核電廠信息安全風(fēng)險(xiǎn)評(píng)估方法

1、日塞拯眚日Doi：l03969／jissn16711041201304005核電廠信息安全風(fēng)險(xiǎn)評(píng)估方法器麥王英。李佳嘉(上海工業(yè)自動(dòng)化儀表研究院，上海200233)摘要：隨著信息化與工業(yè)化深度融合，核電廠信息安全變得日益重要。網(wǎng)絡(luò)系統(tǒng)因?yàn)槠涔逃械拇嗳跣?，帶來了一定的潛在的危險(xiǎn)，因此評(píng)估網(wǎng)絡(luò)系統(tǒng)的脆弱性具有重要意義。本文通過分析面臨的威脅和詳細(xì)的網(wǎng)絡(luò)系統(tǒng)的脆弱性，主要包括SCADA(監(jiān)控和數(shù)據(jù)的脆弱性采集)系統(tǒng)、EMS(能源管理系統(tǒng))Sn

2、M]S(管理信息系統(tǒng))，確定電力行業(yè)的風(fēng)險(xiǎn)，找出薄弱部位，提高網(wǎng)絡(luò)系統(tǒng)的安全性。論文從核電業(yè)進(jìn)行信息安全的角度出發(fā)，描述病毒入侵控制系統(tǒng)的手段及防護(hù)方式。根據(jù)IEC62443標(biāo)準(zhǔn)，確定進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的方式、步驟和措施，并與廣泛使用的核電站概率安全評(píng)價(jià)(PSA)的安全評(píng)價(jià)方法進(jìn)行比較。通過論述說明風(fēng)險(xiǎn)評(píng)估是保障核電信息安全的一個(gè)重要條件。關(guān)鍵詞：風(fēng)險(xiǎn)評(píng)估；信息安全；安全級(jí)別生命周期；概率安全評(píng)價(jià)中圖分類號(hào)：TP3091文獻(xiàn)標(biāo)志碼：A

3、ApplicationofinformationsecurityriskassessmentinnuclearpowerplantsWANGYing，LIJia_jia(ShanghaiInstituteofProcessAutomationInstrumentation，Shanghai200233，China)Abstract：Withtheintegrationofinformationtechnologyandindustria

4、ljzatiOndevelopmentthenuclearpowerplant’sinformationsecurityhasbecomeincreasinglyimportantThecybersystembringssomehiddendangerbecauseofitsinherentvulnerabilitySoitissignificanttoassessthevulnerabilityofcybersystemtodeter

5、minetheriskandtheweakpartsofpowerindustry，andtosetappropriateresponseforthepotentialaccidentsofthecybersystemStartingfrOmthepointofviewofthenuclearpowerindustryinformationsecuritythispaperdescribesthevirusinvasionmeansan

6、dprotectionmethods。infmationsystemriskassessmentstepsandmeasuresintheindustrycontroIsystemsinaccdancewithIEC62443standard，withthewidespreaduseofnuclearpowerplantprobabilisticsafetyassessmentmethodFinally，itdescribestheri

7、skassessmentasanimportantconditionfortheprotectionofthecybersecurityofnuclearpowerKeywords：riskassessment；cybersecurif；levelsofsecuriffecycIe；probab|sticsafetyassessmentO引言近年來，工業(yè)關(guān)鍵基礎(chǔ)實(shí)施的安全防護(hù)成為各國(guó)關(guān)注的焦點(diǎn)。2010年針對(duì)伊朗布什爾核電廠的“震網(wǎng)”病

8、毒為核電設(shè)施的安全敲響了警鐘。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心在《2011年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》中指出：2011年國(guó)家信息安全漏洞共享平臺(tái)收錄了100多個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長(zhǎng)近10倍，對(duì)正常生產(chǎn)秩序形成嚴(yán)重威脅。毫無疑問，工業(yè)控制系統(tǒng)的信息安全環(huán)境正處于急速變化的階段。而核電站因其自身的特殊性，網(wǎng)絡(luò)信息的安全問題更值得關(guān)注。隨著數(shù)字化技術(shù)的發(fā)展，在核電站應(yīng)用數(shù)字化技術(shù)成為一個(gè)普遍的趨勢(shì)。為適應(yīng)核工業(yè)安

9、全的發(fā)展需要，要求核電設(shè)施從設(shè)計(jì)到實(shí)現(xiàn)始終貫徹“多層次縱深防御”的安全防護(hù)理念【1]，而風(fēng)險(xiǎn)評(píng)估作為一個(gè)重要的步驟，是實(shí)現(xiàn)信息安全“縱深防御”理念的基礎(chǔ)。核電站的信息安全是影響核電發(fā)展的一個(gè)重要因素。這種安全性體現(xiàn)在核電站的運(yùn)行性能是不能直接進(jìn)行定量評(píng)估的，但可以通過評(píng)估其安全性能來表征。22EICVOI_2O2013No4l基礎(chǔ)設(shè)施11網(wǎng)絡(luò)隔離工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)入侵是利用網(wǎng)絡(luò)系統(tǒng)的漏洞進(jìn)行病毒感染的過程。在核電站內(nèi)，網(wǎng)絡(luò)有1E級(jí)與非1

