基于核電廠DCS系統(tǒng)信息安全管理體系研究

劉學(xué)科，譚 平

（中核霞浦核電有限公司，福建 寧德 355100）

0 引言

數(shù)字化儀控系統(tǒng)（DCS）是核電廠的信息神經(jīng)和控制中樞，對(duì)保證核電廠安全可靠運(yùn)行起著至關(guān)重要的作用。中國在役核電廠DCS系統(tǒng)的信息安全工作尚處于探索階段，管理體系亟待完善。技術(shù)手段和管理措施沒有有效地結(jié)合，導(dǎo)致管理和技術(shù)脫鉤或偏重現(xiàn)象，或技術(shù)手段應(yīng)用過于復(fù)雜，或管理手段沒有統(tǒng)一遵照?qǐng)?zhí)行的標(biāo)準(zhǔn)，尤其在設(shè)計(jì)階段幾乎未考慮或較少考慮信息安全防護(hù)設(shè)計(jì)。傳統(tǒng)的信息安全管理體系架構(gòu)的設(shè)計(jì)充分參考和借鑒ISMS（ISO27001），技術(shù)上參考國際信息安全保障技術(shù)框架IATF對(duì)信息安全狀況進(jìn)行分析。國內(nèi)電力企業(yè)遵循電力行業(yè)信息安全等級(jí)測(cè)評(píng)基本要求、電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估規(guī)范等信息安全管理標(biāo)準(zhǔn)和工作實(shí)踐，采用PDCA的過程模型建設(shè)良性循環(huán)，持續(xù)改進(jìn)的閉環(huán)管理模式，形成一套標(biāo)準(zhǔn)化的安全管理體系[10]。但傳統(tǒng)信息系統(tǒng)與工控系統(tǒng)在生命周期、實(shí)時(shí)性要求、設(shè)備、運(yùn)行維護(hù)等方面都存在較大差異，無法直接照搬照抄信息系統(tǒng)管理體系。針對(duì)核電廠DCS系統(tǒng)的信息安全管理體系（以下簡(jiǎn)稱“管理體系”），國內(nèi)外尚未形成直接可參考借鑒的標(biāo)準(zhǔn)規(guī)范。

1 信息安全面臨的挑戰(zhàn)

近年來，核電領(lǐng)域信息安全事件頻發(fā)，見表1。特別是針對(duì)工業(yè)控制系統(tǒng)的安全事件數(shù)量呈明顯上升趨勢(shì)，并呈現(xiàn)出攻擊工具專業(yè)化、行為組織化、目的政治化的特點(diǎn)。尤其是2010年6月“震網(wǎng)”病毒攻擊伊朗核設(shè)施，控制了30%的納坦茲設(shè)施的計(jì)算機(jī)，伊朗暫時(shí)關(guān)閉了核設(shè)施和核電廠。為此，中國在工業(yè)控制系統(tǒng)信息安全方面也發(fā)布了相關(guān)指導(dǎo)文件，如國務(wù)院發(fā)布的《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國發(fā)[2012]23號(hào)）；電監(jiān)信息[2012]62號(hào)電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求等[8]，均對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理提出了意見與要求。

表1 近年來核電領(lǐng)域信息安全主要事件Table 1 Major events of information security in the nuclear power field in recent years

2 存在風(fēng)險(xiǎn)及漏洞

經(jīng)調(diào)研，在役核電廠工業(yè)控制系統(tǒng)信息安全至少存在以下問題：一是缺乏安全區(qū)域劃分，區(qū)域間未設(shè)置訪問控制措施；二是缺乏信息安全風(fēng)險(xiǎn)監(jiān)控，不能及時(shí)發(fā)現(xiàn)信息安全問題，出現(xiàn)問題后靠人員經(jīng)驗(yàn)排查，不能及時(shí)了解網(wǎng)絡(luò)狀況，一旦發(fā)生問題不能及時(shí)確定問題所在，及時(shí)排查到故障點(diǎn)，排查過程耗費(fèi)大量人力成本、時(shí)間成本；三是信息安全防護(hù)缺失，工業(yè)控制系統(tǒng)內(nèi)部缺乏入侵檢測(cè)能力，無法及時(shí)有效發(fā)現(xiàn)網(wǎng)絡(luò)異常行為和異常流量，以及缺乏安全審計(jì)能力，無法進(jìn)行指令級(jí)的審計(jì)，也無法進(jìn)行事件的分析溯源；四是管理與技術(shù)沒有有效銜接，系統(tǒng)運(yùn)行后，缺少專業(yè)技術(shù)措施和管理弊端，導(dǎo)致信息安全維護(hù)不能及時(shí)有效落實(shí)，不能及時(shí)處理信息安全設(shè)備故障及工業(yè)控制系統(tǒng)信息安全威脅等；五是缺乏工業(yè)控制系統(tǒng)集中管理，對(duì)生產(chǎn)控制大區(qū)網(wǎng)絡(luò)中攻擊或異常行為的網(wǎng)絡(luò)流量、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備等工控系統(tǒng)的設(shè)備資產(chǎn)、故障報(bào)警、日志存儲(chǔ)等的信息全面收集與全網(wǎng)態(tài)勢(shì)分析及時(shí)發(fā)現(xiàn)、集中報(bào)告并統(tǒng)一處理的能力；六是信息安全事件的應(yīng)急管理沒有與核事故應(yīng)急管理有效銜接，應(yīng)急響應(yīng)不明確。

