核電站儀控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)研究分析

曾絲竹，趙友有

（中廣核研究院有限公司，廣東 深圳 518000）

0 引言

隨著互聯(lián)網(wǎng)和工業(yè)融合發(fā)展的深化，工業(yè)控制系統(tǒng)越來越多地采用數(shù)字化控制設(shè)備，工控系統(tǒng)網(wǎng)絡(luò)安全問題逐漸凸顯。一方面，隨著計算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊手段和形式也在不斷升級，系統(tǒng)遭受的網(wǎng)絡(luò)攻擊越來越多。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的2020年網(wǎng)絡(luò)安全態(tài)勢報告：2月，針對存在某特定漏洞工控設(shè)備的惡意代碼攻擊持續(xù)半個月之久，攻擊次數(shù)達(dá)6700萬次，攻擊對象包含數(shù)十萬個IP地址[1]；另一方面，傳統(tǒng)工控系統(tǒng)更關(guān)注系統(tǒng)可用性、實時性等性能，對網(wǎng)絡(luò)安全防范缺乏考慮，有時甚至為確保系統(tǒng)可靠性，關(guān)閉操作系統(tǒng)認(rèn)證、防火墻等功能。由于不同系統(tǒng)間的信息傳遞需求、運維設(shè)備等可移動存儲裝置的接入等，工控系統(tǒng)無法實現(xiàn)與外部網(wǎng)絡(luò)的完全隔絕，病毒一旦侵入，系統(tǒng)內(nèi)部處于“裸奔”狀態(tài)的設(shè)備將毫無招架之力。

目前，世界上已發(fā)生多起針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊事件。2010年StuxNet“震網(wǎng)”病毒攻擊伊朗鈾濃縮設(shè)施，導(dǎo)致上千臺離心機(jī)癱瘓；2015年Black Energy攻擊烏克蘭電力系統(tǒng)，導(dǎo)致烏克蘭大規(guī)模停電。核電由于其本身的敏感性，面臨著更大的網(wǎng)絡(luò)安全風(fēng)險。美國《原子科學(xué)家公報》表示，人類社會最大的兩個安全風(fēng)險，網(wǎng)絡(luò)攻擊與核威脅，正在發(fā)生危險的碰撞，其嚴(yán)重后果完全可能演變?yōu)闊o法控制的人禍[2]。

現(xiàn)階段，網(wǎng)絡(luò)安全已成為國家戰(zhàn)略需求。2014年2月27日，習(xí)近平在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上的講話提出，沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。公安部、能源局、核安全局等部委相繼出臺網(wǎng)絡(luò)安全政策，指導(dǎo)網(wǎng)絡(luò)安全建設(shè)。本文從縱向和橫向?qū)哟危瑢χ袊穗妰x控系統(tǒng)網(wǎng)絡(luò)安全相關(guān)的政策標(biāo)準(zhǔn)進(jìn)行了立體化說明，同時也對國際上核電儀控系統(tǒng)網(wǎng)絡(luò)安全方面的法規(guī)政策進(jìn)行了介紹，指出了目前中國核電儀控網(wǎng)絡(luò)安全標(biāo)準(zhǔn)建設(shè)方面存在的不足及給出了改進(jìn)建議，供核電站儀控系統(tǒng)有效開展網(wǎng)絡(luò)安全建設(shè)作參考。

1 中國核電網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)政策

中國網(wǎng)絡(luò)安全防護(hù)分涉密網(wǎng)和非涉密網(wǎng)防護(hù)，針對非涉密網(wǎng)的網(wǎng)絡(luò)安全防護(hù)，主要采取等級保護(hù)（即“等?！保┑谋Ｗo(hù)原則。公安部牽頭編制了有關(guān)等級保護(hù)相關(guān)標(biāo)準(zhǔn)政策，各行業(yè)在等保標(biāo)準(zhǔn)政策基礎(chǔ)上，結(jié)合行業(yè)特點，提出適用于本行業(yè)的網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)政策。本章對國家網(wǎng)絡(luò)安全法律法規(guī)、等級保護(hù)系列標(biāo)準(zhǔn)政策、電力行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策、核電網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策和工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策進(jìn)行了說明。

