杨丽丽，宋大虎，张巧娥，刘 婷，孔令海，张 玮

(环境保护部核与辐射安全中心，北京 100082)

核电厂数字化仪控系统信息安全监管要求探讨

杨丽丽，宋大虎，张巧娥，刘 婷，孔令海，张 玮*

(环境保护部核与辐射安全中心，北京 100082)

本文给出了核电厂信息安全的概念和内涵，研究了IAEA和NRC对核电厂数字化仪控系统信息安全的要求，分析了我国法规对核电厂数字化仪控系统信息安全的要求，对强化数字化仪控系统信息安全监管要求提出了建议。

核电厂；数字化仪控系统；信息安全；监管要求

随着信息化的发展，基于计算机和网络的数字化信息系统越来越广泛地应用于工业控制系统中。核电厂也越来越多地采用全数字化的分布式控制系统(Distributed Control System,简称DCS)。DCS有诸多优势，但同时也面临着严峻的核安全挑战。2010年爆发于伊朗核设施中的震网病毒，给核安全带来了巨大的威胁，引发了业界对核电厂DCS系统信息安全问题的探讨。我国自田湾核电厂首次使用DCS之后，新建核电厂均陆续采用DCS，这为信息安全工作带来了很大挑战。

1 “信息安全”的概念探讨

“信息”是一个宽泛且内涵丰富的概念。网络和计算机系统中传输的数据是信息，两个物体碰撞后留下的痕迹也是信息，写在纸面上的文字还是信息。在讨论核电厂DCS系统的信息安全时，可以认为是保护DCS系统中储存、传输和使用的数据的安全。

国际上，通常用“information security”来表示“信息安全”。国际电工委(International Electrotechnical Commission,简称IEC)给信息安全的定义是“保持信息的机密性、完整性和可用性”[1]，同时还包括真实性、可说明性、不可否认性和可靠性等其他方面。机密性是指对于未获授权的个人、单位或流程而言，信息不可用或不被透露的；完整性是指信息的准确性和完备性；可用性是指对于获得授权的单位，信息是可获得的，并且可根据需求加以利用的；真实性是指信息就是原本要表达的内容；不可否认性是指信息能够证明发生了指定的事件或行动以及从何处发生；可靠性是指能够始终如一地维持预期中的运行工况和结果。IAEA《核安保术语》中[2]也采用了国际电工委的定义来描述信息安全。

分析上面的定义，可以认为DCS系统的信息安全至少包括两方面的内容，一方面是网络安全，即防范黑客、木马、病毒、蠕虫甚至恶意攻击等，也可能扩展到防范内部人员的恶意行为，这是关注比较多、讨论比较多的方面；另一方面是系统和设备的可靠性，系统或设备的故障可能导致信息丢失或损毁，因此要加以防范。IAEA和NRC在相关要求中也体现了对系统和设备可靠性的重视。系统和设备的可靠性不仅仅关系到信息安全，也一直是核电厂设计、运行和核安全监管的重要方面；网络安全则直接体现了近年来对信息安全的关注，是信息安全最直接、最显性的表现，目前对DCS信息安全的研究也主要集中在这方面。

2 IAEA对核电厂信息安全的要求

2.1 IAEA核安保丛书框架及信息安全相关出版物

IAEA将信息安全要求放在了《核安保丛书》系列出版物中。该系列出版物分为核安保基本法则、建议、实施导则和技术导则四类(如图1所示)，其中与信息安全相关的主要有7个(见表1)。对照图1和表1可以看出，IAEA关于信息安全的要求在不同的文件层次上均有体现。

图1 IAEA《核安保丛书》系列出版物的结构Fig.1 The structure of IAEA nuclear security series publication

文件编号文件名称文件类型No.20国家核安保制度的目标和基本要素核安保基本法则No.13核材料和核设施实物保护的核安保建议建议No.14关于放射性物质和相关设施的核安保建议建议No.15关于脱离监管控制的核材料和其他放射性物质的核安保建议建议No.23-G核信息安全实施导则No.17核设施的计算机安全技术导则/参考手册

