核設施工業控制系統網絡安全閉環管理方法研究

王 丹，顧俊杰，李逸翔

（中國核動力研究設計院，成都 610213）

0 引言

核設施工業控制系統是核設施的神經中樞，由一系列控制組件、執行器、操作站以及配套網絡組成，具有監測、控制、緊急安全保護等功能。隨著數字化網絡技術的深入應用，核設施工業控制系統逐步從物理獨立、封閉的結構開始向網絡化方向發展，生產、管理效率得到全面提升，但網絡安全的脆弱性也逐漸暴露，網絡攻擊風險日益增大，核設施的安全運行受到嚴重威脅。鑒于核設施安全運行的重要性，保障核設施工業控制系統網絡安全成為核設施運營者的重要目標。

隨著2010年伊朗“震網”病毒事件的爆發，眾多專家學者已對核設施工業控制系統的網絡安全問題開展一系列研究。苑晨亮等[1]提出適用于核電廠的工業控制系統信息安全評估模型，通過模糊及層次分析法對工業控制系統信息安全狀態進行評價；秦利華等[2]對核反應堆工業控制系統與企業信息系統安全互聯的安全風險進行研究，提出基于管理和技術雙重防御的互聯安全防護體系，并給出每個模塊的安全防護要求和措施；楊安義等[3]從監管模式、法律法規和技術標準體系等方面對中美兩國核設施網絡安全問題進行系統梳理和對比分析，對國內核設施網絡安全監管能力提升亟需研究和解決的問題提出思考和建議；劉學科等[4]根據在役核電廠DCS系統的信息安全現狀，結合國內外工控領域較成熟信息安全標準，設計涵蓋核電廠信息安全全生命周期的信息安全管理體系。上述研究給出的安全防護手段和建議雖然在一定程度上為核設施工業控制系統安全防護能力的提升提供了參考，但是缺乏對安全防護措施的有效性和執行情況進行分析，也尚未對核設施工業控制網絡安全違規行為以及風險隱患的整改管理開展研究。

鑒于以上原因，本文基于故障報告、分析與糾正措施系統（Failure Reporting，Analysis and Corrective Action System，FRACAS）理論，對核設施工業控制系統網絡安全管理存在的問題進行深入分析，提出基于FRACAS的網絡安全閉環管理流程，即時糾正已發生的網絡安全違規行為和新發現的網絡安全風險隱患，從根源上減少網絡安全事件發生的概率，進而為核設施的安全運行提供保障。

1 網絡安全管理存在的問題分析

核設施工業控制系統不同于傳統的IT信息系統，結構復雜，業務邏輯相對固定，一旦建立，部署的控制設備、采集設備、網絡設備等硬件設備，以及工程師站、服務器上部署的操作系統、應用軟件在較長時間里不會變更。據調研，核設施工業控制系統在網絡安全違規行為或風險隱患的處理及管理過程中主要存在以下問題：

1）日常業務運行、工控設備維護、網絡系統運維、安全運維，以及應急處置等涉及的部門、人員責任和分工不明，導致在處理網絡安全違規行為或風險隱患時，負責處理問題的部門、人員不明確。

2）部門內各專業組未對網絡安全違規行為和風險隱患的處理形成統一規范，缺乏有效的信息互通機制，也未考慮對單位同類工業控制系統進行全面排查，無法達到舉一反三的效果。

3）未實施對出現的工業控制系統網絡安全違規行為和風險隱患信息進行有效記載、整理和分類，有的只是零碎式、不全面的記錄，未形成專業知識庫。長此以往，不利于工業控制系統整體安全性的提高。

4）若網絡安全事件發生時，相關處理部門人員反應遲緩，問題分析不全面，應急處置措施不是切實有效，將導致整個事件處理過程效率低下，進而引發更大的資產損失。

2 FRACAS在網絡安全管理中的優勢

FRACAS是質量管理中重要的理論依據[5,6]，其“信息反饋，閉環控制”的原理在處理核設施工業控制系統網絡安全管理問題中，主要有3個方面的優勢，具體如下：

1）利用FRACAS理論，建立規范化的網絡安全管理體系，明確處置機制和工作流程，保證無論是在外部檢查、內部自查、風險評估與測評等過程中發現的網絡安全違規行為和風險隱患，還是發生真實的網絡安全事件，均可在第一時間啟動閉環處理流程并采取補救措施，降低影響范圍。

2）FRACAS長時間成功運行，可以收集和記錄工業控制系統長期運行過程中在網絡安全管理和技術方面存在的薄弱問題，以此為基礎可建立提升核設施工業控制系統設計、研制、運行等階段安全性的專業知識庫，為后續同類型工業控制系統的安全保護提供理論參考。

3）FRACAS長期有效實施，不僅可降低類似工業控制系統網絡安全違規行為和風險隱患重復出現的概率，也可持續提升工業控制系統運維人員的網絡安全意識和應急處置技能，保障工業控制系統穩定運行和數據安全。

