李 晶，徐海峰，楊安義，凌禮恭，李小龍

(環(huán)境保護(hù)部核與輻射安全中心，北京100082)

核電廠信息安全問題研究及建議

李 晶，徐海峰，楊安義，凌禮恭，李小龍

(環(huán)境保護(hù)部核與輻射安全中心，北京100082)

信息和網(wǎng)絡(luò)技術(shù)在核電廠的廣泛應(yīng)用，給核安全帶來了新的威脅與挑戰(zhàn)。本文深入分析了核電廠的信息安全現(xiàn)狀以及面臨的主要威脅，總結(jié)歸納了IAEA和美國NRC針對(duì)核電系統(tǒng)信息安全的研究成果、具體措施以及法規(guī)標(biāo)準(zhǔn)，最后結(jié)合中國的實(shí)際情況分析提出了關(guān)于保障我國核電廠信息安全的若干建議，為我國進(jìn)行核電廠信息安全相關(guān)的決策及政策法規(guī)研究提供借鑒。

信息安全；網(wǎng)絡(luò)攻擊；核電廠；數(shù)字化儀控系統(tǒng)

隨著核電廠數(shù)字化、智能化程度的提高，數(shù)字計(jì)算機(jī)、信息系統(tǒng)和網(wǎng)絡(luò)成為了核電領(lǐng)域重要的基礎(chǔ)設(shè)施和戰(zhàn)略資產(chǎn)。核電儀表控制系統(tǒng)的數(shù)字化是當(dāng)前核電技術(shù)發(fā)展的必然趨勢(shì)。數(shù)字化儀控系統(tǒng)采用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)及相關(guān)設(shè)備，實(shí)現(xiàn)了信息的集中和控制系統(tǒng)的智能化，有效提高了核電廠運(yùn)行的效率、安全性和可靠性。同時(shí)，用于決策管理、業(yè)務(wù)流程優(yōu)化、數(shù)據(jù)整合等需求的各類管理信息系統(tǒng)，為實(shí)現(xiàn)實(shí)時(shí)的數(shù)據(jù)采集與生產(chǎn)控制，與數(shù)字化儀控系統(tǒng)通過邏輯隔離的方式相聯(lián)，共同組成了核電廠計(jì)算機(jī)通訊網(wǎng)絡(luò)。然而，網(wǎng)絡(luò)與信息技術(shù)的使用給核安全帶來了新的威脅與挑戰(zhàn)，即信息安全問題：系統(tǒng)和網(wǎng)絡(luò)會(huì)遭受黑客、病毒、蠕蟲、木馬等偶然或者惡意的網(wǎng)絡(luò)攻擊，使得核電廠的系統(tǒng)、網(wǎng)絡(luò)和設(shè)備的可靠性、可控性和可用性以及信息和數(shù)據(jù)的保密性、完整性受到損害。近年來，國際原子能機(jī)構(gòu)(IAEA)以及美國等國家高度重視核電信息安全問題，已經(jīng)做了大量工作。

我國核電也正大力向數(shù)字化和網(wǎng)絡(luò)化方向邁進(jìn)。江蘇田灣核電站作為國內(nèi)儀控?cái)?shù)字化系統(tǒng)在國內(nèi)應(yīng)用的首個(gè)案例，其出色的運(yùn)行業(yè)績?yōu)楹穗娬緮?shù)字化儀控在中國的發(fā)展提供了良好實(shí)踐。嶺澳二期也緊隨其后使用了數(shù)字化技術(shù)并投入運(yùn)行。目前我國在建的核電站均采用了全數(shù)字化儀控系統(tǒng)。因此，在從國外引入數(shù)字化技術(shù)的同時(shí)，我國也應(yīng)重視和關(guān)注發(fā)達(dá)國家對(duì)于信息安全問題的先進(jìn)經(jīng)驗(yàn)，及時(shí)跟蹤國際上最為先進(jìn)、嚴(yán)格的標(biāo)準(zhǔn)要求。

需要指出的是，國際上皆用Cyber Security描述此問題，由于涉及系統(tǒng)、網(wǎng)絡(luò)、信息，“信息安全”和“網(wǎng)絡(luò)安全”本身又相互交叉重疊，筆者根據(jù)信息安全專業(yè)理論，在本文中使用了信息安全這個(gè)外延較大的名詞來描述。本文首先分析了世界核電領(lǐng)域的信息安全現(xiàn)狀，然后總結(jié)歸納了IAEA和美國NRC近年來針對(duì)核電系統(tǒng)和網(wǎng)絡(luò)信息安全的研究成果、具體措施以及法規(guī)標(biāo)準(zhǔn)，最后結(jié)合我國實(shí)際情況闡述了對(duì)于中國的啟示和建議。

1 核電廠信息安全現(xiàn)狀及威脅分析

1.1 世界核電領(lǐng)域信息安全形勢(shì)嚴(yán)峻

近年來，世界核電領(lǐng)域信息安全主要事件如表1所示。這些事件是公開報(bào)道的，事實(shí)上，大量信息安全事件因?yàn)樯婕皣覚C(jī)密并未公開[1]。從中可以看出，黑客、木馬、病毒、蠕蟲等對(duì)核電系統(tǒng)的攻擊會(huì)導(dǎo)致系統(tǒng)遭到破壞，信息和數(shù)據(jù)被非法訪問、更改、泄露，系統(tǒng)控制的裝置和設(shè)備失靈，甚至核設(shè)施和核電廠被強(qiáng)制關(guān)閉。尤其是2010年伊朗核電站爆發(fā)的“震網(wǎng)”病毒，造成伊朗核電站關(guān)閉，持續(xù)影響長達(dá)半年[2]。

