張 誼，王遠(yuǎn)兵，彭 浩，黃 鵬

（中國(guó)核動(dòng)力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

0 引言

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展與應(yīng)用，5G 通信、人工智能、物聯(lián)網(wǎng)等技術(shù)層出不窮，可以預(yù)見(jiàn)到一輪新的技術(shù)革命正在到來(lái)。盡管核電對(duì)新技術(shù)的采用相對(duì)謹(jǐn)慎，但近年來(lái)隨著數(shù)字化技術(shù)在安全級(jí)DCS 中的廣泛應(yīng)用，如何提高安全級(jí)DCS 的信息安全防范能力也受到更多的關(guān)注。根據(jù)卡巴斯基實(shí)驗(yàn)室近年來(lái)發(fā)布的ICS（工業(yè)控制系統(tǒng)）威脅報(bào)告顯示，ICS 計(jì)算機(jī)遭受攻擊的概率呈上升趨勢(shì)。通常情況下，人們認(rèn)為核電站控制系統(tǒng)作為物理隔離的“信息孤島”，很難遭遇信息安全攻擊，但震網(wǎng)（Stuxnet）病毒事件表明，核電站并非牢不可破。

圖1 IEC 信息安全框架Fig.1 Framework of IEC security standard

由于過(guò)多的采用技術(shù)措施會(huì)增加系統(tǒng)的復(fù)雜度，所以提升安全級(jí)DCS 的信息安全需要從管理和技術(shù)兩方面進(jìn)行。而信息安全的管理應(yīng)覆蓋到安全級(jí)DCS 的全生命周期，只有依托于一套全面且適用標(biāo)準(zhǔn)的體系才能真正提升安全級(jí)DCS 的信息安全。國(guó)內(nèi)工控系統(tǒng)信息安全的相關(guān)工作起步較晚，在標(biāo)準(zhǔn)制定方面，相較國(guó)外比較落后，近些年才開(kāi)展工業(yè)控制系統(tǒng)信息安全的標(biāo)準(zhǔn)化工作[1]。近年來(lái)，國(guó)內(nèi)針對(duì)信息安全發(fā)布了多部法律和標(biāo)準(zhǔn)，并根據(jù)GB/T 22239-2008 為主的等級(jí)保護(hù)標(biāo)準(zhǔn)構(gòu)建了信息安全監(jiān)管體系。GB/T 22239-2008 適用于指導(dǎo)分等級(jí)的信息系統(tǒng)的安全建設(shè)和監(jiān)督管理[2]，但目前等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)難以覆蓋到安全級(jí)DCS 供應(yīng)商，如安全級(jí)DCS 在設(shè)計(jì)、生產(chǎn)及測(cè)試等階段不采取信息安全措施，可能使系統(tǒng)在運(yùn)行前就埋下隱患。因此，在國(guó)內(nèi)核電信息安全相關(guān)標(biāo)準(zhǔn)建立完善之前，開(kāi)展對(duì)國(guó)外工控領(lǐng)域較成熟的信息安全標(biāo)準(zhǔn)IEC 62443 的研究，并將其中適用的內(nèi)容用于指導(dǎo)安全級(jí)DCS 供應(yīng)商構(gòu)建信息安全管理體系是迅速且有效的方法。

1 ISO/IEC信息安全體系介紹

1.1 ISO/IEC 信息安全體系介紹

國(guó)際標(biāo)準(zhǔn)化組織（ISO）在2005 年針對(duì)信息安全發(fā)布ISO/IEC 27001 開(kāi)始，通過(guò)多年的努力，目前已形成跨多個(gè)領(lǐng)域的信息安全體系，并根據(jù)ISO/IEC 27000 系列編寫了一系列下級(jí)標(biāo)準(zhǔn)。通過(guò)對(duì)已發(fā)布標(biāo)準(zhǔn)的研究，可將包含核電廠儀控系統(tǒng)在內(nèi)的信息安全管理體系和技術(shù)相關(guān)的標(biāo)準(zhǔn)，整理如圖1 所示的關(guān)系框架。

