核電廠供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險淺析

劉小君，譚俊龍，宗 波，付嘉佳

（國家核安保技術(shù)中心，北京 102401）

0 引言

隨著國際國內(nèi)形勢日趨復(fù)雜和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，核電廠遭受網(wǎng)絡(luò)攻擊的風(fēng)險不斷上升。近年來，伊朗納坦茲鈾濃縮電廠、布什爾核電站，韓國、德國、印度核電站等核電廠都遭受過不同程度的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)攻擊已經(jīng)成為針對核電廠新的攻擊手[1]。網(wǎng)絡(luò)供應(yīng)鏈安全貫穿網(wǎng)絡(luò)產(chǎn)品和服務(wù)的整個生命周期且起著至關(guān)重要的作用，得到了國際社會的廣泛關(guān)注。

為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護國家安全，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展改革委等12部門聯(lián)合制定了《網(wǎng)絡(luò)安全審查辦法》，將2020年6月1日起正式實施，這將進一步推動國內(nèi)網(wǎng)絡(luò)安全審查的體系化建設(shè)。

核電廠作為典型的關(guān)鍵信息基礎(chǔ)設(shè)施，普遍采用數(shù)字化控制系統(tǒng)，這些控制系統(tǒng)大都從國外采購或使用國外技術(shù)，如何保障核電廠網(wǎng)絡(luò)安全成為中國核事業(yè)發(fā)展急需解決的問題。供應(yīng)鏈作為網(wǎng)絡(luò)安全的首要環(huán)節(jié)，在保障網(wǎng)絡(luò)安全中起著至關(guān)重要的作用。核電廠數(shù)字化系統(tǒng)的研發(fā)人員在系統(tǒng)設(shè)計過程中，為了便于在遇到問題時可以快速進入系統(tǒng)解決問題而特意為系統(tǒng)開了一些后門，國家能源局已通過針對性測試證實漏洞的真實存在，這些風(fēng)險成為了核電廠運行的潛在隱患。

1 政府需在供應(yīng)鏈安全風(fēng)險中起主導(dǎo)作用

在全球貿(mào)易化快速發(fā)展的背景下，發(fā)達國家在網(wǎng)絡(luò)供應(yīng)鏈領(lǐng)域占有主導(dǎo)地位，為實現(xiàn)網(wǎng)絡(luò)技術(shù)產(chǎn)品和服務(wù)安全均建立了相對完備的審查制度或過程，確定了政府職責(zé)和企業(yè)責(zé)任。以美國為例，國土安全部在2007年就發(fā)布了《增強國際供應(yīng)鏈安全的國家戰(zhàn)略》，2008年1月，小布什總統(tǒng)發(fā)布了54號國家安全總統(tǒng)令（NSPD54），同時也是第23號國土安全總統(tǒng)令（HSPD23），提出了國家網(wǎng)絡(luò)安全綜合計劃[2]。這個計劃中部署的一項重要工作，就是建立全方位的方法來實施全球供應(yīng)鏈風(fēng)險管理。而發(fā)展中國家，大都依靠發(fā)達國家產(chǎn)品，在供應(yīng)商大多采用源代碼保護的情況下，本國的技術(shù)難以形成對國外產(chǎn)品的審查，部分國家采用了態(tài)勢威脅感知理念。以印度為例，2013年印度的《國家網(wǎng)絡(luò)安全戰(zhàn)略》將供應(yīng)鏈安全和態(tài)勢感知進行了綜合考慮，建立了較為先進的安全審查框架。在該戰(zhàn)略中，印度明確要求建立強制性的持續(xù)信息安全審計；建立產(chǎn)品/應(yīng)用供應(yīng)商和服務(wù)提供商之間的信賴關(guān)系，改善“端到端”供應(yīng)鏈安全的“可視性”；在信息技術(shù)采購供應(yīng)鏈風(fēng)險管理的各機構(gòu)之間，建立針對威脅、脆弱性和安全違反事件的感知能力。雖然中國在2014年宣布實施的網(wǎng)絡(luò)安全審查制度，但在實施的過程中，礙于對國外網(wǎng)絡(luò)產(chǎn)品的過度依賴性，而忽視了審查制度的重要性，對于企業(yè)，并沒有足夠的經(jīng)濟和能力足以支撐審查的完成。《網(wǎng)絡(luò)安全審查辦法》實施，進一步明確了國家相關(guān)部門的審查職責(zé)，運營單位也需配合國家部門的審查工作，共同完善核工業(yè)的網(wǎng)絡(luò)安全審查體系[3]。