隨著世界各國石油石化、核電、電廠等高風(fēng)險(xiǎn)行業(yè)的危險(xiǎn)事故頻發(fā)[2]，互聯(lián)網(wǎng)信息安全問題也不斷被爆出，統(tǒng)計(jì)數(shù)據(jù)表明[3]，目前工業(yè)系統(tǒng)是遭受攻擊最多最嚴(yán)重的系統(tǒng)，而關(guān)鍵領(lǐng)域的信息系統(tǒng)和網(wǎng)絡(luò)每天遭受惡意試探式攻擊達(dá)數(shù)萬次，如此高頻率的網(wǎng)絡(luò)攻擊，使得信息安全的局勢(shì)尤為嚴(yán)峻。

表1 近年來核電領(lǐng)域信息安全主要事件

1.2 核電廠信息安全威脅分析

與傳統(tǒng)的模擬儀控系統(tǒng)相比，數(shù)字化儀控系統(tǒng)有效提高了核電廠運(yùn)行的效率、安全性和可靠性，然而它自身的特點(diǎn)也大大增加了信息安全風(fēng)險(xiǎn)。以前傳統(tǒng)的模擬儀控系統(tǒng)大多采用專用的網(wǎng)絡(luò)和硬件,基本不會(huì)受到網(wǎng)絡(luò)攻擊的影響。而核電站全數(shù)字化儀控系統(tǒng)是以計(jì)算機(jī)、網(wǎng)絡(luò)通訊技術(shù)為基礎(chǔ)的實(shí)時(shí)分布式控制系統(tǒng)，系統(tǒng)各工作站是通過網(wǎng)絡(luò)接口連接起來的，再通過人機(jī)接口和I/O接口，對(duì)過程對(duì)象的數(shù)據(jù)進(jìn)行實(shí)時(shí)采集、分析、記錄、監(jiān)視和操作控制，現(xiàn)場(chǎng)的數(shù)據(jù)和信息通過計(jì)算機(jī)網(wǎng)絡(luò)送到核電站相應(yīng)部門?？傊?，技術(shù)上大多采用以太網(wǎng)、TCP/IP協(xié)議、Web方式、人機(jī)接口和I/O接口等通用的協(xié)議、軟件和設(shè)備。而且數(shù)字化儀控系統(tǒng)的硬件和軟件本身也采用開放式、標(biāo)準(zhǔn)化設(shè)計(jì)，采用標(biāo)準(zhǔn)通用的網(wǎng)絡(luò)接口?？傊@些通用方案的使用降低了攻擊者的準(zhǔn)入門檻，使得實(shí)施攻擊更加容易，同時(shí)這些通用方案本身存在的安全漏洞，也容易被攻擊者所利用。

為做好數(shù)字化儀控系統(tǒng)的安全風(fēng)險(xiǎn)分析，我們對(duì)數(shù)字化儀控系統(tǒng)的特點(diǎn)進(jìn)行分析研究，并與傳統(tǒng)的信息系統(tǒng)進(jìn)行比較，如表2 所示。

表2 數(shù)字化儀控系統(tǒng)與通用信息系統(tǒng)對(duì)比

另外，用于決策管理、業(yè)務(wù)流程優(yōu)化、數(shù)據(jù)整合等需求的各類管理信息系統(tǒng)，如ERP系統(tǒng)，生產(chǎn)運(yùn)營、文檔、財(cái)務(wù)、人力資源，行政等管理系統(tǒng)，為實(shí)現(xiàn)實(shí)時(shí)的數(shù)據(jù)采集與生產(chǎn)控制，與數(shù)字化儀表與控制系統(tǒng)通過邏輯隔離的方式相聯(lián)，已經(jīng)不再是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)。因此，一旦受到攻擊，兩類系統(tǒng)和網(wǎng)絡(luò)將會(huì)相互牽連影響。

近年來，網(wǎng)絡(luò)攻擊方式呈現(xiàn)多樣化和混合攻擊發(fā)展趨勢(shì)。另外，這些威脅手段和方式是來自外部的威脅，內(nèi)部的威脅則是指自身在信息安全管理、技術(shù)、資源三方面的不健全和不完備，例如管理措施不到位、管理機(jī)制不健全、技術(shù)措施不完備、人員信息安全意識(shí)和安全文化欠缺等問題，而給外部威脅造就可乘之機(jī)。

