張 冬，陳日罡

(中國核電工程有限公司北京核工程研究設(shè)計院，北京 100083)

0 引言

由于工控系統(tǒng)和工業(yè)互聯(lián)網(wǎng)的結(jié)合發(fā)展，工控系統(tǒng)漏洞導(dǎo)致工業(yè)信息安全事故頻發(fā)，工控系統(tǒng)信息安全的防護引起了行業(yè)工作者的廣泛關(guān)注。核電廠信息安全作為工業(yè)信息安全的一部分，其安全隱患隨著數(shù)字化技術(shù)的深度應(yīng)用也越來越明顯。核電廠信息安全已經(jīng)成為核安全的重要組成部分。我國于2017年實施了《中華人民共和國網(wǎng)絡(luò)安全法》，從國家層面為信息安全工作指明了方向，也從側(cè)面反映了我國當前信息安全工作的嚴峻形勢。

信息安全標準建在推動行業(yè)發(fā)展和行業(yè)互認的有力工具，是信息安全建設(shè)的重要依據(jù)。核電廠數(shù)字化儀控系統(tǒng)信息安全標準建立在工業(yè)信息安全標準的基礎(chǔ)上，適應(yīng)了核電廠分布式控制系統(tǒng)(distributed control system,DCS)特點，現(xiàn)在仍處于進一步完善的過程中。本文將分別從國內(nèi)標準、美聯(lián)邦導(dǎo)則標準和國際電工委員會標準三個標準體系出發(fā)，首先介紹工控系統(tǒng)和核設(shè)施信息系統(tǒng)信息安全標準的體系結(jié)構(gòu)和總體要求，然后描述三個標準體系各自的優(yōu)缺點，最后進行總結(jié)。

1 國內(nèi)標準體系

根據(jù)信息安全要求制定的國家機構(gòu)不同，國內(nèi)信息安全標準可以分為以下三類。

①全國信息安全標準化委員會歸口的標準。

②發(fā)改委和能源局發(fā)布的電力監(jiān)控系統(tǒng)的防護要求。

③工信部發(fā)布的工控系統(tǒng)信息安全防護指南。

1.1 信息安全標準化委員會歸口的標準要求

信息安全相關(guān)的國家標準目前都由信息安全委員會歸口發(fā)布，核電廠DCS參考的相關(guān)標準可以分為兩種：一是信息安全等級保護標準[1-11]；二是工控系統(tǒng)信息安全標準。

1.1.1 信息安全等級保護標準體系

①標準對象。等級保護標準的保護對象是計算機信息系統(tǒng)，是針對信息安全的通用要求，也是電力監(jiān)管部門監(jiān)督發(fā)電企業(yè)信息安全行為的主要參考依據(jù)。

②標準體系。針對不同信息系統(tǒng)實施分等級的保護，既可以解決難以實現(xiàn)的整體高級別保護問題，又可以以適當投入對需要重點保護的信息進行防護。等級保護標準體系即是對信息系統(tǒng)進行等級劃分，分級別進行防護的標準體系。等級保護標準體系結(jié)構(gòu)如圖1所示。

圖1 等級保護標準體系結(jié)構(gòu)示意圖

GB 17859[1]是計算機信息系統(tǒng)安全等級保護標準體系的基礎(chǔ)。根據(jù)計算機信息系統(tǒng)的安全技術(shù)和安全風險控制的關(guān)系，將信息系統(tǒng)安全保護能力由低到高分為5個級別：用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。在此基礎(chǔ)上，GB/T 20269[2]和 GB/T 20271[3]圍繞保護能力等級的劃分，分別從管理和技術(shù)方面對信息安全防護要求進行了細化，形成應(yīng)用性標準；GB/T 20270[4]、GB/T 20272[5]和GB/T 20273[6]分別對網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)提出了詳細的技術(shù)防護要求。

基于GB 17859標準，按照信息系統(tǒng)受到破壞后，對國家安全、公共利益和公民合法權(quán)益等定級要素造成損害的程度，信息系統(tǒng)從低到高分為5個安全防護等級。定級要素與安全保護等級的關(guān)系如表1所示。

