核电厂安全级软件信息安全分析方法研究

2019-01-28张颖颖

科技视界 2019年9期

王飞张颖颖

（中核控制系统工程有限公司，中国北京 100000）

0 引言

核电作为重要能源，在全球发展迅速，核电厂使用计算机控制系统已经成为必然趋势。在核电厂仪控系统实现数字化进程中，如何保证核安全级软件的安全性是一个必然要解决的重要问题。为了提高软件的安全性，需要对核电厂安全级应用软件开发过程中的信息安全进行分析，识别系统潜在的危险，在开发过程中采取适当的措施来消除、防止或控制危险的发生。但目前对于核电厂信息安全应该如何开展还没有统一的、科学的体系。

参照IEEE1012-2004 中的要求，对于核电安全级应用软件在软件生命周期的概念（总体需求、总体规划）、软件需求、软件设计、软件实施和测试阶段、软件安装和检验阶段、软件运营和维护阶段均要求进行信息安全分析工作。本文详细描述了软件生命周期要求的信息安全分析任务的工作程序和验收准则，为核电安全级软件信息安全分析工作进一步开展提供参考。

1 信息安全分析方法和过程

1.1 概念阶段信息安全分析

a）进行初步信息安全威胁和风险评估

分析控制系统可能存在的信息安全威胁和风险。例如信息的非法侵入，破坏信息保密性；拦截或修改信息，修改软件或硬件，破坏完整性；阻碍数据传递，关闭系统，破坏可用性；对通信系统或电脑数据非法干扰或修改，破坏可靠性。

源于设计本身的风险考虑合法用户和非法用户两个方面安全威胁。来自非法用户的袭击：例如黑客从外网登入系统，或用垃圾信息占满网络使服务无效。来自合法用户的袭击：例如关闭重要控制系统，企图释放计算机病毒到控制系统网络

输入文档：系统总体需求规格书，信息安全计划

输出文档：初步信息安全威胁和风险评估报告

b）审查系统信息安全等级

对控制系统的信息安全保护采用分级措施。将控制系统分级，各级别对安全风险可接受程度不同，相应措施的内容和严格度也有区别。把计算机系统划分为不同区域，一些基本的保护措施应用在区域边界。计算机系统安全级别从高到低分为1 到5 级。第一级用于保护系统，非法侵入导致的后果极为严重，要求最高级别的安全保护。第二级为需要较高安全保护的运行控制系统。第三级为对运行非必要的实时监视系统，如控制室中的实时过程监视系统。第四级为非法侵入引起后果为中级的技术支持系统。第五级为与控制和技术系统无直接关系的计算机系统，如办公用计算机，安全保护需求较低。

审查被分析的控制系统是否已经定义信息安全等级，并验证信息安全等级是否正确合理。

c）识别系统潜在信息安全风险

从信息安全角度分析系统总体需求，识别潜在的安全风险。可从以下几个方面分析：

（1）保密性方面，如泄露敏感信息；

（2）完整性方面，如修改信息数据；

（3）可用性方面，如获取信息服务失效；

（4）权限方面，如用户权限分配。

分析系统自身引起的信息安全风险和系统与外部接口的信息安全风险。

输入文档：系统总体需求规格书，安全计划，初步信息安全威胁和风险评估报告

输出文档：信息安全分析报告，异常报告