刘景宾，乔 宁，董晓璐，陈子溪

（生态环境部核与辐射安全中心，北京 100082）

根据国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD）和“谛听”的数据，2009—2019年工控安全漏洞的数量呈逐年递增的趋势。核电厂的仪表和控制系统（I&C）也是一种典型的工控系统，其作为核电站的“神经中枢”，控制着核电站数百个系统和近万个设备的运行，其中还包括反应堆紧急停堆系统和专设安全设施触发系统等安全级系统，一旦发生网络信息安全事件，将直接影响核电厂的正常运转，可能导致巨大的经济损失，甚至威胁人员的生命安全和环境安全。

针对I&C系统的网络安全问题，目前国内外比较认可的应用实践是制订一套完善的核电厂网络安全防范计划，在仪控系统的开发、运行及维护阶段进行全面的安全管控，以预防、检测和应对针对I&C系统使用数字化手段的恶意行为。与核设施的功能分级类似，由于对每一个系统或设备实施相同等级的防护既不经济也不现实，因此，该计划中最为重要的一个环节是将计算机、通信系统和网络中的数字化资产根据其重要性程度和安全需求进行分类和分级，再针对不同等级和重要程度实施分级保护策略。

图1 2009—2019年工控漏洞走势图Fig.1 Trend chart of industrial control systems vulnerabilities from 2009 to 2019

1 核电厂仪控系统的网络安全分级现状

网络安全级别是规定核设施内各种I&C系统所需安全保护程度的一种抽象概念。分级方案中的每个级别都需要有一套不同的保护措施，这样才能满足该级别的安全要求。

当前，我国各核电厂均由独立的IT 部门负责管理计算机和网络，通常还设有保密委员会或保密办公室管理网络安全相关事宜。核电厂和设计单位对于I&C 系统的安全管理主要遵照《中华人民共和国网络安全法》、发改委14 号令、能源局36号文、《信息系统安全等级保护基本要求》以及《核动力厂设计安全规定》（HAF 102）、《核动力厂基于计算机的安全重要系统的软件》（HAD 102∕16）、《核电厂安全有关仪表和控制系统》（HAD 102∕14）等有关规范的要求进行建设。综合采取信息系统风险评估、等级保护、RG 5.71、IEC 62645等相关标准进行参考和评估。

1.1 我国的信息系统等级保护制度

1994年，国务院147号令《中华人民共和国计算机信息系统安全保护条例》发布，首次提出信息系统要实行等级保护。2017 年6 月1 日，《中华人民共和国网络安全法》正式施行，其中第三十一条规定，“能源等重要行业和领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全，应在网络安全等级保护制度的基础上，实行重点保护”。

根据《信息安全技术信息系统安全保护等级定级指南》（GB∕T 22240—2016）中的描述，“信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级”［1］，见表1。在具体的实施过程中，目前国内核电厂等保分级的原则和方法主要根据《电力行业信息安全等级保护管理办法》《电力监控系统安全防护总体方案》等规定，对核电站数字化仪控系统（Digital Instrument &Control System，简称DCS）施以系统级别三级或四级的防护。

表1 定级要素与安全保护等级关系Table 1 Classified elements and criteria

2019 年5 月，《网络安全等级保护基本要求》（GB∕T 22239—2019）正式发布，其作为“等保2.0”的首份标准，从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等几个方面对不同安全保护等级的计算机和网络系统提出了具体要求［2］。其中，与上一版本最大的不同是针对工业控制系统的特点提出了特殊要求，增加的主要内容包含“室外控制设备防护”“工业控制系统网络架构安全”“拨号使用控制”“无线使用控制”和“控制设备安全”等方面。相对于其他计算机系统，工业控制系统对实时性有更高的要求，因此，调整了“漏洞和风险管理”“恶意代码防范管理”等方面的要求。

当前，等级保护系列标准已提高到国家网络安全防护的重要程度，是今后核电厂应重点关注的方向。

1.2 美国核电厂仪控系统的网络安全分级要求

2010 年，美国核管会（Nuclear Regulatory Commission，简称NRC）发布的RG 5.71 中，定义了一个专有名词SSEP（Safety，Security，and Emergency Preparedness），译为核安全、网络安全、应急准备［3］。该标准中规定核电站应对仪控系统、设备、通信系统和网络进行初步的后果分析，确定哪些系统一旦损坏、被控制或失效，可能影响核设施的SSEP 功能，从而确定关键数字化物项（Critical Digital Assets，简称CDAs），确保关键功能得到充分保护，免受网络攻击。

为了确定CDAs，申请者应首先确定与SSEP功能相关的或与支持SSEP 功能相关的系统、设备、通信系统和网络的整体配置和组织情况，这些系统被称为关键系统（Critical Systems，简称CSs）。图2说明了这个评估过程。

图2 关键系统（CSs）的评估过程Fig.2 The evaluation process of critical systems

通过识别所有CSs后，申请者应分析和确定哪些具体资产是CDAs。一个CDA可能是关键系统的一个部件，该部件可能用于保护系统免受网络攻击，或可能直接或间接地连接到关键系统。图3说明了这个评估过程。

