核電信息安全系統(tǒng)開發(fā)過程

毛　磊，鄭　威，張淑慧（上海核工程研究設(shè)計(jì)院，上海 200233 ）

核電信息安全系統(tǒng)開發(fā)過程

毛磊，鄭威，張淑慧（上海核工程研究設(shè)計(jì)院，上海 200233 ）

本文首先介紹法規(guī)標(biāo)準(zhǔn)對(duì)信息安全的要求，然后針對(duì)信息安全要求，根據(jù)信息安全系統(tǒng)生命周期特點(diǎn)，從系統(tǒng)化角度出發(fā)介紹核電信息安全系統(tǒng)全生命周期過程， 描述了核電信息安全設(shè)計(jì)主要過程，并給出推薦性的信息安全防護(hù)策略和模型。

儀控系統(tǒng)；信息安全

1　引言

隨著計(jì)算機(jī)系統(tǒng)和其它數(shù)字設(shè)備在工業(yè)領(lǐng)域的廣泛應(yīng)用，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件。核電領(lǐng)域也在許多環(huán)節(jié)采用了相關(guān)技術(shù)。然而，過去一段時(shí)間里，工業(yè)控制系統(tǒng)的脆弱性不斷地被證明，惡意利用這些漏洞的攻擊行為也越來越頻繁且造成了極其惡劣的影響，加劇了人們對(duì)工業(yè)控制系統(tǒng)安全的重視。大量的統(tǒng)計(jì)數(shù)據(jù)表明，在儀控領(lǐng)域計(jì)算機(jī)系統(tǒng)的攻擊行為有愈演愈烈之勢(shì)。因此，強(qiáng)化信息安全對(duì)于包括核電在內(nèi)的整個(gè)工業(yè)領(lǐng)域都是非常迫切和必要的。

對(duì)于核電儀控系統(tǒng)和重要信息系統(tǒng)的設(shè)計(jì)開發(fā)，應(yīng)從系統(tǒng)化角度去開展開發(fā)設(shè)計(jì)與運(yùn)行管理。本文所提及信息安全系統(tǒng)的開發(fā)過程，是一般儀控系統(tǒng)或者信息系統(tǒng)的信息安全設(shè)計(jì)過程，由于信息安全是系統(tǒng)化過程，該過程需要匹配核電廠全壽期管理的過程，本文著重介紹在核電領(lǐng)域的信息安全系統(tǒng)全生命周期過程和設(shè)計(jì)過程。

2　核電信息安全要求

核電信息安全要求主要來自三個(gè)方面：法律法規(guī)，核安全導(dǎo)則、標(biāo)準(zhǔn)，核電企業(yè)的信息安全規(guī)范等。

2.1國(guó)內(nèi)法規(guī)標(biāo)準(zhǔn)要求

我國(guó)關(guān)于核電廠信息安全標(biāo)準(zhǔn)體系不夠完整，目前尚無核電廠信息安全相關(guān)要求的法律法規(guī)。在導(dǎo)則方面有HAD 102/16等文件。安全標(biāo)準(zhǔn)有等級(jí)保護(hù)系列標(biāo)準(zhǔn)等。

HAD 102/16《核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》中要求，需要保持計(jì)算機(jī)系統(tǒng)嚴(yán)格的配置控制，計(jì)算機(jī)系統(tǒng)設(shè)計(jì)應(yīng)確定如何防止計(jì)算機(jī)系統(tǒng)的功能受到有意或無意的破壞（例如非授權(quán)訪問、非授權(quán)編碼或病毒）。對(duì)如何更改現(xiàn)有的且已驗(yàn)證的系統(tǒng)和如何防止這類系統(tǒng)受到非授權(quán)的更改，應(yīng)有詳細(xì)規(guī)程或其它控制措施。應(yīng)有安全防范威脅分析和實(shí)現(xiàn)安全防范水平的證明。

發(fā)改委第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》中有如下核電系統(tǒng)信息安全相關(guān)要求：

（1）安全分區(qū)。將核電廠基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。

（2）橫向隔離。橫向隔離是電力二次安全防護(hù)體系的橫向防線。采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)。在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、國(guó)產(chǎn)硬件防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。防火墻的功能、性能、電磁兼容性必須經(jīng)過國(guó)家相關(guān)部門的認(rèn)證和測(cè)試。