1.1 網(wǎng)絡(luò)安全法律法規(guī)和標(biāo)準(zhǔn)政策

1.1.1 網(wǎng)絡(luò)安全法律法規(guī)

中國已發(fā)布的網(wǎng)絡(luò)安全法律法規(guī)有3部：《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（以下簡稱《信息系統(tǒng)安全保護(hù)條例》）、《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）和《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》。

《信息系統(tǒng)安全保護(hù)條例》于1994年發(fā)布并在2011年進(jìn)行了修訂，共5章31條，主要針對中國網(wǎng)絡(luò)安全保護(hù)制度、安全監(jiān)督、法律責(zé)任等內(nèi)容進(jìn)行了說明。條例明確中國計算機(jī)信息系統(tǒng)實行安全等級保護(hù)制度，公安部主管全國計算機(jī)信息安全。

2017年6月，《網(wǎng)絡(luò)安全法》正式頒布實施。這是國家安全法律制度體系中的一部重要法律，是國家網(wǎng)絡(luò)安全領(lǐng)域的首部基礎(chǔ)性、框架性法律[3]。網(wǎng)絡(luò)安全法共7章79條，主要針對網(wǎng)絡(luò)安全制度及要求、網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)要求、供應(yīng)商和運營商的法定義務(wù)、政府監(jiān)管要求等進(jìn)行了說明。網(wǎng)絡(luò)安全法提出，中國實行等級保護(hù)制度，關(guān)鍵信息基礎(chǔ)設(shè)施在等級保護(hù)的基礎(chǔ)上實行重點保護(hù)。

為支撐《網(wǎng)絡(luò)安全法》的實施，公安部和網(wǎng)信辦隨后分別起草了《網(wǎng)絡(luò)安全等級保護(hù)條例》和《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》。目前，《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》已于2021年9月正式頒布實施，《網(wǎng)絡(luò)安全等級保護(hù)條例》尚處于制定過程中。

1.1.2 網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)政策

中國網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)政策實施主要分為兩個階段，即通常說的等保1.0時期和等保2.0時期。等保1.0時期的網(wǎng)絡(luò)安全工作以2007年《信息安全等級保護(hù)管理辦法》的發(fā)布為標(biāo)記，指出等級保護(hù)工作主要包括定級、備案、系統(tǒng)建設(shè)和整改、等級測評、監(jiān)督檢查。隨后，公安部相繼發(fā)布一系列配套的等保標(biāo)準(zhǔn)政策，指導(dǎo)開展等級保護(hù)工作，相關(guān)政策如圖1所示。等保2.0時期網(wǎng)絡(luò)安全工作開展以2016年《中華人民共和國網(wǎng)絡(luò)安全法》的發(fā)布為標(biāo)記，此階段由公安部牽頭對等保系列標(biāo)準(zhǔn)進(jìn)行了修訂及補充。等級保護(hù)標(biāo)準(zhǔn)體系如圖2所示。

等級保護(hù)核心標(biāo)準(zhǔn)包括實施指南、定級指南、基本要求、設(shè)計技術(shù)要求和測評指南/要求，此外，還有針對技術(shù)、管理、產(chǎn)品以及系統(tǒng)運維、應(yīng)急響應(yīng)等方面的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。其中，GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》是等保標(biāo)準(zhǔn)體系里唯一的強制性標(biāo)準(zhǔn)，規(guī)定中國計算機(jī)安全保護(hù)等級分為五級，包括用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗證保護(hù)級（防護(hù)級別由低到高），并針對各級別的防護(hù)要求進(jìn)行規(guī)定。5個保護(hù)等級的監(jiān)管要求分別為自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強制保護(hù)和?？乇Ｗo(hù)。第五級為非常重要的監(jiān)管對象，核電儀控系統(tǒng)不在此范圍。GB/T 22239 -2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》是網(wǎng)絡(luò)安全建設(shè)的主要依據(jù)以及等保工作主要目標(biāo)，對各防護(hù)級別的通用要求以及云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)的個性化保護(hù)需求進(jìn)行了說明。標(biāo)準(zhǔn)特別指出了工控系統(tǒng)防護(hù)、室外控制設(shè)備物理防護(hù)、網(wǎng)絡(luò)架構(gòu)和通信傳輸?shù)姆雷o(hù)要求，并在附錄中對工控系統(tǒng)的應(yīng)用場景進(jìn)行了說明。

