信息安全標(biāo)準(zhǔn)體系研究

張 冬，陳日罡

(中國核電工程有限公司北京核工程研究設(shè)計院，北京 100083)

0 引言

由于工控系統(tǒng)和工業(yè)互聯(lián)網(wǎng)的結(jié)合發(fā)展，工控系統(tǒng)漏洞導(dǎo)致工業(yè)信息安全事故頻發(fā)，工控系統(tǒng)信息安全的防護引起了行業(yè)工作者的廣泛關(guān)注。核電廠信息安全作為工業(yè)信息安全的一部分，其安全隱患隨著數(shù)字化技術(shù)的深度應(yīng)用也越來越明顯。核電廠信息安全已經(jīng)成為核安全的重要組成部分。我國于2017年實施了《中華人民共和國網(wǎng)絡(luò)安全法》，從國家層面為信息安全工作指明了方向，也從側(cè)面反映了我國當(dāng)前信息安全工作的嚴(yán)峻形勢。

信息安全標(biāo)準(zhǔn)建在推動行業(yè)發(fā)展和行業(yè)互認(rèn)的有力工具，是信息安全建設(shè)的重要依據(jù)。核電廠數(shù)字化儀控系統(tǒng)信息安全標(biāo)準(zhǔn)建立在工業(yè)信息安全標(biāo)準(zhǔn)的基礎(chǔ)上，適應(yīng)了核電廠分布式控制系統(tǒng)(distributed control system,DCS)特點，現(xiàn)在仍處于進一步完善的過程中。本文將分別從國內(nèi)標(biāo)準(zhǔn)、美聯(lián)邦導(dǎo)則標(biāo)準(zhǔn)和國際電工委員會標(biāo)準(zhǔn)三個標(biāo)準(zhǔn)體系出發(fā)，首先介紹工控系統(tǒng)和核設(shè)施信息系統(tǒng)信息安全標(biāo)準(zhǔn)的體系結(jié)構(gòu)和總體要求，然后描述三個標(biāo)準(zhǔn)體系各自的優(yōu)缺點，最后進行總結(jié)。

1 國內(nèi)標(biāo)準(zhǔn)體系

根據(jù)信息安全要求制定的國家機構(gòu)不同，國內(nèi)信息安全標(biāo)準(zhǔn)可以分為以下三類。

①全國信息安全標(biāo)準(zhǔn)化委員會歸口的標(biāo)準(zhǔn)。

②發(fā)改委和能源局發(fā)布的電力監(jiān)控系統(tǒng)的防護要求。

③工信部發(fā)布的工控系統(tǒng)信息安全防護指南。

1.1 信息安全標(biāo)準(zhǔn)化委員會歸口的標(biāo)準(zhǔn)要求

信息安全相關(guān)的國家標(biāo)準(zhǔn)目前都由信息安全委員會歸口發(fā)布，核電廠DCS參考的相關(guān)標(biāo)準(zhǔn)可以分為兩種：一是信息安全等級保護標(biāo)準(zhǔn)[1-11]；二是工控系統(tǒng)信息安全標(biāo)準(zhǔn)。

1.1.1 信息安全等級保護標(biāo)準(zhǔn)體系

①標(biāo)準(zhǔn)對象。等級保護標(biāo)準(zhǔn)的保護對象是計算機信息系統(tǒng)，是針對信息安全的通用要求，也是電力監(jiān)管部門監(jiān)督發(fā)電企業(yè)信息安全行為的主要參考依據(jù)。

②標(biāo)準(zhǔn)體系。針對不同信息系統(tǒng)實施分等級的保護，既可以解決難以實現(xiàn)的整體高級別保護問題，又可以以適當(dāng)投入對需要重點保護的信息進行防護。等級保護標(biāo)準(zhǔn)體系即是對信息系統(tǒng)進行等級劃分，分級別進行防護的標(biāo)準(zhǔn)體系。等級保護標(biāo)準(zhǔn)體系結(jié)構(gòu)如圖1所示。