3 基于FRACAS的網絡安全管理流程

結合核設施工業控制系統網絡安全管理現狀，將FRACAS理論融合到網絡安全違規行為和風險隱患閉環管理業務中，建立涵蓋信息報告與先期處置、信息綜合研判、處置措施制定與實施、整改復查與驗證、經驗反饋與培訓和報告歸檔與流轉的網絡安全閉環管理流程，以達到快速采取補救措施，消除風險隱患的要求，進而提升核設施工業控制系統網絡安全管理水平。核設施工業控制系統網絡安全FRACAS工作流程具體如圖1所示。

圖1 核設施工業控制系統網絡安全FRACAS工作流程圖Fig.1 FRACAS Workflow diagram for network security of industrial control systems in nuclear facilities

3.1 信息報告與先期處置

核設施工業控制系統在調試、運行、維護等過程中可能發生多種類型的網絡安全違規行為或發現網絡安全風險隱患。例如，系統操作人員貪圖方便將外來筆記本或者外部U盤接入工業控制系統，系統運維人員擅自更改安全程序配置等。當發生網絡安全違規行為或發現網絡安全風險隱患時，涉事部門應當按照相關制度要求客觀填寫發現時間、地點、基本過程、影響范圍等信息，并報告給網絡安全管理部門。報告情況分為兩種：一是主動報告，涉事部門人員主動報告違規行為或者發現的網絡的安全隱患；二是被動報告，違規行為或風險隱患是在外部檢查、安全審計等中被發現，涉事部門被要求報送相關情況。網絡安全管理部門接收到信息時，應向技術部門提出技術支持需求，由技術部門制定先期處置措施。技術部門可根據風險隱患的嚴重性及處理難度，邀請外部專家給予技術支持。處置措施經網絡安全管理部門審查通過后，由對應核設施工業控制系統的安全運維部門進行部署實施。

3.2 信息綜合研判

信息綜合研判階段首先需要技術領域的人員到現場核實違規行為或風險隱患的具體情況，追溯事件發生的過程、研究產生的原因，分析事件的嚴重程度、影響范圍、發展態勢等信息，并判定事件的安全等級。然后，由技術部門將事件詳細情況形成書面報告，報送給網絡安全管理部門。網絡安全管理部門接收到報告后，組織涉事部門、技術部門共同確認報告內容的準確性、合理性，并根據研討結果傳達相關指令、協調相關資源，處置該事件所需要的相關技術資源、人力資源、物力資源等。

3.3 處置措施制定與實施

技術部門根據信息綜合研判結果以及網絡安全管理部門的要求，制定處置措施。核設施工業控制系統不同于信息系統，技術部門應對制定的處置措施進行充分測試評估，盡可能降低對核設施工業控制系統正常運行的影響。技術部門完成處置措施制定后報送網絡安全管理部門，網絡安全管理部門組織涉事部門、技術部門，共同確認處置措施的準確性、合理性，若處置措施影響核設施工業控制系統正常運行，應將影響范圍、影響時間等及時告知涉事部門。網絡安全管理部門審核完成后，下達指令，由對應核設施工業控制系統安全運維部門實施處置措施。

3.4 整改復查與驗證

技術部門對網絡安全違規行為是否整改徹底，風險隱患是否排除等進行現場技術驗證，對仍然存在問題的，網絡安全管理部門將繼續督導系統安全運維部門進行整改。技術驗證通過后，技術部門將根據本次網絡安全違規行為或風險隱患情況編制全面排查報告，報告主要明確如何排查單位內其它核設施工業控制系統是否存在類似網絡安全違規行為或風險隱患和如何實施相應的處置措施。技術部門完成報告編制后，報送網絡安全管理部門進行審核。審核通過后，由網絡安全管理部門組織本單位內核設施工業控制系統安全運維部門進行排查實施。

3.5 經驗反饋與培訓

本次網絡安全違規行為或風險隱患關閉后，技術部門對本次網絡安全違規行為或風險隱患處理進行歸納總結和經驗反饋，并將結果報送給網絡安全管理部門。網絡安全管理部門組織開展獎懲通報、規章制度優化、教育培訓等工作，培訓宣貫要確保落實到技術部門和系統安全運維部門的每個人員，各部門質量管理人員對本部門培訓的完成情況和完成質量進行監督。

3.6 報告歸檔與流轉

技術部門針對本次網絡安全問題或風險隱患形成書面的總結報告，并報送網絡安全管理部門進行復核和審查。審查通過后，由本單位質量管理人員進行報告歸檔和流轉管理。

4 結論

根據核設施工業控制系統在網絡安全違規行為或風險隱患處理及管理過程中存在的問題，本文對FRACAS在處理核設施工業控制系統網絡安全管理問題中的優勢進行詳細分析，提出基于FRACAS的核設施工業控制系統網絡安全閉環管理流程。該流程包含信息報告與先期處置、信息綜合研判、處置措施制定與實施、整改復查與驗證、經驗反饋與培訓和報告歸檔與流轉6個部分。本文分別對每個部分的工作要點進行闡述，可為解決網絡安全違規行為或風險隱患的重復出現提供有效指導，進而帶動核設施工業控制網絡安全管理能力的提升。