等級保護(hù)標(biāo)準(zhǔn)是普適性的標(biāo)準(zhǔn)，適用于所有非涉密的信息系統(tǒng)。雖然，標(biāo)準(zhǔn)已按通用要求與擴(kuò)展要求分別提出了不同系統(tǒng)的共性和個性化防護(hù)要求，但由于不同應(yīng)用場景具體應(yīng)用技術(shù)、安全需求的不同，仍存在不適用情況。例如，核電現(xiàn)場不允許緊急情況下登錄被限制，標(biāo)準(zhǔn)中的限制非法登錄次數(shù)要求不適用。在開展等級保護(hù)工作時，需對等級保護(hù)要求進(jìn)行適用性分析。

1.1.3 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)政策

2016年，習(xí)近平總書記在“4.19”網(wǎng)絡(luò)安全和信息化工作座談會上提出：“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系?！彪S后，11月份出版的《網(wǎng)絡(luò)安全法》針對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)進(jìn)行了規(guī)定，提出：“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定?！?/p>

目前，針對關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)標(biāo)準(zhǔn)仍在制定中，相關(guān)標(biāo)準(zhǔn)政策見表1。

表1 關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)政策Table 1 Policies and standards of critical information infrastructure

1.2 電力行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策

電力行業(yè)為中國最早開展網(wǎng)絡(luò)等級保護(hù)的行業(yè)之一，2007年公安部開展網(wǎng)絡(luò)安全等級保護(hù)后，為貫徹落實國家關(guān)于信息安全等級保護(hù)的要求，電力行業(yè)相關(guān)監(jiān)管部門隨即出臺一系列政策，促進(jìn)電力信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)建設(shè)。電力行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策見表2。

表2 電力行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策Table 2 Policies and standards of cybersecurity of electricity industry

目前，電力行業(yè)網(wǎng)絡(luò)安全建設(shè)主要參照發(fā)改委14號令和能源局36號文、72號文和等保標(biāo)準(zhǔn)進(jìn)行，并由國家能源局進(jìn)行監(jiān)管。發(fā)改委14號令主要對電力監(jiān)控系統(tǒng)安全防護(hù)的總體原則、安全管理要求、監(jiān)督管理要求進(jìn)行說明，提出：“電力監(jiān)控系統(tǒng)安全防護(hù)工作應(yīng)當(dāng)落實國家信息安全等級保護(hù)制度，按照國家信息安全等級保護(hù)的有關(guān)要求，堅持‘安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證’的原則，保障電力監(jiān)控系統(tǒng)的安全?！蹦茉淳?6號文，針對電力監(jiān)控系統(tǒng)安全防護(hù)總體方案，調(diào)度中心、發(fā)電廠、變電站、配電監(jiān)控系統(tǒng)的防護(hù)方案以及電力監(jiān)控系統(tǒng)安全評估規(guī)范進(jìn)行了說明。根據(jù)能源局36號文，核電站監(jiān)控系統(tǒng)DCS安全防護(hù)級別定為3級，劃分在生產(chǎn)控制大區(qū)下的控制區(qū)內(nèi)，具有最高的防護(hù)要求。電力行業(yè)相關(guān)標(biāo)準(zhǔn)政策未針對DCS的防護(hù)要求展開具體描述，但對電力監(jiān)控系統(tǒng)防護(hù)總體原則、通用安全防護(hù)措施進(jìn)行了詳細(xì)的描述。

