张 冬，陈日罡

(中国核电工程有限公司北京核工程研究设计院，北京 100083)

0 引言

由于工控系统和工业互联网的结合发展，工控系统漏洞导致工业信息安全事故频发，工控系统信息安全的防护引起了行业工作者的广泛关注。核电厂信息安全作为工业信息安全的一部分，其安全隐患随着数字化技术的深度应用也越来越明显。核电厂信息安全已经成为核安全的重要组成部分。我国于2017年实施了《中华人民共和国网络安全法》，从国家层面为信息安全工作指明了方向，也从侧面反映了我国当前信息安全工作的严峻形势。

信息安全标准建在推动行业发展和行业互认的有力工具，是信息安全建设的重要依据。核电厂数字化仪控系统信息安全标准建立在工业信息安全标准的基础上，适应了核电厂分布式控制系统(distributed control system,DCS)特点，现在仍处于进一步完善的过程中。本文将分别从国内标准、美联邦导则标准和国际电工委员会标准三个标准体系出发，首先介绍工控系统和核设施信息系统信息安全标准的体系结构和总体要求，然后描述三个标准体系各自的优缺点，最后进行总结。

1 国内标准体系

根据信息安全要求制定的国家机构不同，国内信息安全标准可以分为以下三类。

①全国信息安全标准化委员会归口的标准。

②发改委和能源局发布的电力监控系统的防护要求。

③工信部发布的工控系统信息安全防护指南。

1.1 信息安全标准化委员会归口的标准要求

信息安全相关的国家标准目前都由信息安全委员会归口发布，核电厂DCS参考的相关标准可以分为两种：一是信息安全等级保护标准[1-11]；二是工控系统信息安全标准。

1.1.1 信息安全等级保护标准体系

①标准对象。等级保护标准的保护对象是计算机信息系统，是针对信息安全的通用要求，也是电力监管部门监督发电企业信息安全行为的主要参考依据。

②标准体系。针对不同信息系统实施分等级的保护，既可以解决难以实现的整体高级别保护问题，又可以以适当投入对需要重点保护的信息进行防护。等级保护标准体系即是对信息系统进行等级划分，分级别进行防护的标准体系。等级保护标准体系结构如图1所示。

图1 等级保护标准体系结构示意图

GB 17859[1]是计算机信息系统安全等级保护标准体系的基础。根据计算机信息系统的安全技术和安全风险控制的关系，将信息系统安全保护能力由低到高分为5个级别：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。在此基础上，GB/T 20269[2]和 GB/T 20271[3]围绕保护能力等级的划分，分别从管理和技术方面对信息安全防护要求进行了细化，形成应用性标准；GB/T 20270[4]、GB/T 20272[5]和GB/T 20273[6]分别对网络系统、操作系统和数据库管理系统提出了详细的技术防护要求。

基于GB 17859标准，按照信息系统受到破坏后，对国家安全、公共利益和公民合法权益等定级要素造成损害的程度，信息系统从低到高分为5个安全防护等级。定级要素与安全保护等级的关系如表1所示。

表1 定级要素与安全保护等级的关系

GB/T 20058[7]规定了等级保护的具体实施程序，GB/T 22240[8]规定了定级的方法，GB/T 22239[9]分别对5个等级的技术要求和管理要求进行了规范。技术要求从保护客体出发，规定了物理安全、网络和主机安全、应用安全、数据安全及备份恢复4个方面的防护要求；管理要求规定了管理制度、组织结构、人员安全、采购和服务、运维管理、密码管理、变更管理、安全事件处置、应急预案等方面的防护要求；其要求细节上与GB/T 20269和GB/T 20271是对应关系。GB/T 28448[10]和GB/T 28449[11]规定了对等级保护系统测评的要求。