2.2 IAEA对信息安全的要求和建议

IAEA注重从立法、制度和管理上给予信息安全足够的重视和保障，如在核安保基本法则[3]中提出了保护敏感信息和敏感信息资产机密性的制度性要求，在三个建议文件[4-6]中(NO.13/ NO.14/ NO.15)还提出了不同领域的信息安全要求。同时，IAEA在讨论信息安全时，大部分使用的是广义的概念，如导则《核信息安全》[7]中的信息包括实体形式(如纸和电子介质)的信息、计算机系统、信息资产(如信息储存和处理设备、传输系统和网络)、员工信息和第三方信息等。IAEA提出的信息安全管理方法也是基于综合管理体系的，力图包络所有类型的信息。

IAEA将计算机安全视为信息安全的一部分。在导则《核设施计算机安全》[8]中，计算机和计算机系统被定义为构成核设施功能元素的计算、通讯、仪器仪表和控制装置，包括台式机算机、主机系统、服务器、网络装置以及嵌入式系统和可编程逻辑控制器等低层次部件。计算机安全则涵盖该定义的所有计算机和通过元件相加形成的所有互联系统和网络的安全。这里的计算机安全更接近本文所论述的DCS系统的信息安全。

针对那些能够影响设施安全可靠运行，对预防偷窃、蓄意破坏及其他恶意行为有重要意义的计算机系统、网络和其他数字系统，IAEA非常重视制订和改进相应的保护计划，并为实施该计划制定了相应的导则。导则内容包括管理和实施两方面，管理导则提出了关于计算机安全的监管和管理规定，实施导则提出了关于执行计算机安全综合计划的指导，主要内容如图2所示。

图2 IAEA《核设施计算机安全》[8]导则的主要内容Fig.2 The main content of the guide Computer Security at Nuclear Facilities

综上可见，IAEA虽然使用了广义的信息概念，但是单独对核设施的计算机安全提出了要求，这恰是本文讨论的重点。IAEA注重要求的体系性和完整性，从安保基本法则层面到建议文件层面，再到导则层面，对信息安全的要求逐层具体化，既包括网络安全也包括系统和设备的可靠性。IAEA给出了一整套的管理方法，包含了立法、管理和组织因素以及安全策略、安全分级、风险评估等各个方面。

3 NRC对核电厂信息安全的监管要求

3.1 NRC的法规体系及信息安全相关法规

“9·11”恐怖袭击发生后，NRC加强了信息安全方面的监管工作，陆续发布了一系列法规文件，并不断完善，见表2。这些法规导则中，有的是面向工业界的，有的是面向NRC员工的。NRC还认可了一些适用的行业标准和报告，如NEI 0404-第1版《动力堆网络安全大纲》、NIST SP 800-53第3版《推荐的用于联邦信息系统的安全控制》等等。

表2 NRC发布的与信息安全相关的法规文件Table 2 NRC regulations related to information security

3.2 NRC对信息安全的主要要求

出于安保原因和法律规定，NRC发布的文件中有一部分是不对公众开放的，其中的具体要求也就不得而知。然而，从公开的法规导则中，可以发现在信息安全方面，NRC强调的是网络安全(cyber security)，其主要要求如下。

(1)设计基准威胁。“9·11”事件发生后，NRC发布了Order EA-02-026[9]，对持证者处理确信的网络安全缺陷提出具体要求。2003年4月，NRC又发布了Order EA-03-086[10]，对10CFR73.1[11]的规定做出了补充，将网络攻击作为设计基准威胁之一。根据美国联邦法规要求，为防范放射性破坏活动和特殊核材料被盗或被转移，必须基于规定的设计基准威胁设计安保系统。

