核電信息安全系統(tǒng)開發(fā)過程

毛　磊，鄭　威，張淑慧（上海核工程研究設(shè)計院，上海 200233 ）

核電信息安全系統(tǒng)開發(fā)過程

毛磊，鄭威，張淑慧（上海核工程研究設(shè)計院，上海 200233 ）

本文首先介紹法規(guī)標準對信息安全的要求，然后針對信息安全要求，根據(jù)信息安全系統(tǒng)生命周期特點，從系統(tǒng)化角度出發(fā)介紹核電信息安全系統(tǒng)全生命周期過程， 描述了核電信息安全設(shè)計主要過程，并給出推薦性的信息安全防護策略和模型。

儀控系統(tǒng)；信息安全

1　引言

隨著計算機系統(tǒng)和其它數(shù)字設(shè)備在工業(yè)領(lǐng)域的廣泛應(yīng)用，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件。核電領(lǐng)域也在許多環(huán)節(jié)采用了相關(guān)技術(shù)。然而，過去一段時間里，工業(yè)控制系統(tǒng)的脆弱性不斷地被證明，惡意利用這些漏洞的攻擊行為也越來越頻繁且造成了極其惡劣的影響，加劇了人們對工業(yè)控制系統(tǒng)安全的重視。大量的統(tǒng)計數(shù)據(jù)表明，在儀控領(lǐng)域計算機系統(tǒng)的攻擊行為有愈演愈烈之勢。因此，強化信息安全對于包括核電在內(nèi)的整個工業(yè)領(lǐng)域都是非常迫切和必要的。

對于核電儀控系統(tǒng)和重要信息系統(tǒng)的設(shè)計開發(fā)，應(yīng)從系統(tǒng)化角度去開展開發(fā)設(shè)計與運行管理。本文所提及信息安全系統(tǒng)的開發(fā)過程，是一般儀控系統(tǒng)或者信息系統(tǒng)的信息安全設(shè)計過程，由于信息安全是系統(tǒng)化過程，該過程需要匹配核電廠全壽期管理的過程，本文著重介紹在核電領(lǐng)域的信息安全系統(tǒng)全生命周期過程和設(shè)計過程。

2　核電信息安全要求

核電信息安全要求主要來自三個方面：法律法規(guī)，核安全導(dǎo)則、標準，核電企業(yè)的信息安全規(guī)范等。

2.1國內(nèi)法規(guī)標準要求

我國關(guān)于核電廠信息安全標準體系不夠完整，目前尚無核電廠信息安全相關(guān)要求的法律法規(guī)。在導(dǎo)則方面有HAD 102/16等文件。安全標準有等級保護系列標準等。

HAD 102/16《核動力廠基于計算機的安全重要系統(tǒng)軟件》中要求，需要保持計算機系統(tǒng)嚴格的配置控制，計算機系統(tǒng)設(shè)計應(yīng)確定如何防止計算機系統(tǒng)的功能受到有意或無意的破壞（例如非授權(quán)訪問、非授權(quán)編碼或病毒）。對如何更改現(xiàn)有的且已驗證的系統(tǒng)和如何防止這類系統(tǒng)受到非授權(quán)的更改，應(yīng)有詳細規(guī)程或其它控制措施。應(yīng)有安全防范威脅分析和實現(xiàn)安全防范水平的證明。

發(fā)改委第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》中有如下核電系統(tǒng)信息安全相關(guān)要求：

（1）安全分區(qū)。將核電廠基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。

（2）橫向隔離。橫向隔離是電力二次安全防護體系的橫向防線。采用不同強度的安全設(shè)備隔離各安全區(qū)。在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應(yīng)接近或達到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、國產(chǎn)硬件防火墻或者相當功能的設(shè)施，實現(xiàn)邏輯隔離。防火墻的功能、性能、電磁兼容性必須經(jīng)過國家相關(guān)部門的認證和測試。

（3）縱向認證。縱向加密認證是電力二次系統(tǒng)安全防護體系的縱向防線。核電站生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)當設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。

（4）綜合防護。結(jié)合信息安全等級保護的相關(guān)要求，對核電廠二次系統(tǒng)從主機、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計、備份及容災(zāi)等多個層面進行信息安全防護。

