(中國核電工程有限公司,北京 100840)

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,工控系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與公共網(wǎng)絡(luò)連接,病毒、木馬等威脅正在向工控系統(tǒng)擴(kuò)散,工控系統(tǒng)信息安全問題日益突出。

本文首先分析國內(nèi)外主要核電相關(guān)法規(guī)標(biāo)準(zhǔn)的總體要求,介紹了不同標(biāo)準(zhǔn)對信息安全分區(qū)的劃分方法。然后,介紹了核電廠儀控系統(tǒng)的主要信息安全威脅,最后闡述了福清核電站安全級DCS系統(tǒng)在信息安全方面的技術(shù)防范措施和工控領(lǐng)域主要的防護(hù)措施。

1 國內(nèi)外法規(guī)標(biāo)準(zhǔn)

1.1 美國標(biāo)準(zhǔn)

美國核電廠在信息安全方面法規(guī)導(dǎo)則有：法規(guī)10 CFR 73.54,導(dǎo)則RG 5.71和RG1.152等。

(1)法規(guī)10 CFR 73.54規(guī)定了設(shè)計基準(zhǔn)威脅中信息安全需要保護(hù)的關(guān)鍵資產(chǎn)范圍,網(wǎng)絡(luò)安全大綱的目的和內(nèi)容,網(wǎng)絡(luò)安全計劃的內(nèi)容以及文檔記錄和審查要求:

1)信息安全保護(hù)的數(shù)字計算機(jī),通信系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)包括：安全相關(guān)和安全重要功能;信息安全功能;應(yīng)急響應(yīng)功能(包括廠外通信);影響上述功能的支持系統(tǒng)和設(shè)備。

2)網(wǎng)絡(luò)安全大綱的目的和內(nèi)容包括：避免資產(chǎn)遭受網(wǎng)絡(luò)攻擊;應(yīng)用和維持縱深防御策略,確保探測,響應(yīng)網(wǎng)絡(luò)攻擊和從網(wǎng)絡(luò)攻擊中恢復(fù)的能力;減輕網(wǎng)絡(luò)攻擊的影響;確保被保護(hù)的資產(chǎn)功能不會因網(wǎng)絡(luò)攻擊受到影響。

3)網(wǎng)絡(luò)安全計劃：應(yīng)考慮電站實(shí)際運(yùn)行狀況;維持探測和響應(yīng)網(wǎng)絡(luò)攻擊的能力;減輕網(wǎng)絡(luò)攻擊的后果;糾正已被利用的網(wǎng)絡(luò)安全漏洞;恢復(fù)受網(wǎng)絡(luò)攻擊影響的系統(tǒng),網(wǎng)絡(luò)和/或設(shè)備。

(2)RG 5.71明確了網(wǎng)絡(luò)安全大綱的建立,實(shí)施,維護(hù)和文檔記錄的具體要求,從技術(shù)安全管理,操作和管理安全控制方面提出了具體可實(shí)施的防范措施。其主要是核設(shè)施的持證人對I&C系統(tǒng)信息安全進(jìn)行監(jiān)督評估和采取控制措施的指導(dǎo)性規(guī)范。其中的具體措施和方法明確,在實(shí)際運(yùn)用中的可操作性比較強(qiáng)[1]:

1)建立和實(shí)施網(wǎng)絡(luò)安全大綱：分析數(shù)字式計算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò);對關(guān)鍵數(shù)字資產(chǎn)進(jìn)行識別;部署防御性架構(gòu);解除關(guān)鍵數(shù)字資產(chǎn)潛在網(wǎng)絡(luò)風(fēng)險;實(shí)施安全生命收起活動,維護(hù)網(wǎng)絡(luò)安全大綱。

2)維護(hù)網(wǎng)絡(luò)安全大綱：信息安全生命周期包括連續(xù)監(jiān)測和評估,配置管理,管理更換,變化與環(huán)境的安全影響分析,有效性分析,持續(xù)評估信息安全控制和安全大綱的有效性;漏洞掃描/評估;變更控制;安全方案審查。

