北京廣利核系統(tǒng)工程有限公司總經(jīng)理助理兼大項(xiàng)目總經(jīng)理 孫永濱

出于對(duì)環(huán)保、生態(tài)和世界能源供應(yīng)等方面的考慮，核電作為一種安全、清潔、低碳、可靠的能源，已被越來越多的國家所接受和采用，世界各國均在大力發(fā)展核電能源。據(jù)國際原子能機(jī)構(gòu)預(yù)測(cè)，全球核電裝機(jī)容量將在2030年增加至5100億瓦。截至2015年底，我國在運(yùn)核電機(jī)組28臺(tái)，總裝機(jī)容量2642.7萬千瓦，發(fā)電量占全國總發(fā)電量?jī)H3.01%，而世界核電發(fā)電量占總發(fā)電量的平均水平是10%。專家指出，“十三五”期間，我國應(yīng)從戰(zhàn)略層面進(jìn)一步明確核電在優(yōu)化能源結(jié)構(gòu)中的支柱地位，進(jìn)行規(guī)模化發(fā)展，以有效支撐到2030年非化石能源消費(fèi)占比提高到20%這一目標(biāo)。當(dāng)前我國對(duì)核電發(fā)展的戰(zhàn)略是從“適度發(fā)展”到“積極發(fā)展”。毫無疑問，“十三五”期間我國核電發(fā)展將進(jìn)入快車道。

對(duì)于核電發(fā)展來說，安全性一直以來是最為重要的制約因素。特別是日本福島核電站發(fā)生大規(guī)模核泄漏事故之后，核電的安全性備受質(zhì)疑，各國對(duì)于核電安全的重視也達(dá)到了前所未有的高度。我國《核電安全規(guī)劃（2011-2020年）》要求，按照全球最高安全要求新建核電項(xiàng)目，新建核電機(jī)組必須符合三代安全標(biāo)準(zhǔn)。核電站數(shù)字化儀控系統(tǒng)是核電站四大關(guān)鍵性成套設(shè)備之一，控制著整個(gè)核電站從常規(guī)島到核島幾乎所有的閥門、開關(guān)、繼電器等。它是核電站的運(yùn)行中心和安全屏障，是整個(gè)核電站最關(guān)鍵、最核心技術(shù)的集中體現(xiàn)，也是大型核電裝備現(xiàn)代化程度的重要標(biāo)志。只有掌握了自動(dòng)化成套控制系統(tǒng)的關(guān)鍵技術(shù)，我國核電站的安全、經(jīng)濟(jì)運(yùn)行才能有真正的保障。

北京廣利核系統(tǒng)工程有限公司致力于面向核電站提供數(shù)字化儀控系統(tǒng)的專業(yè)化解決方案。在產(chǎn)品設(shè)計(jì)中，安全分析貫穿了研發(fā)的整個(gè)過程，硬件采用多重化設(shè)計(jì)，軟件嚴(yán)格執(zhí)行V&V（驗(yàn)證與確認(rèn)）測(cè)試，通訊系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)確定性設(shè)計(jì)，在整體上保證了系統(tǒng)的功能、性能和可靠性；通過模塊化結(jié)構(gòu)、自診斷、帶電插拔等措施確保系統(tǒng)的可維護(hù)性；采取多重報(bào)文過濾、病毒檢測(cè)、數(shù)據(jù)驗(yàn)證等多種措施確保系統(tǒng)的安全性。其產(chǎn)品已經(jīng)通過國內(nèi)幾乎所有在建和在役核電站近10年數(shù)百個(gè)項(xiàng)目的嚴(yán)格考驗(yàn)，產(chǎn)品可利用率高達(dá)99.99%，獲得了用戶的一致好評(píng)。

本刊記者采訪了北京廣利核系統(tǒng)工程有限公司總經(jīng)理助理兼大項(xiàng)目總經(jīng)理孫永濱，請(qǐng)他分析我國工業(yè)控制系統(tǒng)安全現(xiàn)狀及廣利核數(shù)字化儀控系統(tǒng)在保障核電安全方面的特色和優(yōu)勢(shì)。

《自動(dòng)化博覽》：請(qǐng)您分析一下當(dāng)前我國工業(yè)控制系統(tǒng)安全現(xiàn)狀及發(fā)展情況。

孫永濱：自工業(yè)控制系統(tǒng)安全（以下簡(jiǎn)稱“工控安全”）這一課題被業(yè)界人士提出以來，國內(nèi)外工控安全防護(hù)的理念經(jīng)歷了一系列的發(fā)展演變過程，總的來說可以劃分為四個(gè)階段：第一個(gè)階段是以隔離為手段的安全防護(hù)理念；第二個(gè)階段是縱深防御的安全防護(hù)體系；第三階段是工業(yè)控制系統(tǒng)內(nèi)部生長(zhǎng)的持續(xù)性防御體系；第四階段是以攻為守的國家戰(zhàn)略。