2 IAEA和NRC針對(duì)信息安全的措施

如今網(wǎng)絡(luò)攻擊的性質(zhì)已經(jīng)演變?yōu)榱恕熬W(wǎng)絡(luò)恐怖主義”“信息戰(zhàn)”，甚至國家贊助的間諜活動(dòng)。世界各地以供電供水等重要設(shè)施為目標(biāo)的網(wǎng)絡(luò)攻擊頻發(fā)，世界各主要國家都高度重視核電信息安全，將核電系統(tǒng)列為國家信息安全重點(diǎn)保障基礎(chǔ)設(shè)施。英國發(fā)布的最新國家安全戰(zhàn)略報(bào)告指出，針對(duì)核電系統(tǒng)的網(wǎng)絡(luò)攻擊是現(xiàn)在國家安全的重點(diǎn)[6]。日本于2013年3月13日舉行了首次核電重要設(shè)施應(yīng)對(duì)網(wǎng)絡(luò)攻擊的應(yīng)急演習(xí)[7]。美國NRC從2001年就開始聯(lián)合多個(gè)機(jī)構(gòu)著手研究核電系統(tǒng)信息安全，IAEA也采取了大量行動(dòng)和措施。

2.1 國際原子能機(jī)構(gòu)(IAEA)

為了應(yīng)對(duì)核電系統(tǒng)遭受的信息安全威脅，2011年，國際原子能機(jī)構(gòu)核安全系列第13號(hào)導(dǎo)則(IAEA nuclear security series no.13，INFCIRC/225/Revision 5)——《關(guān)于核材料和核設(shè)施實(shí)物保護(hù)的建議》的第五次修訂版在4.10章節(jié)中專門增加了一項(xiàng)關(guān)于信息安全的規(guī)定：用于實(shí)物保護(hù)、核安全以及核材料衡算和控制的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)必須采取措施加以防護(hù)，以應(yīng)對(duì)網(wǎng)絡(luò)攻擊、數(shù)據(jù)操縱或篡改等威脅[8]。

2011年4月，在《核安全公約》第五次審議大會(huì)上，IAEA提請(qǐng)各締約方需共同關(guān)注的問題有十項(xiàng)，其中一項(xiàng)即為：各成員國需加強(qiáng)對(duì)核電行業(yè)信息安全和網(wǎng)絡(luò)安全的關(guān)注，應(yīng)頒布并執(zhí)行相關(guān)政策、法規(guī)，對(duì)本國所受的網(wǎng)絡(luò)安全威脅進(jìn)行評(píng)估并確定對(duì)策，同時(shí)增加信息安全專業(yè)的工作人員數(shù)量。

2011年5月16—20日，國際原子能機(jī)構(gòu)在奧地利維也納召開了第23次核電站儀控技術(shù)工作組會(huì)議(TWG-NPPIC)。本次會(huì)議主題為“核電站面臨的網(wǎng)絡(luò)安全威脅”。IAEA組織了來自33個(gè)國家監(jiān)管機(jī)構(gòu)的代表參會(huì)，并召集了來自儀控、計(jì)算機(jī)安全、法律、實(shí)體保護(hù)等領(lǐng)域的專家參與討論[9]。

2013年年初，IAEA發(fā)布的《IAEA2013合作研究項(xiàng)目》(IAEA Coordinated Research Activities in 2013)文件明確提出，核電廠網(wǎng)絡(luò)安全研究將列為2013年重點(diǎn)研究項(xiàng)目之一。同時(shí)，IAEA于2013年第一季度密集召開了多個(gè)關(guān)于網(wǎng)絡(luò)安全的會(huì)議。會(huì)議的主題有：促進(jìn)建立核電領(lǐng)域網(wǎng)絡(luò)安全文化，分析當(dāng)前新興網(wǎng)絡(luò)威脅，研究相關(guān)標(biāo)準(zhǔn)規(guī)范以及加強(qiáng)計(jì)算機(jī)安全事件應(yīng)急響應(yīng)等[10]。

2013年5月22-24日，IAEA技術(shù)工作組召開核電廠儀表和控制會(huì)議(TWG-NPPIC)。美國、德國、法國等國家皆在報(bào)告中提到，核電網(wǎng)絡(luò)安全是目前迫切需要努力的重點(diǎn)領(lǐng)域。大會(huì)主席也在最后的總結(jié)發(fā)言中強(qiáng)調(diào)，核電發(fā)展面臨著嚴(yán)峻的信息安全威脅，各國應(yīng)加強(qiáng)合作，共同致力于此課題的研究[11]。

目前，IAEA關(guān)于核電系統(tǒng)信息安全的法規(guī)和指導(dǎo)文件尚在編制中。

2.2 美國

2001年“9·11”事件后,恐怖襲擊給美國帶來了巨大的震動(dòng),核電站作為核心要害設(shè)施,其安全性得到了公眾和核能業(yè)界的極大關(guān)注.美國把核電站列為信息安全保障的重點(diǎn)關(guān)鍵基礎(chǔ)設(shè)施。聯(lián)邦政府多次發(fā)布行政令，強(qiáng)調(diào)核電站作為信息安全重點(diǎn)保護(hù)對(duì)象[12]。2008年1月2日，美國建立了國家網(wǎng)絡(luò)安全綜合計(jì)劃，其中核電領(lǐng)域被列為此計(jì)劃的重點(diǎn)對(duì)象。

美國核管理委員會(huì)(NRC)負(fù)責(zé)對(duì)核電單位的信息安全進(jìn)行監(jiān)管。核電運(yùn)營商對(duì)所屬核設(shè)施信息安全負(fù)首要責(zé)任[12]。所有單位必須按照NRC法規(guī)實(shí)施安全措施，防范網(wǎng)絡(luò)攻擊。NRC實(shí)行許可證制度，要求核電廠必須制定并實(shí)施符合要求的網(wǎng)絡(luò)安全方案，在通過審查后方可獲得許可證，并且接受NRC的定期檢查[13]。

