核電站儀控系統網絡安全標準研究分析

曾絲竹，趙友有

（中廣核研究院有限公司，廣東 深圳 518000）

0 引言

隨著互聯網和工業融合發展的深化，工業控制系統越來越多地采用數字化控制設備，工控系統網絡安全問題逐漸凸顯。一方面，隨著計算機技術的發展，網絡攻擊手段和形式也在不斷升級，系統遭受的網絡攻擊越來越多。根據國家互聯網應急中心發布的2020年網絡安全態勢報告：2月，針對存在某特定漏洞工控設備的惡意代碼攻擊持續半個月之久，攻擊次數達6700萬次，攻擊對象包含數十萬個IP地址[1]；另一方面，傳統工控系統更關注系統可用性、實時性等性能，對網絡安全防范缺乏考慮，有時甚至為確保系統可靠性，關閉操作系統認證、防火墻等功能。由于不同系統間的信息傳遞需求、運維設備等可移動存儲裝置的接入等，工控系統無法實現與外部網絡的完全隔絕，病毒一旦侵入，系統內部處于“裸奔”狀態的設備將毫無招架之力。

目前，世界上已發生多起針對工控系統的網絡攻擊事件。2010年StuxNet“震網”病毒攻擊伊朗鈾濃縮設施，導致上千臺離心機癱瘓；2015年Black Energy攻擊烏克蘭電力系統，導致烏克蘭大規模停電。核電由于其本身的敏感性，面臨著更大的網絡安全風險。美國《原子科學家公報》表示，人類社會最大的兩個安全風險，網絡攻擊與核威脅，正在發生危險的碰撞，其嚴重后果完全可能演變為無法控制的人禍[2]。

現階段，網絡安全已成為國家戰略需求。2014年2月27日，習近平在中央網絡安全和信息化領導小組第一次會議上的講話提出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。公安部、能源局、核安全局等部委相繼出臺網絡安全政策，指導網絡安全建設。本文從縱向和橫向層次，對中國核電儀控系統網絡安全相關的政策標準進行了立體化說明，同時也對國際上核電儀控系統網絡安全方面的法規政策進行了介紹，指出了目前中國核電儀控網絡安全標準建設方面存在的不足及給出了改進建議，供核電站儀控系統有效開展網絡安全建設作參考。

1 中國核電網絡安全相關標準政策

中國網絡安全防護分涉密網和非涉密網防護，針對非涉密網的網絡安全防護，主要采取等級保護（即“等保”）的保護原則。公安部牽頭編制了有關等級保護相關標準政策，各行業在等保標準政策基礎上，結合行業特點，提出適用于本行業的網絡安全保護標準政策。本章對國家網絡安全法律法規、等級保護系列標準政策、電力行業網絡安全標準政策、核電網絡安全標準政策和工控系統網絡安全標準政策進行了說明。

1.1 網絡安全法律法規和標準政策

1.1.1 網絡安全法律法規

中國已發布的網絡安全法律法規有3部：《中華人民共和國計算機信息系統安全保護條例》（以下簡稱《信息系統安全保護條例》）、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）和《關鍵信息基礎設施保護條例》。

《信息系統安全保護條例》于1994年發布并在2011年進行了修訂，共5章31條，主要針對中國網絡安全保護制度、安全監督、法律責任等內容進行了說明。條例明確中國計算機信息系統實行安全等級保護制度，公安部主管全國計算機信息安全。

2017年6月，《網絡安全法》正式頒布實施。這是國家安全法律制度體系中的一部重要法律，是國家網絡安全領域的首部基礎性、框架性法律[3]。網絡安全法共7章79條，主要針對網絡安全制度及要求、網絡安全產品和服務要求、供應商和運營商的法定義務、政府監管要求等進行了說明。網絡安全法提出，中國實行等級保護制度，關鍵信息基礎設施在等級保護的基礎上實行重點保護。

