程和質(zhì)量管理體系。
與此同時(shí),制定并實(shí)施《項(xiàng)目過程控制程序》《設(shè)計(jì)和開發(fā)控制程序》,以規(guī)定和控制軟件、硬件、結(jié)構(gòu)件以及系統(tǒng)產(chǎn)品的研發(fā)過程和工程設(shè)計(jì)過程,確保產(chǎn)品滿足顧客及各相關(guān)方的要求。
3 核電DCS網(wǎng)絡(luò)安全管理方法
基于核電DCS全生命周期的網(wǎng)絡(luò)安全實(shí)踐,與安全、質(zhì)量、環(huán)境管控體系進(jìn)行融合,形成針對(duì)核電DCS網(wǎng)絡(luò)安全的管理方法。
3.1 系統(tǒng)需求階段
一般由買方或買方指定的設(shè)計(jì)方提出核電廠儀控系統(tǒng)的安全防范的相關(guān)要求,包括并不限于電廠營(yíng)運(yùn)單位的安全防范大綱和網(wǎng)絡(luò)安全防范的各種良好實(shí)踐,作為后續(xù)各階段的設(shè)計(jì)輸入和參考依據(jù)。
3.2 系統(tǒng)設(shè)計(jì)階段
針對(duì)系統(tǒng)設(shè)計(jì)輸入中網(wǎng)絡(luò)安全的需求進(jìn)行分析,結(jié)合網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告、網(wǎng)絡(luò)安全良好實(shí)踐和經(jīng)驗(yàn)反饋,進(jìn)行適用性分析和系統(tǒng)設(shè)計(jì),并識(shí)別出產(chǎn)品和系統(tǒng)中需要增補(bǔ)開發(fā)/改進(jìn)的需求,進(jìn)行產(chǎn)品的研發(fā)和升級(jí),滿足儀控系統(tǒng)產(chǎn)品和系統(tǒng)網(wǎng)絡(luò)安全要求,包括:(1)進(jìn)行安全防范方面的適應(yīng)性分析并編制適用性分析報(bào)告;(2)按照《工程設(shè)計(jì)控制程序(安全級(jí))》和《工程設(shè)計(jì)控制程序》,設(shè)計(jì)人員進(jìn)行需求分析、系統(tǒng)架構(gòu)設(shè)計(jì)及功能分析工作;(3)識(shí)別出產(chǎn)品研發(fā)的需求,在網(wǎng)絡(luò)安全方面進(jìn)行產(chǎn)品的總體設(shè)計(jì);(4)網(wǎng)絡(luò)安全小組組織對(duì)總體設(shè)計(jì)方案進(jìn)行專項(xiàng)評(píng)估,確保設(shè)計(jì)方案滿足網(wǎng)絡(luò)安全的要求。
3.3 軟硬件需求階段
根據(jù)系統(tǒng)設(shè)計(jì)階段的輸出,對(duì)網(wǎng)絡(luò)安全在系統(tǒng)硬件和應(yīng)用軟件功能進(jìn)行分析,設(shè)計(jì)人員按照《工程設(shè)計(jì)控制程序(安全級(jí))》和《工程設(shè)計(jì)控制程序》,提出軟硬件產(chǎn)品的需求并開展設(shè)計(jì)工作。
3.4 軟硬件詳細(xì)設(shè)計(jì)及實(shí)現(xiàn)階段
詳細(xì)設(shè)計(jì)階段主要包括工程硬件設(shè)計(jì)和工程軟件設(shè)計(jì)兩部分工作,按照《工程設(shè)計(jì)控制程序(安全級(jí))》和《工程設(shè)計(jì)控制程序》具體執(zhí)行;根據(jù)上一階段分解任務(wù),進(jìn)行軟硬件單產(chǎn)品的網(wǎng)絡(luò)安全方面的詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)。
3.5 采購(gòu)活動(dòng)
