试论核电厂工控系统信息安全评估方法

肖石 邵培培

【摘要】近些年来，随着社会的发展和我国经济水平的不断提高，科技的发展速度也变得越来越快。但是就目前的现状来看我国在工业生产进行的过程当中出现的问题也变得越来越频繁，这一点尤其表现在核电厂发展的过程当中，其中最为明显的就是工控系统信息的安全问题变得越来越严重。随着我国社会发展的速度不断加快，对于核电资源的需求也变得越来越高，核电站工控信息安全所面临的挑战也变得越来越多。为了能够让工控信息安全得到更加良好的处理，这就需要在评估的过程当中采取有效的评估方式来进行检测，及时的发现工控信息系统中所存在的问题，针对这些存在的问题及时的采取相应的措施，避免出现更大的风险。因此本文将主要对我国核电厂工控系统信息安全评估方法展开相应论述。

【关键词】核电厂;信息安全;评估方法

分类号：TP309

【正文】随着社会经济发展速度的不断加快，这也让我国工业控制系统在诸多领域当中取得了广泛的应用。我国核电站工控系统信息安全工作的进行相较于一些发达国家来说起步较晚，在最开始进行建设的过程当中所考虑的问题只是实用性和实时性这两个方面，对于信息安全这方面内容的考虑存在着各种各样的不足，那么这就会导致我国在对核电厂进行应用过的过程当中出现各种各样的问题。虽然近些年来采用了一些国际上先进的技术和措施来改善现有的不足，但是如果发生了信息安全事件的话仍然会产生非常巨大的危害。举个例子来说如果在核电厂应用的过程当中，扰乱了设施的正常生产，触动核电厂执行应急预案这就会让核电厂中的工作人员以及各种设施出现混乱，那么这就会为下一次入侵埋下一定的安全隐患。因此可以看出为了能够让我国的核电厂得到正常的发展，这就需要相关的工作人员能够不断的加强这方面的研究，加强对新技术的应用，积极的采取相应的措施来避免对出现的各种问题。

一、核电工控系统信息安全的现状

就目前我国发展的现状来看我国在核电工控信息安全方面存在着许许多多的问题，其中表现在进口的设备存在一定的漏洞，对硬件所出现的缺陷进行修复的过程当中所消耗的成本较高，修复难度大，工程繁多，同时这也让我国在核电厂发展的过程当中关键的基础设施所出现的安全隐患问题无法得到根本的消除。同时我国在发展的过程当中也受到了国外政策的制约，导致在工控系统的安全检测，监测无法得以深入的进行。同时因为我国工业控制系统在发展的过程当中起步较晚，和国外的一些发达国家相比存在着一定的差距，缺乏自主研发，技术水平落后等等一些方面。这都导致了我国在核电工控信息安全发展的过程当中存在着各种各样的问题。无法满足现阶段发展的现状。

其次就是在发展的过程当中我国自主研发的工控信息安全系统存在的漏洞也非常多。其中在互联网中的工控系统及设备最为明显，在发展的过程当中抵抗攻击的能力较弱，工控系统自身存在着安全漏洞，同时我国在这方面缺乏足够的重视与投资都导致了这些问题层出不穷。根据相关的科学调查表明我国在现阶段所使用的工控设备大多數都是国外的一些先进产品，那么这就导致在对设备进行应用的过程当中受到了国外一些国家的严格控制，如果出现了不期望的事件，那么将会对我国的核电厂信息安全造成严重的威胁。因此可以看出目前在我国现阶段发展的过程当中核电厂工控信息安全系统面临的问题非常多，如果这些漏洞被不法分子所利用，那么将会严重的导致我国核设施安全受到严重的威胁。

二、信息安全评估模型

工业控制系统和传统的信息系统之间存在的差异是无法避免的，传统的信息安全CIA技术已经远远不能够满足我国现阶段发展的现状。美国曾经出台过文件说说明在工控系统应用的过程当中安全目标应当遵循AIC原则。在这个原则当中所提出的可用性主要指的就是能够保证得到授权的用户能够在访问的过程当中随时进行访问，并且一定要保证系统能够始终处于正常的工作状态当中。完整性通俗的来讲就是起到一定的保护作用，系统在应用的过程当中不允许未被授权的人员来进行这方面的操作或者是对整个的系统进行修改。最后最为重要的一点就是机密性，在对工控系统进行应用的过程当中一定要保证所出现的信息不会被泄露，防止他人非法利用。

三、安全评估过程

风险评估准备：确定评估范围、组织评估小组、评估目标、评估工具和评估方法。风险因素识别：资产识别、威胁识别、脆弱点识别。风险评估方法：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。定性的风险评估的输出是一个资产或场景的列表～有一个整体的风险级别排列。例如：赋给每个威胁可能性级.上的概率为1.0时表示高～0.5表示中～0.1表示低，赋给每个影响级上的值为100时表示高～50表示中～10表示低。在定义评估范围时～要对控制系统边界和机构责任进行分析～可以通过一-组进程、通信、存储、资源等来确定。在控制系统的边界范围内的每个要素必须满足：处于相同的直接管理控制下，具有相同的功能或使命目标，有相同的直接管理控制，有相同的功能或使命，有本天上相同的运行特性和安全需求，位于相同的通用运行环境中。因此可以看出，为了能够让评估得到正常的进行这就需要严格的按照相应的规章流程来进行，通过这样的方式才能够更好地确保核电厂工控系统信息安全得到根本的保障。

结语

总而言之，为了能够让我国在发展的过程当中核电厂工控信息安全得到更加良好的保障，这就需要相关的工作人员能够不断的加强这方面的研究积极的采取相应的措施来避免出现的问题，同时在工作开展的过程当中也要进行不断的创新，现阶段我国所用到的设备大多都是国外进口，这就需要国家加大这方面的重视和资金的投入，从而才能够确保我国在发展的过程当中更加稳定，信息安全问题不会出现，避免一些不法分子利用这些方面所存在的问题大做文章。

参考文献：

[1]刘景宾，乔宁，董晓璐，陈子溪.核电厂仪控系统的网络安全等级防护研究[J].核安全，2020，19（06）：121-126.

[2]张登超，高连国，方国辉.核电厂数字化仪控系统全范围模拟机仿真方式研究及应用[J].自动化博览，2020（07）：52-56.

3925501908286