毛磊　鄭威　謝新勤

1 引言

在確保安全的基礎(chǔ)上高效發(fā)展核電，是當(dāng)前我國(guó)能源建設(shè)和核電發(fā)展的一項(xiàng)重要政策，隨著整個(gè)能源行業(yè)“兩化融合”的進(jìn)程日益深化，數(shù)字化控制技術(shù)在核電廠已廣泛應(yīng)用，網(wǎng)絡(luò)安全問(wèn)題逐漸成為核電站運(yùn)行安全的重要組成部分。伊朗布什爾核電廠的“震網(wǎng)”病毒攻擊事件后，工信部發(fā)布了451號(hào)文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，提出了要充分認(rèn)識(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性。核電廠重要信息系統(tǒng)、電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全保障成為日益安全重要的工作，其中核電儀控系統(tǒng)的安全防護(hù)更需要從設(shè)計(jì)、制造、建造到運(yùn)維各階段進(jìn)行全壽期保障。本文根據(jù)核電現(xiàn)有法規(guī)標(biāo)準(zhǔn)，針對(duì)核電廠信息安全普遍現(xiàn)狀，提出了針對(duì)核電廠信息安全防護(hù)策略，通過(guò)對(duì)核電廠的風(fēng)險(xiǎn)評(píng)估，建立防護(hù)模型，依據(jù)防護(hù)措施的實(shí)施來(lái)。

2 核電儀控系統(tǒng)信息安全標(biāo)準(zhǔn)法規(guī)

國(guó)際電工委員會(huì)IEC 45A委員會(huì)下正在制定有關(guān)核電儀控系統(tǒng)信息安全有關(guān)標(biāo)準(zhǔn)，已發(fā)布的有IEC 62645。國(guó)際原子能機(jī)構(gòu)IAEA 目前也出版了NSS17《核設(shè)施的計(jì)算機(jī)安全》。在美國(guó)核電信息安全標(biāo)準(zhǔn)體系中，信息安全法規(guī)要求來(lái)源于10 CFR 73.54，導(dǎo)則有RG 5.71、RG 1.152等。信息安全相關(guān)的標(biāo)準(zhǔn)和技術(shù)規(guī)定依據(jù)NIST SP800和IEEE系列標(biāo)準(zhǔn)等。

我國(guó)關(guān)于核電廠信息安全體系目前尚不夠完整，還沒(méi)有專門針對(duì)核電廠信息安全的法規(guī)標(biāo)準(zhǔn)。核電廠信息系統(tǒng)主要依據(jù)的是等級(jí)保護(hù)標(biāo)準(zhǔn)，核安全導(dǎo)則方面有HAD 102/16《核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》提出對(duì)信息安全的要求。國(guó)家發(fā)改委第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》對(duì)核電廠基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)提出了信息安全規(guī)定。針對(duì)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化工作也在不斷完善，目前全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC124）已發(fā)布安全標(biāo)準(zhǔn)GB/T26333-2010《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。

3 儀控系統(tǒng)信息安全風(fēng)險(xiǎn)

工業(yè)信息安全是面對(duì)特定威脅的保障能力，是先從面對(duì)特定威脅源的風(fēng)險(xiǎn)評(píng)估做起。對(duì)于核電廠來(lái)說(shuō)，面臨的主要威脅如表1所示。

