(中國核電工程有限公司,北京 100840)

隨著計算機和網(wǎng)絡技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,工控系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與公共網(wǎng)絡連接,病毒、木馬等威脅正在向工控系統(tǒng)擴散,工控系統(tǒng)信息安全問題日益突出。

本文首先分析國內(nèi)外主要核電相關(guān)法規(guī)標準的總體要求,介紹了不同標準對信息安全分區(qū)的劃分方法。然后,介紹了核電廠儀控系統(tǒng)的主要信息安全威脅,最后闡述了福清核電站安全級DCS系統(tǒng)在信息安全方面的技術(shù)防范措施和工控領(lǐng)域主要的防護措施。

1 國內(nèi)外法規(guī)標準

1.1 美國標準

美國核電廠在信息安全方面法規(guī)導則有：法規(guī)10 CFR 73.54,導則RG 5.71和RG1.152等。

(1)法規(guī)10 CFR 73.54規(guī)定了設(shè)計基準威脅中信息安全需要保護的關(guān)鍵資產(chǎn)范圍,網(wǎng)絡安全大綱的目的和內(nèi)容,網(wǎng)絡安全計劃的內(nèi)容以及文檔記錄和審查要求:

1)信息安全保護的數(shù)字計算機,通信系統(tǒng)和網(wǎng)絡系統(tǒng)包括：安全相關(guān)和安全重要功能;信息安全功能;應急響應功能(包括廠外通信);影響上述功能的支持系統(tǒng)和設(shè)備。

2)網(wǎng)絡安全大綱的目的和內(nèi)容包括：避免資產(chǎn)遭受網(wǎng)絡攻擊;應用和維持縱深防御策略,確保探測,響應網(wǎng)絡攻擊和從網(wǎng)絡攻擊中恢復的能力;減輕網(wǎng)絡攻擊的影響;確保被保護的資產(chǎn)功能不會因網(wǎng)絡攻擊受到影響。

3)網(wǎng)絡安全計劃：應考慮電站實際運行狀況;維持探測和響應網(wǎng)絡攻擊的能力;減輕網(wǎng)絡攻擊的后果;糾正已被利用的網(wǎng)絡安全漏洞;恢復受網(wǎng)絡攻擊影響的系統(tǒng),網(wǎng)絡和/或設(shè)備。

(2)RG 5.71明確了網(wǎng)絡安全大綱的建立,實施,維護和文檔記錄的具體要求,從技術(shù)安全管理,操作和管理安全控制方面提出了具體可實施的防范措施。其主要是核設(shè)施的持證人對I&C系統(tǒng)信息安全進行監(jiān)督評估和采取控制措施的指導性規(guī)范。其中的具體措施和方法明確,在實際運用中的可操作性比較強[1]:

1)建立和實施網(wǎng)絡安全大綱：分析數(shù)字式計算機、通信系統(tǒng)和網(wǎng)絡;對關(guān)鍵數(shù)字資產(chǎn)進行識別;部署防御性架構(gòu);解除關(guān)鍵數(shù)字資產(chǎn)潛在網(wǎng)絡風險;實施安全生命收起活動,維護網(wǎng)絡安全大綱。

2)維護網(wǎng)絡安全大綱：信息安全生命周期包括連續(xù)監(jiān)測和評估,配置管理,管理更換,變化與環(huán)境的安全影響分析,有效性分析,持續(xù)評估信息安全控制和安全大綱的有效性;漏洞掃描/評估;變更控制;安全方案審查。

3)記錄的保存和處理：必須保留滿足本條規(guī)定所需的所有記錄和支持技術(shù)文件,直到委員會終止這些記錄所對應的許可證為止。此外,除非委員會另有規(guī)定,持證人必須在記錄被取代后至少3年內(nèi)保留這些記錄的替代部分。

4)技術(shù)安全管理：訪問控制;審計和責任;關(guān)鍵數(shù)字資產(chǎn)和通信保護;識別和認證;系統(tǒng)加固。

5)操作和管理安全控制：存儲介質(zhì)保護;人事安全;系統(tǒng)和信息完整性;維護;物理和環(huán)境防護;防御策略;事件響應;應急計劃/安全,安全和應急準備功能的連續(xù)性;安全意識和培訓,配置管理,系統(tǒng)和服務的采購,安全評估與風險管理。

(3)RG1.152采用數(shù)字安全系統(tǒng)全生命周期階段作為框架,分別從概念、需求、設(shè)計、實施、測試、安裝、檢查和驗收測試、運行、維護和退役幾個階段對信息安全的要求進行了規(guī)范[2]。

