摘要:中国的核安全事业进入安全高效发展的新时期,核电企业为了准确把握新时代对信息安全工作的新要求,必须深入思考和谋划信息安全工作,信息安全管理要从局部思维朝着系统性、体系化的方向发展。核电厂DCS系统信息安全管理体系从在役核电厂DCS系统信息安全现状出发,开展对国内外工控领域较成熟的信息安全标准ISO/IEC27001和GB/T22239-2019的研究,并将其中适用的内容用于指导核电厂工控系统,构建信息安全管理体系,能够解决在役核电厂及新建核电厂DCS信息安全管理方面的不足,提升DCS信息安全防范能力和应急处置能力,在构建完备的核电DCS信息安全管理体系方面具有示范、引领借鉴作用。
关键词:信息安全;核电;体系建设
0引言
数字化仪控系统(DCS)是核电厂的信息神经和控制中枢,对保证核电厂安全可靠运行起着至关重要的作用。中国在役核电厂DCS系统的信息安全工作尚处于探索阶段,管理体系亟待完善。技术手段和管理措施没有有效地结合,导致管理和技术脱钩或偏重现象,或技术手段应用过于复杂,或管理手段没有统一遵照执行的标准,尤其在设计阶段几乎未考虑或较少考虑信息安全防护设计。传统的信息安全管理体系架构的设计充分参考和借鉴ISMS(IS027001),技术上参考国际信息安全保障技术框架IATF对信息安全状况进行分析。国内电力企业遵循电力行业信息安全等级测评基本要求、电力监控系统安全防护规定、信息系统风险评估规范等信息安全管理标准和工作实践,采用PDCA的过程模型建设良性循环,持续改进的闭环管理模式,形成一套标准化的安全管理体系[ie]。但传统信息系统与工控系统在生命周期、实时性要求、设备、运行维护等方面都存在较大差异,无法直接照搬照抄信息系统管理体系。针对核电厂DCS系统的信息安全管理体系(以下简称“管理体系”),国内外尚未形成直接可参考借鉴的标准规范。
1信息安全面临的挑战
近年来,核电领域信息安全事件频发,见表1。特别是针对工业控制系统的安全事件数量呈明显上升趋势,并呈现出攻击工具专业化、行为组织化、目的政治化的特点。尤其是2010年6月“震网”病毒攻击伊朗核设施,控制了?30%的纳坦兹设施的计算机,伊朗暂时关闭了核设施和核电厂。为此,中国在工业控制系统信息安全方面也了相关指导文件,如国务院的《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号);电监信息[2012]62号电力行业信息系统安全等级保护基本要求等?,均对重点领域工业控制系统信息安全的管理提出了意见与要求。
2存在风险及漏洞
经调研,在役核电厂工业控制系统信息安全至少存在以下问题:一是缺乏安全区域划分,区域间未设置访问控制措施;二是缺乏信息安全风险监控,不能及时发现信息安全问题,出现问题后靠人员经验排查,不能及时了解网络状况,一旦发生问题不能及时确定问题所在,及时排查到故障点,排查过程耗费大量人力成本、时间成本;三是信息安全防护缺失,工业控制系统内部缺乏人侵检测能力,无法及时有效发现网络异常行为和异常流量,以及缺乏安全审计能力,无法进行指令级的审计,也无法进行事件的分析溯源;四是管理与技术没有有效衔接,系统运行后,缺少专业技术措施和管理弊端,导致信息安全维护不能及时有效落实,不能及时处理信息安全设备故障及工业控制系统信息安全威胁等;五是缺乏工业控制系统集中管理,对生产控制大区网络中攻击或异常行为的网络流量、网络设备、安全设备、主机设备等工控系统的设备资产、故障报警、日志存储等的信息全面收集与全网态势分析及时发现、集中报告并统一处理的能力;六是信息安全事件的应急管理没有与核事故应急管理有效衔接,应急响应不明确。
3管理体系建立为保证管理体系