3)記錄的保存和處理：必須保留滿足本條規(guī)定所需的所有記錄和支持技術(shù)文件,直到委員會終止這些記錄所對應(yīng)的許可證為止。此外,除非委員會另有規(guī)定,持證人必須在記錄被取代后至少3年內(nèi)保留這些記錄的替代部分。

4)技術(shù)安全管理：訪問控制;審計和責(zé)任;關(guān)鍵數(shù)字資產(chǎn)和通信保護(hù);識別和認(rèn)證;系統(tǒng)加固。

5)操作和管理安全控制：存儲介質(zhì)保護(hù);人事安全;系統(tǒng)和信息完整性;維護(hù);物理和環(huán)境防護(hù);防御策略;事件響應(yīng);應(yīng)急計劃/安全,安全和應(yīng)急準(zhǔn)備功能的連續(xù)性;安全意識和培訓(xùn),配置管理,系統(tǒng)和服務(wù)的采購,安全評估與風(fēng)險管理。

(3)RG1.152采用數(shù)字安全系統(tǒng)全生命周期階段作為框架,分別從概念、需求、設(shè)計、實(shí)施、測試、安裝、檢查和驗(yàn)收測試、運(yùn)行、維護(hù)和退役幾個階段對信息安全的要求進(jìn)行了規(guī)范[2]。

1.2 國際電工委員會標(biāo)準(zhǔn)

(1)IEC 62443 工業(yè)過程測量、控制和自動化、網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn),共分為通用、信息安全過程、系統(tǒng)技術(shù)和部件技術(shù)4個部分：

1)第1部分描述了信息安全的通用方面(術(shù)語、概念和模型,縮略語,信息安全符合性度量)。

2)第2部分描述了信息安全程序的管理,建立和運(yùn)行。

3)第3部分描述了系統(tǒng)集成商的信息安全技術(shù),保障等級。

4)第4部分描述了對部件制造商開發(fā)的信息安全技術(shù)要求，包括軟件、硬件和信息部分。

(2)IEC 62645應(yīng)用對象是核電廠數(shù)字化儀控系統(tǒng)(I&C CB&HPD系統(tǒng)),包括基于計算機(jī)的系統(tǒng)和基于硬件語言的系統(tǒng)。主要針對I&C CB&HPD系統(tǒng)開發(fā)和管理中需要遵守的概述性要求,偏于總體需求，具體要求細(xì)節(jié)將在細(xì)化的標(biāo)準(zhǔn)中體現(xiàn)。本標(biāo)準(zhǔn)適用于針對網(wǎng)絡(luò)的惡意攻擊的響應(yīng),不包括非惡意的行為和事件,如設(shè)備失效,人因失誤和自然事件[3]。主要內(nèi)容包括[3]：

1)建立和管理網(wǎng)絡(luò)安全程序。

2)信息安全等級S1,S2和S3的劃分原則,以及不同信息安全等級的通用技術(shù)要求。

3)I&C CB&HPD系統(tǒng)在開發(fā),設(shè)計,實(shí)施,驗(yàn)證,安裝,操作和退役等各階段的信息安全需求。

4)信息安全的控制措施。

1.3 國內(nèi)信息安全相關(guān)法規(guī)標(biāo)準(zhǔn)文件

國內(nèi)方面,核電廠數(shù)字化儀控系統(tǒng)的信息安全問題已經(jīng)逐步得到了核電監(jiān)管、設(shè)計、制造、運(yùn)營各方的重視。但由于國內(nèi)目前核電行業(yè)儀控系統(tǒng)信息安全實(shí)踐起步較晚,缺乏足夠的經(jīng)驗(yàn)積累,相關(guān)的法規(guī)標(biāo)準(zhǔn)也尚未完善并形成統(tǒng)一體系,在具體的項(xiàng)目實(shí)施中只能根據(jù)參與者的經(jīng)驗(yàn)知識,參考國外標(biāo)準(zhǔn)的要求,借鑒工控領(lǐng)域的實(shí)施情況開展工作。因此針對核電數(shù)字化儀控信息安全問題應(yīng)該采取的技術(shù)和管理方法、評價體系等還未形成一致的共識,如何才能真正實(shí)現(xiàn)信息安全,缺乏一個廣泛認(rèn)可和接受的衡量標(biāo)準(zhǔn)。目前已發(fā)布的電力行業(yè)和核電專業(yè)標(biāo)準(zhǔn)和法規(guī)文件有：

