（高清版）GBT 41241-2022 核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理要求

核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理要求Managementrequirementsforcybersecurityofindustrialcontrolsystemsin2022-03-09發(fā)布國家標(biāo)準(zhǔn)化管理委員會I 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 45核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理 46核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù) 7核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急管理 附錄A(資料性)核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全定級說明 參考文獻(xiàn) 圖A.1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御模型 表A.1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)防等級示例………20ⅢGB/T41241—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國核儀器儀表標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC30)提出并歸口。本文件起草單位：中廣核工程有限公司、中國廣核電力股份有限公司、上海核工程研究設(shè)計(jì)院有限公司、江蘇核電有限公司、核工業(yè)標(biāo)準(zhǔn)化研究所、清華大學(xué)、中核武漢核電運(yùn)行技術(shù)股份有限公司、福建福清核電有限公司、北京廣利核系統(tǒng)工程有限公司、大亞灣核電運(yùn)營管理有限責(zé)任公司、遼寧紅沿河核電有限公司、奇安信科技集團(tuán)股份有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、深信服科技股份有限公司、中國核電發(fā)展中心。陳薇。為提升和規(guī)范核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力，根據(jù)國家在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的要求和規(guī)定、電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求、核電廠儀表和控制系統(tǒng)相關(guān)核安全導(dǎo)則等方1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理要求本文件規(guī)定了核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面的管理、技術(shù)防護(hù)和應(yīng)急管理的要求。本文件適用于核電廠領(lǐng)域工業(yè)控制系統(tǒng)生命周期的所有階段(包括設(shè)計(jì)、開發(fā)、工程實(shí)施、運(yùn)行和維護(hù)、退役等)網(wǎng)絡(luò)安全活動，也適用于指導(dǎo)核電廠工業(yè)控制系統(tǒng)用戶改善和提高生產(chǎn)系統(tǒng)中網(wǎng)絡(luò)安全防護(hù)能力的系統(tǒng)維護(hù)活動。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南GB/T25058信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南GB/T28448信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求GB/T28449信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南3術(shù)語和定義下列術(shù)語和定義適用于本文件。風(fēng)險(xiǎn)評估活動中用于結(jié)束項(xiàng)目實(shí)施的一種方法，主要由被評估方組織機(jī)構(gòu)，對評估活動進(jìn)行逐項(xiàng)檢驗(yàn)，以是否達(dá)到評估目標(biāo)為接受標(biāo)準(zhǔn)。訪問控制accesscontrol一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段。驗(yàn)證實(shí)體所聲稱的身份的動作?？捎眯詀vailability數(shù)據(jù)或資源的特性，能被授權(quán)實(shí)體按要求訪問和使用數(shù)據(jù)或資源。