案例指导制度的特色、难题与前景

1、核电厂信息安全评估方法1基础设施1.1网络隔离工业控制系统的网络入侵是利用网络系统的漏洞进行病毒感染的过程。在 核电站内，网络有1e级与非1e级之分。按照核电站设计规范，数据只能 由1e级网络向非1e级网络单向传输2。网络的隔离可通过“硬设置”（如: 在两级网络间设置网桥）或“软设置”（如：在1e级网络上设置防火墙或 在任一方网络的标准化接口的读写方式上设置读写命令，或完全自主设计 网络接口完成网络数据单向传输的问题）等方式來实现。按照业务职能和 安全需求的不同，网络可划分为以下几个区域：满足办公终端业务需要的 办公区域；满足在线业务需要dmz区域；满足ics管理与监控需要的管理 区域；满足自

2、动化作业需耍的控制区域。通过设置各个网络段的隔离（如: 工业防火墙）和进行按重要防护级别进行区域划分来达到信息安全“纵深 防御”的基本要求。12核安全分级核设施的不同安全级别，决定了需要防护的等级的差异。因此，在进行核 设施风险评估时，要对核设施的安全等级有全面的了解。根据核设施的重 要程度确定风险评估的级别。据分析，核电站的典型事故主要包括以下方 面：蒸汽发生器传热管破裂、给水管道破裂、蒸汽管道破裂、反应堆冷却 剂泵停运、稳压器波纹管破裂等。根据事故产生后果的严重性，将核电厂 内部设施的安全性分为四级：核安全1级核安全4级。核安全1级设备 指发生事故后产生后果最严重、对安全性要求最高的设备：

3、核安全4级设 备为一般性设备，发生故障后不会引起核事故的发生，因此也称非核级。 反应堆压力容器、反应堆冷却剂泵、主冷却管道、稳压器等属于核安全1 级，余热排除系统、蒸汽发生器二次侧等属于核安全2级。核安全1级、 2级部件对核电站整体的安全性至关重要，是监测和维护的重点。1. 3电力scada系统为了维持和控制庞大的广域系统，网络系统中起着重要的作用。电力行业 的基本工具是能源管理系统(ems)和scada系统。远程终端单元(rtu) 是安装在木地发电厂或变电站，收集电力系统运行信息，并将它们发送到 控制中心的微波和/或光纤的通讯网络，执行从控制中心发出的控制指令。 这意味着，操作人员可以在控制

4、中心监控并控制整个电力系统。ems分析 所收集的信息scada,并帮助更准确地学握电力系统的操作状态。再加上 自动发电控制(agc),当地的电源电压，无功功率控制(vqc), scada系 统构成的控制系统的电源系统。2评估方法2.1风险评估定义进行风险评估是按照相关法规要求，在核电站建造的不同阶段，提交初步 安全分析报告和最终安全分析报告，并在通过核安全审评后才能进行下阶 段工作。数字化核电站的仪控设计必须考虑如何满足相关法规和标准要 求。从安全审评的角度看待这些设计可以大大减少设计变更的可能性及由 于设计上的安全问题而导致的工程延期。总体设计思想是在完成了资产识 别、威胁识别、脆弱性识别，

5、以及对已有安全措施确认后，将采用适当的 方法与工具确定威胁利用脆弱性导致安全事件发生的可能性3。资产的 属性是资产价值；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱 点的严重程度。风险分析主要内容为：对资产进行识别，并对资产的重要 性进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋 值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； 根据威胁和脆弱性的识别结果判断安全事件发生的可能性；根据脆弱性的 严重程度及安全事件所作用资产的重要性计算安全事件的损失；根据安全 事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的 影响，即风险值。考虑安全申件一旦发