（3）縱向認(rèn)證?？v向加密認(rèn)證是電力二次系統(tǒng)安全防護(hù)體系的縱向防線。核電站生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國(guó)家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。

（4）綜合防護(hù)。結(jié)合信息安全等級(jí)保護(hù)的相關(guān)要求，對(duì)核電廠二次系統(tǒng)從主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計(jì)、備份及容災(zāi)等多個(gè)層面進(jìn)行信息安全防護(hù)。

2007年6月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室聯(lián)合下發(fā)了《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）。43號(hào)文是等級(jí)保護(hù)工作發(fā)布的一項(xiàng)重要文件，從等級(jí)劃分、等級(jí)保護(hù)的實(shí)施與管理、涉及國(guó)家秘密信息系統(tǒng)的分級(jí)保護(hù)管理、信息安全等級(jí)保護(hù)的密碼管理、法律責(zé)任等方面對(duì)等級(jí)保護(hù)工作中所涉及的各項(xiàng)工作，如等級(jí)定義、定級(jí)、等級(jí)建設(shè)所依據(jù)的文件、等級(jí)測(cè)評(píng)、四個(gè)部門的職責(zé)做了描述和規(guī)定，內(nèi)容涵蓋了等級(jí)保護(hù)工作的方方面面。在43號(hào)文中，列出了一系列等級(jí)保護(hù)工作需要參考的標(biāo)準(zhǔn)，在實(shí)際的項(xiàng)目實(shí)施中應(yīng)了解各個(gè)標(biāo)準(zhǔn)所涉及的內(nèi)容和在標(biāo)準(zhǔn)中的地位。

2.2國(guó)外法規(guī)標(biāo)準(zhǔn)要求

2.2.1 美國(guó)體系法規(guī)標(biāo)準(zhǔn)

在核電廠信息安全要求的美國(guó)體系中，信息安全法規(guī)要求來源于10 CFR 73.54，導(dǎo)則有RG 5.71、RG 1.152等，信息安全相關(guān)的標(biāo)準(zhǔn)和技術(shù)規(guī)定有NIST SP800系列等。

（1）10 CFR 73.54

10 CFR 73.54中對(duì)核電廠信息安全的要求分為三部分：性能要求、程序要求和文檔要求。

? 性能要求：核電廠計(jì)算機(jī)系統(tǒng)、通信系統(tǒng)和網(wǎng)絡(luò)應(yīng)當(dāng)具有充分的保護(hù)措施，并且能抵御網(wǎng)絡(luò)攻擊（包括設(shè)計(jì)基準(zhǔn)威脅）。

? 程序要求：建立、實(shí)施和維護(hù)信息安全大綱。

? 文檔要求：開發(fā)和維護(hù)信息安全計(jì)劃。

（2）RG 5.71

RG 5.71旨在指導(dǎo)核設(shè)施業(yè)主建立一套信息安全體系，主要分為以下幾個(gè)部分：

? 建立和實(shí)施信息安全大綱；? 維護(hù)信息安全大綱；? 記錄的保留與處理；

? 信息安全控制手段，包括技術(shù)、運(yùn)行和管理三方面。

（3）RG 1.152

RG 1.152旨在促進(jìn)安全系統(tǒng)中數(shù)字計(jì)算機(jī)設(shè)備功能可靠性，建立安全的開發(fā)和運(yùn)行環(huán)境（SDOE）。

? 實(shí)施相關(guān)措施和控制手段，使安全系統(tǒng)的開發(fā)過程沒有未經(jīng)記錄和不必要的修改。

? 實(shí)施保護(hù)措施，防止安全系統(tǒng)運(yùn)行時(shí)完整性、可靠性或功能性受到影響。保護(hù)措施包括防止非法訪問，防止與安全系統(tǒng)相連的系統(tǒng)的異常行為。

2.2.2 其他國(guó)際標(biāo)準(zhǔn)

（1）IAEA發(fā)布的NSS17

IAEA發(fā)布NSS17《核設(shè)施的計(jì)算機(jī)安全》的主要目的是，促進(jìn)增加計(jì)算機(jī)安全作為核設(shè)施總體安保計(jì)劃一個(gè)基本部分之重要性的認(rèn)識(shí)，并提供針對(duì)核設(shè)施執(zhí)行計(jì)算機(jī)安全計(jì)劃的導(dǎo)則。

