導(dǎo)語(yǔ)：核電廠信息安全評(píng)估方法一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1基礎(chǔ)設(shè)施

1.1網(wǎng)絡(luò)隔離

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)入侵是利用網(wǎng)絡(luò)系統(tǒng)的漏洞進(jìn)行病毒感染的過(guò)程。在核電站內(nèi)，網(wǎng)絡(luò)有1E級(jí)與非1E級(jí)之分。按照核電站設(shè)計(jì)規(guī)范，數(shù)據(jù)只能由1E級(jí)網(wǎng)絡(luò)向非1E級(jí)網(wǎng)絡(luò)單向傳輸[2]。網(wǎng)絡(luò)的隔離可通過(guò)“硬設(shè)置”（如：在兩級(jí)網(wǎng)絡(luò)間設(shè)置網(wǎng)橋）或“軟設(shè)置”（如：在1E級(jí)網(wǎng)絡(luò)上設(shè)置防火墻或在任一方網(wǎng)絡(luò)的標(biāo)準(zhǔn)化接口的讀寫(xiě)方式上設(shè)置讀寫(xiě)命令，或完全自主設(shè)計(jì)網(wǎng)絡(luò)接口完成網(wǎng)絡(luò)數(shù)據(jù)單向傳輸?shù)膯?wèn)題）等方式來(lái)實(shí)現(xiàn)。按照業(yè)務(wù)職能和安全需求的不同，網(wǎng)絡(luò)可劃分為以下幾個(gè)區(qū)域：滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域；滿足在線業(yè)務(wù)需要DMZ區(qū)域；滿足ICS管理與監(jiān)控需要的管理區(qū)域；滿足自動(dòng)化作業(yè)需要的控制區(qū)域。通過(guò)設(shè)置各個(gè)網(wǎng)絡(luò)段的隔離（如：工業(yè)防火墻）和進(jìn)行按重要防護(hù)級(jí)別進(jìn)行區(qū)域劃分來(lái)達(dá)到信息安全“縱深防御”的基本要求。

1.2核安全分級(jí)

核設(shè)施的不同安全級(jí)別，決定了需要防護(hù)的等級(jí)的差異。因此，在進(jìn)行核設(shè)施風(fēng)險(xiǎn)評(píng)估時(shí)，要對(duì)核設(shè)施的安全等級(jí)有全面的了解。根據(jù)核設(shè)施的重要程度確定風(fēng)險(xiǎn)評(píng)估的級(jí)別。據(jù)分析，核電站的典型事故主要包括以下方面：蒸汽發(fā)生器傳熱管破裂、給水管道破裂、蒸汽管道破裂、反應(yīng)堆冷卻劑泵停運(yùn)、穩(wěn)壓器波紋管破裂等。根據(jù)事故產(chǎn)生后果的嚴(yán)重性，將核電廠內(nèi)部設(shè)施的安全性分為四級(jí)：核安全1級(jí)～核安全4級(jí)。核安全1級(jí)設(shè)備指發(fā)生事故后產(chǎn)生后果最嚴(yán)重、對(duì)安全性要求最高的設(shè)備：核安全4級(jí)設(shè)備為一般性設(shè)備，發(fā)生故障后不會(huì)引起核事故的發(fā)生，因此也稱非核級(jí)。反應(yīng)堆壓力容器、反應(yīng)堆冷卻劑泵、主冷卻管道、穩(wěn)壓器等屬于核安全l級(jí)，余熱排除系統(tǒng)、蒸汽發(fā)生器二次側(cè)等屬于核安全2級(jí)。核安全1級(jí)、2級(jí)部件對(duì)核電站整體的安全性至關(guān)重要，是監(jiān)測(cè)和維護(hù)的重點(diǎn)。

1.3電力SCADA系統(tǒng)

為了維持和控制龐大的廣域系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)中起著重要的作用。電力行業(yè)的基本工具是能源管理系統(tǒng)（EMS）和SCADA系統(tǒng)。遠(yuǎn)程終端單元（RTU）是安裝在本地發(fā)電廠或變電站，收集電力系統(tǒng)運(yùn)行信息，并將它們發(fā)送到控制中心的微波和/或光纖的通訊網(wǎng)絡(luò)，執(zhí)行從控制中心發(fā)出的控制指令。這意味著，操作人員可以在控制中心監(jiān)控并控制整個(gè)電力系統(tǒng)。EMS分析所收集的信息SCADA，并幫助更準(zhǔn)確地掌握電力系統(tǒng)的操作狀態(tài)。再加上自動(dòng)發(fā)電控制（AGC），當(dāng)?shù)氐碾娫措妷?，無(wú)功功率控制（VQC），SCADA系統(tǒng)構(gòu)成的控制系統(tǒng)的電源系統(tǒng)。

