核電廠信息安全標(biāo)準(zhǔn)研究

王 飛，夏丹陽，向 嫄

（中核控制系統(tǒng)工程有限公司，北京 100176）

核電廠信息安全標(biāo)準(zhǔn)研究

王 飛，夏丹陽，向 嫄

（中核控制系統(tǒng)工程有限公司，北京 100176）

在當(dāng)前日益嚴(yán)重的信息安全形勢下，國內(nèi)外都已認(rèn)識到工業(yè)病毒等的危害，也意識到核電廠信息安全問題的嚴(yán)峻。隨著信息化與工業(yè)化深度融合，核電廠信息安全變得日益重要。文章以國際和國內(nèi)組織的相關(guān)標(biāo)準(zhǔn)為依據(jù)，綜述了工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化的現(xiàn)狀，針對我國目前標(biāo)準(zhǔn)體系研究存在的一些不足，給出了相關(guān)建議，為進(jìn)一步完善國內(nèi)核電領(lǐng)域信息安全標(biāo)準(zhǔn)提供參考。

信息安全；標(biāo)準(zhǔn)體系；核電廠

隨著IT技術(shù)的快速發(fā)展，特別是信息化和工業(yè)化深度結(jié)合，使得病毒、木馬等傳統(tǒng)IT領(lǐng)域的威脅向工業(yè)領(lǐng)域擴散，工業(yè)控制的信息安全問題日漸嚴(yán)峻。核電作為重要能源，在全球發(fā)展迅速，核電廠使用計算機控制系統(tǒng)已經(jīng)成為必然趨勢，計算機技術(shù)正越來越多地被用于完成核電廠的許多關(guān)鍵功能。但目前對于核電廠信息安全應(yīng)該如何開展還沒有統(tǒng)一的、科學(xué)的說法。如何證明信息安全設(shè)計是足夠可靠的，如何確認(rèn)一個核電廠儀控系統(tǒng)是足夠安全的？有沒有相關(guān)法律法規(guī)和標(biāo)準(zhǔn)用于指導(dǎo)？這些是核電廠儀控系統(tǒng)實現(xiàn)數(shù)字化必須解決的關(guān)鍵問題。

本文針對國內(nèi)外工控系統(tǒng)信息安全研究現(xiàn)狀，對相關(guān)法規(guī)和標(biāo)準(zhǔn)進(jìn)行了綜述，為進(jìn)一步建立和完善我國工控信息安全標(biāo)準(zhǔn)，尤其是核電領(lǐng)域的相關(guān)標(biāo)準(zhǔn)體系提供參考。

1 信息安全標(biāo)準(zhǔn)研究

1．1 國際工控系統(tǒng)信息安全標(biāo)準(zhǔn)研究

歐美等發(fā)達(dá)國家非常重視工業(yè)控制系統(tǒng)信息安全的標(biāo)準(zhǔn)化工作，在標(biāo)準(zhǔn)法規(guī)方面已經(jīng)形成了從國家法規(guī)標(biāo)準(zhǔn)到行業(yè)規(guī)范指南等一系列規(guī)范性文件［1－8］。表1總結(jié)了最受關(guān)注的國際組織和各國已發(fā)布的標(biāo)準(zhǔn)、指南及法規(guī)等文件。其中最具影響力的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)包括：IEC 62443、NIST SP 800－82，以及針對核電廠應(yīng)用背景的計算機信息安全標(biāo)準(zhǔn)IAEA Nuclear Security Series No．17和IEC 62645。

表1 國際組織及美國等發(fā)布的重要工業(yè)控制系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)、指南及法規(guī)列表Table 1 List of safety standards，guidelines and regulations for important industrial control systems issued by international organizations and the United States

續(xù)表

1．1．1 IEC 62443

IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)，是專門針對工業(yè)自動化和功能安全的系列標(biāo)準(zhǔn)，旨在定義一個通用的、最小要求集以達(dá)到各級SALS（Security Assurances Levels，SAL）的安全保障需求，共分為了四個部分：第一部分是通用標(biāo)準(zhǔn)，第二部分是策略和規(guī)程，第三部分提出系統(tǒng)級的措施，第四部分提出組件級的措施，共包含了12個文檔，每個文檔詳細(xì)描述了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的不同方面［2］。