（2）IEC 62645

IEC 62645《核電廠儀控系統(tǒng)中基于計(jì)算機(jī)系統(tǒng)的安全大綱要求》針對(duì)核電廠的儀控計(jì)算機(jī)系統(tǒng)中有效安全程序的開發(fā)和管理制定要求并提供指南。該標(biāo)準(zhǔn)僅限于核電廠中使用的儀控系統(tǒng)（包括非安全系統(tǒng)）的計(jì)算機(jī)安全性。該標(biāo)準(zhǔn)定義了與分級(jí)安全要求關(guān)聯(lián)的三個(gè)安全程度，分別是S1、S2和S3，并對(duì)不同安全級(jí)別的網(wǎng)絡(luò)邊界和安全控制手段進(jìn)行了規(guī)定。IEC 62645針對(duì)方案級(jí)別的安全生命周期方法與ISO/IEC 27001的“計(jì)劃、執(zhí)行、檢查、處理”（PDCA）循環(huán)一致，并描述了針對(duì)系統(tǒng)級(jí)別的安全生命周期。

3　核電信息安全系統(tǒng)設(shè)計(jì)生命周期

信息安全系統(tǒng)廣義上可以定義為通過相互協(xié)作的方式為信息資產(chǎn)提供安全保障的全體網(wǎng)絡(luò)設(shè)備、技術(shù)以及最佳做法的集合。根據(jù)RG5.71和IEC 62645關(guān)于安全生命周期的要求，信息安全系統(tǒng)的設(shè)計(jì)可以根據(jù)其生命周期劃分成不同階段，包括：計(jì)劃管理、分析、設(shè)計(jì)&開發(fā)、應(yīng)用和運(yùn)行階段。配置管理作為基本的要素，貫穿于各階段之中。其中計(jì)劃管理階段主要負(fù)責(zé)對(duì)整個(gè)信息安全生命周期的活動(dòng)進(jìn)行安排、監(jiān)控與管理。由于信息安全工作是一個(gè)持續(xù)不斷管理和實(shí)施的過程，因此整個(gè)工作流程是閉環(huán)的過程，如圖1所示。主流程為從分析階段開始依次經(jīng)歷設(shè)計(jì)與開發(fā)階段、應(yīng)用階段、運(yùn)行階段，再從運(yùn)行階段反饋回下一周期的分析階段。信息安全設(shè)計(jì)流程伴隨著核電廠整個(gè)生命周期（設(shè)計(jì)、建造、運(yùn)行、退役）各階段變化，貫穿其中。

圖1　信息安全設(shè)計(jì)工作流程

4　分析階段的信息安全

分析階段包括兩部分：業(yè)務(wù)需求和風(fēng)險(xiǎn)評(píng)估。業(yè)務(wù)需求是對(duì)電廠的業(yè)務(wù)目標(biāo)進(jìn)行分析，電廠的業(yè)務(wù)目標(biāo)主要為保證電廠的信息資產(chǎn)安全。核電廠應(yīng)充分考慮保護(hù)下列功能：

（1）安全有關(guān)和安全重要的功能（Safety）；

（2）實(shí)物保護(hù)功能（Security）；

（3）應(yīng)急響應(yīng)功能（包括與廠外通信的功能）（Emergency Preparedness）；

（4）影響上述功能的支持系統(tǒng)或設(shè)備。

上述功能簡(jiǎn)稱為SSEP功能。通過確認(rèn)SSEP功能相關(guān)的電廠系統(tǒng)、設(shè)備、通信系統(tǒng)和網(wǎng)絡(luò)，可以明確信息安全需要保護(hù)的系統(tǒng)。這些系統(tǒng)被定義為關(guān)鍵系統(tǒng)（CS），關(guān)鍵系統(tǒng)通常包括控制系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、應(yīng)急響應(yīng)設(shè)施和實(shí)物保護(hù)系統(tǒng)。系統(tǒng)中對(duì)SSEP的直接、間接或輔助作用的數(shù)字設(shè)備成為關(guān)鍵數(shù)字設(shè)備（CDA）。需要對(duì)關(guān)鍵數(shù)字設(shè)備進(jìn)行風(fēng)險(xiǎn)分析，確立其可接受的風(fēng)險(xiǎn)級(jí)別，為信息安全的防御策略和防御模型提供實(shí)施基礎(chǔ)。