图3 关键数字资产（CDAs）的评估过程Fig.3 The evaluation process of critical digital assets

正确识别出核电厂的CDAs后，应对这些资产进行核电厂独特环境下的网络安全控制，包括全生命周期的防护，纵深防御原则，技术、管理、操作等措施。当前，国家核安全局以该标准为蓝本，编制了《核电厂网络安全监管技术政策》，已征求广泛意见并召开了专家咨询会，预计将于2021年发布。

1.3 IEC针对仪控系统的网络安全分级要求

2014年8月，国际电工委员会的45A小组发布了IEC 62645，该标准作为IEC 系列文件中网络安全领域的顶层文件，适用于核电厂仪控系统（包括非安全系统）网络安全计划的制定和实施，规定所有的I&C系统都应分配一定的、与不同安全防范要求相关联的3 个安全防范等级：S1、S2 和S3。I&C 系统的安全防范等级分配原则见表2［4］。

表2 IEC 62645中的安全防范等级分配原则Table 2 Cyber security degrees defined in IEC 62645

在准确地对I&C 系统进行安全防范分级后，应按照标准中给出的安全防范通用要求和特定要求规定所有I&C系统，如通信的方向只能从高级别向低级别传送，不允许远程维护访问等。当前，国际电工委员会正在编制IEC 63096，该标准对IEC 62645中描述的安全控制方法给出了详细的指导。

此外，国际原子能机构针对仪控系统的网络安全分级防护也有一系列的标准，如核安保系列NSS-17，具体的执行标准NSS-33-T等。

2 仪控系统网络安全分级中存在的问题

2.1 我国等级保护方案并不能完全适用于核电I&C系统

电力监控系统安全保护等级标准中要求对核电站DCS系统施以系统级别3级的防护，而核电厂中对保护系统的实时性和可靠性有极高的要求，3 级防护中的某些具体要求（如防火墙、入侵检测等技术）会对这些指标造成直接影响，从而威胁核安全，这可能会比网络不安全的影响和危害更严重。

随着网络安全法和等保2.0 的出台，我们需要对核电厂仪控系统实施重点的等级保护，然而这通常是不够的，等级保护中的某些保护要求不完全适用于核电厂的安全级DCS 系统，某些保护要求对于安全级系统又过于“简单”，因此，还要结合核电站的特点进行删减和增补。

2019 版的GB∕T 22239 在约束条件一节中增加了这段描述：“工业控制系统通常对可靠性、可用性要求非常高，所以，在对工业控制系统依照等级保护进行防护的时候要满足以下约束条件［2］：

（1）原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响。例如用于基本功能的账户不应被锁定，甚至短暂的也不行。

（2）安全措施的部署不应显著增加延迟而影响系统响应时间。

（3）对于高可用性的控制系统，安全措施失效不应中断基本功能等。

（4）经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时，应进行安全声明，分析和说明此条款实施可能产生的影响和后果，以及使用的补偿措施。”

因此，对这部分内容的裁剪或者增补工作，以及其合理性和适用性的论证，应是后续工作中需要关注的重点。

2.2 国外的网络安全分级标准很难适应于国内I&C系统

相对等级保护方案，尽管RG 5.71 和IEC 62645等标准中的分级制度是针对核电站I&C系统，但这类标准大量引用了NIST、IEC、DHS ICS等系列的标准，并且很多管理和技术手段与国内现状不符，很难将其直接用于国内核电厂的I&C系统。

同时，这类标准与国内现有标准也存在某些冲突，如IEC 62645 是基于IEC 61226 的功能分级方法（A、B、C类）［5］，而我国目前大多数核电站采用的是安全级和非安全级的功能分级方案，因此，这些标准很难直接适用。

2.3 仪控系统网络安全分级未遵循纵深防御原则

I&C系统纵深防御的概念指的是在计算机或网络系统失效或不利于系统运行的损害发生前，通过一系列连续且具有独立性的保护层次，防止和减轻网络攻击行为后果的有效手段。这种具有多层次的独立保护屏障，使当某一层次失效时，后续的保护层可以继续发挥作用。这种布置在某种程度上可以预防单一的网络攻击、技术性故障以及人因导致的计算机或网络系统的损害。

目前，国内各核电厂在设计网络安全技术方案时，通常建立了分层的信息安全保护结构，划分为生产控制大区和管理信息大区，横向部署专用隔离装置，纵向部署专用加密装置。但这些工作的主要目的还是防止电力二次系统遭到入侵，生产控制大区中的DCS 侧并未进行安全区域的划分和纵深防御的防护。

2.4 未根据分级方案建立网络安全保障体系

当前，根据国内相关法规和应用实践，I&C系统在设计制造和运行过程中的管控措施大多根据其功能分级的重要程度进行实施。安全级I&C系统通常满足独立性、网络隔离、物理冗余和多样性等固有的安全要求，同时规范人员操作流程及权限控制，实行信息分区隔离和加密等手段来防止网络安全事件的发生。