1．1．2 NIST SP 800－82

NIST SP 800－82為SCADA 和 DCS等工業(yè)系統(tǒng)信息安全提供指南。它概述了工業(yè)控制系統(tǒng)的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，指出了對于這些系統(tǒng)的典型威脅和脆弱點之所在，為消減相關(guān)風(fēng)險提供了建議性安全對策。同時，根據(jù)工業(yè)控制系統(tǒng)的潛在安全隱患及安全隱患影響水平的不同，指出保障工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的控制系統(tǒng)。

為保證工業(yè)控制系統(tǒng)的安全運行，NIST SP 800－82對以下六個方面內(nèi)容進(jìn)行了詳細(xì)說明：一是給出了SCADA、DCS、PLC等工業(yè)控制系統(tǒng)的概述及其典型的系統(tǒng)拓?fù)洌欢顷U述了工業(yè)控制系統(tǒng)與IT系統(tǒng)之間的區(qū)別；三是標(biāo)識了工業(yè)控制系統(tǒng)的典型威脅、漏洞及安全事件；四是明確了如何開發(fā)及部署SCADA系統(tǒng)的安全程序；五是定義了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)建設(shè)體系結(jié)構(gòu)；六是說明了如何把NIST SP 800－53中 “聯(lián)邦信息系統(tǒng)與組織安全控制方法”部分提出的管理、運營和技術(shù)方面的安全控制措施，剪裁運用到工業(yè)控制系統(tǒng)中［3］。

1．1．3 IAEA Nuclear Security Series No．17

IAEA Nuclear Security Series No．17是國際原子能機構(gòu)發(fā)布的，屬于 “技術(shù)導(dǎo)則”類別的原子能機構(gòu) 《核安保叢書》，內(nèi)容涉及核設(shè)施的計算機安全，是基于各國的經(jīng)驗和實踐以及計算機安全和核安保領(lǐng)域的出版物［4］。

本出版物旨在提供針對核設(shè)施執(zhí)行計算機安全計劃的導(dǎo)則和關(guān)于評價現(xiàn)有計劃、評定關(guān)鍵數(shù)字資產(chǎn)和確定以適當(dāng)?shù)姆绞浇档惋L(fēng)險措施的意見。內(nèi)容分為兩部分，第一部分是管理導(dǎo)則，主要從監(jiān)管和管理方面的考慮因素、管理系統(tǒng)和組織問題這三個方面進(jìn)行說明。目的是從管理層面，支持管理人員就設(shè)施內(nèi)計算機安全的政策、設(shè)計和管理做出判斷和決定，這部分提供了關(guān)于計算機安全的監(jiān)管和管理規(guī)定的導(dǎo)則。第二部分是實施導(dǎo)則，主要闡述了關(guān)于執(zhí)行計算機安全綜合計劃的技術(shù)和行政導(dǎo)則。

本出版物根據(jù)安全重要性和安保重要性對核設(shè)施計算機系統(tǒng)進(jìn)行了分類，具體分類如圖1所示。對于各個分類規(guī)定了其所適用的安全級別相應(yīng)的措施。安全級別分為5級和通用級別。通用級別的措施適用于所有計算機系統(tǒng)，安全級別由5級 （需最少保護）至1級 （需最多保護）構(gòu)成。

1．1．4 IEC 62645

圖1 核設(shè)施計算機系統(tǒng)分類Fig．1 Classification of computer systems in nuclear facilities

IEC 62645為核電廠基于計算機的儀表和控制 （I＆C）系統(tǒng)或集成的硬件描述語言可編程器件 （HPD） （I＆C CB＆HPD系統(tǒng)）開發(fā)和管理有效的信息安全程序，確立要求并提供指南。其主要目的是規(guī)定相應(yīng)的程序化措施，來預(yù)防、檢測和響應(yīng)對I＆C CB＆HPD系統(tǒng)使用數(shù)字化手段 （如網(wǎng)絡(luò)攻擊）的惡意行為［5］。

本標(biāo)準(zhǔn)僅適用于核電廠I＆C CB＆HPD系統(tǒng) （包括非安全級系統(tǒng)）的計算機安全，旨在評估和更改已確立的核電廠I＆C CB＆HPD系統(tǒng)信息安全程序，或建立新的信息安全程序。

本標(biāo)準(zhǔn)分別描述了大綱級別和系統(tǒng)級別的信息安全生命周期以及控制級別的信息安全主題領(lǐng)域。文中描述的信息安全生命周期與GB／T 22080：2008規(guī)劃－實施－檢查－處置 （PDCA）循環(huán)過程一致，分級方法和信息安全分類條款與 GB／T 15474相似。

