核電廠信息安全標(biāo)準(zhǔn)研究

王 飛，夏丹陽(yáng)，向 嫄

（中核控制系統(tǒng)工程有限公司，北京 100176）

核電廠信息安全標(biāo)準(zhǔn)研究

王 飛，夏丹陽(yáng)，向 嫄

（中核控制系統(tǒng)工程有限公司，北京 100176）

在當(dāng)前日益嚴(yán)重的信息安全形勢(shì)下，國(guó)內(nèi)外都已認(rèn)識(shí)到工業(yè)病毒等的危害，也意識(shí)到核電廠信息安全問(wèn)題的嚴(yán)峻。隨著信息化與工業(yè)化深度融合，核電廠信息安全變得日益重要。文章以國(guó)際和國(guó)內(nèi)組織的相關(guān)標(biāo)準(zhǔn)為依據(jù)，綜述了工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化的現(xiàn)狀，針對(duì)我國(guó)目前標(biāo)準(zhǔn)體系研究存在的一些不足，給出了相關(guān)建議，為進(jìn)一步完善國(guó)內(nèi)核電領(lǐng)域信息安全標(biāo)準(zhǔn)提供參考。

信息安全；標(biāo)準(zhǔn)體系；核電廠

隨著IT技術(shù)的快速發(fā)展，特別是信息化和工業(yè)化深度結(jié)合，使得病毒、木馬等傳統(tǒng)IT領(lǐng)域的威脅向工業(yè)領(lǐng)域擴(kuò)散，工業(yè)控制的信息安全問(wèn)題日漸嚴(yán)峻。核電作為重要能源，在全球發(fā)展迅速，核電廠使用計(jì)算機(jī)控制系統(tǒng)已經(jīng)成為必然趨勢(shì)，計(jì)算機(jī)技術(shù)正越來(lái)越多地被用于完成核電廠的許多關(guān)鍵功能。但目前對(duì)于核電廠信息安全應(yīng)該如何開(kāi)展還沒(méi)有統(tǒng)一的、科學(xué)的說(shuō)法。如何證明信息安全設(shè)計(jì)是足夠可靠的，如何確認(rèn)一個(gè)核電廠儀控系統(tǒng)是足夠安全的？有沒(méi)有相關(guān)法律法規(guī)和標(biāo)準(zhǔn)用于指導(dǎo)？這些是核電廠儀控系統(tǒng)實(shí)現(xiàn)數(shù)字化必須解決的關(guān)鍵問(wèn)題。

本文針對(duì)國(guó)內(nèi)外工控系統(tǒng)信息安全研究現(xiàn)狀，對(duì)相關(guān)法規(guī)和標(biāo)準(zhǔn)進(jìn)行了綜述，為進(jìn)一步建立和完善我國(guó)工控信息安全標(biāo)準(zhǔn)，尤其是核電領(lǐng)域的相關(guān)標(biāo)準(zhǔn)體系提供參考。

1 信息安全標(biāo)準(zhǔn)研究

1．1 國(guó)際工控系統(tǒng)信息安全標(biāo)準(zhǔn)研究

歐美等發(fā)達(dá)國(guó)家非常重視工業(yè)控制系統(tǒng)信息安全的標(biāo)準(zhǔn)化工作，在標(biāo)準(zhǔn)法規(guī)方面已經(jīng)形成了從國(guó)家法規(guī)標(biāo)準(zhǔn)到行業(yè)規(guī)范指南等一系列規(guī)范性文件［1－8］。表1總結(jié)了最受關(guān)注的國(guó)際組織和各國(guó)已發(fā)布的標(biāo)準(zhǔn)、指南及法規(guī)等文件。其中最具影響力的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)包括：IEC 62443、NIST SP 800－82，以及針對(duì)核電廠應(yīng)用背景的計(jì)算機(jī)信息安全標(biāo)準(zhǔn)IAEA Nuclear Security Series No．17和IEC 62645。

表1 國(guó)際組織及美國(guó)等發(fā)布的重要工業(yè)控制系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)、指南及法規(guī)列表Table 1 List of safety standards，guidelines and regulations for important industrial control systems issued by international organizations and the United States