2評(píng)估方法

2.1風(fēng)險(xiǎn)評(píng)估定義

進(jìn)行風(fēng)險(xiǎn)評(píng)估是按照相關(guān)法規(guī)要求，在核電站建造的不同階段，提交初步安全分析報(bào)告和最終安全分析報(bào)告，并在通過(guò)核安全審評(píng)后才能進(jìn)行下階段工作。數(shù)字化核電站的儀控設(shè)計(jì)必須考慮如何滿足相關(guān)法規(guī)和標(biāo)準(zhǔn)要求。從安全審評(píng)的角度看待這些設(shè)計(jì)可以大大減少設(shè)計(jì)變更的可能性及由于設(shè)計(jì)上的安全問(wèn)題而導(dǎo)致的工程延期?？傮w設(shè)計(jì)思想是在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性[3]。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析主要內(nèi)容為：對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的重要性進(jìn)行賦值；對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅和脆弱性的識(shí)別結(jié)果判斷安全事件發(fā)生的可能性；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計(jì)算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值?？紤]安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)，以下面的范式形式化加以說(shuō)明：風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。在描述框架對(duì)風(fēng)險(xiǎn)的優(yōu)先次序和校準(zhǔn)之前，重要的是要明白風(fēng)險(xiǎn)分析的基本概念（例如風(fēng)險(xiǎn)方程）。對(duì)發(fā)生的事件的可能性考慮到威脅可能實(shí)現(xiàn)的可能性，例如，對(duì)于網(wǎng)絡(luò)病毒，則需要在網(wǎng)絡(luò)上進(jìn)行防病毒控制。如果采用類似的概率表達(dá)可能，則有：事件發(fā)生的可能性＝威脅產(chǎn)生的可能性×脆弱性出現(xiàn)的可能性，風(fēng)險(xiǎn)有可能性和后果兩個(gè)方面，其中后果由特定的威脅或漏洞，具體對(duì)組織的資產(chǎn)負(fù)面影響[4-6]。風(fēng)險(xiǎn)R（后果/單位時(shí)間）=事件概率P（事件/單位時(shí)間）×造成的后果C（后果/事件），見(jiàn)圖1。

2.2評(píng)估過(guò)程

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備：確定評(píng)估范圍、組織評(píng)估小組、評(píng)估目標(biāo)、評(píng)估工具和評(píng)估方法。風(fēng)險(xiǎn)因素識(shí)別：資產(chǎn)識(shí)別、威脅識(shí)別、脆弱點(diǎn)識(shí)別。風(fēng)險(xiǎn)評(píng)估方法：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。評(píng)估過(guò)程中涉及的可能性規(guī)模見(jiàn)表1。定性的風(fēng)險(xiǎn)評(píng)估的輸出是一個(gè)資產(chǎn)或場(chǎng)景的列表，有一個(gè)整體的風(fēng)險(xiǎn)級(jí)別排列。表2的矩陣范例描述了總體風(fēng)險(xiǎn)級(jí)別是如何得出的。例如：賦給每個(gè)威脅可能性級(jí)上的概率為1.0時(shí)表示高，0.5表示中，0.1表示低；賦給每個(gè)影響級(jí)上的值為100時(shí)表示高，50表示中，10表示低。在定義評(píng)估范圍時(shí)，要對(duì)控制系統(tǒng)邊界和機(jī)構(gòu)責(zé)任進(jìn)行分析，可以通過(guò)一組進(jìn)程、通信、存儲(chǔ)、資源等來(lái)確定。在控制系統(tǒng)的邊界范圍內(nèi)的每個(gè)要素必須滿足：處于相同的直接管理控制下；具有相同的功能或使命目標(biāo)；有相同的直接管理控制；有相同的功能或使命；有本質(zhì)上相同的運(yùn)行特性和安全需求；位于相同的通用運(yùn)行環(huán)境中。見(jiàn)圖2。