1．2 國內(nèi)工控系統(tǒng)信息安全標(biāo)準(zhǔn)研究

我國工控系統(tǒng)信息安全的相關(guān)工作起步較晚，在標(biāo)準(zhǔn)制定方面，相較國外比較落后，近些年才開展工業(yè)控制系統(tǒng)信息安全的標(biāo)準(zhǔn)化工作。目前關(guān)于IT領(lǐng)域和其他工控領(lǐng)域的信息安全標(biāo)準(zhǔn)已陸續(xù)發(fā)布，但針對核電廠應(yīng)用背景的計算機信息安全標(biāo)準(zhǔn)，我國尚未制訂相關(guān)標(biāo)準(zhǔn)，對核電DCS信息安全潛在風(fēng)險也缺乏系統(tǒng)地深入分析和研究，沒有相關(guān)標(biāo)準(zhǔn)指導(dǎo)如何制定信息安全程序來防護核電DCS免受惡意攻擊。

對目前國內(nèi)已發(fā)布的信息安全標(biāo)準(zhǔn)進(jìn)行了歸納總結(jié)，分為四個層面：法規(guī)規(guī)章、基礎(chǔ)性標(biāo)準(zhǔn)、細(xì)化標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，如圖2所示。在法規(guī)規(guī)章層面的標(biāo)準(zhǔn)有國務(wù)院147號令 《中華人民共和國計算機信息系統(tǒng)安全保護條例》、中辦發(fā) 【2003】27號 《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》、公通字【2004】66號 《關(guān)于信息安全等級保護工作的實施意見》以及公通字 【2007】43號 《信息安全等級保護管理辦法》。基礎(chǔ)性標(biāo)準(zhǔn)層面，國家發(fā)布了 GB／T 17859－1999 《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》，在此基礎(chǔ)上又細(xì)化出 了 GB／T 22239－2008、GB／T 20269－2006、GB／T 20270－2006、GB／T 20271－2006等多個標(biāo)準(zhǔn)，共同構(gòu)成了信息系統(tǒng)安全等級保護的相關(guān)配套標(biāo)準(zhǔn)。在行業(yè)標(biāo)準(zhǔn)層面，有對電力行業(yè)信息系統(tǒng)安全等級保護基本要求的釋義，分為管理類信息系統(tǒng)分冊和生產(chǎn)控制類信息系統(tǒng)分冊，以及針對工業(yè)控制系統(tǒng)的標(biāo)準(zhǔn)GB／T 30976．1《工業(yè)控制系統(tǒng)信息安全——評估規(guī)范》、GB／T 30976．2 《工業(yè)控制系統(tǒng) 信息 安全——驗收規(guī)范》和2016年新出的標(biāo)準(zhǔn)GB／T 32919《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制指南》、GB／T 33009．1～GB／T 33009．4關(guān)于工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)級標(biāo)準(zhǔn)。

1．2．1 GB／T 30976

GB／T 30976結(jié)合了國際標(biāo)準(zhǔn)IEC62443中對系統(tǒng)管理和技術(shù)的思想，提出了符合國情的評估規(guī)范和驗收規(guī)范［6－7］。

該標(biāo)準(zhǔn)的第一部分GB／T30976．1《工業(yè)控制系統(tǒng)信息安全 第一部分：評估規(guī)范》規(guī)定了工業(yè)控制系統(tǒng)信息安全評估的目標(biāo)、評估的內(nèi)容以及實施過程等，重點描述了組織機構(gòu)管理評估和系統(tǒng)能力 （技術(shù)）評估的內(nèi)容及目標(biāo)［6］。

組織機構(gòu)管理評估分為：

1）信息安全方針；

2）信息安全組織機構(gòu)；

3）資產(chǎn)管理；

4）人力資源安全；

5）物理和環(huán)境安全；

圖2 國內(nèi)信息安全標(biāo)準(zhǔn)脈絡(luò)體系Fig．2 Domestic information security standard system

6）通信和操作管理；

7）訪問控制；

8）信息系統(tǒng)獲取、開發(fā)和維護；

9）信息安全事件管理；

10）業(yè)務(wù)連續(xù)性管理；

11）符合性。

系統(tǒng)能力 （技術(shù)）評估是基于基本要求，每一項基本要求又分為若干個系統(tǒng)要求，其中有些系統(tǒng)要求還包含了增強要求。基本要求分為：

