關于核電工業(yè)控制系統(tǒng)安全的幾點基本認識和思考

郭永振 王碩

（中國軟件評測中心，北京 100048）

關于核電工業(yè)控制系統(tǒng)安全的幾點基本認識和思考

郭永振 王碩

（中國軟件評測中心，北京 100048）

本文列舉了工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別，通過工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定來說明核電工業(yè)控制系統(tǒng)安全的特殊性，同時介紹了信息安全與功能安全的區(qū)別、與核電工業(yè)控制系統(tǒng)相關的國內(nèi)外法律法規(guī)及安全標準、國際核電領域重要的安全事件，在我國現(xiàn)有核電領域工業(yè)控制系統(tǒng)安全要求的基礎上，提出核電工業(yè)控制系統(tǒng)安全防護應對策略。

核電 工業(yè)控制系統(tǒng) 安全測試 風險評估 應對策略

1 引言

隨著信息和通信技術的發(fā)展，核電領域工業(yè)控制系統(tǒng)（Industrial Control System，ICS）的結構變得愈發(fā)開放，其需求方逐漸采用基于標準通信協(xié)議的商業(yè)軟件來代替自主研發(fā)的工業(yè)控制軟件。這種趨勢降低了最終用戶的研發(fā)投入成本，同時，設備與軟件的維護任務可以交給工業(yè)控制系統(tǒng)解決方案提供方，節(jié)省了人力維護成本。

ICS系統(tǒng)的聯(lián)通特性在帶來方便的同時也給核電工業(yè)控制系統(tǒng)安全防護提出了新的挑戰(zhàn)，近年來，多個國家的ICS系統(tǒng)受到了安全威脅。為應對核電領域網(wǎng)絡安全風險挑戰(zhàn)，建立工業(yè)控制安全與核安全相結合的保障體系，本文從工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定、核電信息安全與功能安全的區(qū)別、核電工業(yè)控制系統(tǒng)基本安全要求等方面闡述我國目前面臨的核電信息安全形勢，介紹了核電領域重要的信息安全事件，并總結了核電工業(yè)控制系統(tǒng)安全的應對策略。

2 工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定

標準通信協(xié)議的引入使ICS具備了互聯(lián)互通的特性，ICS與傳統(tǒng)IT系統(tǒng)的界線似乎變得更加模糊了。然而，ICS系統(tǒng)與IT系統(tǒng)相比仍然具有很多本質(zhì)上的差異。

美國問責總署（GAO）的報告GAO-07-1036［1］、美國國家標準技術研究院NIST SP 800-82［2］根據(jù)系統(tǒng)特征對IT系統(tǒng)和ICS系統(tǒng)進行了比較，IT系統(tǒng)屬于信息系統(tǒng)（Cyber System），ICS系統(tǒng)屬于信息物理融合系統(tǒng)（Cyber-Physical System）。下文將從不同角度說明兩種系統(tǒng)的差異。

2.1 工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定

模型和參考體系是描述工業(yè)控制系統(tǒng)的公共框架，工業(yè)控制系統(tǒng)被劃分為五層結構，如圖1。

第五層—經(jīng)營決策層。經(jīng)營決策層具有為組織機構提供核心生產(chǎn)經(jīng)營、重大戰(zhàn)略決策的功能。該層屬于傳統(tǒng)IT管理系統(tǒng)，使用的都是傳統(tǒng)的IT技術、設備等，主要由服務器和計算機構成。當前工業(yè)領域中企業(yè)管理系統(tǒng)等同工業(yè)控制系統(tǒng)之間的耦合越來越多，參考模型也將它包含進來。

第四層—管理調(diào)度層。管理調(diào)度層負責管理生產(chǎn)所需最終產(chǎn)品的工作流，它包括業(yè)務管理、運行管理、生產(chǎn)管理、制造執(zhí)行、能源管理、安全管理、物流管理等，主要由服務器和計算機構成。