3 管理體系建立

為保證管理體系建設(shè)成體系化標(biāo)準(zhǔn)化的目標(biāo)，建設(shè)過程中制定以下3項(xiàng)研究原則作為準(zhǔn)則：①合規(guī)性原則，滿足合規(guī)性要求是開展管理體系標(biāo)準(zhǔn)化建設(shè)工作的基本原則之一，也是管理體系建設(shè)工作的核心要求。在管理體系化標(biāo)準(zhǔn)建設(shè)工作實(shí)施的過程中，每一條要求項(xiàng)均有與之對(duì)應(yīng)的國內(nèi)外相關(guān)標(biāo)準(zhǔn)要求相適應(yīng)，并確保指標(biāo)成果能夠涵蓋選取標(biāo)準(zhǔn)中的防護(hù)標(biāo)準(zhǔn)。②全面性原則，目前在役核電廠工控系統(tǒng)未考慮或很少考慮信息安全體系化和標(biāo)準(zhǔn)化設(shè)計(jì)，而工控系統(tǒng)一旦投入運(yùn)行，很難再考慮信息安全管理與技術(shù)防護(hù)相結(jié)合，往往受制于各種因素（如：是否會(huì)影響工控系統(tǒng)的正常工作，是否會(huì)引入新的安全隱患等）而無法得到有效落實(shí)。因此，在設(shè)計(jì)、采購、制造、調(diào)試、運(yùn)行等各階段中全面考慮信息安全全生命周期的需求變得尤為重要。③適用性原則，在管理體系建設(shè)初期充分調(diào)研核電廠的實(shí)際需求，保證整理歸納后的要求與核電的實(shí)際生產(chǎn)工作不沖突。

管理體系建設(shè)以PDCA循環(huán)的過程方法論來保持組織的ISMS體系持續(xù)有效運(yùn)行和GB/T 22080-2016《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》思想理念，從4個(gè)階段（準(zhǔn)備階段、調(diào)研階段、建設(shè)階段、落實(shí)推廣）開展，通過對(duì)比分析國內(nèi)外信息安全領(lǐng)域和核電領(lǐng)域的法律法規(guī)、政策、標(biāo)準(zhǔn)等相關(guān)文獻(xiàn)，提取適用于核電廠DCS系統(tǒng)信息安全管理指標(biāo)，如圖1。

圖1 管理體系框架Fig.1 Management system framework

3.1 準(zhǔn)備階段

準(zhǔn)備階段針對(duì)國內(nèi)外核電領(lǐng)域和信息安全領(lǐng)域相關(guān)的法律法規(guī)、政策標(biāo)準(zhǔn)進(jìn)行比較分析、關(guān)鍵指標(biāo)提取，及匯總收集，從中逐條總結(jié)提取出信息安全相關(guān)要求。為確保項(xiàng)目的適用性，對(duì)比分析了選取大量國內(nèi)外信息安全領(lǐng)域和核電領(lǐng)域的法律法規(guī)、政策、標(biāo)準(zhǔn)作為參考依據(jù)。由于參考文獻(xiàn)的差異性，在該階段將劃分為國內(nèi)標(biāo)準(zhǔn)體系、監(jiān)管部門要求、國外核安全標(biāo)準(zhǔn)3個(gè)類別：

