毛磊　郑威　谢新勤

1 引言

在确保安全的基础上高效发展核电，是当前我国能源建设和核电发展的一项重要政策，随着整个能源行业“两化融合”的进程日益深化，数字化控制技术在核电厂已广泛应用，网络安全问题逐渐成为核电站运行安全的重要组成部分。伊朗布什尔核电厂的“震网”病毒攻击事件后，工信部发布了451号文《关于加强工业控制系统信息安全管理的通知》，提出了要充分认识加强工业控制系统信息安全管理的重要性和紧迫性。核电厂重要信息系统、电力监控系统的网络安全保障成为日益安全重要的工作，其中核电仪控系统的安全防护更需要从设计、制造、建造到运维各阶段进行全寿期保障。本文根据核电现有法规标准，针对核电厂信息安全普遍现状，提出了针对核电厂信息安全防护策略，通过对核电厂的风险评估，建立防护模型，依据防护措施的实施来。

2 核电仪控系统信息安全标准法规

国际电工委员会IEC 45A委员会下正在制定有关核电仪控系统信息安全有关标准，已发布的有IEC 62645。国际原子能机构IAEA 目前也出版了NSS17《核设施的计算机安全》。在美国核电信息安全标准体系中，信息安全法规要求来源于10 CFR 73.54，导则有RG 5.71、RG 1.152等。信息安全相关的标准和技术规定依据NIST SP800和IEEE系列标准等。

我国关于核电厂信息安全体系目前尚不够完整，还没有专门针对核电厂信息安全的法规标准。核电厂信息系统主要依据的是等级保护标准，核安全导则方面有HAD 102/16《核动力厂基于计算机的安全重要系统软件》提出对信息安全的要求。国家发改委第14号令《电力监控系统安全防护规定》对核电厂基于计算机及网络技术的业务系统提出了信息安全规定。针对工业控制系统信息安全标准化工作也在不断完善，目前全国工业过程测量和控制标准化技术委员会（TC124）已发布安全标准GB/T26333-2010《工业控制网络安全风险评估规范》。

3 仪控系统信息安全风险

工业信息安全是面对特定威胁的保障能力，是先从面对特定威胁源的风险评估做起。对于核电厂来说，面临的主要威胁如表1所示。

这些威胁利用仪控系统的漏洞（脆弱性），形成安全风险。RG 5.71导则定义来看，核电站控制系统信息安全专注于安全、安保、应急、保护（SSEP： Safty、Security、Emergency、Protection）功能及其相关相连系统的数字计算机、通信系统和网络免受攻击。通过确认SSEP功能相关的电厂系统、设备、通信系统和网络，可以明确信息安全需要保护的系统。这些系统被定义为关键系统（CS），关键系统通常包括控制系统、安全系统、数据采集系统、应急响应设施和实物保护系统。系统中对SSEP的直接、间接或辅助作用的数字设备成为关键数字设备（CAD）。需要对关键数字设备和系统进行风险评估，确立其可接受的风险级别，为信息安全的防御策略和防御模型提供实施基础。

风险评估的主要工作是依托原始资料，作为风险评估的基线，包括历史风险评估资料，待评估系统的分区分域资料，详细的分区内拓扑和设备清单，已实施的安全管理规范和已实施信息安全加固建设的方案。若具有原形系统或者仿真系统，还可以进行风险测试，评估潜在存在的问题。结合实地调查和访谈，落实原始材料与实际情况之间的差距，并与相关人员初步探讨风险评估的结果。

风险评估主要分几个步骤。

（1）风险评估准备：明确安全目标，确定评估范围；（2）解构工厂：根据IEC 62443的区域管道模型，将评估对象分解成若干个区域和连接这些区域的通信管道；（3）资产识别：识别业务范围内的关键系统参数、操作这参数的信息/控制系统、到达这些系统的路径，计算资产的重要度权重；（4）威胁识别：选定威胁源，评估威胁源能力和所需资源，从黑客角度识别威胁源的攻击路径；（5）脆弱性识别：根据威胁源能力，选定脆弱性发现的方法，扫描系统漏洞，并进行脆弱性评估；（6）已采取的安全措施的确认：评估安全措施有效性，识别现有安全控制措施，包括技术措施和管理措施，并对这些控制措施对资产的保护程度和效果，即控制措施的有效性进行分析和等级评估；（7）风险计算：综合威胁、资产、脆弱性等因素相应的量化数据，进行综合性的分析，评估信息安全管理中存在的风险。

4 仪控系统信息安全防护模型

仪控系统主要位于核电厂信息安全防御模型第四层和第三层，如图2所示。在该模型中，最重要的数字设备将得到最高级别的保护，它们位于安全保护最严密的内圈。每一层安全保护的设计将防止他人通过多层网络中相同或相似的安全漏洞，非法访问关键数字设备。虽然位于信息安全总体防御模型的内部区域，但由于其对核安全和安全生产有着直接重要关系，在满足信息安全防御模型的基础上，还需要结合信息安全风险评估结果，进行安全防护。

信息安全的防护很大程度上是阻断非授权的访问控制链。结合国内外标准中的指导方法不难发现，防护的措施大体上是在访问控制链上叠加保护措施。

从根本上讲，访问控制是建立主体和客体的识别、关系，并在操作过程中保障这种关系的执行和执行过程的记录。主客体主要形式可以划分成几类，见表2所示。通过对仪控系统进行信息安全的安全分析，可以整理出各类各级主客体形式，并进而为安全控制手段的建立做好前期准备。无论是无意和有意的来自组织内外的风险，都可以用该防护模型进行有效防护。即使发生已经被植入后门的系统，只要有效阻断相应的威胁和攻击路径，也能阻止风险的发生。

对于控制系统本质的安全除了从这六个安全域进行分析外，还需要从安全开发角度进行分析系统的安全。根据表2的主客体分析，可以进一步整理出安全需求，如表3所示。

由此再看，攻击某条访问控制链的难度为整个访问控制链所有环节中防护能力最强一环的难度。

5 结束语

通过本文的梳理，有助于了解核电领域信息安全的有关标准，有助于了解风险评估对核电领域信息安全工作的意义，有助于了解核电领域信息安全防护模型和手段；在实施层面上，为仪控系统的信息安全的防护工作提供了参考。在以后的工作中，我们将持续关注如何结合国内外的相关经验，制定适用于核电领域的信息安全标准体系；同时，结合工控领域信息安全最佳实践，在不影响系统功能正常运行的前提下，开展信息安全风险评估，确定安全需求，开展安全方案设计，力助实现核电仪控系统建立起层次化规范化的信息安全防护体系。

参考文献

[1] RG 5.71 核设施的信息安全程序.

[2] NB/T 20026-2014 核电厂安全重要仪表和控制系统总体要求.

[3] IEC 62443 工业过程测量、控制和自动化网络与系统信息安全.

[4] NIST-800-82工业控制系统（ICS）的安全指南.

[5] IEC 62645核电厂仪器仪表和控制系统 ╞针对计算机系统的安全方案的要求.

[6] 国家发改委第14号令《电力监控系统安全防护规定》.