圖1 等級保護標(biāo)準(zhǔn)體系結(jié)構(gòu)示意圖

GB 17859[1]是計算機信息系統(tǒng)安全等級保護標(biāo)準(zhǔn)體系的基礎(chǔ)。根據(jù)計算機信息系統(tǒng)的安全技術(shù)和安全風(fēng)險控制的關(guān)系，將信息系統(tǒng)安全保護能力由低到高分為5個級別：用戶自主保護級、系統(tǒng)審計保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。在此基礎(chǔ)上，GB/T 20269[2]和 GB/T 20271[3]圍繞保護能力等級的劃分，分別從管理和技術(shù)方面對信息安全防護要求進行了細(xì)化，形成應(yīng)用性標(biāo)準(zhǔn)；GB/T 20270[4]、GB/T 20272[5]和GB/T 20273[6]分別對網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)提出了詳細(xì)的技術(shù)防護要求。

基于GB 17859標(biāo)準(zhǔn)，按照信息系統(tǒng)受到破壞后，對國家安全、公共利益和公民合法權(quán)益等定級要素造成損害的程度，信息系統(tǒng)從低到高分為5個安全防護等級。定級要素與安全保護等級的關(guān)系如表1所示。

表1 定級要素與安全保護等級的關(guān)系

GB/T 20058[7]規(guī)定了等級保護的具體實施程序，GB/T 22240[8]規(guī)定了定級的方法，GB/T 22239[9]分別對5個等級的技術(shù)要求和管理要求進行了規(guī)范。技術(shù)要求從保護客體出發(fā)，規(guī)定了物理安全、網(wǎng)絡(luò)和主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)4個方面的防護要求；管理要求規(guī)定了管理制度、組織結(jié)構(gòu)、人員安全、采購和服務(wù)、運維管理、密碼管理、變更管理、安全事件處置、應(yīng)急預(yù)案等方面的防護要求；其要求細(xì)節(jié)上與GB/T 20269和GB/T 20271是對應(yīng)關(guān)系。GB/T 28448[10]和GB/T 28449[11]規(guī)定了對等級保護系統(tǒng)測評的要求。

1.1.2 工控系統(tǒng)信息安全相關(guān)國標(biāo)

(1)標(biāo)準(zhǔn)對象。

標(biāo)準(zhǔn)對象為工業(yè)控制系統(tǒng)。

(2)標(biāo)準(zhǔn)體系。

工業(yè)控制系統(tǒng)的信息安全標(biāo)準(zhǔn)主要有GB/T 30976[12]和GB/T 33009[13]兩個體系。

GB/T 30976《工業(yè)控制系統(tǒng)信息安全》分為兩個部分。①評估規(guī)范：規(guī)定了工控系統(tǒng)信息安全評估的目標(biāo)、評估內(nèi)容和實施過程。②驗收規(guī)范：規(guī)定了工控系統(tǒng)信息安全能力的驗收流程、測試內(nèi)容、方法及應(yīng)達到的要求。

GB/T 33009《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全》分為四個部分。①防護要求：規(guī)定了DCS在運行和維護過程中應(yīng)具備的安全能力和防護技術(shù)要求。②管理要求：規(guī)定了DCS在運行和維護過程中應(yīng)具備的安全管理要點和防護管理要求。③風(fēng)險評估指南：規(guī)定了DCS在運行和維護過程中對系統(tǒng)技術(shù)防護能力和安全管理有效性的評估過程和方法。④風(fēng)險與脆弱性檢測要求：規(guī)定了DCS在運行和維護過程中潛在系統(tǒng)脆弱性和安全風(fēng)險的檢測內(nèi)容和測試方法。

1.2 電力監(jiān)控系統(tǒng)的防護要求

1.2.1 防護對象

防護對象是電力監(jiān)測系統(tǒng)，即用于監(jiān)測和控制電力生產(chǎn)及供應(yīng)過程的、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及職能設(shè)備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)。

1.2.2 防護要求

電力監(jiān)控系統(tǒng)的要求來源于2014年發(fā)改委的14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》和能源局國能安全【2015】36號文《電力監(jiān)控系統(tǒng)安全防護總體方案》。其防護的總體要求是安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證這16字方針。

