核电站仪控系统网络安全标准研究分析

曾丝竹，赵友有

（中广核研究院有限公司，广东 深圳 518000）

0 引言

随着互联网和工业融合发展的深化，工业控制系统越来越多地采用数字化控制设备，工控系统网络安全问题逐渐凸显。一方面，随着计算机技术的发展，网络攻击手段和形式也在不断升级，系统遭受的网络攻击越来越多。根据国家互联网应急中心发布的2020年网络安全态势报告：2月，针对存在某特定漏洞工控设备的恶意代码攻击持续半个月之久，攻击次数达6700万次，攻击对象包含数十万个IP地址[1]；另一方面，传统工控系统更关注系统可用性、实时性等性能，对网络安全防范缺乏考虑，有时甚至为确保系统可靠性，关闭操作系统认证、防火墙等功能。由于不同系统间的信息传递需求、运维设备等可移动存储装置的接入等，工控系统无法实现与外部网络的完全隔绝，病毒一旦侵入，系统内部处于“裸奔”状态的设备将毫无招架之力。

目前，世界上已发生多起针对工控系统的网络攻击事件。2010年StuxNet“震网”病毒攻击伊朗铀浓缩设施，导致上千台离心机瘫痪；2015年Black Energy攻击乌克兰电力系统，导致乌克兰大规模停电。核电由于其本身的敏感性，面临着更大的网络安全风险。美国《原子科学家公报》表示，人类社会最大的两个安全风险，网络攻击与核威胁，正在发生危险的碰撞，其严重后果完全可能演变为无法控制的人祸[2]。

现阶段，网络安全已成为国家战略需求。2014年2月27日，习近平在中央网络安全和信息化领导小组第一次会议上的讲话提出，没有网络安全就没有国家安全，没有信息化就没有现代化。公安部、能源局、核安全局等部委相继出台网络安全政策，指导网络安全建设。本文从纵向和横向层次，对中国核电仪控系统网络安全相关的政策标准进行了立体化说明，同时也对国际上核电仪控系统网络安全方面的法规政策进行了介绍，指出了目前中国核电仪控网络安全标准建设方面存在的不足及给出了改进建议，供核电站仪控系统有效开展网络安全建设作参考。

1 中国核电网络安全相关标准政策

中国网络安全防护分涉密网和非涉密网防护，针对非涉密网的网络安全防护，主要采取等级保护（即“等保”）的保护原则。公安部牵头编制了有关等级保护相关标准政策，各行业在等保标准政策基础上，结合行业特点，提出适用于本行业的网络安全保护标准政策。本章对国家网络安全法律法规、等级保护系列标准政策、电力行业网络安全标准政策、核电网络安全标准政策和工控系统网络安全标准政策进行了说明。

1.1 网络安全法律法规和标准政策

1.1.1 网络安全法律法规

中国已发布的网络安全法律法规有3部：《中华人民共和国计算机信息系统安全保护条例》（以下简称《信息系统安全保护条例》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）和《关键信息基础设施保护条例》。

《信息系统安全保护条例》于1994年发布并在2011年进行了修订，共5章31条，主要针对中国网络安全保护制度、安全监督、法律责任等内容进行了说明。条例明确中国计算机信息系统实行安全等级保护制度，公安部主管全国计算机信息安全。

2017年6月，《网络安全法》正式颁布实施。这是国家安全法律制度体系中的一部重要法律，是国家网络安全领域的首部基础性、框架性法律[3]。网络安全法共7章79条，主要针对网络安全制度及要求、网络安全产品和服务要求、供应商和运营商的法定义务、政府监管要求等进行了说明。网络安全法提出，中国实行等级保护制度，关键信息基础设施在等级保护的基础上实行重点保护。

为支撑《网络安全法》的实施，公安部和网信办随后分别起草了《网络安全等级保护条例》和《关键信息基础设施保护条例》。目前，《关键信息基础设施保护条例》已于2021年9月正式颁布实施，《网络安全等级保护条例》尚处于制定过程中。

1.1.2 网络安全等级保护标准政策

中国网络安全等级保护标准政策实施主要分为两个阶段，即通常说的等保1.0时期和等保2.0时期。等保1.0时期的网络安全工作以2007年《信息安全等级保护管理办法》的发布为标记，指出等级保护工作主要包括定级、备案、系统建设和整改、等级测评、监督检查。随后，公安部相继发布一系列配套的等保标准政策，指导开展等级保护工作，相关政策如图1所示。等保2.0时期网络安全工作开展以2016年《中华人民共和国网络安全法》的发布为标记，此阶段由公安部牵头对等保系列标准进行了修订及补充。等级保护标准体系如图2所示。