2數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給非授權(quán)的個(gè)人、過程或其他實(shí)體的由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)或者專用通道的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。網(wǎng)絡(luò)安全措施cybersecuritymeasures對某一評估要素進(jìn)行標(biāo)識與辨別的過程。信息系統(tǒng)informationsystem有計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行注：典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)(計(jì)算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng));系統(tǒng)軟件(計(jì)算機(jī)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件);應(yīng)用軟件(包括有其處理、存儲的信息)。保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。注：包括數(shù)據(jù)完整性和系統(tǒng)完整性。生產(chǎn)控制大區(qū)之外的，主要由企業(yè)管理、辦公自動化系統(tǒng)及信息網(wǎng)絡(luò)構(gòu)成的安全區(qū)域。在生產(chǎn)控制范圍內(nèi)由在線運(yùn)行但不直接參與控制、是電力生產(chǎn)過程的必要環(huán)節(jié)、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。3由作用不同的個(gè)體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的機(jī)構(gòu)。由具有數(shù)據(jù)采集與控制功能、縱向聯(lián)接使用專用網(wǎng)絡(luò)或?qū)Ｓ猛ǖ赖碾娏ΡO(jiān)控系統(tǒng)構(gòu)成的安全區(qū)域。采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。系統(tǒng)地使用信息來識別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)。系統(tǒng)地辨識重要系統(tǒng)資源的潛在脆弱性和威脅，基于發(fā)生的概率量化損失風(fēng)險(xiǎn)和后果，并(可選地)建議如何對各對抗措施分配資源以使總風(fēng)險(xiǎn)最小的過程。注1:資源類型包括物理資源，邏輯資源和人力資源。注2:風(fēng)險(xiǎn)評估常與脆弱性評估相結(jié)合，以辨識脆弱性并量化相關(guān)風(fēng)險(xiǎn)。周期地執(zhí)行這些內(nèi)容是為了反映組織機(jī)構(gòu)安全上重要的系統(tǒng)，用于保證反應(yīng)堆安全停堆、從堆芯排出余熱或者限制預(yù)計(jì)運(yùn)行事件和設(shè)計(jì)基準(zhǔn)事故后果。網(wǎng)絡(luò)安全事件cybersecurityincident可能會造成網(wǎng)絡(luò)安全策略的違反、防護(hù)措施的失效，或進(jìn)入未預(yù)知的不安全狀況的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別狀態(tài)?？赡軐?dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)或操作和管理中存在的缺陷或弱點(diǎn)，可被利用來危害系統(tǒng)的完整性或安保策略。44縮略語下列縮略語適用于本文件。B/S:瀏覽器/服務(wù)器模式(Browser/Server)C/S:客戶端/服務(wù)器模式(Client/Server)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)HTTPS:以安全為目標(biāo)的HTTP通道(HyperTextTransferProtocoloverSecureSocketLayer)Rlogin:遠(yuǎn)程登錄命令(RemoteLogininUnixSystems)SSH:安全外殼協(xié)議(SecureShell)5核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理5.1網(wǎng)絡(luò)安全管理通用要求5.1.1管理體系的建立本項(xiàng)要求包括：工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全總體方針和安全策略，建立網(wǎng)絡(luò)安全管理制度，并將網(wǎng)絡(luò)安全管理納入日常安全生產(chǎn)管理體系；b)工業(yè)控制系統(tǒng)與信息系統(tǒng)能共用的安全管理制度，應(yīng)沿用信息系統(tǒng)安全管理制度；c)信息系統(tǒng)安全管理制度不適用或未涉及工業(yè)控制系統(tǒng)的，應(yīng)單獨(dú)建立