核电信息安全系统开发过程

毛　磊，郑　威，张淑慧（上海核工程研究设计院，上海 200233 ）

核电信息安全系统开发过程

毛磊，郑威，张淑慧（上海核工程研究设计院，上海 200233 ）

本文首先介绍法规标准对信息安全的要求，然后针对信息安全要求，根据信息安全系统生命周期特点，从系统化角度出发介绍核电信息安全系统全生命周期过程， 描述了核电信息安全设计主要过程，并给出推荐性的信息安全防护策略和模型。

仪控系统；信息安全

1　引言

随着计算机系统和其它数字设备在工业领域的广泛应用，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件。核电领域也在许多环节采用了相关技术。然而，过去一段时间里，工业控制系统的脆弱性不断地被证明，恶意利用这些漏洞的攻击行为也越来越频繁且造成了极其恶劣的影响，加剧了人们对工业控制系统安全的重视。大量的统计数据表明，在仪控领域计算机系统的攻击行为有愈演愈烈之势。因此，强化信息安全对于包括核电在内的整个工业领域都是非常迫切和必要的。

对于核电仪控系统和重要信息系统的设计开发，应从系统化角度去开展开发设计与运行管理。本文所提及信息安全系统的开发过程，是一般仪控系统或者信息系统的信息安全设计过程，由于信息安全是系统化过程，该过程需要匹配核电厂全寿期管理的过程，本文着重介绍在核电领域的信息安全系统全生命周期过程和设计过程。

2　核电信息安全要求

核电信息安全要求主要来自三个方面：法律法规，核安全导则、标准，核电企业的信息安全规范等。

2.1国内法规标准要求

我国关于核电厂信息安全标准体系不够完整，目前尚无核电厂信息安全相关要求的法律法规。在导则方面有HAD 102/16等文件。安全标准有等级保护系列标准等。

HAD 102/16《核动力厂基于计算机的安全重要系统软件》中要求，需要保持计算机系统严格的配置控制，计算机系统设计应确定如何防止计算机系统的功能受到有意或无意的破坏（例如非授权访问、非授权编码或病毒）。对如何更改现有的且已验证的系统和如何防止这类系统受到非授权的更改，应有详细规程或其它控制措施。应有安全防范威胁分析和实现安全防范水平的证明。

发改委第14号令《电力监控系统安全防护规定》中有如下核电系统信息安全相关要求：

（1）安全分区。将核电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区。

（2）横向隔离。横向隔离是电力二次安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区。在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离。生产控制大区内部的安全区之间应采用具有访问控制功能的网络设备、国产硬件防火墙或者相当功能的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。

（3）纵向认证。纵向加密认证是电力二次系统安全防护体系的纵向防线。核电站生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。

（4）综合防护。结合信息安全等级保护的相关要求，对核电厂二次系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护。

2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》（公通字[2007]43号）。43号文是等级保护工作发布的一项重要文件，从等级划分、等级保护的实施与管理、涉及国家秘密信息系统的分级保护管理、信息安全等级保护的密码管理、法律责任等方面对等级保护工作中所涉及的各项工作，如等级定义、定级、等级建设所依据的文件、等级测评、四个部门的职责做了描述和规定，内容涵盖了等级保护工作的方方面面。在43号文中，列出了一系列等级保护工作需要参考的标准，在实际的项目实施中应了解各个标准所涉及的内容和在标准中的地位。

2.2国外法规标准要求

2.2.1 美国体系法规标准

在核电厂信息安全要求的美国体系中，信息安全法规要求来源于10 CFR 73.54，导则有RG 5.71、RG 1.152等，信息安全相关的标准和技术规定有NIST SP800系列等。

（1）10 CFR 73.54

10 CFR 73.54中对核电厂信息安全的要求分为三部分：性能要求、程序要求和文档要求。

• 性能要求：核电厂计算机系统、通信系统和网络应当具有充分的保护措施，并且能抵御网络攻击（包括设计基准威胁）。

• 程序要求：建立、实施和维护信息安全大纲。

• 文档要求：开发和维护信息安全计划。

（2）RG 5.71

RG 5.71旨在指导核设施业主建立一套信息安全体系，主要分为以下几个部分：

• 建立和实施信息安全大纲；• 维护信息安全大纲；• 记录的保留与处理；

• 信息安全控制手段，包括技术、运行和管理三方面。

（3）RG 1.152

RG 1.152旨在促进安全系统中数字计算机设备功能可靠性，建立安全的开发和运行环境（SDOE）。

• 实施相关措施和控制手段，使安全系统的开发过程没有未经记录和不必要的修改。

• 实施保护措施，防止安全系统运行时完整性、可靠性或功能性受到影响。保护措施包括防止非法访问，防止与安全系统相连的系统的异常行为。

2.2.2 其他国际标准

（1）IAEA发布的NSS17

IAEA发布NSS17《核设施的计算机安全》的主要目的是，促进增加计算机安全作为核设施总体安保计划一个基本部分之重要性的认识，并提供针对核设施执行计算机安全计划的导则。