1）標(biāo)識和認(rèn)證；

2）使用控制；

3）系統(tǒng)完整性；

4）數(shù)據(jù)保密性；

5）限制的數(shù)據(jù)流；

6）對事件的及時響應(yīng)；

7）資源可用性。

該標(biāo)準(zhǔn)的第二部分 GB／T 30976．2 《工業(yè)控制系統(tǒng)信息安全 第一部分：驗收規(guī)范》規(guī)定了對工業(yè)控制系統(tǒng)的信息安全解決方案的安全性進(jìn)行驗收的流程、測試內(nèi)容、方法及應(yīng)達(dá)到的要求［7］。

1．2．2 GB／T 32919

國家標(biāo)準(zhǔn) GB／T 32919－2016 《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》是我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系中的一項重要標(biāo)準(zhǔn)［8］。

該標(biāo)準(zhǔn)是在深入研究國外工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國內(nèi)工業(yè)控制系統(tǒng)應(yīng)用的安全狀況，認(rèn)真分析總結(jié)有關(guān)行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用管理經(jīng)驗，廣泛聽取專家意見基礎(chǔ)上完成的。

該標(biāo)準(zhǔn)的主要內(nèi)容分為以下5個方面：

1）安全控制應(yīng)用前提：標(biāo)準(zhǔn)中提到工業(yè)控制系統(tǒng)風(fēng)險評估是前提，工業(yè)控制系統(tǒng)風(fēng)險評估報告是輸入文件，并提出了對于ICS系統(tǒng)存在的風(fēng)險和脆弱性的處置辦法。

2）安全控制應(yīng)用步驟：組織在安全戰(zhàn)略的指導(dǎo)下，通過分析ICS系統(tǒng)存在的安全威脅及遭受攻擊可能造成危害，根據(jù)安全需求及相關(guān)標(biāo)準(zhǔn)選擇初始安全控制基線；組織根據(jù)ICS系統(tǒng)的特定需求裁剪初始安全控制基線，獲取裁剪后的安全控制基線；在裁剪后的安全控制基線基礎(chǔ)上，實施ICS系統(tǒng)信息安全風(fēng)險評估，并補充和增強裁剪后的安全控制基線，以提出滿足組織的特定安全需求、業(yè)務(wù)需求和運行需求的安全控制基線。

3）安全控制選擇與規(guī)約：描述了如何實施對初始安全控制基線的裁剪、補償、補充和增強。

4）安全控制應(yīng)用范圍：標(biāo)準(zhǔn)中指出安全控制選擇過程可從兩種不同的視角應(yīng)用到新開發(fā)系統(tǒng)和在運行系統(tǒng)。對于新開發(fā)系統(tǒng)，從需求定義的視角進(jìn)行安全控制選擇過程，包含在安全計劃匯總的安全控制作為組織的安全規(guī)約說明，并把這些安全控制在系統(tǒng)開發(fā)生存周期的各階段并入到該系統(tǒng)中。對于在運行系統(tǒng)，當(dāng)組織對系統(tǒng)進(jìn)行大量變更時，就要從差距分析的視角進(jìn)行安全控制選擇過程。

5）安全控制調(diào)整：標(biāo)準(zhǔn)中指出了可能引起修改或調(diào)整當(dāng)前的安全控制事件及如何進(jìn)行調(diào)整。

此標(biāo)準(zhǔn)針對各行業(yè)使用的工業(yè)控制系統(tǒng)給出的安全控制應(yīng)用基本方法，可以指導(dǎo)組織選擇、裁剪、補償和補充工業(yè)控制系統(tǒng)安全控制，獲取適合組織需要的、應(yīng)允的安全控制基線，以滿足組織對工業(yè)控制系統(tǒng)安全需求，幫助組織實現(xiàn)對工業(yè)控制系統(tǒng)進(jìn)行有效的風(fēng)險控制管理。

2 信息安全標(biāo)準(zhǔn)的幾點建議

目前各標(biāo)準(zhǔn)化組織在核電信息安全標(biāo)準(zhǔn)方面已經(jīng)做了大量工作，具備一定的基礎(chǔ)，國內(nèi)由于核電技術(shù)發(fā)展較晚，工程經(jīng)驗缺乏，可以借鑒國外已有的核電信息安全相關(guān)標(biāo)準(zhǔn)，但是核電技術(shù)本身正處于不斷發(fā)展之中，目前相關(guān)標(biāo)準(zhǔn)并不成熟，完全參考國外標(biāo)準(zhǔn)是行不通的，因此，必須要立足自主創(chuàng)新，發(fā)展具有我國特色的核電廠信息安全標(biāo)準(zhǔn)，為開展核電廠信息安全技術(shù)研究、設(shè)計和應(yīng)用提供指導(dǎo)。