2007年6月，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合下發(fā)了《信息安全等級保護管理辦法》（公通字[2007]43號）。43號文是等級保護工作發(fā)布的一項重要文件，從等級劃分、等級保護的實施與管理、涉及國家秘密信息系統(tǒng)的分級保護管理、信息安全等級保護的密碼管理、法律責任等方面對等級保護工作中所涉及的各項工作，如等級定義、定級、等級建設(shè)所依據(jù)的文件、等級測評、四個部門的職責做了描述和規(guī)定，內(nèi)容涵蓋了等級保護工作的方方面面。在43號文中，列出了一系列等級保護工作需要參考的標準，在實際的項目實施中應(yīng)了解各個標準所涉及的內(nèi)容和在標準中的地位。

2.2國外法規(guī)標準要求

2.2.1 美國體系法規(guī)標準

在核電廠信息安全要求的美國體系中，信息安全法規(guī)要求來源于10 CFR 73.54，導(dǎo)則有RG 5.71、RG 1.152等，信息安全相關(guān)的標準和技術(shù)規(guī)定有NIST SP800系列等。

（1）10 CFR 73.54

10 CFR 73.54中對核電廠信息安全的要求分為三部分：性能要求、程序要求和文檔要求。

? 性能要求：核電廠計算機系統(tǒng)、通信系統(tǒng)和網(wǎng)絡(luò)應(yīng)當具有充分的保護措施，并且能抵御網(wǎng)絡(luò)攻擊（包括設(shè)計基準威脅）。

? 程序要求：建立、實施和維護信息安全大綱。

? 文檔要求：開發(fā)和維護信息安全計劃。

（2）RG 5.71

RG 5.71旨在指導(dǎo)核設(shè)施業(yè)主建立一套信息安全體系，主要分為以下幾個部分：

? 建立和實施信息安全大綱；? 維護信息安全大綱；? 記錄的保留與處理；

? 信息安全控制手段，包括技術(shù)、運行和管理三方面。

（3）RG 1.152

RG 1.152旨在促進安全系統(tǒng)中數(shù)字計算機設(shè)備功能可靠性，建立安全的開發(fā)和運行環(huán)境（SDOE）。

? 實施相關(guān)措施和控制手段，使安全系統(tǒng)的開發(fā)過程沒有未經(jīng)記錄和不必要的修改。

? 實施保護措施，防止安全系統(tǒng)運行時完整性、可靠性或功能性受到影響。保護措施包括防止非法訪問，防止與安全系統(tǒng)相連的系統(tǒng)的異常行為。

2.2.2 其他國際標準

（1）IAEA發(fā)布的NSS17

IAEA發(fā)布NSS17《核設(shè)施的計算機安全》的主要目的是，促進增加計算機安全作為核設(shè)施總體安保計劃一個基本部分之重要性的認識，并提供針對核設(shè)施執(zhí)行計算機安全計劃的導(dǎo)則。

（2）IEC 62645

IEC 62645《核電廠儀控系統(tǒng)中基于計算機系統(tǒng)的安全大綱要求》針對核電廠的儀控計算機系統(tǒng)中有效安全程序的開發(fā)和管理制定要求并提供指南。該標準僅限于核電廠中使用的儀控系統(tǒng)（包括非安全系統(tǒng)）的計算機安全性。該標準定義了與分級安全要求關(guān)聯(lián)的三個安全程度，分別是S1、S2和S3，并對不同安全級別的網(wǎng)絡(luò)邊界和安全控制手段進行了規(guī)定。IEC 62645針對方案級別的安全生命周期方法與ISO/IEC 27001的“計劃、執(zhí)行、檢查、處理”（PDCA）循環(huán)一致，并描述了針對系統(tǒng)級別的安全生命周期。

