核電廠安全級軟件信息安全分析方法研究

王 飛 張穎穎

（中核控制系統(tǒng)工程有限公司，中國 北京 100000）

0 引言

核電作為重要能源，在全球發(fā)展迅速，核電廠使用計算機(jī)控制系統(tǒng)已經(jīng)成為必然趨勢。 在核電廠儀控系統(tǒng)實(shí)現(xiàn)數(shù)字化進(jìn)程中， 如何保證核安全級軟件的安全性是一個必然要解決的重要問題。 為了提高軟件的安全性， 需要對核電廠安全級應(yīng)用軟件開發(fā)過程中的信息安全進(jìn)行分析， 識別系統(tǒng)潛在的危險， 在開發(fā)過程中采取適當(dāng)?shù)拇胧﹣硐?防止或控制危險的發(fā)生。但目前對于核電廠信息安全應(yīng)該如何開展還沒有統(tǒng)一的、科學(xué)的體系。

參照IEEE1012-2004 中的要求，對于核電安全級應(yīng)用軟件在軟件生命周期的概念 （總體需求、 總體規(guī)劃）、軟件需求、軟件設(shè)計、軟件實(shí)施和測試階段、軟件安裝和檢驗(yàn)階段、 軟件運(yùn)營和維護(hù)階段均要求進(jìn)行信息安全分析工作。 本文詳細(xì)描述了軟件生命周期要求的信息安全分析任務(wù)的工作程序和驗(yàn)收準(zhǔn)則， 為核電安全級軟件信息安全分析工作進(jìn)一步開展提供參考。

1 信息安全分析方法和過程

1.1 概念階段信息安全分析

a）進(jìn)行初步信息安全威脅和風(fēng)險評估

分析控制系統(tǒng)可能存在的信息安全威脅和風(fēng)險。例如信息的非法侵入， 破壞信息保密性； 攔截或修改信息，修改軟件或硬件，破壞完整性；阻礙數(shù)據(jù)傳遞，關(guān)閉系統(tǒng)， 破壞可用性； 對通信系統(tǒng)或電腦數(shù)據(jù)非法干擾或修改，破壞可靠性。

源于設(shè)計本身的風(fēng)險考慮合法用戶和非法用戶兩個方面安全威脅。 來自非法用戶的襲擊： 例如黑客從外網(wǎng)登入系統(tǒng)， 或用垃圾信息占滿網(wǎng)絡(luò)使服務(wù)無效。來自合法用戶的襲擊： 例如關(guān)閉重要控制系統(tǒng)， 企圖釋放計算機(jī)病毒到控制系統(tǒng)網(wǎng)絡(luò)

輸入文檔：系統(tǒng)總體需求規(guī)格書，信息安全計劃

輸出文檔：初步信息安全威脅和風(fēng)險評估報告

b）審查系統(tǒng)信息安全等級

對控制系統(tǒng)的信息安全保護(hù)采用分級措施。 將控制系統(tǒng)分級， 各級別對安全風(fēng)險可接受程度不同，相應(yīng)措施的內(nèi)容和嚴(yán)格度也有區(qū)別。 把計算機(jī)系統(tǒng)劃分為不同區(qū)域， 一些基本的保護(hù)措施應(yīng)用在區(qū)域邊界。計算機(jī)系統(tǒng)安全級別從高到低分為1 到5 級。 第一級用于保護(hù)系統(tǒng)， 非法侵入導(dǎo)致的后果極為嚴(yán)重， 要求最高級別的安全保護(hù)。 第二級為需要較高安全保護(hù)的運(yùn)行控制系統(tǒng)。 第三級為對運(yùn)行非必要的實(shí)時監(jiān)視系統(tǒng)， 如控制室中的實(shí)時過程監(jiān)視系統(tǒng)。 第四級為非法侵入引起后果為中級的技術(shù)支持系統(tǒng)。 第五級為與控制和技術(shù)系統(tǒng)無直接關(guān)系的計算機(jī)系統(tǒng)， 如辦公用計算機(jī)，安全保護(hù)需求較低。