發(fā)電企業(yè)業(yè)務(wù)系統(tǒng)分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)根據(jù)業(yè)務(wù)重要性和響應(yīng)級別分為控制區(qū)和非控制區(qū)。《核電廠二次系統(tǒng)安全防護技術(shù)規(guī)定》對于核電站監(jiān)控系統(tǒng)安全分區(qū)如表2所示。

表2 核電站監(jiān)控系統(tǒng)安全分區(qū)

根據(jù)通知規(guī)定的核電站監(jiān)控系統(tǒng)的安全分區(qū)和分區(qū)邊界要求，核電站監(jiān)控系統(tǒng)的邊界防護如圖2所示。

圖2 核電站監(jiān)控系統(tǒng)的邊界防護示意圖

在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間，必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強度應(yīng)達到物理隔離；生產(chǎn)控制大區(qū)內(nèi)部安全區(qū)之間應(yīng)設(shè)置實現(xiàn)邏輯隔離功能的設(shè)備或防火墻。

通知規(guī)定，核電廠DCS監(jiān)控系統(tǒng)和輔助控制系統(tǒng)的信息安全等級保護級別為等級保護第三級。

1.3 工控系統(tǒng)信息安全防護指南

1.3.1 防護對象

防護對象是工業(yè)控制網(wǎng)絡(luò)。

1.3.2 指南要求

工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護指南》基于《國家網(wǎng)絡(luò)安全法》，結(jié)合我國工控安全現(xiàn)狀，借鑒了等級保護要求，在邊界、網(wǎng)絡(luò)、計算環(huán)境等方面提出了十一條重點防護要求。具體要求包括：安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理和落實責(zé)任。其為工業(yè)控制系統(tǒng)信息安全從業(yè)單位提供了業(yè)務(wù)指導(dǎo)和詳細(xì)的防護方案。

1.4 國內(nèi)標(biāo)準(zhǔn)體系小結(jié)

國家發(fā)改委和能源局印發(fā)的相關(guān)通知文件規(guī)定了電力監(jiān)控系統(tǒng)的安全分區(qū)和隔離要求，為電力監(jiān)控系統(tǒng)的分區(qū)和防護要求指明了方向，確定了核電廠DCS屬于信息安全等級保護第三級。按照全國信安委的等級保護相關(guān)標(biāo)準(zhǔn)規(guī)定，可以明確核電廠DCS的信息安全防護要求及評測要求。在此基礎(chǔ)上，結(jié)合GB/T 30976、GB/T 33009和工控系統(tǒng)信息安全防護指南，對上述要求不全面的部分進行適當(dāng)補充。

同時，國內(nèi)標(biāo)準(zhǔn)要求的顆粒度為核電廠DCS，對于DCS內(nèi)部不同安全分級子系統(tǒng)的信息安全沒有明確建議。在等級保護相關(guān)標(biāo)準(zhǔn)的應(yīng)用上，可以根據(jù)DCS子系統(tǒng)的重要程度和受攻擊后損害的嚴(yán)重程度適當(dāng)提高等級保護防護要求。

2 美聯(lián)邦法規(guī)標(biāo)準(zhǔn)

美國核管會NRC發(fā)布的核設(shè)施信息安全導(dǎo)則有RG 5.71[14]《Requirements for security programmes for computer-based systems》和RG 1.152[15]《Criteria for digital computers in safety systems for nuclear power plants》。其中，RG 5.71規(guī)定了關(guān)鍵數(shù)字資產(chǎn)的識別程序，提出了信息安全的縱深防御5級體系，列舉了技術(shù)、運行和管理三個方面的防護措施；RG 1.152以數(shù)字化信息系統(tǒng)的全壽命周期為軸線，描述了不同階段的信息安全防護指導(dǎo)。NRC信息安全導(dǎo)則結(jié)構(gòu)如圖3所示。

圖3 NRC信息安全導(dǎo)則結(jié)構(gòu)示意圖

2.1 RG 5.71

2.1.1 防護對象

防護對象是執(zhí)行SSEP功能相關(guān)的計算機、通信系統(tǒng)和網(wǎng)絡(luò)。

2.1.2 導(dǎo)則體系

RG 5.71是以美聯(lián)邦法規(guī)第十篇73章54節(jié)(簡稱10 CFR73.54)的防護目標(biāo)為基礎(chǔ)，參考NIST SP800-53[16]和NIST SP800-82[17]的防護要求制定的。