這些威脅利用儀控系統(tǒng)的漏洞（脆弱性），形成安全風(fēng)險(xiǎn)。RG 5.71導(dǎo)則定義來(lái)看，核電站控制系統(tǒng)信息安全專注于安全、安保、應(yīng)急、保護(hù)（SSEP： Safty、Security、Emergency、Protection）功能及其相關(guān)相連系統(tǒng)的數(shù)字計(jì)算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò)免受攻擊。通過(guò)確認(rèn)SSEP功能相關(guān)的電廠系統(tǒng)、設(shè)備、通信系統(tǒng)和網(wǎng)絡(luò)，可以明確信息安全需要保護(hù)的系統(tǒng)。這些系統(tǒng)被定義為關(guān)鍵系統(tǒng)（CS），關(guān)鍵系統(tǒng)通常包括控制系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、應(yīng)急響應(yīng)設(shè)施和實(shí)物保護(hù)系統(tǒng)。系統(tǒng)中對(duì)SSEP的直接、間接或輔助作用的數(shù)字設(shè)備成為關(guān)鍵數(shù)字設(shè)備（CAD）。需要對(duì)關(guān)鍵數(shù)字設(shè)備和系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確立其可接受的風(fēng)險(xiǎn)級(jí)別，為信息安全的防御策略和防御模型提供實(shí)施基礎(chǔ)。

風(fēng)險(xiǎn)評(píng)估的主要工作是依托原始資料，作為風(fēng)險(xiǎn)評(píng)估的基線，包括歷史風(fēng)險(xiǎn)評(píng)估資料，待評(píng)估系統(tǒng)的分區(qū)分域資料，詳細(xì)的分區(qū)內(nèi)拓?fù)浜驮O(shè)備清單，已實(shí)施的安全管理規(guī)范和已實(shí)施信息安全加固建設(shè)的方案。若具有原形系統(tǒng)或者仿真系統(tǒng)，還可以進(jìn)行風(fēng)險(xiǎn)測(cè)試，評(píng)估潛在存在的問(wèn)題。結(jié)合實(shí)地調(diào)查和訪談，落實(shí)原始材料與實(shí)際情況之間的差距，并與相關(guān)人員初步探討風(fēng)險(xiǎn)評(píng)估的結(jié)果。

風(fēng)險(xiǎn)評(píng)估主要分幾個(gè)步驟。

（1）風(fēng)險(xiǎn)評(píng)估準(zhǔn)備：明確安全目標(biāo)，確定評(píng)估范圍；（2）解構(gòu)工廠：根據(jù)IEC 62443的區(qū)域管道模型，將評(píng)估對(duì)象分解成若干個(gè)區(qū)域和連接這些區(qū)域的通信管道；（3）資產(chǎn)識(shí)別：識(shí)別業(yè)務(wù)范圍內(nèi)的關(guān)鍵系統(tǒng)參數(shù)、操作這參數(shù)的信息/控制系統(tǒng)、到達(dá)這些系統(tǒng)的路徑，計(jì)算資產(chǎn)的重要度權(quán)重；（4）威脅識(shí)別：選定威脅源，評(píng)估威脅源能力和所需資源，從黑客角度識(shí)別威脅源的攻擊路徑；（5）脆弱性識(shí)別：根據(jù)威脅源能力，選定脆弱性發(fā)現(xiàn)的方法，掃描系統(tǒng)漏洞，并進(jìn)行脆弱性評(píng)估；（6）已采取的安全措施的確認(rèn)：評(píng)估安全措施有效性，識(shí)別現(xiàn)有安全控制措施，包括技術(shù)措施和管理措施，并對(duì)這些控制措施對(duì)資產(chǎn)的保護(hù)程度和效果，即控制措施的有效性進(jìn)行分析和等級(jí)評(píng)估；（7）風(fēng)險(xiǎn)計(jì)算：綜合威脅、資產(chǎn)、脆弱性等因素相應(yīng)的量化數(shù)據(jù)，進(jìn)行綜合性的分析，評(píng)估信息安全管理中存在的風(fēng)險(xiǎn)。

4 儀控系統(tǒng)信息安全防護(hù)模型

儀控系統(tǒng)主要位于核電廠信息安全防御模型第四層和第三層，如圖2所示。在該模型中，最重要的數(shù)字設(shè)備將得到最高級(jí)別的保護(hù)，它們位于安全保護(hù)最嚴(yán)密的內(nèi)圈。每一層安全保護(hù)的設(shè)計(jì)將防止他人通過(guò)多層網(wǎng)絡(luò)中相同或相似的安全漏洞，非法訪問(wèn)關(guān)鍵數(shù)字設(shè)備。雖然位于信息安全總體防御模型的內(nèi)部區(qū)域，但由于其對(duì)核安全和安全生產(chǎn)有著直接重要關(guān)系，在滿足信息安全防御模型的基礎(chǔ)上，還需要結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果，進(jìn)行安全防護(hù)。

