郭永振 王硕

（中国软件评测中心，北京 100048）

关于核电工业控制系统安全的几点基本认识和思考

郭永振 王硕

（中国软件评测中心，北京 100048）

本文列举了工业控制系统与传统信息系统的区别，通过工业控制系统与信息系统的界定来说明核电工业控制系统安全的特殊性，同时介绍了信息安全与功能安全的区别、与核电工业控制系统相关的国内外法律法规及安全标准、国际核电领域重要的安全事件，在我国现有核电领域工业控制系统安全要求的基础上，提出核电工业控制系统安全防护应对策略。

核电 工业控制系统 安全测试 风险评估 应对策略

1 引言

随着信息和通信技术的发展，核电领域工业控制系统（Industrial Control System，ICS）的结构变得愈发开放，其需求方逐渐采用基于标准通信协议的商业软件来代替自主研发的工业控制软件。这种趋势降低了最终用户的研发投入成本，同时，设备与软件的维护任务可以交给工业控制系统解决方案提供方，节省了人力维护成本。

ICS系统的联通特性在带来方便的同时也给核电工业控制系统安全防护提出了新的挑战，近年来，多个国家的ICS系统受到了安全威胁。为应对核电领域网络安全风险挑战，建立工业控制安全与核安全相结合的保障体系，本文从工业控制系统与信息系统的界定、核电信息安全与功能安全的区别、核电工业控制系统基本安全要求等方面阐述我国目前面临的核电信息安全形势，介绍了核电领域重要的信息安全事件，并总结了核电工业控制系统安全的应对策略。

2 工业控制系统与信息系统的界定

标准通信协议的引入使ICS具备了互联互通的特性，ICS与传统IT系统的界线似乎变得更加模糊了。然而，ICS系统与IT系统相比仍然具有很多本质上的差异。

美国问责总署（GAO）的报告GAO-07-1036［1］、美国国家标准技术研究院NIST SP 800-82［2］根据系统特征对IT系统和ICS系统进行了比较，IT系统属于信息系统（Cyber System），ICS系统属于信息物理融合系统（Cyber-Physical System）。下文将从不同角度说明两种系统的差异。

2.1 工业控制系统与信息系统的界定

模型和参考体系是描述工业控制系统的公共框架，工业控制系统被划分为五层结构，如图1。

第五层—经营决策层。经营决策层具有为组织机构提供核心生产经营、重大战略决策的功能。该层属于传统IT管理系统，使用的都是传统的IT技术、设备等，主要由服务器和计算机构成。当前工业领域中企业管理系统等同工业控制系统之间的耦合越来越多，参考模型也将它包含进来。

第四层—管理调度层。管理调度层负责管理生产所需最终产品的工作流，它包括业务管理、运行管理、生产管理、制造执行、能源管理、安全管理、物流管理等，主要由服务器和计算机构成。

第三层—集中监控层。集中监控层具有监测和控制物理过程的功能，主要由操作员站、工程师站、辅操台、人机界面、打印工作站、数据库服务器等设备构成。

第二层—现场控制层。现场控制层主要包括利用控制设备进行现场控制的功能，另外在第二层也对控制系统进行安全保护。第二层中的典型设备包括分散控制系统（DCS）控制器、可编程逻辑控制器（PLC）、远程终端控制单元（RTU）等。

第一层—采集执行层。现场执行层指实际的物理和化学过程数据的采集、控制动作的执行。本层包括不同类型的生产设施，典型设备有直接连接到过程和过程设备的传感器、执行器、智能电子仪表等。在工业控制系统参考模型中，现场执行层属于物理空间，它同各工业控制行业直接相关，例如电力的发电、输电、配电，化工生产、水处理行业的泵操作等；正是由于第一层物理空间的过程对实时性、完整性等要求以及它同第二、三、四层信息空间融合才产生工业控制系统特有的特点和安全需求［3］。

随着信息物理的融合，从广义来说，上述五层都属于工业控制系统；从狭义来说，第一层到第三层的安全要求及技术防护与其他两层相比具备较大差异，第一层到第三层属于狭义工业控制系统，第四层到第五层属于信息系统。

2.2 工业控制系统与信息系统的差异

从用途的角度来说，ICS属于工业生产领域的生产过程运行控制系统，重点是生产过程的采集、控制和执行，而信息系统通常是信息化领域的管理运行系统，重点在于信息管理。

从系统最终目标的角度来看，ICS更多是以生产过程的控制为中心的系统，而信息技术系统的目的是人使用信息进行管理。

从安全的角度来说，传统IT系统的安全三要素机密性、完整性、可用性按CIA原则排序，即机密性最重要，完整性次之，可用性排在最后；而工业控制系统不再适用于这一原则，其安全目标应符合AIC原则，即可用性排在第一位，完整性次之，机密性排在最后。