續(xù)表

1．1．1 IEC 62443

IEC 62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)，是專門(mén)針對(duì)工業(yè)自動(dòng)化和功能安全的系列標(biāo)準(zhǔn)，旨在定義一個(gè)通用的、最小要求集以達(dá)到各級(jí)SALS（Security Assurances Levels，SAL）的安全保障需求，共分為了四個(gè)部分：第一部分是通用標(biāo)準(zhǔn)，第二部分是策略和規(guī)程，第三部分提出系統(tǒng)級(jí)的措施，第四部分提出組件級(jí)的措施，共包含了12個(gè)文檔，每個(gè)文檔詳細(xì)描述了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的不同方面［2］。

1．1．2 NIST SP 800－82

NIST SP 800－82為SCADA 和 DCS等工業(yè)系統(tǒng)信息安全提供指南。它概述了工業(yè)控制系統(tǒng)的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，指出了對(duì)于這些系統(tǒng)的典型威脅和脆弱點(diǎn)之所在，為消減相關(guān)風(fēng)險(xiǎn)提供了建議性安全對(duì)策。同時(shí)，根據(jù)工業(yè)控制系統(tǒng)的潛在安全隱患及安全隱患影響水平的不同，指出保障工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的控制系統(tǒng)。

為保證工業(yè)控制系統(tǒng)的安全運(yùn)行，NIST SP 800－82對(duì)以下六個(gè)方面內(nèi)容進(jìn)行了詳細(xì)說(shuō)明：一是給出了SCADA、DCS、PLC等工業(yè)控制系統(tǒng)的概述及其典型的系統(tǒng)拓?fù)洌欢顷U述了工業(yè)控制系統(tǒng)與IT系統(tǒng)之間的區(qū)別；三是標(biāo)識(shí)了工業(yè)控制系統(tǒng)的典型威脅、漏洞及安全事件；四是明確了如何開(kāi)發(fā)及部署SCADA系統(tǒng)的安全程序；五是定義了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)建設(shè)體系結(jié)構(gòu)；六是說(shuō)明了如何把NIST SP 800－53中 “聯(lián)邦信息系統(tǒng)與組織安全控制方法”部分提出的管理、運(yùn)營(yíng)和技術(shù)方面的安全控制措施，剪裁運(yùn)用到工業(yè)控制系統(tǒng)中［3］。

1．1．3 IAEA Nuclear Security Series No．17

IAEA Nuclear Security Series No．17是國(guó)際原子能機(jī)構(gòu)發(fā)布的，屬于 “技術(shù)導(dǎo)則”類別的原子能機(jī)構(gòu) 《核安保叢書(shū)》，內(nèi)容涉及核設(shè)施的計(jì)算機(jī)安全，是基于各國(guó)的經(jīng)驗(yàn)和實(shí)踐以及計(jì)算機(jī)安全和核安保領(lǐng)域的出版物［4］。

本出版物旨在提供針對(duì)核設(shè)施執(zhí)行計(jì)算機(jī)安全計(jì)劃的導(dǎo)則和關(guān)于評(píng)價(jià)現(xiàn)有計(jì)劃、評(píng)定關(guān)鍵數(shù)字資產(chǎn)和確定以適當(dāng)?shù)姆绞浇档惋L(fēng)險(xiǎn)措施的意見(jiàn)。內(nèi)容分為兩部分，第一部分是管理導(dǎo)則，主要從監(jiān)管和管理方面的考慮因素、管理系統(tǒng)和組織問(wèn)題這三個(gè)方面進(jìn)行說(shuō)明。目的是從管理層面，支持管理人員就設(shè)施內(nèi)計(jì)算機(jī)安全的政策、設(shè)計(jì)和管理做出判斷和決定，這部分提供了關(guān)于計(jì)算機(jī)安全的監(jiān)管和管理規(guī)定的導(dǎo)則。第二部分是實(shí)施導(dǎo)則，主要闡述了關(guān)于執(zhí)行計(jì)算機(jī)安全綜合計(jì)劃的技術(shù)和行政導(dǎo)則。