采購(gòu)管理方面,為了保證所采購(gòu)的物項(xiàng)能滿足網(wǎng)絡(luò)安全產(chǎn)品設(shè)計(jì)和制造的需要,對(duì)采購(gòu)控制如下:凡是對(duì)網(wǎng)絡(luò)安全設(shè)計(jì)和制造質(zhì)量有影響的物項(xiàng)的采購(gòu)都必須事先制定采購(gòu)文件,在采購(gòu)文件中應(yīng)包括網(wǎng)絡(luò)安全產(chǎn)品的有關(guān)要求、設(shè)計(jì)基準(zhǔn)、標(biāo)準(zhǔn)、技術(shù)規(guī)格書以及所必須的其他要求,對(duì)采購(gòu)物項(xiàng)和服務(wù)進(jìn)行質(zhì)量控制。
(1)自產(chǎn)品固件(含測(cè)試固件、最終固件)受控發(fā)布;
(2)涉及固件下載芯片從庫(kù)房出庫(kù)并記錄齊全;
(3)生產(chǎn)過程下載固件所需電腦、各種移動(dòng)介質(zhì)等工具均通過公司統(tǒng)一采購(gòu),并合格入庫(kù),領(lǐng)用記錄齊全;
(4)電腦、各種移動(dòng)介質(zhì)等需要定期由專業(yè)人員進(jìn)行病毒消殺;
(5)下載固件所需網(wǎng)絡(luò)需與公司辦公互聯(lián)網(wǎng)獨(dú)立設(shè)置。
3.6 廠內(nèi)系統(tǒng)集成活動(dòng)
為了保證系統(tǒng)集成和裝配階段能滿足網(wǎng)絡(luò)安全的要求,如環(huán)境防護(hù)、工裝防護(hù)、下裝工具等方面,企業(yè)按照《設(shè)備裝配和系統(tǒng)集成工作流程》執(zhí)行該階段的工作。
3.7 確認(rèn)及驗(yàn)收測(cè)試活動(dòng)
對(duì)上游設(shè)計(jì)輸入及脆弱性評(píng)估進(jìn)行分析,制定測(cè)試程序及用例,驗(yàn)證軟硬件集成后的儀控系統(tǒng)滿足上游設(shè)計(jì)輸入及脆弱性評(píng)估要求。測(cè)試人員開展網(wǎng)絡(luò)安全相關(guān)的測(cè)試與驗(yàn)證活動(dòng),并提供設(shè)計(jì)驗(yàn)證結(jié)果。
3.8 現(xiàn)場(chǎng)安裝活動(dòng)
系統(tǒng)集成人員負(fù)責(zé)核電現(xiàn)場(chǎng)儀控設(shè)備硬件的安裝復(fù)原、改造工作;軟件安裝和升級(jí)工作由測(cè)試專業(yè)人員完成。完成后,需要確認(rèn)符合電廠特定的策略、程序以及儀控系統(tǒng)安全防范計(jì)劃。
3.9 運(yùn)行及維護(hù)活動(dòng)
企業(yè)將核電儀控系統(tǒng)交付給核電廠后,在運(yùn)行及維護(hù)期間,如有必要,配合核電廠進(jìn)行相關(guān)的風(fēng)險(xiǎn)及安全防范管控的再評(píng)估。
3.10 變更活動(dòng)
若核電廠對(duì)核電儀控系統(tǒng)有變更活動(dòng)計(jì)劃,應(yīng)基于風(fēng)險(xiǎn)評(píng)估考慮其對(duì)安全防范的影響并進(jìn)行文檔記錄。公司將根據(jù)該變更活動(dòng)計(jì)劃評(píng)估和影響分析文件,對(duì)涉及的核電儀控系統(tǒng)進(jìn)行再評(píng)估,并以文件記錄。
3.11 退役活動(dòng)
若供貨的核電儀控系統(tǒng)進(jìn)入退役階段,且仍有所供貨的相關(guān)核電儀控系統(tǒng)在運(yùn),公司將保證避免該系統(tǒng)的敏感信息泄露。
4 結(jié)論
本文針對(duì)核電DCS網(wǎng)絡(luò)安全管理相關(guān)要求的研究分析,結(jié)合核電DCS開發(fā)過程的活動(dòng)特點(diǎn),將企業(yè)安全質(zhì)量環(huán)境管理體系進(jìn)行融合,形成了一種核電DCS網(wǎng)絡(luò)安全管理的方法。經(jīng)過多年實(shí)踐檢驗(yàn),該方法可以有效對(duì)核電DCS網(wǎng)絡(luò)安全實(shí)施全生命周期管控,確保了DCS系統(tǒng)及其相關(guān)網(wǎng)絡(luò)安全防護(hù)產(chǎn)品的質(zhì)量和可信性,增強(qiáng)了核電供應(yīng)鏈安全,為核電廠網(wǎng)絡(luò)安全防護(hù)水平提升提供了支撐。
