王 丹，顾俊杰，李逸翔

（中国核动力研究设计院，成都 610213）

0 引言

核设施工业控制系统是核设施的神经中枢，由一系列控制组件、执行器、操作站以及配套网络组成，具有监测、控制、紧急安全保护等功能。随着数字化网络技术的深入应用，核设施工业控制系统逐步从物理独立、封闭的结构开始向网络化方向发展，生产、管理效率得到全面提升，但网络安全的脆弱性也逐渐暴露，网络攻击风险日益增大，核设施的安全运行受到严重威胁。鉴于核设施安全运行的重要性，保障核设施工业控制系统网络安全成为核设施运营者的重要目标。

随着2010年伊朗“震网”病毒事件的爆发，众多专家学者已对核设施工业控制系统的网络安全问题开展一系列研究。苑晨亮等[1]提出适用于核电厂的工业控制系统信息安全评估模型，通过模糊及层次分析法对工业控制系统信息安全状态进行评价；秦利华等[2]对核反应堆工业控制系统与企业信息系统安全互联的安全风险进行研究，提出基于管理和技术双重防御的互联安全防护体系，并给出每个模块的安全防护要求和措施；杨安义等[3]从监管模式、法律法规和技术标准体系等方面对中美两国核设施网络安全问题进行系统梳理和对比分析，对国内核设施网络安全监管能力提升亟需研究和解决的问题提出思考和建议；刘学科等[4]根据在役核电厂DCS系统的信息安全现状，结合国内外工控领域较成熟信息安全标准，设计涵盖核电厂信息安全全生命周期的信息安全管理体系。上述研究给出的安全防护手段和建议虽然在一定程度上为核设施工业控制系统安全防护能力的提升提供了参考，但是缺乏对安全防护措施的有效性和执行情况进行分析，也尚未对核设施工业控制网络安全违规行为以及风险隐患的整改管理开展研究。

鉴于以上原因，本文基于故障报告、分析与纠正措施系统（Failure Reporting，Analysis and Corrective Action System，FRACAS）理论，对核设施工业控制系统网络安全管理存在的问题进行深入分析，提出基于FRACAS的网络安全闭环管理流程，即时纠正已发生的网络安全违规行为和新发现的网络安全风险隐患，从根源上减少网络安全事件发生的概率，进而为核设施的安全运行提供保障。

1 网络安全管理存在的问题分析

核设施工业控制系统不同于传统的IT信息系统，结构复杂，业务逻辑相对固定，一旦建立，部署的控制设备、采集设备、网络设备等硬件设备，以及工程师站、服务器上部署的操作系统、应用软件在较长时间里不会变更。据调研，核设施工业控制系统在网络安全违规行为或风险隐患的处理及管理过程中主要存在以下问题：

1）日常业务运行、工控设备维护、网络系统运维、安全运维，以及应急处置等涉及的部门、人员责任和分工不明，导致在处理网络安全违规行为或风险隐患时，负责处理问题的部门、人员不明确。

2）部门内各专业组未对网络安全违规行为和风险隐患的处理形成统一规范，缺乏有效的信息互通机制，也未考虑对单位同类工业控制系统进行全面排查，无法达到举一反三的效果。

3）未实施对出现的工业控制系统网络安全违规行为和风险隐患信息进行有效记载、整理和分类，有的只是零碎式、不全面的记录，未形成专业知识库。长此以往，不利于工业控制系统整体安全性的提高。

4）若网络安全事件发生时，相关处理部门人员反应迟缓，问题分析不全面，应急处置措施不是切实有效，将导致整个事件处理过程效率低下，进而引发更大的资产损失。

2 FRACAS在网络安全管理中的优势

FRACAS是质量管理中重要的理论依据[5,6]，其“信息反馈，闭环控制”的原理在处理核设施工业控制系统网络安全管理问题中，主要有3个方面的优势，具体如下：

1）利用FRACAS理论，建立规范化的网络安全管理体系，明确处置机制和工作流程，保证无论是在外部检查、内部自查、风险评估与测评等过程中发现的网络安全违规行为和风险隐患，还是发生真实的网络安全事件，均可在第一时间启动闭环处理流程并采取补救措施，降低影响范围。

2）FRACAS长时间成功运行，可以收集和记录工业控制系统长期运行过程中在网络安全管理和技术方面存在的薄弱问题，以此为基础可建立提升核设施工业控制系统设计、研制、运行等阶段安全性的专业知识库，为后续同类型工业控制系统的安全保护提供理论参考。

3）FRACAS长期有效实施，不仅可降低类似工业控制系统网络安全违规行为和风险隐患重复出现的概率，也可持续提升工业控制系统运维人员的网络安全意识和应急处置技能，保障工业控制系统稳定运行和数据安全。