本出版物根據(jù)安全重要性和安保重要性對(duì)核設(shè)施計(jì)算機(jī)系統(tǒng)進(jìn)行了分類，具體分類如圖1所示。對(duì)于各個(gè)分類規(guī)定了其所適用的安全級(jí)別相應(yīng)的措施。安全級(jí)別分為5級(jí)和通用級(jí)別。通用級(jí)別的措施適用于所有計(jì)算機(jī)系統(tǒng)，安全級(jí)別由5級(jí) （需最少保護(hù)）至1級(jí) （需最多保護(hù)）構(gòu)成。

1．1．4 IEC 62645

圖1 核設(shè)施計(jì)算機(jī)系統(tǒng)分類Fig．1 Classification of computer systems in nuclear facilities

IEC 62645為核電廠基于計(jì)算機(jī)的儀表和控制 （I＆C）系統(tǒng)或集成的硬件描述語(yǔ)言可編程器件 （HPD） （I＆C CB＆HPD系統(tǒng)）開(kāi)發(fā)和管理有效的信息安全程序，確立要求并提供指南。其主要目的是規(guī)定相應(yīng)的程序化措施，來(lái)預(yù)防、檢測(cè)和響應(yīng)對(duì)I＆C CB＆HPD系統(tǒng)使用數(shù)字化手段 （如網(wǎng)絡(luò)攻擊）的惡意行為［5］。

本標(biāo)準(zhǔn)僅適用于核電廠I＆C CB＆HPD系統(tǒng) （包括非安全級(jí)系統(tǒng)）的計(jì)算機(jī)安全，旨在評(píng)估和更改已確立的核電廠I＆C CB＆HPD系統(tǒng)信息安全程序，或建立新的信息安全程序。

本標(biāo)準(zhǔn)分別描述了大綱級(jí)別和系統(tǒng)級(jí)別的信息安全生命周期以及控制級(jí)別的信息安全主題領(lǐng)域。文中描述的信息安全生命周期與GB／T 22080：2008規(guī)劃－實(shí)施－檢查－處置 （PDCA）循環(huán)過(guò)程一致，分級(jí)方法和信息安全分類條款與 GB／T 15474相似。

1．2 國(guó)內(nèi)工控系統(tǒng)信息安全標(biāo)準(zhǔn)研究

我國(guó)工控系統(tǒng)信息安全的相關(guān)工作起步較晚，在標(biāo)準(zhǔn)制定方面，相較國(guó)外比較落后，近些年才開(kāi)展工業(yè)控制系統(tǒng)信息安全的標(biāo)準(zhǔn)化工作。目前關(guān)于IT領(lǐng)域和其他工控領(lǐng)域的信息安全標(biāo)準(zhǔn)已陸續(xù)發(fā)布，但針對(duì)核電廠應(yīng)用背景的計(jì)算機(jī)信息安全標(biāo)準(zhǔn)，我國(guó)尚未制訂相關(guān)標(biāo)準(zhǔn)，對(duì)核電DCS信息安全潛在風(fēng)險(xiǎn)也缺乏系統(tǒng)地深入分析和研究，沒(méi)有相關(guān)標(biāo)準(zhǔn)指導(dǎo)如何制定信息安全程序來(lái)防護(hù)核電DCS免受惡意攻擊。

