AP1000全范围模拟机数据安全管理

AP1000全范围模拟机数据安全管理
胡松;张崇达
【摘要】The safe and steady operation of nuclear power plant simulators for use in operator training and examination is closely related with data security management. This paper instruct servers and workstations of the SMNPC NO.1 AP1000 FSS systematically, and analyze simulator data security management and protection method in detail based on data security management method used at home and abroad, put forward a reasonable achievable data backup plan with practice,which can be used for AP1000 FSS data Security management.%核电厂操纵员培训、考试用模拟机的安全、稳定运行，离不开数据安全管理。

本文以三门核电一号全范围模拟机为例，系统介绍了AP1000全范围模拟机服务器、工作站结构组成，结合国内外主流数据安全管理策略，详细分析了模拟机数据安全管理、防护措施并给出了经过实际验证的数据备份实施方案，可以为AP1000全范围模拟机的数据安全管理提供参考。

【期刊名称】《仪器仪表用户》
【年(卷),期】2016(000)001
【总页数】4页(P83-86)
【关键词】AP1000;全范围模拟机;数据安全
【作者】胡松;张崇达
【作者单位】三门核电有限公司，浙江三门 317112;三门核电有限公司，浙江三门 317112
【正文语种】中文
核电厂实行授权上岗，尤其是核电厂操纵员上岗前必须通过全范围模拟机（FSS）的培训和考试。

《HAF103核动力厂运行安全规定》中更是提出为了满足核电厂的安全运行要求，必须使用模拟机对操纵员进行培训[1]。

AP1000全范围模拟机1:1复制参考机组主控室，能够可靠、有效地完成核电厂操纵员培训、取照考试工作，同时按照国家核安全局的要求为电站定期应急演习及其他电厂工程应用提供支持。

AP1000全范围模拟机与二代及二代加核电站模拟机相比，传统的硬盘台基本被软件控制替代，计算机化程度高，计算机数量多。

为保证模拟机数据安全，保证模拟机数据不因偶然和恶意的原因遭到破坏、更改和泄露，需要进行模拟机数据安全管理，确保模拟机安全、稳定运行。

三门核电一号全范围模拟机由两大网络、五大子系统组成。

两大网络为仪控（Ovation）网络与模型网络，仪控（Ovation）网络通过Tcp/Ip协议与模型网络通讯，双网络通讯在6台对点服务器（simstation）上跨网段实现。

其中，仪控（Ovation）网络由一台思科3750G根交换机（千兆全双工）与三台思科2960子交换机（百兆全双工）搭建，模型网络由一台思科3750G根交换机（千兆全双工）与一台思科2960子交换机（百兆全双工）搭建。

五大子系统为电厂模型系统（PMCS）、非安全级仪控（PLS）、安全级仪控（PMS）、运行与控制中心（OCS）和数据处理与显示系统（DDS），运行与控制中心（OCS）的主控室（MCR）与远程停堆室（RSR）采用实物模拟（Stimulation）实现[2]\[3]，外观与手感完全与实际主控室一致。

其中，模型主机负责电厂仿真模型、Ovation 非安全级控制逻辑及Common Q 安全级控制/保护逻辑运算，Ovation应用服务器
及Ovation工作站负责非安全级仪控显示、监测及控制命令处理，Common Q 工作站Node Box负责安全级仪控显示、监测及控制命令处理，支持上述功能共用到13台服务器，28台工作站，分别为DELL R510服务器有2台、DELL R710服务器11台、DELL R5400工作站28台及4台安全级仪控（Common Q）工作站Node Box。

一号全范围模拟机硬件拓扑简图见图1。

威胁模拟机数据安全的因素众多，主要有硬盘驱动器损坏、人为错误、病毒、信息窃取、自然灾害、电源故障及磁干扰等因素，任何一项都有可能导致模拟机故障或宕机。

三门核电一号全范围模拟机服务器、工作站数量多，数据存储量大、信息重要，为保障模拟机数据安全，主要采用以下安全防护技术措施。

2.1 数据备份
模拟机数据备份采用两种方式：一种是使用Windows Server 2008自带的备份（Backup）功能备份，另一种是使用专业的备份软件Acronis备份。

两种备份方式均采用全备份类型，不仅备份文件数据、应用程序，还备份操纵系统。

Windows Server 2008自带的备份（Backup）功能启用需在服务器管理（Server Manager）功能（Features）菜单下安装Windows 服务器备份功能（Windows Server Backup Features），Acronis备份既可以将软件安装在本机备份，也可以用导出的Acronis 启动盘（Bootable Disk）备份。