為支撐《網絡安全法》的實施，公安部和網信辦隨后分別起草了《網絡安全等級保護條例》和《關鍵信息基礎設施保護條例》。目前，《關鍵信息基礎設施保護條例》已于2021年9月正式頒布實施，《網絡安全等級保護條例》尚處于制定過程中。

1.1.2 網絡安全等級保護標準政策

中國網絡安全等級保護標準政策實施主要分為兩個階段，即通常說的等保1.0時期和等保2.0時期。等保1.0時期的網絡安全工作以2007年《信息安全等級保護管理辦法》的發布為標記，指出等級保護工作主要包括定級、備案、系統建設和整改、等級測評、監督檢查。隨后，公安部相繼發布一系列配套的等保標準政策，指導開展等級保護工作，相關政策如圖1所示。等保2.0時期網絡安全工作開展以2016年《中華人民共和國網絡安全法》的發布為標記，此階段由公安部牽頭對等保系列標準進行了修訂及補充。等級保護標準體系如圖2所示。

等級保護核心標準包括實施指南、定級指南、基本要求、設計技術要求和測評指南/要求，此外，還有針對技術、管理、產品以及系統運維、應急響應等方面的網絡安全標準。其中，GB17859-1999《計算機信息系統安全保護等級劃分準則》是等保標準體系里唯一的強制性標準，規定中國計算機安全保護等級分為五級，包括用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級（防護級別由低到高），并針對各級別的防護要求進行規定。5個保護等級的監管要求分別為自主保護、指導保護、監督保護、強制保護和專控保護。第五級為非常重要的監管對象，核電儀控系統不在此范圍。GB/T 22239 -2019《信息安全技術 網絡安全等級保護基本要求》是網絡安全建設的主要依據以及等保工作主要目標，對各防護級別的通用要求以及云計算、移動互聯、物聯網、工業控制系統的個性化保護需求進行了說明。標準特別指出了工控系統防護、室外控制設備物理防護、網絡架構和通信傳輸的防護要求，并在附錄中對工控系統的應用場景進行了說明。

等級保護標準是普適性的標準，適用于所有非涉密的信息系統。雖然，標準已按通用要求與擴展要求分別提出了不同系統的共性和個性化防護要求，但由于不同應用場景具體應用技術、安全需求的不同，仍存在不適用情況。例如，核電現場不允許緊急情況下登錄被限制，標準中的限制非法登錄次數要求不適用。在開展等級保護工作時，需對等級保護要求進行適用性分析。

1.1.3 關鍵信息基礎設施保護標準政策

2016年，習近平總書記在“4.19”網絡安全和信息化工作座談會上提出：“加快構建關鍵信息基礎設施安全保障體系。”隨后，11月份出版的《網絡安全法》針對關鍵信息基礎設施保護進行了規定，提出：“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。”

目前，針對關鍵信息基礎設施的相關標準仍在制定中，相關標準政策見表1。

表1 關鍵信息基礎設施標準政策Table 1 Policies and standards of critical information infrastructure

1.2 電力行業網絡安全標準政策

電力行業為中國最早開展網絡等級保護的行業之一，2007年公安部開展網絡安全等級保護后，為貫徹落實國家關于信息安全等級保護的要求，電力行業相關監管部門隨即出臺一系列政策，促進電力信息系統網絡安全等級保護建設。電力行業網絡安全標準政策見表2。

表2 電力行業網絡安全標準政策Table 2 Policies and standards of cybersecurity of electricity industry