1）逐步健全工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系，形成涵蓋安全管理、系統(tǒng)安全防護、產(chǎn)品安全防護、風(fēng)險評估、安全測評等一系列完善的標(biāo)準(zhǔn)體系，為核電行業(yè)信息安全設(shè)計和評估提供合理的依據(jù)。

2）加強核電廠信息安全問題的重視程度，逐漸在國家標(biāo)準(zhǔn)的引領(lǐng)下建立適用于核電行業(yè)自身特點的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，使標(biāo)準(zhǔn)具有更強的適用性。

3）加強對現(xiàn)有發(fā)布標(biāo)準(zhǔn)的宣貫和解讀，合理應(yīng)用到核電領(lǐng)域，借助國家政策法規(guī)推動標(biāo)準(zhǔn)的落地實施，使得標(biāo)準(zhǔn)的正確使用能從一定程度上保障核電廠的安全穩(wěn)定運行。

3 結(jié)束語

隨著信息化與工業(yè)化深度融合，核電廠信息安全變得日益重要。本文針對國內(nèi)外信息安全研究現(xiàn)狀，綜述并深入分析了現(xiàn)有與核電廠信息安全相關(guān)的標(biāo)準(zhǔn)，并在此基礎(chǔ)上對我國核電廠信息安全標(biāo)準(zhǔn)制定工作提出了幾點建議，為進(jìn)一步完善國內(nèi)核電領(lǐng)域信息安全標(biāo)準(zhǔn)提供參考。

［1］彭勇，江常青，謝豐，等 ．工業(yè)控制系統(tǒng)信息安全研究進(jìn)展 ［J］．清華大學(xué)學(xué)報 （自然科學(xué)版），2012，52 （10）：1396－1408．

［2］歐陽勁松，丁露．IEC 62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述 ［J］．信息技術(shù)與標(biāo)準(zhǔn)化，2012 （3）：24－27．

［3］NIST．Guide to Industrial Control System （ICS）Security：NIST SP800－82 ［S］．Gaithersburg，USA：National Institute of Standards and Technology （NIST），2014．

［4］IAEA．Computer Security at Nuclear Facilities：IAEA Nuclear Security Series No．17 ［S］．Vienna：International Atomic Energy Agency （IAEA），2011．

［5］IEC．Nuclear power plants－Instru－mentation and control systems－Requirements for security programmes for computer－based systems：IEC 62645 ［S］．Gen－eva，Switzerland：International Electrotechnical Commi－ssion（IEC），2014．

［6］中國國家標(biāo)準(zhǔn)化管理委員會 ．工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范 GB／T 30976．1—2014 ［S］．北京：國家質(zhì)檢總局，2014．

［7］中國國家標(biāo)準(zhǔn)化管理委員會 ．工業(yè)控制系統(tǒng)信息安全第2部分：驗收規(guī)范 GB／T 30976．2—2014 ［S］．北京：國家質(zhì)量監(jiān)督局，2014．

［8］中國國家標(biāo)準(zhǔn)化管理委員會 ．信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南：GB／T 32919—2016 ［S］．北京：國家質(zhì)量監(jiān)督局，2016．

Study on the Information Security Standards for Nuclear Power Plant

WANG Fei，XIA Dan－yang，XIANG Yuan
（China Nuclear Control System Engineering Co．，Ltd．，Beijing 100176，China）

In the current increasingly serious situation of information security，both international and domestic industrial hazards such as virus have been recognized．Serious information security problems have also been recognized．With the integration of information technology and industrialization development，information security of nuclear power plant has become increasingly important．Based on investigation of related codes and standards from different international and domestic organizations，this paper reviews the status of ICS security．Some existing deficiencies of the current domestic study on the ICS security standard system are presented，and some suggestions for further improving domestic nuclear power standards are given．

information security；standard system；nuclear power plant

TP309 Article character：A Article ID：1674－1617 （2017）03－0326－06

TP309

A

1674－1617 （2017）03－0326－06

10．12058／zghd．2017．03．326

2017－05－26

王 飛 （1985—），女，河北人，工程師，現(xiàn)主要從事核電項目的V＆V工作 （E－mail：feiwang1985＠126．com）。

（責(zé)任編輯：白佳）