IEC 62443 系列是針對(duì)工業(yè)自動(dòng)化和控制系統(tǒng)（IACS）信息安全的標(biāo)準(zhǔn)，根據(jù)系統(tǒng)集成商、系統(tǒng)供應(yīng)商、資產(chǎn)所有者等不同的對(duì)象，分13 個(gè)子標(biāo)準(zhǔn)，分別描述了工控系統(tǒng)網(wǎng)絡(luò)與信息安全相關(guān)的管理和技術(shù)手段。圖1 的IEC 62443系列僅列出已發(fā)布且與信息安全管理或技術(shù)相關(guān)的標(biāo)準(zhǔn)，其中針對(duì)系統(tǒng)供應(yīng)商的標(biāo)準(zhǔn)主要為：

1） IEC 62443-2-4《IACS 供應(yīng)商信息安全程序需求》

該標(biāo)準(zhǔn)介紹了工業(yè)自動(dòng)化和控制系統(tǒng)供應(yīng)商信息安全策略和規(guī)程，分別從系統(tǒng)管理、系統(tǒng)能力、系統(tǒng)驗(yàn)收以及系統(tǒng)維護(hù)方面提出需要滿足的要求[4]，可作為系統(tǒng)供應(yīng)商搭建信息安全管理體系的參考。

2） IEC 62443-3-3《系統(tǒng)安全要求和安全保證等級(jí)》

該標(biāo)準(zhǔn)介紹了7 個(gè)基本要求（FR），分別描述了系統(tǒng)不同方面的信息安全要求，并根據(jù)基本要求中的具體技術(shù)措施進(jìn)行了定級(jí)，可作為系統(tǒng)供應(yīng)商加強(qiáng)其系統(tǒng)信息安全時(shí)的技術(shù)措施參考。

通常，要保證系統(tǒng)的信息安全需要在管理和技術(shù)兩個(gè)方面分別采取措施，但本文僅論述管理方面，討論通過(guò)對(duì)標(biāo)準(zhǔn)的研究如何構(gòu)建安全級(jí)DCS 供應(yīng)商的信息安全管理體系，技術(shù)內(nèi)容不作討論。

1.2 IEC 62443-2-4標(biāo)準(zhǔn)介紹

IEC 62443-2-4 的主要內(nèi)容為其附錄A 的信息安全需求，附錄A 中的信息安全需求主要分為12 個(gè)功能區(qū)，每個(gè)功能區(qū)根據(jù)不同主題對(duì)應(yīng)地提出了共計(jì)72 項(xiàng)需求，部分主題除基礎(chǔ)需求外提出了增強(qiáng)性需求，并對(duì)所有需求的基本原理進(jìn)行了解釋。各功能區(qū)的主要需求內(nèi)容如表1 所示。

根據(jù)表1 中的內(nèi)容，除無(wú)線網(wǎng)絡(luò)和遠(yuǎn)程訪問(wèn)的內(nèi)容不適用于安全級(jí)DCS 外，其余內(nèi)容可根據(jù)安全級(jí)DCS 各個(gè)階段的特點(diǎn)制定不同的管理程序。

2 IEC 62443-2-4標(biāo)準(zhǔn)的特點(diǎn)

IEC 62443-2-4 與IEC 62443-3-3 的區(qū)別在于后者關(guān)注如何通過(guò)技術(shù)措施提高系統(tǒng)的信息安全，而IEC 62443-2-4不關(guān)注如何通過(guò)技術(shù)措施實(shí)現(xiàn)系統(tǒng)的信息安全，而關(guān)注以下兩個(gè)方面：