1.1.2 工控系统信息安全相关国标

(1)标准对象。

标准对象为工业控制系统。

(2)标准体系。

工业控制系统的信息安全标准主要有GB/T 30976[12]和GB/T 33009[13]两个体系。

GB/T 30976《工业控制系统信息安全》分为两个部分。①评估规范：规定了工控系统信息安全评估的目标、评估内容和实施过程。②验收规范：规定了工控系统信息安全能力的验收流程、测试内容、方法及应达到的要求。

GB/T 33009《工业自动化和控制系统网络安全》分为四个部分。①防护要求：规定了DCS在运行和维护过程中应具备的安全能力和防护技术要求。②管理要求：规定了DCS在运行和维护过程中应具备的安全管理要点和防护管理要求。③风险评估指南：规定了DCS在运行和维护过程中对系统技术防护能力和安全管理有效性的评估过程和方法。④风险与脆弱性检测要求：规定了DCS在运行和维护过程中潜在系统脆弱性和安全风险的检测内容和测试方法。

1.2 电力监控系统的防护要求

1.2.1 防护对象

防护对象是电力监测系统，即用于监测和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及职能设备，以及作为基础支撑的通信及数据网络。

1.2.2 防护要求

电力监控系统的要求来源于2014年发改委的14号令《电力监控系统安全防护规定》和能源局国能安全【2015】36号文《电力监控系统安全防护总体方案》。其防护的总体要求是安全分区、网络专用、横向隔离、纵向认证这16字方针。

发电企业业务系统分为生产控制大区和管理信息大区，生产控制大区根据业务重要性和响应级别分为控制区和非控制区。《核电厂二次系统安全防护技术规定》对于核电站监控系统安全分区如表2所示。

表2 核电站监控系统安全分区

根据通知规定的核电站监控系统的安全分区和分区边界要求，核电站监控系统的边界防护如图2所示。

图2 核电站监控系统的边界防护示意图

在生产控制大区与管理信息大区之间，必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应达到物理隔离；生产控制大区内部安全区之间应设置实现逻辑隔离功能的设备或防火墙。

通知规定，核电厂DCS监控系统和辅助控制系统的信息安全等级保护级别为等级保护第三级。

1.3 工控系统信息安全防护指南

1.3.1 防护对象

防护对象是工业控制网络。

1.3.2 指南要求

工信部发布的《工业控制系统信息安全防护指南》基于《国家网络安全法》，结合我国工控安全现状，借鉴了等级保护要求，在边界、网络、计算环境等方面提出了十一条重点防护要求。具体要求包括：安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理和落实责任。其为工业控制系统信息安全从业单位提供了业务指导和详细的防护方案。

1.4 国内标准体系小结

国家发改委和能源局印发的相关通知文件规定了电力监控系统的安全分区和隔离要求，为电力监控系统的分区和防护要求指明了方向，确定了核电厂DCS属于信息安全等级保护第三级。按照全国信安委的等级保护相关标准规定，可以明确核电厂DCS的信息安全防护要求及评测要求。在此基础上，结合GB/T 30976、GB/T 33009和工控系统信息安全防护指南，对上述要求不全面的部分进行适当补充。

同时，国内标准要求的颗粒度为核电厂DCS，对于DCS内部不同安全分级子系统的信息安全没有明确建议。在等级保护相关标准的应用上，可以根据DCS子系统的重要程度和受攻击后损害的严重程度适当提高等级保护防护要求。

2 美联邦法规标准

美国核管会NRC发布的核设施信息安全导则有RG 5.71[14]《Requirements for security programmes for computer-based systems》和RG 1.152[15]《Criteria for digital computers in safety systems for nuclear power plants》。其中，RG 5.71规定了关键数字资产的识别程序，提出了信息安全的纵深防御5级体系，列举了技术、运行和管理三个方面的防护措施；RG 1.152以数字化信息系统的全寿命周期为轴线，描述了不同阶段的信息安全防护指导。NRC信息安全导则结构如图3所示。

图3 NRC信息安全导则结构示意图

2.1 RG 5.71

2.1.1 防护对象

防护对象是执行SSEP功能相关的计算机、通信系统和网络。

2.1.2 导则体系

RG 5.71是以美联邦法规第十篇73章54节(简称10 CFR73.54)的防护目标为基础，参考NIST SP800-53[16]和NIST SP800-82[17]的防护要求制定的。

