核電儀控系統網絡安全保護

毛磊　鄭威　謝新勤

1 引言

在確保安全的基礎上高效發展核電，是當前我國能源建設和核電發展的一項重要政策，隨著整個能源行業“兩化融合”的進程日益深化，數字化控制技術在核電廠已廣泛應用，網絡安全問題逐漸成為核電站運行安全的重要組成部分。伊朗布什爾核電廠的“震網”病毒攻擊事件后，工信部發布了451號文《關于加強工業控制系統信息安全管理的通知》，提出了要充分認識加強工業控制系統信息安全管理的重要性和緊迫性。核電廠重要信息系統、電力監控系統的網絡安全保障成為日益安全重要的工作，其中核電儀控系統的安全防護更需要從設計、制造、建造到運維各階段進行全壽期保障。本文根據核電現有法規標準，針對核電廠信息安全普遍現狀，提出了針對核電廠信息安全防護策略，通過對核電廠的風險評估，建立防護模型，依據防護措施的實施來。

2 核電儀控系統信息安全標準法規

國際電工委員會IEC 45A委員會下正在制定有關核電儀控系統信息安全有關標準，已發布的有IEC 62645。國際原子能機構IAEA 目前也出版了NSS17《核設施的計算機安全》。在美國核電信息安全標準體系中，信息安全法規要求來源于10 CFR 73.54，導則有RG 5.71、RG 1.152等。信息安全相關的標準和技術規定依據NIST SP800和IEEE系列標準等。

我國關于核電廠信息安全體系目前尚不夠完整，還沒有專門針對核電廠信息安全的法規標準。核電廠信息系統主要依據的是等級保護標準，核安全導則方面有HAD 102/16《核動力廠基于計算機的安全重要系統軟件》提出對信息安全的要求。國家發改委第14號令《電力監控系統安全防護規定》對核電廠基于計算機及網絡技術的業務系統提出了信息安全規定。針對工業控制系統信息安全標準化工作也在不斷完善，目前全國工業過程測量和控制標準化技術委員會（TC124）已發布安全標準GB/T26333-2010《工業控制網絡安全風險評估規范》。

3 儀控系統信息安全風險

工業信息安全是面對特定威脅的保障能力，是先從面對特定威脅源的風險評估做起。對于核電廠來說，面臨的主要威脅如表1所示。

這些威脅利用儀控系統的漏洞（脆弱性），形成安全風險。RG 5.71導則定義來看，核電站控制系統信息安全專注于安全、安保、應急、保護（SSEP： Safty、Security、Emergency、Protection）功能及其相關相連系統的數字計算機、通信系統和網絡免受攻擊。通過確認SSEP功能相關的電廠系統、設備、通信系統和網絡，可以明確信息安全需要保護的系統。這些系統被定義為關鍵系統（CS），關鍵系統通常包括控制系統、安全系統、數據采集系統、應急響應設施和實物保護系統。系統中對SSEP的直接、間接或輔助作用的數字設備成為關鍵數字設備（CAD）。需要對關鍵數字設備和系統進行風險評估，確立其可接受的風險級別，為信息安全的防御策略和防御模型提供實施基礎。

風險評估的主要工作是依托原始資料，作為風險評估的基線，包括歷史風險評估資料，待評估系統的分區分域資料，詳細的分區內拓撲和設備清單，已實施的安全管理規范和已實施信息安全加固建設的方案。若具有原形系統或者仿真系統，還可以進行風險測試，評估潛在存在的問題。結合實地調查和訪談，落實原始材料與實際情況之間的差距，并與相關人員初步探討風險評估的結果。

風險評估主要分幾個步驟。

（1）風險評估準備：明確安全目標，確定評估范圍；（2）解構工廠：根據IEC 62443的區域管道模型，將評估對象分解成若干個區域和連接這些區域的通信管道；（3）資產識別：識別業務范圍內的關鍵系統參數、操作這參數的信息/控制系統、到達這些系統的路徑，計算資產的重要度權重；（4）威脅識別：選定威脅源，評估威脅源能力和所需資源，從黑客角度識別威脅源的攻擊路徑；（5）脆弱性識別：根據威脅源能力，選定脆弱性發現的方法，掃描系統漏洞，并進行脆弱性評估；（6）已采取的安全措施的確認：評估安全措施有效性，識別現有安全控制措施，包括技術措施和管理措施，并對這些控制措施對資產的保護程度和效果，即控制措施的有效性進行分析和等級評估；（7）風險計算：綜合威脅、資產、脆弱性等因素相應的量化數據，進行綜合性的分析，評估信息安全管理中存在的風險。

4 儀控系統信息安全防護模型

儀控系統主要位于核電廠信息安全防御模型第四層和第三層，如圖2所示。在該模型中，最重要的數字設備將得到最高級別的保護，它們位于安全保護最嚴密的內圈。每一層安全保護的設計將防止他人通過多層網絡中相同或相似的安全漏洞，非法訪問關鍵數字設備。雖然位于信息安全總體防御模型的內部區域，但由于其對核安全和安全生產有著直接重要關系，在滿足信息安全防御模型的基礎上，還需要結合信息安全風險評估結果，進行安全防護。

信息安全的防護很大程度上是阻斷非授權的訪問控制鏈。結合國內外標準中的指導方法不難發現，防護的措施大體上是在訪問控制鏈上疊加保護措施。

從根本上講，訪問控制是建立主體和客體的識別、關系，并在操作過程中保障這種關系的執行和執行過程的記錄。主客體主要形式可以劃分成幾類，見表2所示。通過對儀控系統進行信息安全的安全分析，可以整理出各類各級主客體形式，并進而為安全控制手段的建立做好前期準備。無論是無意和有意的來自組織內外的風險，都可以用該防護模型進行有效防護。即使發生已經被植入后門的系統，只要有效阻斷相應的威脅和攻擊路徑，也能阻止風險的發生。

對于控制系統本質的安全除了從這六個安全域進行分析外，還需要從安全開發角度進行分析系統的安全。根據表2的主客體分析，可以進一步整理出安全需求，如表3所示。

由此再看，攻擊某條訪問控制鏈的難度為整個訪問控制鏈所有環節中防護能力最強一環的難度。

5 結束語

通過本文的梳理，有助于了解核電領域信息安全的有關標準，有助于了解風險評估對核電領域信息安全工作的意義，有助于了解核電領域信息安全防護模型和手段；在實施層面上，為儀控系統的信息安全的防護工作提供了參考。在以后的工作中，我們將持續關注如何結合國內外的相關經驗，制定適用于核電領域的信息安全標準體系；同時，結合工控領域信息安全最佳實踐，在不影響系統功能正常運行的前提下，開展信息安全風險評估，確定安全需求，開展安全方案設計，力助實現核電儀控系統建立起層次化規范化的信息安全防護體系。

參考文獻

[1] RG 5.71 核設施的信息安全程序.

[2] NB/T 20026-2014 核電廠安全重要儀表和控制系統總體要求.

[3] IEC 62443 工業過程測量、控制和自動化網絡與系統信息安全.

[4] NIST-800-82工業控制系統（ICS）的安全指南.

[5] IEC 62645核電廠儀器儀表和控制系統 ╞針對計算機系統的安全方案的要求.

[6] 國家發改委第14號令《電力監控系統安全防護規定》.