安全級DCS供應(yīng)商信息安全管理體系構(gòu)建

張 誼，王遠兵，彭 浩，黃 鵬

（中國核動力研究設(shè)計院 核反應(yīng)堆系統(tǒng)設(shè)計技術(shù)重點實驗室，成都 610213）

0 引言

隨著計算機技術(shù)的不斷發(fā)展與應(yīng)用，5G 通信、人工智能、物聯(lián)網(wǎng)等技術(shù)層出不窮，可以預(yù)見到一輪新的技術(shù)革命正在到來。盡管核電對新技術(shù)的采用相對謹慎，但近年來隨著數(shù)字化技術(shù)在安全級DCS 中的廣泛應(yīng)用，如何提高安全級DCS 的信息安全防范能力也受到更多的關(guān)注。根據(jù)卡巴斯基實驗室近年來發(fā)布的ICS（工業(yè)控制系統(tǒng)）威脅報告顯示，ICS 計算機遭受攻擊的概率呈上升趨勢。通常情況下，人們認為核電站控制系統(tǒng)作為物理隔離的“信息孤島”，很難遭遇信息安全攻擊，但震網(wǎng)（Stuxnet）病毒事件表明，核電站并非牢不可破。

圖1 IEC 信息安全框架Fig.1 Framework of IEC security standard

由于過多的采用技術(shù)措施會增加系統(tǒng)的復(fù)雜度，所以提升安全級DCS 的信息安全需要從管理和技術(shù)兩方面進行。而信息安全的管理應(yīng)覆蓋到安全級DCS 的全生命周期，只有依托于一套全面且適用標(biāo)準(zhǔn)的體系才能真正提升安全級DCS 的信息安全。國內(nèi)工控系統(tǒng)信息安全的相關(guān)工作起步較晚，在標(biāo)準(zhǔn)制定方面，相較國外比較落后，近些年才開展工業(yè)控制系統(tǒng)信息安全的標(biāo)準(zhǔn)化工作[1]。近年來，國內(nèi)針對信息安全發(fā)布了多部法律和標(biāo)準(zhǔn)，并根據(jù)GB/T 22239-2008 為主的等級保護標(biāo)準(zhǔn)構(gòu)建了信息安全監(jiān)管體系。GB/T 22239-2008 適用于指導(dǎo)分等級的信息系統(tǒng)的安全建設(shè)和監(jiān)督管理[2]，但目前等級保護相關(guān)標(biāo)準(zhǔn)難以覆蓋到安全級DCS 供應(yīng)商，如安全級DCS 在設(shè)計、生產(chǎn)及測試等階段不采取信息安全措施，可能使系統(tǒng)在運行前就埋下隱患。因此，在國內(nèi)核電信息安全相關(guān)標(biāo)準(zhǔn)建立完善之前，開展對國外工控領(lǐng)域較成熟的信息安全標(biāo)準(zhǔn)IEC 62443 的研究，并將其中適用的內(nèi)容用于指導(dǎo)安全級DCS 供應(yīng)商構(gòu)建信息安全管理體系是迅速且有效的方法。

1 ISO/IEC信息安全體系介紹

1.1 ISO/IEC 信息安全體系介紹

國際標(biāo)準(zhǔn)化組織（ISO）在2005 年針對信息安全發(fā)布ISO/IEC 27001 開始，通過多年的努力，目前已形成跨多個領(lǐng)域的信息安全體系，并根據(jù)ISO/IEC 27000 系列編寫了一系列下級標(biāo)準(zhǔn)。通過對已發(fā)布標(biāo)準(zhǔn)的研究，可將包含核電廠儀控系統(tǒng)在內(nèi)的信息安全管理體系和技術(shù)相關(guān)的標(biāo)準(zhǔn)，整理如圖1 所示的關(guān)系框架。

IEC 62443 系列是針對工業(yè)自動化和控制系統(tǒng)（IACS）信息安全的標(biāo)準(zhǔn)，根據(jù)系統(tǒng)集成商、系統(tǒng)供應(yīng)商、資產(chǎn)所有者等不同的對象，分13 個子標(biāo)準(zhǔn)，分別描述了工控系統(tǒng)網(wǎng)絡(luò)與信息安全相關(guān)的管理和技術(shù)手段。圖1 的IEC 62443系列僅列出已發(fā)布且與信息安全管理或技術(shù)相關(guān)的標(biāo)準(zhǔn)，其中針對系統(tǒng)供應(yīng)商的標(biāo)準(zhǔn)主要為：