風(fēng)險(xiǎn)評(píng)估時(shí)需評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響，見GB/T20984-2007《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。風(fēng)險(xiǎn)評(píng)估在實(shí)施過程中應(yīng)站在設(shè)計(jì)者和攻擊者角度去分析系統(tǒng)的薄弱環(huán)節(jié)和攻擊路徑，以獲得最為合適的風(fēng)險(xiǎn)分析接口。由于核電信息安全風(fēng)險(xiǎn)評(píng)估則與傳統(tǒng)信息安全有較大差異，因此：

? 評(píng)估前的準(zhǔn)備：需要輸入儀控或信息系統(tǒng)設(shè)計(jì)原理（拓?fù)鋱D、設(shè)備清單、工藝原理等）、控制系統(tǒng)產(chǎn)能目標(biāo)、工程造價(jià)、已有安全風(fēng)險(xiǎn)評(píng)估等文件，以便更好地理解工業(yè)控制系統(tǒng)自身的預(yù)期目標(biāo)（如產(chǎn)能、業(yè)務(wù)連續(xù)性、控制關(guān)聯(lián)等）和安全關(guān)注點(diǎn)。隨后將整個(gè)儀控系統(tǒng)或信息系統(tǒng)進(jìn)行區(qū)域劃分和通信管道識(shí)別。在此過程中解構(gòu)整個(gè)儀控系統(tǒng)或信息系統(tǒng)的復(fù)雜度，同時(shí)認(rèn)識(shí)各區(qū)域間的關(guān)聯(lián)風(fēng)險(xiǎn)。即在風(fēng)險(xiǎn)評(píng)估前，要使得控制系統(tǒng)的規(guī)劃、設(shè)計(jì)、集成、運(yùn)維等各個(gè)相關(guān)方將安全關(guān)注點(diǎn)羅列出來，形成整體安全保障目標(biāo)，并分解到每個(gè)儀控或信息子系統(tǒng)的每個(gè)操作區(qū)域中，設(shè)定好每個(gè)區(qū)域的重要性權(quán)重。

? 資產(chǎn)識(shí)別：針對(duì)每個(gè)區(qū)域，識(shí)別其信息資產(chǎn)，比如硬件產(chǎn)品、軟件產(chǎn)品、集成配置信息、生產(chǎn)過程數(shù)據(jù)等。此外還需要考察控制過程的輸入輸出，找出控制函數(shù)的關(guān)鍵參數(shù)。

? 威脅識(shí)別：針對(duì)已發(fā)生的信息安全事件，對(duì)威脅的攻擊路徑和攻擊方式進(jìn)行分析，從而識(shí)別出攻擊路徑。

? 脆弱性分析：從在役系統(tǒng)角度來講，針對(duì)一個(gè)區(qū)域進(jìn)行物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)的訪問控制保障能力分析，從而識(shí)別出針對(duì)一個(gè)區(qū)域的脆弱點(diǎn)和脆弱點(diǎn)的可利用性；針對(duì)整個(gè)系統(tǒng)的各區(qū)域關(guān)系，識(shí)別滲透式攻擊的區(qū)域到達(dá)路徑。

? 已有安全措施分析：將已采用的安全措施分成預(yù)防性安全措施和保護(hù)性安全措施，對(duì)于預(yù)防性安全措施考察其對(duì)脆弱性可利用性的補(bǔ)償效果，對(duì)于保護(hù)性安全措施考察其在攻擊發(fā)生后起到保護(hù)性效果的時(shí)間。

? 風(fēng)險(xiǎn)分析：在綜合考慮攻擊路徑上各環(huán)節(jié)（區(qū)域）的脆弱性可利用值和遭到攻擊后響應(yīng)和恢復(fù)時(shí)間來評(píng)估一個(gè)攻擊路徑的可行性和后果嚴(yán)重性。