6、生其所作用的资产的重要性及脆弱 性的严重程度判断安全事件造成的损失对组织的影响，即安全风险，以下 面的范式形式化加以说明:风险值二r (a, t, v) =r(l(t, v), f(ta, va)o 其中，r表示安全风险计算函数；a表示资产；t表示威胁；v表示脆弱性; la表示安全事件所作用的资产重要程度；va表示脆弱性严重程度；l表示威胁利用资产的脆弱性导致安全事件发生的可能性；f表示安全事件发生 后产生的损失。在描述框架对风险的优先次序和校准之前，重要的是要明 白风险分析的基本概念（例如风险方程）。对发生的事件的可能性考虑到 威胁可能实现的可能性，例如，对于网络病毒，则需要在网络上进行防病

7、 毒控制。如果采用类似的概率表达可能，则有：事件发生的可能性二威胁 产生的可能性x脆弱性出现的可能性，风险有可能性和后果两个方面，其 中后果由特定的威胁或漏洞，具体对组织的资产负面影响4-6 o风险r （后果/单位时间）二事件概率p （事件/单位时间）x造成的后果c （后果 /事件），见图lo2. 2评估过程风险评估准备：确定评估范围、组织评估小组、评估日标、评估工具和评 估方法。风险因素识别：资产识别、威胁识别、脆弱点识别。风险评估方 法：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。评估过 程中涉及的可能性规模见表lo定性的风险评估的输出是一个资产或场景 的列表，有一个整体的风险级

8、别排列。表2的短阵范例描述了总体风险级 别是如何得出的。例如：赋给每个威胁可能性级上的概率为1. 0时表示高, 0. 5表示屮，0. 1表示低；赋给每个影响级上的值为100时表示高，50表 示中，10表示低。在定义评估范围时，要对控制系统边界和机构责任进行 分析，可以通过一组进程、通信、存储、资源等来确定。在控制系统的边 界范围内的每个要素必须满足：处于相同的直接管理控制下;具有相同的 功能或使命目标；有相同的直接管理控制；有相同的功能或使命；有本质 上相同的运行特性和安全需求；位于相同的通用运行环境中。见图2。2. 3安全级别生命周期相关图示见图3。3概率安全评价方法的结合psa对分析系统的

9、风险采用 系统的、定量的描述，并对系统的风险避免提出改进的方法。这种评估方 法的价值取决于分析者对所分析系统的了解、掌握的数据是否全面及可靠 的程度。与psa方法相对的另一种方法是确定论的方法，通过考虑出现典 型事故时（基准事件），应釆取预防或缓解措施。随着psa方法的发展和计 算机在psa方法中的应用，确定论方法越来越显示岀局限性，主要表现在: 严重的初始事件并不一定导致严重的后果；相反看起來并不严重的初始事 件却可以导致严重的后果；只考虑安全系统的单一故障，不考虑系统的完 全失效；没冇定量的描述。目前，美国在psa的应用领域处于领先地位。美国核管会新的核电厂监督检查人纲的一个重要建立基础就

10、是psa的应 用。同时，psa也广泛应用于nrc的法规制定、修改及对电厂所提与许可 证条件相关的变更申请的审批。美国近几年来有多座核电厂提升了功率， 正是psa应用所取得的一个重要成果。虽然psa在核电领域已经广泛应用, 但在核电信息安全领域，psa方法还没有得到应用。目前，信息安全领域 相关的标准如tsa99和tec62443等提出了信息安全评估方法。当设计一 个新的系统或检查一个现有系统的安全性，通过将系统划分成区域，定义 区域的连接管道，确定其保护等级。如何实现这一步在iec62443-3-2中 有详细描述。一旦一个系统的区域模型建立，每个区域和管道分派给一个 目标sal,基于事件的后果分析，描述所希望实现的安全性保障。我们的 研究h标之一是将psa的成熟分析技术应用于核电领域的信息安全。这将 进一步加强系统的风险评估的精度：7。3结朿语在iec62443标准中引入了信息安全保障等级(sal , sccurityassurancclevcl)的概念，尝试用一种定量的方法來处理一个区 域的信息安全。通过定义并比较用于信息安全生命周期的不同阶段的目标 sal、设计sal、达到s