10 CFR73.54[18]指出了信息安全防護的SSEP功能是：安全相關(guān)和安全重要功能(safety)，信息安全功能(security),應(yīng)急預(yù)備功能(emergency)包括廠外通信以及支持系統(tǒng)和設(shè)備的功能(support)。

NIST的職責(zé)是指導(dǎo)美國使用已有和新興的信息技術(shù)，以滿足國家在社會、經(jīng)濟和政治等方面的要求。NIST SP800 系列出版物是對信息安全標(biāo)準(zhǔn)、指南和相關(guān)技術(shù)的研究。其中，NISTSP800-82《Guide to industrial control systems (ICS) security》和NIST SP800-53《Recommended security control for federal information system and organization》與電力工業(yè)信息安全密切相關(guān)。NISTSP800-82指出了工控系統(tǒng)的威脅和脆弱性，規(guī)定了網(wǎng)絡(luò)防護結(jié)構(gòu)以及技術(shù)、運行和管理方面的控制措施；NISTSP800-53是將技術(shù)、運行和管理方面的控制策略分成18個族，每個族包含相關(guān)的控制基線、增強控制要求，并給出了低、中、高三個安全影響級別的系統(tǒng)與控制基線和增強控制措施的對應(yīng)關(guān)系。

RG 5.71依據(jù)SSEP功能，規(guī)定了關(guān)鍵系統(tǒng)和關(guān)鍵數(shù)字資產(chǎn)的判定程序。通過該程序，可以明確工控系統(tǒng)信息安全的具體防護客體；規(guī)定了信息安全的縱深防御的5級安全結(jié)構(gòu)，明確了不同分級之間的通信要求；參考NISTSP800-53，明確了核設(shè)施相關(guān)數(shù)字化資產(chǎn)的技術(shù)、運行和管理防護措施。其不足之處是未明確核電廠DCS縱深防御5級結(jié)構(gòu)的劃分原則和方法，以及不同分級與防護措施之間的對應(yīng)關(guān)系。在使用時，如完全照搬防護措施，一方面將導(dǎo)致工控系統(tǒng)的防護成本增加，另一方面也將大大提高防護措施的實施難度。因此，RG 5.71在具體的工程應(yīng)用中，建議參考NISTSP800-53中對控制基線和增強控制的劃分標(biāo)準(zhǔn)，對技術(shù)、運行和管理的控制措施，按不同等級的基本要求和增強要求進行劃分，并根據(jù)被防護客體的重要程度和受攻擊后損害的嚴(yán)重程度分配不同等級的控制措施。

2.2 RG 1.152

2.2.1 防護對象

防護對象為計算機系統(tǒng)，包括軟件、硬件、固件和相關(guān)接口。

2.2.2 導(dǎo)則要求

本導(dǎo)則以數(shù)字化信息系統(tǒng)的全壽命周期為軸線，概述了計算機系統(tǒng)的信息安全指導(dǎo)。全生命周期分為概念階段、需求階段、設(shè)計階段、實施階段、測試階段、安裝和驗收階段、運行階段、維護階段、退役階段。

2.3 美聯(lián)邦法規(guī)標(biāo)準(zhǔn)小結(jié)

RG 5.71明確了關(guān)鍵數(shù)字資產(chǎn)的范圍和判定程序，給出了信息安全防護客體的判定依據(jù)。其雖然未明確縱深防御的5級結(jié)構(gòu)劃分原則和DCS的劃分方法，但從技術(shù)、運行和管理3個方面，詳細(xì)給出了核設(shè)施相關(guān)數(shù)字化設(shè)備的防護要求。在實際使用中，可結(jié)合NISTSP800-53中對不同信息安全等級系統(tǒng)控制基準(zhǔn)和增強控制要求的對應(yīng)關(guān)系，有針對性地將控制措施應(yīng)用到核電廠DCS。通過RG1.152的全壽期信息安全指導(dǎo)，豐富了美聯(lián)邦信息安全法規(guī)體系的內(nèi)容。

