核电站全寿命周期中电气系统的信息安全研究

◆崔 岗 张 林 罗 成 许子先

核电站全寿命周期中电气系统的信息安全研究

◆崔 岗1张 林1罗 成2许子先2

(1.深圳中广核工程设计有限公司 广东 518124 ; 2.中国信息通信研究院安全研究所 北京 100191)

本文主要阐述核电站全寿命周期中电气系统在组织机构、管理制度、人员管理、技术产品等负面的信息安全现状，并分析其中存在的主要问题。例如,缺乏贯穿于全生命周期的电气监控系统信息安全标准规范体系、设计阶段缺乏信息安全防护的顶层设计、全生命周期各阶段对信息安全还缺乏足够的全面性认识、核电站电气监控系统信息安全缺乏综合安全防护解决方案、缺乏统一的防病毒防护系统、主机安全防护环节薄弱等，最后提出一系列有针对性的改进措施。

核电站；电气系统；信息安全；安全技术

1 核电站中电气系统信息安全现状及分析

随着计算机系统和其它数字设备在工业领域的广泛应用，特别是信息化与工业化深度融合以及物联网的快速发展，电力监控系统产品的网络化、信息化和智能化水平进一步提升。而核电领域也在许多环节得到了提升。随着计算机和网络技术的发展，电力监控系统产品以互联网等公共网络的连接，病毒、木马等威胁正在向电气系统扩散，电力行业系统的安全事件明显增多，系统安全漏洞数量不断增长。

核电站作为电力系统的重要组成部分，具有机组容量大、进口设备多，且涉及核安全等特点，因而其在信息安全问题上也比普通电厂要求更高。而电力行业信息安全与传统信息安全存在较大差别，且核电安全技术水平和防护能力当前还处于起步阶段，造成核电站电气监控系统面临着较以往更大的信息安全风险，安全形势严峻。目前在役和在建的核电站中，对全寿命周期中的电气系统信息安全缺乏有效的防护措施，信息安全防护能力薄弱。

1.1组织机构方面

目前核电站电气监控系统还缺乏长期有效的信息安全建设和管理机制，尚无部署构建贯穿核电站全生命周期的电气系统信息安全管理的组织机构，造成很多环节缺乏有效的信息安全管理和技术防护措施，比如在设计、采购、建安以及调试等环节的厂商或供货商的信息安全工作没有纳入安全管理范畴，没有引起重视，存在巨大的安全隐患。

1.2管理制度方面

目前核电站全寿命周期中电气系统的信息安全管理从制度层面，缺乏各相关部门协同联动的电气系统信息安全管理与技术防护体系，没有建立电气监控系统安全环境、人员管理安全相关的制度和规范。没有明确操作管理人员的角色定义、职责及访问授权等制度依据，造成信息安全落实工作中存在承包商相互推诿、推卸责任的情况，以及部分职责不清、责任不明，阻碍信息安全管理工作的顺利开展。对部分违规行为的责任追究偏轻，个别违反规定的行为没有得到应有的处理。部分规定和条款在实际工作中难以操作和实施。整体上，难以有效推动落实核电站信息安全相关管理工作。

1.3人员管理方面

（1）主观上对信息安全宣传教育重视不够。信息安全宣传和教育是信息安全管理工作发展的基石和推动力，但信息安全宣传的投资属于隐形投资，短期不能明显看到回报，很难引起领导的持续重点关注。这也导致信息安全人才资源的不足，对核电站信息安全管理水平造成一定程度的影响。

（2）缺乏信息安全管理意识。员工的信息安全意识是进行信息安全防护的根本，做好信息安全的宣传教育工作即是筑牢安全保卫的第一道防线，也是最重要的防线。基础防线不牢，何谈信息安全保障。