NRC聯(lián)合多個(gè)機(jī)構(gòu)著手開展核電信息安全法規(guī)標(biāo)準(zhǔn)的研究工作，相繼發(fā)布了一系列相關(guān)文件[14]：核電站臨時(shí)保障措施和安全補(bǔ)償措施(NRC Order EA-02-026，2001年)；核電信息安全設(shè)計(jì)基準(zhǔn)威脅(NRC Order EA-03-086，2003年)；美國核電站網(wǎng)絡(luò)安全自我評(píng)估文件(NUREG/CR-6847，2004年)；動(dòng)力堆網(wǎng)絡(luò)安全方案(NEI 04-04，2005年)；NEI“核電廠網(wǎng)絡(luò)信息安全導(dǎo)則”白皮書(2007年)；“核電廠網(wǎng)絡(luò)信息安全”過渡性審查導(dǎo)則(DI&C-ISG0l，2007年)；法規(guī)10 CFR 73.54(2009年)；管理導(dǎo)則RG5.71(2010年)等。

目前，NRC關(guān)于核電系統(tǒng)信息安全的主要法規(guī)和導(dǎo)則有：聯(lián)邦法規(guī)10 CFR 73.54[13]，聯(lián)邦法規(guī)10 CFR 73.54[13](Protection of Digital Computer and Communication Systems and Networks)全稱為“數(shù)字計(jì)算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò)的安全保護(hù)”，具體見表3。

表3 NRC關(guān)于核電系統(tǒng)信息安全的法規(guī)標(biāo)準(zhǔn)文件

2.3 小結(jié)

可以看出目前在完整性和可執(zhí)行性上，美國NRC法規(guī)標(biāo)準(zhǔn)體系比IAEA法規(guī)相對(duì)更好一些。在文章的第四部分即對(duì)我國的啟示和建議部分，本文將重點(diǎn)結(jié)合NRC這兩個(gè)法規(guī)和導(dǎo)則予以詳細(xì)闡述。

3 對(duì)我國核電廠信息安全工作的啟示和建議

通過以上對(duì)IAEA和美國NRC針對(duì)核電系統(tǒng)信息安全的研究成果、具體措施以及法規(guī)標(biāo)準(zhǔn)的歸納和總結(jié)，尤其是對(duì)美國NRC法規(guī)10 CFR 73.54，管理導(dǎo)則RG5.71以及RG1.152這三個(gè)法規(guī)、導(dǎo)則的仔細(xì)研究和學(xué)習(xí)，筆者認(rèn)為對(duì)于我國的核電信息安全監(jiān)管以及各單位的信息安全保障體系建設(shè)都有著重要的借鑒意義。下面將結(jié)合我國情況展開闡述。

3.1 健全法規(guī)和標(biāo)準(zhǔn)體系，為信息安全提供制度保障

美國NRC從2001年開始聯(lián)合有關(guān)機(jī)構(gòu)進(jìn)行信息安全法規(guī)與標(biāo)準(zhǔn)的研究工作。經(jīng)過10多年的發(fā)展，先后經(jīng)歷了交流研究、立法規(guī)范、推行標(biāo)準(zhǔn)階段，目前已經(jīng)形成了較為成熟的法規(guī)和標(biāo)準(zhǔn)體系，對(duì)信息安全威脅的監(jiān)測(cè)、預(yù)防、應(yīng)對(duì)、緩解和恢復(fù)以及應(yīng)急響應(yīng)等一系列工作實(shí)施監(jiān)管。NRC法規(guī)10 CFR 73.54明確規(guī)定，各核電單位設(shè)立專門負(fù)責(zé)核電系統(tǒng)信息安全的管理機(jī)構(gòu)，并制定詳細(xì)的信息安全方案和應(yīng)急方案。NRC實(shí)施的許可證制度(信息安全方案必須審查通過才可獲得許可證)和定期檢查制度，確保了核設(shè)施運(yùn)營單位嚴(yán)格遵守各項(xiàng)要求。

縱觀中國的核安全法規(guī)體系、國家核安全局部門規(guī)章、核安全導(dǎo)則和技術(shù)文件，核安全法規(guī)HAF102《核動(dòng)力廠設(shè)計(jì)安全規(guī)定》中要求儀控系統(tǒng)需保證安全，但并未給出具體要求和規(guī)定。核安全導(dǎo)則HAD102/14核電廠安全有關(guān)儀表和控制系統(tǒng)(1988年)，因?yàn)榘l(fā)布年限較早并未涉及。僅有的關(guān)于計(jì)算機(jī)的導(dǎo)則是國家核安全局于2004年發(fā)布的HAD102/16《核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》,涉及到軟硬件因素的安全性問題，也只是信息安全問題的其中一部分。