審查被分析的控制系統(tǒng)是否已經(jīng)定義信息安全等級，并驗(yàn)證信息安全等級是否正確合理。

c）識別系統(tǒng)潛在信息安全風(fēng)險

從信息安全角度分析系統(tǒng)總體需求， 識別潛在的安全風(fēng)險。 可從以下幾個方面分析：

（1）保密性方面，如泄露敏感信息；

（2）完整性方面，如修改信息數(shù)據(jù)；

（3）可用性方面，如獲取信息服務(wù)失效；

（4）權(quán)限方面，如用戶權(quán)限分配。

分析系統(tǒng)自身引起的信息安全風(fēng)險和系統(tǒng)與外部接口的信息安全風(fēng)險。

輸入文檔：系統(tǒng)總體需求規(guī)格書，安全計劃，初步信息安全威脅和風(fēng)險評估報告

輸出文檔：信息安全分析報告，異常報告

1.2 需求階段信息安全分析

驗(yàn)證軟件信息安全相關(guān)需求已正確定義， 確認(rèn)軟件已消或除控制了系統(tǒng)引入的信息安全風(fēng)險。 提出處理、 減輕和控制風(fēng)險的建議。 驗(yàn)證信息安全需求將安全風(fēng)險降低在可接受范圍內(nèi)。

輸入文檔：初步信息安全威脅和風(fēng)險評估報告，系統(tǒng)總體需求規(guī)格書， 軟件需求規(guī)格說明書， 概念階段信息安全分析報告

輸出文檔：信息安全分析報告，異常報告

1.3 設(shè)計階段信息安全分析

驗(yàn)證系統(tǒng)/軟件結(jié)構(gòu)（概要設(shè)計）和詳細(xì)設(shè)計能充分解決信息安全需求。 包括系統(tǒng)本身和外部接口的信息安全風(fēng)險都有相應(yīng)設(shè)計來處理。

輸入文檔：軟件概要設(shè)計說明書,軟件詳細(xì)設(shè)計說明書， 軟件需求規(guī)格說明書， 需求階段信息安全分析報告

輸出文檔：信息安全分析報告，異常報告

1.4 實(shí)施階段信息安全分析

驗(yàn)證具體實(shí)施與設(shè)計一致，解決了信息安全風(fēng)險，并且未引入新的安全風(fēng)險。

輸入文檔：源代碼，軟件概要設(shè)計說明書，軟件詳細(xì)設(shè)計說明書，設(shè)計階段信息安全分析報告

輸出文檔：信息安全分析報告，異常報告

1.5 測試階段信息安全分析

通過測試確認(rèn)系統(tǒng)滿足信息安全需求和設(shè)計，驗(yàn)證最終系統(tǒng)未引入新的安全風(fēng)險。

輸入文檔：源代碼，可執(zhí)行代碼，集成后的系統(tǒng)，測試結(jié)果，編程實(shí)施階段信息安全分析報告

輸出文檔：信息安全分析報告，異常報告

1.6 安裝和檢驗(yàn)階段信息安全分析

驗(yàn)證安裝的軟件未對整個系統(tǒng)引入或增加新的漏洞和安全風(fēng)險。

輸入文檔：安裝包，用戶手冊

輸出文檔：信息安全分析報告，異常報告

1.7 運(yùn)行階段信息安全分析

驗(yàn)證未引入新的安全風(fēng)險導(dǎo)致運(yùn)行環(huán)境的改變。

運(yùn)行一段時間，根據(jù)總體需求中的外部接口、威脅和技術(shù)的變更， 來執(zhí)行更新的信息安全分析， 從而確定新的殘留風(fēng)險。輸入文檔：新約束、環(huán)境變化、運(yùn)行規(guī)程輸出文檔：信息安全分析報告

1.8 維護(hù)階段信息安全分析

驗(yàn)證軟件的改變和更新未對整個系統(tǒng)引入或增加新的漏洞和安全風(fēng)險。

輸入文檔：軟件變更，安裝包

輸出文檔：信息安全分析報告

2 結(jié)論

隨著信息化與工業(yè)化深度融合， 核電廠信息安全變得日益重要。 本文針對國內(nèi)外信息安全研究現(xiàn)狀，詳細(xì)描述了軟件生命周期要求的信息安全分析任務(wù)的工作程序和驗(yàn)收準(zhǔn)則， 為核電安全級軟件信息安全分析工作進(jìn)一步開展提供參考。