作者簡(jiǎn)介:
顏元超(1987-),男,江蘇人,工程師,學(xué)士,現(xiàn)就職于中廣核數(shù)字科技有限公司,主要從事核電站網(wǎng)絡(luò)安全總體設(shè)計(jì)工作。
參考文獻(xiàn):
[1] 關(guān)于進(jìn)一步加強(qiáng)核電運(yùn)行安全管理的指導(dǎo)意見,發(fā)改能源 [2018] 765號(hào).
[2] 電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定 (國(guó)家發(fā)改委2014年第14號(hào)令).
[3] 電力監(jiān)控系統(tǒng)安全防護(hù)總體方案 (國(guó)能安全〔2015〕36號(hào)文).
[4] 電力行業(yè)網(wǎng)絡(luò)安全管理辦法 (國(guó)能發(fā)安全規(guī)〔2015〕100號(hào)文).
[5] 電力行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法 (國(guó)能發(fā)安全規(guī)〔2022〕101號(hào)文).
[6] Regulator Guide 1.152, "CRITERIA FOR USE OF COMPUTERS IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS", July 2011, Revision 3.
[7] 錢單. RG5.71導(dǎo)則在國(guó)內(nèi)核設(shè)施網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用探討[J]. 科技傳播, 2018, 10 (5) : 129 - 130.
[8] 美國(guó)核監(jiān)管委員會(huì). 核設(shè)施的網(wǎng)絡(luò)安全程序: RG5.71[S]. 2010.
[9] IEC 62645, Nuclear power plants–Instrumentation and control systems–Requirements for security programmes for computer-based systems, Edition 1.0 2014 - 08
[10] GB/T 43532-2023, 核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控[S].
[11] 上官斌, 張睿瓊, 張黎明, 等. 核電廠數(shù)字化儀控系統(tǒng) (DCS) 工程科學(xué)管理體系[C]. 全國(guó)電力行業(yè)企業(yè)現(xiàn)代化管理創(chuàng)新5年經(jīng)典案例集, 2015 : 547 - 550.
[12] 王慧. 計(jì)算機(jī)控制系統(tǒng) (第二版) [M]. 北京: 化學(xué)工業(yè)出版社, 2005.
[13] 李正軍, 計(jì)算機(jī)控制系統(tǒng)[M]. 北京: 機(jī)械工業(yè)出版社, 2005.
[14] 王錦標(biāo), 計(jì)算機(jī)控制系統(tǒng)[M]. 北京: 清華大學(xué)出版社, 2005.
[15] 景陽(yáng). 核電數(shù)字化分布式儀控系統(tǒng)研制進(jìn)度風(fēng)險(xiǎn)管理研究[D]. 北京: 中國(guó)科學(xué)院大學(xué), 2017.
摘自《自動(dòng)化博覽》2024年9月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)