建设成体系化标准化的目标,建设过程中制定以下3项研究原则作为准则:①合规性原则,满足合规性要求是开展管理体系标准化建设工作的基本原则之一,也是管理体系建设工作的核心要求。在管理体系化标准建设工作实施的过程中,每一条要求项均有与之对应的国内外相关标准要求相适应,并确保指标成果能够涵盖选取标准中的防护标准。②全面性原则,目前在役核电厂工控系统未考虑或很少考虑信息安全体系化和标准化设计,而工控系统一旦投人运行,很难再考虑信息安全管理与技术防护相结合,往往受制于各种因素(如:是否会影响工控系统的正常工作,是否会引人新的安全隐患等)而无法得到有效落实。因此,在设计、采购、制造、调试、运行等各阶段中全面考虑信息安全全生命周期的需求变得尤为重要。③适用性原则,在管理体系建设初期充分调研核电厂的实际需求,保证整理归纳后的要求与核电的实际生产工作不冲突。.管理体系建设以PDCA循环的过程方法论来保持组织的ISMS体系持续有效运行和GB/T?22080-2016《信息技术安全技术信息安全管理体系要求》思想理念,从4个阶段(准备阶段、调研阶段、建设阶段、落实推广)开展,通过对比分析国内外信息安全领域和核电领域的法律法规、政策、标准等相关文献,提取适用于核电厂DCS系统信息安全管理指标
3.1准备阶段
准备阶段针对国内外核电领域和信息安全领域相关的法律法规、政策标准进行比较分析、关键指标提取,及汇总收集,从中逐条总结提取出信息安全相关要求。为确保项目的适用性,对比分析了选取大量国内外信息安全领域和核电领域的法律法规、政策、标准作为参考依据。由于参考文献的差异性,在该阶段将划分为国内标准体系、监管部门要求、国外核安全标准3个类别:
1)国内标准体系
目前,国内核电厂信息安全标准体系参考的标准可以分为两种。一是信息安全等级保护标准。GB?17859-1999《计算机信息系统安全保护等级划分准则》是计算机信息系统安全等级保护标准体系的基础,根据计算机信息系统的安全技术和安全风险控制的关系,将信息系统安全保护能力由低到高分为5个级别:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级w?;二是信息安全管理体系GB/T?22080-2016给出了信息安全管理体系要求,其主要针对于组织资产进行全方位的建设和保护,指导企业或组织在已有信息安全管理体系的框架或环境下,建立、实施、运行、监视、评审、保持与改进文件化的网络管理体系(ISMS)?[2'3]。上述两个标准的管理体系偏重于传统信息安全管理体系建设,而无法直接应用于工控系统管理体系的构建。
2)监管部门要求
国家发展改革委和能源局的防护要求中,防护对象是电力监测系统,总体要求是“安全分区、网络专用、横向隔离、纵向认证”这十六字方针,主要侧重点是核电厂监控系统的边界防护。在工信部的工控系统信息安全防护指南中,防护对象是工业控制网络,大部分借鉴了等级保护要求,在边界、网络、计算环境等方面提出了十一条重点防护要求,具体要求包括:安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理和落实责任,提出了大的方针政策和技术措施[8],而对于工控系统信息安全管理则没有明确细化分工。
3)国外核安全标准