風(fēng)險(xiǎn)評(píng)估的過程應(yīng)做設(shè)備級(jí)風(fēng)險(xiǎn)和系統(tǒng)級(jí)風(fēng)險(xiǎn)分析。設(shè)備級(jí)風(fēng)險(xiǎn)分析主要集中在選用的系統(tǒng)設(shè)備級(jí)本質(zhì)存在的風(fēng)險(xiǎn)，包括選用的軟件和硬件設(shè)備，以及對(duì)應(yīng)的軟件配置和應(yīng)用開發(fā)。系統(tǒng)級(jí)風(fēng)險(xiǎn)主要從網(wǎng)絡(luò)架構(gòu)和對(duì)外接口開展系統(tǒng)級(jí)風(fēng)險(xiǎn)分析。一般風(fēng)險(xiǎn)分析可采用定性和定量分析方法。風(fēng)險(xiǎn)評(píng)估的過程是風(fēng)險(xiǎn)管理的過程，風(fēng)險(xiǎn)評(píng)估的結(jié)果作為開展安全系統(tǒng)功能分析、安全控制手段開發(fā)和系統(tǒng)加固。

5　設(shè)計(jì)、開發(fā)階段的信息安全

信息安全系統(tǒng)的設(shè)計(jì)與開發(fā)主要包括四部分：安全功能分析，安全策略和程序制定，安全控制手段的開發(fā)，以及標(biāo)準(zhǔn)和指導(dǎo)方針使用。

安全功能分析主要是對(duì)系統(tǒng)相關(guān)的信息安全功能進(jìn)行任務(wù)分析，判斷其是否滿足頂層安全目標(biāo)和策略的要求。系統(tǒng)安全功能分析主要從系統(tǒng)角度開展安全功能的分析，分析其應(yīng)對(duì)潛在風(fēng)險(xiǎn)的任務(wù)功能是否滿足電廠安全的要求，以及這些安全風(fēng)險(xiǎn)問題對(duì)核電廠安全的影響。需要從對(duì)系統(tǒng)可靠性影響分析出發(fā)，進(jìn)而得出對(duì)概率安全分析的影響。

若需要進(jìn)行安全產(chǎn)品的開發(fā)，則需要對(duì)系統(tǒng)的安全功能需求進(jìn)行分解，產(chǎn)生對(duì)安全產(chǎn)品開發(fā)的功能需求。

安全策略和程序的開發(fā)應(yīng)考慮首先制定關(guān)鍵安全策略和企業(yè)適用的程序：包括可接受使用的策略，與外部訪問的策略；用于特殊敏感信息訪問的策略，用戶隱私和數(shù)據(jù)安全的策略，系統(tǒng)或者設(shè)備本身應(yīng)達(dá)到的安全基準(zhǔn)策略。信息安全防御模型為不同的網(wǎng)絡(luò)層內(nèi)部及之間的連接提供詳細(xì)的準(zhǔn)則。核電廠將建立多層的信息安全保護(hù)結(jié)構(gòu)，可選用圖2所示的模型。在該模型中，最重要的數(shù)字設(shè)備將得到最高級(jí)別的保護(hù)，它們將位于安全保護(hù)最嚴(yán)密的內(nèi)圈。每一層安全保護(hù)的設(shè)計(jì)將針對(duì)防止他人通過多層網(wǎng)絡(luò)中相同或相似的安全漏洞，非法訪問關(guān)鍵數(shù)字設(shè)備。

圖2　信息安全防御模型

安全控制手段和系統(tǒng)加固的開發(fā)主要基于對(duì)系統(tǒng)的安全分析，開展安全架構(gòu)設(shè)計(jì)，以及圍繞系統(tǒng)安全的加固、隔離和監(jiān)控手段的設(shè)計(jì)與開發(fā)?？刂剖侄蔚拈_發(fā)可根據(jù)風(fēng)險(xiǎn)分析結(jié)果對(duì)RG5.71附錄中的控制手段目錄進(jìn)行裁剪以滿足電廠系統(tǒng)安全性要求。

6　信息安全的應(yīng)用階段

信息安全的應(yīng)用包括兩部分，一部分是控制手段的應(yīng)用，另一部分是是系統(tǒng)加固應(yīng)用。安全控制手段應(yīng)用主要指對(duì)安全系統(tǒng)設(shè)備的實(shí)施部署與組態(tài)實(shí)現(xiàn)，系統(tǒng)加固應(yīng)用指對(duì)控制系統(tǒng)或者設(shè)備進(jìn)行本質(zhì)加固。有關(guān)行業(yè)的最佳實(shí)踐作為外部參考，可選擇與剪裁應(yīng)用到該階段中。此階段需要對(duì)控制手段及系統(tǒng)加固應(yīng)用實(shí)施進(jìn)行驗(yàn)證和確認(rèn)工作。