等级保护核心标准包括实施指南、定级指南、基本要求、设计技术要求和测评指南/要求，此外，还有针对技术、管理、产品以及系统运维、应急响应等方面的网络安全标准。其中，GB17859-1999《计算机信息系统安全保护等级划分准则》是等保标准体系里唯一的强制性标准，规定中国计算机安全保护等级分为五级，包括用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级（防护级别由低到高），并针对各级别的防护要求进行规定。5个保护等级的监管要求分别为自主保护、指导保护、监督保护、强制保护和专控保护。第五级为非常重要的监管对象，核电仪控系统不在此范围。GB/T 22239 -2019《信息安全技术 网络安全等级保护基本要求》是网络安全建设的主要依据以及等保工作主要目标，对各防护级别的通用要求以及云计算、移动互联、物联网、工业控制系统的个性化保护需求进行了说明。标准特别指出了工控系统防护、室外控制设备物理防护、网络架构和通信传输的防护要求，并在附录中对工控系统的应用场景进行了说明。

等级保护标准是普适性的标准，适用于所有非涉密的信息系统。虽然，标准已按通用要求与扩展要求分别提出了不同系统的共性和个性化防护要求，但由于不同应用场景具体应用技术、安全需求的不同，仍存在不适用情况。例如，核电现场不允许紧急情况下登录被限制，标准中的限制非法登录次数要求不适用。在开展等级保护工作时，需对等级保护要求进行适用性分析。

1.1.3 关键信息基础设施保护标准政策

2016年，习近平总书记在“4.19”网络安全和信息化工作座谈会上提出：“加快构建关键信息基础设施安全保障体系。”随后，11月份出版的《网络安全法》针对关键信息基础设施保护进行了规定，提出：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”

目前，针对关键信息基础设施的相关标准仍在制定中，相关标准政策见表1。

表1 关键信息基础设施标准政策Table 1 Policies and standards of critical information infrastructure

1.2 电力行业网络安全标准政策

电力行业为中国最早开展网络等级保护的行业之一，2007年公安部开展网络安全等级保护后，为贯彻落实国家关于信息安全等级保护的要求，电力行业相关监管部门随即出台一系列政策，促进电力信息系统网络安全等级保护建设。电力行业网络安全标准政策见表2。

表2 电力行业网络安全标准政策Table 2 Policies and standards of cybersecurity of electricity industry

目前，电力行业网络安全建设主要参照发改委14号令和能源局36号文、72号文和等保标准进行，并由国家能源局进行监管。发改委14号令主要对电力监控系统安全防护的总体原则、安全管理要求、监督管理要求进行说明，提出：“电力监控系统安全防护工作应当落实国家信息安全等级保护制度，按照国家信息安全等级保护的有关要求，坚持‘安全分区、网络专用、横向隔离、纵向认证’的原则，保障电力监控系统的安全。”能源局36号文，针对电力监控系统安全防护总体方案，调度中心、发电厂、变电站、配电监控系统的防护方案以及电力监控系统安全评估规范进行了说明。根据能源局36号文，核电站监控系统DCS安全防护级别定为3级，划分在生产控制大区下的控制区内，具有最高的防护要求。电力行业相关标准政策未针对DCS的防护要求展开具体描述，但对电力监控系统防护总体原则、通用安全防护措施进行了详细的描述。

1.3 核电网络安全标准政策

中国核电网络安全建设尚在起步阶段，相关标准规范不完善。核电以往的标准政策中，虽针对仪控系统网络安全防范提出了要求，但是未针对防护措施展开具体的描述，如HAD102/16提及，需“采取防范措施，以防止基于计算机的系统在整个生存周期中遭到实体破坏、有意和无意的侵入、虚假信息和病毒等”。此外，针对仪控系统安全提出的部分要求涉及网络安全，如系统间的隔离要求、与外部网络的隔离要求等。

2018年，发改委、能源局等四部委在2017“核电安全管理提升年”专项行动基础上，总结核电行业安全管理经验，提出《关于进一步加强核电运行安全管理的指导意见》。该意见第8节提出：“将网络安全纳入核电安全管理体系，加强能力建设，保障核电网络安全。”要求核电相关单位开展网络安全能力建设，做好网络等级保护测评和开展网络安全培训及评估工作。

2020年，核安全局和国家原子能机构参考RG5.71编制发布《核动力厂网络安全技术政策》（试行）。制定本技术政策的目的在于：指导运营单位通过建立和实施网络安全大纲，对核电厂网络安全风险进行监测和管理，以保证核电厂安全水平得以维持或得到提升[4]。该政策是一个纲领性文件，侧重于对核电运营单位在开展网络安全建设过程中的主要工作进行指导，对于网络安全建设适用的技术、管理、操作措施并未展开描述。