由此可見，為滿足當(dāng)前核電建設(shè)信息化及數(shù)字化的快速發(fā)展需求，我國核安全監(jiān)管部門應(yīng)建立健全核電信息安全的法規(guī)、標(biāo)準(zhǔn)體系，對(duì)核電系統(tǒng)和網(wǎng)絡(luò)的信息安全問題進(jìn)行規(guī)范和約束，尤其是數(shù)字化儀控系統(tǒng)更應(yīng)在設(shè)計(jì)時(shí)就應(yīng)考慮到信息安全問題。然而一直以來我國原創(chuàng)標(biāo)準(zhǔn)較少，HAF、HAD也是主要參考國際標(biāo)準(zhǔn)。因此，將成熟的國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)轉(zhuǎn)化為國家標(biāo)準(zhǔn)是一種切實(shí)可行的方法。一方面需要全面調(diào)研國際先進(jìn)標(biāo)準(zhǔn)編制過程，充分消化吸收，另一方面在轉(zhuǎn)化過程中應(yīng)根據(jù)我國技術(shù)的實(shí)際情況進(jìn)行修訂，確保轉(zhuǎn)化后的實(shí)用性、可用性。

3.2 明確縱深防御和分等級(jí)保護(hù)是信息安全工作的兩個(gè)基本原則

(1) 縱深防御原則

縱深防御原則是核安全技術(shù)的基礎(chǔ)，貫徹于核安全有關(guān)的全部活動(dòng)，同樣也應(yīng)嚴(yán)格執(zhí)行于核電系統(tǒng)的信息安全防御中。

NRC法規(guī)10 CFR 73.54的總綱突出強(qiáng)調(diào)了縱深防御原則，而且在導(dǎo)則RG5.71的細(xì)則中明確要求，各單位設(shè)計(jì)、建立的網(wǎng)絡(luò)安全技術(shù)方案必須遵循縱深防御原則，此原則需貫穿于監(jiān)測(cè)、預(yù)防、應(yīng)對(duì)直到緩解和恢復(fù)網(wǎng)絡(luò)攻擊的整個(gè)過程。必須為系統(tǒng)設(shè)置多層安全邊界，也就是將系統(tǒng)進(jìn)行邏輯分層并將之置于多重保護(hù)之中，提供深度防護(hù)，即使一種手段失效，還有其他安全手段進(jìn)行保護(hù)，從而阻止安全受到危害或者將對(duì)系統(tǒng)的危害降到最低限度。

10 CFR 73.54和RG5.71并沒有給出具體如何進(jìn)行邏輯分層的實(shí)施建議,而國際工業(yè)系統(tǒng)標(biāo)準(zhǔn)IEC62443中有較詳細(xì)的分層建議，事實(shí)上NRC法規(guī)是在IEC62443這個(gè)信息安全國際標(biāo)準(zhǔn)基礎(chǔ)上編制的。該標(biāo)準(zhǔn)將系統(tǒng)分為了5層[17]，每層采取一定的信息安全防護(hù)措施，搭建逐級(jí)深入的安全策略。

(2) 分等級(jí)保護(hù)原則

NRC法規(guī)10 CFR 73.54要求，必須將數(shù)字計(jì)算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò)中的信息資產(chǎn)按照重要性等級(jí)及實(shí)際安全需求進(jìn)行分類管理，分級(jí)實(shí)施保護(hù)策略。同時(shí)只允許數(shù)據(jù)單向流動(dòng)，數(shù)據(jù)流必須從高安全級(jí)別系統(tǒng)流向低級(jí)別系統(tǒng)。導(dǎo)則RG5.71則詳細(xì)地將信息系統(tǒng)和設(shè)備等數(shù)字資產(chǎn)按重要性劃分為四級(jí)，其中，與核安全、核安保、應(yīng)急(包括應(yīng)急功能的場(chǎng)外通信)相關(guān)的支持系統(tǒng)和設(shè)備被稱為關(guān)鍵數(shù)字資產(chǎn)和關(guān)鍵系統(tǒng)，應(yīng)給予最高級(jí)別的防護(hù)。

對(duì)系統(tǒng)進(jìn)行評(píng)估和定級(jí)是個(gè)復(fù)雜而又關(guān)鍵的過程，需要對(duì)所擁有的數(shù)字化信息資產(chǎn)進(jìn)行系統(tǒng)分析和梳理，根據(jù)系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、各系統(tǒng)重要程度的區(qū)別、系統(tǒng)承載業(yè)務(wù)情況等進(jìn)行劃分和定級(jí)，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃[18]。3.3 綜合運(yùn)用管理、技術(shù)和操作三方面資源建立信息安全保障方案

10 CFR 73.54法規(guī)的大綱中規(guī)定，一個(gè)完整而有效的信息安全保障方案應(yīng)該包含三方面要素：技術(shù)、操作、管理。RG5.71作為具體操作指南，按照這三方面規(guī)定了詳細(xì)而具體的適用于核電系統(tǒng)安全控制的措施。

(1) 技術(shù)：是指通過硬件、固件、操作系統(tǒng)或應(yīng)用程序軟件來實(shí)施的安全保障或防護(hù)措施。技術(shù)資源涉及硬件、軟件、協(xié)議；涉及終端網(wǎng)絡(luò)與應(yīng)用系統(tǒng)以及信息安全產(chǎn)品的開發(fā)集成、配置與運(yùn)行維護(hù)等。