1）國內(nèi)標(biāo)準(zhǔn)體系

目前，國內(nèi)核電廠信息安全標(biāo)準(zhǔn)體系參考的標(biāo)準(zhǔn)可以分為兩種。一是信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)。GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》是計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系的基礎(chǔ)，根據(jù)計(jì)算機(jī)信息系統(tǒng)的安全技術(shù)和安全風(fēng)險(xiǎn)控制的關(guān)系，將信息系統(tǒng)安全保護(hù)能力由低到高分為5個(gè)級(jí)別：用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)[1]；二是信息安全管理體系GB/T 22080-2016給出了信息安全管理體系要求，其主要針對(duì)于組織資產(chǎn)進(jìn)行全方位的建設(shè)和保護(hù)，指導(dǎo)企業(yè)或組織在已有信息安全管理體系的框架或環(huán)境下，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持與改進(jìn)文件化的網(wǎng)絡(luò)管理體系（ISMS）[2,3]。上述兩個(gè)標(biāo)準(zhǔn)的管理體系偏重于傳統(tǒng)信息安全管理體系建設(shè)，而無法直接應(yīng)用于工控系統(tǒng)管理體系的構(gòu)建。

2）監(jiān)管部門要求

國家發(fā)展改革委和能源局發(fā)布的防護(hù)要求中，防護(hù)對(duì)象是電力監(jiān)測(cè)系統(tǒng)，總體要求是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”這十六字方針，主要側(cè)重點(diǎn)是核電廠監(jiān)控系統(tǒng)的邊界防護(hù)。在工信部發(fā)布的工控系統(tǒng)信息安全防護(hù)指南中，防護(hù)對(duì)象是工業(yè)控制網(wǎng)絡(luò)，大部分借鑒了等級(jí)保護(hù)要求，在邊界、網(wǎng)絡(luò)、計(jì)算環(huán)境等方面提出了十一條重點(diǎn)防護(hù)要求，具體要求包括：安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理和落實(shí)責(zé)任，提出了大的方針政策和技術(shù)措施[8]，而對(duì)于工控系統(tǒng)信息安全管理則沒有明確細(xì)化分工。

3）國外核安全標(biāo)準(zhǔn)

IAEA是國際原子能機(jī)構(gòu)發(fā)布的，屬于“技術(shù)導(dǎo)則”，內(nèi)容涉及核設(shè)施的計(jì)算機(jī)安全、網(wǎng)絡(luò)和其他數(shù)字系統(tǒng)，是針對(duì)預(yù)防偷竊、蓄意破壞及其他惡意行為，專門制定的響應(yīng)導(dǎo)則。IAEA使用了廣義的信息概念，單獨(dú)對(duì)核設(shè)施的計(jì)算機(jī)安全提出了要求。IAEA注重要求的體系性和完整性，從安保基本法則層面到建議文件層面，再到導(dǎo)則層面，對(duì)信息安全的要求逐層具體化，既包括信息安全，也包括系統(tǒng)和設(shè)備的可靠性，對(duì)核電廠尤其是工業(yè)控制系統(tǒng)沒有詳細(xì)說明。設(shè)計(jì)單位所參考的RG 5.71標(biāo)準(zhǔn)，是NRC（美國核監(jiān)督管理委員會(huì)）提供的一套能夠滿足10CFR 73.54（聯(lián)邦法規(guī)第73.54章第10篇）要求的最佳實(shí)踐方案。該標(biāo)準(zhǔn)的核心目的是建設(shè)能夠滿足美國聯(lián)邦法規(guī)要求的信息安全防護(hù)能力，其防護(hù)需求與國內(nèi)的實(shí)際情況存在差異[6,7]，并不完全適用于國內(nèi)核電廠。

3.2 調(diào)研階段

調(diào)研階段主要將國內(nèi)外法規(guī)標(biāo)準(zhǔn)進(jìn)行對(duì)比分析后得到的指標(biāo)要求，按照信息安全防護(hù)的基本要求、技術(shù)要求、管理要求和應(yīng)急保障要求幾個(gè)維度思路開展，同時(shí)對(duì)在役核電廠管理和技術(shù)防護(hù)各個(gè)工作層面開展調(diào)研，按照安全綱要、管理機(jī)構(gòu)、人員管理、規(guī)劃建設(shè)、運(yùn)行維護(hù)幾個(gè)要點(diǎn)開展全面調(diào)研，提取并形成一份適用于核電工控領(lǐng)域標(biāo)準(zhǔn)的信息安全管理體系的指標(biāo)文件。