1.3 核電網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策

中國核電網(wǎng)絡(luò)安全建設(shè)尚在起步階段，相關(guān)標(biāo)準(zhǔn)規(guī)范不完善。核電以往的標(biāo)準(zhǔn)政策中，雖針對儀控系統(tǒng)網(wǎng)絡(luò)安全防范提出了要求，但是未針對防護(hù)措施展開具體的描述，如HAD102/16提及，需“采取防范措施，以防止基于計算機(jī)的系統(tǒng)在整個生存周期中遭到實體破壞、有意和無意的侵入、虛假信息和病毒等”。此外，針對儀控系統(tǒng)安全提出的部分要求涉及網(wǎng)絡(luò)安全，如系統(tǒng)間的隔離要求、與外部網(wǎng)絡(luò)的隔離要求等。

2018年，發(fā)改委、能源局等四部委在2017“核電安全管理提升年”專項行動基礎(chǔ)上，總結(jié)核電行業(yè)安全管理經(jīng)驗，提出《關(guān)于進(jìn)一步加強核電運行安全管理的指導(dǎo)意見》。該意見第8節(jié)提出：“將網(wǎng)絡(luò)安全納入核電安全管理體系，加強能力建設(shè)，保障核電網(wǎng)絡(luò)安全?！币蠛穗娤嚓P(guān)單位開展網(wǎng)絡(luò)安全能力建設(shè)，做好網(wǎng)絡(luò)等級保護(hù)測評和開展網(wǎng)絡(luò)安全培訓(xùn)及評估工作。

2020年，核安全局和國家原子能機(jī)構(gòu)參考RG5.71編制發(fā)布《核動力廠網(wǎng)絡(luò)安全技術(shù)政策》（試行）。制定本技術(shù)政策的目的在于：指導(dǎo)運營單位通過建立和實施網(wǎng)絡(luò)安全大綱，對核電廠網(wǎng)絡(luò)安全風(fēng)險進(jìn)行監(jiān)測和管理，以保證核電廠安全水平得以維持或得到提升[4]。該政策是一個綱領(lǐng)性文件，側(cè)重于對核電運營單位在開展網(wǎng)絡(luò)安全建設(shè)過程中的主要工作進(jìn)行指導(dǎo)，對于網(wǎng)絡(luò)安全建設(shè)適用的技術(shù)、管理、操作措施并未展開描述。

現(xiàn)階段，國內(nèi)各核電廠正陸續(xù)開展網(wǎng)絡(luò)安全建設(shè)，以滿足國家相關(guān)監(jiān)管機(jī)構(gòu)對于系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的要求。

1.4 工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策

2010年，伊朗“震網(wǎng)”病毒事件發(fā)生后，工控網(wǎng)絡(luò)安全問題在國內(nèi)引起極大重視。工信部發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，要求切實加強工業(yè)控制系統(tǒng)信息安全管理，中國工控系統(tǒng)信息安全防護(hù)建設(shè)工作由此拉開序幕。工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策見表3。

表3 工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策Table 3 Policies and standards of cybersecurity of industry control systems

工信部451號文對國內(nèi)工控系統(tǒng)信息安全防護(hù)存在的問題進(jìn)行了說明；工信部338號文從安全軟件選擇與管理、配置和補丁管理、物理和環(huán)境安全防護(hù)、供應(yīng)鏈管理、安全監(jiān)測和應(yīng)急預(yù)案演練等11個方面，對工控系統(tǒng)安全防護(hù)要求進(jìn)行了說明；工信部188號文對信息安全評估機(jī)構(gòu)和人員、評估工作程序、評估工具、監(jiān)督管理等進(jìn)行了說明。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)以等級保護(hù)為基礎(chǔ)，包括風(fēng)險評估、分級規(guī)范、安全控制要求、驗收規(guī)范等標(biāo)準(zhǔn)。其中，GB/T36324 -2018《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級規(guī)范》主要對工控系統(tǒng)等級劃分規(guī)則、定級方法進(jìn)行了說明。等級評估中的定級要素除了等保標(biāo)準(zhǔn)中的“系統(tǒng)受侵害后潛在影響程度”，增加“工控系統(tǒng)資產(chǎn)重要程度”和“工控系統(tǒng)需抵御的安全風(fēng)險”，對工控系統(tǒng)等級劃分進(jìn)行了細(xì)化。GB/T33009.1-2016《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)（DCS） 第1部分：防護(hù)要求》，針對DCS過程監(jiān)控層、現(xiàn)場控制層、現(xiàn)場設(shè)備層的網(wǎng)絡(luò)安全防護(hù)要求分別進(jìn)行了說明，將相關(guān)防護(hù)要求細(xì)化到工控系統(tǒng)內(nèi)部不同功能層次；GB/T 32919-2016《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》對工控系統(tǒng)安全控制的選擇、剪裁以及安全控制要求等進(jìn)行了詳細(xì)的說明。