(2) 操作：通常是通過人實(shí)現(xiàn)而不是通過自動(dòng)化方式的一些措施。包括媒介保護(hù)，物理隔離，人員安全措施，系統(tǒng)運(yùn)行控制日志和記錄，系統(tǒng)和信息完整性防護(hù)，應(yīng)急計(jì)劃，事件響應(yīng)，安全意識(shí)培養(yǎng)，技術(shù)培訓(xùn)等。

(3) 管理：包括各種法律、行政手段，例如安全體系、政策、規(guī)章制度的建立，安全評(píng)估和風(fēng)險(xiǎn)管理，數(shù)字資產(chǎn)的增加和修改等。

只有綜合運(yùn)用管理、技術(shù)和操作這三個(gè)要素，通過合理配置各項(xiàng)資源，才能建立一個(gè)管理與技術(shù)相互協(xié)調(diào)的信息安全保障體系。而對(duì)于具體如何選擇以及如何組合，需要從多方面進(jìn)行綜合評(píng)估、甄別和選擇。其中以下兩點(diǎn)需要優(yōu)先考慮：

(1) 對(duì)于系統(tǒng)和網(wǎng)絡(luò)的信息安全考量指標(biāo)有三項(xiàng)：保密性、完整性和可用性。通常一般信息系統(tǒng)都將保密性放在首位，配以必要的訪問控制，優(yōu)先防止信息竊取事件的發(fā)生。而對(duì)于核電儀控系統(tǒng)和網(wǎng)絡(luò)而言，可用性目標(biāo)則放在首位，其次則要保證數(shù)據(jù)的完整性。例如控制系統(tǒng)需要實(shí)時(shí)地監(jiān)測(cè)過程并發(fā)出控制命令，一旦信息流遭受延遲或阻斷，都可能造成嚴(yán)重后果。因此，信息安全方案要特別防范由于攻擊造成信號(hào)中斷或者指令失靈的情況，需要優(yōu)先保障系統(tǒng)和網(wǎng)絡(luò)可用性。

(2) 對(duì)于核電儀控系統(tǒng)而言，功能和性能相當(dāng)重要，對(duì)實(shí)時(shí)性要求很高。如果一個(gè)信息安全手段對(duì)于系統(tǒng)的功能或性能產(chǎn)生了不良影響，例如，影響了系統(tǒng)的響應(yīng)時(shí)間，增加了系統(tǒng)的性能復(fù)雜性，影響了系統(tǒng)的穩(wěn)定性，應(yīng)通過評(píng)估和考量使用另外一個(gè)適用的實(shí)現(xiàn)同樣功能的技術(shù)來置換它。另外，數(shù)字化儀控系統(tǒng)的很多特有之處也帶來了新的特殊挑戰(zhàn)，例如一般系統(tǒng)可通過給操作系統(tǒng)安裝補(bǔ)丁和給殺毒軟件升級(jí)，來彌補(bǔ)原有漏洞，防止新病毒。而為了避免控制軟件和升級(jí)后的操作系統(tǒng)不兼容，儀控系統(tǒng)上的操作系統(tǒng)常常不安裝補(bǔ)丁，這導(dǎo)致操作系統(tǒng)存在安全漏洞，對(duì)惡意軟件的入侵毫無防范能力[18]。因此需要采用優(yōu)先保證實(shí)時(shí)性的信息安全方案。

3.4 重視信息安全教育與人才培養(yǎng)，促進(jìn)建立信息安全文化

10 CFR 73.54的總綱中提到，確保所有工作人員具有信息安全意識(shí)，將信息安全作為他們的職責(zé)和責(zé)任，并接受定期網(wǎng)絡(luò)安全培訓(xùn)。必須建立專門的信息安全部門，明確人員角色和職責(zé)。因此給予我們以下兩方面的啟示：

一方面是提高從業(yè)人員的信息安全意識(shí)和責(zé)任意識(shí)，培養(yǎng)信息安全文化。事實(shí)上，工作人員具備高度信息安全意識(shí)和采取有效的安全措施是系統(tǒng)和網(wǎng)絡(luò)安全的第一道防線，在一定程度上能夠有效地避免信息安全事故的發(fā)生。因此，可通過多種形式加以引導(dǎo)和培養(yǎng)。例如廣東核電集團(tuán)信息技術(shù)中心通過有計(jì)劃的培訓(xùn)，宣傳(信息安全專欄、通知與公告、郵件等)，有獎(jiǎng)安全知識(shí)競(jìng)答等手段提高公司員工的信息安全意識(shí)。同時(shí)，將信息安全文化與核安全文化結(jié)合起來，加強(qiáng)和貫徹安全文化，使得人人以遵守安全文化的要求為己任，并將這些要求自覺地落實(shí)到日常工作中去。

另一方面是培養(yǎng)信息安全專業(yè)人才。一支雄厚的安全技術(shù)隊(duì)伍是核行業(yè)信息化建設(shè)的必備條件，從業(yè)人員不僅本身要掌握扎實(shí)的信息安全技術(shù)，而且通過教育培訓(xùn)、應(yīng)急演習(xí)等，增強(qiáng)應(yīng)對(duì)信息安全突發(fā)事件的應(yīng)對(duì)能力。