IAEA是国际原子能机构的,属于“技术导则”,内容涉及核设施的计算机安全、网络和其他数字系统,是针对预防偷窃、蓄意破坏及其他恶意行为,专门制定的响应导则Q?IAEA使用了广义的信息概念,单独对核设施的计算机安全提出了要求。IAEA注重要求的体系性和完整性,从安保基本法则层面到建议文件层面,再到导则层面,对信息安全的要求逐层具体化,既包括信息安全,也包括图2风险评估工具应用示意图Fig.2?Schematic?diagram?of?the?application?ofrisk?assessment?tools系统和设备的可靠性,对核电厂尤其是工业控制系统没有详细说明。设计单位所参考的RG?5.71标准,是NRC(美国核监督管理委员会)提供的一套能够满足10CFR73.54?(联邦法规第73.54章第10篇)要求的最佳实践方案。该标准的核心目的是建设能够满足美国联邦法规要求的信息安全防护能力,其防护需求与国内的实际情况存在差异[6?'并不完全适用于国内核电厂。
3.2调研阶段
调研阶段主要将国内外法规标准进行对比分析后得到的指标要求,按照信息安全防护的基本要求、技术要求、管理要求和应急保障要求几个维度思路开展,同时对在役核电厂管理和技术防护各个工作层面开展调研,按照安全纲要、管理机构、人员管理、规划建设、运行维护几个要点开展全面调研,提取并形成一份适用于核电工控领域标准的信息安全管理体系的指标文件6
3.2.1调研实施
调研的工作方式是通过资料查阅、人员访谈等方式,对在役核电厂当前应用于工业控制系统的信息安全管理措施深人、全面、准确地了解工控安全管理现状,分析总结工控系统管理的特征,评估、修订和编写完善的管理制度,包含管理机构、管理制度、应急响应体系以及技术安全防护现状等。同时开展行业及安全设备厂家的调研,将调研结果用于对核电工控领域安全现状的评估。
3.2.2风险评估
采用FMEA失效模式与后果分析,挖掘工控系统信息安全漏洞,对在役核电厂工控系统进行充分地信息采集,如业务目标、业务特性、管理特性和技术特性等,做为风险评估的依据和方法的选择以及评估内容的实施奠定基础。根据调研信息制定方案,识别关键设备资产并进行资产赋值。参考GB/T?20984-2007《信息安全技术信息安全风险评估规范》的基本原理[5],对重要资产进行风险评估活动,并识別威胁分类及脆弱性,如图2。
3.3建设阶段
管理体系是建立在文档化基础上,管理体系文件遵从质量管理体系文件规范和要求,体系从上至下分为4个层次,包括总体纲要、管理制度、操作规程、记录表单,如图3、图4。
4落实推广
在落实推广阶段,对于形成适用于核电领域管理体系的标准架构及技术防护措施,能够有效帮助在役核电厂更为切合自身特点和顺利高效地开展信息安全管理体系防护工作,有助于提供整个核电行业的信息安全防护水平,形成如下的特点及实施效果:
1)明确系统边界及分类。通过管理体系的全面建立,实施安全设备有针对性防护的分类管理,大大减少了网络安全风险,有效提升核电厂的经济效益。
2)提出一整套核电厂DCS信息安全评价体系及建设标准。创新性地将技术文档规划与系统设备信息安全等级及措施相匹配,使得各系统有明确的信息安全防护标准可依据。
3)提升应急保障能力。提供信息安全事件的应急资源保障额度、培训和演练要求,增加信息安全事件应急处置工作强度,按照核应急要求执行信息安全事件事后总结和经验反馈等变化,使信息安全事件的应急管理要求能够与核安全应急管理工作相适应,提升电厂核安全管理水平,为公众沟通管理提供了有益的支持。
5结束语
新时代党和国家对建设信息安全强国要求,特别是关键基础设施的信息安全建设要求,与国内核电工控系统信息安全管理体系发展现状还存在较大差距。如何在新时代信息安全形势下,助推核电厂信息安全管理体系建设,减少核电厂工控系统信息安全事件发生的风险,已成为在役核电厂和新建核电厂迫切急需解决的问题。核电厂DCS系统信息安全管理体系设计涵盖了核电厂信息安全的全生命周期管理,能够解决在役核电厂及新建核电机组缺少完整的标准化管理体系、专业化技术防护措施、人员培训、设备资产管理、突发应急处置等问题,对核电领域的信息安全管理体系的建设具有借鉴意义。
作者:刘学科 谭平 单位:中核霞浦核电有限公司