1)國家發(fā)改委第14號令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》,提出了電力行業(yè)信息安全等級保護(hù)“安全分區(qū),網(wǎng)絡(luò)專用,橫向隔離、縱向認(rèn)證”的總體原則,以及技術(shù),安全,保密管理等總體要求。

2)國家能源局國能安全〔2015〕36號文件《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》,明確了核電廠DCS系統(tǒng)的安全保護(hù)等級為3級,給出了核電廠DCS系統(tǒng)的總體安全分區(qū)和邊界的防護(hù)要求。

3)國家電力監(jiān)管委員會電監(jiān)信息〔2012〕62號文件,印發(fā)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》的通知,規(guī)定了不同等級安全保護(hù)能力的通用要求,基本技術(shù)要求和基本管理要求,是對GB/T 22239-2008標(biāo)準(zhǔn)的新增,細(xì)化,增強(qiáng)和落實(shí)。

4)工信部頒布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,指出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)工控安全防護(hù)的具體措施。

5)國家標(biāo)準(zhǔn)《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 防護(hù)要求 管理要求 評估指南 風(fēng)險與脆弱性檢測要求》(GB/T 33009.1-4-2016 )規(guī)范了DCS系統(tǒng)在網(wǎng)絡(luò)安全方面的防護(hù)要求,管理要求,評估和風(fēng)險與脆弱性檢測要求。

6)核安全法規(guī)HAF102《核動力廠設(shè)計安全規(guī)定》中要求儀控系統(tǒng)需保證安全,但并未給出具體要求和規(guī)定。核安全導(dǎo)則HAD102/14《核電廠安全有關(guān)儀表和控制系統(tǒng)》,因?yàn)榘l(fā)布年限較早并未涉及,僅有的關(guān)于計算機(jī)的導(dǎo)則是國家核安全局于2004年發(fā)布的HAD102/16《核動力廠基于計算機(jī)的安全重要系統(tǒng)軟件》,涉及軟硬件因素的安全性問題,也只是信息安全問題的其中一部分。

綜上所述,目前國內(nèi)還沒有核電領(lǐng)域數(shù)字化儀控系統(tǒng)信息安全相關(guān)的專門法規(guī)標(biāo)準(zhǔn),各方應(yīng)借鑒國際先進(jìn)經(jīng)驗(yàn),建立健全核電信息安全的法規(guī)、標(biāo)準(zhǔn)體系,對核電廠DCS系統(tǒng)的信息安全問題進(jìn)行規(guī)范和約束,尤其是數(shù)字化儀控系統(tǒng)更應(yīng)在設(shè)計時就應(yīng)考慮到信息安全問題[4-6]。

2 DCS系統(tǒng)信息安全分區(qū)

2.1 DCS系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)

核電廠數(shù)字化儀控系統(tǒng)(DCS系統(tǒng))從功能上可以分為4層：

1)0層：工藝系統(tǒng)接口層(傳感器和執(zhí)行機(jī)構(gòu)等現(xiàn)場設(shè)備)。

本層是與工藝系統(tǒng)的設(shè)備接口層,用于監(jiān)測工藝參數(shù)變化和執(zhí)行控制系統(tǒng)的指令。

2)1層：過程控制和保護(hù)層(邏輯處理)。

本層進(jìn)行信號和邏輯處理功能,分為安全級系統(tǒng)(TXS)和非安全級系統(tǒng)(SPPA-T2000)。此外,還有部分第三方儀控系統(tǒng)與非安全級DCS系統(tǒng)有通訊接口,主要以網(wǎng)絡(luò)通訊為主。

3)2層：信息監(jiān)視和控制層(人機(jī)接口)。

人機(jī)接口層,操縱員通過人機(jī)界面對現(xiàn)場工藝參數(shù)變化進(jìn)行監(jiān)測和控制。

4)3層：全廠信息管理系統(tǒng)層。

與廣域網(wǎng)的接口。

2.2 信息安全分區(qū)

