王 飛 張穎穎
(中核控制系統(tǒng)工程有限公司,中國 北京 100000)
核電作為重要能源,在全球發(fā)展迅速,核電廠使用計算機(jī)控制系統(tǒng)已經(jīng)成為必然趨勢。 在核電廠儀控系統(tǒng)實(shí)現(xiàn)數(shù)字化進(jìn)程中, 如何保證核安全級軟件的安全性是一個必然要解決的重要問題。 為了提高軟件的安全性, 需要對核電廠安全級應(yīng)用軟件開發(fā)過程中的信息安全進(jìn)行分析, 識別系統(tǒng)潛在的危險, 在開發(fā)過程中采取適當(dāng)?shù)拇胧﹣硐?防止或控制危險的發(fā)生。但目前對于核電廠信息安全應(yīng)該如何開展還沒有統(tǒng)一的、科學(xué)的體系。
參照IEEE1012-2004 中的要求,對于核電安全級應(yīng)用軟件在軟件生命周期的概念 (總體需求、 總體規(guī)劃)、軟件需求、軟件設(shè)計、軟件實(shí)施和測試階段、軟件安裝和檢驗(yàn)階段、 軟件運(yùn)營和維護(hù)階段均要求進(jìn)行信息安全分析工作。 本文詳細(xì)描述了軟件生命周期要求的信息安全分析任務(wù)的工作程序和驗(yàn)收準(zhǔn)則, 為核電安全級軟件信息安全分析工作進(jìn)一步開展提供參考。
a)進(jìn)行初步信息安全威脅和風(fēng)險評估
分析控制系統(tǒng)可能存在的信息安全威脅和風(fēng)險。例如信息的非法侵入, 破壞信息保密性; 攔截或修改信息,修改軟件或硬件,破壞完整性;阻礙數(shù)據(jù)傳遞,關(guān)閉系統(tǒng), 破壞可用性; 對通信系統(tǒng)或電腦數(shù)據(jù)非法干擾或修改,破壞可靠性。
源于設(shè)計本身的風(fēng)險考慮合法用戶和非法用戶兩個方面安全威脅。 來自非法用戶的襲擊: 例如黑客從外網(wǎng)登入系統(tǒng), 或用垃圾信息占滿網(wǎng)絡(luò)使服務(wù)無效。來自合法用戶的襲擊: 例如關(guān)閉重要控制系統(tǒng), 企圖釋放計算機(jī)病毒到控制系統(tǒng)網(wǎng)絡(luò)
輸入文檔:系統(tǒng)總體需求規(guī)格書,信息安全計劃
輸出文檔:初步信息安全威脅和風(fēng)險評估報告
b)審查系統(tǒng)信息安全等級
對控制系統(tǒng)的信息安全保護(hù)采用分級措施。 將控制系統(tǒng)分級, 各級別對安全風(fēng)險可接受程度不同,相應(yīng)措施的內(nèi)容和嚴(yán)格度也有區(qū)別。 把計算機(jī)系統(tǒng)劃分為不同區(qū)域, 一些基本的保護(hù)措施應(yīng)用在區(qū)域邊界。計算機(jī)系統(tǒng)安全級別從高到低分為1 到5 級。 第一級用于保護(hù)系統(tǒng), 非法侵入導(dǎo)致的后果極為嚴(yán)重, 要求最高級別的安全保護(hù)。 第二級為需要較高安全保護(hù)的運(yùn)行控制系統(tǒng)。 第三級為對運(yùn)行非必要的實(shí)時監(jiān)視系統(tǒng), 如控制室中的實(shí)時過程監(jiān)視系統(tǒng)。 第四級為非法侵入引起后果為中級的技術(shù)支持系統(tǒng)。 第五級為與控制和技術(shù)系統(tǒng)無直接關(guān)系的計算機(jī)系統(tǒng), 如辦公用計算機(jī),安全保護(hù)需求較低。
審查被分析的控制系統(tǒng)是否已經(jīng)定義信息安全等級,并驗(yàn)證信息安全等級是否正確合理。