目前，電力行業網絡安全建設主要參照發改委14號令和能源局36號文、72號文和等保標準進行，并由國家能源局進行監管。發改委14號令主要對電力監控系統安全防護的總體原則、安全管理要求、監督管理要求進行說明，提出：“電力監控系統安全防護工作應當落實國家信息安全等級保護制度，按照國家信息安全等級保護的有關要求，堅持‘安全分區、網絡專用、橫向隔離、縱向認證’的原則，保障電力監控系統的安全。”能源局36號文，針對電力監控系統安全防護總體方案，調度中心、發電廠、變電站、配電監控系統的防護方案以及電力監控系統安全評估規范進行了說明。根據能源局36號文，核電站監控系統DCS安全防護級別定為3級，劃分在生產控制大區下的控制區內，具有最高的防護要求。電力行業相關標準政策未針對DCS的防護要求展開具體描述，但對電力監控系統防護總體原則、通用安全防護措施進行了詳細的描述。

1.3 核電網絡安全標準政策

中國核電網絡安全建設尚在起步階段，相關標準規范不完善。核電以往的標準政策中，雖針對儀控系統網絡安全防范提出了要求，但是未針對防護措施展開具體的描述，如HAD102/16提及，需“采取防范措施，以防止基于計算機的系統在整個生存周期中遭到實體破壞、有意和無意的侵入、虛假信息和病毒等”。此外，針對儀控系統安全提出的部分要求涉及網絡安全，如系統間的隔離要求、與外部網絡的隔離要求等。

2018年，發改委、能源局等四部委在2017“核電安全管理提升年”專項行動基礎上，總結核電行業安全管理經驗，提出《關于進一步加強核電運行安全管理的指導意見》。該意見第8節提出：“將網絡安全納入核電安全管理體系，加強能力建設，保障核電網絡安全。”要求核電相關單位開展網絡安全能力建設，做好網絡等級保護測評和開展網絡安全培訓及評估工作。

2020年，核安全局和國家原子能機構參考RG5.71編制發布《核動力廠網絡安全技術政策》（試行）。制定本技術政策的目的在于：指導運營單位通過建立和實施網絡安全大綱，對核電廠網絡安全風險進行監測和管理，以保證核電廠安全水平得以維持或得到提升[4]。該政策是一個綱領性文件，側重于對核電運營單位在開展網絡安全建設過程中的主要工作進行指導，對于網絡安全建設適用的技術、管理、操作措施并未展開描述。

現階段，國內各核電廠正陸續開展網絡安全建設，以滿足國家相關監管機構對于系統網絡安全防護的要求。

1.4 工控系統網絡安全標準政策

2010年，伊朗“震網”病毒事件發生后，工控網絡安全問題在國內引起極大重視。工信部發布《關于加強工業控制系統信息安全管理的通知》，要求切實加強工業控制系統信息安全管理，中國工控系統信息安全防護建設工作由此拉開序幕。工控系統網絡安全標準政策見表3。

表3 工控系統網絡安全標準政策Table 3 Policies and standards of cybersecurity of industry control systems

工信部451號文對國內工控系統信息安全防護存在的問題進行了說明；工信部338號文從安全軟件選擇與管理、配置和補丁管理、物理和環境安全防護、供應鏈管理、安全監測和應急預案演練等11個方面，對工控系統安全防護要求進行了說明；工信部188號文對信息安全評估機構和人員、評估工作程序、評估工具、監督管理等進行了說明。工業控制系統網絡安全防護標準以等級保護為基礎，包括風險評估、分級規范、安全控制要求、驗收規范等標準。其中，GB/T36324 -2018《信息安全技術 工業控制系統信息安全分級規范》主要對工控系統等級劃分規則、定級方法進行了說明。等級評估中的定級要素除了等保標準中的“系統受侵害后潛在影響程度”，增加“工控系統資產重要程度”和“工控系統需抵御的安全風險”，對工控系統等級劃分進行了細化。GB/T33009.1-2016《工業自動化和控制系統網絡安全 集散控制系統（DCS） 第1部分：防護要求》，針對DCS過程監控層、現場控制層、現場設備層的網絡安全防護要求分別進行了說明，將相關防護要求細化到工控系統內部不同功能層次；GB/T 32919-2016《信息安全技術 工業控制系統安全控制應用指南》對工控系統安全控制的選擇、剪裁以及安全控制要求等進行了詳細的說明。