1） IEC 62443-2-4《IACS 供應(yīng)商信息安全程序需求》

該標(biāo)準(zhǔn)介紹了工業(yè)自動化和控制系統(tǒng)供應(yīng)商信息安全策略和規(guī)程，分別從系統(tǒng)管理、系統(tǒng)能力、系統(tǒng)驗收以及系統(tǒng)維護方面提出需要滿足的要求[4]，可作為系統(tǒng)供應(yīng)商搭建信息安全管理體系的參考。

2） IEC 62443-3-3《系統(tǒng)安全要求和安全保證等級》

該標(biāo)準(zhǔn)介紹了7 個基本要求（FR），分別描述了系統(tǒng)不同方面的信息安全要求，并根據(jù)基本要求中的具體技術(shù)措施進行了定級，可作為系統(tǒng)供應(yīng)商加強其系統(tǒng)信息安全時的技術(shù)措施參考。

通常，要保證系統(tǒng)的信息安全需要在管理和技術(shù)兩個方面分別采取措施，但本文僅論述管理方面，討論通過對標(biāo)準(zhǔn)的研究如何構(gòu)建安全級DCS 供應(yīng)商的信息安全管理體系，技術(shù)內(nèi)容不作討論。

1.2 IEC 62443-2-4標(biāo)準(zhǔn)介紹

IEC 62443-2-4 的主要內(nèi)容為其附錄A 的信息安全需求，附錄A 中的信息安全需求主要分為12 個功能區(qū)，每個功能區(qū)根據(jù)不同主題對應(yīng)地提出了共計72 項需求，部分主題除基礎(chǔ)需求外提出了增強性需求，并對所有需求的基本原理進行了解釋。各功能區(qū)的主要需求內(nèi)容如表1 所示。

根據(jù)表1 中的內(nèi)容，除無線網(wǎng)絡(luò)和遠程訪問的內(nèi)容不適用于安全級DCS 外，其余內(nèi)容可根據(jù)安全級DCS 各個階段的特點制定不同的管理程序。

2 IEC 62443-2-4標(biāo)準(zhǔn)的特點

IEC 62443-2-4 與IEC 62443-3-3 的區(qū)別在于后者關(guān)注如何通過技術(shù)措施提高系統(tǒng)的信息安全，而IEC 62443-2-4不關(guān)注如何通過技術(shù)措施實現(xiàn)系統(tǒng)的信息安全，而關(guān)注以下兩個方面：

1）如何構(gòu)建有效的流程，確保技術(shù)措施的采用過程是受控的、經(jīng)過論證的。

2）在技術(shù)措施執(zhí)行后，如何構(gòu)建有效的流程，確保技術(shù)措施被正確地使用。

同時，IEC 62443-2-4 與等級保護相關(guān)標(biāo)準(zhǔn)關(guān)注度也不同。后者關(guān)注資產(chǎn)所有者（即核電廠）的信息安全責(zé)任，而前者識別了系統(tǒng)生命周期中各相關(guān)方的關(guān)系以及在信息安全管理過程中應(yīng)進行權(quán)責(zé)劃分的內(nèi)容，指出了IEC 62443-2-4 在面對服務(wù)供應(yīng)商（Service Provider）、資產(chǎn)所有者（Asset Owner）、集成服務(wù)供應(yīng)商（Integration Service Provider）和維護服務(wù)供應(yīng)商（Maintenance Service Provider）時的應(yīng)用方法，同時指出了該標(biāo)準(zhǔn)在服務(wù)供應(yīng)商與資產(chǎn)所有者在項目早期談判過程中的使用方法。

表1 IEC 62443-2-4功能區(qū)介紹[5] Table 1 Introduce of IEC 62443-2-4 function area[5]

表2 安全級DCS生命周期與IEC 62443-2-4功能區(qū)適用性Table 2 The applicability of safety DCS and function area of IEC 62443-2-4

圖2 安全級DCS生命周期Fig.2 Life cycle of safety DCS

安全級DCS 供應(yīng)商在核電項目中通常集設(shè)計、集成、測試、維護于一身，針對項目不同階段承擔(dān)的不同角色均可依據(jù)IEC 62443-2-4 制定相應(yīng)的信息安全程序。因此，根據(jù)IEC 62443-2-4 制定信息安全監(jiān)管體系將保證核安全級DCS 在全生命周期內(nèi)的機密性、完整性和可用性。

3 安全級DCS供應(yīng)商信息安全體系

3.1 安全級DCS生命周期

安全級DCS 的生命周期如圖2 所示。

由于安全級DCS 生命周期的各階段的環(huán)境、人員等并不完全相同，IEC 62443-2-4 的功能區(qū)也不一一適用。通過分析，將安全級DCS 生命周期與IEC 62443-2-4 功能區(qū)內(nèi)容適用性總結(jié)如表2 所示。