一個(gè)系統(tǒng)的生命周期一般包括規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段以及退役/升級(jí)換代階段，工控系統(tǒng)全生命周期的安全防護(hù)也會(huì)覆蓋這五個(gè)階段。如今工控安全防護(hù)已從單一的隔離階段，過渡到了多種技術(shù)并用的縱深防御階段，追求一種攻守兼?zhèn)涞姆雷o(hù)體系。防護(hù)體系中不但要涵蓋縱深防御的不同層次，還要擁有發(fā)現(xiàn)隱患、管理威脅、預(yù)知威脅的能力。

當(dāng)下，工控安全防護(hù)體系構(gòu)成層次正逐級(jí)提高。一些企業(yè)內(nèi)部若出了工控安全事件，往往會(huì)自發(fā)地進(jìn)行安全防護(hù)，事件也會(huì)形成一定的行業(yè)推動(dòng)效應(yīng)；而沒有發(fā)生相關(guān)事件的企業(yè)與行業(yè)的工控安全防護(hù)意識(shí)都較為薄弱，即使意識(shí)到存在安全的威脅與隱患，也苦于找不到對(duì)癥下藥的手段。國內(nèi)的存量在裝工控系統(tǒng)以國外工控設(shè)備與復(fù)制國外陳舊技術(shù)的國產(chǎn)設(shè)備為主，相關(guān)標(biāo)準(zhǔn)照搬國外的會(huì)使我國處于一個(gè)很被動(dòng)的境地。因此，整個(gè)工業(yè)自動(dòng)化界正急需一個(gè)能落地的工控安全防護(hù)標(biāo)準(zhǔn)。按照國外的相關(guān)經(jīng)驗(yàn)，此類標(biāo)準(zhǔn)應(yīng)由跨政府部門的多個(gè)機(jī)構(gòu)來組織推動(dòng)。在國家層面驅(qū)動(dòng)、行業(yè)用戶推廣下，以史為鑒、以實(shí)為據(jù)，憑我國現(xiàn)有基礎(chǔ)設(shè)施規(guī)模和先進(jìn)性完全有能力引領(lǐng)工控安全的技術(shù)創(chuàng)新和標(biāo)準(zhǔn)制定。我國工控安全防護(hù)理念的進(jìn)步也將不只停留在技術(shù)人員的研究中，而是切切實(shí)實(shí)為業(yè)界所接受。最終業(yè)主與安全供應(yīng)商將共同突破傳統(tǒng)安全理念，真正助力我國工控安全。

《自動(dòng)化博覽》：請(qǐng)您介紹一下廣利核的安全產(chǎn)品或解決方案，能為核電用戶提供哪些幫助？

孫永濱：廣利核公司目前有五大產(chǎn)品平臺(tái)：FirmSys、FitRel、SpeedyHold、HOLLiAS-N和EmInfoSys。這五大產(chǎn)品平臺(tái)可應(yīng)用于不同安全等級(jí)的核電站數(shù)字化儀控系統(tǒng)中。其中，F(xiàn)irmSys（和睦系統(tǒng)）是核安全級(jí)DCS通用平臺(tái)，主要應(yīng)用于核電站控制保護(hù)系統(tǒng)，對(duì)核反應(yīng)堆進(jìn)行控制和保護(hù)，在異常工況時(shí)保證在最短時(shí)間內(nèi)實(shí)現(xiàn)安全停堆，從而確保核電站的安全。FitRel是安全相關(guān)級(jí)產(chǎn)品，是保護(hù)系統(tǒng)的后備，當(dāng)保護(hù)系統(tǒng)發(fā)生共因故障時(shí)，基于FitRel的多樣性儀控系統(tǒng)（KDS）能夠確保將核電站導(dǎo)向安全狀態(tài)。SpeedyHold是核電站專用儀控系統(tǒng)平臺(tái)，可以實(shí)現(xiàn)上述系統(tǒng)的報(bào)警處理和指示等。HOLLiAS-N是非安全級(jí)DCS平臺(tái)，可用于核島、常規(guī)島系統(tǒng)和BOP的非安全級(jí)儀控系統(tǒng)的控制和調(diào)節(jié)。EmInfoSys是應(yīng)急響應(yīng)支持系統(tǒng)，主要應(yīng)用于應(yīng)付各種突發(fā)事件（包括核應(yīng)急），能夠有效預(yù)防和妥善應(yīng)對(duì)生產(chǎn)安全事故，最大限度地輔助應(yīng)急響應(yīng)人員處理應(yīng)急事件，全面提高安全生產(chǎn)應(yīng)急救援和應(yīng)急管理能力，以減少生產(chǎn)安全事故造成的人員傷亡和財(cái)產(chǎn)損失。廣利核公司基于這五個(gè)產(chǎn)品平臺(tái)構(gòu)建的核電站數(shù)字化儀控系統(tǒng)能夠滿足縱深防御的保護(hù)策略，從而確保核電站的安全。