此两种数据备份方式均可通过在相同型号或硬件配置相同的DELL服务器、工作站恢复，实现服务器、工作站的重建。

2.2 磁盘阵列
磁盘阵列把多个普通磁盘连成一个阵列，当作单一磁盘使用，实现数据读取速度和安全性[4]。

针对磁盘阵列所利用的不同的技术，用RAID Level来区分，目前国际公认的标准RAID是RAID0-RAID6，全范围模拟机采用RAID1。

RAID1使用磁盘镜像技术，实现方式是在工作盘之外再加一块额外的备份磁盘，两个磁盘所存
储的数据完全一致，数据在写入工作磁盘的同时也写入备份磁盘。

RAID1有最佳
的安全性，能够确保100％不宕机[5]。

2.3 双机容错
双机容错是在全范围模拟机中放置两台具有相同功能的模型主机（PMC），分别
设置为模型主机和备用模型主机，可以进行主、备用模型主机间的切换，但需保证主、备用模型主机间数据的一致性。

当模型主机故障时，手动切换到备用模型主机，保证模拟机的可用性，使培训、考试不中断。

2.4 建立权限
操作系统和服务器都可对由于误操作活动造成的数据丢失提供保护。

Windows Server 2008和Windows 7，可以根据用户在组织内的角色和职责为其分配不同
级别的权限。

模拟机系统中模型网络设置管理员(administrator)和普通用户（load），仪控（Ovation）网络设置管理员(administrator)和操作员（operator），遵循“赋予最低权限”策略，管理员(administrator)具有最高权限，可以进行读写、变更及修改操作，操作员（operator）只能使用Ovation相
关应用，不能对工作站做任何变更、修改。

2.5 敏感数据加密
Windows Server 2008和 Windows 7支持加密文件系统对文件和文件夹加密。

数据加密是把其转换为一种可伪装数据格式，应用在数据存储和数据移动时，确保数据的机密性和完整性。

执行过程中，仅授权用户可以访问这些加密文件。

2.6 安装防病毒软件
虽然三门一号全范围模拟机没有接入互联网，是一个单独的网络系统，但模型主机和仪控（Ovation）网络所有服务器、工作站仍存在染毒风险，上述服务器、工作站安装有卡巴斯基防病毒软件，定期对服务器、工作站进行查毒，防止病毒侵入模拟机[6]，导致模拟机故障或宕机。

2.7 配置不间断（UPS）电源
模拟机房配置有80KVA的不间断（UPS）电源1台，可以保证服务器、工作站在失去交流电后30min内仍能够正常运行，避免意外失电引起的数据丢失或宕机。

三门核电一号全范围模拟机软件的日常维护工作主要是做好数据的备份管理[7]，
定期进行软件备份，模型主机、Ovation数据库服务器（drop200）每月备份一次，模型网络与仪控（Ovation）网络对点服务器（simstation）及报警显示服务器（APS）、电子化规程系统服务器（CPS）、核应用程序服务器（Naps）和Ovation工作站每季度备份一次，模拟机维护、升级或改造开始前和完成后当天
都要进行备份，备份流程见图2，一号全范围模拟机数据备份流程。

3.1 模型主机数据备份
模型主机数据备份采用安装在模型主机上的Acronis备份软件执行，以load用户身份登录模型主机，将移动硬盘与模型主机连接，确认移动硬盘已经被识别，并保证移动硬盘上有足够存储空间（大于100GB），）在移动硬盘上新建文件夹“PMC_backup_yymmdd（年月日）”，用以保存备份数据，打开Start-All Programs-Acronis-Acronis Backup & Recovery 11 Management Console-Acronis Backup & Recovery 11，在Acronis Backup & Recovery 11中选择菜单Acronis-Backup now，在弹出的Backup now界面中进行如下参数配置选择。

3.1.1 备份内容
在What to back up目录下点击Items to backup，在弹出的Data to Back Up
窗口中将disk1(包括Primary、C盘、X盘、Y盘)选为进行备份的盘，单击OK确定。

3.1.2 备份位置
在Where to backup目录下点击Location，在弹出的Archive窗口中选择备份
数据的存放路径“PMC_backup_ yymmdd(年月日)”文件夹，将Path选为外置
的移动硬盘，单击OK确定。

3.1.3 如何备份
在How to backup目录下将Backup type 选为Full，将Validation选为Off。

单击OK开始备份，备份一般会持续30min左右，备份完成后，点击Close关闭备份窗口并填写备份记录。

3.2 备用模型主机与模型主机数据同步
备用模型主机与模型主机数据同步，是指模型主机数据修改或升级后，将模型主机数据备份然后在备用模型主机上恢复，恢复采用Acronis Bootable Disk执行，将“Acronis Backup & Recovery 11”光盘放入备用模型主机并重启，把存放模型主机备份数据的移动硬盘与备用模型主机连接并确认移动硬盘已经被识别，备用模型主机将会自动从光盘启动“Acronis Backup & Recovery 11”，在Acronis Backup & Recovery 11中选择Recover，在弹出的Recover data界面中进行如下参数配置选择。

3.2.1 恢复内容
在What to recover目录下点击select data ，在弹出的Data to Recover Selection窗口中单击Browse…，弹出Browse for Location窗口，在”Local folders”下将移动硬盘上的备份数据选为数据路径，单击OK。

