核電廠儀控系統(tǒng)安全和網(wǎng)絡安全協(xié)調要求

文/孫永勝 夏丹陽

1 引言

隨著現(xiàn)代工業(yè)技術的發(fā)展，工業(yè)化與信息化正在不斷融合，工業(yè)控制系統(tǒng)越來越多采用通用的通信協(xié)議和軟硬件系統(tǒng)，并且以各種方式接入網(wǎng)絡，從而打破了這些系統(tǒng)原有的封閉性和專用性，造成病毒、木馬等安全威脅向工控領域迅速擴散。工業(yè)控制系統(tǒng)所面臨的信息安全問題日益嚴重，而且呈現(xiàn)出諸多與傳統(tǒng)IT系統(tǒng)不同的特點。核電廠作為國家關鍵基礎設施，是關注的核心，重中之重。儀控系統(tǒng)作為核電廠的神經(jīng)中樞、關鍵數(shù)字資產(chǎn)，是重點保護對象。而儀控系統(tǒng)從功能安全角度已有完整的法規(guī)標準和技術。如何在不降低安全的情況下考慮加強信息安全，有必要提出協(xié)調功能安全和信息安全的整體框架。

2 安全和網(wǎng)絡安全協(xié)調要求

2.1 基本原則

數(shù)字式儀控系統(tǒng)整體結構層面應考慮以下原則：

（1）網(wǎng)絡安全措施不能影響核電廠安全目標。網(wǎng)絡安全措施不應損害儀控系統(tǒng)架構實施的多樣性和縱深防御的有效性。

（2）首先按照IEC61513的要求，進行儀控系統(tǒng)功能初次分配，并進行儀控系統(tǒng)架構總體設計，然后考慮可能影響整體系統(tǒng)架構的網(wǎng)絡安全要求。通過迭代設計過程，將可能影響系統(tǒng)架構的網(wǎng)絡安全要求整合到一起。

（3）網(wǎng)絡安全功能不得對安全重要功能所要求的性能、有效性、可靠性和可操作性產(chǎn)生不利影響。

（4）安全重要系統(tǒng)增加的網(wǎng)絡安全特征應進行失效模式和后果分析，并考慮預防、控制或緩解措施。

（5）當兩種架構設計有相同等級的安全性時，優(yōu)先考慮具備網(wǎng)絡安全防范特性的設計。但應避免不必要的復雜設計，因為復雜設計既不利于功能安全也不利于網(wǎng)絡安全。

2.2 網(wǎng)絡安全區(qū)域劃分原則

為了更切實地實施分級方法，需要將儀控系統(tǒng)中的基于計算機的和基于數(shù)字邏輯的系統(tǒng)劃分為若干安全區(qū)域，分級保護原則適用于各個安全區(qū)域。區(qū)域允許將在安全和設備功能方面有著相似重要性的系統(tǒng)分為一組，以管理并應用保護措施。定義安全區(qū)域的標準可能包括組織問題、本地化、架構或技術方面。劃分網(wǎng)絡安全區(qū)域應考慮如下原則：

（1）網(wǎng)絡安全區(qū)域的劃定應考慮和利用為加強安全目的而引入的獨立性和物理隔離要求；

（2）劃定網(wǎng)絡安全區(qū)域應同時考慮數(shù)據(jù)通信、地理/物理隔離以及獨立性等方面；

（3）除非能夠從網(wǎng)絡安全防范角度有效的過濾和監(jiān)測分隔之間的通信，否則由多個子列組成的儀控系統(tǒng)應劃分到同一個網(wǎng)絡安全區(qū)域中。

2.3 共因故障處理原則

在某些情況下，共因故障的措施，有利于網(wǎng)絡安全防范。具體情況需由負責網(wǎng)絡安全人員基于特定場景可能的惡意攻擊和潛在威脅進行評估。多樣性手段在網(wǎng)絡安全防范中使用，利弊需要具體分析。以串聯(lián)方式可以增加網(wǎng)絡安全效果，但是會引入復雜性；以并聯(lián)方式則可能增加系統(tǒng)接入路徑和漏洞。對于集成到系統(tǒng)中的網(wǎng)絡安全防范措施，應分析其可能在多樣性系統(tǒng)間引入共因故障的潛在風險。存在風險時，應考慮替代措施，在保證充分的網(wǎng)絡安全的同時，降低共因故障風險。

2.4 隔離原則

隔離設計在某些情況下也可用于網(wǎng)絡安全防范。應由負責網(wǎng)絡安全的人員按照場景進行分析，利用隔離措施促進安全防范。功能安全相關標準所提出的用于支持A類功能的控制系統(tǒng)的獨立性要求，對網(wǎng)絡安全是有益的，應針對具體場景進行評估和驗證，以便在網(wǎng)絡安全防范中納入這些措施。這些控制系統(tǒng)的獨立性要求包括：

（1）對于那些僅用于檢測或保護目的的A類信號，對同時用于控制系統(tǒng)（無論其類別）的A類系統(tǒng)信號需要予以特別關注。這是由于傳感器故障可導致控制系統(tǒng)的測量值超出需求容許值，并產(chǎn)生不安全的控制動作，同時還會方案保護系統(tǒng)對不安全工況的探測。

（2）保護系統(tǒng)和控制系統(tǒng)應設計成如下的形似和：對兩個系統(tǒng)之間所傳遞的信號，假設單一故障包括了后繼故障，不能引發(fā)事故或要求安全動作的瞬態(tài)，同時，也不能引發(fā)A類系統(tǒng)不可接受的降級。

（3）當A類系統(tǒng)內的一個單一隨機故障及其后任何后續(xù)故障可引發(fā)一個控制系統(tǒng)動作，從而成為導致一個要求安全動作的工況時，即使此時有第二個隨機故障使得A類系統(tǒng)降級，A類系統(tǒng)仍應有提供安全動作的能力。應采取措施，無論任何原因，包括測試或維修目的，使得部件或組建旁通或退出運行，系統(tǒng)都應滿足這一要求。

（4）即使有效的旁通、傳感器和設備有測試證據(jù)證明的高可靠性，對提供控制信號的二取一表決的保護系統(tǒng)將要求比較論證和證明。如果在維護期間使用了合適的旁通措施，則采用故障安全的設備和自動探測故障傳感器的三取二系統(tǒng)能夠滿足要求。

3 結語

在核電廠儀控系統(tǒng)設計時，考慮功能安全和信息安全的協(xié)調要求，使儀控系統(tǒng)在保證安全性的同時也具備適當?shù)男畔踩匦裕瑸榇_保電站安全穩(wěn)定運行、免受網(wǎng)絡攻擊提供了有力保障。