10 CFR73.54[18]指出了信息安全防护的SSEP功能是：安全相关和安全重要功能(safety)，信息安全功能(security),应急预备功能(emergency)包括厂外通信以及支持系统和设备的功能(support)。

NIST的职责是指导美国使用已有和新兴的信息技术，以满足国家在社会、经济和政治等方面的要求。NIST SP800 系列出版物是对信息安全标准、指南和相关技术的研究。其中，NISTSP800-82《Guide to industrial control systems (ICS) security》和NIST SP800-53《Recommended security control for federal information system and organization》与电力工业信息安全密切相关。NISTSP800-82指出了工控系统的威胁和脆弱性，规定了网络防护结构以及技术、运行和管理方面的控制措施；NISTSP800-53是将技术、运行和管理方面的控制策略分成18个族，每个族包含相关的控制基线、增强控制要求，并给出了低、中、高三个安全影响级别的系统与控制基线和增强控制措施的对应关系。

RG 5.71依据SSEP功能，规定了关键系统和关键数字资产的判定程序。通过该程序，可以明确工控系统信息安全的具体防护客体；规定了信息安全的纵深防御的5级安全结构，明确了不同分级之间的通信要求；参考NISTSP800-53，明确了核设施相关数字化资产的技术、运行和管理防护措施。其不足之处是未明确核电厂DCS纵深防御5级结构的划分原则和方法，以及不同分级与防护措施之间的对应关系。在使用时，如完全照搬防护措施，一方面将导致工控系统的防护成本增加，另一方面也将大大提高防护措施的实施难度。因此，RG 5.71在具体的工程应用中，建议参考NISTSP800-53中对控制基线和增强控制的划分标准，对技术、运行和管理的控制措施，按不同等级的基本要求和增强要求进行划分，并根据被防护客体的重要程度和受攻击后损害的严重程度分配不同等级的控制措施。

2.2 RG 1.152

2.2.1 防护对象

防护对象为计算机系统，包括软件、硬件、固件和相关接口。

2.2.2 导则要求

本导则以数字化信息系统的全寿命周期为轴线，概述了计算机系统的信息安全指导。全生命周期分为概念阶段、需求阶段、设计阶段、实施阶段、测试阶段、安装和验收阶段、运行阶段、维护阶段、退役阶段。

2.3 美联邦法规标准小结

RG 5.71明确了关键数字资产的范围和判定程序，给出了信息安全防护客体的判定依据。其虽然未明确纵深防御的5级结构划分原则和DCS的划分方法，但从技术、运行和管理3个方面，详细给出了核设施相关数字化设备的防护要求。在实际使用中，可结合NISTSP800-53中对不同信息安全等级系统控制基准和增强控制要求的对应关系，有针对性地将控制措施应用到核电厂DCS。通过RG1.152的全寿期信息安全指导，丰富了美联邦信息安全法规体系的内容。

3 国际电工委员会标准

国际电工委员会制定的工业信息安全标准体系与核电厂数字化仪控系统信息安全标准体系相类似，都是从总体要求、组织和程序要求、系统要求和部件要求这4个层次逐层深入细化。本文将分别介绍工业信息安全标准体系IEC 62443和核电数字化仪控系统信息安全标准体系。

3.1 IEC 62443标准体系

3.1.1 标准对象

标准对象为工业自动化控制系统。

3.1.2 标准体系

IEC 62443[19]标准是针对工业信息安全的完整体系。虽然体系结构在不同的版本中可能微调，但其4层功能划分和每层结构的要求是基本确定的。目前，该标准体系已经规划的标准共12份，但未全部发布。 IEC 62443标准体系结构如表3所示。