(2)受保护的计算机、通信系统和网络的范围。10CFR73.54[11]规定，对于与安全相关功能和安全重要功能、安保功能、应急准备功能有关的数字计算机、通信系统和网络以及与可能对这几种功能产生不利影响的支持系统和设备有关的数字计算机、通信系统和网络，必须加以保护。这些计算机、系统和网络一旦遭到网络攻击，可能会影响数据或软件的完整性和机密性，会拒绝访问系统、服务或数据，会影响系统、网络和相关设备的正常运行。持证者应根据这个要求，分析和识别必须保护的计算机、系统和网络，并制订实施网络安全大纲。

(3)网络安全大纲。NRC要求网络安全大纲必须应用纵深防御的策略，确保探测、响应和修复网络攻击的能力，减轻网络攻击的不利影响。NRC还要求持证者必须保证包括承包商在内的工作人员知晓网络安全的要求，并对其进行培训。持证者必须评估和管理网络风险。若要对必须保护的计算机、系统和网络做出修改，必须在执行修改之前做好网络风险评估。RG5.71[12]给出了建立、执行和维护网络安全大纲的流程，如图3所示。

图3 建立、执行和维护网络安全大纲的流程Fig.3 The process for establishing, implementing and maintaining cyber security program

(4)网络安全计划。网络安全计划相当于网络安全大纲的执行文件，具体描述如何实施网络安全大纲的要求，必须说明影响实施这些要求的具体厂址情况。网络安全计划必须包括对网络攻击事件的响应和恢复措施，具体描述持证者如何维持及时探测和响应网络攻击的能力，如何缓解网络攻击的后果，如何纠正漏洞，如何修复受到网络攻击影响的系统、网络和设备。持证者还必须制定并维护实施该计划的政策和执行规程等支持性材料。这些支持性材料虽然不需要经过NRC的审查和批准，但需接受NRC的定期检查。RG5.71[12]给出了网络安全计划模板其结构，见表3。

表3 通用网络安全计划模板Table 3 Generic cyber security plan template

(5)安全控制措施。NRC还提出了一些基本的安全控制措施，主要是三类，即技术控制措施、操作控制措施和管理控制措施。技术控制措施通过非人为机制执行的防护措施，如硬件、固件、操作系统和应用程序等。操作控制措施通常是由人来执行的防护措施。管理控制措施是关注与风险管理和安全环境的防护措施。

(6)安全的开发和运行环境。针对核电厂中使用数字计算机的安全系统，NRC发布了RG1.152，描述了可接受的、符合法规要求的促进系统可靠性、设计质量、安全的开发和运行环境(Secure Development and Operational Environment,简称SDOE)的方法。NRC在该导则的第2版[13]中，提到了促进网络安全的方法，在第3版[14]中又将其删掉，并声明导则不关注保护措施应对恶意网络攻击的能力。同时，NRC想利用RG1.152和10CFR73.54的结合，完美地保证数字化安全系统安全地设计、开发和运行。RG1.152中的一些指南可能也会被纳入网络安全大纲。在RG1.152第3版中，NRC从概念阶段——需求阶段——设计阶段——开发阶段——测试阶段5个阶段提出了SDOE的要求和方法。此外，SRP BTP 7-14还为审查与安全相关数字化仪控系统有关的软件生命周期流程提供了指南，也提出了可接受的软件管理计划的特点。

综上可见，虽然NRC没有明确提出对信息安全的要求，但其要求包含了网络安全和系统可靠性两方面。在系统可靠性方面强调了设计质量、安全的开发和运行环境等；在网络安全方面注重防范和应对恶意的网络攻击行为，更加强调安保的概念和要求。二者紧密相关，共同保障信息安全。