工控系統(tǒng)架構(gòu)、實現(xiàn)功能等與常見信息系統(tǒng)不同，防護(hù)要求存在差異。工控系統(tǒng)防護(hù)更側(cè)重于保護(hù)系統(tǒng)的可用性，其次是完整性和保密性。例如，工控系統(tǒng)一般不接受系統(tǒng)重啟、不允許存在不可接受的延遲。在布置工控系統(tǒng)安全防護(hù)措施時，對于可能影響工控系統(tǒng)功能、性能的措施需謹(jǐn)慎選擇。

2 國外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策

2.1 美國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策

在一般工業(yè)領(lǐng)域，最為知名并得到廣泛采用的是NIST的系列網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，尤其是NIST SP800-82，NIST SP800-53以及《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》。美國核管會根據(jù)NIST SP800系列標(biāo)準(zhǔn)中的“高影響”安全控制基線要求及IEEE-7.4.3.2要求，制定了適用于核電網(wǎng)絡(luò)安全建設(shè)的導(dǎo)則RG5.71和RG1.152。美國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策見表4。

表4 美國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策Table 4 Policies and standards of cybersecurity in America

RG5.71用于指導(dǎo)核運營單位建立、實施和維護(hù)網(wǎng)絡(luò)安全程序，主要針對關(guān)鍵數(shù)字資產(chǎn)識別、網(wǎng)絡(luò)安全計劃制定/執(zhí)行/維護(hù)、文檔管理、風(fēng)險評估、技術(shù)控制、操作和管理控制等方面進(jìn)行了規(guī)定。RG1.152對數(shù)字系統(tǒng)生命周期各個階段，包括設(shè)計、實施、測試、安裝檢查和驗收、運行、維護(hù)，以及退役階段的系統(tǒng)安全特征、監(jiān)管要求進(jìn)行了說明。兩份NRC導(dǎo)則中均未提及系統(tǒng)網(wǎng)絡(luò)安全分級要求，但RG5.71中對于關(guān)鍵數(shù)字資產(chǎn)保護(hù)、縱深防御的概念隱含了此要求。

2.2 IAEA網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策

IAEA計算機(jī)安全相關(guān)要求主要在《核安保叢書》（Nuclear Securities Series）進(jìn)行規(guī)定?！逗税脖矔烦霭嫖锇?類：核安保法則、建議、實施導(dǎo)則和技術(shù)導(dǎo)則。核安保法則用于提出核安保目標(biāo)、概念和原則；建議用于應(yīng)用核安保法則時應(yīng)采取的最佳實踐；實施導(dǎo)則用于進(jìn)一步闡述廣泛領(lǐng)域內(nèi)的建議并提出實施措施；技術(shù)導(dǎo)則用于提出在具體領(lǐng)域內(nèi)應(yīng)用實施導(dǎo)則的詳細(xì)方法和導(dǎo)則。表5列出了IAEA發(fā)布的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

表5 IAEA網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策Table 5 Policies and standards of cybersecurity in IAEA