信息安全的防護(hù)很大程度上是阻斷非授權(quán)的訪問(wèn)控制鏈。結(jié)合國(guó)內(nèi)外標(biāo)準(zhǔn)中的指導(dǎo)方法不難發(fā)現(xiàn)，防護(hù)的措施大體上是在訪問(wèn)控制鏈上疊加保護(hù)措施。

從根本上講，訪問(wèn)控制是建立主體和客體的識(shí)別、關(guān)系，并在操作過(guò)程中保障這種關(guān)系的執(zhí)行和執(zhí)行過(guò)程的記錄。主客體主要形式可以劃分成幾類，見(jiàn)表2所示。通過(guò)對(duì)儀控系統(tǒng)進(jìn)行信息安全的安全分析，可以整理出各類各級(jí)主客體形式，并進(jìn)而為安全控制手段的建立做好前期準(zhǔn)備。無(wú)論是無(wú)意和有意的來(lái)自組織內(nèi)外的風(fēng)險(xiǎn)，都可以用該防護(hù)模型進(jìn)行有效防護(hù)。即使發(fā)生已經(jīng)被植入后門的系統(tǒng)，只要有效阻斷相應(yīng)的威脅和攻擊路徑，也能阻止風(fēng)險(xiǎn)的發(fā)生。

對(duì)于控制系統(tǒng)本質(zhì)的安全除了從這六個(gè)安全域進(jìn)行分析外，還需要從安全開(kāi)發(fā)角度進(jìn)行分析系統(tǒng)的安全。根據(jù)表2的主客體分析，可以進(jìn)一步整理出安全需求，如表3所示。

由此再看，攻擊某條訪問(wèn)控制鏈的難度為整個(gè)訪問(wèn)控制鏈所有環(huán)節(jié)中防護(hù)能力最強(qiáng)一環(huán)的難度。

5 結(jié)束語(yǔ)

通過(guò)本文的梳理，有助于了解核電領(lǐng)域信息安全的有關(guān)標(biāo)準(zhǔn)，有助于了解風(fēng)險(xiǎn)評(píng)估對(duì)核電領(lǐng)域信息安全工作的意義，有助于了解核電領(lǐng)域信息安全防護(hù)模型和手段；在實(shí)施層面上，為儀控系統(tǒng)的信息安全的防護(hù)工作提供了參考。在以后的工作中，我們將持續(xù)關(guān)注如何結(jié)合國(guó)內(nèi)外的相關(guān)經(jīng)驗(yàn)，制定適用于核電領(lǐng)域的信息安全標(biāo)準(zhǔn)體系；同時(shí)，結(jié)合工控領(lǐng)域信息安全最佳實(shí)踐，在不影響系統(tǒng)功能正常運(yùn)行的前提下，開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估，確定安全需求，開(kāi)展安全方案設(shè)計(jì)，力助實(shí)現(xiàn)核電儀控系統(tǒng)建立起層次化規(guī)范化的信息安全防護(hù)體系。

參考文獻(xiàn)

[1] RG 5.71 核設(shè)施的信息安全程序.

[2] NB/T 20026-2014 核電廠安全重要儀表和控制系統(tǒng)總體要求.

[3] IEC 62443 工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全.

[4] NIST-800-82工業(yè)控制系統(tǒng)（ICS）的安全指南.

[5] IEC 62645核電廠儀器儀表和控制系統(tǒng) ╞針對(duì)計(jì)算機(jī)系統(tǒng)的安全方案的要求.

[6] 國(guó)家發(fā)改委第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》.