3　核電信息安全系統(tǒng)設(shè)計生命周期

信息安全系統(tǒng)廣義上可以定義為通過相互協(xié)作的方式為信息資產(chǎn)提供安全保障的全體網(wǎng)絡(luò)設(shè)備、技術(shù)以及最佳做法的集合。根據(jù)RG5.71和IEC 62645關(guān)于安全生命周期的要求，信息安全系統(tǒng)的設(shè)計可以根據(jù)其生命周期劃分成不同階段，包括：計劃管理、分析、設(shè)計&開發(fā)、應(yīng)用和運行階段。配置管理作為基本的要素，貫穿于各階段之中。其中計劃管理階段主要負責對整個信息安全生命周期的活動進行安排、監(jiān)控與管理。由于信息安全工作是一個持續(xù)不斷管理和實施的過程，因此整個工作流程是閉環(huán)的過程，如圖1所示。主流程為從分析階段開始依次經(jīng)歷設(shè)計與開發(fā)階段、應(yīng)用階段、運行階段，再從運行階段反饋回下一周期的分析階段。信息安全設(shè)計流程伴隨著核電廠整個生命周期（設(shè)計、建造、運行、退役）各階段變化，貫穿其中。

圖1　信息安全設(shè)計工作流程

4　分析階段的信息安全

分析階段包括兩部分：業(yè)務(wù)需求和風險評估。業(yè)務(wù)需求是對電廠的業(yè)務(wù)目標進行分析，電廠的業(yè)務(wù)目標主要為保證電廠的信息資產(chǎn)安全。核電廠應(yīng)充分考慮保護下列功能：

（1）安全有關(guān)和安全重要的功能（Safety）；

（2）實物保護功能（Security）；

（3）應(yīng)急響應(yīng)功能（包括與廠外通信的功能）（Emergency Preparedness）；

（4）影響上述功能的支持系統(tǒng)或設(shè)備。

上述功能簡稱為SSEP功能。通過確認SSEP功能相關(guān)的電廠系統(tǒng)、設(shè)備、通信系統(tǒng)和網(wǎng)絡(luò)，可以明確信息安全需要保護的系統(tǒng)。這些系統(tǒng)被定義為關(guān)鍵系統(tǒng)（CS），關(guān)鍵系統(tǒng)通常包括控制系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、應(yīng)急響應(yīng)設(shè)施和實物保護系統(tǒng)。系統(tǒng)中對SSEP的直接、間接或輔助作用的數(shù)字設(shè)備成為關(guān)鍵數(shù)字設(shè)備（CDA）。需要對關(guān)鍵數(shù)字設(shè)備進行風險分析，確立其可接受的風險級別，為信息安全的防御策略和防御模型提供實施基礎(chǔ)。

風險評估時需評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，見GB/T20984-2007《信息安全技術(shù)-信息安全風險評估規(guī)范》。風險評估在實施過程中應(yīng)站在設(shè)計者和攻擊者角度去分析系統(tǒng)的薄弱環(huán)節(jié)和攻擊路徑，以獲得最為合適的風險分析接口。由于核電信息安全風險評估則與傳統(tǒng)信息安全有較大差異，因此：

? 評估前的準備：需要輸入儀控或信息系統(tǒng)設(shè)計原理（拓撲圖、設(shè)備清單、工藝原理等）、控制系統(tǒng)產(chǎn)能目標、工程造價、已有安全風險評估等文件，以便更好地理解工業(yè)控制系統(tǒng)自身的預(yù)期目標（如產(chǎn)能、業(yè)務(wù)連續(xù)性、控制關(guān)聯(lián)等）和安全關(guān)注點。隨后將整個儀控系統(tǒng)或信息系統(tǒng)進行區(qū)域劃分和通信管道識別。在此過程中解構(gòu)整個儀控系統(tǒng)或信息系統(tǒng)的復(fù)雜度，同時認識各區(qū)域間的關(guān)聯(lián)風險。即在風險評估前，要使得控制系統(tǒng)的規(guī)劃、設(shè)計、集成、運維等各個相關(guān)方將安全關(guān)注點羅列出來，形成整體安全保障目標，并分解到每個儀控或信息子系統(tǒng)的每個操作區(qū)域中，設(shè)定好每個區(qū)域的重要性權(quán)重。

? 資產(chǎn)識別：針對每個區(qū)域，識別其信息資產(chǎn)，比如硬件產(chǎn)品、軟件產(chǎn)品、集成配置信息、生產(chǎn)過程數(shù)據(jù)等。此外還需要考察控制過程的輸入輸出，找出控制函數(shù)的關(guān)鍵參數(shù)。

