安全级DCS供应商信息安全管理体系构建

张 谊，王远兵，彭 浩，黄 鹏

（中国核动力研究设计院 核反应堆系统设计技术重点实验室，成都 610213）

0 引言

随着计算机技术的不断发展与应用，5G 通信、人工智能、物联网等技术层出不穷，可以预见到一轮新的技术革命正在到来。尽管核电对新技术的采用相对谨慎，但近年来随着数字化技术在安全级DCS 中的广泛应用，如何提高安全级DCS 的信息安全防范能力也受到更多的关注。根据卡巴斯基实验室近年来发布的ICS（工业控制系统）威胁报告显示，ICS 计算机遭受攻击的概率呈上升趋势。通常情况下，人们认为核电站控制系统作为物理隔离的“信息孤岛”，很难遭遇信息安全攻击，但震网（Stuxnet）病毒事件表明，核电站并非牢不可破。

图1 IEC 信息安全框架Fig.1 Framework of IEC security standard

由于过多的采用技术措施会增加系统的复杂度，所以提升安全级DCS 的信息安全需要从管理和技术两方面进行。而信息安全的管理应覆盖到安全级DCS 的全生命周期，只有依托于一套全面且适用标准的体系才能真正提升安全级DCS 的信息安全。国内工控系统信息安全的相关工作起步较晚，在标准制定方面，相较国外比较落后，近些年才开展工业控制系统信息安全的标准化工作[1]。近年来，国内针对信息安全发布了多部法律和标准，并根据GB/T 22239-2008 为主的等级保护标准构建了信息安全监管体系。GB/T 22239-2008 适用于指导分等级的信息系统的安全建设和监督管理[2]，但目前等级保护相关标准难以覆盖到安全级DCS 供应商，如安全级DCS 在设计、生产及测试等阶段不采取信息安全措施，可能使系统在运行前就埋下隐患。因此，在国内核电信息安全相关标准建立完善之前，开展对国外工控领域较成熟的信息安全标准IEC 62443 的研究，并将其中适用的内容用于指导安全级DCS 供应商构建信息安全管理体系是迅速且有效的方法。

1 ISO/IEC信息安全体系介绍

1.1 ISO/IEC 信息安全体系介绍

国际标准化组织（ISO）在2005 年针对信息安全发布ISO/IEC 27001 开始，通过多年的努力，目前已形成跨多个领域的信息安全体系，并根据ISO/IEC 27000 系列编写了一系列下级标准。通过对已发布标准的研究，可将包含核电厂仪控系统在内的信息安全管理体系和技术相关的标准，整理如图1 所示的关系框架。

IEC 62443 系列是针对工业自动化和控制系统（IACS）信息安全的标准，根据系统集成商、系统供应商、资产所有者等不同的对象，分13 个子标准，分别描述了工控系统网络与信息安全相关的管理和技术手段。图1 的IEC 62443系列仅列出已发布且与信息安全管理或技术相关的标准，其中针对系统供应商的标准主要为：

1） IEC 62443-2-4《IACS 供应商信息安全程序需求》

该标准介绍了工业自动化和控制系统供应商信息安全策略和规程，分别从系统管理、系统能力、系统验收以及系统维护方面提出需要满足的要求[4]，可作为系统供应商搭建信息安全管理体系的参考。

2） IEC 62443-3-3《系统安全要求和安全保证等级》

该标准介绍了7 个基本要求（FR），分别描述了系统不同方面的信息安全要求，并根据基本要求中的具体技术措施进行了定级，可作为系统供应商加强其系统信息安全时的技术措施参考。

通常，要保证系统的信息安全需要在管理和技术两个方面分别采取措施，但本文仅论述管理方面，讨论通过对标准的研究如何构建安全级DCS 供应商的信息安全管理体系，技术内容不作讨论。

1.2 IEC 62443-2-4标准介绍

IEC 62443-2-4 的主要内容为其附录A 的信息安全需求，附录A 中的信息安全需求主要分为12 个功能区，每个功能区根据不同主题对应地提出了共计72 项需求，部分主题除基础需求外提出了增强性需求，并对所有需求的基本原理进行了解释。各功能区的主要需求内容如表1 所示。

根据表1 中的内容，除无线网络和远程访问的内容不适用于安全级DCS 外，其余内容可根据安全级DCS 各个阶段的特点制定不同的管理程序。

2 IEC 62443-2-4标准的特点

IEC 62443-2-4 与IEC 62443-3-3 的区别在于后者关注如何通过技术措施提高系统的信息安全，而IEC 62443-2-4不关注如何通过技术措施实现系统的信息安全，而关注以下两个方面：