第三層—集中監(jiān)控層。集中監(jiān)控層具有監(jiān)測和控制物理過程的功能，主要由操作員站、工程師站、輔操臺、人機界面、打印工作站、數(shù)據(jù)庫服務器等設備構成。

第二層—現(xiàn)場控制層?，F(xiàn)場控制層主要包括利用控制設備進行現(xiàn)場控制的功能，另外在第二層也對控制系統(tǒng)進行安全保護。第二層中的典型設備包括分散控制系統(tǒng)（DCS）控制器、可編程邏輯控制器（PLC）、遠程終端控制單元（RTU）等。

第一層—采集執(zhí)行層。現(xiàn)場執(zhí)行層指實際的物理和化學過程數(shù)據(jù)的采集、控制動作的執(zhí)行。本層包括不同類型的生產(chǎn)設施，典型設備有直接連接到過程和過程設備的傳感器、執(zhí)行器、智能電子儀表等。在工業(yè)控制系統(tǒng)參考模型中，現(xiàn)場執(zhí)行層屬于物理空間，它同各工業(yè)控制行業(yè)直接相關，例如電力的發(fā)電、輸電、配電，化工生產(chǎn)、水處理行業(yè)的泵操作等；正是由于第一層物理空間的過程對實時性、完整性等要求以及它同第二、三、四層信息空間融合才產(chǎn)生工業(yè)控制系統(tǒng)特有的特點和安全需求［3］。

隨著信息物理的融合，從廣義來說，上述五層都屬于工業(yè)控制系統(tǒng)；從狹義來說，第一層到第三層的安全要求及技術防護與其他兩層相比具備較大差異，第一層到第三層屬于狹義工業(yè)控制系統(tǒng)，第四層到第五層屬于信息系統(tǒng)。

2.2 工業(yè)控制系統(tǒng)與信息系統(tǒng)的差異

從用途的角度來說，ICS屬于工業(yè)生產(chǎn)領域的生產(chǎn)過程運行控制系統(tǒng)，重點是生產(chǎn)過程的采集、控制和執(zhí)行，而信息系統(tǒng)通常是信息化領域的管理運行系統(tǒng)，重點在于信息管理。

從系統(tǒng)最終目標的角度來看，ICS更多是以生產(chǎn)過程的控制為中心的系統(tǒng)，而信息技術系統(tǒng)的目的是人使用信息進行管理。

從安全的角度來說，傳統(tǒng)IT系統(tǒng)的安全三要素機密性、完整性、可用性按CIA原則排序，即機密性最重要，完整性次之，可用性排在最后；而工業(yè)控制系統(tǒng)不再適用于這一原則，其安全目標應符合AIC原則，即可用性排在第一位，完整性次之，機密性排在最后。

從受到攻擊后產(chǎn)生的結果來說，工業(yè)控制系統(tǒng)被攻陷后產(chǎn)生的影響是巨大的，有時甚至是災難性的：一是造成物質(zhì)與人員損失，如設備的報廢、基礎設備的損壞、對人員的傷害、財產(chǎn)的損失、數(shù)據(jù)的丟失；二是造成環(huán)境的破壞，如水、電、氣、熱等人民生活資源的污染，有毒、危險物質(zhì)的無序排放、非法轉(zhuǎn)移與使用，公共秩序的混亂；三是造成對國民經(jīng)濟的破壞，如企業(yè)生產(chǎn)與經(jīng)營中斷或停頓、工人停工或失業(yè)，對一個地區(qū)、一個國家乃至對全球經(jīng)濟具備重要的影響；四是嚴重的則會導致社會問題和國家安全問題，如公眾對國家的信心喪失、恐怖襲擊等。

從安全需求的角度來說，ICS系統(tǒng)與IT的差異可以歸納為表1。

3 核電信息安全與功能安全的區(qū)別

功能安全（Functional Safety）是保證系統(tǒng)或設備執(zhí)行正確的功能。它要求系統(tǒng)識別工業(yè)現(xiàn)場的所有風險，并將它控制在可容忍范圍內(nèi)。