7　信息安全運(yùn)行階段

在系統(tǒng)運(yùn)維階段，需要定期開展安全培訓(xùn)、記錄和保護(hù)處理安全相關(guān)文檔。根據(jù)國(guó)家和企業(yè)規(guī)定要求開展定期的安全評(píng)審，定期開展信息安全應(yīng)急演練，以在線和離線的方式開展對(duì)電廠安全框架和系統(tǒng)安全進(jìn)行監(jiān)視與維護(hù)工作。

核電廠安全的全生命周期主線是安全分析、設(shè)計(jì)和開發(fā)，系統(tǒng)應(yīng)用、運(yùn)維以及改進(jìn)的閉環(huán)控制。計(jì)劃管理是配合完成各階段活動(dòng)的有效跟蹤和管理手段。

8　變更控制

變更控制是貫穿于整個(gè)信息安全生命周期的有效活動(dòng)管理手段，是為了保證對(duì)CDA的功能增加或功能修改，采用的是一種可控的方式。主要包含兩部分：

? 配置管理

配置管理通過對(duì)CDA整個(gè)生命周期的變更的控制，保證電廠的信息安全程序仍然滿足要求。在CDA生命周期的運(yùn)行和維護(hù)階段，通過有效的配置管理，確保對(duì)CDA的變更不會(huì)引入額外的安全風(fēng)險(xiǎn)。

? 變更影響分析

變更影響分析用于分析和管理由于系統(tǒng)、網(wǎng)絡(luò)、環(huán)境的改變或新出現(xiàn)的威脅引入的潛在的脆弱性、弱點(diǎn)和風(fēng)險(xiǎn)。

9　結(jié)論

核電信息安全的開發(fā)過程本身是電廠壽期之內(nèi)的系統(tǒng)的開發(fā)過程。信息安全的開發(fā)過程并不是毫無迭代的過程。例如在完成系統(tǒng)安全應(yīng)用和安全控制手段應(yīng)用后，在投入運(yùn)行之前，需做安全有效性分析，以評(píng)估系統(tǒng)的風(fēng)險(xiǎn)。信息安全的開發(fā)涉及設(shè)備供應(yīng)鏈安全、安全設(shè)計(jì)、安全運(yùn)維等方方面面。而信息安全的開發(fā)過程并不是一蹴而就的，需持續(xù)地進(jìn)行評(píng)審改進(jìn)和維護(hù)，才能使得系統(tǒng)的安全滿足運(yùn)維需求。

[1] RG 5. 71 核設(shè)施的信息安全程序[S].

[2] NB/T 20026 - 2014 核電廠安全重要儀表和控制系統(tǒng)總體要求[S].

[3] GB/T20984-2007信息安全技術(shù) - 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].

[4] IAEA NSS17核設(shè)施的計(jì)算機(jī)安全[S].

[5] IEC 62645核電廠儀控系統(tǒng) – 針對(duì)計(jì)算機(jī)系統(tǒng)的安全大綱的要求[S].

Cyber Security System Development Process in Nuclear Power Plant

This paper firstly introduces the cyber security regulations and standards of nuclear power plant, and then provides the cyber security system life cycle development process from perspective of system according to security requirement and system life cycle feature. Finally, the main design process of the cyber security for nuclear power plant is depicted, and the strategy and model for security protection are also recommended .

I&C system; Cyber Security

B 文章編號(hào)：1003-0492（2016）06-0106-04 中圖分類號(hào)：TP273

毛磊（1981-），男，浙江慈溪人，工程師，碩士，現(xiàn)就職于上海核工程研究設(shè)計(jì)院，主要研究方向?yàn)楹穗妰x控系統(tǒng)信息安全。

鄭威（1986-），男，湖北人，工程師，碩士，現(xiàn)就職于上海核工程研究設(shè)計(jì)院，主要研究方向?yàn)樾畔⑻幚硐到y(tǒng)及安全。

張淑慧（1979-），女，河北人，電氣儀控所總工，碩士，現(xiàn)就職于上海核工程研究設(shè)計(jì)院，主要研究方向?yàn)榭刂剖遗c人因工程。