（3）存在信息安全管理漏洞。主要表现在没有建立起吸引或鼓励信息安全人才的机制，整体信息安全人才体系构建不完善，信息安全人员数量不足。

（4）信息安全培训机制不完善。缺少信息安全的培训，特别是缺乏定期的培训和考核机制。且现场信息安全管理制度的执行力需要进一步提升。

1.4技术产品方面

从目前在建和已投运核电站电气监控系统信息安全现状来看，整个系统缺乏贯穿于全寿命周期的从设计、采购、建安、调试、运营、检修和退役各阶段的信息安全防护设计，从管理到技术措施缺失，使得在运营阶段暴露出大量安全问题和隐患。例如：暴露于能被轻松访问的网络上互联性增加，导致的系统开放接口增多；采用OPC协议的隐患以及网被广泛应用；组网复杂，攻击隐患多；普遍采用国外厂商的系统和技术；特殊的工控协议，种类繁多；为了便于管理，去掉安全加固环节；数据的实时性、可靠性要求高；通用技术被大规模采用；工业协议缺少安全审计和权限校验；默认的用户名和密码；未限制移动介质的使用；采用WINDOWS平台；自动化和信息化程度的提高；项目的实施和维护过程，安全方面没有监督；没有防病毒措施，或者防病毒软件更新滞后，操作系统软件基本没有升级补丁和漏洞修复；未安装桌面安全软件或不升级。

2 核电站中电气系统信息安全主要问题

而对目前的核电站电气监控系统安全防护的现状进行深层次分析，存在的问题主要源于如下原因：

（1）缺乏贯穿于全生命周期的电气监控系统信息安全标准规范体系。核电站电气系统在设计建设阶段没有相关设计标准。在电气系统建成安装之后没有信息安全验收标准可以遵循。此外，缺乏核电站电气监控系统的信息安全测评标准。

（2）设计阶段缺乏信息安全防护的顶层设计。目前已投运和在建的核电站电气系统，信息安全防护主要靠部署防火墙和交换机隔离，没有设计一套采取综合、专用的信息安全防护体系。在设计阶段，更多是考虑电气监控系统的系统功能需求，未设计建立纵深防御体系，并且在电气监控系统的各个层面缺乏有效信息安全防护措施的设计和部署。

（3）全生命周期各阶段对信息安全还缺乏足够的全面性认识。核电信息安全的开发过程本身是电厂寿期之内的系统开发过程,信息安全的开发过程并不是毫无迭代的过程。例如，在完成系统安全应用和安全控制手段应用后，在投入运行之前，需做安全有效性分析，以评估系统的风险。信息安全的开发涉及设备供应链安全、安全设计、安全运维等方方面面。而信息安全的开发过程并不是一蹴而就的，需持续地进行评审改进和维护，才能使得系统的安全满足运维需求。而目前的核电站电气系统信息安全防护措施基本处于一种开环模式，没有建立从需求分析的风险评估到安全设计，再到风险评估、安全等级评估的循环迭代过程。往往是在运营阶段才进行一定的信息安全保障工作研究，从防护手段来看也缺乏综合、专用、高效性。

（4）核电站电气监控系统信息安全缺乏综合安全防护解决方案。表现在：安全防护手段单一。目前在建和已投运的核电站，除了一定程度上实现《电气监控系统安全防护规定》里的“安全分区、网络专用”要求外，对于“横向隔离、纵向加密、综合防护”要求，没有有效防护措施，安全防护手段单一，主要靠防火墙和交换机隔离来实现防护，还未采用《规定》里要求的电力系统专用横向隔离装置和电力专用纵向加密认证装置或者加密认证网关。

（5）缺乏统一的防病毒防护系统。工业领域信息安全不同于传统的信息系统，为了要保证工业生产的正常运转，系统可能长时间得不到更新，病毒防护软件也不能及时安装。目前电力监控系统没有采取防病毒措施，生产控制大区和管理信息大区没有建立一套防病毒系统。另外，病毒代码大多没有更新或手动更新不及时，导致各厂站端、工控机防病毒管理困难。生产控制大区的服务器和工作站等病毒代码缺乏更新措施，导致入侵电厂电气二次系统，直接威胁核电站电气系统安全。

（6）主机安全防护环节薄弱。目前核电站生产控制大区的业务系统一般没有采取专用的主机防护措施，管理信息大区也仅依靠安全配置、安全补丁等方式对主机进行加固。这种加固方式非常薄弱，无法满足电监会对核电站电气监控系统安全等级的要求，亟需采用专用有效的加固方案。