對(duì)目前國(guó)內(nèi)已發(fā)布的信息安全標(biāo)準(zhǔn)進(jìn)行了歸納總結(jié)，分為四個(gè)層面：法規(guī)規(guī)章、基礎(chǔ)性標(biāo)準(zhǔn)、細(xì)化標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，如圖2所示。在法規(guī)規(guī)章層面的標(biāo)準(zhǔn)有國(guó)務(wù)院147號(hào)令 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、中辦發(fā) 【2003】27號(hào) 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》、公通字【2004】66號(hào) 《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》以及公通字 【2007】43號(hào) 《信息安全等級(jí)保護(hù)管理辦法》?；A(chǔ)性標(biāo)準(zhǔn)層面，國(guó)家發(fā)布了 GB／T 17859－1999 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，在此基礎(chǔ)上又細(xì)化出 了 GB／T 22239－2008、GB／T 20269－2006、GB／T 20270－2006、GB／T 20271－2006等多個(gè)標(biāo)準(zhǔn)，共同構(gòu)成了信息系統(tǒng)安全等級(jí)保護(hù)的相關(guān)配套標(biāo)準(zhǔn)。在行業(yè)標(biāo)準(zhǔn)層面，有對(duì)電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的釋義，分為管理類信息系統(tǒng)分冊(cè)和生產(chǎn)控制類信息系統(tǒng)分冊(cè)，以及針對(duì)工業(yè)控制系統(tǒng)的標(biāo)準(zhǔn)GB／T 30976．1《工業(yè)控制系統(tǒng)信息安全——評(píng)估規(guī)范》、GB／T 30976．2 《工業(yè)控制系統(tǒng) 信息 安全——驗(yàn)收規(guī)范》和2016年新出的標(biāo)準(zhǔn)GB／T 32919《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制指南》、GB／T 33009．1～GB／T 33009．4關(guān)于工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)級(jí)標(biāo)準(zhǔn)。

1．2．1 GB／T 30976

GB／T 30976結(jié)合了國(guó)際標(biāo)準(zhǔn)IEC62443中對(duì)系統(tǒng)管理和技術(shù)的思想，提出了符合國(guó)情的評(píng)估規(guī)范和驗(yàn)收規(guī)范［6－7］。

該標(biāo)準(zhǔn)的第一部分GB／T30976．1《工業(yè)控制系統(tǒng)信息安全 第一部分：評(píng)估規(guī)范》規(guī)定了工業(yè)控制系統(tǒng)信息安全評(píng)估的目標(biāo)、評(píng)估的內(nèi)容以及實(shí)施過(guò)程等，重點(diǎn)描述了組織機(jī)構(gòu)管理評(píng)估和系統(tǒng)能力 （技術(shù)）評(píng)估的內(nèi)容及目標(biāo)［6］。

組織機(jī)構(gòu)管理評(píng)估分為：

1）信息安全方針；

2）信息安全組織機(jī)構(gòu)；

3）資產(chǎn)管理；

4）人力資源安全；

5）物理和環(huán)境安全；

圖2 國(guó)內(nèi)信息安全標(biāo)準(zhǔn)脈絡(luò)體系Fig．2 Domestic information security standard system

6）通信和操作管理；

7）訪問(wèn)控制；

8）信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)；

9）信息安全事件管理；

10）業(yè)務(wù)連續(xù)性管理；

11）符合性。

系統(tǒng)能力 （技術(shù)）評(píng)估是基于基本要求，每一項(xiàng)基本要求又分為若干個(gè)系統(tǒng)要求，其中有些系統(tǒng)要求還包含了增強(qiáng)要求?；疽蠓譃椋?/p>

1）標(biāo)識(shí)和認(rèn)證；

2）使用控制；

3）系統(tǒng)完整性；

4）數(shù)據(jù)保密性；

5）限制的數(shù)據(jù)流；

6）對(duì)事件的及時(shí)響應(yīng)；

7）資源可用性。

該標(biāo)準(zhǔn)的第二部分 GB／T 30976．2 《工業(yè)控制系統(tǒng)信息安全 第一部分：驗(yàn)收規(guī)范》規(guī)定了對(duì)工業(yè)控制系統(tǒng)的信息安全解決方案的安全性進(jìn)行驗(yàn)收的流程、測(cè)試內(nèi)容、方法及應(yīng)達(dá)到的要求［7］。

1．2．2 GB／T 32919

國(guó)家標(biāo)準(zhǔn) GB／T 32919－2016 《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》是我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系中的一項(xiàng)重要標(biāo)準(zhǔn)［8］。

該標(biāo)準(zhǔn)是在深入研究國(guó)外工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國(guó)內(nèi)工業(yè)控制系統(tǒng)應(yīng)用的安全狀況，認(rèn)真分析總結(jié)有關(guān)行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用管理經(jīng)驗(yàn)，廣泛聽(tīng)取專家意見(jiàn)基礎(chǔ)上完成的。

