劉學(xué)科，譚 平

（中核霞浦核電有限公司，福建 寧德 355100）

0 引言

數(shù)字化儀控系統(tǒng)（DCS）是核電廠的信息神經(jīng)和控制中樞，對保證核電廠安全可靠運(yùn)行起著至關(guān)重要的作用。中國在役核電廠DCS系統(tǒng)的信息安全工作尚處于探索階段，管理體系亟待完善。技術(shù)手段和管理措施沒有有效地結(jié)合，導(dǎo)致管理和技術(shù)脫鉤或偏重現(xiàn)象，或技術(shù)手段應(yīng)用過于復(fù)雜，或管理手段沒有統(tǒng)一遵照執(zhí)行的標(biāo)準(zhǔn)，尤其在設(shè)計階段幾乎未考慮或較少考慮信息安全防護(hù)設(shè)計。傳統(tǒng)的信息安全管理體系架構(gòu)的設(shè)計充分參考和借鑒ISMS（ISO27001），技術(shù)上參考國際信息安全保障技術(shù)框架IATF對信息安全狀況進(jìn)行分析。國內(nèi)電力企業(yè)遵循電力行業(yè)信息安全等級測評基本要求、電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定、信息系統(tǒng)風(fēng)險評估規(guī)范等信息安全管理標(biāo)準(zhǔn)和工作實(shí)踐，采用PDCA的過程模型建設(shè)良性循環(huán)，持續(xù)改進(jìn)的閉環(huán)管理模式，形成一套標(biāo)準(zhǔn)化的安全管理體系[10]。但傳統(tǒng)信息系統(tǒng)與工控系統(tǒng)在生命周期、實(shí)時性要求、設(shè)備、運(yùn)行維護(hù)等方面都存在較大差異，無法直接照搬照抄信息系統(tǒng)管理體系。針對核電廠DCS系統(tǒng)的信息安全管理體系（以下簡稱“管理體系”），國內(nèi)外尚未形成直接可參考借鑒的標(biāo)準(zhǔn)規(guī)范。

1 信息安全面臨的挑戰(zhàn)

近年來，核電領(lǐng)域信息安全事件頻發(fā)，見表1。特別是針對工業(yè)控制系統(tǒng)的安全事件數(shù)量呈明顯上升趨勢，并呈現(xiàn)出攻擊工具專業(yè)化、行為組織化、目的政治化的特點(diǎn)。尤其是2010年6月“震網(wǎng)”病毒攻擊伊朗核設(shè)施，控制了30%的納坦茲設(shè)施的計算機(jī)，伊朗暫時關(guān)閉了核設(shè)施和核電廠。為此，中國在工業(yè)控制系統(tǒng)信息安全方面也發(fā)布了相關(guān)指導(dǎo)文件，如國務(wù)院發(fā)布的《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國發(fā)[2012]23號）；電監(jiān)信息[2012]62號電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求等[8]，均對重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理提出了意見與要求。

表1 近年來核電領(lǐng)域信息安全主要事件Table 1 Major events of information security in the nuclear power field in recent years

2 存在風(fēng)險及漏洞

經(jīng)調(diào)研，在役核電廠工業(yè)控制系統(tǒng)信息安全至少存在以下問題：一是缺乏安全區(qū)域劃分，區(qū)域間未設(shè)置訪問控制措施；二是缺乏信息安全風(fēng)險監(jiān)控，不能及時發(fā)現(xiàn)信息安全問題，出現(xiàn)問題后靠人員經(jīng)驗(yàn)排查，不能及時了解網(wǎng)絡(luò)狀況，一旦發(fā)生問題不能及時確定問題所在，及時排查到故障點(diǎn)，排查過程耗費(fèi)大量人力成本、時間成本；三是信息安全防護(hù)缺失，工業(yè)控制系統(tǒng)內(nèi)部缺乏入侵檢測能力，無法及時有效發(fā)現(xiàn)網(wǎng)絡(luò)異常行為和異常流量，以及缺乏安全審計能力，無法進(jìn)行指令級的審計，也無法進(jìn)行事件的分析溯源；四是管理與技術(shù)沒有有效銜接，系統(tǒng)運(yùn)行后，缺少專業(yè)技術(shù)措施和管理弊端，導(dǎo)致信息安全維護(hù)不能及時有效落實(shí)，不能及時處理信息安全設(shè)備故障及工業(yè)控制系統(tǒng)信息安全威脅等；五是缺乏工業(yè)控制系統(tǒng)集中管理，對生產(chǎn)控制大區(qū)網(wǎng)絡(luò)中攻擊或異常行為的網(wǎng)絡(luò)流量、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備等工控系統(tǒng)的設(shè)備資產(chǎn)、故障報警、日志存儲等的信息全面收集與全網(wǎng)態(tài)勢分析及時發(fā)現(xiàn)、集中報告并統(tǒng)一處理的能力；六是信息安全事件的應(yīng)急管理沒有與核事故應(yīng)急管理有效銜接，應(yīng)急響應(yīng)不明確。