4 我国法规对数字化仪控系统信息安全的要求

在我国的核安全法规体系中，并没有法规文件明确提出了“信息安全”或“网络安全”的概念，也没有专门为此提出的条款。《核动力厂设计安全规定》(HAF102-2016)[15]对基于计算机系统的安全重要系统和保护系统提出了要求，关注系统的可靠性，强调了用于开发和测试/验证软硬件的标准规范的适用性。《核动力厂基于计算机的安全重要系统软件》(HAD102/16-2004)[16]在基于计算机的系统安全管理要求中提出，应采取措施防范病毒、非法侵入、虚假信息等和不确定安全情况下的系统外连；在计算机系统设计要求中提出，要保持计算机系统的配置控制，防范有意或无意的破坏，控制系统更改。该导则的这些规定虽未明确提及信息安全或网络安全，条款寥寥且简单，但却是对信息安全要求的最直接体现。

与仪控系统和信息安全相关的国家标准，如《核反应堆保护系统安全准则》(GB/T-4083-2005)、《核电厂安全系统中数字计算机的适用准则》(GB/T 13629-2008)、《核电厂安全系统定期试验与监测》(GB/T 5024-2008)、《核电厂安全系统第1部分：设计准则》(GB/T 13284.1-2008)等，这些标准中直接与信息安全相关的条款不多，且基本是从系统可靠性和完整性、设备质量鉴定、验证与确认、系统安全生存周期、故障预防等方面提出要求和方法的。

在整个工业界，已经存在一些关于工业控制信息安全的要求和规范。国务院、国家发改委、工信部分别发布了《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》、《电力监控系统安全防护规定》、《关于加强工业控制系统信息安全管理的通知》等文件，明确提出了对工业控制系统的信息安全要求。2014年，国家标准化管理委员会陆续发布了《工业控制系统信息安全第1部分：评估规范》(GB/T 30976.1-2014)和《工业控制系统信息安全第2部分：验收规范》(GB/T 30976.2-2014)，规定了工业控制系统信息安全评估的目标、内容和实施过程和信息安全解决方案的安全性验收流程、测试内容、方法等。工业界总体的要求和规范虽然也适用于核领域，但由于核工业的特殊性和敏感性，其针对性明显欠缺，不完全符合核安全的要求。

5 关于确定数字化仪控系统信息安全监管要求的探讨

当前，核电厂数字化仪控系统信息安全问题的重要性已毋庸置疑。通过前文的论述，对比我国与IAEA、NRC针对信息安全提出的要求，见表4，可以看出我国在这方面还有许多值得改进和完善的地方。有必要进一步完善相关的法律法规，不断强化针对该问题的监管要求。应对信息安全和网络安全做出区分。由于已经存在对系统和设备可靠性的监管要求，所以对信息安全的监管可以重点放在网络安全方面。

表4 IAEA、NRC与我国对于信息安全的要求对比Table 4 Comparison of requirements related to information security between IAEA，NRC and China

尽管由于机构性质不同，IAEA和NRC提出要求的角度有所不同，但同样可以为我们提供借鉴和指引。因此，建议从以下几个方面考虑强化我国的监管要求：

(1)完善相关法律法规，使得对网络安全的监管要求在各层级的法规中均有体现。如前文所述，我国现行的核安全法规中与网络安全相关的条款寥寥而简单，且法规层级较低，工业界的一些要求又不能体现核电厂的特殊要求。而无论IAEA还是NRC，对信息安全的要求均覆盖文件/法规体系的各个层级，既有纲领性的也有可供执行的。所以，对我国而言，亟需将对网络安全的要求补充进更高层级的法规甚至法律中。

(2)借鉴NRC的做法，划定纳入监管的计算机、通信系统和网络的范围，确定与信息安全相关的重要物项。根据其主要功能及功能的重要性来划定范围，还可视情况分析是否有必要对范围内的计算机、通信系统和网络实行分级分类监管。

(3)具体的监管要求。首先，可以要求将系统漏洞、病毒、木马、网络攻击以及内部的恶意行为等作为设计基准威胁，在数字化仪控系统的设计、验证和确认等过程中必须考虑。还可以提出一些对风险或威胁进行分析和评判的基本要求。其次，根据确定的设计基准威胁，结合我国安全监管及核电厂的实际情况，提出网络安全大纲或计划的标准格式和内容，要求核电厂按此提供大纲或计划，并需获得监管部门的审查认可。再次，明确安全控制措施的基本要求，包括技术层面的、操作层面的和管理层面的。这些安全措施可以是网络安全大纲或计划标准格式和内容的一部分，要求核电厂做出详细安排。