安全相關系統(tǒng)的概念是基于安全完整性等級（SIL1到SIL4）的。它將系統(tǒng)的安全表示為單個數(shù)字，而這個數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的衡量安全相關系統(tǒng)功能失效率的保護因子，級別越高，失效的可能性越小。某一功能安全的SIL等級一旦確定，代表它的風險消減能力要求被確定，同時，對系統(tǒng)的設計、管理、維護的要求嚴格程度也被確定。信息安全與功能安全雖然都是為保障人員、生產(chǎn)和環(huán)境安全，但是功能安全使用的安全完整性等級是基于硬件隨機失效或系統(tǒng)失效的可能性計算得出的，而信息安全的失效具有更多可能的誘因和后果。影響信息安全的因素非常復雜，很難用一個簡單的數(shù)字描述。然而，功能安全的全生命周期安全理念同樣適用于信息安全，信息安全的管理和維護也須是反復迭代進行的。

4 核電工業(yè)控制系統(tǒng)基本安全要求

我國核安全法規(guī)及政策文件主要包括《HAF001中華人民共和國民用核設施安全監(jiān)督管理條例》、《HAF501中華人民共和國核材料管制條例》、《HAF002核電廠核事故應急管理條例》、《民用核安全設備監(jiān)督管理條例 500號令》、《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)［2011］451號）等；指導性文件主要有《HAD核安全導則》，與核電廠工業(yè)控制系統(tǒng)安全相關的有《HAF003 核電廠質(zhì)量保證安全規(guī)定》、《HAD102-01核電廠設計總的安全原則》、《HAD102-10核電廠保護系統(tǒng)及有關設備》、《HAD102-14核電廠安全有關儀表和控制系統(tǒng)》、《HAD102-16核電廠基于計算機的安全重要系統(tǒng)軟件》、《HAD102-17核電廠安全評價與驗證》等導則，標準規(guī)范有《GB/T 13284.1-2008 核電廠安全系統(tǒng) 第1部分：設計準則》、《GB/T 13629-2008 核電廠安全系統(tǒng)中數(shù)字計算機的適用準則》、《GB/T 15474-2010 核電廠安全重要儀表和控制功能分類》、《GB/ T 20438-2006 電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》、《GB/T 21109-2007 過程工業(yè)領域安全儀表系統(tǒng)的功能安全》［4］等。

然而，我國核電信息安全方面的標準與我國法律的結合不緊密?！禦G 5.71核設施的信息安全程序》是美國核能監(jiān)管委員會（NRC）參考聯(lián)邦法規(guī)中對計算機、通信系統(tǒng)和網(wǎng)絡保護的要求，針對核電廠而制定的法規(guī)，《RG 1.152核電廠安全系統(tǒng)計算機使用標準》是為保障用于核電廠安全系統(tǒng)的數(shù)字計算機的功能可靠性、設計質(zhì)量、信息和網(wǎng)絡安全而制定的法規(guī)，其所有的背景與定義均來源于聯(lián)邦法規(guī)。而我國的相關標準僅是將RG 5.71中的美國標準替換為中國標準，且國內(nèi)相關核電領域法規(guī)缺乏對信息安全的要求。

5 核電工業(yè)控制系統(tǒng)重要安全事件

5.1 蠕蟲病毒導致美國Davis-Besse核電站安全監(jiān)控系統(tǒng)癱瘓

2003年1月，“Slammer”蠕蟲病毒導致美國俄亥俄州Davis-Besse核電站安全監(jiān)控系統(tǒng)癱瘓，核電站被迫停止運轉(zhuǎn)進行檢修。經(jīng)調(diào)查，核電站沒有及時進行安裝補丁，該蠕蟲使用供應商被感染的電腦通過電話撥號直接連到工廠網(wǎng)絡，從而繞過防火墻。

5.2 信息洪流導致美國Browns Ferry核電站機組關閉

2006年8月，美國阿拉巴馬州的Browns Ferry核電站3號機組受到網(wǎng)絡攻擊，當天核電站局域網(wǎng)中出現(xiàn)了信息洪流，導致反應堆再循環(huán)泵和冷凝除礦控制器失靈，致使3號機組被迫關閉。