从受到攻击后产生的结果来说，工业控制系统被攻陷后产生的影响是巨大的，有时甚至是灾难性的：一是造成物质与人员损失，如设备的报废、基础设备的损坏、对人员的伤害、财产的损失、数据的丢失；二是造成环境的破坏，如水、电、气、热等人民生活资源的污染，有毒、危险物质的无序排放、非法转移与使用，公共秩序的混乱；三是造成对国民经济的破坏，如企业生产与经营中断或停顿、工人停工或失业，对一个地区、一个国家乃至对全球经济具备重要的影响；四是严重的则会导致社会问题和国家安全问题，如公众对国家的信心丧失、恐怖袭击等。

从安全需求的角度来说，ICS系统与IT的差异可以归纳为表1。

3 核电信息安全与功能安全的区别

功能安全（Functional Safety）是保证系统或设备执行正确的功能。它要求系统识别工业现场的所有风险，并将它控制在可容忍范围内。

安全相关系统的概念是基于安全完整性等级（SIL1到SIL4）的。它将系统的安全表示为单个数字，而这个数字是为了保障人员健康、生产安全和环境安全而提出的衡量安全相关系统功能失效率的保护因子，级别越高，失效的可能性越小。某一功能安全的SIL等级一旦确定，代表它的风险消减能力要求被确定，同时，对系统的设计、管理、维护的要求严格程度也被确定。信息安全与功能安全虽然都是为保障人员、生产和环境安全，但是功能安全使用的安全完整性等级是基于硬件随机失效或系统失效的可能性计算得出的，而信息安全的失效具有更多可能的诱因和后果。影响信息安全的因素非常复杂，很难用一个简单的数字描述。然而，功能安全的全生命周期安全理念同样适用于信息安全，信息安全的管理和维护也须是反复迭代进行的。

4 核电工业控制系统基本安全要求

我国核安全法规及政策文件主要包括《HAF001中华人民共和国民用核设施安全监督管理条例》、《HAF501中华人民共和国核材料管制条例》、《HAF002核电厂核事故应急管理条例》、《民用核安全设备监督管理条例 500号令》、《关于加强工业控制系统信息安全管理的通知》（工信部协［2011］451号）等；指导性文件主要有《HAD核安全导则》，与核电厂工业控制系统安全相关的有《HAF003 核电厂质量保证安全规定》、《HAD102-01核电厂设计总的安全原则》、《HAD102-10核电厂保护系统及有关设备》、《HAD102-14核电厂安全有关仪表和控制系统》、《HAD102-16核电厂基于计算机的安全重要系统软件》、《HAD102-17核电厂安全评价与验证》等导则，标准规范有《GB/T 13284.1-2008 核电厂安全系统 第1部分：设计准则》、《GB/T 13629-2008 核电厂安全系统中数字计算机的适用准则》、《GB/T 15474-2010 核电厂安全重要仪表和控制功能分类》、《GB/ T 20438-2006 电气/电子/可编程电子安全相关系统的功能安全》、《GB/T 21109-2007 过程工业领域安全仪表系统的功能安全》［4］等。

然而，我国核电信息安全方面的标准与我国法律的结合不紧密。《RG 5.71核设施的信息安全程序》是美国核能监管委员会（NRC）参考联邦法规中对计算机、通信系统和网络保护的要求，针对核电厂而制定的法规，《RG 1.152核电厂安全系统计算机使用标准》是为保障用于核电厂安全系统的数字计算机的功能可靠性、设计质量、信息和网络安全而制定的法规，其所有的背景与定义均来源于联邦法规。而我国的相关标准仅是将RG 5.71中的美国标准替换为中国标准，且国内相关核电领域法规缺乏对信息安全的要求。

5 核电工业控制系统重要安全事件

5.1 蠕虫病毒导致美国Davis-Besse核电站安全监控系统瘫痪

2003年1月，“Slammer”蠕虫病毒导致美国俄亥俄州Davis-Besse核电站安全监控系统瘫痪，核电站被迫停止运转进行检修。经调查，核电站没有及时进行安装补丁，该蠕虫使用供应商被感染的电脑通过电话拨号直接连到工厂网络，从而绕过防火墙。

5.2 信息洪流导致美国Browns Ferry核电站机组关闭

2006年8月，美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击，当天核电站局域网中出现了信息洪流，导致反应堆再循环泵和冷凝除矿控制器失灵，致使3号机组被迫关闭。

5.3 软件更新不当引发美国Hatch核电厂机组停机

2008年3月，美国乔治亚州Hatch核电厂2号机组发生自动停机事件。当时，一位工程师正在对该厂业务网络中的一台计算机进行软件更新，该计算机用于采集控制网络中的诊断数据，以同步业务网络与控制网络中的数据。当工程师重启计算机时，同步程序重置了控制网络中的相关数据，使得控制系统误以为反应堆储水库水位突然下降，从而自动关闭了整个机组。

5.4 震网病毒入侵伊朗核电站导致核计划停顿

2010年10月，震网病毒（Stuxnet）通过针对性的入侵伊朗布什尔核电站核反应堆控制系统，攻击造成核电站五分之一的浓缩铀设施离心机发生故障，直接影响到了伊朗的核计划进度，严重威胁到的安全运营。该事件源于核电厂员工在内部网络和外部网络交叉使用带有病毒的移动存储介质。