(4)全行业内的信息共享和经验反馈。一旦发现漏洞、病毒或木马入侵等情况，应在全行业内通报并进行经验反馈，提前做好应对措施，避免相同或类似情况在相同系统中再次发生。同时，为数字化仪控系统的开发和改进提供参考。

[1] ISO/IEC.ISO/IEC27000Information technology—Security techniques—Information security management systems—Overview and vocabulary [S].Geneva，2016.

[2] IAEA. Nuclear Security Series Glossary，Version 1.3[S].Vienna：IAEA，2015.

[3] IAEA. IAEA Nuclear Security Series No.20Objective and Essential Elements of a State’s Nuclear Security Regime[S].Vienna：IAEA，2013.

[4] IAEA. IAEA Nuclear Security Series No.13Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities(INFCIRC/225/Revision 5)[S].Vienna：IAEA，2011.

[5] IAEA.IAEA Nuclear Security Series No.14Nuclear Security Recommendations on Radioactive Material and Associated Facilities [S].Vienna：IAEA2011.

[6] IAEA.IAEA Nuclear Security Series No.15Nuclear Security Recommendations on Nuclear and Other Radioactive Material out of Regulatory Control [S].Vienna：IAEA，2011.

[7] IAEA.IAEA Nuclear Security Series No.23-G Security of Nuclear Information [S].Vienna：IAEA2015.

[8] IAEA.IAEA Nuclear Security Series No.17Computer Security at Nuclear Facilities[S].Vienna：IAEA2011.

[9] U.S.NRC.InterimSafeguards and Security Compensatory Measures for NuclearPower Plant，NRC Order EA-02-026[S].Washington, DC:NRC，2002.

[10] U.S.NRC. Design Basis Threat for Radiological Sabotage，NRC Order EA-03-086[S].Washington, DC:NRC，2003.[11] U.S.NRC. Physical Protection of Plants and Materials，10 CFR Part 73[S].Washington,DC:NRC.

[12] U.S.NuclearRegulatory Commission.Cyber Security Programs for Nuclear Facilities，Regulatory Guide 5.71[S].Washington, DC:NRC，2010.

[13] U.S.NuclearRegulatory Commission.Criteria for Use of Computers in Safety Systems of Nuclear PowerPlants，Regulatory Guide 1.152 Revision 2[S].Washington, DC:NRC，2006.

[14] U.S.NuclearRegulatory Commission.Criteria for Use of Computers in Safety Systems of Nuclear PowerPlants，Regulatory Guide 1.152 Revision 3[S].Washington, DC:NRC，2011.

[15] 国家核安全局.HAF102-2016核动力厂设计安全规定[S].2016.

[16] 国家核安全局. HAD102/16-2004核动力厂基于计算机的安全重要系统软件[S].2004.

ResearchandDiscussonRegulatoryRequirementsforInformationSecurityofNuclearPowerPlantDCS

YANG Lili,SONG Dahu,ZHANG Qiaoe, LIU Ting,KONG Linghai, ZHANG Wei*

(Nuclear and Radiation Safety Center, MEP，Beijing 100082,China)

The concept and contains of information security were discussed, the requirements for nuclear power plant DCS of IAEA and NRC were researched, the requirements for nuclear power plant DCS of China, the suggestions contributing to enhance regulatory requirement for DCS were proposed.

nuclear power plant; DCS; information security; regulatory requirement

TP309

：A

：1672- 5360(2017)02- 0050- 06

2016- 10- 12

2017- 01- 13

国家科技重大专项,项目编号：2011ZX06002010-03

杨丽丽(1986—)，女，辽宁喀左人，工程师，硕士，中外政治制度专业，现主要从事核与辐射安全研究工作