信息安全分區(qū)是儀控系統(tǒng)信息安全方案的基礎(chǔ),目前在信息安全分區(qū)方面沒有統(tǒng)一明確的方案。IEC 62645和國家發(fā)改委《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》分別對安全分區(qū)作出了總體要求。

1)IEC 62645給出了核電廠儀控系統(tǒng)信息安全分區(qū)的總體原則和基本要求,信息安全分區(qū)沒有數(shù)量的限制,可以是物理分區(qū)或邏輯分區(qū)。建議將同等或相似安全重要性的功能劃分為一個信息安全分區(qū),采取統(tǒng)一的防護(hù)措施。同一安全分區(qū)的信息安全措施不是必須的,但多個信息安全分區(qū)的邊界接口需要考慮防護(hù)措施。只允許高安全級分區(qū)向低安全級的單向通信[3]。標(biāo)準(zhǔn)雖然沒有對信息安全分區(qū)作出明確的劃分要求,但要求分區(qū)應(yīng)與信息安全分級(劃分為S1,S2和S3級)統(tǒng)一考慮[3]。

2)根據(jù)國家發(fā)展和改革委員會令第14號《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》的“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體要求和國家能源局制定的《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》的要求,將全廠DCS系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。0層、1層和2層是核電廠運(yùn)行的重要環(huán)節(jié),并且直接對電廠進(jìn)行監(jiān)測和控制,因此劃分為生產(chǎn)控制大區(qū),是安全防護(hù)的重點(diǎn)與核心。3層由于不參與直接生產(chǎn),主要功能為檢修管理系統(tǒng)和管理信息系統(tǒng)(MIS),因此劃分到管理信息大區(qū)[4-5]。

3 信息安全威脅

信息安全防護(hù)的三大目標(biāo)是保密性、完整性和可用性。在工控行業(yè)信息系統(tǒng)其優(yōu)先級順序與IT行業(yè)不同,應(yīng)該首先按照可用性、完整性和保密性的順序開展防護(hù)工作。針對這三大防護(hù)目標(biāo),工控行業(yè)的信息系統(tǒng)面臨的主要威脅有：

1)操作系統(tǒng)的安全漏洞,尤其是Windows操作系統(tǒng),持續(xù)發(fā)布漏洞補(bǔ)丁且補(bǔ)丁的可靠性未經(jīng)充分的驗(yàn)證測試。

2)病毒與惡意代碼,主要是U盤等移動存儲設(shè)備的濫用,導(dǎo)致病毒傳播。

3)拒絕服務(wù)攻擊和網(wǎng)絡(luò)風(fēng)暴,通過病毒或人為操作,消耗系統(tǒng)資源,導(dǎo)致系統(tǒng)通信中斷或控制器死機(jī)。

4)黑客入侵與應(yīng)用軟件安全漏洞,該威脅主要是針對開放了遠(yuǎn)程工控系統(tǒng)的應(yīng)用,如VPN。

5)高級持續(xù)性威脅,該威脅的目的性非常強(qiáng),攻擊目標(biāo)明確,一般經(jīng)過有組織有預(yù)謀的策劃,在檢測和控制上難度很大。

6)工控設(shè)備的安全威脅,指工控設(shè)備的設(shè)計缺陷,未考慮授權(quán),驗(yàn)證與訪問限制等手段,或者原設(shè)計已過時,對新的攻擊手段失效。

7)人員管理的威脅,參與工控設(shè)備管理和使用人員,有意或無意的行為傳播惡意軟件,破壞工控系統(tǒng),如釣魚攻擊,郵件掃描攻擊等。

8)工藝數(shù)據(jù)的安全備份,控制工藝數(shù)據(jù),電站管理數(shù)據(jù)等信息的安全問題。

4 信息安全防護(hù)措施

針對信息安全威脅,需要儀控系統(tǒng)設(shè)計方,供貨商和工控行業(yè)的信息安全企業(yè)共同努力,制定一套有效的防護(hù)措施。針對儀控系統(tǒng)內(nèi)部的信息安全威脅,供貨商應(yīng)該按照法規(guī)標(biāo)準(zhǔn)要求開發(fā)儀控系統(tǒng),合理設(shè)計系統(tǒng)結(jié)構(gòu),對網(wǎng)絡(luò)通信接口采取防護(hù)措施;此外,還要參考工控行業(yè)的典型防護(hù)措施,結(jié)合其他行業(yè)的攻擊案例,對核電廠DCS系統(tǒng)增加必要的防護(hù)。