3 國際電工委員會標(biāo)準(zhǔn)

國際電工委員會制定的工業(yè)信息安全標(biāo)準(zhǔn)體系與核電廠數(shù)字化儀控系統(tǒng)信息安全標(biāo)準(zhǔn)體系相類似，都是從總體要求、組織和程序要求、系統(tǒng)要求和部件要求這4個層次逐層深入細(xì)化。本文將分別介紹工業(yè)信息安全標(biāo)準(zhǔn)體系IEC 62443和核電數(shù)字化儀控系統(tǒng)信息安全標(biāo)準(zhǔn)體系。

3.1 IEC 62443標(biāo)準(zhǔn)體系

3.1.1 標(biāo)準(zhǔn)對象

標(biāo)準(zhǔn)對象為工業(yè)自動化控制系統(tǒng)。

3.1.2 標(biāo)準(zhǔn)體系

IEC 62443[19]標(biāo)準(zhǔn)是針對工業(yè)信息安全的完整體系。雖然體系結(jié)構(gòu)在不同的版本中可能微調(diào)，但其4層功能劃分和每層結(jié)構(gòu)的要求是基本確定的。目前，該標(biāo)準(zhǔn)體系已經(jīng)規(guī)劃的標(biāo)準(zhǔn)共12份，但未全部發(fā)布。 IEC 62443標(biāo)準(zhǔn)體系結(jié)構(gòu)如表3所示。

第一層：總體要求，規(guī)定了工控系統(tǒng)的典型結(jié)構(gòu)、通用概念、術(shù)語以及建立定量系統(tǒng)信息安全符合性度量體系所必要的要求。目前，僅1-1發(fā)布。

第二層：組織和程序要求，規(guī)定了工控系統(tǒng)信息安全程序的建立和運行、補丁管理和制造商應(yīng)該考慮的信息安全措施。目前，2-1、2-3和2-4已經(jīng)發(fā)布。

第三層：系統(tǒng)要求，規(guī)定了信息安全的技術(shù)要求、信息安全分區(qū)分級要求和不同信息安全分區(qū)的基本防護措施和增強防護措施。目前，3-1和3-3已經(jīng)發(fā)布。

第四層：部件要求，規(guī)定了產(chǎn)品開發(fā)的信息安全要求，定義了嵌入式設(shè)備、主機設(shè)備、網(wǎng)絡(luò)設(shè)備等產(chǎn)品的信息安全技術(shù)要求。目前，4-1已經(jīng)發(fā)布。

表3 IEC 62443標(biāo)準(zhǔn)體系結(jié)構(gòu)表

3.2 核電廠數(shù)字化儀控系統(tǒng)信息安全標(biāo)準(zhǔn)體系

3.2.1 標(biāo)準(zhǔn)對象

標(biāo)準(zhǔn)對象為核電廠數(shù)字化儀控系統(tǒng)，包括計算機化和硬件可編程類的儀控系統(tǒng)。

3.2.2 標(biāo)準(zhǔn)體系

核電廠數(shù)字化儀控系統(tǒng)的信息安全標(biāo)準(zhǔn)屬于IEC SC 45A標(biāo)準(zhǔn)體系，內(nèi)容上參考了IAEA SSR-2/1、SSG-30(安全分級)、SSG-39(儀控系統(tǒng)設(shè)計)、SSG-34(電力系統(tǒng)設(shè)計)和NSS17(核設(shè)施計算機信息安全)的要求，體系結(jié)構(gòu)上繼承了IEC 62443的4層結(jié)構(gòu)。

①第一層標(biāo)準(zhǔn)為IEC 61513[20]，參考了IAEA GS-R-3、IAEA GS-G-3.1和ISO標(biāo)準(zhǔn)。IEC 61513規(guī)定了核電站安全重要儀控功能的通用要求。