3 管理體系建立

為保證管理體系建設(shè)成體系化標(biāo)準(zhǔn)化的目標(biāo)，建設(shè)過程中制定以下3項(xiàng)研究原則作為準(zhǔn)則：①合規(guī)性原則，滿足合規(guī)性要求是開展管理體系標(biāo)準(zhǔn)化建設(shè)工作的基本原則之一，也是管理體系建設(shè)工作的核心要求。在管理體系化標(biāo)準(zhǔn)建設(shè)工作實(shí)施的過程中，每一條要求項(xiàng)均有與之對應(yīng)的國內(nèi)外相關(guān)標(biāo)準(zhǔn)要求相適應(yīng)，并確保指標(biāo)成果能夠涵蓋選取標(biāo)準(zhǔn)中的防護(hù)標(biāo)準(zhǔn)。②全面性原則，目前在役核電廠工控系統(tǒng)未考慮或很少考慮信息安全體系化和標(biāo)準(zhǔn)化設(shè)計，而工控系統(tǒng)一旦投入運(yùn)行，很難再考慮信息安全管理與技術(shù)防護(hù)相結(jié)合，往往受制于各種因素（如：是否會影響工控系統(tǒng)的正常工作，是否會引入新的安全隱患等）而無法得到有效落實(shí)。因此，在設(shè)計、采購、制造、調(diào)試、運(yùn)行等各階段中全面考慮信息安全全生命周期的需求變得尤為重要。③適用性原則，在管理體系建設(shè)初期充分調(diào)研核電廠的實(shí)際需求，保證整理歸納后的要求與核電的實(shí)際生產(chǎn)工作不沖突。

管理體系建設(shè)以PDCA循環(huán)的過程方法論來保持組織的ISMS體系持續(xù)有效運(yùn)行和GB/T 22080-2016《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》思想理念，從4個階段（準(zhǔn)備階段、調(diào)研階段、建設(shè)階段、落實(shí)推廣）開展，通過對比分析國內(nèi)外信息安全領(lǐng)域和核電領(lǐng)域的法律法規(guī)、政策、標(biāo)準(zhǔn)等相關(guān)文獻(xiàn)，提取適用于核電廠DCS系統(tǒng)信息安全管理指標(biāo)，如圖1。

圖1 管理體系框架Fig.1 Management system framework

3.1 準(zhǔn)備階段

準(zhǔn)備階段針對國內(nèi)外核電領(lǐng)域和信息安全領(lǐng)域相關(guān)的法律法規(guī)、政策標(biāo)準(zhǔn)進(jìn)行比較分析、關(guān)鍵指標(biāo)提取，及匯總收集，從中逐條總結(jié)提取出信息安全相關(guān)要求。為確保項(xiàng)目的適用性，對比分析了選取大量國內(nèi)外信息安全領(lǐng)域和核電領(lǐng)域的法律法規(guī)、政策、標(biāo)準(zhǔn)作為參考依據(jù)。由于參考文獻(xiàn)的差異性，在該階段將劃分為國內(nèi)標(biāo)準(zhǔn)體系、監(jiān)管部門要求、國外核安全標(biāo)準(zhǔn)3個類別：