5.3 軟件更新不當引發(fā)美國Hatch核電廠機組停機

2008年3月，美國喬治亞州Hatch核電廠2號機組發(fā)生自動停機事件。當時，一位工程師正在對該廠業(yè)務網(wǎng)絡中的一臺計算機進行軟件更新，該計算機用于采集控制網(wǎng)絡中的診斷數(shù)據(jù)，以同步業(yè)務網(wǎng)絡與控制網(wǎng)絡中的數(shù)據(jù)。當工程師重啟計算機時，同步程序重置了控制網(wǎng)絡中的相關數(shù)據(jù)，使得控制系統(tǒng)誤以為反應堆儲水庫水位突然下降，從而自動關閉了整個機組。

5.4 震網(wǎng)病毒入侵伊朗核電站導致核計劃停頓

2010年10月，震網(wǎng)病毒（Stuxnet）通過針對性的入侵伊朗布什爾核電站核反應堆控制系統(tǒng)，攻擊造成核電站五分之一的濃縮鈾設施離心機發(fā)生故障，直接影響到了伊朗的核計劃進度，嚴重威脅到的安全運營。該事件源于核電廠員工在內(nèi)部網(wǎng)絡和外部網(wǎng)絡交叉使用帶有病毒的移動存儲介質(zhì)。

5.5 無線網(wǎng)絡引入的木馬引發(fā)韓國核電站重要信息泄露

2015年8月，曾泄漏韓國古里核電站1、2號機組內(nèi)部圖紙、月城核電站3、4號機組內(nèi)部圖紙、核電站安全解析代碼等文件的“核電反對集團”組織通過社交網(wǎng)站再次公開了核電站等機構的內(nèi)部文件，要求韓國政府與該組織就拿到的10萬多張設計圖問題進行協(xié)商，并威脅韓國政府如不接受上述要求，將向朝鮮以及其他國家出售所有資料。本事件源于核電廠員工在企業(yè)內(nèi)網(wǎng)和企業(yè)外部利用手機使用不安全的無線網(wǎng)絡信號，被感染木馬而引發(fā)。

6 核電工業(yè)控制系統(tǒng)安全應對策略

6.1 完善核電工業(yè)控制系統(tǒng)安全法規(guī)及標準

根據(jù)工信部協(xié)［2011］45l號文［5］，工業(yè)控制系統(tǒng)組網(wǎng)時要同步規(guī)劃、同步建設、同步運行安全防護措施，明確了工業(yè)控制系統(tǒng)信息安全管理基本要求，即連接管理要求、組網(wǎng)管理要求、配置管理要求、設備選擇與升級管理要求、數(shù)據(jù)管理要求、應急管理要求。核電行業(yè)主管部門、國有資產(chǎn)監(jiān)督管理部門應結合實際制定完善相關法規(guī)制度，并參考《IEC 62443工業(yè)通訊網(wǎng)絡 網(wǎng)絡和系統(tǒng)安全》、《NIST SP800-82 工業(yè)控制系統(tǒng)安全指南》、《GB/T 26333-2010工業(yè)控制網(wǎng)絡安全風險評估規(guī)范》、《GB/T 30976.1-2014 工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范》、《GB/T 30976.2-2014工業(yè)控制系統(tǒng)信息安全 第2部分：驗收規(guī)范》、《GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》、《IEEE Std 7-432-2010核電站安全系統(tǒng)計算機系統(tǒng)》制定適用于核電領域的工業(yè)控制系統(tǒng)安全標準。同時，部分企業(yè)對推薦性標準的執(zhí)行力度不夠，有必要出臺若干強制性標準。

