孙永胜 夏丹阳

摘要：该文以国际电工委员会/核仪器技术委员会（IEC SC45A）的标准体系为基础，讨论了核电厂数字化仪控系统信息安全的特征。文章首先对SC45A标准体系进行了介绍，之后阐述了信息安全标准在该标准体系中的位置以及与其他标准的联系，而后从信息安全保障对象、保障属性、主要威胁来源以及安全防护等级方面对数字化仪控系统的信息安全特征进行了分析和阐述。

关键词：核电站；数字化仪控系统；信息安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2019）05-0240-02

Information Security Features of Digital Instrument Control System in Nuclear Power Plant

SUN Yong-sheng， XIA Dan-yang

（China Nuclear Control System Engineering CO.， LTD， Beijing 102401，China）

Abstract：Based on the standard system of the International Electrotechnical Commission/Nuclear Instrument Technical Committee （IEC SC45A）， this paper discusses the characteristics of information security of digital instrumentation control systems in nuclear power plants. The article first introduces the SC45A standard system， then describes the location of the information security standard in the standard system and its connection with other standards， and then digitizes from the aspects of information security objects， security attributes， major threat sources and security protection levels. The information security features of the instrument control system were analyzed and elaborated.

Key words： nuclear power plant； digital instrument control system； information security

1 引言

核电站是国家的重大基础设施，核电站的仪表和控制系统是核电站的控制中枢，是事关电站安全的重要系统。而我国已经投产的和正在建设的核电站其仪控系统大多由数字式系统构成，而这就给网络攻击创造了客观条件，所以数字化仪控系统已经成了核电站重要的信息安全保障对象。本文首先依照国际标准对该领域的信息安全主要特征进行了分析，并总结了若干主要原则和约束条件。

2 SC45A标准体系中信息安全的主要特征

2.1 核电仪控系统标准体系综述

国际电工委员会/核仪器技术委员会（SC45A）标准体系如图1所示。这个标准体系基于功能安全目标而建立，其中，IEC61513-2001[1]作为整个标准体系的顶级标准，规定了核电厂仪表与控制系统安全重要部分的功能安全要求的总纲。IEC 61226-2005规定了核电厂仪表和控制系统以及它们的供电设备的安全级别、分级方法和要求[2]。IEC60880-2006提供了IEC61226-2005所规定的核电厂I&C系统实施A类安全功能的计算机软件要求。而IEC62138-2004提供了IEC61226-2005所规定的核电厂I&C系统实施B类和C类安全功能的计算机软件要求。IEC62566-2012规定了核电厂安全重要仪表和控制系统执行A类功能的HDL可编程集成电路开发的相关要求。

随着信息安全威胁对工控系统的影响日渐增多，SC45A开始关注信息安全问题，但直到2014年，它才提出了IEC62645-2014来阐述信息安全问题[3]。该标准作为核电仪控领域信息安全的顶级标准而存在，参考ISO 27001-2005[4]从管理角度約定了在应对网络安全威胁时核电仪控系统需要采用的具体措施，同时又参考NIST SP800-82[5]从技术角度提出了核电仪控系统的信息安全技术指导框架。功能安全是这个领域以及多数工控应用场景下安全问题的首要因素，而信息安全的评价则多以安全威胁所可能导致的功能安全后果作为风险评价的主要因素。所以，信息安全角度的最新标准IEC62859-2016[9]首要提出的就是信息安全与功能安全的协调框架，它进一步地解决了信息安全设计准则应用于以功能安全为设计向导的核电厂仪控系统中所应该注意的问题。

2.2 核电仪控标准体系的信息安全主要特征

对比ISO27000标准体系，SC45A的相关标准在多个方面对核电仪控这一专属领域的信息安全进行了特别的约定，以下从保障对象，安全分级方法。

2.2.1 保障对象的拓展

数字化仪控系统中的设备可以分为基于数字式计算机技术实现的系统（CB）和基于数字逻辑实现的系统（HPD）两类。目前信息安全乃至工控信息安全领域的主要讨论对象都是基于数字式计算机实现的系统，较少的涉及采用FPGA或CPLD等可编程数字逻辑器件实现的系统。在IEC62645-2014中，已经明确地把可编程逻辑器件所构建的系统作为与基于数字计算机技术实现的系统相并列的对象进行讨论。基于HDL可编程数字逻辑技术实现的系统已经不可避免的被列入了信息安全的讨论范围之内，而这一改变对信息安全相关技术活动的影响需要综合参照IEC62645-2014和IEC62566-2012作为标准基础。

2.2.2 基于功能安全后果导向的分级方法

实现功能安全是仪控系统的主要设计任务，而信息安全的等级划分也来自功能安全后果导向。IEC62645-2014中对系统的信息安全分级方法可以概括如下：

1）应根据信息安全威胁所可能产生的最大安全后果向系统分配程度S1至S3。

2）向数字化仪控系统分配安全程度应依照如下原则：

–向处理A类安全功能的数字化仪控系统分配的安全程度为S1；

–向需要实时操作的数字化仪控系统以及处理B类安全功能的数字化仪控系统分配的安全程度不得低于S2；

–根据信息安全威胁所可能产生的最大安全后果，向处理C类功能的数字化仪控系统以及协助工厂运行和维护的数字化仪控系统的辅助系统分配的安全程度为S3。

2.2.3 主要威胁范围的限定

威胁利用系统的脆弱性对资产产生破坏是分析信息安全风险的最基本范式，定义对象系统的信息安全威胁是需要解决的问题。依据ISO27000标准体系，物理防护、电力供应、运行环境以及综合性的自然灾害所造成的破坏，均被视作对特定信息安全保障对象的威胁。但是，作为核电厂数字化仪控系统，其运行的物理环境和相关的人员管理措施均被其他法律法规所约束，也被较完善的国际和国内标准所指导和限制，所以IEC62645-2014和IEC62859-2016中都不以这些威胁途径作为主要的讨论和分析对象，而是把讨论的范围限定在数字式攻击（即网络攻击Cyberattacks）。基于同样的理由，这些标准同时把非恶意的活动和偶然事件排除在主要威胁范围之外。虽然这些被包含在ISO/IEC27000标准族、IEC62443标准族[10]或者NIST的相关出版物质的讨论框架内，但为了集中讨论主要威胁，SC45A的主要标准将主要的威胁分析对象限定为以数字式手段进行的攻击活动。

3 总结和展望

本文基于IEC的SC45A标准体系进行分析，总结了其信息安全角度的几个主要特征，从保障对象，分析方法和威胁范围三个角度对其进行了分析。未来的工作将进一步基于信息安全特征提出基于该标准体系的信息安全设计准则。

参考文献：

[1] IEC， IEC 61513-2001 Nuclear power plants Instrumentation and control for systems important to safety General requirements for systems[S]， Geneva：IEC， 2001.

[2] IEC61226：2004Nuclear power plants Instrumentation and control systems important to safety Classification of instrumentation and control functions[S]， Geneva：IEC， 2004.

[3] IEC62645-2014 Nuclear power plants Instrumentation and control systems Requirements for security programmes for computer-based systems[S]， Geneva：IEC， 2014.

[4] ISO27001-2005 Information technology Security techniques Information security management systems Requirements[S]， Geneva：IEC， 2005.

[5] NIST SP800-82-2010 Guide to Industrial Control Systems （ICS） Security[S]， Geneva： NIST，2014.

【通聯编辑：代影】