工控系統架構、實現功能等與常見信息系統不同，防護要求存在差異。工控系統防護更側重于保護系統的可用性，其次是完整性和保密性。例如，工控系統一般不接受系統重啟、不允許存在不可接受的延遲。在布置工控系統安全防護措施時，對于可能影響工控系統功能、性能的措施需謹慎選擇。

2 國外網絡安全標準政策

2.1 美國網絡安全標準政策

在一般工業領域，最為知名并得到廣泛采用的是NIST的系列網絡安全標準，尤其是NIST SP800-82，NIST SP800-53以及《提升關鍵基礎設施網絡安全》。美國核管會根據NIST SP800系列標準中的“高影響”安全控制基線要求及IEEE-7.4.3.2要求，制定了適用于核電網絡安全建設的導則RG5.71和RG1.152。美國網絡安全標準政策見表4。

表4 美國網絡安全標準政策Table 4 Policies and standards of cybersecurity in America

RG5.71用于指導核運營單位建立、實施和維護網絡安全程序，主要針對關鍵數字資產識別、網絡安全計劃制定/執行/維護、文檔管理、風險評估、技術控制、操作和管理控制等方面進行了規定。RG1.152對數字系統生命周期各個階段，包括設計、實施、測試、安裝檢查和驗收、運行、維護，以及退役階段的系統安全特征、監管要求進行了說明。兩份NRC導則中均未提及系統網絡安全分級要求，但RG5.71中對于關鍵數字資產保護、縱深防御的概念隱含了此要求。

2.2 IAEA網絡安全標準政策

IAEA計算機安全相關要求主要在《核安保叢書》（Nuclear Securities Series）進行規定。《核安保叢書》出版物包括4類：核安保法則、建議、實施導則和技術導則。核安保法則用于提出核安保目標、概念和原則；建議用于應用核安保法則時應采取的最佳實踐；實施導則用于進一步闡述廣泛領域內的建議并提出實施措施；技術導則用于提出在具體領域內應用實施導則的詳細方法和導則。表5列出了IAEA發布的網絡安全標準。

表5 IAEA網絡安全標準政策Table 5 Policies and standards of cybersecurity in IAEA

其中，NSS-23-G為信息安全實施導則，NSS17、NST033、NST045（規劃中）和NST047（規劃中）為技術導則，NR-T-3.30為核能源系列出版物中計算機安全相關技術報告。IAEA通過NSS-17首次對核設施計算機安全提出要求，并規劃在NST-033、NST-045、NST-047出版后，由這3份技術導則替代NSS-17。

NSS-17包括管理導則和實施導則兩部分，管理導則針對核設施計算機安全的監管要求、組織和職責、安全文化等內容進行了說明；實施導則針對核設施計算機安全實施（包括計算機安全政策和計劃、資產分析管理、計算機系統分類和分級），威脅、薄弱環節和風險管理，對核設施的特殊考慮等內容進行了說明。NSS-17提出，計算機系統安全以分級方案為基礎，并給出核設施計算機系統5級劃分方案及計算機安全防護通用措施和各級的附加措施，等級劃分見表6。此外，導則將區域劃分視為執行分級方案的一種實用方法。NST-033不再提出具體的分級方案，但將IEC62645列為具體實施分級分區方案的參考。

表6 IAEA核設施計算機安全分級Table 6 Classification of computer security of nuclear facilities in IAEA

