核電廠信息安全評估方法

時間:2022-10-28 03:15:25

導語:核電廠信息安全評估方法一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

核電廠信息安全評估方法

1基礎設施

1.1網(wǎng)絡隔離

工業(yè)控制系統(tǒng)的網(wǎng)絡入侵是利用網(wǎng)絡系統(tǒng)的漏洞進行病毒感染的過程。在核電站內(nèi),網(wǎng)絡有1E級與非1E級之分。按照核電站設計規(guī)范,數(shù)據(jù)只能由1E級網(wǎng)絡向非1E級網(wǎng)絡單向傳輸[2]。網(wǎng)絡的隔離可通過“硬設置”(如:在兩級網(wǎng)絡間設置網(wǎng)橋)或“軟設置”(如:在1E級網(wǎng)絡上設置防火墻或在任一方網(wǎng)絡的標準化接口的讀寫方式上設置讀寫命令,或完全自主設計網(wǎng)絡接口完成網(wǎng)絡數(shù)據(jù)單向傳輸?shù)膯栴})等方式來實現(xiàn)。按照業(yè)務職能和安全需求的不同,網(wǎng)絡可劃分為以下幾個區(qū)域:滿足辦公終端業(yè)務需要的辦公區(qū)域;滿足在線業(yè)務需要DMZ區(qū)域;滿足ICS管理與監(jiān)控需要的管理區(qū)域;滿足自動化作業(yè)需要的控制區(qū)域。通過設置各個網(wǎng)絡段的隔離(如:工業(yè)防火墻)和進行按重要防護級別進行區(qū)域劃分來達到信息安全“縱深防御”的基本要求。

1.2核安全分級

核設施的不同安全級別,決定了需要防護的等級的差異。因此,在進行核設施風險評估時,要對核設施的安全等級有全面的了解。根據(jù)核設施的重要程度確定風險評估的級別。據(jù)分析,核電站的典型事故主要包括以下方面:蒸汽發(fā)生器傳熱管破裂、給水管道破裂、蒸汽管道破裂、反應堆冷卻劑泵停運、穩(wěn)壓器波紋管破裂等。根據(jù)事故產(chǎn)生后果的嚴重性,將核電廠內(nèi)部設施的安全性分為四級:核安全1級~核安全4級。核安全1級設備指發(fā)生事故后產(chǎn)生后果最嚴重、對安全性要求最高的設備:核安全4級設備為一般性設備,發(fā)生故障后不會引起核事故的發(fā)生,因此也稱非核級。反應堆壓力容器、反應堆冷卻劑泵、主冷卻管道、穩(wěn)壓器等屬于核安全l級,余熱排除系統(tǒng)、蒸汽發(fā)生器二次側等屬于核安全2級。核安全1級、2級部件對核電站整體的安全性至關重要,是監(jiān)測和維護的重點。

1.3電力SCADA系統(tǒng)

為了維持和控制龐大的廣域系統(tǒng),網(wǎng)絡系統(tǒng)中起著重要的作用。電力行業(yè)的基本工具是能源管理系統(tǒng)(EMS)和SCADA系統(tǒng)。遠程終端單元(RTU)是安裝在本地發(fā)電廠或變電站,收集電力系統(tǒng)運行信息,并將它們發(fā)送到控制中心的微波和/或光纖的通訊網(wǎng)絡,執(zhí)行從控制中心發(fā)出的控制指令。這意味著,操作人員可以在控制中心監(jiān)控并控制整個電力系統(tǒng)。EMS分析所收集的信息SCADA,并幫助更準確地掌握電力系統(tǒng)的操作狀態(tài)。再加上自動發(fā)電控制(AGC),當?shù)氐碾娫措妷海瑹o功功率控制(VQC),SCADA系統(tǒng)構成的控制系統(tǒng)的電源系統(tǒng)。

2評估方法

2.1風險評估定義

進行風險評估是按照相關法規(guī)要求,在核電站建造的不同階段,提交初步安全分析報告和最終安全分析報告,并在通過核安全審評后才能進行下階段工作。數(shù)字化核電站的儀控設計必須考慮如何滿足相關法規(guī)和標準要求。從安全審評的角度看待這些設計可以大大減少設計變更的可能性及由于設計上的安全問題而導致的工程延期。總體設計思想是在完成了資產(chǎn)識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性[3]。資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性是威脅出現(xiàn)的頻率;脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析主要內(nèi)容為:對資產(chǎn)進行識別,并對資產(chǎn)的重要性進行賦值;對威脅進行識別,描述威脅的屬性,并對威脅出現(xiàn)的頻率賦值;對資產(chǎn)的脆弱性進行識別,并對具體資產(chǎn)的脆弱性的嚴重程度賦值;根據(jù)威脅和脆弱性的識別結果判斷安全事件發(fā)生的可能性;根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的重要性計算安全事件的損失;根據(jù)安全事件發(fā)生的可能性以及安全事件的損失,計算安全事件一旦發(fā)生對組織的影響,即風險值。考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險,以下面的范式形式化加以說明:風險值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va))。其中,R表示安全風險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。在描述框架對風險的優(yōu)先次序和校準之前,重要的是要明白風險分析的基本概念(例如風險方程)。對發(fā)生的事件的可能性考慮到威脅可能實現(xiàn)的可能性,例如,對于網(wǎng)絡病毒,則需要在網(wǎng)絡上進行防病毒控制。如果采用類似的概率表達可能,則有:事件發(fā)生的可能性=威脅產(chǎn)生的可能性×脆弱性出現(xiàn)的可能性,風險有可能性和后果兩個方面,其中后果由特定的威脅或漏洞,具體對組織的資產(chǎn)負面影響[4-6]。風險R(后果/單位時間)=事件概率P(事件/單位時間)×造成的后果C(后果/事件),見圖1。