（2）IEC 62645

IEC 62645《核电厂仪控系统中基于计算机系统的安全大纲要求》针对核电厂的仪控计算机系统中有效安全程序的开发和管理制定要求并提供指南。该标准仅限于核电厂中使用的仪控系统（包括非安全系统）的计算机安全性。该标准定义了与分级安全要求关联的三个安全程度，分别是S1、S2和S3，并对不同安全级别的网络边界和安全控制手段进行了规定。IEC 62645针对方案级别的安全生命周期方法与ISO/IEC 27001的“计划、执行、检查、处理”（PDCA）循环一致，并描述了针对系统级别的安全生命周期。

3　核电信息安全系统设计生命周期

信息安全系统广义上可以定义为通过相互协作的方式为信息资产提供安全保障的全体网络设备、技术以及最佳做法的集合。根据RG5.71和IEC 62645关于安全生命周期的要求，信息安全系统的设计可以根据其生命周期划分成不同阶段，包括：计划管理、分析、设计&开发、应用和运行阶段。配置管理作为基本的要素，贯穿于各阶段之中。其中计划管理阶段主要负责对整个信息安全生命周期的活动进行安排、监控与管理。由于信息安全工作是一个持续不断管理和实施的过程，因此整个工作流程是闭环的过程，如图1所示。主流程为从分析阶段开始依次经历设计与开发阶段、应用阶段、运行阶段，再从运行阶段反馈回下一周期的分析阶段。信息安全设计流程伴随着核电厂整个生命周期（设计、建造、运行、退役）各阶段变化，贯穿其中。

图1　信息安全设计工作流程

4　分析阶段的信息安全

分析阶段包括两部分：业务需求和风险评估。业务需求是对电厂的业务目标进行分析，电厂的业务目标主要为保证电厂的信息资产安全。核电厂应充分考虑保护下列功能：

（1）安全有关和安全重要的功能（Safety）；

（2）实物保护功能（Security）；

（3）应急响应功能（包括与厂外通信的功能）（Emergency Preparedness）；

（4）影响上述功能的支持系统或设备。

上述功能简称为SSEP功能。通过确认SSEP功能相关的电厂系统、设备、通信系统和网络，可以明确信息安全需要保护的系统。这些系统被定义为关键系统（CS），关键系统通常包括控制系统、安全系统、数据采集系统、应急响应设施和实物保护系统。系统中对SSEP的直接、间接或辅助作用的数字设备成为关键数字设备（CDA）。需要对关键数字设备进行风险分析，确立其可接受的风险级别，为信息安全的防御策略和防御模型提供实施基础。

风险评估时需评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，见GB/T20984-2007《信息安全技术-信息安全风险评估规范》。风险评估在实施过程中应站在设计者和攻击者角度去分析系统的薄弱环节和攻击路径，以获得最为合适的风险分析接口。由于核电信息安全风险评估则与传统信息安全有较大差异，因此：

• 评估前的准备：需要输入仪控或信息系统设计原理（拓扑图、设备清单、工艺原理等）、控制系统产能目标、工程造价、已有安全风险评估等文件，以便更好地理解工业控制系统自身的预期目标（如产能、业务连续性、控制关联等）和安全关注点。随后将整个仪控系统或信息系统进行区域划分和通信管道识别。在此过程中解构整个仪控系统或信息系统的复杂度，同时认识各区域间的关联风险。即在风险评估前，要使得控制系统的规划、设计、集成、运维等各个相关方将安全关注点罗列出来，形成整体安全保障目标，并分解到每个仪控或信息子系统的每个操作区域中，设定好每个区域的重要性权重。

• 资产识别：针对每个区域，识别其信息资产，比如硬件产品、软件产品、集成配置信息、生产过程数据等。此外还需要考察控制过程的输入输出，找出控制函数的关键参数。

• 威胁识别：针对已发生的信息安全事件，对威胁的攻击路径和攻击方式进行分析，从而识别出攻击路径。

• 脆弱性分析：从在役系统角度来讲，针对一个区域进行物理、网络、主机、应用和数据的访问控制保障能力分析，从而识别出针对一个区域的脆弱点和脆弱点的可利用性；针对整个系统的各区域关系，识别渗透式攻击的区域到达路径。

• 已有安全措施分析：将已采用的安全措施分成预防性安全措施和保护性安全措施，对于预防性安全措施考察其对脆弱性可利用性的补偿效果，对于保护性安全措施考察其在攻击发生后起到保护性效果的时间。

• 风险分析：在综合考虑攻击路径上各环节（区域）的脆弱性可利用值和遭到攻击后响应和恢复时间来评估一个攻击路径的可行性和后果严重性。

风险评估的过程应做设备级风险和系统级风险分析。设备级风险分析主要集中在选用的系统设备级本质存在的风险，包括选用的软件和硬件设备，以及对应的软件配置和应用开发。系统级风险主要从网络架构和对外接口开展系统级风险分析。一般风险分析可采用定性和定量分析方法。风险评估的过程是风险管理的过程，风险评估的结果作为开展安全系统功能分析、安全控制手段开发和系统加固。