其中，NSS-23-G為信息安全實施導(dǎo)則，NSS17、NST033、NST045（規(guī)劃中）和NST047（規(guī)劃中）為技術(shù)導(dǎo)則，NR-T-3.30為核能源系列出版物中計算機(jī)安全相關(guān)技術(shù)報告。IAEA通過NSS-17首次對核設(shè)施計算機(jī)安全提出要求，并規(guī)劃在NST-033、NST-045、NST-047出版后，由這3份技術(shù)導(dǎo)則替代NSS-17。

NSS-17包括管理導(dǎo)則和實施導(dǎo)則兩部分，管理導(dǎo)則針對核設(shè)施計算機(jī)安全的監(jiān)管要求、組織和職責(zé)、安全文化等內(nèi)容進(jìn)行了說明；實施導(dǎo)則針對核設(shè)施計算機(jī)安全實施（包括計算機(jī)安全政策和計劃、資產(chǎn)分析管理、計算機(jī)系統(tǒng)分類和分級），威脅、薄弱環(huán)節(jié)和風(fēng)險管理，對核設(shè)施的特殊考慮等內(nèi)容進(jìn)行了說明。NSS-17提出，計算機(jī)系統(tǒng)安全以分級方案為基礎(chǔ)，并給出核設(shè)施計算機(jī)系統(tǒng)5級劃分方案及計算機(jī)安全防護(hù)通用措施和各級的附加措施，等級劃分見表6。此外，導(dǎo)則將區(qū)域劃分視為執(zhí)行分級方案的一種實用方法。NST-033不再提出具體的分級方案，但將IEC62645列為具體實施分級分區(qū)方案的參考。

表6 IAEA核設(shè)施計算機(jī)安全分級Table 6 Classification of computer security of nuclear facilities in IAEA

2.3 IEC網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

IEC核電儀控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要由IEC SC45A（反應(yīng)堆核儀器分技術(shù)委員會）制定，目前已發(fā)布的標(biāo)準(zhǔn)有3份：IEC62645、IEC62859和IEC63096，為SC45A根據(jù) 通用信息安全標(biāo)準(zhǔn)ISO/IEC 27000系列，結(jié)合核電的法規(guī)標(biāo)準(zhǔn)提出。其中，IEC62645對核電廠儀控系統(tǒng)計算機(jī)安全程序制定和管理、I&C系統(tǒng)生命周期各階段的計算機(jī)安全防范要求等進(jìn)行了說明，是SC45A標(biāo)準(zhǔn)系列中網(wǎng)絡(luò)安全領(lǐng)域的頂層文件（SC45A系列標(biāo)準(zhǔn)的第二級標(biāo)準(zhǔn)）。IEC62859對核安全和網(wǎng)絡(luò)安全間的協(xié)調(diào)提出要求，被視為IEC 61513（SC45A系列標(biāo)準(zhǔn)的第一級標(biāo)準(zhǔn)）與IEC62645的橋接標(biāo)準(zhǔn)；IEC63096針對核儀控系統(tǒng)網(wǎng)絡(luò)安全控制提出要求，作為IEC62645的輔助標(biāo)準(zhǔn)。IEC核電相關(guān)網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)見表7。

表7 IEC核電相關(guān)網(wǎng)絡(luò)安全法規(guī)標(biāo)準(zhǔn)Table 7 Cybersecurity standards related with nuclear power plants in IEC

根據(jù)IEC62645，核電儀控系統(tǒng)網(wǎng)絡(luò)安全防范等級按IEC 61226定義的安全功能分類，綜合考慮I&C系統(tǒng)遭受網(wǎng)絡(luò)攻擊對電廠安全性和可用性的影響，劃分為S1/S2/S3共3個級別（S1為最高級別），見表8。IEC62645對3個防范等級的系統(tǒng)的通用防范要求和各級別的附加要求進(jìn)行了說明。

表8 IEC核電儀控系統(tǒng)安全防范等級Table 8 Cybersecurity classification of I&C systems in nuclear power plants in IEC