3.5 加強(qiáng)應(yīng)急能力建設(shè)，有效應(yīng)對(duì)信息安全突發(fā)事件

信息安全應(yīng)急能力是指采取手段與措施，使得系統(tǒng)針對(duì)所出現(xiàn)的各種突發(fā)事件，具備及時(shí)響應(yīng)、處置所遭受的攻擊，恢復(fù)其基本功能的能力。10 CFR 73.54規(guī)定各核電廠必須加強(qiáng)信息安全應(yīng)急能力建設(shè)：一是制定詳細(xì)的信息安全應(yīng)急方案，方案中的內(nèi)容需包括事件響應(yīng)和恢復(fù)措施，如何識(shí)別、偵查和應(yīng)對(duì)網(wǎng)絡(luò)攻擊，如果緩解和減輕危害，如何修復(fù)漏洞以及如何恢復(fù)受到攻擊的系統(tǒng)和網(wǎng)絡(luò)等；二是建立網(wǎng)絡(luò)安全事件響應(yīng)組織(CSIRT)，專門應(yīng)對(duì)突發(fā)事件，并從發(fā)生的事件中吸取經(jīng)驗(yàn)教訓(xùn)，從而制定和修改信息安全方案。

網(wǎng)絡(luò)空間中針對(duì)信息系統(tǒng)的攻擊存在不可預(yù)見性及不可抗拒的可能，因此建立應(yīng)急響應(yīng)體系是非常必要的?？捎行ПＵ鲜录l(fā)生時(shí)能夠及時(shí)響應(yīng)，針對(duì)攻擊能立即進(jìn)行有效處置，從而防止事態(tài)進(jìn)一步惡化，確保及時(shí)恢復(fù)正常并將損失降低到最低限度。應(yīng)急能力建設(shè)需要從多個(gè)層面來加強(qiáng)：例如不斷完善應(yīng)急預(yù)案,加強(qiáng)培訓(xùn)和演練；建立定時(shí)備份與定期數(shù)據(jù)恢復(fù)機(jī)制；建立必要的重發(fā)機(jī)制來保證信息傳遞中的完整性；通過建立災(zāi)難備份系統(tǒng)來保證信息系統(tǒng)在受到災(zāi)難性攻擊時(shí)的可用性；通過設(shè)置黑名單的方式將信息系統(tǒng)中多次出現(xiàn)的非法用戶排除在合法使用集合之外?？傊枰捎梅N種措施的集合來共同形成功能齊全、反應(yīng)靈敏、運(yùn)轉(zhuǎn)高效的信息安全應(yīng)急響應(yīng)體系，抵御突發(fā)事件，預(yù)防和緩解事故損害。

3.6 加強(qiáng)信息安全合作交流，實(shí)現(xiàn)信息共享

十多年來，在美國核電信息安全法規(guī)標(biāo)準(zhǔn)的演變過程中，NRC一直保持著與美國國土安全部、美國核能研究院和美國聯(lián)邦能源管理委員會(huì)等聯(lián)邦機(jī)構(gòu)的密切配合，多方機(jī)構(gòu)協(xié)調(diào)開展工作，以應(yīng)對(duì)網(wǎng)絡(luò)安全這一持續(xù)存在且不斷演變和發(fā)展的威脅。10 CFR 73.54法規(guī)，RG5.71都參考了美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)制定的聯(lián)邦信息系統(tǒng)行業(yè)標(biāo)準(zhǔn)，并結(jié)合了國際上享有很高的聲譽(yù)的標(biāo)準(zhǔn)制定組織的研究成果，包括美國電氣和電子工程師協(xié)會(huì)(IEEE)、美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)以及美國國土安全部(ICS)等[13]。

同時(shí)，NRC與美國計(jì)算機(jī)應(yīng)急響應(yīng)組織、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)組織共享網(wǎng)絡(luò)木馬、漏洞、病毒等威脅信息，能夠?qū)撛诘耐{因素做出快速反應(yīng)，并用以評(píng)估預(yù)警等工作。

近年來，我國信息安全的管理在不斷地發(fā)展和健全中，先后成立了全國信息安全標(biāo)委會(huì)和若干信息安全評(píng)估機(jī)構(gòu)。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心聯(lián)合國內(nèi)重要信息系統(tǒng)單位建立了信息安全漏洞信息共享知識(shí)庫，定期更新和發(fā)布網(wǎng)絡(luò)病毒、木馬等信息。核能行業(yè)應(yīng)加強(qiáng)與這些機(jī)構(gòu)的密切合作，共享網(wǎng)絡(luò)攻擊信息，加強(qiáng)預(yù)警，共同分析攻擊信息，控制問題的影響范圍，以更好地應(yīng)對(duì)網(wǎng)絡(luò)威脅的攻擊。同時(shí)，核安全無國界，加強(qiáng)國際合作與交流也是必要的。

4 總結(jié)

我國核電事業(yè)正處于快速發(fā)展階段，數(shù)字化、智能化、網(wǎng)絡(luò)化的程度必然將越來越高，在系統(tǒng)和網(wǎng)絡(luò)信息安全問題上面臨的挑戰(zhàn)也與日俱增。因此，我國在加快數(shù)字化技術(shù)的引進(jìn)和發(fā)展的同時(shí)，也應(yīng)向國外發(fā)達(dá)國家學(xué)習(xí)，引進(jìn)國際上最為先進(jìn)、嚴(yán)格的標(biāo)準(zhǔn)要求，在信息安全方面加強(qiáng)監(jiān)管，加強(qiáng)信息安全教育，形成應(yīng)急響應(yīng)能力，從而建立一個(gè)由管理和技術(shù)體系所構(gòu)成的、信息安全文化與核安全文化相結(jié)合的保障體系，以應(yīng)對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)挑戰(zhàn)，推動(dòng)我國核電產(chǎn)業(yè)持續(xù)健康發(fā)展。

[1] Mark Holt. Nuclear Power Plant Security and Vulnerabilities. August 28, 2012. CRS Report for Congress.[2] B. Kesler. The Vulnerability of Nuclear Facilities to Cyber Attack. Strategic Insights,Vol.10, Issue 1, spring 2010, pp. 15-25.