1）如何構(gòu)建有效的流程，確保技術(shù)措施的采用過(guò)程是受控的、經(jīng)過(guò)論證的。

2）在技術(shù)措施執(zhí)行后，如何構(gòu)建有效的流程，確保技術(shù)措施被正確地使用。

同時(shí)，IEC 62443-2-4 與等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)關(guān)注度也不同。后者關(guān)注資產(chǎn)所有者（即核電廠）的信息安全責(zé)任，而前者識(shí)別了系統(tǒng)生命周期中各相關(guān)方的關(guān)系以及在信息安全管理過(guò)程中應(yīng)進(jìn)行權(quán)責(zé)劃分的內(nèi)容，指出了IEC 62443-2-4 在面對(duì)服務(wù)供應(yīng)商（Service Provider）、資產(chǎn)所有者（Asset Owner）、集成服務(wù)供應(yīng)商（Integration Service Provider）和維護(hù)服務(wù)供應(yīng)商（Maintenance Service Provider）時(shí)的應(yīng)用方法，同時(shí)指出了該標(biāo)準(zhǔn)在服務(wù)供應(yīng)商與資產(chǎn)所有者在項(xiàng)目早期談判過(guò)程中的使用方法。

表1 IEC 62443-2-4功能區(qū)介紹[5] Table 1 Introduce of IEC 62443-2-4 function area[5]

表2 安全級(jí)DCS生命周期與IEC 62443-2-4功能區(qū)適用性Table 2 The applicability of safety DCS and function area of IEC 62443-2-4

圖2 安全級(jí)DCS生命周期Fig.2 Life cycle of safety DCS

安全級(jí)DCS 供應(yīng)商在核電項(xiàng)目中通常集設(shè)計(jì)、集成、測(cè)試、維護(hù)于一身，針對(duì)項(xiàng)目不同階段承擔(dān)的不同角色均可依據(jù)IEC 62443-2-4 制定相應(yīng)的信息安全程序。因此，根據(jù)IEC 62443-2-4 制定信息安全監(jiān)管體系將保證核安全級(jí)DCS 在全生命周期內(nèi)的機(jī)密性、完整性和可用性。

3 安全級(jí)DCS供應(yīng)商信息安全體系

3.1 安全級(jí)DCS生命周期

安全級(jí)DCS 的生命周期如圖2 所示。

由于安全級(jí)DCS 生命周期的各階段的環(huán)境、人員等并不完全相同，IEC 62443-2-4 的功能區(qū)也不一一適用。通過(guò)分析，將安全級(jí)DCS 生命周期與IEC 62443-2-4 功能區(qū)內(nèi)容適用性總結(jié)如表2 所示。

3.2 信息安全元素識(shí)別

在建立信息安全體系前，安全級(jí)DCS 供應(yīng)商首先應(yīng)對(duì)安全級(jí)DCS 進(jìn)行元素識(shí)別，元素的識(shí)別可在以下兩方面進(jìn)行：

1）與人相關(guān)：主要識(shí)別與人相關(guān)的信息安全元素，包括信息安全策略、信息安全組織、供方管理、人員管理、風(fēng)險(xiǎn)管理、應(yīng)急響應(yīng)等方面。

2）與物相關(guān)：主要識(shí)別與物相關(guān)的信息安全元素，包括信息安全策略、供方管理、風(fēng)險(xiǎn)評(píng)估、區(qū)域管理、信息管理、應(yīng)急響應(yīng)等。

3.3 信息安全管理體系構(gòu)建

總體上，以IEC 62443-2-4 的要求構(gòu)建信息安全管理體系的過(guò)程為：

a）根據(jù)表2 中各功能區(qū)對(duì)應(yīng)的階段，結(jié)合3.2 節(jié)識(shí)別的信息安全元素，分析功能區(qū)的要求在各個(gè)階段分別要執(zhí)行的類別。

b）根據(jù)識(shí)別出的類別，在對(duì)應(yīng)的管理體系中依據(jù)IEC 62443-2-4 的要求制定對(duì)應(yīng)的要求。