1）國內(nèi)標(biāo)準(zhǔn)體系

目前，國內(nèi)核電廠信息安全標(biāo)準(zhǔn)體系參考的標(biāo)準(zhǔn)可以分為兩種。一是信息安全等級保護(hù)標(biāo)準(zhǔn)。GB 17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》是計算機(jī)信息系統(tǒng)安全等級保護(hù)標(biāo)準(zhǔn)體系的基礎(chǔ)，根據(jù)計算機(jī)信息系統(tǒng)的安全技術(shù)和安全風(fēng)險控制的關(guān)系，將信息系統(tǒng)安全保護(hù)能力由低到高分為5個級別：用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級[1]；二是信息安全管理體系GB/T 22080-2016給出了信息安全管理體系要求，其主要針對于組織資產(chǎn)進(jìn)行全方位的建設(shè)和保護(hù)，指導(dǎo)企業(yè)或組織在已有信息安全管理體系的框架或環(huán)境下，建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持與改進(jìn)文件化的網(wǎng)絡(luò)管理體系（ISMS）[2,3]。上述兩個標(biāo)準(zhǔn)的管理體系偏重于傳統(tǒng)信息安全管理體系建設(shè)，而無法直接應(yīng)用于工控系統(tǒng)管理體系的構(gòu)建。

2）監(jiān)管部門要求

國家發(fā)展改革委和能源局發(fā)布的防護(hù)要求中，防護(hù)對象是電力監(jiān)測系統(tǒng)，總體要求是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”這十六字方針，主要側(cè)重點(diǎn)是核電廠監(jiān)控系統(tǒng)的邊界防護(hù)。在工信部發(fā)布的工控系統(tǒng)信息安全防護(hù)指南中，防護(hù)對象是工業(yè)控制網(wǎng)絡(luò)，大部分借鑒了等級保護(hù)要求，在邊界、網(wǎng)絡(luò)、計算環(huán)境等方面提出了十一條重點(diǎn)防護(hù)要求，具體要求包括：安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理和落實(shí)責(zé)任，提出了大的方針政策和技術(shù)措施[8]，而對于工控系統(tǒng)信息安全管理則沒有明確細(xì)化分工。

3）國外核安全標(biāo)準(zhǔn)

IAEA是國際原子能機(jī)構(gòu)發(fā)布的，屬于“技術(shù)導(dǎo)則”，內(nèi)容涉及核設(shè)施的計算機(jī)安全、網(wǎng)絡(luò)和其他數(shù)字系統(tǒng)，是針對預(yù)防偷竊、蓄意破壞及其他惡意行為，專門制定的響應(yīng)導(dǎo)則。IAEA使用了廣義的信息概念，單獨(dú)對核設(shè)施的計算機(jī)安全提出了要求。IAEA注重要求的體系性和完整性，從安保基本法則層面到建議文件層面，再到導(dǎo)則層面，對信息安全的要求逐層具體化，既包括信息安全，也包括系統(tǒng)和設(shè)備的可靠性，對核電廠尤其是工業(yè)控制系統(tǒng)沒有詳細(xì)說明。設(shè)計單位所參考的RG 5.71標(biāo)準(zhǔn)，是NRC（美國核監(jiān)督管理委員會）提供的一套能夠滿足10CFR 73.54（聯(lián)邦法規(guī)第73.54章第10篇）要求的最佳實(shí)踐方案。該標(biāo)準(zhǔn)的核心目的是建設(shè)能夠滿足美國聯(lián)邦法規(guī)要求的信息安全防護(hù)能力，其防護(hù)需求與國內(nèi)的實(shí)際情況存在差異[6,7]，并不完全適用于國內(nèi)核電廠。

3.2 調(diào)研階段

調(diào)研階段主要將國內(nèi)外法規(guī)標(biāo)準(zhǔn)進(jìn)行對比分析后得到的指標(biāo)要求，按照信息安全防護(hù)的基本要求、技術(shù)要求、管理要求和應(yīng)急保障要求幾個維度思路開展，同時對在役核電廠管理和技術(shù)防護(hù)各個工作層面開展調(diào)研，按照安全綱要、管理機(jī)構(gòu)、人員管理、規(guī)劃建設(shè)、運(yùn)行維護(hù)幾個要點(diǎn)開展全面調(diào)研，提取并形成一份適用于核電工控領(lǐng)域標(biāo)準(zhǔn)的信息安全管理體系的指標(biāo)文件。

3.2.1 調(diào)研實(shí)施

調(diào)研的工作方式是通過資料查閱、人員訪談等方式，對在役核電廠當(dāng)前應(yīng)用于工業(yè)控制系統(tǒng)的信息安全管理措施深入、全面、準(zhǔn)確地了解工控安全管理現(xiàn)狀，分析總結(jié)工控系統(tǒng)管理的特征，評估、修訂和編寫完善的管理制度，包含管理機(jī)構(gòu)、管理制度、應(yīng)急響應(yīng)體系以及技術(shù)安全防護(hù)現(xiàn)狀等。同時開展行業(yè)及安全設(shè)備廠家的調(diào)研，將調(diào)研結(jié)果用于對核電工控領(lǐng)域安全現(xiàn)狀的評估。

