核电厂信息安全风险评估方法

□研究报告□仪器仪表用户22EICVol.202013No.4Doi:10.3969/j.issn.1671-1041.2013.04.005核电厂信息安全风险评估方法王英，李佳嘉（上海工业自动化仪表研究院，上海200233）摘要：随着信息化与工业化深度融合，核电厂信息安全变得日益重要。网络系统因为其固有的脆弱性，带来了一定的潜在的危险，因此评估网络系统的脆弱性具有重要意义。本文通过分析面临的威胁和详细的网络系统的脆弱性，主要包括SCADA（监控和数据的脆弱性采集）系统、EMS（能源管理系统）和MIS（管理信息系统），确定电力行业的风险，找出薄弱部位，提高网络系统的安全性。论文从核电业进行信息安全的角度出发，描述病毒入侵控制系统的手段及防护方式。根据IEC62443标准，确定进行信息系统风险评估的方式、步骤和措施，并与广泛使用的核电站概率安全评价(PSA)的安全评价方法进行比较。通过论述说明风险评估是保障核电信息安全的一个重要条件。关键词：风险评估；信息安全；安全级别生命周期；概率安全评价中图分类号：TP309．1文献标志码：AApplicationofinformationsecurityriskassessmentinnuclearpowerplantsWANGYing,LIJia-jia(ShanghaiInstituteofProcessAutomationInstrumentation,Shanghai200233,China)Abstract:Withtheintegrationofinformationtechnologyandindustrializationdevelopment,thenuclearpowerplant’sinformationsecurityhasbecomeincreasinglyimportant.Thecybersystembringssomehiddendangerbecauseofitsinherentvulnerability.Soitissignificanttoassessthevulnerabilityofcybersystem,todeterminetheriskandtheweakpartsofpowerindustry,andtosetappropriateresponseforthepotentialaccidentsofthecybersystem.Startingfromthepointofviewofthenuclearpowerindustryinformationsecurity,thispaperdescribesthevirusinvasionmeansandprotectionmethods,informationsystemriskassessmentstepsandmeasuresintheindustrycontrolsystemsinaccordancewithIEC62443standard,withthewidespreaduseofnuclearpowerplantprobabilisticsafetyassessmentmethod.Finally,itdescribestheriskassessmentasanimportantconditionfortheprotectionofthecybersecurityofnuclearpower.Keywords:riskassessment;cybersecurity;levelsofsecuritylifecycle;probabilisticsafetyassessment0引言近年来，工业关键基础实施的安全防护成为各国关注的焦点。2010年针对伊朗布什尔核电厂的“震网”病毒为核电设施的安全敲响了警钟。国家互联网应急中心在《2011年中国互联网网络安全态势报告》中指出：2011年国家信息安全漏洞共享平台收录了100多个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍，对正常生产秩序形成严重威胁。毫无疑问，工业控制系统的信息安全环境正处于急速变化的阶段。而核电站因其自身的特殊性，网络信息的安全问题更值得关注。随着数字化技术的发展，在核电站应用数字化技术成为一个普遍的趋势。为适应核工业安全的发展需要，要求核电设施从设计到实现始终贯彻“多层次纵深防御”的安全防护理念[1]，而风险评估作为一个重要的步骤，是实现信息安全“纵深防御”理念的基础。核电站的信息安全是影响核电发展的一个重要因素。这种安全性体现在核电站的运行性能是不能直接进行定量评估的，但可以通过评估其安全性能来表征。1基础设施1.1网络隔离工业控制系统的网络入侵是利用网络系统的漏洞进行病毒感染的过程。在核电站内，网络有1E级与非1E级之分。按照核电站设计规范，数据只能由1E级网络向非1E级网络单向传输[2]。网络的隔离可通过“硬设置”（如：在两级网络间设置网桥）或“软设置”（如：在1E级网络上设置防火墙或在任一方网络的标准化接口的读写方式上设置读写命令，或完全自主设计网络接口完成网络数据单向传输的问题）等方式来实现。按照业务职能和安全需求的不同，网络可划分为以下几个区域：满足办公终端业务需要的办公区域；满足在线业务需要DMZ区域；满足ICS管理与监控需要的管理区域；满足自动化作业需要的控制区域。通过设置各个网络段的隔离（如：工业防火墙）和进行按重要防护级别进行区域划分来达到信息安全“纵深防御”的基本要求。1.2核安全分级□研究报告□仪器仪表用户EICVol.202013No.423欢迎订阅欢迎撰稿欢迎发布产品广告信息核设施的不同安全级别，决定了需要防护的等级的差异。因此，在进行核设施风险评估时，要对核设施的安全等级有全面的了解。根据核设施的重要程度确定风险评估的级别。据分析，核电站的典型事故主要包括以下方面：蒸汽发生器传热管破裂、给水管道破裂、蒸汽管道破裂、反应堆冷却剂泵停运、稳压器波纹管破裂等。