现阶段，国内各核电厂正陆续开展网络安全建设，以满足国家相关监管机构对于系统网络安全防护的要求。

1.4 工控系统网络安全标准政策

2010年，伊朗“震网”病毒事件发生后，工控网络安全问题在国内引起极大重视。工信部发布《关于加强工业控制系统信息安全管理的通知》，要求切实加强工业控制系统信息安全管理，中国工控系统信息安全防护建设工作由此拉开序幕。工控系统网络安全标准政策见表3。

表3 工控系统网络安全标准政策Table 3 Policies and standards of cybersecurity of industry control systems

工信部451号文对国内工控系统信息安全防护存在的问题进行了说明；工信部338号文从安全软件选择与管理、配置和补丁管理、物理和环境安全防护、供应链管理、安全监测和应急预案演练等11个方面，对工控系统安全防护要求进行了说明；工信部188号文对信息安全评估机构和人员、评估工作程序、评估工具、监督管理等进行了说明。工业控制系统网络安全防护标准以等级保护为基础，包括风险评估、分级规范、安全控制要求、验收规范等标准。其中，GB/T36324 -2018《信息安全技术 工业控制系统信息安全分级规范》主要对工控系统等级划分规则、定级方法进行了说明。等级评估中的定级要素除了等保标准中的“系统受侵害后潜在影响程度”，增加“工控系统资产重要程度”和“工控系统需抵御的安全风险”，对工控系统等级划分进行了细化。GB/T33009.1-2016《工业自动化和控制系统网络安全 集散控制系统（DCS） 第1部分：防护要求》，针对DCS过程监控层、现场控制层、现场设备层的网络安全防护要求分别进行了说明，将相关防护要求细化到工控系统内部不同功能层次；GB/T 32919-2016《信息安全技术 工业控制系统安全控制应用指南》对工控系统安全控制的选择、剪裁以及安全控制要求等进行了详细的说明。

工控系统架构、实现功能等与常见信息系统不同，防护要求存在差异。工控系统防护更侧重于保护系统的可用性，其次是完整性和保密性。例如，工控系统一般不接受系统重启、不允许存在不可接受的延迟。在布置工控系统安全防护措施时，对于可能影响工控系统功能、性能的措施需谨慎选择。

2 国外网络安全标准政策

2.1 美国网络安全标准政策

在一般工业领域，最为知名并得到广泛采用的是NIST的系列网络安全标准，尤其是NIST SP800-82，NIST SP800-53以及《提升关键基础设施网络安全》。美国核管会根据NIST SP800系列标准中的“高影响”安全控制基线要求及IEEE-7.4.3.2要求，制定了适用于核电网络安全建设的导则RG5.71和RG1.152。美国网络安全标准政策见表4。

表4 美国网络安全标准政策Table 4 Policies and standards of cybersecurity in America

RG5.71用于指导核运营单位建立、实施和维护网络安全程序，主要针对关键数字资产识别、网络安全计划制定/执行/维护、文档管理、风险评估、技术控制、操作和管理控制等方面进行了规定。RG1.152对数字系统生命周期各个阶段，包括设计、实施、测试、安装检查和验收、运行、维护，以及退役阶段的系统安全特征、监管要求进行了说明。两份NRC导则中均未提及系统网络安全分级要求，但RG5.71中对于关键数字资产保护、纵深防御的概念隐含了此要求。

2.2 IAEA网络安全标准政策

IAEA计算机安全相关要求主要在《核安保丛书》（Nuclear Securities Series）进行规定。《核安保丛书》出版物包括4类：核安保法则、建议、实施导则和技术导则。核安保法则用于提出核安保目标、概念和原则；建议用于应用核安保法则时应采取的最佳实践；实施导则用于进一步阐述广泛领域内的建议并提出实施措施；技术导则用于提出在具体领域内应用实施导则的详细方法和导则。表5列出了IAEA发布的网络安全标准。

表5 IAEA网络安全标准政策Table 5 Policies and standards of cybersecurity in IAEA

其中，NSS-23-G为信息安全实施导则，NSS17、NST033、NST045（规划中）和NST047（规划中）为技术导则，NR-T-3.30为核能源系列出版物中计算机安全相关技术报告。IAEA通过NSS-17首次对核设施计算机安全提出要求，并规划在NST-033、NST-045、NST-047出版后，由这3份技术导则替代NSS-17。

