核电厂信息安全评估方法

1基础设施

1.1网络隔离

工业控制系统的网络入侵是利用网络系统的漏洞进行病毒感染的过程。在核电站内，网络有1E级与非1E级之分。按照核电站设计规范，数据只能由1E级网络向非1E级网络单向传输[2]。网络的隔离可通过“硬设置”（如：在两级网络间设置网桥）或“软设置”（如：在1E级网络上设置防火墙或在任一方网络的标准化接口的读写方式上设置读写命令，或完全自主设计网络接口完成网络数据单向传输的问题）等方式来实现。按照业务职能和安全需求的不同，网络可划分为以下几个区域：满足办公终端业务需要的办公区域；满足在线业务需要DMZ区域；满足ICS管理与监控需要的管理区域；满足自动化作业需要的控制区域。通过设置各个网络段的隔离（如：工业防火墙）和进行按重要防护级别进行区域划分来达到信息安全“纵深防御”的基本要求。

1.2核安全分级

核设施的不同安全级别，决定了需要防护的等级的差异。因此，在进行核设施风险评估时，要对核设施的安全等级有全面的了解。根据核设施的重要程度确定风险评估的级别。据分析，核电站的典型事故主要包括以下方面：蒸汽发生器传热管破裂、给水管道破裂、蒸汽管道破裂、反应堆冷却剂泵停运、稳压器波纹管破裂等。根据事故产生后果的严重性，将核电厂内部设施的安全性分为四级：核安全1级～核安全4级。核安全1级设备指发生事故后产生后果最严重、对安全性要求最高的设备：核安全4级设备为一般性设备，发生故障后不会引起核事故的发生，因此也称非核级。反应堆压力容器、反应堆冷却剂泵、主冷却管道、稳压器等属于核安全l级，余热排除系统、蒸汽发生器二次侧等属于核安全2级。核安全1级、2级部件对核电站整体的安全性至关重要，是监测和维护的重点。

1.3电力SCADA系统

为了维持和控制庞大的广域系统，网络系统中起着重要的作用。电力行业的基本工具是能源管理系统（EMS）和SCADA系统。远程终端单元（RTU）是安装在本地发电厂或变电站，收集电力系统运行信息，并将它们发送到控制中心的微波和/或光纤的通讯网络，执行从控制中心发出的控制指令。这意味着，操作人员可以在控制中心监控并控制整个电力系统。EMS分析所收集的信息SCADA，并帮助更准确地掌握电力系统的操作状态。再加上自动发电控制（AGC），当地的电源电压，无功功率控制（VQC），SCADA系统构成的控制系统的电源系统。

2评估方法

2.1风险评估定义

进行风险评估是按照相关法规要求，在核电站建造的不同阶段，提交初步安全分析报告和最终安全分析报告，并在通过核安全审评后才能进行下阶段工作。数字化核电站的仪控设计必须考虑如何满足相关法规和标准要求。从安全审评的角度看待这些设计可以大大减少设计变更的可能性及由于设计上的安全问题而导致的工程延期。总体设计思想是在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性[3]。资产的属性是资产价值；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱点的严重程度。风险分析主要内容为：对资产进行识别，并对资产的重要性进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁和脆弱性的识别结果判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响，即安全风险，以下面的范式形式化加以说明：风险值=R（A，T，V）=R(L(T，V)，F(Ia，Va))。其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性；Ia表示安全事件所作用的资产重要程度；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安全事件发生后产生的损失。在描述框架对风险的优先次序和校准之前，重要的是要明白风险分析的基本概念（例如风险方程）。对发生的事件的可能性考虑到威胁可能实现的可能性，例如，对于网络病毒，则需要在网络上进行防病毒控制。如果采用类似的概率表达可能，则有：事件发生的可能性＝威胁产生的可能性×脆弱性出现的可能性，风险有可能性和后果两个方面，其中后果由特定的威胁或漏洞，具体对组织的资产负面影响[4-6]。风险R（后果/单位时间）=事件概率P（事件/单位时间）×造成的后果C（后果/事件），见图1。

2.2评估过程

风险评估准备：确定评估范围、组织评估小组、评估目标、评估工具和评估方法。风险因素识别：资产识别、威胁识别、脆弱点识别。风险评估方法：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。评估过程中涉及的可能性规模见表1。定性的风险评估的输出是一个资产或场景的列表，有一个整体的风险级别排列。表2的矩阵范例描述了总体风险级别是如何得出的。例如：赋给每个威胁可能性级上的概率为1.0时表示高，0.5表示中，0.1表示低；赋给每个影响级上的值为100时表示高，50表示中，10表示低。在定义评估范围时，要对控制系统边界和机构责任进行分析，可以通过一组进程、通信、存储、资源等来确定。在控制系统的边界范围内的每个要素必须满足：处于相同的直接管理控制下；具有相同的功能或使命目标；有相同的直接管理控制；有相同的功能或使命；有本质上相同的运行特性和安全需求；位于相同的通用运行环境中。见图2。

2.3安全级别生命周期

相关图示见图3。3概率安全评价方法的结合PSA对分析系统的风险采用系统的、定量的描述，并对系统的风险避免提出改进的方法。这种评估方法的价值取决于分析者对所分析系统的了解、掌握的数据是否全面及可靠的程度。与PSA方法相对的另一种方法是确定论的方法，通过考虑出现典型事故时(基准事件)，应采取预防或缓解措施。随着PSA方法的发展和计算机在PSA方法中的应用，确定论方法越来越显示出局限性，主要表现在：严重的初始事件并不一定导致严重的后果；相反看起来并不严重的初始事件却可以导致严重的后果；只考虑安全系统的单一故障，不考虑系统的完全失效；没有定量的描述。目前，美国在PSA的应用领域处于领先地位。美国核管会新的核电厂监督检查大纲的一个重要建立基础就是PSA的应用。同时，PSA也广泛应用于NRC的法规制定、修改及对电厂所提与许可证条件相关的变更申请的审批。美国近几年来有多座核电厂提升了功率，正是PSA应用所取得的一个重要成果。虽然PSA在核电领域已经广泛应用，但在核电信息安全领域，PSA方法还没有得到应用。目前，信息安全领域相关的标准如ISA99和IEC62443等提出了信息安全评估方法。当设计一个新的系统或检查一个现有系统的安全性，通过将系统划分成区域，定义区域的连接管道，确定其保护等级。如何实现这一步在IEC62443-3-2中有详细描述。一旦一个系统的区域模型建立，每个区域和管道分派给一个目标SAL，基于事件的后果分析，描述所希望实现的安全性保障。我们的研究目标之一是将PSA的成熟分析技术应用于核电领域的信息安全。这将进一步加强系统的风险评估的精度[7]。

3结束语

在IEC62443标准中引入了信息安全保障等级(SAL，SecurityAssuranceLevel)的概念，尝试用一种定量的方法来处理一个区域的信息安全。通过定义并比较用于信息安全生命周期的不同阶段的目标SAL、设计SAL、达到SAL和能力SAL[8]。目前在核电领域尚未得到应用和推广。而随着核电企业信息化程度的加强和面临的日益严峻的网络威胁，信息安全在核电领域的需求必然会增强。如何运用信息安全风险评估的技术和手段是大势所趋。因此，应该坚持周期性地开展信息安全风险评估工作，不断在实践中完善风险评估的技术。

本文作者：王英李佳嘉工作单位：上海工业自动化仪表研究院