另外，目前在投运的核电站还存在：缺乏数据加密、认证机制；缺乏入侵检测等预警机制；缺乏漏洞扫描和审计手段，接入存在安全隐患；缺乏严格的应用安全控制机制；数据备份单一等问题。核电站亟需建立一套建立综合的安全防护体系。

3 核电站中电气系统信息安全改进措施

（1）信息安全应考虑覆盖电气监控系统的全生命周期。随着信息化和网络化技术的发展和在核电的逐步应用，核电电气监控系统系统间/模块间信息的交互，因纵向和横向的交互，存在大量信息安全隐患。信息安全已关系到核电安全的根本保障，核电系统的安全可靠已成为核电站全生命周期安全的首要诉求。核电企业应重视从全生命周期的角度更多考虑和部署信息安全防护体系建设，以满足切实的核电生产管理需求。

（2）建立完善的全生命周期信息安全保障策略。为了保障核电电气系统信息安全，需要在包含设计、验证、建设、验收、运维、退役等阶段的全生命周期引入信息安全保障策略。在设计、验证阶段，主要包含信息安全顶层设计、安全防护测试等；在建设、验收阶段，通过集成测试和安全系统评估保障整个信息安全系统建设质量；在运维、退役阶段，注重信息安全系统升级以及运行过程中的旁路监测和安全预警，在退役阶段需关注系统数据的备份与销毁问题。只有通过这样的全生命周期安全策略，才能切实保障核电站电气监控系统的信息安全。

（3）加强组织领导，奠定安全管控组织基础。建立信息安全管理长效机制，从安全防御战略出发，将信息化安全建设及安全管理纳入安全生产体系，严格落实信息化安全建设及安全管理办法和电气监控系统安全保障措施。成立信息安全管理领导小组，设立信息安全管理专家组，对核电电气系统信息安全系统的技术构架和安全部署进行管控。同时，将全生命周期中的各信息安全管理部门纳入核电站电气系统信息安全管控体系中，为电气监控系统安全的全生命周期管控奠定组织基础。并且明确各相关部门的工作职责、工作流程及协调机制，对信息系统进行全方位、全过程、全业务的安全管控。

（4）严把生命周期各环节，确保系统安全。需要做好系统从设计、采购、建安、调试等阶段的安全风险管控，应将电力监控系统供货设备厂家、设计院电气设计部门、工程公司设备采购与成套中心的电气采购部门、核电建筑承包商的电气安装队、工程公司项目部的电气负责部门和电气调试部门等统一纳入业主方电气信息安全管理体系中，建立长期有效的信息安全建设和管理机制。

（5）把控需求源头，规范前期安全规划。信息安全的最大隐患（也是后期最难整改的隐患）就是在项目前期缺乏信息安全的统一规划和设计。缺乏安全设计的系统往往使信息安全运维部门在后期陷入被动。为避免系统建设前期的安全设计缺失，在项目前期就对提出的建设需求进行梳理，综合考虑业务发展需求和非功能性需求，编制技术可行性方案，方案需要经专家组评审通过后方可进入可研及设计阶段，实现对电气系统信息安全管理的源头把控。

（6）评审技术方案，把控系统设计安全。在系统技术设计阶段，主要的风险管控点是如何设计并部署切实满足核电电气系统信息安全需求的安全防护体系，从体系架构出发，考虑有利于全生命周期其他阶段的统一技术及安全防护措施，具备可扩展性。需要进行统一安全管控，明确要求将被动安全防御体系和主动安全防御体系的设计理念和设计思想，在详细设计方案中进行实施和部署，从安全分区、网络专用、横向隔离、纵向加密、综合防护的原则出发，构建综合防御体系。需要将网络安全、应用安全、数据安全等非功能性需求纳入整体技术设计方案，并组织专家组对其技术实现及安全保障措施进行评审，进一步提升了非功能性需求在设计方案中的重要性，并保证其安全和可实现。