2.3安全級(jí)別生命周期

相關(guān)圖示見(jiàn)圖3。3概率安全評(píng)價(jià)方法的結(jié)合PSA對(duì)分析系統(tǒng)的風(fēng)險(xiǎn)采用系統(tǒng)的、定量的描述，并對(duì)系統(tǒng)的風(fēng)險(xiǎn)避免提出改進(jìn)的方法。這種評(píng)估方法的價(jià)值取決于分析者對(duì)所分析系統(tǒng)的了解、掌握的數(shù)據(jù)是否全面及可靠的程度。與PSA方法相對(duì)的另一種方法是確定論的方法，通過(guò)考慮出現(xiàn)典型事故時(shí)(基準(zhǔn)事件)，應(yīng)采取預(yù)防或緩解措施。隨著PSA方法的發(fā)展和計(jì)算機(jī)在PSA方法中的應(yīng)用，確定論方法越來(lái)越顯示出局限性，主要表現(xiàn)在：嚴(yán)重的初始事件并不一定導(dǎo)致嚴(yán)重的后果；相反看起來(lái)并不嚴(yán)重的初始事件卻可以導(dǎo)致嚴(yán)重的后果；只考慮安全系統(tǒng)的單一故障，不考慮系統(tǒng)的完全失效；沒(méi)有定量的描述。目前，美國(guó)在PSA的應(yīng)用領(lǐng)域處于領(lǐng)先地位。美國(guó)核管會(huì)新的核電廠監(jiān)督檢查大綱的一個(gè)重要建立基礎(chǔ)就是PSA的應(yīng)用。同時(shí)，PSA也廣泛應(yīng)用于NRC的法規(guī)制定、修改及對(duì)電廠所提與許可證條件相關(guān)的變更申請(qǐng)的審批。美國(guó)近幾年來(lái)有多座核電廠提升了功率，正是PSA應(yīng)用所取得的一個(gè)重要成果。雖然PSA在核電領(lǐng)域已經(jīng)廣泛應(yīng)用，但在核電信息安全領(lǐng)域，PSA方法還沒(méi)有得到應(yīng)用。目前，信息安全領(lǐng)域相關(guān)的標(biāo)準(zhǔn)如ISA99和IEC62443等提出了信息安全評(píng)估方法。當(dāng)設(shè)計(jì)一個(gè)新的系統(tǒng)或檢查一個(gè)現(xiàn)有系統(tǒng)的安全性，通過(guò)將系統(tǒng)劃分成區(qū)域，定義區(qū)域的連接管道，確定其保護(hù)等級(jí)。如何實(shí)現(xiàn)這一步在IEC62443-3-2中有詳細(xì)描述。一旦一個(gè)系統(tǒng)的區(qū)域模型建立，每個(gè)區(qū)域和管道分派給一個(gè)目標(biāo)SAL，基于事件的后果分析，描述所希望實(shí)現(xiàn)的安全性保障。我們的研究目標(biāo)之一是將PSA的成熟分析技術(shù)應(yīng)用于核電領(lǐng)域的信息安全。這將進(jìn)一步加強(qiáng)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估的精度[7]。

3結(jié)束語(yǔ)

在IEC62443標(biāo)準(zhǔn)中引入了信息安全保障等級(jí)(SAL，SecurityAssuranceLevel)的概念，嘗試用一種定量的方法來(lái)處理一個(gè)區(qū)域的信息安全。通過(guò)定義并比較用于信息安全生命周期的不同階段的目標(biāo)SAL、設(shè)計(jì)SAL、達(dá)到SAL和能力SAL[8]。目前在核電領(lǐng)域尚未得到應(yīng)用和推廣。而隨著核電企業(yè)信息化程度的加強(qiáng)和面臨的日益嚴(yán)峻的網(wǎng)絡(luò)威脅，信息安全在核電領(lǐng)域的需求必然會(huì)增強(qiáng)。如何運(yùn)用信息安全風(fēng)險(xiǎn)評(píng)估的技術(shù)和手段是大勢(shì)所趨。因此，應(yīng)該堅(jiān)持周期性地開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，不斷在實(shí)踐中完善風(fēng)險(xiǎn)評(píng)估的技術(shù)。

本文作者：王英李佳嘉工作單位：上海工業(yè)自動(dòng)化儀表研究院