然而，针对非安全级I&C系统缺乏相应的管控措施，这类系统在仪控系统网络安全分级中未必是“非安全”的。此外，未针对I&C系统的分级方案设置具有针对性的管控手段，用于评估、保护、预防、检测和减轻对I&C 系统的攻击，缺少系统全面的网络安全保障体系。

2.5 未根据分级方案建立网络安全事件应急响应预案

根据以往的审评情况和现场调研结果，国内目前针对I&C系统网络安全问题的应急响应机制不够健全，缺乏应急响应组织和标准化的事件处理流程，未对网络安全事件进行明确的分级。发生网络安全事件后，相关人员通常依据经验评估系统和设备的损害和危害程度，再由此判断网络安全事件的严重程度。同时，应对手段也比较单一，一般是通过重启发生故障的设备来恢复，这种处理方法会将网络安全事件和I&C系统故障混淆，无法及时发现系统的潜在漏洞，无法对危害的等级和程度进行判断。此外，响应能力也有待提高。

3 核电厂网络安全后续工作的建议

3.1 继续推进数字化仪控系统的国产化

建议进一步加强国产数字化仪控系统的开发和工程应用，专注于核心技术和核心设备的研发，尤其要关注基础软件的开发和芯片技术的应用。当前，尽管国产安全级I&C系统的生产商已有数家，但是这些系统的开发过程中均不同程度地使用了国外的PLC、CPU、FPGA、基础软件、测试软件等，如果“中兴”或“华为”事件发生在核电I&C领域，这些企业也将受到严重影响。

针对进口I&C产品，建议在标准法规中要求国外厂商做到软件公开，避免“黑匣子”的存在，以便针对网络安全漏洞进行测试，并在后续安装国产化的安全防护产品。

3.2 继续完善相关法规标准

由于核电的特殊性和重要性，我国核电和网络安全的主管部门应尽快发布和完善针对核电厂网络安全的法规，建立相应的标准体系，对核电I&C 系统和网络安全等问题进行规范和约束。根据前面的分析，我国目前的等级保护方案并不能完全适用于核电I&C 系统，国外的网络安全分级标准很难直接兼容国内I&C 系统。因此，相关标准的制订过程中，很重要的一部分内容是要明确如何对核电厂的关键物项进行网络安全方面的分级，然后才能根据分级方案实施后续的相关要求。此外，还要对国家法规层面的等级保护制度进行适当的裁剪或者增补工作。

针对当前核安全局编制的《核电厂网络安全监管技术政策》，属于网络安全分级和防护层面的原则性或顶层文件，后续也应继续出台一些配套的执行标准，以指导设计单位和营运单位进行具体的操作。

3.3 贯彻落实纵深防御原则

纵深防御是核安全技术中常用的一种保护手段，使核设施置于多重保护之中。当某一种手段失效时，还有其他的补偿或纠正措施，从而使危害的可能性降到最低。我们对核电厂I&C系统进行网络安全防护时，也应同样使用纵深防御原则，在预防、监测、应对、恢复过程中采取多层次的深度防护，并贯穿于I&C系统的整个生命周期中。

RG 5.71 中对此有比较具体的说明，且提供了一个可接受的简化网络安全防御体系结构，可为后续国内制定相关政策时提供参考，如图4所示。

图4 简化的网络安全防御体系结构Fig.4 Simplified cyber security defense architecture

IEC 62645 中提到了网络安全域的概念，将I&C系统划分为多个逻辑区域，也提供了一种纵深防御的思路。

3.4 建立全面的网络安全保障体系

我国的核电建设过程中，应针对不同的网络安全级别，建立和完善一个全面的、贯穿于全生命周期的网络安全管控体系。完整而有效的网络安全管控体系应包含技术和管理两个要素。这部分内容可以参考GB∕T 22239—2019 中的安全通用要求、工业控制系统的安全扩展要求。此外，针对核电的特殊性，可以参考RG 5.71附录中的具体要求，其指导性更强，相关人员可以在短时间内建立针对核电I&C系统的网络安全保障体系。同时，针对不同的机组类型，也要借鉴IEC 62645、NSS 17 等标准中的原则和方法，将网络安全的管控贯穿于评估、监测、预防、应对直到缓解和恢复的整个过程。

图5 I&C系统网络安全保障体系Fig.5 I&C system cyber security guarantee process

3.5 加强网络安全事件应急能力建设

网络安全事件的应急能力指的是当出现非预期的各种网络攻击事件时，核电厂如何在有效时间内整合各种资源，快速、准确、安全地恢复核电厂的基本安全功能。为此，核电厂首先应制订完善的应急管理程序和应急预案，其中应包括如何识别不同的网络攻击手段，如何对网络事件的危害程度和级别进行判断，如何应对和缓解该攻击带来的影响，如何及时恢复至正常运行状态，如何防止再次受到同类型的攻击等。其次，要加强网络安全事件应急演练，针对不同威胁等级的网络攻击，提供事件响应测试和演习程序，纳入事件响应培训，以促进危机情况下人员的有效反应。