表1 定級要素與安全保護等級的關(guān)系

GB/T 20058[7]規(guī)定了等級保護的具體實施程序，GB/T 22240[8]規(guī)定了定級的方法，GB/T 22239[9]分別對5個等級的技術(shù)要求和管理要求進行了規(guī)范。技術(shù)要求從保護客體出發(fā)，規(guī)定了物理安全、網(wǎng)絡(luò)和主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)4個方面的防護要求；管理要求規(guī)定了管理制度、組織結(jié)構(gòu)、人員安全、采購和服務(wù)、運維管理、密碼管理、變更管理、安全事件處置、應(yīng)急預(yù)案等方面的防護要求；其要求細節(jié)上與GB/T 20269和GB/T 20271是對應(yīng)關(guān)系。GB/T 28448[10]和GB/T 28449[11]規(guī)定了對等級保護系統(tǒng)測評的要求。

1.1.2 工控系統(tǒng)信息安全相關(guān)國標

(1)標準對象。

標準對象為工業(yè)控制系統(tǒng)。

(2)標準體系。

工業(yè)控制系統(tǒng)的信息安全標準主要有GB/T 30976[12]和GB/T 33009[13]兩個體系。

GB/T 30976《工業(yè)控制系統(tǒng)信息安全》分為兩個部分。①評估規(guī)范：規(guī)定了工控系統(tǒng)信息安全評估的目標、評估內(nèi)容和實施過程。②驗收規(guī)范：規(guī)定了工控系統(tǒng)信息安全能力的驗收流程、測試內(nèi)容、方法及應(yīng)達到的要求。

GB/T 33009《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全》分為四個部分。①防護要求：規(guī)定了DCS在運行和維護過程中應(yīng)具備的安全能力和防護技術(shù)要求。②管理要求：規(guī)定了DCS在運行和維護過程中應(yīng)具備的安全管理要點和防護管理要求。③風險評估指南：規(guī)定了DCS在運行和維護過程中對系統(tǒng)技術(shù)防護能力和安全管理有效性的評估過程和方法。④風險與脆弱性檢測要求：規(guī)定了DCS在運行和維護過程中潛在系統(tǒng)脆弱性和安全風險的檢測內(nèi)容和測試方法。

1.2 電力監(jiān)控系統(tǒng)的防護要求

1.2.1 防護對象

防護對象是電力監(jiān)測系統(tǒng)，即用于監(jiān)測和控制電力生產(chǎn)及供應(yīng)過程的、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及職能設(shè)備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)。

1.2.2 防護要求

電力監(jiān)控系統(tǒng)的要求來源于2014年發(fā)改委的14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》和能源局國能安全【2015】36號文《電力監(jiān)控系統(tǒng)安全防護總體方案》。其防護的總體要求是安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證這16字方針。

發(fā)電企業(yè)業(yè)務(wù)系統(tǒng)分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)根據(jù)業(yè)務(wù)重要性和響應(yīng)級別分為控制區(qū)和非控制區(qū)?！逗穗姀S二次系統(tǒng)安全防護技術(shù)規(guī)定》對于核電站監(jiān)控系統(tǒng)安全分區(qū)如表2所示。

表2 核電站監(jiān)控系統(tǒng)安全分區(qū)

根據(jù)通知規(guī)定的核電站監(jiān)控系統(tǒng)的安全分區(qū)和分區(qū)邊界要求，核電站監(jiān)控系統(tǒng)的邊界防護如圖2所示。

圖2 核電站監(jiān)控系統(tǒng)的邊界防護示意圖

在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間，必須設(shè)置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應(yīng)達到物理隔離；生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)之間應(yīng)設(shè)置實現(xiàn)邏輯隔離功能的設(shè)備或防火墻。

通知規(guī)定，核電廠DCS監(jiān)控系統(tǒng)和輔助控制系統(tǒng)的信息安全等級保護級別為等級保護第三級。

1.3 工控系統(tǒng)信息安全防護指南

1.3.1 防護對象

防護對象是工業(yè)控制網(wǎng)絡(luò)。

1.3.2 指南要求

工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護指南》基于《國家網(wǎng)絡(luò)安全法》，結(jié)合我國工控安全現(xiàn)狀，借鑒了等級保護要求，在邊界、網(wǎng)絡(luò)、計算環(huán)境等方面提出了十一條重點防護要求。具體要求包括：安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理和落實責任。其為工業(yè)控制系統(tǒng)信息安全從業(yè)單位提供了業(yè)務(wù)指導(dǎo)和詳細的防護方案。