c)識別系統(tǒng)潛在信息安全風(fēng)險
從信息安全角度分析系統(tǒng)總體需求, 識別潛在的安全風(fēng)險。 可從以下幾個方面分析:
(1)保密性方面,如泄露敏感信息;
(2)完整性方面,如修改信息數(shù)據(jù);
(3)可用性方面,如獲取信息服務(wù)失效;
(4)權(quán)限方面,如用戶權(quán)限分配。
分析系統(tǒng)自身引起的信息安全風(fēng)險和系統(tǒng)與外部接口的信息安全風(fēng)險。
輸入文檔:系統(tǒng)總體需求規(guī)格書,安全計劃,初步信息安全威脅和風(fēng)險評估報告
輸出文檔:信息安全分析報告,異常報告
驗(yàn)證軟件信息安全相關(guān)需求已正確定義, 確認(rèn)軟件已消或除控制了系統(tǒng)引入的信息安全風(fēng)險。 提出處理、 減輕和控制風(fēng)險的建議。 驗(yàn)證信息安全需求將安全風(fēng)險降低在可接受范圍內(nèi)。
輸入文檔:初步信息安全威脅和風(fēng)險評估報告,系統(tǒng)總體需求規(guī)格書, 軟件需求規(guī)格說明書, 概念階段信息安全分析報告
輸出文檔:信息安全分析報告,異常報告
驗(yàn)證系統(tǒng)/軟件結(jié)構(gòu)(概要設(shè)計)和詳細(xì)設(shè)計能充分解決信息安全需求。 包括系統(tǒng)本身和外部接口的信息安全風(fēng)險都有相應(yīng)設(shè)計來處理。
輸入文檔:軟件概要設(shè)計說明書,軟件詳細(xì)設(shè)計說明書, 軟件需求規(guī)格說明書, 需求階段信息安全分析報告
輸出文檔:信息安全分析報告,異常報告
驗(yàn)證具體實(shí)施與設(shè)計一致,解決了信息安全風(fēng)險,并且未引入新的安全風(fēng)險。
輸入文檔:源代碼,軟件概要設(shè)計說明書,軟件詳細(xì)設(shè)計說明書,設(shè)計階段信息安全分析報告
輸出文檔:信息安全分析報告,異常報告
通過測試確認(rèn)系統(tǒng)滿足信息安全需求和設(shè)計,驗(yàn)證最終系統(tǒng)未引入新的安全風(fēng)險。
輸入文檔:源代碼,可執(zhí)行代碼,集成后的系統(tǒng),測試結(jié)果,編程實(shí)施階段信息安全分析報告
輸出文檔:信息安全分析報告,異常報告
驗(yàn)證安裝的軟件未對整個系統(tǒng)引入或增加新的漏洞和安全風(fēng)險。
輸入文檔:安裝包,用戶手冊
輸出文檔:信息安全分析報告,異常報告
驗(yàn)證未引入新的安全風(fēng)險導(dǎo)致運(yùn)行環(huán)境的改變。
運(yùn)行一段時間,根據(jù)總體需求中的外部接口、威脅和技術(shù)的變更, 來執(zhí)行更新的信息安全分析, 從而確定新的殘留風(fēng)險。輸入文檔:新約束、環(huán)境變化、運(yùn)行規(guī)程輸出文檔:信息安全分析報告
驗(yàn)證軟件的改變和更新未對整個系統(tǒng)引入或增加新的漏洞和安全風(fēng)險。
輸入文檔:軟件變更,安裝包
輸出文檔:信息安全分析報告
隨著信息化與工業(yè)化深度融合, 核電廠信息安全變得日益重要。 本文針對國內(nèi)外信息安全研究現(xiàn)狀,詳細(xì)描述了軟件生命周期要求的信息安全分析任務(wù)的工作程序和驗(yàn)收準(zhǔn)則, 為核電安全級軟件信息安全分析工作進(jìn)一步開展提供參考。