第一层：总体要求，规定了工控系统的典型结构、通用概念、术语以及建立定量系统信息安全符合性度量体系所必要的要求。目前，仅1-1发布。

第二层：组织和程序要求，规定了工控系统信息安全程序的建立和运行、补丁管理和制造商应该考虑的信息安全措施。目前，2-1、2-3和2-4已经发布。

第三层：系统要求，规定了信息安全的技术要求、信息安全分区分级要求和不同信息安全分区的基本防护措施和增强防护措施。目前，3-1和3-3已经发布。

第四层：部件要求，规定了产品开发的信息安全要求，定义了嵌入式设备、主机设备、网络设备等产品的信息安全技术要求。目前，4-1已经发布。

表3 IEC 62443标准体系结构表

3.2 核电厂数字化仪控系统信息安全标准体系

3.2.1 标准对象

标准对象为核电厂数字化仪控系统，包括计算机化和硬件可编程类的仪控系统。

3.2.2 标准体系

核电厂数字化仪控系统的信息安全标准属于IEC SC 45A标准体系，内容上参考了IAEA SSR-2/1、SSG-30(安全分级)、SSG-39(仪控系统设计)、SSG-34(电力系统设计)和NSS17(核设施计算机信息安全)的要求，体系结构上继承了IEC 62443的4层结构。

①第一层标准为IEC 61513[20]，参考了IAEA GS-R-3、IAEA GS-G-3.1和ISO标准。IEC 61513规定了核电站安全重要仪控功能的通用要求。

②第二层标准为IEC 62645[21]和IEC 62859[22]。

IEC 62645参考ISO/IEC 27001、ISO/IEC 27002和IEC 62443的要求，规定了网络安全程序的建立流程。其结合核电厂功能安全分级和受攻击后损害的严重程度给出了仪控系统信息安全分级的原则：①执行A类安全功能的仪控系统归入最严格的安全防范等级S1级；②有实时操作要求和执行B类安全功能的仪控系统至少应归入中等的安全防范等级S2级；③所处理的功能安全类别为C类，以及辅助操作和维护的仪控系统，安全防范等级应该分配为S3级；④不执行安全功能的仪控系统可以分配到稍低的S3级。当被攻击者所操纵时，将对电厂可用性或者甚至电厂安全有潜在影响，则可给它们分配一个更高的安全防范等级。同时，IEC 62645还规定了不同信息安全分级的通用防护要求和增强防护要求,以及数字化仪控系统全生命周期的信息安全防护指导。

IEC 62859规定了信息安全和功能安全的协调性关系和工作程序，确保两套安全防护体系不会导致彼此的防护降级。

③第三层标准为未发布的IEC标准。第三层标准对信息安全的控制措施进行了详细要求。此外，还将在本层补充关于风险评估、供应链的信息安全、信息安全检测要求等标准。

④第四层是针对某些特定的、非标准化的技术专题报告。

3.2.3 数字化仪控系统信息安全标准体系小结

IEC SC 45A标准体系的信息安全要求结构完整，但第三层细化标准未发布，导致标准要求的细节不完善。IEC 62645虽然是第二层标准，但对于信息安全的程序建立，信息安全分级和全生命周期的防护给出了总体要求，是开展核电厂数字化仪控系统信息安全设计的顶层文件，对指导核电厂DCS系统的信息安全分级具有重要意义。在具体防护细节的规范上，由于第三层和第四层细化标准未发布，可以参考相关的国内标准和RG5.71的要求执行。

4 结束语

标准化是核电厂信息安全战略性和基础性工作。国内标准、美联邦标准和国际电工委员会标准分别定义了对信息安全的要求，已经或正在形成各自的标准体系。但针对核电厂DCS的特点，目前三个信息安全标准体系都存在一定程度的不足，在实际应用中还需要综合考虑三个标准体系的相关要求，消化吸收，融会贯通，制定符合核电厂DCS系统的信息安全程序。

本文从三个标准体系出发，介绍了信息系统信息安全的标准体系，分析了不同标准体系的结构特点，理清了标准法规的要求，为核电厂DCS系统信息安全的进一步研究奠定了基础。