相應(yīng)的工業(yè)控制系統(tǒng)安全管理制度；d)應(yīng)將工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全納入核電企業(yè)的核能安全、工業(yè)安全管理體系，加強(qiáng)能力建設(shè)，保障核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全；e)宜加強(qiáng)各類管理人員、內(nèi)部組織機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡(luò)安全問題；f)宜加強(qiáng)與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家和安全組織之間的溝通，并建立聯(lián)系列表。5.1.2安全管理及防護(hù)原則本項(xiàng)要求包括：a)核電廠應(yīng)參照本單位網(wǎng)絡(luò)安全大綱等頂層文件和基本管理制度，指定和授權(quán)專門的部門對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；b)應(yīng)根據(jù)工業(yè)控制系統(tǒng)的等級劃分情況，統(tǒng)一考慮網(wǎng)絡(luò)安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件，應(yīng)定期根據(jù)等保測評、風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行修訂；c)應(yīng)組織相關(guān)部門和安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并向上級相關(guān)主管部門報(bào)備；d)網(wǎng)絡(luò)安全防護(hù)方案(總體安全策略、安全技術(shù)框架、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件)應(yīng)確保在網(wǎng)絡(luò)安全防護(hù)相應(yīng)階段工作開始前完成；e)應(yīng)根據(jù)核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級選擇基本安全措施，并依據(jù)國家能源局、核安5全局、公安部、國家衛(wèi)生健康委員會等監(jiān)管部門頒布的相關(guān)法令采取增強(qiáng)防護(hù)措施；f)核電廠應(yīng)開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作，并根據(jù)風(fēng)險(xiǎn)評估的結(jié)果對網(wǎng)絡(luò)安全防護(hù)措施及時(shí)進(jìn)行補(bǔ)充或調(diào)整；g)核電企業(yè)宜研究建立核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室或測試平臺等基礎(chǔ)設(shè)施，為上述安全防護(hù)方案、產(chǎn)品開發(fā)、漏洞補(bǔ)丁測試、變更驗(yàn)證等提供實(shí)驗(yàn)環(huán)境。5.1.3制度體系維護(hù)本項(xiàng)要求包括：a)應(yīng)制定相關(guān)管理制度，明確核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度的制定、發(fā)布、修訂、維護(hù)等事項(xiàng)的管理要求；b)應(yīng)明確工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度執(zhí)行責(zé)任的主體部門和人員；c)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度應(yīng)通過正式、有效的方式發(fā)布，并進(jìn)行宣貫，并注明發(fā)布范圍；d)應(yīng)定期組織相關(guān)部門和相關(guān)人員對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度的合理性和適用性進(jìn)行評估，對存在不足或需要改進(jìn)的管理制度進(jìn)行修訂。5.1.4安全管理機(jī)構(gòu)本項(xiàng)要求包括：a)應(yīng)明確由核電企業(yè)主管網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組負(fù)責(zé)信息系統(tǒng)網(wǎng)絡(luò)安全與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)工作，其負(fù)責(zé)人由企業(yè)法人或其授權(quán)代表擔(dān)任；b)應(yīng)設(shè)立獨(dú)立的行使工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理職能的組織機(jī)構(gòu)；c)應(yīng)制定文件，明確安全管理機(jī)構(gòu)的管理職責(zé)和各安全崗位的職責(zé)、分工和技能要求，以及確保機(jī)構(gòu)內(nèi)人員遵守機(jī)構(gòu)的安全管理措施；d)為保證各相關(guān)責(zé)任部門對各自的責(zé)任有一致的理解，并明確所有重要職能，網(wǎng)絡(luò)安全管理機(jī)構(gòu)的組成和職責(zé)應(yīng)經(jīng)各工業(yè)控制系統(tǒng)責(zé)任部門聯(lián)合審查確認(rèn)。