The Journal of the Korea institute of electronic communication sciences (한국전자통신학회논문지)

Korea Institute of Electronic Communication Science (한국전자통신학회)
권호 표지
DOI QR코드

DOI QR Code

Digital Asset Analysis Methodology against Cyber Threat to Instrumentation and Control System in Nuclear Power Plants

원자력발전소의 디지털계측제어시스템의 사이버보안을 위한 디지털 자산분석 방법

  • Received : 2011.10.15
  • Accepted : 2011.12.12
  • Published : 2011.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Instrumentation & Control(I&C) System in NPP(Nuclear Power Plant) plays a important role as the brain of human being, it performs protecting, controling and monitoring safety operation of NPP. Recently, the I&C system is digitalized as digital technology such as PLC, DSP, FPGA. The different aspect of digital system which use digital communication to analog system is that it has potential vulnerability to cyber threat in nature. Possibility that digital I&C system is defected by cyber attack is increasing day by day. The result of cyber attack can be adverse effect to safety function in NPP. Therefore, I&C system required cyber security counter-measures that protect themselves from cyber threat efficiently and also cyber security design should be taken into consideration at concept stage in I&C system development process. In this study, we proposed the digital asset analysis method for cyber security assessment of I&C system design in NPP and we performed digital asset analysis of I&C system by using the proposed method.

원자력발전소의 계측제어계통은 제어, 감시기능을 수행하여 안전운전을 위한 두뇌 역할을 하는 핵심적인 분야이다. 최근 계측제어계통은 마이크로프로세서기반의 디지털 기술을 받아들여 디지털화되었다. 그러나 계측제어계통의 디지털시스템은 아날로그 기반 시스템에 비해 사이버위협에 매우 취약하여, 사이버공격에 의해 발전소 안전에 부정적인 영향을 받을 수 있다. 따라서 사이버침해에 대응할 수 있는 사이버 보안 대책이 계측제어계통에 요구된다. 사이버 보안성이 우수한 계통 설계를 위해서는 계측제어계통을 구성하는 자산에 대한 효과적인 자산분석이 요구된다. 본 연구에서는 원자로 계측제어설계의 사이버보안 적합성을 분석하기 위한 전 단계로 계측제어계통의 디지털 자산을 분석하기 위한 방법론을 제안한다. 제안된 디지털자산 분석 방법은 자산식별, 식별된 자산에 대한 평가방법으로 구성된다. 제안된 자산분석방법은 원자력발전소 계측제어계통의 사이버보안을 위한 자산분석에 응용하였다.

Keywords

References

  1. D. Dzung, M. Naedele, T. Von Hoff, and M. Crevatin, "Security for industrial communication systems," Proc. IEEE, Vol. 93, No. 6, pp. 1152 - 1177, Jun., 2005. https://doi.org/10.1109/JPROC.2005.849714
  2. G. Ericsson, "Information security for electric power utilities (EPUs)-CIGRE developments on frameworks, risk assessment, and technology," IEEE Trans. Power Del., Vol. 24, No. 3, pp. 1174 - 1181, Jul., 2009. https://doi.org/10.1109/TPWRD.2008.2008470
  3. Robert J. Turk, "Cyber Incidents Involving Control Systems", INL/EXT-05-00671, Oct., 2005.
  4. Symantec Security Respon se, "W32.Stuxnet Dossier", Rev. 1.4, Feb., 2011.
  5. Symantec Security Response, "W32.Duqu The precursor to the next stuxnet", Rev. 1.2, Oct., 2011.
  6. ISO/IEC 27005, "Information Technology - Security Techniques - Information Security Risk Management", 2008.
  7. Regulatory Guide 5.71, "Cyber Security Programs for Nuclear Facilities", US-NRC, 2010.
  8. IAEA, IAEA Nuclear Security Series No.XX, "Computer Security at Nuclear Facilities", Draft version, 2010.
  9. Gary Stoneburner, Alice Goguen, and Alexis Firnga, "Risk Management Guide for Information Technology Systems", NIST, Jul., 2002.
  10. 서우석, 전문석, "스마트그리드(Smart Grid) 전력망과 정보통신망 융합 보안 방향", 한국전자통신학회논문지, 5권, 5호, pp. 477-486, 2010.
  11. 차인환, "내부 정보보호를 위한 인원보안 관리 방안 연구", 한국전자통신학회논문지, 3권, 4호, pp. 210-220, 2008.