NSS-17包括管理导则和实施导则两部分，管理导则针对核设施计算机安全的监管要求、组织和职责、安全文化等内容进行了说明；实施导则针对核设施计算机安全实施（包括计算机安全政策和计划、资产分析管理、计算机系统分类和分级），威胁、薄弱环节和风险管理，对核设施的特殊考虑等内容进行了说明。NSS-17提出，计算机系统安全以分级方案为基础，并给出核设施计算机系统5级划分方案及计算机安全防护通用措施和各级的附加措施，等级划分见表6。此外，导则将区域划分视为执行分级方案的一种实用方法。NST-033不再提出具体的分级方案，但将IEC62645列为具体实施分级分区方案的参考。

表6 IAEA核设施计算机安全分级Table 6 Classification of computer security of nuclear facilities in IAEA

2.3 IEC网络安全标准

IEC核电仪控系统网络安全标准主要由IEC SC45A（反应堆核仪器分技术委员会）制定，目前已发布的标准有3份：IEC62645、IEC62859和IEC63096，为SC45A根据 通用信息安全标准ISO/IEC 27000系列，结合核电的法规标准提出。其中，IEC62645对核电厂仪控系统计算机安全程序制定和管理、I&C系统生命周期各阶段的计算机安全防范要求等进行了说明，是SC45A标准系列中网络安全领域的顶层文件（SC45A系列标准的第二级标准）。IEC62859对核安全和网络安全间的协调提出要求，被视为IEC 61513（SC45A系列标准的第一级标准）与IEC62645的桥接标准；IEC63096针对核仪控系统网络安全控制提出要求，作为IEC62645的辅助标准。IEC核电相关网络安全法规标准见表7。

表7 IEC核电相关网络安全法规标准Table 7 Cybersecurity standards related with nuclear power plants in IEC

根据IEC62645，核电仪控系统网络安全防范等级按IEC 61226定义的安全功能分类，综合考虑I&C系统遭受网络攻击对电厂安全性和可用性的影响，划分为S1/S2/S3共3个级别（S1为最高级别），见表8。IEC62645对3个防范等级的系统的通用防范要求和各级别的附加要求进行了说明。

表8 IEC核电仪控系统安全防范等级Table 8 Cybersecurity classification of I&C systems in nuclear power plants in IEC

此外， 针对工控系统网络安全防护，IEC发布了IEC 62443系列标准。IEC 62443系列标准分为总体要求、组织和程序要求、系统要求和部件要求4个部分，共13个标准。该系列标准最初由ISA99提出，2007年IEC与ISA成立联合工作组对IEC 62443系列标准进行编制，目前该系列标准在陆续制定发布。

3 工作建议

目前，国内核电仪控系统网络安全标准政策体系建设尚不成熟，也未建立统一的参照规范。由于国内的等保标准政策、电力行业网络安全标准政策、工控系统标准政策等并非针对核电仪控系统提出，适用对象广泛，存在不适用要求；NRC、IEC等标准虽然专门针对核电网络安全建设提出了要求，但由于不同电站仪控系统设计遵循标准体系不同，部分要求并不完全适用。现有法规标准要求需经适用性分析后使用。

对于核电仪控系统网络安全防护工作，存在以下2点建议：

1）根据网络安全法规及电力行业网络安全相关标准政策，开展仪控系统网络安全防护工作，落实安全分区、隔离、等级保护、纵深防御、全生命周期管理和应急响应等要求，满足合规性要求。

2）在满足上述建议的基础上，借鉴国内工控系统网络安全标准政策及国外的网络安全标准政策，完善网络安全计划和网络安全防护方案。

核电厂仪控系统网络安全建设是一项循序渐进、不断更新和完善的工作，需对仪控系统全生命周期潜在的网络安全风险进行梳理分析，制定相应的技术防护措施和管理措施。网络安全技术措施的应用，应在不影响核安全的前提下进行，需尽可能减少对仪控系统功能和性能的影响。对于可能会对仪控系统功能、性能等产生不利影响的软硬件设施，在实际投入使用前，需经过严格的线下测试后采用。此外，随着计算机技术的发展，攻击技术愈加先进，需关注网络安全最新资讯，根据技术的发展对防护方案进行更新和完善，以应对新的挑战。需注意的是，网络安全风险是无法完全消除的，网络安全的目的是尽可能减少潜在风险，使剩余风险限制在可接受的范围内。

4 结束语

本文对国内外现有网络安全标准政策进行了介绍，并对核电仪控系统网络安全建设工作进行了建议。

核电仪控系统作为核电厂重要设施之一，网络安全建设是必要且迫切的。目前，中国核电网络安全建设尚处于起步摸索的阶段，核电网络安全标准政策体系尚不完善，网络安全系统与核电站仪控系统的相互影响设计要求和评价机制仍未形成共识，需要后续形成统一的标准，更好地指导核电站仪控系统网络建设的落地。