針對(duì)這五大產(chǎn)品，廣利核公司提供自規(guī)劃-研發(fā)-生產(chǎn)-運(yùn)行-退役全生命周期的安全防護(hù)解決方案。在規(guī)劃階段，規(guī)劃所有產(chǎn)品的協(xié)議都采用定制的私有協(xié)議，最大限度地避免了協(xié)議漏洞；在研發(fā)階段，利用獨(dú)立的研發(fā)環(huán)境進(jìn)行開發(fā)設(shè)計(jì)，同時(shí)在開發(fā)過程中充分考慮產(chǎn)品的安全性設(shè)計(jì)，不采用無線及通用的接口方案，也不為人為接入提供后門；在生產(chǎn)階段，擁有自己的產(chǎn)品線，所有設(shè)備的生產(chǎn)都在公司內(nèi)完成，避免了惡意代碼植入的可能；在運(yùn)行階段，提供有效的管理措施及技術(shù)措施，包括網(wǎng)關(guān)隔離、防火墻引入、USB禁用等手段，有效地保證了核電站的安全運(yùn)行；在退役階段，廣利核公司提供設(shè)備升級(jí)、改造等服務(wù)。

同時(shí)，廣利核公司非常重視內(nèi)部信息安全及保密，在內(nèi)部部署了專門的加密系統(tǒng)，對(duì)公司的各種內(nèi)部文件進(jìn)行加密，防止核心技術(shù)資料外泄，提高了公司的核心競(jìng)爭(zhēng)力。

在近十年的發(fā)展中，核電工業(yè)控制系統(tǒng)呈現(xiàn)出整體開放的趨勢(shì)，因此核電站工業(yè)控制系統(tǒng)信息安全也面臨著操作系統(tǒng)漏洞、安全策略漏洞和應(yīng)用軟件漏洞的威脅和挑戰(zhàn)，一旦這些漏洞被不良意圖黑客所掌握，那么后果不堪設(shè)想。廣利核的核安全級(jí)產(chǎn)品——“和睦系統(tǒng)”采用了私有通信協(xié)議與自主網(wǎng)絡(luò)架構(gòu)，涵蓋所有關(guān)鍵信號(hào)的采集、處理和輸出，所有這些通信協(xié)議和網(wǎng)絡(luò)架構(gòu)屬于廣利核自主創(chuàng)造，不同于市場(chǎng)上任意一種通用協(xié)議或網(wǎng)絡(luò)架構(gòu)，在一定程度上避免了來自于外部網(wǎng)絡(luò)對(duì)安全級(jí)設(shè)備和功能的攻擊。在權(quán)限控制和防止物理攻擊方面，我們也開展了相關(guān)研究，力求為核電應(yīng)用提供更全面的安全防護(hù)。

《自動(dòng)化博覽》：據(jù)您所知，國內(nèi)外工業(yè)安全標(biāo)準(zhǔn)制定和實(shí)施情況如何？我國與國外有什么樣的差距？在哪些方面還有待完善？

孫永濱：2000年，國際電工委員會(huì)正式發(fā)布了IEC61508電氣/電子/可編程電子安全系統(tǒng)的功能安全標(biāo)準(zhǔn)。2006年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）分別制定了NISTSP800-82SCADA和工業(yè)控制系統(tǒng)安全指南；2011年，制定了NISTSP800-82工業(yè)控制系統(tǒng)信息安全指南，旨在指導(dǎo)開發(fā)商、集成商建立安全的工業(yè)控制系統(tǒng)。2009年，國際電工協(xié)會(huì)工業(yè)過程測(cè)量、控制與自動(dòng)化/網(wǎng)絡(luò)與系統(tǒng)信息安全工作組（ IEC/TC65/WG10）與國際自動(dòng)化協(xié)會(huì)ISA99成立聯(lián)合工作組組織制定了IEC62443工業(yè)自動(dòng)化和控制系統(tǒng)信息安全標(biāo)準(zhǔn)，旨在應(yīng)對(duì)工業(yè)自動(dòng)化和控制系統(tǒng)信息安全挑戰(zhàn)，以規(guī)避工業(yè)控制系統(tǒng)在信息安全方面的風(fēng)險(xiǎn)。據(jù)我們了解，美國、英國、法國、德國、荷蘭、瑞典等國家非常重視工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化工作，在標(biāo)準(zhǔn)法規(guī)方面已出臺(tái)了從國家法規(guī)標(biāo)準(zhǔn)到行業(yè)規(guī)范指南等一系列規(guī)范性文件。