1.4 國內(nèi)標準體系小結(jié)

國家發(fā)改委和能源局印發(fā)的相關(guān)通知文件規(guī)定了電力監(jiān)控系統(tǒng)的安全分區(qū)和隔離要求，為電力監(jiān)控系統(tǒng)的分區(qū)和防護要求指明了方向，確定了核電廠DCS屬于信息安全等級保護第三級。按照全國信安委的等級保護相關(guān)標準規(guī)定，可以明確核電廠DCS的信息安全防護要求及評測要求。在此基礎(chǔ)上，結(jié)合GB/T 30976、GB/T 33009和工控系統(tǒng)信息安全防護指南，對上述要求不全面的部分進行適當補充。

同時，國內(nèi)標準要求的顆粒度為核電廠DCS，對于DCS內(nèi)部不同安全分級子系統(tǒng)的信息安全沒有明確建議。在等級保護相關(guān)標準的應(yīng)用上，可以根據(jù)DCS子系統(tǒng)的重要程度和受攻擊后損害的嚴重程度適當提高等級保護防護要求。

2 美聯(lián)邦法規(guī)標準

美國核管會NRC發(fā)布的核設(shè)施信息安全導(dǎo)則有RG 5.71[14]《Requirements for security programmes for computer-based systems》和RG 1.152[15]《Criteria for digital computers in safety systems for nuclear power plants》。其中，RG 5.71規(guī)定了關(guān)鍵數(shù)字資產(chǎn)的識別程序，提出了信息安全的縱深防御5級體系，列舉了技術(shù)、運行和管理三個方面的防護措施；RG 1.152以數(shù)字化信息系統(tǒng)的全壽命周期為軸線，描述了不同階段的信息安全防護指導(dǎo)。NRC信息安全導(dǎo)則結(jié)構(gòu)如圖3所示。

圖3 NRC信息安全導(dǎo)則結(jié)構(gòu)示意圖

2.1 RG 5.71

2.1.1 防護對象

防護對象是執(zhí)行SSEP功能相關(guān)的計算機、通信系統(tǒng)和網(wǎng)絡(luò)。

2.1.2 導(dǎo)則體系

RG 5.71是以美聯(lián)邦法規(guī)第十篇73章54節(jié)(簡稱10 CFR73.54)的防護目標為基礎(chǔ)，參考NIST SP800-53[16]和NIST SP800-82[17]的防護要求制定的。

10 CFR73.54[18]指出了信息安全防護的SSEP功能是：安全相關(guān)和安全重要功能(safety)，信息安全功能(security),應(yīng)急預(yù)備功能(emergency)包括廠外通信以及支持系統(tǒng)和設(shè)備的功能(support)。

NIST的職責是指導(dǎo)美國使用已有和新興的信息技術(shù)，以滿足國家在社會、經(jīng)濟和政治等方面的要求。NIST SP800 系列出版物是對信息安全標準、指南和相關(guān)技術(shù)的研究。其中，NISTSP800-82《Guide to industrial control systems (ICS) security》和NIST SP800-53《Recommended security control for federal information system and organization》與電力工業(yè)信息安全密切相關(guān)。NISTSP800-82指出了工控系統(tǒng)的威脅和脆弱性，規(guī)定了網(wǎng)絡(luò)防護結(jié)構(gòu)以及技術(shù)、運行和管理方面的控制措施；NISTSP800-53是將技術(shù)、運行和管理方面的控制策略分成18個族，每個族包含相關(guān)的控制基線、增強控制要求，并給出了低、中、高三個安全影響級別的系統(tǒng)與控制基線和增強控制措施的對應(yīng)關(guān)系。

