核電站數(shù)字化儀控系統(tǒng)信息安全特征分析

孫永勝 夏丹陽

摘要：該文以國際電工委員會/核儀器技術(shù)委員會（IEC SC45A）的標準體系為基礎(chǔ)，討論了核電廠數(shù)字化儀控系統(tǒng)信息安全的特征。文章首先對SC45A標準體系進行了介紹，之后闡述了信息安全標準在該標準體系中的位置以及與其他標準的聯(lián)系，而后從信息安全保障對象、保障屬性、主要威脅來源以及安全防護等級方面對數(shù)字化儀控系統(tǒng)的信息安全特征進行了分析和闡述。

關(guān)鍵詞：核電站；數(shù)字化儀控系統(tǒng)；信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2019）05-0240-02

Information Security Features of Digital Instrument Control System in Nuclear Power Plant

SUN Yong-sheng， XIA Dan-yang

（China Nuclear Control System Engineering CO.， LTD， Beijing 102401，China）

Abstract：Based on the standard system of the International Electrotechnical Commission/Nuclear Instrument Technical Committee （IEC SC45A）， this paper discusses the characteristics of information security of digital instrumentation control systems in nuclear power plants. The article first introduces the SC45A standard system， then describes the location of the information security standard in the standard system and its connection with other standards， and then digitizes from the aspects of information security objects， security attributes， major threat sources and security protection levels. The information security features of the instrument control system were analyzed and elaborated.

Key words： nuclear power plant； digital instrument control system； information security

1 引言

核電站是國家的重大基礎(chǔ)設(shè)施，核電站的儀表和控制系統(tǒng)是核電站的控制中樞，是事關(guān)電站安全的重要系統(tǒng)。而我國已經(jīng)投產(chǎn)的和正在建設(shè)的核電站其儀控系統(tǒng)大多由數(shù)字式系統(tǒng)構(gòu)成，而這就給網(wǎng)絡(luò)攻擊創(chuàng)造了客觀條件，所以數(shù)字化儀控系統(tǒng)已經(jīng)成了核電站重要的信息安全保障對象。本文首先依照國際標準對該領(lǐng)域的信息安全主要特征進行了分析，并總結(jié)了若干主要原則和約束條件。

2 SC45A標準體系中信息安全的主要特征

2.1 核電儀控系統(tǒng)標準體系綜述

國際電工委員會/核儀器技術(shù)委員會（SC45A）標準體系如圖1所示。這個標準體系基于功能安全目標而建立，其中，IEC61513-2001[1]作為整個標準體系的頂級標準，規(guī)定了核電廠儀表與控制系統(tǒng)安全重要部分的功能安全要求的總綱。IEC 61226-2005規(guī)定了核電廠儀表和控制系統(tǒng)以及它們的供電設(shè)備的安全級別、分級方法和要求[2]。IEC60880-2006提供了IEC61226-2005所規(guī)定的核電廠I&C系統(tǒng)實施A類安全功能的計算機軟件要求。而IEC62138-2004提供了IEC61226-2005所規(guī)定的核電廠I&C系統(tǒng)實施B類和C類安全功能的計算機軟件要求。IEC62566-2012規(guī)定了核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的HDL可編程集成電路開發(fā)的相關(guān)要求。

隨著信息安全威脅對工控系統(tǒng)的影響日漸增多，SC45A開始關(guān)注信息安全問題，但直到2014年，它才提出了IEC62645-2014來闡述信息安全問題[3]。該標準作為核電儀控領(lǐng)域信息安全的頂級標準而存在，參考ISO 27001-2005[4]從管理角度約定了在應(yīng)對網(wǎng)絡(luò)安全威脅時核電儀控系統(tǒng)需要采用的具體措施，同時又參考NIST SP800-82[5]從技術(shù)角度提出了核電儀控系統(tǒng)的信息安全技術(shù)指導(dǎo)框架。功能安全是這個領(lǐng)域以及多數(shù)工控應(yīng)用場景下安全問題的首要因素，而信息安全的評價則多以安全威脅所可能導(dǎo)致的功能安全后果作為風(fēng)險評價的主要因素。所以，信息安全角度的最新標準IEC62859-2016[9]首要提出的就是信息安全與功能安全的協(xié)調(diào)框架，它進一步地解決了信息安全設(shè)計準則應(yīng)用于以功能安全為設(shè)計向?qū)У暮穗姀S儀控系統(tǒng)中所應(yīng)該注意的問題。

2.2 核電儀控標準體系的信息安全主要特征

對比ISO27000標準體系，SC45A的相關(guān)標準在多個方面對核電儀控這一專屬領(lǐng)域的信息安全進行了特別的約定，以下從保障對象，安全分級方法。