3 基于FRACAS的网络安全管理流程

结合核设施工业控制系统网络安全管理现状，将FRACAS理论融合到网络安全违规行为和风险隐患闭环管理业务中，建立涵盖信息报告与先期处置、信息综合研判、处置措施制定与实施、整改复查与验证、经验反馈与培训和报告归档与流转的网络安全闭环管理流程，以达到快速采取补救措施，消除风险隐患的要求，进而提升核设施工业控制系统网络安全管理水平。核设施工业控制系统网络安全FRACAS工作流程具体如图1所示。

图1 核设施工业控制系统网络安全FRACAS工作流程图Fig.1 FRACAS Workflow diagram for network security of industrial control systems in nuclear facilities

3.1 信息报告与先期处置

核设施工业控制系统在调试、运行、维护等过程中可能发生多种类型的网络安全违规行为或发现网络安全风险隐患。例如，系统操作人员贪图方便将外来笔记本或者外部U盘接入工业控制系统，系统运维人员擅自更改安全程序配置等。当发生网络安全违规行为或发现网络安全风险隐患时，涉事部门应当按照相关制度要求客观填写发现时间、地点、基本过程、影响范围等信息，并报告给网络安全管理部门。报告情况分为两种：一是主动报告，涉事部门人员主动报告违规行为或者发现的网络的安全隐患；二是被动报告，违规行为或风险隐患是在外部检查、安全审计等中被发现，涉事部门被要求报送相关情况。网络安全管理部门接收到信息时，应向技术部门提出技术支持需求，由技术部门制定先期处置措施。技术部门可根据风险隐患的严重性及处理难度，邀请外部专家给予技术支持。处置措施经网络安全管理部门审查通过后，由对应核设施工业控制系统的安全运维部门进行部署实施。

3.2 信息综合研判

信息综合研判阶段首先需要技术领域的人员到现场核实违规行为或风险隐患的具体情况，追溯事件发生的过程、研究产生的原因，分析事件的严重程度、影响范围、发展态势等信息，并判定事件的安全等级。然后，由技术部门将事件详细情况形成书面报告，报送给网络安全管理部门。网络安全管理部门接收到报告后，组织涉事部门、技术部门共同确认报告内容的准确性、合理性，并根据研讨结果传达相关指令、协调相关资源，处置该事件所需要的相关技术资源、人力资源、物力资源等。

3.3 处置措施制定与实施

技术部门根据信息综合研判结果以及网络安全管理部门的要求，制定处置措施。核设施工业控制系统不同于信息系统，技术部门应对制定的处置措施进行充分测试评估，尽可能降低对核设施工业控制系统正常运行的影响。技术部门完成处置措施制定后报送网络安全管理部门，网络安全管理部门组织涉事部门、技术部门，共同确认处置措施的准确性、合理性，若处置措施影响核设施工业控制系统正常运行，应将影响范围、影响时间等及时告知涉事部门。网络安全管理部门审核完成后，下达指令，由对应核设施工业控制系统安全运维部门实施处置措施。

3.4 整改复查与验证

技术部门对网络安全违规行为是否整改彻底，风险隐患是否排除等进行现场技术验证，对仍然存在问题的，网络安全管理部门将继续督导系统安全运维部门进行整改。技术验证通过后，技术部门将根据本次网络安全违规行为或风险隐患情况编制全面排查报告，报告主要明确如何排查单位内其它核设施工业控制系统是否存在类似网络安全违规行为或风险隐患和如何实施相应的处置措施。技术部门完成报告编制后，报送网络安全管理部门进行审核。审核通过后，由网络安全管理部门组织本单位内核设施工业控制系统安全运维部门进行排查实施。

3.5 经验反馈与培训

本次网络安全违规行为或风险隐患关闭后，技术部门对本次网络安全违规行为或风险隐患处理进行归纳总结和经验反馈，并将结果报送给网络安全管理部门。网络安全管理部门组织开展奖惩通报、规章制度优化、教育培训等工作，培训宣贯要确保落实到技术部门和系统安全运维部门的每个人员，各部门质量管理人员对本部门培训的完成情况和完成质量进行监督。

3.6 报告归档与流转

技术部门针对本次网络安全问题或风险隐患形成书面的总结报告，并报送网络安全管理部门进行复核和审查。审查通过后，由本单位质量管理人员进行报告归档和流转管理。

4 结论

根据核设施工业控制系统在网络安全违规行为或风险隐患处理及管理过程中存在的问题，本文对FRACAS在处理核设施工业控制系统网络安全管理问题中的优势进行详细分析，提出基于FRACAS的核设施工业控制系统网络安全闭环管理流程。该流程包含信息报告与先期处置、信息综合研判、处置措施制定与实施、整改复查与验证、经验反馈与培训和报告归档与流转6个部分。本文分别对每个部分的工作要点进行阐述，可为解决网络安全违规行为或风险隐患的重复出现提供有效指导，进而带动核设施工业控制网络安全管理能力的提升。