1.2 國際電工委員會標準

(1)IEC 62443 工業(yè)過程測量、控制和自動化、網(wǎng)絡與系統(tǒng)信息安全標準,共分為通用、信息安全過程、系統(tǒng)技術(shù)和部件技術(shù)4個部分：

1)第1部分描述了信息安全的通用方面(術(shù)語、概念和模型,縮略語,信息安全符合性度量)。

2)第2部分描述了信息安全程序的管理,建立和運行。

3)第3部分描述了系統(tǒng)集成商的信息安全技術(shù),保障等級。

4)第4部分描述了對部件制造商開發(fā)的信息安全技術(shù)要求，包括軟件、硬件和信息部分。

(2)IEC 62645應用對象是核電廠數(shù)字化儀控系統(tǒng)(I&C CB&HPD系統(tǒng)),包括基于計算機的系統(tǒng)和基于硬件語言的系統(tǒng)。主要針對I&C CB&HPD系統(tǒng)開發(fā)和管理中需要遵守的概述性要求,偏于總體需求，具體要求細節(jié)將在細化的標準中體現(xiàn)。本標準適用于針對網(wǎng)絡的惡意攻擊的響應,不包括非惡意的行為和事件,如設(shè)備失效,人因失誤和自然事件[3]。主要內(nèi)容包括[3]：

1)建立和管理網(wǎng)絡安全程序。

2)信息安全等級S1,S2和S3的劃分原則,以及不同信息安全等級的通用技術(shù)要求。

3)I&C CB&HPD系統(tǒng)在開發(fā),設(shè)計,實施,驗證,安裝,操作和退役等各階段的信息安全需求。

4)信息安全的控制措施。

1.3 國內(nèi)信息安全相關(guān)法規(guī)標準文件

國內(nèi)方面,核電廠數(shù)字化儀控系統(tǒng)的信息安全問題已經(jīng)逐步得到了核電監(jiān)管、設(shè)計、制造、運營各方的重視。但由于國內(nèi)目前核電行業(yè)儀控系統(tǒng)信息安全實踐起步較晚,缺乏足夠的經(jīng)驗積累,相關(guān)的法規(guī)標準也尚未完善并形成統(tǒng)一體系,在具體的項目實施中只能根據(jù)參與者的經(jīng)驗知識,參考國外標準的要求,借鑒工控領(lǐng)域的實施情況開展工作。因此針對核電數(shù)字化儀控信息安全問題應該采取的技術(shù)和管理方法、評價體系等還未形成一致的共識,如何才能真正實現(xiàn)信息安全,缺乏一個廣泛認可和接受的衡量標準。目前已發(fā)布的電力行業(yè)和核電專業(yè)標準和法規(guī)文件有：

1)國家發(fā)改委第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》,提出了電力行業(yè)信息安全等級保護“安全分區(qū),網(wǎng)絡專用,橫向隔離、縱向認證”的總體原則,以及技術(shù),安全,保密管理等總體要求。

2)國家能源局國能安全〔2015〕36號文件《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》,明確了核電廠DCS系統(tǒng)的安全保護等級為3級,給出了核電廠DCS系統(tǒng)的總體安全分區(qū)和邊界的防護要求。

3)國家電力監(jiān)管委員會電監(jiān)信息〔2012〕62號文件,印發(fā)《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》的通知,規(guī)定了不同等級安全保護能力的通用要求,基本技術(shù)要求和基本管理要求,是對GB/T 22239-2008標準的新增,細化,增強和落實。

4)工信部頒布《工業(yè)控制系統(tǒng)信息安全防護指南》,指出工業(yè)控制系統(tǒng)應用企業(yè)工控安全防護的具體措施。

5)國家標準《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全 集散控制系統(tǒng)(DCS) 防護要求 管理要求 評估指南 風險與脆弱性檢測要求》(GB/T 33009.1-4-2016 )規(guī)范了DCS系統(tǒng)在網(wǎng)絡安全方面的防護要求,管理要求,評估和風險與脆弱性檢測要求。

6)核安全法規(guī)HAF102《核動力廠設(shè)計安全規(guī)定》中要求儀控系統(tǒng)需保證安全,但并未給出具體要求和規(guī)定。核安全導則HAD102/14《核電廠安全有關(guān)儀表和控制系統(tǒng)》,因為發(fā)布年限較早并未涉及,僅有的關(guān)于計算機的導則是國家核安全局于2004年發(fā)布的HAD102/16《核動力廠基于計算機的安全重要系統(tǒng)軟件》,涉及軟硬件因素的安全性問題,也只是信息安全問題的其中一部分。