RG 5.71依據(jù)SSEP功能，規(guī)定了關(guān)鍵系統(tǒng)和關(guān)鍵數(shù)字資產(chǎn)的判定程序。通過該程序，可以明確工控系統(tǒng)信息安全的具體防護客體；規(guī)定了信息安全的縱深防御的5級安全結(jié)構(gòu)，明確了不同分級之間的通信要求；參考NISTSP800-53，明確了核設(shè)施相關(guān)數(shù)字化資產(chǎn)的技術(shù)、運行和管理防護措施。其不足之處是未明確核電廠DCS縱深防御5級結(jié)構(gòu)的劃分原則和方法，以及不同分級與防護措施之間的對應(yīng)關(guān)系。在使用時，如完全照搬防護措施，一方面將導(dǎo)致工控系統(tǒng)的防護成本增加，另一方面也將大大提高防護措施的實施難度。因此，RG 5.71在具體的工程應(yīng)用中，建議參考NISTSP800-53中對控制基線和增強控制的劃分標準，對技術(shù)、運行和管理的控制措施，按不同等級的基本要求和增強要求進行劃分，并根據(jù)被防護客體的重要程度和受攻擊后損害的嚴重程度分配不同等級的控制措施。

2.2 RG 1.152

2.2.1 防護對象

防護對象為計算機系統(tǒng)，包括軟件、硬件、固件和相關(guān)接口。

2.2.2 導(dǎo)則要求

本導(dǎo)則以數(shù)字化信息系統(tǒng)的全壽命周期為軸線，概述了計算機系統(tǒng)的信息安全指導(dǎo)。全生命周期分為概念階段、需求階段、設(shè)計階段、實施階段、測試階段、安裝和驗收階段、運行階段、維護階段、退役階段。

2.3 美聯(lián)邦法規(guī)標準小結(jié)

RG 5.71明確了關(guān)鍵數(shù)字資產(chǎn)的范圍和判定程序，給出了信息安全防護客體的判定依據(jù)。其雖然未明確縱深防御的5級結(jié)構(gòu)劃分原則和DCS的劃分方法，但從技術(shù)、運行和管理3個方面，詳細給出了核設(shè)施相關(guān)數(shù)字化設(shè)備的防護要求。在實際使用中，可結(jié)合NISTSP800-53中對不同信息安全等級系統(tǒng)控制基準和增強控制要求的對應(yīng)關(guān)系，有針對性地將控制措施應(yīng)用到核電廠DCS。通過RG1.152的全壽期信息安全指導(dǎo)，豐富了美聯(lián)邦信息安全法規(guī)體系的內(nèi)容。

3 國際電工委員會標準

國際電工委員會制定的工業(yè)信息安全標準體系與核電廠數(shù)字化儀控系統(tǒng)信息安全標準體系相類似，都是從總體要求、組織和程序要求、系統(tǒng)要求和部件要求這4個層次逐層深入細化。本文將分別介紹工業(yè)信息安全標準體系IEC 62443和核電數(shù)字化儀控系統(tǒng)信息安全標準體系。

3.1 IEC 62443標準體系

3.1.1 標準對象

標準對象為工業(yè)自動化控制系統(tǒng)。

3.1.2 標準體系

IEC 62443[19]標準是針對工業(yè)信息安全的完整體系。雖然體系結(jié)構(gòu)在不同的版本中可能微調(diào)，但其4層功能劃分和每層結(jié)構(gòu)的要求是基本確定的。目前，該標準體系已經(jīng)規(guī)劃的標準共12份，但未全部發(fā)布。 IEC 62443標準體系結(jié)構(gòu)如表3所示。

第一層：總體要求，規(guī)定了工控系統(tǒng)的典型結(jié)構(gòu)、通用概念、術(shù)語以及建立定量系統(tǒng)信息安全符合性度量體系所必要的要求。目前，僅1-1發(fā)布。

第二層：組織和程序要求，規(guī)定了工控系統(tǒng)信息安全程序的建立和運行、補丁管理和制造商應(yīng)該考慮的信息安全措施。目前，2-1、2-3和2-4已經(jīng)發(fā)布。

第三層：系統(tǒng)要求，規(guī)定了信息安全的技術(shù)要求、信息安全分區(qū)分級要求和不同信息安全分區(qū)的基本防護措施和增強防護措施。目前，3-1和3-3已經(jīng)發(fā)布。

第四層：部件要求，規(guī)定了產(chǎn)品開發(fā)的信息安全要求，定義了嵌入式設(shè)備、主機設(shè)備、網(wǎng)絡(luò)設(shè)備等產(chǎn)品的信息安全技術(shù)要求。目前，4-1已經(jīng)發(fā)布。