2.3 IEC網絡安全標準

IEC核電儀控系統網絡安全標準主要由IEC SC45A（反應堆核儀器分技術委員會）制定，目前已發布的標準有3份：IEC62645、IEC62859和IEC63096，為SC45A根據 通用信息安全標準ISO/IEC 27000系列，結合核電的法規標準提出。其中，IEC62645對核電廠儀控系統計算機安全程序制定和管理、I&C系統生命周期各階段的計算機安全防范要求等進行了說明，是SC45A標準系列中網絡安全領域的頂層文件（SC45A系列標準的第二級標準）。IEC62859對核安全和網絡安全間的協調提出要求，被視為IEC 61513（SC45A系列標準的第一級標準）與IEC62645的橋接標準；IEC63096針對核儀控系統網絡安全控制提出要求，作為IEC62645的輔助標準。IEC核電相關網絡安全法規標準見表7。

表7 IEC核電相關網絡安全法規標準Table 7 Cybersecurity standards related with nuclear power plants in IEC

根據IEC62645，核電儀控系統網絡安全防范等級按IEC 61226定義的安全功能分類，綜合考慮I&C系統遭受網絡攻擊對電廠安全性和可用性的影響，劃分為S1/S2/S3共3個級別（S1為最高級別），見表8。IEC62645對3個防范等級的系統的通用防范要求和各級別的附加要求進行了說明。

表8 IEC核電儀控系統安全防范等級Table 8 Cybersecurity classification of I&C systems in nuclear power plants in IEC

此外， 針對工控系統網絡安全防護，IEC發布了IEC 62443系列標準。IEC 62443系列標準分為總體要求、組織和程序要求、系統要求和部件要求4個部分，共13個標準。該系列標準最初由ISA99提出，2007年IEC與ISA成立聯合工作組對IEC 62443系列標準進行編制，目前該系列標準在陸續制定發布。

3 工作建議

目前，國內核電儀控系統網絡安全標準政策體系建設尚不成熟，也未建立統一的參照規范。由于國內的等保標準政策、電力行業網絡安全標準政策、工控系統標準政策等并非針對核電儀控系統提出，適用對象廣泛，存在不適用要求；NRC、IEC等標準雖然專門針對核電網絡安全建設提出了要求，但由于不同電站儀控系統設計遵循標準體系不同，部分要求并不完全適用。現有法規標準要求需經適用性分析后使用。

對于核電儀控系統網絡安全防護工作，存在以下2點建議：

1）根據網絡安全法規及電力行業網絡安全相關標準政策，開展儀控系統網絡安全防護工作，落實安全分區、隔離、等級保護、縱深防御、全生命周期管理和應急響應等要求，滿足合規性要求。

2）在滿足上述建議的基礎上，借鑒國內工控系統網絡安全標準政策及國外的網絡安全標準政策，完善網絡安全計劃和網絡安全防護方案。

核電廠儀控系統網絡安全建設是一項循序漸進、不斷更新和完善的工作，需對儀控系統全生命周期潛在的網絡安全風險進行梳理分析，制定相應的技術防護措施和管理措施。網絡安全技術措施的應用，應在不影響核安全的前提下進行，需盡可能減少對儀控系統功能和性能的影響。對于可能會對儀控系統功能、性能等產生不利影響的軟硬件設施，在實際投入使用前，需經過嚴格的線下測試后采用。此外，隨著計算機技術的發展，攻擊技術愈加先進，需關注網絡安全最新資訊，根據技術的發展對防護方案進行更新和完善，以應對新的挑戰。需注意的是，網絡安全風險是無法完全消除的，網絡安全的目的是盡可能減少潛在風險，使剩余風險限制在可接受的范圍內。

4 結束語

本文對國內外現有網絡安全標準政策進行了介紹，并對核電儀控系統網絡安全建設工作進行了建議。

核電儀控系統作為核電廠重要設施之一，網絡安全建設是必要且迫切的。目前，中國核電網絡安全建設尚處于起步摸索的階段，核電網絡安全標準政策體系尚不完善，網絡安全系統與核電站儀控系統的相互影響設計要求和評價機制仍未形成共識，需要后續形成統一的標準，更好地指導核電站儀控系統網絡建設的落地。