王 飛 張穎穎
(中核控制系統(tǒng)工程有限公司,中國 北京 100000)
核電作為重要能源,在全球發(fā)展迅速,核電廠使用計算機控制系統(tǒng)已經(jīng)成為必然趨勢。 在核電廠儀控系統(tǒng)實現(xiàn)數(shù)字化進程中, 如何保證核安全級軟件的安全性是一個必然要解決的重要問題。 為了提高軟件的安全性, 需要對核電廠安全級應(yīng)用軟件開發(fā)過程中的信息安全進行分析, 識別系統(tǒng)潛在的危險, 在開發(fā)過程中采取適當?shù)拇胧﹣硐?防止或控制危險的發(fā)生。但目前對于核電廠信息安全應(yīng)該如何開展還沒有統(tǒng)一的、科學的體系。
參照IEEE1012-2004 中的要求,對于核電安全級應(yīng)用軟件在軟件生命周期的概念 (總體需求、 總體規(guī)劃)、軟件需求、軟件設(shè)計、軟件實施和測試階段、軟件安裝和檢驗階段、 軟件運營和維護階段均要求進行信息安全分析工作。 本文詳細描述了軟件生命周期要求的信息安全分析任務(wù)的工作程序和驗收準則, 為核電安全級軟件信息安全分析工作進一步開展提供參考。
a)進行初步信息安全威脅和風險評估
分析控制系統(tǒng)可能存在的信息安全威脅和風險。例如信息的非法侵入, 破壞信息保密性; 攔截或修改信息,修改軟件或硬件,破壞完整性;阻礙數(shù)據(jù)傳遞,關(guān)閉系統(tǒng), 破壞可用性; 對通信系統(tǒng)或電腦數(shù)據(jù)非法干擾或修改,破壞可靠性。
源于設(shè)計本身的風險考慮合法用戶和非法用戶兩個方面安全威脅。 來自非法用戶的襲擊: 例如黑客從外網(wǎng)登入系統(tǒng), 或用垃圾信息占滿網(wǎng)絡(luò)使服務(wù)無效。來自合法用戶的襲擊: 例如關(guān)閉重要控制系統(tǒng), 企圖釋放計算機病毒到控制系統(tǒng)網(wǎng)絡(luò)
輸入文檔:系統(tǒng)總體需求規(guī)格書,信息安全計劃
輸出文檔:初步信息安全威脅和風險評估報告
b)審查系統(tǒng)信息安全等級
對控制系統(tǒng)的信息安全保護采用分級措施。 將控制系統(tǒng)分級, 各級別對安全風險可接受程度不同,相應(yīng)措施的內(nèi)容和嚴格度也有區(qū)別。 把計算機系統(tǒng)劃分為不同區(qū)域, 一些基本的保護措施應(yīng)用在區(qū)域邊界。計算機系統(tǒng)安全級別從高到低分為1 到5 級。 第一級用于保護系統(tǒng), 非法侵入導致的后果極為嚴重, 要求最高級別的安全保護。 第二級為需要較高安全保護的運行控制系統(tǒng)。 第三級為對運行非必要的實時監(jiān)視系統(tǒng), 如控制室中的實時過程監(jiān)視系統(tǒng)。 第四級為非法侵入引起后果為中級的技術(shù)支持系統(tǒng)。 第五級為與控制和技術(shù)系統(tǒng)無直接關(guān)系的計算機系統(tǒng), 如辦公用計算機,安全保護需求較低。
審查被分析的控制系統(tǒng)是否已經(jīng)定義信息安全等級,并驗證信息安全等級是否正確合理。
c)識別系統(tǒng)潛在信息安全風險
從信息安全角度分析系統(tǒng)總體需求, 識別潛在的安全風險。 可從以下幾個方面分析:
(1)保密性方面,如泄露敏感信息;
(2)完整性方面,如修改信息數(shù)據(jù);
(3)可用性方面,如獲取信息服務(wù)失效;
(4)權(quán)限方面,如用戶權(quán)限分配。
分析系統(tǒng)自身引起的信息安全風險和系統(tǒng)與外部接口的信息安全風險。
輸入文檔:系統(tǒng)總體需求規(guī)格書,安全計劃,初步信息安全威脅和風險評估報告
輸出文檔:信息安全分析報告,異常報告
驗證軟件信息安全相關(guān)需求已正確定義, 確認軟件已消或除控制了系統(tǒng)引入的信息安全風險。 提出處理、 減輕和控制風險的建議。 驗證信息安全需求將安全風險降低在可接受范圍內(nèi)。
輸入文檔:初步信息安全威脅和風險評估報告,系統(tǒng)總體需求規(guī)格書, 軟件需求規(guī)格說明書, 概念階段信息安全分析報告
輸出文檔:信息安全分析報告,異常報告
驗證系統(tǒng)/軟件結(jié)構(gòu)(概要設(shè)計)和詳細設(shè)計能充分解決信息安全需求。 包括系統(tǒng)本身和外部接口的信息安全風險都有相應(yīng)設(shè)計來處理。
輸入文檔:軟件概要設(shè)計說明書,軟件詳細設(shè)計說明書, 軟件需求規(guī)格說明書, 需求階段信息安全分析報告
輸出文檔:信息安全分析報告,異常報告
驗證具體實施與設(shè)計一致,解決了信息安全風險,并且未引入新的安全風險。
輸入文檔:源代碼,軟件概要設(shè)計說明書,軟件詳細設(shè)計說明書,設(shè)計階段信息安全分析報告
輸出文檔:信息安全分析報告,異常報告
通過測試確認系統(tǒng)滿足信息安全需求和設(shè)計,驗證最終系統(tǒng)未引入新的安全風險。
輸入文檔:源代碼,可執(zhí)行代碼,集成后的系統(tǒng),測試結(jié)果,編程實施階段信息安全分析報告
輸出文檔:信息安全分析報告,異常報告
驗證安裝的軟件未對整個系統(tǒng)引入或增加新的漏洞和安全風險。
輸入文檔:安裝包,用戶手冊
輸出文檔:信息安全分析報告,異常報告
驗證未引入新的安全風險導致運行環(huán)境的改變。
運行一段時間,根據(jù)總體需求中的外部接口、威脅和技術(shù)的變更, 來執(zhí)行更新的信息安全分析, 從而確定新的殘留風險。輸入文檔:新約束、環(huán)境變化、運行規(guī)程輸出文檔:信息安全分析報告
驗證軟件的改變和更新未對整個系統(tǒng)引入或增加新的漏洞和安全風險。
輸入文檔:軟件變更,安裝包
輸出文檔:信息安全分析報告
隨著信息化與工業(yè)化深度融合, 核電廠信息安全變得日益重要。 本文針對國內(nèi)外信息安全研究現(xiàn)狀,詳細描述了軟件生命周期要求的信息安全分析任務(wù)的工作程序和驗收準則, 為核電安全級軟件信息安全分析工作進一步開展提供參考。