由于信息安全事故在工控行業(yè)的頻繁發(fā)生,工控企業(yè)對信息安全的重視程度越來越大,投入的成本也越來越高,這也促進(jìn)了信息安全企業(yè)的發(fā)展。

針對上述威脅,工控安全企業(yè)也開展了積極的探索,目前在工控領(lǐng)域的主要信息安全措施有：

1)操作系統(tǒng)補(bǔ)丁配置管理。

2)在主機(jī)和服務(wù)器上部署安全防護(hù)軟件。

3)建立訪問登錄系統(tǒng),避免使用默認(rèn)口令或弱口令,定期更新口令。

4)在系統(tǒng)分區(qū)的邊界處部署工業(yè)安全網(wǎng)關(guān)。

5)規(guī)范移動介質(zhì)的使用,避免不安全移動介質(zhì)引入威脅。

6)在交換機(jī)處部署安全審計措施,對流量進(jìn)行監(jiān)視,同時發(fā)往安全運(yùn)營中心進(jìn)行分析。

7)在網(wǎng)絡(luò)入口處部署防火墻,進(jìn)行網(wǎng)絡(luò)隔離。

8)搭建綜合運(yùn)營管理系統(tǒng),對安全網(wǎng)關(guān)和主機(jī)防護(hù)軟件等安全防護(hù)設(shè)備進(jìn)行統(tǒng)一管理。

9)數(shù)據(jù)備份和恢復(fù)。

由于核電DCS系統(tǒng)的復(fù)雜程度更高,其運(yùn)行安全性要求也更高。上述措施在核電廠儀控系統(tǒng)上的使用需要更加謹(jǐn)慎,相應(yīng)的措施必須經(jīng)過嚴(yán)格驗(yàn)證,確保對已有的DCS系統(tǒng)不會產(chǎn)生負(fù)面影響,以免對既有的生產(chǎn)工藝產(chǎn)生影響。因此,在核電廠儀控系統(tǒng)信息安全實(shí)施措施上還需要進(jìn)一步分析論證。

5 總 結(jié)

核電廠的安全性一直是公眾關(guān)注的重點(diǎn),信息安全已經(jīng)成為核電廠整體安全性能的重要組成部分。核電廠在設(shè)計之初,已經(jīng)貫徹了縱深防御的設(shè)計理念,在核電廠儀控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),訪問控制,使用權(quán)限和實(shí)體保護(hù)等方面都不同程度上體現(xiàn)了信息安全的防范措施。但隨著工控領(lǐng)域通用協(xié)議和通用軟硬件在核電領(lǐng)域的普及應(yīng)用,信息安全問題仍然存在,尤其是黑客技術(shù)的迅速發(fā)展,致使有目的有預(yù)謀的攻擊防護(hù)難度越來越大。

核電廠數(shù)字化儀控系統(tǒng)的信息安全活動貫穿其生命周期中設(shè)計、開發(fā)、制造、安裝、運(yùn)行、維護(hù)直至退役的各個階段。以往相對安全的網(wǎng)絡(luò)技術(shù),如不采用先進(jìn)技術(shù)及時進(jìn)行查漏補(bǔ)缺,還是會暴露信息安全風(fēng)險。儀控系統(tǒng)設(shè)計方,DCS供貨商和工控信息安全企業(yè)應(yīng)該同策同力,結(jié)合核電廠的安全特殊性和儀控系統(tǒng)的復(fù)雜性,共同制定適合核電廠儀控系統(tǒng)且切實(shí)可行的信息安全標(biāo)準(zhǔn)和防范措施。