接着在Data to Recover Selection窗口中选择要恢复的”archive”，在”Backup contents”
中选择”Volumes”,进而选择恢复数据FAT16(Primary)、C盘、X盘、Y盘。

3.2.2 恢复位置
在Where to recover目录下选择恢复FAT16到未分配的100M字节左右的空间，恢复C盘数据到本地C盘，恢复X盘数据到本地X盘，恢复Y盘数据到本地Y盘。

3.2.3 恢复任务
在Task目录恢复选项中“恢复完成后自动重启服务器”，点击”OK”开始恢复，
恢复一般会持续30min左右，恢复完成后，备用模型主机自动重启，恢复完成后
将备用模型主机的IP地址设置为192.168.6.14和192.168.6.15（IP地址不能恢复），并注意IP地址为192.168.6.14的网卡接入ROOT交换机（千兆网络），
IP地址为192.168.6.15的网卡接入FanOut交换机（百兆网络）。

3.3 Ovation服务器数据备份
Ovation服务器数据备份，采用基于Windows Server 2008自带的备份功能执行，在服务器上打开备份/恢复服务，在Start-Administrative Tools-Server Manager-Features-Add Features目录，打开Add Features Wizard窗口，在
多选框中选择Windows Server Backup Features，安装备份应用服务（本操作
执行第一次备份前执行，后续备份由于服务已开启，不需要再执行次操作）；插入移动硬盘，确认移动硬盘已经被识别并确认盘符（一般为D盘），保证硬盘上有
足够的可用空间（大于100GB）；在CMD窗口中输入如下命令开始进行备份（以移动硬盘的盘符为D盘为例）：wbadmin start backup –backuptarget:D: -include:C: -allcritical –vssfull –quiet，备份一般会持续30min左右。

3.4 Ovation服务器数据恢复
Ovation服务器数据恢复采用Windows Server 2008 SP2系统安装盘执行，将Windows Server 2008 SP2安装盘插入光驱，启动服务器，设置服务器从光驱启动，服务器从光盘启动，并显示windows is loading files…界面，等待Windows从光盘载入，进入Install Windows界面，选择Language to install
为English、Time and currency format为English(United States)、Keyboard or input method为US，并点击Next，在Install Windows窗口中选择Repair your computer，弹出System Recovery Options窗口，在System Recovery Options窗口中选择要修复的操作系统为Windows Server 2008，点击Next，
弹出System Recovery Options窗口，在System Recovery Options窗口中点
击Windows Complete PC Restore，弹出Windows Complete PC Restore窗口，在Windows Complete PC Restore窗口中选择一个恢复的数据源，并点击Next，选择要恢复到的硬盘为C盘，并确定，开始进行恢复，在弹出的恢复界面中选择要恢复的备份数据，并点击Next，恢复操纵一般会持续1h左右，恢复完成后重启服务器。

3.5 Ovation工作站数据备份、恢复
Ovation工作站数据备份、恢复采用Acronis Bootable Disk执行，备份执行过程参见3.1，恢复执行过程参见3.2。

三门核电一号全范围模拟机数据管理方案，不仅确保圆满完成了三门核电AP1000首堆首批81名操纵员（RO）培训、取照考试工作，还在此基础上完成了新服务器、工作站对旧服务器、工作站的替换工作，保证了模拟机能够长时间健康、稳定运行，总体可用率在99％以上，可以为AP1000全范围模拟机的数据安全管理提供参考。

数据的安全管理不仅限于数据的安全性、完整性及可恢复性，还必须考虑数据恢复的时效性，尽量减少对操纵员培训、取照考试的影响。

随着计算机技术与仿真技术的发展，软硬件产品不断推陈出新，硬件的升级换代及软硬件的兼容性等问题必然会增大数据安全管理的难度，数据安全管理策略也必须与时俱进，以应对可能的风险。

【相关文献】
[1]国家核安全局.HAF103核动力厂运行安全规定[R].北京:国家核安全局,2004.
[2]曲鸣,张玉峰,李姝,等.核电厂DCS仿真与设计验证[J].中国核科学技术进展报告(第一卷),核能动力分卷(下), 2009,11:769-777.
[3]顾文革.三代核电机组全范围模拟机技术探讨[C]//2011核能行业仿真技术及应用研讨会.中国核能行业协会.北京: 中国核能行业协会,2011,7:25-31.
[4]陈华英.磁盘阵列RAID可靠性分析[J].电子科技大学学报, 第35卷第3期,2006,6:403-405.
[5]王宇明.磁盘阵列存储技术简析[J].现代电视技术,2006,7:140-142.
[6]兰志斌.核电站模拟机维护经验浅谈[C]//2011核能行业仿真技术及应用研讨会.中国核能行业协会.北京: 中国核能行业协会,2011,7:77-80.
[7]周海翔,唐亚梅.田湾核电站全尺寸模拟机维护维修策略与措施分析[J].核安全,NO.2.2006:8-15.。