孫永勝 夏丹陽

摘要：該文以國際電工委員會/核儀器技術(shù)委員會（IEC SC45A）的標(biāo)準(zhǔn)體系為基礎(chǔ)，討論了核電廠數(shù)字化儀控系統(tǒng)信息安全的特征。文章首先對SC45A標(biāo)準(zhǔn)體系進(jìn)行了介紹，之后闡述了信息安全標(biāo)準(zhǔn)在該標(biāo)準(zhǔn)體系中的位置以及與其他標(biāo)準(zhǔn)的聯(lián)系，而后從信息安全保障對象、保障屬性、主要威脅來源以及安全防護(hù)等級方面對數(shù)字化儀控系統(tǒng)的信息安全特征進(jìn)行了分析和闡述。

關(guān)鍵詞：核電站；數(shù)字化儀控系統(tǒng)；信息安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2019）05-0240-02

Information Security Features of Digital Instrument Control System in Nuclear Power Plant

SUN Yong-sheng， XIA Dan-yang

（China Nuclear Control System Engineering CO.， LTD， Beijing 102401，China）

Abstract：Based on the standard system of the International Electrotechnical Commission/Nuclear Instrument Technical Committee （IEC SC45A）， this paper discusses the characteristics of information security of digital instrumentation control systems in nuclear power plants. The article first introduces the SC45A standard system， then describes the location of the information security standard in the standard system and its connection with other standards， and then digitizes from the aspects of information security objects， security attributes， major threat sources and security protection levels. The information security features of the instrument control system were analyzed and elaborated.

Key words： nuclear power plant； digital instrument control system； information security

1 引言

核電站是國家的重大基礎(chǔ)設(shè)施，核電站的儀表和控制系統(tǒng)是核電站的控制中樞，是事關(guān)電站安全的重要系統(tǒng)。而我國已經(jīng)投產(chǎn)的和正在建設(shè)的核電站其儀控系統(tǒng)大多由數(shù)字式系統(tǒng)構(gòu)成，而這就給網(wǎng)絡(luò)攻擊創(chuàng)造了客觀條件，所以數(shù)字化儀控系統(tǒng)已經(jīng)成了核電站重要的信息安全保障對象。本文首先依照國際標(biāo)準(zhǔn)對該領(lǐng)域的信息安全主要特征進(jìn)行了分析，并總結(jié)了若干主要原則和約束條件。

2 SC45A標(biāo)準(zhǔn)體系中信息安全的主要特征

2.1 核電儀控系統(tǒng)標(biāo)準(zhǔn)體系綜述

國際電工委員會/核儀器技術(shù)委員會（SC45A）標(biāo)準(zhǔn)體系如圖1所示。這個(gè)標(biāo)準(zhǔn)體系基于功能安全目標(biāo)而建立，其中，IEC61513-2001[1]作為整個(gè)標(biāo)準(zhǔn)體系的頂級標(biāo)準(zhǔn)，規(guī)定了核電廠儀表與控制系統(tǒng)安全重要部分的功能安全要求的總綱。IEC 61226-2005規(guī)定了核電廠儀表和控制系統(tǒng)以及它們的供電設(shè)備的安全級別、分級方法和要求[2]。IEC60880-2006提供了IEC61226-2005所規(guī)定的核電廠I&C系統(tǒng)實(shí)施A類安全功能的計(jì)算機(jī)軟件要求。而IEC62138-2004提供了IEC61226-2005所規(guī)定的核電廠I&C系統(tǒng)實(shí)施B類和C類安全功能的計(jì)算機(jī)軟件要求。IEC62566-2012規(guī)定了核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的HDL可編程集成電路開發(fā)的相關(guān)要求。

隨著信息安全威脅對工控系統(tǒng)的影響日漸增多，SC45A開始關(guān)注信息安全問題，但直到2014年，它才提出了IEC62645-2014來闡述信息安全問題[3]。該標(biāo)準(zhǔn)作為核電儀控領(lǐng)域信息安全的頂級標(biāo)準(zhǔn)而存在，參考ISO 27001-2005[4]從管理角度約定了在應(yīng)對網(wǎng)絡(luò)安全威脅時(shí)核電儀控系統(tǒng)需要采用的具體措施，同時(shí)又參考NIST SP800-82[5]從技術(shù)角度提出了核電儀控系統(tǒng)的信息安全技術(shù)指導(dǎo)框架。功能安全是這個(gè)領(lǐng)域以及多數(shù)工控應(yīng)用場景下安全問題的首要因素，而信息安全的評價(jià)則多以安全威脅所可能導(dǎo)致的功能安全后果作為風(fēng)險(xiǎn)評價(jià)的主要因素。所以，信息安全角度的最新標(biāo)準(zhǔn)IEC62859-2016[9]首要提出的就是信息安全與功能安全的協(xié)調(diào)框架，它進(jìn)一步地解決了信息安全設(shè)計(jì)準(zhǔn)則應(yīng)用于以功能安全為設(shè)計(jì)向?qū)У暮穗姀S儀控系統(tǒng)中所應(yīng)該注意的問題。

2.2 核電儀控標(biāo)準(zhǔn)體系的信息安全主要特征

對比ISO27000標(biāo)準(zhǔn)體系，SC45A的相關(guān)標(biāo)準(zhǔn)在多個(gè)方面對核電儀控這一專屬領(lǐng)域的信息安全進(jìn)行了特別的約定，以下從保障對象，安全分級方法。