綜上所述,目前國內(nèi)還沒有核電領(lǐng)域數(shù)字化儀控系統(tǒng)信息安全相關(guān)的專門法規(guī)標準,各方應借鑒國際先進經(jīng)驗,建立健全核電信息安全的法規(guī)、標準體系,對核電廠DCS系統(tǒng)的信息安全問題進行規(guī)范和約束,尤其是數(shù)字化儀控系統(tǒng)更應在設(shè)計時就應考慮到信息安全問題[4-6]。

2 DCS系統(tǒng)信息安全分區(qū)

2.1 DCS系統(tǒng)的網(wǎng)絡結(jié)構(gòu)

核電廠數(shù)字化儀控系統(tǒng)(DCS系統(tǒng))從功能上可以分為4層：

1)0層：工藝系統(tǒng)接口層(傳感器和執(zhí)行機構(gòu)等現(xiàn)場設(shè)備)。

本層是與工藝系統(tǒng)的設(shè)備接口層,用于監(jiān)測工藝參數(shù)變化和執(zhí)行控制系統(tǒng)的指令。

2)1層：過程控制和保護層(邏輯處理)。

本層進行信號和邏輯處理功能,分為安全級系統(tǒng)(TXS)和非安全級系統(tǒng)(SPPA-T2000)。此外,還有部分第三方儀控系統(tǒng)與非安全級DCS系統(tǒng)有通訊接口,主要以網(wǎng)絡通訊為主。

3)2層：信息監(jiān)視和控制層(人機接口)。

人機接口層,操縱員通過人機界面對現(xiàn)場工藝參數(shù)變化進行監(jiān)測和控制。

4)3層：全廠信息管理系統(tǒng)層。

與廣域網(wǎng)的接口。

2.2 信息安全分區(qū)

信息安全分區(qū)是儀控系統(tǒng)信息安全方案的基礎(chǔ),目前在信息安全分區(qū)方面沒有統(tǒng)一明確的方案。IEC 62645和國家發(fā)改委《電力監(jiān)控系統(tǒng)安全防護規(guī)定》分別對安全分區(qū)作出了總體要求。

1)IEC 62645給出了核電廠儀控系統(tǒng)信息安全分區(qū)的總體原則和基本要求,信息安全分區(qū)沒有數(shù)量的限制,可以是物理分區(qū)或邏輯分區(qū)。建議將同等或相似安全重要性的功能劃分為一個信息安全分區(qū),采取統(tǒng)一的防護措施。同一安全分區(qū)的信息安全措施不是必須的,但多個信息安全分區(qū)的邊界接口需要考慮防護措施。只允許高安全級分區(qū)向低安全級的單向通信[3]。標準雖然沒有對信息安全分區(qū)作出明確的劃分要求,但要求分區(qū)應與信息安全分級(劃分為S1,S2和S3級)統(tǒng)一考慮[3]。

2)根據(jù)國家發(fā)展和改革委員會令第14號《電力監(jiān)控系統(tǒng)安全防護規(guī)定》的“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的總體要求和國家能源局制定的《電力監(jiān)控系統(tǒng)安全防護總體方案》的要求,將全廠DCS系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。0層、1層和2層是核電廠運行的重要環(huán)節(jié),并且直接對電廠進行監(jiān)測和控制,因此劃分為生產(chǎn)控制大區(qū),是安全防護的重點與核心。3層由于不參與直接生產(chǎn),主要功能為檢修管理系統(tǒng)和管理信息系統(tǒng)(MIS),因此劃分到管理信息大區(qū)[4-5]。

3 信息安全威脅

信息安全防護的三大目標是保密性、完整性和可用性。在工控行業(yè)信息系統(tǒng)其優(yōu)先級順序與IT行業(yè)不同,應該首先按照可用性、完整性和保密性的順序開展防護工作。針對這三大防護目標,工控行業(yè)的信息系統(tǒng)面臨的主要威脅有：

1)操作系統(tǒng)的安全漏洞,尤其是Windows操作系統(tǒng),持續(xù)發(fā)布漏洞補丁且補丁的可靠性未經(jīng)充分的驗證測試。

2)病毒與惡意代碼,主要是U盤等移動存儲設(shè)備的濫用,導致病毒傳播。

3)拒絕服務攻擊和網(wǎng)絡風暴,通過病毒或人為操作,消耗系統(tǒng)資源,導致系統(tǒng)通信中斷或控制器死機。

4)黑客入侵與應用軟件安全漏洞,該威脅主要是針對開放了遠程工控系統(tǒng)的應用,如VPN。

5)高級持續(xù)性威脅,該威脅的目的性非常強,攻擊目標明確,一般經(jīng)過有組織有預謀的策劃,在檢測和控制上難度很大。

6)工控設(shè)備的安全威脅,指工控設(shè)備的設(shè)計缺陷,未考慮授權(quán),驗證與訪問限制等手段,或者原設(shè)計已過時,對新的攻擊手段失效。