2 企業(yè)需做好供應(yīng)鏈風(fēng)險管理工作

企業(yè)在國家法律法規(guī)的指導(dǎo)下，對網(wǎng)絡(luò)安全供應(yīng)商進行技術(shù)審查和背景審查，并持續(xù)監(jiān)控。在進行網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購時，需要考慮整個供應(yīng)鏈的風(fēng)險，包括硬件和軟件，并做好供應(yīng)鏈安全的風(fēng)險評估，分析確定供應(yīng)鏈風(fēng)險事件發(fā)生的可能性和后果。簽訂合同時需充分考慮網(wǎng)絡(luò)安全因素和法律責(zé)任，采用標(biāo)準(zhǔn)化和并行化的方法進行柔性設(shè)計來規(guī)避供應(yīng)鏈的采購風(fēng)險，使其在風(fēng)險發(fā)生后，能夠快速恢復(fù)到初始狀態(tài)或進化出一個更有利于供應(yīng)鏈運作的狀態(tài)的能力。按照質(zhì)量保證流程，在網(wǎng)絡(luò)產(chǎn)品使用前進行完全測試，確保產(chǎn)品的交付完全符合合同的約定。在使用中，建立網(wǎng)絡(luò)安全防護措施和應(yīng)急預(yù)案，確保核電廠網(wǎng)絡(luò)風(fēng)險安全可控。

3 和諧的網(wǎng)絡(luò)供應(yīng)鏈環(huán)境需要多方共建

核電廠網(wǎng)絡(luò)供應(yīng)鏈作為國家安全相關(guān)、公共利益相關(guān)的重要技術(shù)產(chǎn)品和服務(wù)，應(yīng)該通過審查。網(wǎng)絡(luò)供應(yīng)鏈安全審查不是貿(mào)易保護，各國需要參考國際相關(guān)標(biāo)準(zhǔn)，建立屬于本國的供應(yīng)鏈審查體系[4]。運營者應(yīng)通過審查做到掌握自己的系統(tǒng)而不是由廠商掌控，自己的信息不能讓別人想拿走就能拿走，自己的系統(tǒng)不能讓別人想控制就控制，不能依靠用戶對產(chǎn)品的依賴性而威脅用戶的選擇權(quán)、自主權(quán)。《網(wǎng)絡(luò)安全審查辦法》為運營者提出審查要求提供了充足的法律依據(jù)，改變了以前供應(yīng)商為主的格局。

4 建立核工業(yè)網(wǎng)絡(luò)安全審查體系的建議

為進一步提升中國核電廠安全水平，確保國家能源安全和核工業(yè)的持續(xù)健康發(fā)展，核工業(yè)應(yīng)重視供應(yīng)鏈中的網(wǎng)絡(luò)安全問題，構(gòu)建完善具有中國特色供應(yīng)鏈審查技術(shù)體系，提出建議如下：

4.1 建立適合中國國情的核電廠供應(yīng)鏈審查制度

建立國家核電廠網(wǎng)絡(luò)供應(yīng)鏈審查體系，明確供應(yīng)鏈審查的框架。重點審查供應(yīng)商的自我聲明（SOW），供應(yīng)商要在SOW 中明確闡述對美國信息技術(shù)安全標(biāo)準(zhǔn)及相關(guān)立法的遵從情況，并通過“安全合同”明確供應(yīng)商的安全責(zé)任，增強“事后懲處”的效果和力度。

對于不同類別的供應(yīng)商有不同的審查要求，對商業(yè)現(xiàn)貨軟硬件供應(yīng)商，僅要求其陳述質(zhì)量控制內(nèi)容，而對于開發(fā)或提供客戶端應(yīng)用服務(wù)、IT服務(wù)外包或在線支持服務(wù)的供應(yīng)商，則具有廣泛的審查要求。具體而言，供應(yīng)商在SOW中需要陳述包括背景調(diào)查、保密審查、培訓(xùn)審查、位置審查、服務(wù)標(biāo)準(zhǔn)審查、資產(chǎn)評估審查、驗證和確認(rèn)審查（V＆V）、認(rèn)證認(rèn)可審查、安全事件報告審查、質(zhì)量控制審查、脆弱性分析、登錄標(biāo)示、安全控制審查、業(yè)務(wù)連續(xù)性審查等情況。