2011年，我們國家工信部發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，要求加強(qiáng)國家主要工業(yè)領(lǐng)域基礎(chǔ)設(shè)施控制系統(tǒng)與SCADA系統(tǒng)的安全保護(hù)工作也陸續(xù)有相關(guān)標(biāo)準(zhǔn)出臺(tái)。同年，全國工業(yè)過程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC124）發(fā)布了《GB/T26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。2012年，國務(wù)院發(fā)布《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》，明確提出要開展工業(yè)控制系統(tǒng)信息安全檢查工作。2014年，SAC/TC124聯(lián)合全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分評(píng)估規(guī)范和GB/T30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分驗(yàn)收規(guī)范。

在工業(yè)領(lǐng)域，電力行業(yè)一直走在相關(guān)標(biāo)準(zhǔn)制定和規(guī)范的前列，2005年發(fā)布了電監(jiān)會(huì)5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》，2014年發(fā)布了發(fā)改委14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》。工業(yè)控制系統(tǒng)是國家重要基礎(chǔ)設(shè)施（如電力、交通、能源、通信、水利等）的“大腦”和“中樞神經(jīng)”。 從總體上看，我國工控系統(tǒng)信息安全防護(hù)體系建設(shè)滯后于工控系統(tǒng)建設(shè)，在防護(hù)意識(shí)、防護(hù)策略、防護(hù)機(jī)制、法規(guī)標(biāo)準(zhǔn)、防護(hù)檢測(cè)等方面都存在不少問題，涉及工控系統(tǒng)的信息安全工作需要繼續(xù)加大投入。

未來一段時(shí)期內(nèi)，我國在工控安全標(biāo)準(zhǔn)完善上要做的工作主要有以下幾個(gè)方面：分析工業(yè)控制系統(tǒng)信息安全保障體系建設(shè)需求，基于國家信息安全標(biāo)準(zhǔn)體系框架，建立工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系總體框架；在標(biāo)準(zhǔn)體系框架內(nèi)梳理現(xiàn)有信息安全標(biāo)準(zhǔn)在工業(yè)控制系統(tǒng)建設(shè)中的應(yīng)用關(guān)系，確定工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系中強(qiáng)制使用和推薦使用的標(biāo)準(zhǔn)目錄，并開展重點(diǎn)標(biāo)準(zhǔn)的研制規(guī)劃，逐步完善標(biāo)準(zhǔn)體系。

在核電站工業(yè)控制系統(tǒng)領(lǐng)域，我國應(yīng)多部門、多專業(yè)領(lǐng)域聯(lián)合起來，加強(qiáng)針對(duì)核電站工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)和建設(shè)標(biāo)準(zhǔn)等的頂層設(shè)計(jì)。并且，研究核電站工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)，為核電站工控系統(tǒng)的設(shè)計(jì)、建設(shè)、運(yùn)維提供安全依據(jù)；搭建核電站工控系統(tǒng)測(cè)試平臺(tái)，解決核電站工控系統(tǒng)安全問題。

《自動(dòng)化博覽》：請(qǐng)您分享一個(gè)廣利核近期在核電工業(yè)安全方面的成功案例。

孫永濱：2015年廣利核公司基于華龍一號(hào)核電站DCS原型系統(tǒng)進(jìn)行了工業(yè)安全的攻防演練。攻防演練通過對(duì)目標(biāo)系統(tǒng)進(jìn)行了潛在的風(fēng)險(xiǎn)分析，設(shè)計(jì)了典型攻擊路徑演示攻擊者接入網(wǎng)絡(luò)后自上而下攻擊控制器的過程：攻擊電腦接入控制網(wǎng)絡(luò)，在攻擊電腦上運(yùn)行攻擊程序；攻擊程序向下經(jīng)過服務(wù)器系統(tǒng)，進(jìn)一步攻擊控制器；攻擊程序通過控制器，控制LED報(bào)警燈產(chǎn)生誤報(bào)警，同時(shí)系統(tǒng)遭遇攻擊被檢測(cè)平臺(tái)監(jiān)測(cè)進(jìn)行報(bào)警提示。引入保護(hù)原型后，對(duì)控制器進(jìn)行保護(hù)，避免了惡意代碼的攻擊。下一步廣利核公司將對(duì)保護(hù)原型做進(jìn)一步研發(fā)，防護(hù)更多的惡意程序。

摘自《自動(dòng)化博覽》2016年2月刊