3.2.1 調(diào)研實(shí)施

調(diào)研的工作方式是通過資料查閱、人員訪談等方式，對(duì)在役核電廠當(dāng)前應(yīng)用于工業(yè)控制系統(tǒng)的信息安全管理措施深入、全面、準(zhǔn)確地了解工控安全管理現(xiàn)狀，分析總結(jié)工控系統(tǒng)管理的特征，評(píng)估、修訂和編寫完善的管理制度，包含管理機(jī)構(gòu)、管理制度、應(yīng)急響應(yīng)體系以及技術(shù)安全防護(hù)現(xiàn)狀等。同時(shí)開展行業(yè)及安全設(shè)備廠家的調(diào)研，將調(diào)研結(jié)果用于對(duì)核電工控領(lǐng)域安全現(xiàn)狀的評(píng)估。

3.2.2 風(fēng)險(xiǎn)評(píng)估

采用FMEA失效模式與后果分析，挖掘工控系統(tǒng)信息安全漏洞，對(duì)在役核電廠工控系統(tǒng)進(jìn)行充分地信息采集，如業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性等，做為風(fēng)險(xiǎn)評(píng)估的依據(jù)和方法的選擇以及評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。根據(jù)調(diào)研信息制定方案，識(shí)別關(guān)鍵設(shè)備資產(chǎn)并進(jìn)行資產(chǎn)賦值。參考GB/T 20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》的基本原理[5]，對(duì)重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，并識(shí)別威脅分類及脆弱性，如圖2。

3.3 建設(shè)階段

管理體系是建立在文檔化基礎(chǔ)上，管理體系文件遵從質(zhì)量管理體系文件規(guī)范和要求，體系從上至下分為4個(gè)層次，包括總體綱要、管理制度、操作規(guī)程、記錄表單，如圖3、圖4。

圖3 管理要求Fig.3 Management requirements

圖4 技術(shù)要求Fig.4 Technical requirements

4 落實(shí)推廣

在落實(shí)推廣階段，對(duì)于形成適用于核電領(lǐng)域管理體系的標(biāo)準(zhǔn)架構(gòu)及技術(shù)防護(hù)措施，能夠有效幫助在役核電廠更為切合自身特點(diǎn)和順利高效地開展信息安全管理體系防護(hù)工作，有助于提供整個(gè)核電行業(yè)的信息安全防護(hù)水平，形成如下的特點(diǎn)及實(shí)施效果：

1）明確系統(tǒng)邊界及分類。通過管理體系的全面建立，實(shí)施安全設(shè)備有針對(duì)性防護(hù)的分類管理，大大減少了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有效提升核電廠的經(jīng)濟(jì)效益。

2）提出一整套核電廠DCS信息安全評(píng)價(jià)體系及建設(shè)標(biāo)準(zhǔn)。創(chuàng)新性地將技術(shù)文檔規(guī)劃與系統(tǒng)設(shè)備信息安全等級(jí)及措施相匹配，使得各系統(tǒng)有明確的信息安全防護(hù)標(biāo)準(zhǔn)可依據(jù)。

3）提升應(yīng)急保障能力。提供信息安全事件的應(yīng)急資源保障額度、培訓(xùn)和演練要求，增加信息安全事件應(yīng)急處置工作強(qiáng)度，按照核應(yīng)急要求執(zhí)行信息安全事件事后總結(jié)和經(jīng)驗(yàn)反饋等變化，使信息安全事件的應(yīng)急管理要求能夠與核安全應(yīng)急管理工作相適應(yīng)，提升電廠核安全管理水平，為公眾溝通管理提供了有益的支持。

5 結(jié)束語

新時(shí)代黨和國家對(duì)建設(shè)信息安全強(qiáng)國要求，特別是關(guān)鍵基礎(chǔ)設(shè)施的信息安全建設(shè)要求，與國內(nèi)核電工控系統(tǒng)信息安全管理體系發(fā)展現(xiàn)狀還存在較大差距。如何在新時(shí)代信息安全形勢(shì)下，助推核電廠信息安全管理體系建設(shè)，減少核電廠工控系統(tǒng)信息安全事件發(fā)生的風(fēng)險(xiǎn)，已成為在役核電廠和新建核電廠迫切急需解決的問題。核電廠DCS系統(tǒng)信息安全管理體系設(shè)計(jì)涵蓋了核電廠信息安全的全生命周期管理，能夠解決在役核電廠及新建核電機(jī)組缺少完整的標(biāo)準(zhǔn)化管理體系、專業(yè)化技術(shù)防護(hù)措施、人員培訓(xùn)、設(shè)備資產(chǎn)管理、突發(fā)應(yīng)急處置等問題，對(duì)核電領(lǐng)域的信息安全管理體系的建設(shè)具有借鑒意義。