1）如何构建有效的流程，确保技术措施的采用过程是受控的、经过论证的。

2）在技术措施执行后，如何构建有效的流程，确保技术措施被正确地使用。

同时，IEC 62443-2-4 与等级保护相关标准关注度也不同。后者关注资产所有者（即核电厂）的信息安全责任，而前者识别了系统生命周期中各相关方的关系以及在信息安全管理过程中应进行权责划分的内容，指出了IEC 62443-2-4 在面对服务供应商（Service Provider）、资产所有者（Asset Owner）、集成服务供应商（Integration Service Provider）和维护服务供应商（Maintenance Service Provider）时的应用方法，同时指出了该标准在服务供应商与资产所有者在项目早期谈判过程中的使用方法。

表1 IEC 62443-2-4功能区介绍[5] Table 1 Introduce of IEC 62443-2-4 function area[5]

表2 安全级DCS生命周期与IEC 62443-2-4功能区适用性Table 2 The applicability of safety DCS and function area of IEC 62443-2-4

图2 安全级DCS生命周期Fig.2 Life cycle of safety DCS

安全级DCS 供应商在核电项目中通常集设计、集成、测试、维护于一身，针对项目不同阶段承担的不同角色均可依据IEC 62443-2-4 制定相应的信息安全程序。因此，根据IEC 62443-2-4 制定信息安全监管体系将保证核安全级DCS 在全生命周期内的机密性、完整性和可用性。

3 安全级DCS供应商信息安全体系

3.1 安全级DCS生命周期

安全级DCS 的生命周期如图2 所示。

由于安全级DCS 生命周期的各阶段的环境、人员等并不完全相同，IEC 62443-2-4 的功能区也不一一适用。通过分析，将安全级DCS 生命周期与IEC 62443-2-4 功能区内容适用性总结如表2 所示。

3.2 信息安全元素识别

在建立信息安全体系前，安全级DCS 供应商首先应对安全级DCS 进行元素识别，元素的识别可在以下两方面进行：

1）与人相关：主要识别与人相关的信息安全元素，包括信息安全策略、信息安全组织、供方管理、人员管理、风险管理、应急响应等方面。

2）与物相关：主要识别与物相关的信息安全元素，包括信息安全策略、供方管理、风险评估、区域管理、信息管理、应急响应等。

3.3 信息安全管理体系构建

总体上，以IEC 62443-2-4 的要求构建信息安全管理体系的过程为：

a）根据表2 中各功能区对应的阶段，结合3.2 节识别的信息安全元素，分析功能区的要求在各个阶段分别要执行的类别。

b）根据识别出的类别，在对应的管理体系中依据IEC 62443-2-4 的要求制定对应的要求。

以表2 中的“事件管理”功能区为例，“事件管理”在安全级DCS 除策划阶段的其他阶段均需要进行管理，而事件管理的信息安全元素通过分析，即与人有关，也与物有关，故需要在信息安全策略、信息安全组织、风险管理、区域管理、信息管理、人员管理、供方管理、应急响应等方面均依据IEC 62443-2-4 的要求进行事件管理。

按照上述方式，由表2 中的对应关系，可将安全级DCS 生命周期中信息安全管理体系，完整地按以下类别进行构建：

1）策略与组织：制定信息安全策略，内容包括信息安全依据标准、信息安全的执行过程与依据程序、信息安全相关方（包括内部与外部相关方）、实施信息安全策略的总体期望，并根据策略明确信息安全组织架构及其岗位职责。

2）风险管理：制定措施对安全级DCS 设计、生产制造、集成装配、测试、包装运输、现场服务等活动进行信息安全管理，包括上述各个阶段的信息安全的风险识别、分类、评估、减轻措施及减轻措施的验证。

3）区域管理：对安全级DCS 生命周期中的环境进行识别，并根据各环境存在的人员、设备等分别进行管理。

4）信息管理：制定信息管理程序，包括对各阶段涉及的文件、软件代码等均进行配置管理，对后续交付物的管理，维护数据管理等，以防止非授权访问。

5）人员管理：结合组织架构，制定人员管理程序，包括供应商、分包商等相关单位的人员管理，包括培训、资质审查与调整、背景调查、人员变动管理。

6）供方管理：制定供方管理程序，对安全级DCS 生命周期中的供方进行管理，保证外购的产品、服务安全可靠。

7）应急响应：制定信息安全事件的响应流程，并制定应急措施，进行周期演练。

4 结束语

当前，以“华龙一号”作为中国制造2025 的标志性工程表明了中国发展核电的决心，核电厂仪控系统技术也朝着数字化、智能化的方向迅速发展，由此带来的信息安全隐患不容忽视。本文通过对工控信息安全标准的分析，结合核电厂安全级DCS 生命周期的特点，提出了一套构建安全级DCS 供应商信息安全管理体系的方法，并给出了构建过程示例，为安全级DCS 供应商构建信息安全管理体系提供参考。同时，安全级DCS 供应商应注意到，参照IEC 62443-2-4 等成熟的工业控制系统信息安全标准能加快构建信息安全管理体系的过程，但还应从自身实际情况出发，不照搬标准，针对性地构建特定的信息安全管理体系，从而在根本上保障安全级DCS 全生命周期的信息安全。