3.2.2 風(fēng)險評估

采用FMEA失效模式與后果分析，挖掘工控系統(tǒng)信息安全漏洞，對在役核電廠工控系統(tǒng)進(jìn)行充分地信息采集，如業(yè)務(wù)目標(biāo)、業(yè)務(wù)特性、管理特性和技術(shù)特性等，做為風(fēng)險評估的依據(jù)和方法的選擇以及評估內(nèi)容的實(shí)施奠定基礎(chǔ)。根據(jù)調(diào)研信息制定方案，識別關(guān)鍵設(shè)備資產(chǎn)并進(jìn)行資產(chǎn)賦值。參考GB/T 20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》的基本原理[5]，對重要資產(chǎn)進(jìn)行風(fēng)險評估活動，并識別威脅分類及脆弱性，如圖2。

3.3 建設(shè)階段

管理體系是建立在文檔化基礎(chǔ)上，管理體系文件遵從質(zhì)量管理體系文件規(guī)范和要求，體系從上至下分為4個層次，包括總體綱要、管理制度、操作規(guī)程、記錄表單，如圖3、圖4。

圖3 管理要求Fig.3 Management requirements

圖4 技術(shù)要求Fig.4 Technical requirements

4 落實(shí)推廣

在落實(shí)推廣階段，對于形成適用于核電領(lǐng)域管理體系的標(biāo)準(zhǔn)架構(gòu)及技術(shù)防護(hù)措施，能夠有效幫助在役核電廠更為切合自身特點(diǎn)和順利高效地開展信息安全管理體系防護(hù)工作，有助于提供整個核電行業(yè)的信息安全防護(hù)水平，形成如下的特點(diǎn)及實(shí)施效果：

1）明確系統(tǒng)邊界及分類。通過管理體系的全面建立，實(shí)施安全設(shè)備有針對性防護(hù)的分類管理，大大減少了網(wǎng)絡(luò)安全風(fēng)險，有效提升核電廠的經(jīng)濟(jì)效益。

2）提出一整套核電廠DCS信息安全評價體系及建設(shè)標(biāo)準(zhǔn)。創(chuàng)新性地將技術(shù)文檔規(guī)劃與系統(tǒng)設(shè)備信息安全等級及措施相匹配，使得各系統(tǒng)有明確的信息安全防護(hù)標(biāo)準(zhǔn)可依據(jù)。

3）提升應(yīng)急保障能力。提供信息安全事件的應(yīng)急資源保障額度、培訓(xùn)和演練要求，增加信息安全事件應(yīng)急處置工作強(qiáng)度，按照核應(yīng)急要求執(zhí)行信息安全事件事后總結(jié)和經(jīng)驗(yàn)反饋等變化，使信息安全事件的應(yīng)急管理要求能夠與核安全應(yīng)急管理工作相適應(yīng)，提升電廠核安全管理水平，為公眾溝通管理提供了有益的支持。

5 結(jié)束語

新時代黨和國家對建設(shè)信息安全強(qiáng)國要求，特別是關(guān)鍵基礎(chǔ)設(shè)施的信息安全建設(shè)要求，與國內(nèi)核電工控系統(tǒng)信息安全管理體系發(fā)展現(xiàn)狀還存在較大差距。如何在新時代信息安全形勢下，助推核電廠信息安全管理體系建設(shè)，減少核電廠工控系統(tǒng)信息安全事件發(fā)生的風(fēng)險，已成為在役核電廠和新建核電廠迫切急需解決的問題。核電廠DCS系統(tǒng)信息安全管理體系設(shè)計涵蓋了核電廠信息安全的全生命周期管理，能夠解決在役核電廠及新建核電機(jī)組缺少完整的標(biāo)準(zhǔn)化管理體系、專業(yè)化技術(shù)防護(hù)措施、人員培訓(xùn)、設(shè)備資產(chǎn)管理、突發(fā)應(yīng)急處置等問題，對核電領(lǐng)域的信息安全管理體系的建設(shè)具有借鑒意義。