核電站數字化儀控系統信息安全特征分析

孫永勝 夏丹陽

摘要：該文以國際電工委員會/核儀器技術委員會（IEC SC45A）的標準體系為基礎，討論了核電廠數字化儀控系統信息安全的特征。文章首先對SC45A標準體系進行了介紹，之后闡述了信息安全標準在該標準體系中的位置以及與其他標準的聯系，而后從信息安全保障對象、保障屬性、主要威脅來源以及安全防護等級方面對數字化儀控系統的信息安全特征進行了分析和闡述。

關鍵詞：核電站；數字化儀控系統；信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2019）05-0240-02

Information Security Features of Digital Instrument Control System in Nuclear Power Plant

SUN Yong-sheng， XIA Dan-yang

（China Nuclear Control System Engineering CO.， LTD， Beijing 102401，China）

Abstract：Based on the standard system of the International Electrotechnical Commission/Nuclear Instrument Technical Committee （IEC SC45A）， this paper discusses the characteristics of information security of digital instrumentation control systems in nuclear power plants. The article first introduces the SC45A standard system， then describes the location of the information security standard in the standard system and its connection with other standards， and then digitizes from the aspects of information security objects， security attributes， major threat sources and security protection levels. The information security features of the instrument control system were analyzed and elaborated.

Key words： nuclear power plant； digital instrument control system； information security

1 引言

核電站是國家的重大基礎設施，核電站的儀表和控制系統是核電站的控制中樞，是事關電站安全的重要系統。而我國已經投產的和正在建設的核電站其儀控系統大多由數字式系統構成，而這就給網絡攻擊創造了客觀條件，所以數字化儀控系統已經成了核電站重要的信息安全保障對象。本文首先依照國際標準對該領域的信息安全主要特征進行了分析，并總結了若干主要原則和約束條件。

2 SC45A標準體系中信息安全的主要特征

2.1 核電儀控系統標準體系綜述

國際電工委員會/核儀器技術委員會（SC45A）標準體系如圖1所示。這個標準體系基于功能安全目標而建立，其中，IEC61513-2001[1]作為整個標準體系的頂級標準，規定了核電廠儀表與控制系統安全重要部分的功能安全要求的總綱。IEC 61226-2005規定了核電廠儀表和控制系統以及它們的供電設備的安全級別、分級方法和要求[2]。IEC60880-2006提供了IEC61226-2005所規定的核電廠I&C系統實施A類安全功能的計算機軟件要求。而IEC62138-2004提供了IEC61226-2005所規定的核電廠I&C系統實施B類和C類安全功能的計算機軟件要求。IEC62566-2012規定了核電廠安全重要儀表和控制系統執行A類功能的HDL可編程集成電路開發的相關要求。

隨著信息安全威脅對工控系統的影響日漸增多，SC45A開始關注信息安全問題，但直到2014年，它才提出了IEC62645-2014來闡述信息安全問題[3]。該標準作為核電儀控領域信息安全的頂級標準而存在，參考ISO 27001-2005[4]從管理角度約定了在應對網絡安全威脅時核電儀控系統需要采用的具體措施，同時又參考NIST SP800-82[5]從技術角度提出了核電儀控系統的信息安全技術指導框架。功能安全是這個領域以及多數工控應用場景下安全問題的首要因素，而信息安全的評價則多以安全威脅所可能導致的功能安全后果作為風險評價的主要因素。所以，信息安全角度的最新標準IEC62859-2016[9]首要提出的就是信息安全與功能安全的協調框架，它進一步地解決了信息安全設計準則應用于以功能安全為設計向導的核電廠儀控系統中所應該注意的問題。

2.2 核電儀控標準體系的信息安全主要特征

對比ISO27000標準體系，SC45A的相關標準在多個方面對核電儀控這一專屬領域的信息安全進行了特別的約定，以下從保障對象，安全分級方法。

2.2.1 保障對象的拓展

數字化儀控系統中的設備可以分為基于數字式計算機技術實現的系統（CB）和基于數字邏輯實現的系統（HPD）兩類。目前信息安全乃至工控信息安全領域的主要討論對象都是基于數字式計算機實現的系統，較少的涉及采用FPGA或CPLD等可編程數字邏輯器件實現的系統。在IEC62645-2014中，已經明確地把可編程邏輯器件所構建的系統作為與基于數字計算機技術實現的系統相并列的對象進行討論。基于HDL可編程數字邏輯技術實現的系統已經不可避免的被列入了信息安全的討論范圍之內，而這一改變對信息安全相關技術活動的影響需要綜合參照IEC62645-2014和IEC62566-2012作為標準基礎。

2.2.2 基于功能安全后果導向的分級方法

實現功能安全是儀控系統的主要設計任務，而信息安全的等級劃分也來自功能安全后果導向。IEC62645-2014中對系統的信息安全分級方法可以概括如下：

1）應根據信息安全威脅所可能產生的最大安全后果向系統分配程度S1至S3。

2）向數字化儀控系統分配安全程度應依照如下原則：

–向處理A類安全功能的數字化儀控系統分配的安全程度為S1；

–向需要實時操作的數字化儀控系統以及處理B類安全功能的數字化儀控系統分配的安全程度不得低于S2；

–根據信息安全威脅所可能產生的最大安全后果，向處理C類功能的數字化儀控系統以及協助工廠運行和維護的數字化儀控系統的輔助系統分配的安全程度為S3。

2.2.3 主要威脅范圍的限定

威脅利用系統的脆弱性對資產產生破壞是分析信息安全風險的最基本范式，定義對象系統的信息安全威脅是需要解決的問題。依據ISO27000標準體系，物理防護、電力供應、運行環境以及綜合性的自然災害所造成的破壞，均被視作對特定信息安全保障對象的威脅。但是，作為核電廠數字化儀控系統，其運行的物理環境和相關的人員管理措施均被其他法律法規所約束，也被較完善的國際和國內標準所指導和限制，所以IEC62645-2014和IEC62859-2016中都不以這些威脅途徑作為主要的討論和分析對象，而是把討論的范圍限定在數字式攻擊（即網絡攻擊Cyberattacks）。基于同樣的理由，這些標準同時把非惡意的活動和偶然事件排除在主要威脅范圍之外。雖然這些被包含在ISO/IEC27000標準族、IEC62443標準族[10]或者NIST的相關出版物質的討論框架內，但為了集中討論主要威脅，SC45A的主要標準將主要的威脅分析對象限定為以數字式手段進行的攻擊活動。

3 總結和展望

本文基于IEC的SC45A標準體系進行分析，總結了其信息安全角度的幾個主要特征，從保障對象，分析方法和威脅范圍三個角度對其進行了分析。未來的工作將進一步基于信息安全特征提出基于該標準體系的信息安全設計準則。

參考文獻：

[1] IEC， IEC 61513-2001 Nuclear power plants Instrumentation and control for systems important to safety General requirements for systems[S]， Geneva：IEC， 2001.

[2] IEC61226：2004Nuclear power plants Instrumentation and control systems important to safety Classification of instrumentation and control functions[S]， Geneva：IEC， 2004.

[3] IEC62645-2014 Nuclear power plants Instrumentation and control systems Requirements for security programmes for computer-based systems[S]， Geneva：IEC， 2014.

[4] ISO27001-2005 Information technology Security techniques Information security management systems Requirements[S]， Geneva：IEC， 2005.

[5] NIST SP800-82-2010 Guide to Industrial Control Systems （ICS） Security[S]， Geneva： NIST，2014.

【通聯編輯：代影】