5.5 无线网络引入的木马引发韩国核电站重要信息泄露

2015年8月，曾泄漏韩国古里核电站1、2号机组内部图纸、月城核电站3、4号机组内部图纸、核电站安全解析代码等文件的“核电反对集团”组织通过社交网站再次公开了核电站等机构的内部文件，要求韩国政府与该组织就拿到的10万多张设计图问题进行协商，并威胁韩国政府如不接受上述要求，将向朝鲜以及其他国家出售所有资料。本事件源于核电厂员工在企业内网和企业外部利用手机使用不安全的无线网络信号，被感染木马而引发。

6 核电工业控制系统安全应对策略

6.1 完善核电工业控制系统安全法规及标准

根据工信部协［2011］45l号文［5］，工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施，明确了工业控制系统信息安全管理基本要求，即连接管理要求、组网管理要求、配置管理要求、设备选择与升级管理要求、数据管理要求、应急管理要求。核电行业主管部门、国有资产监督管理部门应结合实际制定完善相关法规制度，并参考《IEC 62443工业通讯网络 网络和系统安全》、《NIST SP800-82 工业控制系统安全指南》、《GB/T 26333-2010工业控制网络安全风险评估规范》、《GB/T 30976.1-2014 工业控制系统信息安全 第1部分：评估规范》、《GB/T 30976.2-2014工业控制系统信息安全 第2部分：验收规范》、《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》、《IEEE Std 7-432-2010核电站安全系统计算机系统》制定适用于核电领域的工业控制系统安全标准。同时，部分企业对推荐性标准的执行力度不够，有必要出台若干强制性标准。

6.2 健全核电工业控制系统安全责任制

核电企业要按照谁主管按照谁负责、谁运营谁负责、谁使用谁负责的原则建立健全信息安全责任制，建立信息安全领导机构和专职部门，配备工业控制系统安全专职技术人员，统筹工业控制系统和信息系统安全工作，建立工业控制系统安全管理制度和应急预案，保证充足的信息安全投入，系统性开展安全管理和技术防护。

6.3 统筹开展核电工业控制系统安全防护

结合生产安全、功能安全、信息安全等多方面要求统筹开展工业控制系统安全防护，提升工业控制系统设计人员、建设人员、使用人员、运维人员和管理人员的信息安全意识，避免杀毒等传统防护手段不适用导致工业控制系统未进行有效防护、工业控制系统遭受外界攻击而发生瘫痪、工业控制系统安全可靠性不足导致停机事故、工业控制系统重要信息失窃密等风险。

6.4 建立核电工业控制系统测试管控体系

系统需求、设计、开发、运维阶段的一些问题会影响工业控制系统的安全可靠运行，因此有必要在系统需求设计、选型、招标、建设、验收、运维、扩建等阶段强化厂商内部测试、出厂测试、选型测试、试运行测试、验收测试、安全测试、入网测试、上线或版本变更测试等测试管控手段，提升系统安全性。

6.5 开展工业控制系统安全测试、检查和评估

企业要定期开展工业控制系统的安全测试、风险评估、安全检查和安全评估，以便及时发现网络安全隐患和薄弱环节，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大网络安全事件的发生。核电行业主管部门、网络安全主管部门要加强对核电领域工业控制系统信息安全工作的指导监督，加强安全自查、检查和抽查，确保信息安全落到实处。

综上所述，围绕我国核设施安全要求，完善核电信息安全法规标准，落实信息安全责任制，统筹开展安全技术防护，建立工业控制系统测试管控体系，定期开展安全测试和评估，是当前和今后核电领域开展工业控制系统信息安全保障的重要内容。

［1］David A. Multiple Efforts to Secure Control Systems Are Under Way， but Challenges Remain， GAO-07-1036 ［R］.Washington DC，USA∶US Government Accountability Office（US GAO），2007.

［2］NIST SP800-82.Guide to Industrial Control Systems （ICS）Security ［S］.Gaithersburg， USA∶ National Institute of Standards and Technology （NIST），2011.

［3］彭勇，江常青，谢丰，等.工业控制系统信息安全研究进展 ［J］.清华大学学报，2012，52（10）∶1396-1408.

［4］谢新勤.核电工业控制系统信息安全标准解读［J］.《工业控制系统信息安全》专刊，2015.

［5］关于加强工业控制系统信息安全管理的通知.工信部协［2011］451号.

This paper illustrates the difference between ICS and IT system， the diversity between information security and functional safety and significant security events abroad. The specification of ICS in nuclear power generation is presented. The regulations and safety standards for ICS in nuclear power plant are also introduced. Based on the basic security requirements for nuclear power generation in our country， an integrated protect strategy is proposed.

Nuclear power generation；Industrial control system ；Safety testing；Risk assessment；Protect strategy