（7）建立系统安全备案长效机制，做好退役阶段数据安全。明确系统业务分类、功能描述、部署方式、数据库服务器信息、安全评估、上线手续是否完善、是否存在安全隐患等各项参数信息作为核电站电气系统信息安全的身份标识，以便追溯该系统的历史足迹，确保安全隐患有迹可查。规范下线流程，开展退役阶段数据安全研究，制定系统退役信息安全保障方案，对退役阶段的数据保全或销毁等内容进行详细规定。

（8）完善系统安全管控制度，确保系统安全。加强系统安全管理职责划分、安全备案、账号清理管理、敏感信息界定等专项安全管控工作。严格执行核电站电气系统信息安全管理制度，对正式上线运行的系统，通过签订职责划分协议明确生命周期涉及的各环节的安全管理和技术防护职责划分，确保电气监控系统安全管控无死角、无盲区。

（9）统一标准、加强培训，提升全员信息安全意识。主观上加强对信息安全宣传教育的力度，提升全员对信息安全管理的意识。建立起吸引或鼓励信息安全人才的机制，完善整体信息安全人才体系，扩大信息安全人员队伍。完善信息安全培训机制。加大信息安全的培训力度，特别是开展定期的培训和考核。进一步提升现场信息安全管理制度的执行力。

[1]何新华, 钟学辉.浅谈核电企业安全管理中心系统建设[C]//全国信息安全等级保护技术大会会议. 2013.

[2]春增军.核电企业信息安全管理与保障研究[D].武汉大学, 2013.

[3]张林, 崔岗, 张兴振等.核电厂电气二次系统信息安全监管平台的研究[J].核安全, 2015.

[4]何波.核电厂电气安全管理研究[J].中小企业管理与科技旬刊, 2017.

[5]洪艳明, 赵岩.浅谈核电厂电气的安全管理[J].工业c, 2016.

[6]徐展强, 陈家桐.电力二次系统运维及安全管理系统设计[J].电力信息与通信技术, 2012.

[7]武梦阳.电力公司调度二次系统信息监测系统的设计与实现[D].电子科技大学, 2014.

[8]张錋.电力行业信息安全风险评估系统的设计与实现[D].华北电力大学, 2015.

[9]许琰, 杨力强, 魏亮等.浅谈电力调度二次安全防护系统全过程管理体系建设[J].湖州师范学院学报, 2014.

[10]徐霞军, 祁勋, 陶明驹等.核电行业工业控制系统信息安全风险评估方法研究[J].仪器仪表用户, 2017.

[11]李晶, 徐海峰, 杨安义等.核电厂信息安全问题研究及建议[J].核科学与工程, 2016.

[13]胡炎, 辛耀中, 韩英铎.二次系统安全体系结构化设计方法[J].电力系统自动化, 2003.

[14]梁智强, 范颖.电力二次系统安全防护的DDoS攻击原理及防御技术[J].计算机安全, 2010.

[15]王飞, 夏丹阳, 向嫄等.核电厂信息安全标准研究[J]. 中国核电, 2017.

[16]王英, 李佳嘉.核电厂信息安全风险评估方法[C]// 2013中国粮油测控技术研讨会, 2013.

[17]张华.核电站工控系统信息安全管理探究[C]//全国信息安全等级保护技术大会会议, 2013.

[18]万紫骞, 李帅.核电工控系统的信息安全风险评估框架设计[J].电子产品可靠性与环境试验, 2014.

[19]刘双, 马澜, 翁黎明.核电站信息安全体系规划浅析[C]// 2016.

[20]胡江, 孙国臣, 张加军等.由“震网”病毒事件浅议核电站信息安全现状及监管[J].核科学与工程, 2015.

[21]石凌云, 刘凯.核电站信息系统安全等级保护实践[C]// 2016电力行业信息化年会, 2016.

[22]张豪, 刘凯.论核电站信息安全管理体系建设[C]// 2014电力行业信息化年会论文集, 2014.

[23]崔阿军, 张驯, 李志茹等.电力企业信息安全管理体系分析研究[J].信息安全与技术, 2015.