5　设计、开发阶段的信息安全

信息安全系统的设计与开发主要包括四部分：安全功能分析，安全策略和程序制定，安全控制手段的开发，以及标准和指导方针使用。

安全功能分析主要是对系统相关的信息安全功能进行任务分析，判断其是否满足顶层安全目标和策略的要求。系统安全功能分析主要从系统角度开展安全功能的分析，分析其应对潜在风险的任务功能是否满足电厂安全的要求，以及这些安全风险问题对核电厂安全的影响。需要从对系统可靠性影响分析出发，进而得出对概率安全分析的影响。

若需要进行安全产品的开发，则需要对系统的安全功能需求进行分解，产生对安全产品开发的功能需求。

安全策略和程序的开发应考虑首先制定关键安全策略和企业适用的程序：包括可接受使用的策略，与外部访问的策略；用于特殊敏感信息访问的策略，用户隐私和数据安全的策略，系统或者设备本身应达到的安全基准策略。信息安全防御模型为不同的网络层内部及之间的连接提供详细的准则。核电厂将建立多层的信息安全保护结构，可选用图2所示的模型。在该模型中，最重要的数字设备将得到最高级别的保护，它们将位于安全保护最严密的内圈。每一层安全保护的设计将针对防止他人通过多层网络中相同或相似的安全漏洞，非法访问关键数字设备。

图2　信息安全防御模型

安全控制手段和系统加固的开发主要基于对系统的安全分析，开展安全架构设计，以及围绕系统安全的加固、隔离和监控手段的设计与开发。控制手段的开发可根据风险分析结果对RG5.71附录中的控制手段目录进行裁剪以满足电厂系统安全性要求。

6　信息安全的应用阶段

信息安全的应用包括两部分，一部分是控制手段的应用，另一部分是是系统加固应用。安全控制手段应用主要指对安全系统设备的实施部署与组态实现，系统加固应用指对控制系统或者设备进行本质加固。有关行业的最佳实践作为外部参考，可选择与剪裁应用到该阶段中。此阶段需要对控制手段及系统加固应用实施进行验证和确认工作。

7　信息安全运行阶段

在系统运维阶段，需要定期开展安全培训、记录和保护处理安全相关文档。根据国家和企业规定要求开展定期的安全评审，定期开展信息安全应急演练，以在线和离线的方式开展对电厂安全框架和系统安全进行监视与维护工作。

核电厂安全的全生命周期主线是安全分析、设计和开发，系统应用、运维以及改进的闭环控制。计划管理是配合完成各阶段活动的有效跟踪和管理手段。

8　变更控制

变更控制是贯穿于整个信息安全生命周期的有效活动管理手段，是为了保证对CDA的功能增加或功能修改，采用的是一种可控的方式。主要包含两部分：

• 配置管理

配置管理通过对CDA整个生命周期的变更的控制，保证电厂的信息安全程序仍然满足要求。在CDA生命周期的运行和维护阶段，通过有效的配置管理，确保对CDA的变更不会引入额外的安全风险。

• 变更影响分析

变更影响分析用于分析和管理由于系统、网络、环境的改变或新出现的威胁引入的潜在的脆弱性、弱点和风险。

9　结论

核电信息安全的开发过程本身是电厂寿期之内的系统的开发过程。信息安全的开发过程并不是毫无迭代的过程。例如在完成系统安全应用和安全控制手段应用后，在投入运行之前，需做安全有效性分析，以评估系统的风险。信息安全的开发涉及设备供应链安全、安全设计、安全运维等方方面面。而信息安全的开发过程并不是一蹴而就的，需持续地进行评审改进和维护，才能使得系统的安全满足运维需求。

[1] RG 5. 71 核设施的信息安全程序[S].

[2] NB/T 20026 - 2014 核电厂安全重要仪表和控制系统总体要求[S].

[3] GB/T20984-2007信息安全技术 - 信息安全风险评估规范[S].

[4] IAEA NSS17核设施的计算机安全[S].

[5] IEC 62645核电厂仪控系统 – 针对计算机系统的安全大纲的要求[S].

Cyber Security System Development Process in Nuclear Power Plant

This paper firstly introduces the cyber security regulations and standards of nuclear power plant, and then provides the cyber security system life cycle development process from perspective of system according to security requirement and system life cycle feature. Finally, the main design process of the cyber security for nuclear power plant is depicted, and the strategy and model for security protection are also recommended .

I&C system; Cyber Security

B 文章编号：1003-0492（2016）06-0106-04 中图分类号：TP273

毛磊（1981-），男，浙江慈溪人，工程师，硕士，现就职于上海核工程研究设计院，主要研究方向为核电仪控系统信息安全。

郑威（1986-），男，湖北人，工程师，硕士，现就职于上海核工程研究设计院，主要研究方向为信息处理系统及安全。

张淑慧（1979-），女，河北人，电气仪控所总工，硕士，现就职于上海核工程研究设计院，主要研究方向为控制室与人因工程。