5.1.5安全管理崗位本項(xiàng)要求包括：a)核電廠應(yīng)設(shè)立系統(tǒng)管理、安全管理、審計(jì)管理等網(wǎng)絡(luò)安全崗位，明確各部門及工作崗位的職責(zé)；b)核電廠應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等，并根據(jù)實(shí)際需求設(shè)置專職崗位；c)系統(tǒng)管理員、安全管理員、審計(jì)管理員不可互相兼任。5.1.6網(wǎng)絡(luò)安全人員管理本項(xiàng)要求包括：a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)網(wǎng)絡(luò)安全相關(guān)崗位的人員錄用工作；b)應(yīng)根據(jù)核電廠的網(wǎng)絡(luò)安全相關(guān)人員配備政策和現(xiàn)場網(wǎng)絡(luò)安全防護(hù)工作需求制定人員錄用計(jì)劃及錄用工作規(guī)程；c)應(yīng)對被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核；d)應(yīng)在人員任用前，在崗位描述、任用條款和條件中明確安全職責(zé)，并簽署保密協(xié)議，協(xié)議內(nèi)容包括網(wǎng)絡(luò)安全的要求和責(zé)任；6e)應(yīng)從內(nèi)部人員中選拔從事網(wǎng)絡(luò)安全相關(guān)的關(guān)鍵崗位人員；f)應(yīng)規(guī)定人員錄用記錄的保存時(shí)間，并按要求保存招聘過程和人員錄用抉擇的相關(guān)記錄。本項(xiàng)要求包括：a)應(yīng)將工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全責(zé)任納入人員考核體系；b)應(yīng)定期對工業(yè)控制系統(tǒng)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；c)應(yīng)對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；d)應(yīng)按照企業(yè)保密制度定期對保密制度執(zhí)行情況進(jìn)行檢查或考核；e)應(yīng)根據(jù)考核結(jié)果，對網(wǎng)絡(luò)安全防護(hù)工作優(yōu)異的人員進(jìn)行獎(jiǎng)勵(lì)，對違反網(wǎng)絡(luò)安全管理規(guī)定的人員采取相應(yīng)的懲罰措施；f)應(yīng)對考核結(jié)果進(jìn)行記錄并保存。本項(xiàng)要求包括：a)應(yīng)針對工業(yè)控制系統(tǒng)人員離崗制定相應(yīng)的管理制度；b)應(yīng)及時(shí)終止工業(yè)控制系統(tǒng)離崗人員的所有訪問權(quán)限，取回所有身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；c)應(yīng)終止離職人員對工業(yè)控制系統(tǒng)的使用權(quán)限；d)網(wǎng)絡(luò)安全管理層和關(guān)鍵崗位人員調(diào)離崗位，應(yīng)根據(jù)離崗單位相關(guān)的保密管理要求和流程執(zhí)行，并進(jìn)行離崗安全審查，辦理移交手續(xù)。本項(xiàng)要求包括：a)應(yīng)建立關(guān)于外部人員的管理制度，明確包含安全角色和責(zé)任的人員安全要求，并形成文件；b)應(yīng)在外部人員進(jìn)入現(xiàn)場開展工作前，進(jìn)行入場培訓(xùn)，并簽署保密協(xié)議；c)應(yīng)確保在外部人員物理訪問受控區(qū)域前提出書面申請，批準(zhǔn)后由專人全程陪同，并登記備案；d)應(yīng)確保在外部人員接入網(wǎng)絡(luò)訪問系統(tǒng)前提出書面申請，批準(zhǔn)后由專人開設(shè)賬號、分配權(quán)限，并登記備案；e)外部人員離場后應(yīng)及時(shí)清除其所有訪問權(quán)限。