? 威脅識別：針對已發(fā)生的信息安全事件，對威脅的攻擊路徑和攻擊方式進行分析，從而識別出攻擊路徑。

? 脆弱性分析：從在役系統(tǒng)角度來講，針對一個區(qū)域進行物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)的訪問控制保障能力分析，從而識別出針對一個區(qū)域的脆弱點和脆弱點的可利用性；針對整個系統(tǒng)的各區(qū)域關(guān)系，識別滲透式攻擊的區(qū)域到達路徑。

? 已有安全措施分析：將已采用的安全措施分成預(yù)防性安全措施和保護性安全措施，對于預(yù)防性安全措施考察其對脆弱性可利用性的補償效果，對于保護性安全措施考察其在攻擊發(fā)生后起到保護性效果的時間。

? 風險分析：在綜合考慮攻擊路徑上各環(huán)節(jié)（區(qū)域）的脆弱性可利用值和遭到攻擊后響應(yīng)和恢復(fù)時間來評估一個攻擊路徑的可行性和后果嚴重性。

風險評估的過程應(yīng)做設(shè)備級風險和系統(tǒng)級風險分析。設(shè)備級風險分析主要集中在選用的系統(tǒng)設(shè)備級本質(zhì)存在的風險，包括選用的軟件和硬件設(shè)備，以及對應(yīng)的軟件配置和應(yīng)用開發(fā)。系統(tǒng)級風險主要從網(wǎng)絡(luò)架構(gòu)和對外接口開展系統(tǒng)級風險分析。一般風險分析可采用定性和定量分析方法。風險評估的過程是風險管理的過程，風險評估的結(jié)果作為開展安全系統(tǒng)功能分析、安全控制手段開發(fā)和系統(tǒng)加固。

5　設(shè)計、開發(fā)階段的信息安全

信息安全系統(tǒng)的設(shè)計與開發(fā)主要包括四部分：安全功能分析，安全策略和程序制定，安全控制手段的開發(fā)，以及標準和指導(dǎo)方針使用。

安全功能分析主要是對系統(tǒng)相關(guān)的信息安全功能進行任務(wù)分析，判斷其是否滿足頂層安全目標和策略的要求。系統(tǒng)安全功能分析主要從系統(tǒng)角度開展安全功能的分析，分析其應(yīng)對潛在風險的任務(wù)功能是否滿足電廠安全的要求，以及這些安全風險問題對核電廠安全的影響。需要從對系統(tǒng)可靠性影響分析出發(fā)，進而得出對概率安全分析的影響。

若需要進行安全產(chǎn)品的開發(fā)，則需要對系統(tǒng)的安全功能需求進行分解，產(chǎn)生對安全產(chǎn)品開發(fā)的功能需求。

安全策略和程序的開發(fā)應(yīng)考慮首先制定關(guān)鍵安全策略和企業(yè)適用的程序：包括可接受使用的策略，與外部訪問的策略；用于特殊敏感信息訪問的策略，用戶隱私和數(shù)據(jù)安全的策略，系統(tǒng)或者設(shè)備本身應(yīng)達到的安全基準策略。信息安全防御模型為不同的網(wǎng)絡(luò)層內(nèi)部及之間的連接提供詳細的準則。核電廠將建立多層的信息安全保護結(jié)構(gòu)，可選用圖2所示的模型。在該模型中，最重要的數(shù)字設(shè)備將得到最高級別的保護，它們將位于安全保護最嚴密的內(nèi)圈。每一層安全保護的設(shè)計將針對防止他人通過多層網(wǎng)絡(luò)中相同或相似的安全漏洞，非法訪問關(guān)鍵數(shù)字設(shè)備。

圖2　信息安全防御模型

安全控制手段和系統(tǒng)加固的開發(fā)主要基于對系統(tǒng)的安全分析，開展安全架構(gòu)設(shè)計，以及圍繞系統(tǒng)安全的加固、隔離和監(jiān)控手段的設(shè)計與開發(fā)。控制手段的開發(fā)可根據(jù)風險分析結(jié)果對RG5.71附錄中的控制手段目錄進行裁剪以滿足電廠系統(tǒng)安全性要求。