10、E級(jí)之分。按照核電站設(shè)計(jì)規(guī)范，數(shù)據(jù)只能由lE級(jí)網(wǎng)絡(luò)向非1E級(jí)網(wǎng)絡(luò)單向傳輸。網(wǎng)絡(luò)的隔離可通過“硬設(shè)置”(如：在兩級(jí)網(wǎng)絡(luò)間設(shè)置網(wǎng)橋)或“軟設(shè)置”(如：在1E級(jí)網(wǎng)絡(luò)上設(shè)置防火墻或在任一方網(wǎng)絡(luò)的標(biāo)準(zhǔn)化接口的讀寫方式上設(shè)置讀寫命令，或完全自主設(shè)計(jì)網(wǎng)絡(luò)接口完成網(wǎng)絡(luò)數(shù)據(jù)單向傳輸?shù)膯栴})等方式來實(shí)現(xiàn)。按照業(yè)務(wù)職能和安全需求的不同，網(wǎng)絡(luò)可劃分為以下幾個(gè)區(qū)域：滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域；滿足在線業(yè)務(wù)需要DMZ區(qū)域；滿足ICS管理與監(jiān)控需要的管理區(qū)域；滿

11、足自動(dòng)化作業(yè)需要的控制區(qū)域。通過設(shè)置各個(gè)網(wǎng)絡(luò)段的隔離(如：工業(yè)防火墻)和進(jìn)行按重要防護(hù)級(jí)別進(jìn)行區(qū)域劃分來達(dá)到信息安全“縱深防御”的基本要求。12核安全分級(jí)日摳鲞日相同的直接管理控制；有相同的功能或使命；有本質(zhì)上相233維護(hù)階段同的運(yùn)行特性和安全需求；位于相同的通用運(yùn)行環(huán)境中。見圖2。一l0ll_臻||蠹|露l甏囂翟＼‘。l|x_0|一lIl_0＼。鬻、＼|l毫＼L_|l|__圖2威脅風(fēng)險(xiǎn)關(guān)系2_3安全級(jí)別生命周期231評(píng)估階段相關(guān)圖示見

12、圖3。圖3安全級(jí)別生命周期一評(píng)估階段232達(dá)到階段相關(guān)圖示見圖4。圖4安全級(jí)別生命周期一達(dá)到階段24ElCVo12O2013N04相關(guān)圖示見圖5。廠———]’1：：圖5安全級(jí)別生命周期一維護(hù)階段3概率安全評(píng)價(jià)方法的結(jié)合PSA對(duì)分析系統(tǒng)的風(fēng)險(xiǎn)采用系統(tǒng)的、定量的描述，并對(duì)系統(tǒng)的風(fēng)險(xiǎn)避免提出改進(jìn)的方法。這種評(píng)估方法的價(jià)值取決于分析者對(duì)所分析系統(tǒng)的了解、掌握的數(shù)據(jù)是否全面及可靠的程度。與PSA方法相對(duì)的另一種方法是確定論的方法，通過考慮出現(xiàn)典型

13、事故時(shí)(基準(zhǔn)事件)，應(yīng)采取預(yù)防或緩解措施。隨著PSA方法的發(fā)展和計(jì)算機(jī)在PSA方法中的應(yīng)用，確定論方法越來越顯示出局限性，主要表現(xiàn)在：嚴(yán)重的初始事件并不一定導(dǎo)致嚴(yán)重的后果；相反看起來并不嚴(yán)重的初始事件卻可以導(dǎo)致嚴(yán)重的后果；只考慮安全系統(tǒng)的單一故障，不考慮系統(tǒng)的完全失效；沒有定量的描述。目前，美國(guó)在PSA的應(yīng)用領(lǐng)域處于領(lǐng)先地位。美國(guó)核管會(huì)新的核電廠監(jiān)督檢查大綱的一個(gè)重要建立基礎(chǔ)就是PSA的應(yīng)用。同時(shí)，PSA也廣泛應(yīng)用于NRC的法規(guī)制定、修

14、改及對(duì)電廠所提與許可證條件相關(guān)的變更申請(qǐng)的審批。美國(guó)近幾年來有多座核電廠提升了功率，正是PSA應(yīng)用所取得的一個(gè)重要成果。雖然PSA在核電領(lǐng)域已經(jīng)廣泛應(yīng)用，但在核電信息安全領(lǐng)域，PSA方法還沒有得到應(yīng)用。目前，信息安全領(lǐng)域相關(guān)的標(biāo)準(zhǔn)~IISA99和IEC62443等提出了信息安全評(píng)估方法。當(dāng)設(shè)計(jì)一個(gè)新的系統(tǒng)或檢查一個(gè)現(xiàn)有系統(tǒng)的安全性，通過將系統(tǒng)劃分成區(qū)域，定義區(qū)域的連接管道，確定其保護(hù)等級(jí)。如何實(shí)現(xiàn)這一步在IEC62443—3—2中有詳細(xì)