加強核電廠工業(yè)控制系統(tǒng)信息安全監(jiān)管的若干思考(梁昊飛)

1、2022年5月4日2022-5-41引言環(huán)境保護部華南核與輻射安全監(jiān)督站 引言2022-5-42環(huán)境保護部華南核與輻射安全監(jiān)督站 引言2022-5-4Dillon Beresford3 引言45 引言2022-5-4環(huán)境保護部華南核與輻射安全監(jiān)督站6核電工控系統(tǒng)信息安全監(jiān)管現(xiàn)狀關(guān)注的主要問題對策建議2022-5-47圖1 我國核電廠工業(yè)控制系統(tǒng)信息安全監(jiān)管模式 核電廠工控系統(tǒng)是我國重要領(lǐng)域工業(yè)控制系統(tǒng)1，其信息安全直接關(guān)系到國家重大基礎(chǔ)設(shè)施安全、核安全和能源（電力）安全，因此長期以來形成了跨領(lǐng)域多部門協(xié)同監(jiān)管的模式。環(huán)境保護部華南核與輻射安全監(jiān)督站名 稱類型中華人民共和國主席令中華人民共和國國

2、家安全法、刑法、刑法修正案（七）、治安處罰法、警察法、網(wǎng)絡(luò)安全法（草案）、放射性污染防治法法律中辦發(fā)200327號國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見中央及國務(wù)院文件國發(fā)201223號國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見國辦發(fā)200758號國務(wù)院辦公廳關(guān)于開展重大基礎(chǔ)設(shè)施安全隱患排查工作的通知國務(wù)院令147號計算機信息系統(tǒng)安全保護條例行政法規(guī)國務(wù)院1986年10月29日發(fā)布民用核設(shè)施安全監(jiān)督管理條例國務(wù)院令第500號民用核安全設(shè)備監(jiān)督管理條例公安部令第51號計算機病毒防治管理辦法部門規(guī)章國家經(jīng)貿(mào)委令第30號電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定國家環(huán)

3、?？偩至畹?6號進口民用核安全設(shè)備監(jiān)督管理規(guī)定（HAF604）國家發(fā)改革委2014年第14號令電力監(jiān)控系統(tǒng)安全防護規(guī)定國核安發(fā)200481號核動力廠設(shè)計安全規(guī)定(HAF102)公通字200743號信息安全等級保護管理辦法電安生1997239號并網(wǎng)核電廠電力生產(chǎn)安全管理規(guī)定辦安全201296號核電站二次系統(tǒng)安全防護技術(shù)規(guī)定（試行）公信安20071360號信息安全等級保護備案實施細則公信安2008736號公安機關(guān)信息安全等級保護檢查工作規(guī)范國能安全2014317號電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法國能安全2014318號電力行業(yè)信息安全等級保護管理辦法公通字200466號關(guān)于信息安全等級保護工作的實施

4、意見其他規(guī)范性文件電監(jiān)安全200634號電力二次系統(tǒng)安全防護方案公信安2007861號關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知電監(jiān)信息2007 34號關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知電監(jiān)信息2007 44號電力行業(yè)信息系統(tǒng)等級保護定級工作指導(dǎo)意見公信安20091429號關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見工信部協(xié)2011451號關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知表表1.1主要核電廠工控系統(tǒng)信息安全監(jiān)管相關(guān)法規(guī)清單主要核電廠工控系統(tǒng)信息安全監(jiān)管相關(guān)法規(guī)清單2022-5-4環(huán)境保護部華南核與輻射安全監(jiān)督站9GB17859-1999計算機信息系統(tǒng)安全保護

5、等級劃分準則國家強制標準GA 243-2000計算機病毒防治產(chǎn)品評級準則行業(yè)強制標準HAD102/14核動力廠安全重要儀表和控制系統(tǒng)核安全導(dǎo)則HAD102/16核動力廠基于計算機的安全重要系統(tǒng)軟件GB/T13284.1-2008核電廠安全系統(tǒng)第1部分：設(shè)計準則核安全領(lǐng)域國家推薦標準GB/T13629-2008核電廠安全系統(tǒng)中數(shù)字計算機的適用準則NB/T 20054-2011核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的計算機軟件核電行業(yè)推薦標準 NB/T 20055-2011核電廠安全重要儀表和控制系統(tǒng)執(zhí)行B 類和C類功能的計算機軟件NB/T 20298-2014核電廠安全重要數(shù)字儀表和控制系統(tǒng)硬

6、件設(shè)計要求NB/T 20026-2014核電廠安全重要儀表和控制系統(tǒng)總體要求NB/T 20300-2014核電廠安全重要儀表和控制系統(tǒng)執(zhí)行 A類功能的HDL可編程集成電路開發(fā)NB/T 20344-2015核電廠安全級電子設(shè)備鑒定規(guī)程GB/T 26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范工業(yè)控制領(lǐng)域國家推薦標準GB/T 30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范GB/T 30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分：驗收規(guī)范20130783-T-604集散控制系統(tǒng)（DCS ）安全防護標準（征求意見稿）20130784-T-604集散控制系統(tǒng)（DCS ）安全管理標準

7、（征求意見稿）20130785-T-604集散控制系統(tǒng)（DCS ）安全評估標準（征求意見稿）20130786-T-604集散控制系統(tǒng)（DCS ）風(fēng)險與脆弱性檢測標準（征求意見稿）20130787-T-604可編程邏輯控制器（PLC ）安全要求（征求意見稿）表表1.2主要核電廠工控系統(tǒng)信息安全監(jiān)管相關(guān)標準清單主要核電廠工控系統(tǒng)信息安全監(jiān)管相關(guān)標準清單2022-5-4環(huán)境保護部華南核與輻射安全監(jiān)督站10監(jiān)管制度：多年來，我國在核電廠工控系統(tǒng)信息安全方面建立了安全風(fēng)險和漏洞通報、信息安全產(chǎn)品強制性認證、信息安全人員測評與資質(zhì)認定等系列監(jiān)管制度；其中，最重要的是信息安全等級保護制度和核安全許可監(jiān)督制度

8、。2022-5-4環(huán)境保護部華南核與輻射安全監(jiān)督站11 核安全許可監(jiān)督制度是1986年民用核設(shè)施安全監(jiān)督管理條例和國務(wù)院500號令中確定的基本制度。核電廠安全重要構(gòu)筑物、系統(tǒng)、設(shè)備的設(shè)計、制造、建造必須經(jīng)過國家核安全局的技術(shù)審評，只有在確認滿足相關(guān)法規(guī)標準要求后，國家核安全局才頒發(fā)相應(yīng)行政許可；同時，國家核安全局派駐核安全監(jiān)督員對核電廠的設(shè)計、制造、建造、調(diào)試、運行直至退役等活動進行全過程的核安全監(jiān)督。2022-5-4環(huán)境保護部華南核與輻射安全監(jiān)督站12 總體來看,信息安全等級保護制度側(cè)重在信息安全（security）的保障方面，主要考慮對人為地有意破壞進行的保障和保衛(wèi)； 而核安全許可監(jiān)督制度通常是針對功能安全（safety）方面的，主要考慮硬件和軟件的隨機故障所導(dǎo)致工控系統(tǒng)失效對核安全、輻射環(huán)境安全和公眾安全的影響。對核電廠工控系統(tǒng)信息安全問題的特殊性認識不足對核電廠工控系統(tǒng)信息安全問題的后果估計不足核電廠工