本項(xiàng)要求包括：a)應(yīng)制定培訓(xùn)大綱、程序和課程，制定長期的培訓(xùn)和考核計(jì)劃，并由核電企業(yè)管理機(jī)構(gòu)審核；b)應(yīng)定期對工業(yè)控制系統(tǒng)相關(guān)人員進(jìn)行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)；c)應(yīng)定期對從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作崗位的人員開展專業(yè)技能培訓(xùn)；d)專業(yè)技能培訓(xùn)內(nèi)容應(yīng)包含實(shí)際的安全防護(hù)技術(shù)練習(xí)，以模擬實(shí)際的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全攻擊場景；e)應(yīng)定期(每年至少一次)對各類人員進(jìn)行安全保密意識教育和崗位技能培訓(xùn)；f)應(yīng)定期開展網(wǎng)絡(luò)安全意識培訓(xùn)，其內(nèi)容應(yīng)包括系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方針策略，安全操作程序，安全趨勢和安全漏洞及其危害，識別和報(bào)告內(nèi)部潛在威脅等；g)應(yīng)告知相關(guān)的網(wǎng)絡(luò)安全責(zé)任和獎(jiǎng)懲措施，確保所有從業(yè)人員意識到網(wǎng)絡(luò)安全活動的相關(guān)性和重要性；7h)應(yīng)妥善保存培訓(xùn)過程中的各項(xiàng)記錄。5.2設(shè)計(jì)階段管理要求本項(xiàng)要求包括：a)應(yīng)按照“三同步”原則將工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全貫穿于核電廠設(shè)計(jì)活動；b)應(yīng)明確核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級及相關(guān)安全需求；c)應(yīng)在核電廠工業(yè)控制系統(tǒng)初始設(shè)計(jì)階段包含工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)；d)在安全設(shè)計(jì)環(huán)節(jié)應(yīng)針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)需求，綜合考慮工業(yè)控制系統(tǒng)安全性、可e)應(yīng)包含工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的詳細(xì)設(shè)計(jì)。本項(xiàng)要求包括：a)應(yīng)編制相關(guān)制度，用于明確核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)環(huán)節(jié)變更的工作流程；b)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)變更應(yīng)經(jīng)過充分的論證，并制定相應(yīng)的變更驗(yàn)證方案及恢復(fù)措施；c)對于執(zhí)行核安全或核安全有關(guān)功能的工業(yè)控制系統(tǒng)，其網(wǎng)絡(luò)安全設(shè)計(jì)變更應(yīng)有嚴(yán)格內(nèi)部審核過程，并根據(jù)規(guī)定報(bào)相關(guān)核安全監(jiān)管部門；d)應(yīng)對設(shè)計(jì)變更后系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評審，并確認(rèn)風(fēng)險(xiǎn)控制在可接受范圍內(nèi)；e)應(yīng)根據(jù)變更后對系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方面的影響，進(jìn)行相應(yīng)的網(wǎng)絡(luò)安全防護(hù)變更設(shè)計(jì)。本項(xiàng)要求包括：a)應(yīng)根據(jù)網(wǎng)絡(luò)安全設(shè)計(jì)文檔明確設(shè)計(jì)驗(yàn)證計(jì)劃，明確驗(yàn)證節(jié)點(diǎn)、驗(yàn)證方式等關(guān)鍵內(nèi)容，并編制驗(yàn)證文檔；b)網(wǎng)絡(luò)安全設(shè)計(jì)驗(yàn)證應(yīng)采用評審、審核、分析、測試等方法或這些方法的組合；c)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)驗(yàn)證工作應(yīng)從系統(tǒng)研制階段即開展，貫徹整個(gè)設(shè)計(jì)環(huán)節(jié)，與設(shè)計(jì)工作并行開展。5.2.4網(wǎng)絡(luò)安全等級保護(hù)定級核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護(hù)等級應(yīng)與其重要性相匹配，具體的定級、備案、測評等要求按照GB/T22240、GB/T28448、GB/T28449、GB/T25058執(zhí)行。