②第二層標(biāo)準(zhǔn)為IEC 62645[21]和IEC 62859[22]。

IEC 62645參考ISO/IEC 27001、ISO/IEC 27002和IEC 62443的要求，規(guī)定了網(wǎng)絡(luò)安全程序的建立流程。其結(jié)合核電廠功能安全分級和受攻擊后損害的嚴(yán)重程度給出了儀控系統(tǒng)信息安全分級的原則：①執(zhí)行A類安全功能的儀控系統(tǒng)歸入最嚴(yán)格的安全防范等級S1級；②有實時操作要求和執(zhí)行B類安全功能的儀控系統(tǒng)至少應(yīng)歸入中等的安全防范等級S2級；③所處理的功能安全類別為C類，以及輔助操作和維護的儀控系統(tǒng)，安全防范等級應(yīng)該分配為S3級；④不執(zhí)行安全功能的儀控系統(tǒng)可以分配到稍低的S3級。當(dāng)被攻擊者所操縱時，將對電廠可用性或者甚至電廠安全有潛在影響，則可給它們分配一個更高的安全防范等級。同時，IEC 62645還規(guī)定了不同信息安全分級的通用防護要求和增強防護要求,以及數(shù)字化儀控系統(tǒng)全生命周期的信息安全防護指導(dǎo)。

IEC 62859規(guī)定了信息安全和功能安全的協(xié)調(diào)性關(guān)系和工作程序，確保兩套安全防護體系不會導(dǎo)致彼此的防護降級。

③第三層標(biāo)準(zhǔn)為未發(fā)布的IEC標(biāo)準(zhǔn)。第三層標(biāo)準(zhǔn)對信息安全的控制措施進行了詳細(xì)要求。此外，還將在本層補充關(guān)于風(fēng)險評估、供應(yīng)鏈的信息安全、信息安全檢測要求等標(biāo)準(zhǔn)。

④第四層是針對某些特定的、非標(biāo)準(zhǔn)化的技術(shù)專題報告。

3.2.3 數(shù)字化儀控系統(tǒng)信息安全標(biāo)準(zhǔn)體系小結(jié)

IEC SC 45A標(biāo)準(zhǔn)體系的信息安全要求結(jié)構(gòu)完整，但第三層細(xì)化標(biāo)準(zhǔn)未發(fā)布，導(dǎo)致標(biāo)準(zhǔn)要求的細(xì)節(jié)不完善。IEC 62645雖然是第二層標(biāo)準(zhǔn)，但對于信息安全的程序建立，信息安全分級和全生命周期的防護給出了總體要求，是開展核電廠數(shù)字化儀控系統(tǒng)信息安全設(shè)計的頂層文件，對指導(dǎo)核電廠DCS系統(tǒng)的信息安全分級具有重要意義。在具體防護細(xì)節(jié)的規(guī)范上，由于第三層和第四層細(xì)化標(biāo)準(zhǔn)未發(fā)布，可以參考相關(guān)的國內(nèi)標(biāo)準(zhǔn)和RG5.71的要求執(zhí)行。

4 結(jié)束語

標(biāo)準(zhǔn)化是核電廠信息安全戰(zhàn)略性和基礎(chǔ)性工作。國內(nèi)標(biāo)準(zhǔn)、美聯(lián)邦標(biāo)準(zhǔn)和國際電工委員會標(biāo)準(zhǔn)分別定義了對信息安全的要求，已經(jīng)或正在形成各自的標(biāo)準(zhǔn)體系。但針對核電廠DCS的特點，目前三個信息安全標(biāo)準(zhǔn)體系都存在一定程度的不足，在實際應(yīng)用中還需要綜合考慮三個標(biāo)準(zhǔn)體系的相關(guān)要求，消化吸收，融會貫通，制定符合核電廠DCS系統(tǒng)的信息安全程序。

本文從三個標(biāo)準(zhǔn)體系出發(fā)，介紹了信息系統(tǒng)信息安全的標(biāo)準(zhǔn)體系，分析了不同標(biāo)準(zhǔn)體系的結(jié)構(gòu)特點，理清了標(biāo)準(zhǔn)法規(guī)的要求，為核電廠DCS系統(tǒng)信息安全的進一步研究奠定了基礎(chǔ)。