2.2.1 保障對象的拓展

數(shù)字化儀控系統(tǒng)中的設(shè)備可以分為基于數(shù)字式計(jì)算機(jī)技術(shù)實(shí)現(xiàn)的系統(tǒng)（CB）和基于數(shù)字邏輯實(shí)現(xiàn)的系統(tǒng)（HPD）兩類。目前信息安全乃至工控信息安全領(lǐng)域的主要討論對象都是基于數(shù)字式計(jì)算機(jī)實(shí)現(xiàn)的系統(tǒng)，較少的涉及采用FPGA或CPLD等可編程數(shù)字邏輯器件實(shí)現(xiàn)的系統(tǒng)。在IEC62645-2014中，已經(jīng)明確地把可編程邏輯器件所構(gòu)建的系統(tǒng)作為與基于數(shù)字計(jì)算機(jī)技術(shù)實(shí)現(xiàn)的系統(tǒng)相并列的對象進(jìn)行討論?；贖DL可編程數(shù)字邏輯技術(shù)實(shí)現(xiàn)的系統(tǒng)已經(jīng)不可避免的被列入了信息安全的討論范圍之內(nèi)，而這一改變對信息安全相關(guān)技術(shù)活動(dòng)的影響需要綜合參照IEC62645-2014和IEC62566-2012作為標(biāo)準(zhǔn)基礎(chǔ)。

2.2.2 基于功能安全后果導(dǎo)向的分級方法

實(shí)現(xiàn)功能安全是儀控系統(tǒng)的主要設(shè)計(jì)任務(wù)，而信息安全的等級劃分也來自功能安全后果導(dǎo)向。IEC62645-2014中對系統(tǒng)的信息安全分級方法可以概括如下：

1）應(yīng)根據(jù)信息安全威脅所可能產(chǎn)生的最大安全后果向系統(tǒng)分配程度S1至S3。

2）向數(shù)字化儀控系統(tǒng)分配安全程度應(yīng)依照如下原則：

–向處理A類安全功能的數(shù)字化儀控系統(tǒng)分配的安全程度為S1；

–向需要實(shí)時(shí)操作的數(shù)字化儀控系統(tǒng)以及處理B類安全功能的數(shù)字化儀控系統(tǒng)分配的安全程度不得低于S2；

–根據(jù)信息安全威脅所可能產(chǎn)生的最大安全后果，向處理C類功能的數(shù)字化儀控系統(tǒng)以及協(xié)助工廠運(yùn)行和維護(hù)的數(shù)字化儀控系統(tǒng)的輔助系統(tǒng)分配的安全程度為S3。

2.2.3 主要威脅范圍的限定

威脅利用系統(tǒng)的脆弱性對資產(chǎn)產(chǎn)生破壞是分析信息安全風(fēng)險(xiǎn)的最基本范式，定義對象系統(tǒng)的信息安全威脅是需要解決的問題。依據(jù)ISO27000標(biāo)準(zhǔn)體系，物理防護(hù)、電力供應(yīng)、運(yùn)行環(huán)境以及綜合性的自然災(zāi)害所造成的破壞，均被視作對特定信息安全保障對象的威脅。但是，作為核電廠數(shù)字化儀控系統(tǒng)，其運(yùn)行的物理環(huán)境和相關(guān)的人員管理措施均被其他法律法規(guī)所約束，也被較完善的國際和國內(nèi)標(biāo)準(zhǔn)所指導(dǎo)和限制，所以IEC62645-2014和IEC62859-2016中都不以這些威脅途徑作為主要的討論和分析對象，而是把討論的范圍限定在數(shù)字式攻擊（即網(wǎng)絡(luò)攻擊Cyberattacks）?；谕瑯拥睦碛?，這些標(biāo)準(zhǔn)同時(shí)把非惡意的活動(dòng)和偶然事件排除在主要威脅范圍之外。雖然這些被包含在ISO/IEC27000標(biāo)準(zhǔn)族、IEC62443標(biāo)準(zhǔn)族[10]或者NIST的相關(guān)出版物質(zhì)的討論框架內(nèi)，但為了集中討論主要威脅，SC45A的主要標(biāo)準(zhǔn)將主要的威脅分析對象限定為以數(shù)字式手段進(jìn)行的攻擊活動(dòng)。

3 總結(jié)和展望

本文基于IEC的SC45A標(biāo)準(zhǔn)體系進(jìn)行分析，總結(jié)了其信息安全角度的幾個(gè)主要特征，從保障對象，分析方法和威脅范圍三個(gè)角度對其進(jìn)行了分析。未來的工作將進(jìn)一步基于信息安全特征提出基于該標(biāo)準(zhǔn)體系的信息安全設(shè)計(jì)準(zhǔn)則。

參考文獻(xiàn)：

[1] IEC， IEC 61513-2001 Nuclear power plants Instrumentation and control for systems important to safety General requirements for systems[S]， Geneva：IEC， 2001.

[2] IEC61226：2004Nuclear power plants Instrumentation and control systems important to safety Classification of instrumentation and control functions[S]， Geneva：IEC， 2004.

[3] IEC62645-2014 Nuclear power plants Instrumentation and control systems Requirements for security programmes for computer-based systems[S]， Geneva：IEC， 2014.

[4] ISO27001-2005 Information technology Security techniques Information security management systems Requirements[S]， Geneva：IEC， 2005.

[5] NIST SP800-82-2010 Guide to Industrial Control Systems （ICS） Security[S]， Geneva： NIST，2014.

【通聯(lián)編輯：代影】