7)人員管理的威脅,參與工控設(shè)備管理和使用人員,有意或無意的行為傳播惡意軟件,破壞工控系統(tǒng),如釣魚攻擊,郵件掃描攻擊等。

8)工藝數(shù)據(jù)的安全備份,控制工藝數(shù)據(jù),電站管理數(shù)據(jù)等信息的安全問題。

4 信息安全防護措施

針對信息安全威脅,需要儀控系統(tǒng)設(shè)計方,供貨商和工控行業(yè)的信息安全企業(yè)共同努力,制定一套有效的防護措施。針對儀控系統(tǒng)內(nèi)部的信息安全威脅,供貨商應該按照法規(guī)標準要求開發(fā)儀控系統(tǒng),合理設(shè)計系統(tǒng)結(jié)構(gòu),對網(wǎng)絡通信接口采取防護措施;此外,還要參考工控行業(yè)的典型防護措施,結(jié)合其他行業(yè)的攻擊案例,對核電廠DCS系統(tǒng)增加必要的防護。

由于信息安全事故在工控行業(yè)的頻繁發(fā)生,工控企業(yè)對信息安全的重視程度越來越大,投入的成本也越來越高,這也促進了信息安全企業(yè)的發(fā)展。

針對上述威脅,工控安全企業(yè)也開展了積極的探索,目前在工控領(lǐng)域的主要信息安全措施有：

1)操作系統(tǒng)補丁配置管理。

2)在主機和服務器上部署安全防護軟件。

3)建立訪問登錄系統(tǒng),避免使用默認口令或弱口令,定期更新口令。

4)在系統(tǒng)分區(qū)的邊界處部署工業(yè)安全網(wǎng)關(guān)。

5)規(guī)范移動介質(zhì)的使用,避免不安全移動介質(zhì)引入威脅。

6)在交換機處部署安全審計措施,對流量進行監(jiān)視,同時發(fā)往安全運營中心進行分析。

7)在網(wǎng)絡入口處部署防火墻,進行網(wǎng)絡隔離。

8)搭建綜合運營管理系統(tǒng),對安全網(wǎng)關(guān)和主機防護軟件等安全防護設(shè)備進行統(tǒng)一管理。

9)數(shù)據(jù)備份和恢復。

由于核電DCS系統(tǒng)的復雜程度更高,其運行安全性要求也更高。上述措施在核電廠儀控系統(tǒng)上的使用需要更加謹慎,相應的措施必須經(jīng)過嚴格驗證,確保對已有的DCS系統(tǒng)不會產(chǎn)生負面影響,以免對既有的生產(chǎn)工藝產(chǎn)生影響。因此,在核電廠儀控系統(tǒng)信息安全實施措施上還需要進一步分析論證。

5 總 結(jié)

核電廠的安全性一直是公眾關(guān)注的重點,信息安全已經(jīng)成為核電廠整體安全性能的重要組成部分。核電廠在設(shè)計之初,已經(jīng)貫徹了縱深防御的設(shè)計理念,在核電廠儀控系統(tǒng)的網(wǎng)絡結(jié)構(gòu),訪問控制,使用權(quán)限和實體保護等方面都不同程度上體現(xiàn)了信息安全的防范措施。但隨著工控領(lǐng)域通用協(xié)議和通用軟硬件在核電領(lǐng)域的普及應用,信息安全問題仍然存在,尤其是黑客技術(shù)的迅速發(fā)展,致使有目的有預謀的攻擊防護難度越來越大。

核電廠數(shù)字化儀控系統(tǒng)的信息安全活動貫穿其生命周期中設(shè)計、開發(fā)、制造、安裝、運行、維護直至退役的各個階段。以往相對安全的網(wǎng)絡技術(shù),如不采用先進技術(shù)及時進行查漏補缺,還是會暴露信息安全風險。儀控系統(tǒng)設(shè)計方,DCS供貨商和工控信息安全企業(yè)應該同策同力,結(jié)合核電廠的安全特殊性和儀控系統(tǒng)的復雜性,共同制定適合核電廠儀控系統(tǒng)且切實可行的信息安全標準和防范措施。