以表2 中的“事件管理”功能區(qū)為例，“事件管理”在安全級(jí)DCS 除策劃階段的其他階段均需要進(jìn)行管理，而事件管理的信息安全元素通過(guò)分析，即與人有關(guān)，也與物有關(guān)，故需要在信息安全策略、信息安全組織、風(fēng)險(xiǎn)管理、區(qū)域管理、信息管理、人員管理、供方管理、應(yīng)急響應(yīng)等方面均依據(jù)IEC 62443-2-4 的要求進(jìn)行事件管理。

按照上述方式，由表2 中的對(duì)應(yīng)關(guān)系，可將安全級(jí)DCS 生命周期中信息安全管理體系，完整地按以下類別進(jìn)行構(gòu)建：

1）策略與組織：制定信息安全策略，內(nèi)容包括信息安全依據(jù)標(biāo)準(zhǔn)、信息安全的執(zhí)行過(guò)程與依據(jù)程序、信息安全相關(guān)方（包括內(nèi)部與外部相關(guān)方）、實(shí)施信息安全策略的總體期望，并根據(jù)策略明確信息安全組織架構(gòu)及其崗位職責(zé)。

2）風(fēng)險(xiǎn)管理：制定措施對(duì)安全級(jí)DCS 設(shè)計(jì)、生產(chǎn)制造、集成裝配、測(cè)試、包裝運(yùn)輸、現(xiàn)場(chǎng)服務(wù)等活動(dòng)進(jìn)行信息安全管理，包括上述各個(gè)階段的信息安全的風(fēng)險(xiǎn)識(shí)別、分類、評(píng)估、減輕措施及減輕措施的驗(yàn)證。

3）區(qū)域管理：對(duì)安全級(jí)DCS 生命周期中的環(huán)境進(jìn)行識(shí)別，并根據(jù)各環(huán)境存在的人員、設(shè)備等分別進(jìn)行管理。

4）信息管理：制定信息管理程序，包括對(duì)各階段涉及的文件、軟件代碼等均進(jìn)行配置管理，對(duì)后續(xù)交付物的管理，維護(hù)數(shù)據(jù)管理等，以防止非授權(quán)訪問(wèn)。

5）人員管理：結(jié)合組織架構(gòu)，制定人員管理程序，包括供應(yīng)商、分包商等相關(guān)單位的人員管理，包括培訓(xùn)、資質(zhì)審查與調(diào)整、背景調(diào)查、人員變動(dòng)管理。

6）供方管理：制定供方管理程序，對(duì)安全級(jí)DCS 生命周期中的供方進(jìn)行管理，保證外購(gòu)的產(chǎn)品、服務(wù)安全可靠。

7）應(yīng)急響應(yīng)：制定信息安全事件的響應(yīng)流程，并制定應(yīng)急措施，進(jìn)行周期演練。

4 結(jié)束語(yǔ)

當(dāng)前，以“華龍一號(hào)”作為中國(guó)制造2025 的標(biāo)志性工程表明了中國(guó)發(fā)展核電的決心，核電廠儀控系統(tǒng)技術(shù)也朝著數(shù)字化、智能化的方向迅速發(fā)展，由此帶來(lái)的信息安全隱患不容忽視。本文通過(guò)對(duì)工控信息安全標(biāo)準(zhǔn)的分析，結(jié)合核電廠安全級(jí)DCS 生命周期的特點(diǎn)，提出了一套構(gòu)建安全級(jí)DCS 供應(yīng)商信息安全管理體系的方法，并給出了構(gòu)建過(guò)程示例，為安全級(jí)DCS 供應(yīng)商構(gòu)建信息安全管理體系提供參考。同時(shí)，安全級(jí)DCS 供應(yīng)商應(yīng)注意到，參照IEC 62443-2-4 等成熟的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)能加快構(gòu)建信息安全管理體系的過(guò)程，但還應(yīng)從自身實(shí)際情況出發(fā)，不照搬標(biāo)準(zhǔn)，針對(duì)性地構(gòu)建特定的信息安全管理體系，從而在根本上保障安全級(jí)DCS 全生命周期的信息安全。