2.2評估過程

風險評估準備:確定評估范圍、組織評估小組、評估目標、評估工具和評估方法。風險因素識別:資產(chǎn)識別、威脅識別、脆弱點識別。風險評估方法:問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。評估過程中涉及的可能性規(guī)模見表1。定性的風險評估的輸出是一個資產(chǎn)或場景的列表,有一個整體的風險級別排列。表2的矩陣范例描述了總體風險級別是如何得出的。例如:賦給每個威脅可能性級上的概率為1.0時表示高,0.5表示中,0.1表示低;賦給每個影響級上的值為100時表示高,50表示中,10表示低。在定義評估范圍時,要對控制系統(tǒng)邊界和機構責任進行分析,可以通過一組進程、通信、存儲、資源等來確定。在控制系統(tǒng)的邊界范圍內(nèi)的每個要素必須滿足:處于相同的直接管理控制下;具有相同的功能或使命目標;有相同的直接管理控制;有相同的功能或使命;有本質(zhì)上相同的運行特性和安全需求;位于相同的通用運行環(huán)境中。見圖2。

2.3安全級別生命周期

相關圖示見圖3。3概率安全評價方法的結合PSA對分析系統(tǒng)的風險采用系統(tǒng)的、定量的描述,并對系統(tǒng)的風險避免提出改進的方法。這種評估方法的價值取決于分析者對所分析系統(tǒng)的了解、掌握的數(shù)據(jù)是否全面及可靠的程度。與PSA方法相對的另一種方法是確定論的方法,通過考慮出現(xiàn)典型事故時(基準事件),應采取預防或緩解措施。隨著PSA方法的發(fā)展和計算機在PSA方法中的應用,確定論方法越來越顯示出局限性,主要表現(xiàn)在:嚴重的初始事件并不一定導致嚴重的后果;相反看起來并不嚴重的初始事件卻可以導致嚴重的后果;只考慮安全系統(tǒng)的單一故障,不考慮系統(tǒng)的完全失效;沒有定量的描述。目前,美國在PSA的應用領域處于領先地位。美國核管會新的核電廠監(jiān)督檢查大綱的一個重要建立基礎就是PSA的應用。同時,PSA也廣泛應用于NRC的法規(guī)制定、修改及對電廠所提與許可證條件相關的變更申請的審批。美國近幾年來有多座核電廠提升了功率,正是PSA應用所取得的一個重要成果。雖然PSA在核電領域已經(jīng)廣泛應用,但在核電信息安全領域,PSA方法還沒有得到應用。目前,信息安全領域相關的標準如ISA99和IEC62443等提出了信息安全評估方法。當設計一個新的系統(tǒng)或檢查一個現(xiàn)有系統(tǒng)的安全性,通過將系統(tǒng)劃分成區(qū)域,定義區(qū)域的連接管道,確定其保護等級。如何實現(xiàn)這一步在IEC62443-3-2中有詳細描述。一旦一個系統(tǒng)的區(qū)域模型建立,每個區(qū)域和管道分派給一個目標SAL,基于事件的后果分析,描述所希望實現(xiàn)的安全性保障。我們的研究目標之一是將PSA的成熟分析技術應用于核電領域的信息安全。這將進一步加強系統(tǒng)的風險評估的精度[7]。

3結束語

在IEC62443標準中引入了信息安全保障等級(SAL,SecurityAssuranceLevel)的概念,嘗試用一種定量的方法來處理一個區(qū)域的信息安全。通過定義并比較用于信息安全生命周期的不同階段的目標SAL、設計SAL、達到SAL和能力SAL[8]。目前在核電領域尚未得到應用和推廣。而隨著核電企業(yè)信息化程度的加強和面臨的日益嚴峻的網(wǎng)絡威脅,信息安全在核電領域的需求必然會增強。如何運用信息安全風險評估的技術和手段是大勢所趨。因此,應該堅持周期性地開展信息安全風險評估工作,不斷在實踐中完善風險評估的技術。

本文作者:王英李佳嘉工作單位:上海工業(yè)自動化儀表研究院