此外， 針對工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)，IEC發(fā)布了IEC 62443系列標(biāo)準(zhǔn)。IEC 62443系列標(biāo)準(zhǔn)分為總體要求、組織和程序要求、系統(tǒng)要求和部件要求4個部分，共13個標(biāo)準(zhǔn)。該系列標(biāo)準(zhǔn)最初由ISA99提出，2007年IEC與ISA成立聯(lián)合工作組對IEC 62443系列標(biāo)準(zhǔn)進(jìn)行編制，目前該系列標(biāo)準(zhǔn)在陸續(xù)制定發(fā)布。

3 工作建議

目前，國內(nèi)核電儀控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策體系建設(shè)尚不成熟，也未建立統(tǒng)一的參照規(guī)范。由于國內(nèi)的等保標(biāo)準(zhǔn)政策、電力行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策、工控系統(tǒng)標(biāo)準(zhǔn)政策等并非針對核電儀控系統(tǒng)提出，適用對象廣泛，存在不適用要求；NRC、IEC等標(biāo)準(zhǔn)雖然專門針對核電網(wǎng)絡(luò)安全建設(shè)提出了要求，但由于不同電站儀控系統(tǒng)設(shè)計遵循標(biāo)準(zhǔn)體系不同，部分要求并不完全適用。現(xiàn)有法規(guī)標(biāo)準(zhǔn)要求需經(jīng)適用性分析后使用。

對于核電儀控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作，存在以下2點建議：

1）根據(jù)網(wǎng)絡(luò)安全法規(guī)及電力行業(yè)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)政策，開展儀控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作，落實安全分區(qū)、隔離、等級保護(hù)、縱深防御、全生命周期管理和應(yīng)急響應(yīng)等要求，滿足合規(guī)性要求。

2）在滿足上述建議的基礎(chǔ)上，借鑒國內(nèi)工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策及國外的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策，完善網(wǎng)絡(luò)安全計劃和網(wǎng)絡(luò)安全防護(hù)方案。

核電廠儀控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)是一項循序漸進(jìn)、不斷更新和完善的工作，需對儀控系統(tǒng)全生命周期潛在的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行梳理分析，制定相應(yīng)的技術(shù)防護(hù)措施和管理措施。網(wǎng)絡(luò)安全技術(shù)措施的應(yīng)用，應(yīng)在不影響核安全的前提下進(jìn)行，需盡可能減少對儀控系統(tǒng)功能和性能的影響。對于可能會對儀控系統(tǒng)功能、性能等產(chǎn)生不利影響的軟硬件設(shè)施，在實際投入使用前，需經(jīng)過嚴(yán)格的線下測試后采用。此外，隨著計算機(jī)技術(shù)的發(fā)展，攻擊技術(shù)愈加先進(jìn)，需關(guān)注網(wǎng)絡(luò)安全最新資訊，根據(jù)技術(shù)的發(fā)展對防護(hù)方案進(jìn)行更新和完善，以應(yīng)對新的挑戰(zhàn)。需注意的是，網(wǎng)絡(luò)安全風(fēng)險是無法完全消除的，網(wǎng)絡(luò)安全的目的是盡可能減少潛在風(fēng)險，使剩余風(fēng)險限制在可接受的范圍內(nèi)。

4 結(jié)束語

本文對國內(nèi)外現(xiàn)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策進(jìn)行了介紹，并對核電儀控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)工作進(jìn)行了建議。

核電儀控系統(tǒng)作為核電廠重要設(shè)施之一，網(wǎng)絡(luò)安全建設(shè)是必要且迫切的。目前，中國核電網(wǎng)絡(luò)安全建設(shè)尚處于起步摸索的階段，核電網(wǎng)絡(luò)安全標(biāo)準(zhǔn)政策體系尚不完善，網(wǎng)絡(luò)安全系統(tǒng)與核電站儀控系統(tǒng)的相互影響設(shè)計要求和評價機(jī)制仍未形成共識，需要后續(xù)形成統(tǒng)一的標(biāo)準(zhǔn)，更好地指導(dǎo)核電站儀控系統(tǒng)網(wǎng)絡(luò)建設(shè)的落地。