根据事故产生后果的严重性，将核电厂内部设施的安全性分为四级：核安全1级～核安全4级。核安全1级设备指发生事故后产生后果最严重、对安全性要求最高的设备：核安全4级设备为一般性设备，发生故障后不会引起核事故的发生，因此也称非核级。反应堆压力容器、反应堆冷却剂泵、主冷却管道、稳压器等属于核安全l级，余热排除系统、蒸汽发生器二次侧等属于核安全2级。核安全1级、2级部件对核电站整体的安全性至关重要，是监测和维护的重点。1.3电力SCADA系统为了维持和控制庞大的广域系统，网络系统中起着重要的作用。电力行业的基本工具是能源管理系统（EMS）和SCADA系统。远程终端单元（RTU）是安装在本地发电厂或变电站，收集电力系统运行信息，并将它们发送到控制中心的微波和/或光纤的通讯网络，执行从控制中心发出的控制指令。这意味着，操作人员可以在控制中心监控并控制整个电力系统。EMS分析所收集的信息SCADA，并帮助更准确地掌握电力系统的操作状态。再加上自动发电控制（AGC），当地的电源电压，无功功率控制（VQC），SCADA系统构成的控制系统的电源系统。2评估方法2.1风险评估定义进行风险评估是按照相关法规要求，在核电站建造的不同阶段，提交初步安全分析报告和最终安全分析报告，并在通过核安全审评后才能进行下阶段工作。数字化核电站的仪控设计必须考虑如何满足相关法规和标准要求。从安全审评的角度看待这些设计可以大大减少设计变更的可能性及由于设计上的安全问题而导致的工程延期。总体设计思想是在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性[3]。资产的属性是资产价值；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱点的严重程度。风险分析主要内容为：对资产进行识别，并对资产的重要性进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁和脆弱性的识别结果判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响，即安全风险，以下面的范式形式化加以说明：风险值=R（A，T，V）=R(L(T，V)，F(Ia，Va))。其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性；Ia表示安全事件所作用的资产重要程度；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安全事件发生后产生的损失。在描述框架对风险的优先次序和校准之前，重要的是要明白风险分析的基本概念（例如风险方程）。对发生的事件的可能性考虑到威胁可能实现的可能性，例如，对于网络病毒，则需要在网络上进行防病毒控制。如果采用类似的概率表达可能，则有：事件发生的可能性＝威胁产生的可能性×脆弱性出现的可能性，风险有可能性和后果两个方面，其中后果由特定的威胁或漏洞，具体对组织的资产负面影响[4-6]。风险R（后果/单位时间）=事件概率P（事件/单位时间）×造成的后果C（后果/事件），见图1。1威胁识别脆弱性识别资产识别威胁出现频率脆弱性严重程度资产的重要性安全事件频率安全事件损失风险值图1风险分析示意图2.2评估过程风险评估准备：确定评估范围、组织评估小组、评估目标、评估工具和评估方法。风险因素识别：资产识别、威胁识别、脆弱点识别。风险评估方法：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。2.2.1可能性规模评估过程中涉及的可能性规模见表1。表1可能性规模等级描述高在下一年就可能发生的一个威胁/脆弱性中在10年内就可能发生的一个威胁/脆弱性低一个威胁/脆弱性没有发生过并且注定不会发生2.2.2风险级别定性的风险评估的输出是一个资产或场景的列表，有一个整体的风险级别排列。表2的矩阵范例描述了总体风险级别是如何得出的。例如：赋给每个威胁可能性级上的概率为1.0时表示高，0.5表示中，0.1表示低；赋给每个影响级上的值为100时表示高，50表示中，10表示低。表2风险级别2.2.3威胁-风险模型在定义评估范围时，要对控制系统边界和机构责任进行分析，可以通过一组进程、通信、存储、资源等来确定。在控制系统的边界范围内的每个要素必须满足：处于相同的直接管理控制下；具有相同的功能或使命目标；有□研究报告□仪器仪表用户24EICVol.202013No.4相同的直接管理控制；有相同的功能或使命；有本质上相同的运行特性和安全需求；位于相同的通用运行环境中。见图2。威胁脆弱性对策风险资产利用要求最小化到图2威胁-风险关系2.3安全级别生命周期2.3.1评估阶段相关图示见图3。工控系统安全性区域？SL（目标）评估后果建立区域或管道评估风险容忍度评估安全保护程度选择合适的SL（目标）SL（目标）否是是否重新评估SL（目标）从维护阶段到开发和实现阶段图3安全级别生命周期－评估阶段2.3.2达到阶段相关图示见图4。新的工控系统新的或已有的ICS?SL（实现）可接受吗？设计ICS适合SL（目标）基于SL（能力）选择开发集成的设计验证系统SL（能力）可接受度测试SL（实现）在t0安装新的工控设备安装工控系统改动到工控系统改变到SL（目标）从评估阶段测试集成的测试维护阶段安全保证实现确定SL（实现）实现附加的安全度量或接受风险已有是否新图4安全级别生命周期－达到阶段2.3.3维护阶段相关图示见图5。过程改变SL（实现）可接受吗？SL（实现）可接受吗？供应商测试供应商开发应用在离线状态下测试OS补丁和升级OS补丁和升级的评估新的SL（实现）在tn部署补丁和升级实现附加的安全性测量新的脆弱性识别预定的阶段性安全性评估评估脆弱性确定SL（实现）Tn+1供应商公布结果安全保证实现OS补丁或升级检验影响，确定SL（