6.2 健全核電工業(yè)控制系統(tǒng)安全責任制

核電企業(yè)要按照誰主管按照誰負責、誰運營誰負責、誰使用誰負責的原則建立健全信息安全責任制，建立信息安全領導機構和專職部門，配備工業(yè)控制系統(tǒng)安全專職技術人員，統(tǒng)籌工業(yè)控制系統(tǒng)和信息系統(tǒng)安全工作，建立工業(yè)控制系統(tǒng)安全管理制度和應急預案，保證充足的信息安全投入，系統(tǒng)性開展安全管理和技術防護。

6.3 統(tǒng)籌開展核電工業(yè)控制系統(tǒng)安全防護

結合生產(chǎn)安全、功能安全、信息安全等多方面要求統(tǒng)籌開展工業(yè)控制系統(tǒng)安全防護，提升工業(yè)控制系統(tǒng)設計人員、建設人員、使用人員、運維人員和管理人員的信息安全意識，避免殺毒等傳統(tǒng)防護手段不適用導致工業(yè)控制系統(tǒng)未進行有效防護、工業(yè)控制系統(tǒng)遭受外界攻擊而發(fā)生癱瘓、工業(yè)控制系統(tǒng)安全可靠性不足導致停機事故、工業(yè)控制系統(tǒng)重要信息失竊密等風險。

6.4 建立核電工業(yè)控制系統(tǒng)測試管控體系

系統(tǒng)需求、設計、開發(fā)、運維階段的一些問題會影響工業(yè)控制系統(tǒng)的安全可靠運行，因此有必要在系統(tǒng)需求設計、選型、招標、建設、驗收、運維、擴建等階段強化廠商內(nèi)部測試、出廠測試、選型測試、試運行測試、驗收測試、安全測試、入網(wǎng)測試、上線或版本變更測試等測試管控手段，提升系統(tǒng)安全性。

6.5 開展工業(yè)控制系統(tǒng)安全測試、檢查和評估

企業(yè)要定期開展工業(yè)控制系統(tǒng)的安全測試、風險評估、安全檢查和安全評估，以便及時發(fā)現(xiàn)網(wǎng)絡安全隱患和薄弱環(huán)節(jié)，有針對性地采取管理和技術防護措施，促進安全防范水平和安全可控能力提升，預防和減少重大網(wǎng)絡安全事件的發(fā)生。核電行業(yè)主管部門、網(wǎng)絡安全主管部門要加強對核電領域工業(yè)控制系統(tǒng)信息安全工作的指導監(jiān)督，加強安全自查、檢查和抽查，確保信息安全落到實處。

綜上所述，圍繞我國核設施安全要求，完善核電信息安全法規(guī)標準，落實信息安全責任制，統(tǒng)籌開展安全技術防護，建立工業(yè)控制系統(tǒng)測試管控體系，定期開展安全測試和評估，是當前和今后核電領域開展工業(yè)控制系統(tǒng)信息安全保障的重要內(nèi)容。

［1］David A. Multiple Efforts to Secure Control Systems Are Under Way， but Challenges Remain， GAO-07-1036 ［R］.Washington DC，USA∶US Government Accountability Office（US GAO），2007.

［2］NIST SP800-82.Guide to Industrial Control Systems （ICS）Security ［S］.Gaithersburg， USA∶ National Institute of Standards and Technology （NIST），2011.

［3］彭勇，江常青，謝豐，等.工業(yè)控制系統(tǒng)信息安全研究進展 ［J］.清華大學學報，2012，52（10）∶1396-1408.

［4］謝新勤.核電工業(yè)控制系統(tǒng)信息安全標準解讀［J］.《工業(yè)控制系統(tǒng)信息安全》?？?015.

［5］關于加強工業(yè)控制系統(tǒng)信息安全管理的通知.工信部協(xié)［2011］451號.

This paper illustrates the difference between ICS and IT system， the diversity between information security and functional safety and significant security events abroad. The specification of ICS in nuclear power generation is presented. The regulations and safety standards for ICS in nuclear power plant are also introduced. Based on the basic security requirements for nuclear power generation in our country， an integrated protect strategy is proposed.

Nuclear power generation；Industrial control system ；Safety testing；Risk assessment；Protect strategy