核電廠安全級軟件信息安全分析方法研究

王 飛 張穎穎

（中核控制系統工程有限公司，中國 北京 100000）

0 引言

核電作為重要能源，在全球發展迅速，核電廠使用計算機控制系統已經成為必然趨勢。 在核電廠儀控系統實現數字化進程中， 如何保證核安全級軟件的安全性是一個必然要解決的重要問題。 為了提高軟件的安全性， 需要對核電廠安全級應用軟件開發過程中的信息安全進行分析， 識別系統潛在的危險， 在開發過程中采取適當的措施來消除、 防止或控制危險的發生。但目前對于核電廠信息安全應該如何開展還沒有統一的、科學的體系。

參照IEEE1012-2004 中的要求，對于核電安全級應用軟件在軟件生命周期的概念 （總體需求、 總體規劃）、軟件需求、軟件設計、軟件實施和測試階段、軟件安裝和檢驗階段、 軟件運營和維護階段均要求進行信息安全分析工作。 本文詳細描述了軟件生命周期要求的信息安全分析任務的工作程序和驗收準則， 為核電安全級軟件信息安全分析工作進一步開展提供參考。

1 信息安全分析方法和過程

1.1 概念階段信息安全分析

a）進行初步信息安全威脅和風險評估

分析控制系統可能存在的信息安全威脅和風險。例如信息的非法侵入， 破壞信息保密性； 攔截或修改信息，修改軟件或硬件，破壞完整性；阻礙數據傳遞，關閉系統， 破壞可用性； 對通信系統或電腦數據非法干擾或修改，破壞可靠性。

源于設計本身的風險考慮合法用戶和非法用戶兩個方面安全威脅。 來自非法用戶的襲擊： 例如黑客從外網登入系統， 或用垃圾信息占滿網絡使服務無效。來自合法用戶的襲擊： 例如關閉重要控制系統， 企圖釋放計算機病毒到控制系統網絡

輸入文檔：系統總體需求規格書，信息安全計劃

輸出文檔：初步信息安全威脅和風險評估報告

b）審查系統信息安全等級

對控制系統的信息安全保護采用分級措施。 將控制系統分級， 各級別對安全風險可接受程度不同，相應措施的內容和嚴格度也有區別。 把計算機系統劃分為不同區域， 一些基本的保護措施應用在區域邊界。計算機系統安全級別從高到低分為1 到5 級。 第一級用于保護系統， 非法侵入導致的后果極為嚴重， 要求最高級別的安全保護。 第二級為需要較高安全保護的運行控制系統。 第三級為對運行非必要的實時監視系統， 如控制室中的實時過程監視系統。 第四級為非法侵入引起后果為中級的技術支持系統。 第五級為與控制和技術系統無直接關系的計算機系統， 如辦公用計算機，安全保護需求較低。

審查被分析的控制系統是否已經定義信息安全等級，并驗證信息安全等級是否正確合理。

c）識別系統潛在信息安全風險

從信息安全角度分析系統總體需求， 識別潛在的安全風險。 可從以下幾個方面分析：

（1）保密性方面，如泄露敏感信息；

（2）完整性方面，如修改信息數據；

（3）可用性方面，如獲取信息服務失效；

（4）權限方面，如用戶權限分配。

分析系統自身引起的信息安全風險和系統與外部接口的信息安全風險。

輸入文檔：系統總體需求規格書，安全計劃，初步信息安全威脅和風險評估報告

輸出文檔：信息安全分析報告，異常報告

1.2 需求階段信息安全分析

驗證軟件信息安全相關需求已正確定義， 確認軟件已消或除控制了系統引入的信息安全風險。 提出處理、 減輕和控制風險的建議。 驗證信息安全需求將安全風險降低在可接受范圍內。

輸入文檔：初步信息安全威脅和風險評估報告，系統總體需求規格書， 軟件需求規格說明書， 概念階段信息安全分析報告

輸出文檔：信息安全分析報告，異常報告

1.3 設計階段信息安全分析

驗證系統/軟件結構（概要設計）和詳細設計能充分解決信息安全需求。 包括系統本身和外部接口的信息安全風險都有相應設計來處理。

輸入文檔：軟件概要設計說明書,軟件詳細設計說明書， 軟件需求規格說明書， 需求階段信息安全分析報告

輸出文檔：信息安全分析報告，異常報告

1.4 實施階段信息安全分析

驗證具體實施與設計一致，解決了信息安全風險，并且未引入新的安全風險。

輸入文檔：源代碼，軟件概要設計說明書，軟件詳細設計說明書，設計階段信息安全分析報告

輸出文檔：信息安全分析報告，異常報告

1.5 測試階段信息安全分析

通過測試確認系統滿足信息安全需求和設計，驗證最終系統未引入新的安全風險。

輸入文檔：源代碼，可執行代碼，集成后的系統，測試結果，編程實施階段信息安全分析報告

輸出文檔：信息安全分析報告，異常報告

1.6 安裝和檢驗階段信息安全分析

驗證安裝的軟件未對整個系統引入或增加新的漏洞和安全風險。

輸入文檔：安裝包，用戶手冊

輸出文檔：信息安全分析報告，異常報告

1.7 運行階段信息安全分析

驗證未引入新的安全風險導致運行環境的改變。

運行一段時間，根據總體需求中的外部接口、威脅和技術的變更， 來執行更新的信息安全分析， 從而確定新的殘留風險。輸入文檔：新約束、環境變化、運行規程輸出文檔：信息安全分析報告

1.8 維護階段信息安全分析

驗證軟件的改變和更新未對整個系統引入或增加新的漏洞和安全風險。

輸入文檔：軟件變更，安裝包

輸出文檔：信息安全分析報告

2 結論

隨著信息化與工業化深度融合， 核電廠信息安全變得日益重要。 本文針對國內外信息安全研究現狀，詳細描述了軟件生命周期要求的信息安全分析任務的工作程序和驗收準則， 為核電安全級軟件信息安全分析工作進一步開展提供參考。