該標(biāo)準(zhǔn)的主要內(nèi)容分為以下5個(gè)方面：

1）安全控制應(yīng)用前提：標(biāo)準(zhǔn)中提到工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估是前提，工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告是輸入文件，并提出了對(duì)于ICS系統(tǒng)存在的風(fēng)險(xiǎn)和脆弱性的處置辦法。

2）安全控制應(yīng)用步驟：組織在安全戰(zhàn)略的指導(dǎo)下，通過(guò)分析ICS系統(tǒng)存在的安全威脅及遭受攻擊可能造成危害，根據(jù)安全需求及相關(guān)標(biāo)準(zhǔn)選擇初始安全控制基線；組織根據(jù)ICS系統(tǒng)的特定需求裁剪初始安全控制基線，獲取裁剪后的安全控制基線；在裁剪后的安全控制基線基礎(chǔ)上，實(shí)施ICS系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估，并補(bǔ)充和增強(qiáng)裁剪后的安全控制基線，以提出滿足組織的特定安全需求、業(yè)務(wù)需求和運(yùn)行需求的安全控制基線。

3）安全控制選擇與規(guī)約：描述了如何實(shí)施對(duì)初始安全控制基線的裁剪、補(bǔ)償、補(bǔ)充和增強(qiáng)。

4）安全控制應(yīng)用范圍：標(biāo)準(zhǔn)中指出安全控制選擇過(guò)程可從兩種不同的視角應(yīng)用到新開(kāi)發(fā)系統(tǒng)和在運(yùn)行系統(tǒng)。對(duì)于新開(kāi)發(fā)系統(tǒng)，從需求定義的視角進(jìn)行安全控制選擇過(guò)程，包含在安全計(jì)劃匯總的安全控制作為組織的安全規(guī)約說(shuō)明，并把這些安全控制在系統(tǒng)開(kāi)發(fā)生存周期的各階段并入到該系統(tǒng)中。對(duì)于在運(yùn)行系統(tǒng)，當(dāng)組織對(duì)系統(tǒng)進(jìn)行大量變更時(shí)，就要從差距分析的視角進(jìn)行安全控制選擇過(guò)程。

5）安全控制調(diào)整：標(biāo)準(zhǔn)中指出了可能引起修改或調(diào)整當(dāng)前的安全控制事件及如何進(jìn)行調(diào)整。

此標(biāo)準(zhǔn)針對(duì)各行業(yè)使用的工業(yè)控制系統(tǒng)給出的安全控制應(yīng)用基本方法，可以指導(dǎo)組織選擇、裁剪、補(bǔ)償和補(bǔ)充工業(yè)控制系統(tǒng)安全控制，獲取適合組織需要的、應(yīng)允的安全控制基線，以滿足組織對(duì)工業(yè)控制系統(tǒng)安全需求，幫助組織實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)進(jìn)行有效的風(fēng)險(xiǎn)控制管理。

2 信息安全標(biāo)準(zhǔn)的幾點(diǎn)建議

目前各標(biāo)準(zhǔn)化組織在核電信息安全標(biāo)準(zhǔn)方面已經(jīng)做了大量工作，具備一定的基礎(chǔ)，國(guó)內(nèi)由于核電技術(shù)發(fā)展較晚，工程經(jīng)驗(yàn)缺乏，可以借鑒國(guó)外已有的核電信息安全相關(guān)標(biāo)準(zhǔn)，但是核電技術(shù)本身正處于不斷發(fā)展之中，目前相關(guān)標(biāo)準(zhǔn)并不成熟，完全參考國(guó)外標(biāo)準(zhǔn)是行不通的，因此，必須要立足自主創(chuàng)新，發(fā)展具有我國(guó)特色的核電廠信息安全標(biāo)準(zhǔn)，為開(kāi)展核電廠信息安全技術(shù)研究、設(shè)計(jì)和應(yīng)用提供指導(dǎo)。

1）逐步健全工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系，形成涵蓋安全管理、系統(tǒng)安全防護(hù)、產(chǎn)品安全防護(hù)、風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)等一系列完善的標(biāo)準(zhǔn)體系，為核電行業(yè)信息安全設(shè)計(jì)和評(píng)估提供合理的依據(jù)。