[3] Eric Byres, Justin Lowe. The Myths and Facts behind Cyber Security Risks for Industrial Control Systems. ISA Process Control Conference.2003.

[4] Nuclear Power Plant Cyber-security Incidents. (2011).[Online].Available:http://www.safetyinengineering.com/FileUploads/Nuclear%20cyber%20security%20incidents_1349551766_2.pdf. Last visited: 2013.[5] Brian Krebs. Cyber Incident Blamed for Nuclear Power Plant Shutdown. (2008). [Online]. Available:http://articles.washingtonpost.com/2008-06-04/news/36929595_1_systems-computer-nuclear-regulatory-commission.[6] 中國新聞網(wǎng).英新安全戰(zhàn)略報(bào)告將網(wǎng)絡(luò)攻擊列入最高安全風(fēng)險(xiǎn).2010.http://news.xinhuanet.com/mil/2010-10/20/c_12680258.htm.

[7] 日本舉行首次重要設(shè)施應(yīng)對(duì)網(wǎng)絡(luò)攻擊演習(xí)2013-03-16 16:58日本新華僑報(bào)網(wǎng)http://sec.chinabyte.com/114/12564614. shtml. [8] IAEA Nuclear Security Series No. 13. Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities.http://www-pub.iaea.org/MTCD/publications/PDF/Pub1481_web.pdf.[9] Summary of IAEA TM on “Newly Arising Threats in Cyber Security of Nuclear Power Plants”.23rd TWG-NPPIC.

[10] http://www.iaea.org/NuclearPower/Downloadable/Meetings/2011/2011-05-24-05-26-TWG-NPPIC/Day-3.Thursday/TWG-NPPIC-IAEA-TM-Overview.pdf.

[11] IAEA Coordinated Research Activities in 2013. http://www.varans.vn/Traodoi/13-03591E2_Attachment.pdf.[12] Donald Dudenhoeffer.Office Of Nuclear Security Cyber Security Programme. http://www.iaea.org/NuclearPower/Downloadable/Meetings/2013/2013-05-22-05-24-TWG-NPE/day-2/4.cyber_security_introduction.pdf.[13] Cyber Security for Nuclear Facilities: An Overview of the NRC Regulatory Framework http://pbadupws. nrc. gov/docs/ML1227/ML12276A251.pdf.

[14] NRC 10 CFR 73.54: Protection of digital computer and communication systems and networks.http://www.nrc.gov/ reading-rm/doc-collections/ cfr/part073/part073-0054.html.[15] NRC W. Spaulding-Yeoman. Overview of Digital System Safety and Cyber Security. http://www.mwftr.com/cneF11/WK09_NRC_Cybersecurity.pdf.[16] NRC Regulatory Guide 5.71(RG 5.71): Cyber Security Programs For Nuclear Facilities. http://pbadupws.nrc.gov/docs/ML0903/ML090340159.pdf.

[17] NRC Regulatory Guide 1.152(RG 1.152): Criteria For Use Of Computers in Safety Systems of Nuclear Power Plants. http://pbadupws.nrc.gov/docs/ML0530/ML053070150.pdf.[18] IEC/TS 62443-1-1 Industrial communication networks-network and system security-part 1:terminology, concepters and models, 2009.

[19] 李江海,黃曉津.核電數(shù)字化控制系統(tǒng)安全綜述[J].原子能科學(xué)技術(shù),2012:411-415.

Research on the Topic of Cyber Security in Nuclear Power Plants

LI Jing, XU Hai-feng, YANG An-yi, LING Li-gong, LI Xiao-long

(Nuclear and Radiation Safety Centre, Ministry of Environmental Protection of the People’s Republic of China, Beijing, 100082, China)

The increasing reliance on computer systems and networks within control systems at nuclear power plants had presented new potential security threats. This paper analyzed the cyber security status and security risk in nuclear power plants. Then the paper briefly reviewed the research results, specific measures and regulations required by the International Atomic Energy Agency (IAEA) and the U.S. Nuclear Regulatory Commission (NRC). According to the actual situation in China, this paper presented some suggestions to strengthen the cyber security, which provide reference for decision-making and policy research of cyber security in nuclear power plants of China.Key words: Cyber Security; Network Attack; Nuclear Power Plant; Digital I&C System

2016-09-30

李 晶 (1986—)，女，湖北，工程師，碩士，現(xiàn)主要從事核電信息化、信息安全管理相關(guān)工作

李小龍：free123orange@163.com

TL361；TP273

A

0258-0918(2016)06-0850-08