4.2 建立標(biāo)準(zhǔn)化體系，實施動態(tài)的監(jiān)督管理

標(biāo)準(zhǔn)化是實施網(wǎng)絡(luò)安全審查的基礎(chǔ)。盡管中國已經(jīng)在立法中建立了網(wǎng)絡(luò)安全審查制度，但目前在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的建設(shè)方面發(fā)展緩慢，沒有形成具有配套性和完整性的標(biāo)準(zhǔn)族。當(dāng)然，在進行安全審查時可以使用ISO等國際標(biāo)準(zhǔn)，但國際標(biāo)準(zhǔn)僅僅提供了信息系統(tǒng)的最低安全標(biāo)準(zhǔn)，中國的信息安全標(biāo)準(zhǔn)化建設(shè)也需要同步加快。在網(wǎng)絡(luò)技術(shù)產(chǎn)品和服務(wù)使用階段，實施建立動態(tài)監(jiān)督管理。核電廠網(wǎng)絡(luò)安全的整體水平取決于保護措施最為薄弱的環(huán)節(jié)，而持續(xù)性的動態(tài)監(jiān)督管理恰恰能夠識別和強化這類環(huán)節(jié)。如2009年，奧巴馬政府針對聯(lián)邦政務(wù)網(wǎng)絡(luò)安全開展了為期60天的網(wǎng)絡(luò)安全審查，以此來判斷聯(lián)邦層面的數(shù)據(jù)保護水平。

4.3 加大自主研發(fā)，避免在供應(yīng)鏈上被綁架

“中興”“華為”事件給國人在自主研發(fā)上敲響了警鐘，核電廠安全更是關(guān)乎國家安全，自主可控需求迫在眉睫。網(wǎng)絡(luò)產(chǎn)品自主產(chǎn)品研發(fā)成本大，應(yīng)用成本也較高，所以需要國家在這方面大力投入與政策扶植。以國內(nèi)某核電廠為例，新建的核電廠儀控系統(tǒng)仍然采用西門子20年前開發(fā)的系統(tǒng)，這套系統(tǒng)采用專屬協(xié)議，且大多設(shè)備需配套購買，將來如需采用自主化產(chǎn)品替代，成本將非常高。應(yīng)加大宣傳力度，提高廣大用戶特別是基礎(chǔ)網(wǎng)絡(luò)和重要網(wǎng)絡(luò)系統(tǒng)的主管和運營單位的網(wǎng)絡(luò)安全意識。

4.4 建立網(wǎng)絡(luò)安全產(chǎn)品認(rèn)證體系

對中國核電廠在用的網(wǎng)絡(luò)安全產(chǎn)品認(rèn)證工作和漏洞檢測分析工作，加強技術(shù)防范與應(yīng)急管理。美國核管會下設(shè)供應(yīng)商專業(yè)檢驗中心，負(fù)責(zé)監(jiān)督供應(yīng)商提供的產(chǎn)品、軟件及服務(wù)等[5]，并在實施后反復(fù)開展對供應(yīng)商的檢查，并對建立網(wǎng)絡(luò)設(shè)備的供應(yīng)鏈審查采用黑名單制度，一旦供應(yīng)商出現(xiàn)在黑名單上，將不再允許進入核工業(yè)體系。中國也應(yīng)加快建立供應(yīng)商和產(chǎn)品認(rèn)證體系，保障核工業(yè)供應(yīng)鏈安全。

5 結(jié)語

核電廠網(wǎng)絡(luò)安全是核電運行安全的重要組成部分，關(guān)系著中國核行業(yè)的健康發(fā)展，不容半點閃失。網(wǎng)絡(luò)安全問題的隱蔽性，應(yīng)充分利用國家法律法規(guī)，在合同簽訂、質(zhì)保等環(huán)節(jié)，要將核電廠數(shù)字資產(chǎn)進行審查列為一個重要內(nèi)容，使供應(yīng)商認(rèn)識并遵循國內(nèi)相關(guān)法律，共同推動建立一個健康的核電廠數(shù)字設(shè)備的供應(yīng)鏈。