2）加強(qiáng)核電廠信息安全問(wèn)題的重視程度，逐漸在國(guó)家標(biāo)準(zhǔn)的引領(lǐng)下建立適用于核電行業(yè)自身特點(diǎn)的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，使標(biāo)準(zhǔn)具有更強(qiáng)的適用性。

3）加強(qiáng)對(duì)現(xiàn)有發(fā)布標(biāo)準(zhǔn)的宣貫和解讀，合理應(yīng)用到核電領(lǐng)域，借助國(guó)家政策法規(guī)推動(dòng)標(biāo)準(zhǔn)的落地實(shí)施，使得標(biāo)準(zhǔn)的正確使用能從一定程度上保障核電廠的安全穩(wěn)定運(yùn)行。

3 結(jié)束語(yǔ)

隨著信息化與工業(yè)化深度融合，核電廠信息安全變得日益重要。本文針對(duì)國(guó)內(nèi)外信息安全研究現(xiàn)狀，綜述并深入分析了現(xiàn)有與核電廠信息安全相關(guān)的標(biāo)準(zhǔn)，并在此基礎(chǔ)上對(duì)我國(guó)核電廠信息安全標(biāo)準(zhǔn)制定工作提出了幾點(diǎn)建議，為進(jìn)一步完善國(guó)內(nèi)核電領(lǐng)域信息安全標(biāo)準(zhǔn)提供參考。

［1］彭勇，江常青，謝豐，等 ．工業(yè)控制系統(tǒng)信息安全研究進(jìn)展 ［J］．清華大學(xué)學(xué)報(bào) （自然科學(xué)版），2012，52 （10）：1396－1408．

［2］歐陽(yáng)勁松，丁露．IEC 62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述 ［J］．信息技術(shù)與標(biāo)準(zhǔn)化，2012 （3）：24－27．

［3］NIST．Guide to Industrial Control System （ICS）Security：NIST SP800－82 ［S］．Gaithersburg，USA：National Institute of Standards and Technology （NIST），2014．

［4］IAEA．Computer Security at Nuclear Facilities：IAEA Nuclear Security Series No．17 ［S］．Vienna：International Atomic Energy Agency （IAEA），2011．

［5］IEC．Nuclear power plants－Instru－mentation and control systems－Requirements for security programmes for computer－based systems：IEC 62645 ［S］．Gen－eva，Switzerland：International Electrotechnical Commi－ssion（IEC），2014．

［6］中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) ．工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范 GB／T 30976．1—2014 ［S］．北京：國(guó)家質(zhì)檢總局，2014．

［7］中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) ．工業(yè)控制系統(tǒng)信息安全第2部分：驗(yàn)收規(guī)范 GB／T 30976．2—2014 ［S］．北京：國(guó)家質(zhì)量監(jiān)督局，2014．

［8］中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) ．信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南：GB／T 32919—2016 ［S］．北京：國(guó)家質(zhì)量監(jiān)督局，2016．

Study on the Information Security Standards for Nuclear Power Plant

WANG Fei，XIA Dan－yang，XIANG Yuan
（China Nuclear Control System Engineering Co．，Ltd．，Beijing 100176，China）

In the current increasingly serious situation of information security，both international and domestic industrial hazards such as virus have been recognized．Serious information security problems have also been recognized．With the integration of information technology and industrialization development，information security of nuclear power plant has become increasingly important．Based on investigation of related codes and standards from different international and domestic organizations，this paper reviews the status of ICS security．Some existing deficiencies of the current domestic study on the ICS security standard system are presented，and some suggestions for further improving domestic nuclear power standards are given．

information security；standard system；nuclear power plant

TP309 Article character：A Article ID：1674－1617 （2017）03－0326－06

TP309

A

1674－1617 （2017）03－0326－06

10．12058／zghd．2017．03．326

2017－05－26

王 飛 （1985—），女，河北人，工程師，現(xiàn)主要從事核電項(xiàng)目的V＆V工作 （E－mail：feiwang1985＠126．com）。

（責(zé)任編輯：白佳）