核电厂信息安全风险评估技术探讨

工业控制系统（ICS）安全事件急剧攀升

核电领域的信息安全，因核电自身的重要战略地位，一直是工控信息安全的热点问题。根据美国工业控制系统网络应急响应小组（ICS-CERT）2013年工业控制系统信息安全年报，2013年ICS-CERT响应了超过200宗覆盖所有关键基础设施以及各个行业的公开工控信息安全事件，其中8件发生于核电行业。

“两化”深度融合，工控系统脆弱性凸显

随着工业化和信息化深度融合，工业以太网逐步成为核电领域数字仪控系统的主要信息传输介质，在充分利用TCP/IP网络成熟技术和开放规范的同时在越来越智能、开放的ICS架构和应用更广泛的网络技术面前，DCS、SCADA、PLC、现场总线设备都随时面临着各类安全威胁。

我国已相继出台重要文件

2011年工信部发布了451号文《关于加强工业控制系统信息安全管理的通知》，提出了要充分认识加强工业控制系统信息安全管理的重要性和紧迫性。

2013年，工信部信〔2013〕317号《信息化和工业化深度融合专项行动计划（2013-2018年）》中提出了六项保障措施，其中明确并强调了“落实《关于加强工业控制系统信息安全管理的通知》，加强重点领域工业控制系统的信息安全检查、监管和测评，实施安全风险和漏洞通报制度。

在核电领域，以二代核电的三代化和三代核电建设为主的核电技术国产化进程正在加速进行，全国在建核电站多达50多座。但是信息安全方面，我们面临“抄不到，不敢抄”的尴尬境地。因此2013年起国家核安全局开始了我国的核电行业信息安全标准编制，凸显出研究与建立核电行业信息安全风险评估体系需求异常迫切。

核电厂信息安全风险评估技术探讨

核电信息安全标准

三零卫士安全技术专家谢新勤介绍，目前在国际上被认为较权威的、可以指导工业控制系统信息安全工作的标准，是IEC 62443和NIT SP 800-53，而核电领域，国内所有相关信息安全工作都围绕RG5.71展开。同时国内信息安全的最重要的标准GB17859（等级保护），则是所有信息安全都绕不开的国家强制性标准。在核电领域展开信息安全工作，就必须吃透这三个标准，发展出一套具有核电特色的工控信息安全工作方法。

风险评估范围

实际应用在核电厂的数字化仪控系统主要包括反应堆保护系统和核电站控制系统两大部分。系统主要接口包括与堆外监测系统的接口、与核反应堆保护系统的接口、与地震监测系统的接口、与全厂辅助系统（BOP）的接口、与电厂监控信息系统（SIS）的接口。这些接口的类型主要包括：堆芯控制专用的数据接口，专用的MODBUS接口，标准OPC接口、标准ProfiBus接口、Modbus接口等。

谢新勤认为，核电数字仪控系统信息安全风险分析，就是要将这个系统中所有涉及信息安全的单元都集中起来。判断某单元是否有信息安全属性的唯一标准，就是是否带有工业以太网网络接口。

风险评估阶段

在用系统的风险评估包括管理评估和技术评估。管理评估是根据已有规章制度的深度和广度，考察一个企业对控制系统信息安全的工作开展态度。而技术评估则是将所有与信息安全相关的工业系统单元进行物理、网络、主机、应用和数据五个方面的评级，并通过追加相应的设备重要性，工艺危险性等系数，再通过汇总形成整个系统的信息安全评级。通过这两个定量分析，可以揭示一个工控系统用户的信息安全管理水平和信息安全防御能力，并引导用户逐步提高工控系统的信息安全能力。

谢新勤还表示，通过信息安全的定量分析，可以引导核电厂的信息安全向提高防御能力和落实安全责任方向发展。通过管理定量分析可以促使企业形成长效管理机制，落实管理责任；通过技术定量分析，可以引导企业整体提高信息安全防御能力，在发生信息安全攻击事件后能追根溯源，亡羊补牢。

进一步从技术角度讲，现有核电厂的数字仪控系统层次特色明显，接入电网的二次系统需要根据国家电网的相关标准，采用二次系统防御措施；地震监测系统和电厂监控信息系统部署范围广，有些测控点甚至采用无线接入，因此黑客攻击点多，防御较难，在此类系统上要进行更为严格的整体防御手段，并与数字仪控系统采用比防火墙更严格的隔离手段。数字仪控系统自身流量大，可靠性要求高，传统信息安全产品不经过严格的兼容性检验根本不可能进入这个领域。因此这个网段的防御则是以监视为主，建立安全基线，在发现异常时，及时引入核电专家，进行识别和补救。

总体来讲，由于三代核电在功能安全方面上的优秀设计，使得黑客侵入引发反应堆爆炸的事件基本不可能发生，但是通过扰乱环境监测系统，触发核电厂启动应急预案，造成厂内人员一时的混乱，为下一步入侵核电厂，制造更为严重的物理攻击，这样的风险还是非常现实的。从这个角度讲，核电领域数字仪控系统的信息安全整体防御建设，刻不容缓。