3.2 信息安全元素識別

在建立信息安全體系前，安全級DCS 供應(yīng)商首先應(yīng)對安全級DCS 進行元素識別，元素的識別可在以下兩方面進行：

1）與人相關(guān)：主要識別與人相關(guān)的信息安全元素，包括信息安全策略、信息安全組織、供方管理、人員管理、風(fēng)險管理、應(yīng)急響應(yīng)等方面。

2）與物相關(guān)：主要識別與物相關(guān)的信息安全元素，包括信息安全策略、供方管理、風(fēng)險評估、區(qū)域管理、信息管理、應(yīng)急響應(yīng)等。

3.3 信息安全管理體系構(gòu)建

總體上，以IEC 62443-2-4 的要求構(gòu)建信息安全管理體系的過程為：

a）根據(jù)表2 中各功能區(qū)對應(yīng)的階段，結(jié)合3.2 節(jié)識別的信息安全元素，分析功能區(qū)的要求在各個階段分別要執(zhí)行的類別。

b）根據(jù)識別出的類別，在對應(yīng)的管理體系中依據(jù)IEC 62443-2-4 的要求制定對應(yīng)的要求。

以表2 中的“事件管理”功能區(qū)為例，“事件管理”在安全級DCS 除策劃階段的其他階段均需要進行管理，而事件管理的信息安全元素通過分析，即與人有關(guān)，也與物有關(guān)，故需要在信息安全策略、信息安全組織、風(fēng)險管理、區(qū)域管理、信息管理、人員管理、供方管理、應(yīng)急響應(yīng)等方面均依據(jù)IEC 62443-2-4 的要求進行事件管理。

按照上述方式，由表2 中的對應(yīng)關(guān)系，可將安全級DCS 生命周期中信息安全管理體系，完整地按以下類別進行構(gòu)建：

1）策略與組織：制定信息安全策略，內(nèi)容包括信息安全依據(jù)標(biāo)準(zhǔn)、信息安全的執(zhí)行過程與依據(jù)程序、信息安全相關(guān)方（包括內(nèi)部與外部相關(guān)方）、實施信息安全策略的總體期望，并根據(jù)策略明確信息安全組織架構(gòu)及其崗位職責(zé)。

2）風(fēng)險管理：制定措施對安全級DCS 設(shè)計、生產(chǎn)制造、集成裝配、測試、包裝運輸、現(xiàn)場服務(wù)等活動進行信息安全管理，包括上述各個階段的信息安全的風(fēng)險識別、分類、評估、減輕措施及減輕措施的驗證。

3）區(qū)域管理：對安全級DCS 生命周期中的環(huán)境進行識別，并根據(jù)各環(huán)境存在的人員、設(shè)備等分別進行管理。

4）信息管理：制定信息管理程序，包括對各階段涉及的文件、軟件代碼等均進行配置管理，對后續(xù)交付物的管理，維護數(shù)據(jù)管理等，以防止非授權(quán)訪問。

5）人員管理：結(jié)合組織架構(gòu)，制定人員管理程序，包括供應(yīng)商、分包商等相關(guān)單位的人員管理，包括培訓(xùn)、資質(zhì)審查與調(diào)整、背景調(diào)查、人員變動管理。

6）供方管理：制定供方管理程序，對安全級DCS 生命周期中的供方進行管理，保證外購的產(chǎn)品、服務(wù)安全可靠。

7）應(yīng)急響應(yīng)：制定信息安全事件的響應(yīng)流程，并制定應(yīng)急措施，進行周期演練。

4 結(jié)束語

當(dāng)前，以“華龍一號”作為中國制造2025 的標(biāo)志性工程表明了中國發(fā)展核電的決心，核電廠儀控系統(tǒng)技術(shù)也朝著數(shù)字化、智能化的方向迅速發(fā)展，由此帶來的信息安全隱患不容忽視。本文通過對工控信息安全標(biāo)準(zhǔn)的分析，結(jié)合核電廠安全級DCS 生命周期的特點，提出了一套構(gòu)建安全級DCS 供應(yīng)商信息安全管理體系的方法，并給出了構(gòu)建過程示例，為安全級DCS 供應(yīng)商構(gòu)建信息安全管理體系提供參考。同時，安全級DCS 供應(yīng)商應(yīng)注意到，參照IEC 62443-2-4 等成熟的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)能加快構(gòu)建信息安全管理體系的過程，但還應(yīng)從自身實際情況出發(fā)，不照搬標(biāo)準(zhǔn)，針對性地構(gòu)建特定的信息安全管理體系，從而在根本上保障安全級DCS 全生命周期的信息安全。