表3 IEC 62443標準體系結(jié)構(gòu)表

3.2 核電廠數(shù)字化儀控系統(tǒng)信息安全標準體系

3.2.1 標準對象

標準對象為核電廠數(shù)字化儀控系統(tǒng)，包括計算機化和硬件可編程類的儀控系統(tǒng)。

3.2.2 標準體系

核電廠數(shù)字化儀控系統(tǒng)的信息安全標準屬于IEC SC 45A標準體系，內(nèi)容上參考了IAEA SSR-2/1、SSG-30(安全分級)、SSG-39(儀控系統(tǒng)設(shè)計)、SSG-34(電力系統(tǒng)設(shè)計)和NSS17(核設(shè)施計算機信息安全)的要求，體系結(jié)構(gòu)上繼承了IEC 62443的4層結(jié)構(gòu)。

①第一層標準為IEC 61513[20]，參考了IAEA GS-R-3、IAEA GS-G-3.1和ISO標準。IEC 61513規(guī)定了核電站安全重要儀控功能的通用要求。

②第二層標準為IEC 62645[21]和IEC 62859[22]。

IEC 62645參考ISO/IEC 27001、ISO/IEC 27002和IEC 62443的要求，規(guī)定了網(wǎng)絡(luò)安全程序的建立流程。其結(jié)合核電廠功能安全分級和受攻擊后損害的嚴重程度給出了儀控系統(tǒng)信息安全分級的原則：①執(zhí)行A類安全功能的儀控系統(tǒng)歸入最嚴格的安全防范等級S1級；②有實時操作要求和執(zhí)行B類安全功能的儀控系統(tǒng)至少應(yīng)歸入中等的安全防范等級S2級；③所處理的功能安全類別為C類，以及輔助操作和維護的儀控系統(tǒng)，安全防范等級應(yīng)該分配為S3級；④不執(zhí)行安全功能的儀控系統(tǒng)可以分配到稍低的S3級。當被攻擊者所操縱時，將對電廠可用性或者甚至電廠安全有潛在影響，則可給它們分配一個更高的安全防范等級。同時，IEC 62645還規(guī)定了不同信息安全分級的通用防護要求和增強防護要求,以及數(shù)字化儀控系統(tǒng)全生命周期的信息安全防護指導(dǎo)。

IEC 62859規(guī)定了信息安全和功能安全的協(xié)調(diào)性關(guān)系和工作程序，確保兩套安全防護體系不會導(dǎo)致彼此的防護降級。

③第三層標準為未發(fā)布的IEC標準。第三層標準對信息安全的控制措施進行了詳細要求。此外，還將在本層補充關(guān)于風險評估、供應(yīng)鏈的信息安全、信息安全檢測要求等標準。

④第四層是針對某些特定的、非標準化的技術(shù)專題報告。

3.2.3 數(shù)字化儀控系統(tǒng)信息安全標準體系小結(jié)

IEC SC 45A標準體系的信息安全要求結(jié)構(gòu)完整，但第三層細化標準未發(fā)布，導(dǎo)致標準要求的細節(jié)不完善。IEC 62645雖然是第二層標準，但對于信息安全的程序建立，信息安全分級和全生命周期的防護給出了總體要求，是開展核電廠數(shù)字化儀控系統(tǒng)信息安全設(shè)計的頂層文件，對指導(dǎo)核電廠DCS系統(tǒng)的信息安全分級具有重要意義。在具體防護細節(jié)的規(guī)范上，由于第三層和第四層細化標準未發(fā)布，可以參考相關(guān)的國內(nèi)標準和RG5.71的要求執(zhí)行。

4 結(jié)束語

標準化是核電廠信息安全戰(zhàn)略性和基礎(chǔ)性工作。國內(nèi)標準、美聯(lián)邦標準和國際電工委員會標準分別定義了對信息安全的要求，已經(jīng)或正在形成各自的標準體系。但針對核電廠DCS的特點，目前三個信息安全標準體系都存在一定程度的不足，在實際應(yīng)用中還需要綜合考慮三個標準體系的相關(guān)要求，消化吸收，融會貫通，制定符合核電廠DCS系統(tǒng)的信息安全程序。

本文從三個標準體系出發(fā)，介紹了信息系統(tǒng)信息安全的標準體系，分析了不同標準體系的結(jié)構(gòu)特點，理清了標準法規(guī)的要求，為核電廠DCS系統(tǒng)信息安全的進一步研究奠定了基礎(chǔ)。