2.2.1 保障對象的拓展

數(shù)字化儀控系統(tǒng)中的設(shè)備可以分為基于數(shù)字式計算機技術(shù)實現(xiàn)的系統(tǒng)（CB）和基于數(shù)字邏輯實現(xiàn)的系統(tǒng)（HPD）兩類。目前信息安全乃至工控信息安全領(lǐng)域的主要討論對象都是基于數(shù)字式計算機實現(xiàn)的系統(tǒng)，較少的涉及采用FPGA或CPLD等可編程數(shù)字邏輯器件實現(xiàn)的系統(tǒng)。在IEC62645-2014中，已經(jīng)明確地把可編程邏輯器件所構(gòu)建的系統(tǒng)作為與基于數(shù)字計算機技術(shù)實現(xiàn)的系統(tǒng)相并列的對象進行討論?；贖DL可編程數(shù)字邏輯技術(shù)實現(xiàn)的系統(tǒng)已經(jīng)不可避免的被列入了信息安全的討論范圍之內(nèi)，而這一改變對信息安全相關(guān)技術(shù)活動的影響需要綜合參照IEC62645-2014和IEC62566-2012作為標準基礎(chǔ)。

2.2.2 基于功能安全后果導(dǎo)向的分級方法

實現(xiàn)功能安全是儀控系統(tǒng)的主要設(shè)計任務(wù)，而信息安全的等級劃分也來自功能安全后果導(dǎo)向。IEC62645-2014中對系統(tǒng)的信息安全分級方法可以概括如下：

1）應(yīng)根據(jù)信息安全威脅所可能產(chǎn)生的最大安全后果向系統(tǒng)分配程度S1至S3。

2）向數(shù)字化儀控系統(tǒng)分配安全程度應(yīng)依照如下原則：

–向處理A類安全功能的數(shù)字化儀控系統(tǒng)分配的安全程度為S1；

–向需要實時操作的數(shù)字化儀控系統(tǒng)以及處理B類安全功能的數(shù)字化儀控系統(tǒng)分配的安全程度不得低于S2；

–根據(jù)信息安全威脅所可能產(chǎn)生的最大安全后果，向處理C類功能的數(shù)字化儀控系統(tǒng)以及協(xié)助工廠運行和維護的數(shù)字化儀控系統(tǒng)的輔助系統(tǒng)分配的安全程度為S3。

2.2.3 主要威脅范圍的限定

威脅利用系統(tǒng)的脆弱性對資產(chǎn)產(chǎn)生破壞是分析信息安全風(fēng)險的最基本范式，定義對象系統(tǒng)的信息安全威脅是需要解決的問題。依據(jù)ISO27000標準體系，物理防護、電力供應(yīng)、運行環(huán)境以及綜合性的自然災(zāi)害所造成的破壞，均被視作對特定信息安全保障對象的威脅。但是，作為核電廠數(shù)字化儀控系統(tǒng)，其運行的物理環(huán)境和相關(guān)的人員管理措施均被其他法律法規(guī)所約束，也被較完善的國際和國內(nèi)標準所指導(dǎo)和限制，所以IEC62645-2014和IEC62859-2016中都不以這些威脅途徑作為主要的討論和分析對象，而是把討論的范圍限定在數(shù)字式攻擊（即網(wǎng)絡(luò)攻擊Cyberattacks）?；谕瑯拥睦碛桑@些標準同時把非惡意的活動和偶然事件排除在主要威脅范圍之外。雖然這些被包含在ISO/IEC27000標準族、IEC62443標準族[10]或者NIST的相關(guān)出版物質(zhì)的討論框架內(nèi)，但為了集中討論主要威脅，SC45A的主要標準將主要的威脅分析對象限定為以數(shù)字式手段進行的攻擊活動。

3 總結(jié)和展望

本文基于IEC的SC45A標準體系進行分析，總結(jié)了其信息安全角度的幾個主要特征，從保障對象，分析方法和威脅范圍三個角度對其進行了分析。未來的工作將進一步基于信息安全特征提出基于該標準體系的信息安全設(shè)計準則。

參考文獻：

[1] IEC， IEC 61513-2001 Nuclear power plants Instrumentation and control for systems important to safety General requirements for systems[S]， Geneva：IEC， 2001.

[2] IEC61226：2004Nuclear power plants Instrumentation and control systems important to safety Classification of instrumentation and control functions[S]， Geneva：IEC， 2004.

[3] IEC62645-2014 Nuclear power plants Instrumentation and control systems Requirements for security programmes for computer-based systems[S]， Geneva：IEC， 2014.

[4] ISO27001-2005 Information technology Security techniques Information security management systems Requirements[S]， Geneva：IEC， 2005.

[5] NIST SP800-82-2010 Guide to Industrial Control Systems （ICS） Security[S]， Geneva： NIST，2014.

【通聯(lián)編輯：代影】