6　信息安全的應(yīng)用階段

信息安全的應(yīng)用包括兩部分，一部分是控制手段的應(yīng)用，另一部分是是系統(tǒng)加固應(yīng)用。安全控制手段應(yīng)用主要指對安全系統(tǒng)設(shè)備的實施部署與組態(tài)實現(xiàn)，系統(tǒng)加固應(yīng)用指對控制系統(tǒng)或者設(shè)備進行本質(zhì)加固。有關(guān)行業(yè)的最佳實踐作為外部參考，可選擇與剪裁應(yīng)用到該階段中。此階段需要對控制手段及系統(tǒng)加固應(yīng)用實施進行驗證和確認工作。

7　信息安全運行階段

在系統(tǒng)運維階段，需要定期開展安全培訓、記錄和保護處理安全相關(guān)文檔。根據(jù)國家和企業(yè)規(guī)定要求開展定期的安全評審，定期開展信息安全應(yīng)急演練，以在線和離線的方式開展對電廠安全框架和系統(tǒng)安全進行監(jiān)視與維護工作。

核電廠安全的全生命周期主線是安全分析、設(shè)計和開發(fā)，系統(tǒng)應(yīng)用、運維以及改進的閉環(huán)控制。計劃管理是配合完成各階段活動的有效跟蹤和管理手段。

8　變更控制

變更控制是貫穿于整個信息安全生命周期的有效活動管理手段，是為了保證對CDA的功能增加或功能修改，采用的是一種可控的方式。主要包含兩部分：

? 配置管理

配置管理通過對CDA整個生命周期的變更的控制，保證電廠的信息安全程序仍然滿足要求。在CDA生命周期的運行和維護階段，通過有效的配置管理，確保對CDA的變更不會引入額外的安全風險。

? 變更影響分析

變更影響分析用于分析和管理由于系統(tǒng)、網(wǎng)絡(luò)、環(huán)境的改變或新出現(xiàn)的威脅引入的潛在的脆弱性、弱點和風險。

9　結(jié)論

核電信息安全的開發(fā)過程本身是電廠壽期之內(nèi)的系統(tǒng)的開發(fā)過程。信息安全的開發(fā)過程并不是毫無迭代的過程。例如在完成系統(tǒng)安全應(yīng)用和安全控制手段應(yīng)用后，在投入運行之前，需做安全有效性分析，以評估系統(tǒng)的風險。信息安全的開發(fā)涉及設(shè)備供應(yīng)鏈安全、安全設(shè)計、安全運維等方方面面。而信息安全的開發(fā)過程并不是一蹴而就的，需持續(xù)地進行評審改進和維護，才能使得系統(tǒng)的安全滿足運維需求。

[1] RG 5. 71 核設(shè)施的信息安全程序[S].

[2] NB/T 20026 - 2014 核電廠安全重要儀表和控制系統(tǒng)總體要求[S].

[3] GB/T20984-2007信息安全技術(shù) - 信息安全風險評估規(guī)范[S].

[4] IAEA NSS17核設(shè)施的計算機安全[S].

[5] IEC 62645核電廠儀控系統(tǒng) – 針對計算機系統(tǒng)的安全大綱的要求[S].

Cyber Security System Development Process in Nuclear Power Plant

This paper firstly introduces the cyber security regulations and standards of nuclear power plant, and then provides the cyber security system life cycle development process from perspective of system according to security requirement and system life cycle feature. Finally, the main design process of the cyber security for nuclear power plant is depicted, and the strategy and model for security protection are also recommended .

I&C system; Cyber Security

B 文章編號：1003-0492（2016）06-0106-04 中圖分類號：TP273

毛磊（1981-），男，浙江慈溪人，工程師，碩士，現(xiàn)就職于上海核工程研究設(shè)計院，主要研究方向為核電儀控系統(tǒng)信息安全。

鄭威（1986-），男，湖北人，工程師，碩士，現(xiàn)就職于上海核工程研究設(shè)計院，主要研究方向為信息處理系統(tǒng)及安全。

張淑慧（1979-），女，河北人，電氣儀控所總工，碩士，現(xiàn)就職于上海核工程研究設(shè)計院，主要研究方向為控制室與人因工程。