5.3采購階段管理要求本項(xiàng)要求包括：a)應(yīng)編制相關(guān)制度，明確采購工作的相關(guān)管理要求，確保準(zhǔn)確提出涉及網(wǎng)絡(luò)安全的設(shè)備、產(chǎn)品及服務(wù)的采購技術(shù)要求；b)應(yīng)指定相關(guān)部門負(fù)責(zé)產(chǎn)品和服務(wù)的采購工作，包含申報(bào)、審核、立項(xiàng)、采購、驗(yàn)本項(xiàng)要求包括：8a)應(yīng)確保采購的網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)符合國家的相關(guān)要求，并通過國家網(wǎng)絡(luò)安全相關(guān)部門評估，具有網(wǎng)絡(luò)安全保障和網(wǎng)絡(luò)安全管理的相關(guān)功能；b)應(yīng)確保采購用于工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品，通過國家認(rèn)可機(jī)構(gòu)的安全性檢測和電磁兼容性的檢測；c)應(yīng)用于核電廠工業(yè)控制系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，應(yīng)在使用前進(jìn)行充分驗(yàn)證，確保其不影響工業(yè)控制系統(tǒng)的可靠性和穩(wěn)定性后方可應(yīng)用于現(xiàn)場；d)計(jì)劃應(yīng)用于安全級工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，應(yīng)具備工業(yè)網(wǎng)絡(luò)安全相關(guān)產(chǎn)品資質(zhì)，符合自主可控安全可信要求；e)應(yīng)確保采購的密碼產(chǎn)品符合國家密碼管理規(guī)定。本項(xiàng)要求包括：a)應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商的選擇符合國家的有關(guān)規(guī)定；b)應(yīng)明確供應(yīng)商所需履行的網(wǎng)絡(luò)安全義務(wù)和防護(hù)措施，通過評審、檢查、測試等方式確保供應(yīng)商網(wǎng)絡(luò)安全防護(hù)措施的有效性；c)應(yīng)與供應(yīng)商簽訂保密協(xié)議；d)在滿足功能、性能要求的前提下應(yīng)優(yōu)先采用自主可控的工業(yè)控制系統(tǒng)及其網(wǎng)絡(luò)安全相關(guān)產(chǎn)品。5.4建設(shè)階段管理要求本項(xiàng)要求包括：a)應(yīng)制定相關(guān)制度，明確工業(yè)控制系統(tǒng)建設(shè)環(huán)節(jié)中實(shí)施過程的管理方式和人員行為準(zhǔn)則等內(nèi)容；b)建設(shè)環(huán)節(jié)的網(wǎng)絡(luò)安全防護(hù)措施應(yīng)滿足設(shè)計(jì)文件要求，并明確建設(shè)階段的網(wǎng)絡(luò)安全管理要求；c)應(yīng)為建設(shè)環(huán)節(jié)各重要節(jié)點(diǎn)設(shè)置明確驗(yàn)證節(jié)點(diǎn)，驗(yàn)證通過后方可開展后續(xù)建設(shè)工作，驗(yàn)證報(bào)告應(yīng)留檔保存，用于項(xiàng)目審核追溯。本項(xiàng)要求包括：a)應(yīng)由工業(yè)控制系統(tǒng)建設(shè)方對系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全性測試，并提供可供復(fù)查的安全測試報(bào)告，由業(yè)主單位進(jìn)行審核和確認(rèn)；b)應(yīng)由核電廠委托具有相關(guān)資質(zhì)的獨(dú)立第三方測評機(jī)構(gòu)對系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測試，并出具安全測試報(bào)告；c)應(yīng)驗(yàn)證系統(tǒng)集成的網(wǎng)絡(luò)安全防護(hù)功能不影響系統(tǒng)的正常運(yùn)行，部署的獨(dú)立安全工具應(yīng)在部署前先進(jìn)行兼容性測試，對可能造成影響的情況，應(yīng)由建設(shè)方進(jìn)行處理；d)進(jìn)行滲透性測試的測試環(huán)節(jié)，應(yīng)由業(yè)主單位和系統(tǒng)建設(shè)方進(jìn)行溝通確認(rèn)，并進(jìn)行備份做好恢復(fù)準(zhǔn)備措施；e)系統(tǒng)測試環(huán)境應(yīng)獨(dú)立于系統(tǒng)運(yùn)行環(huán)境和開發(fā)環(huán)境；f)系統(tǒng)測試過程中應(yīng)避免使用個(gè)人信息或其他敏感信息，并保障測試用運(yùn)行數(shù)據(jù)的安全性。本項(xiàng)要求包括：a)應(yīng)制定相關(guān)制度，明確交付環(huán)節(jié)的管理要求和人員行為準(zhǔn)則等內(nèi)容；9b)應(yīng)制定詳細(xì)的交付清單，明確需交接的硬件、軟件和文檔等資產(chǎn)；c)應(yīng)指定專人負(fù)責(zé)系統(tǒng)交付后的網(wǎng)絡(luò)安全管理；d)應(yīng)交付系統(tǒng)網(wǎng)絡(luò)安全相關(guān)的文檔資料；e)應(yīng)對負(fù)責(zé)系統(tǒng)運(yùn)行管理的部門和人員進(jìn)行相應(yīng)的培訓(xùn)。5.5運(yùn)行階段管理要求5.5.1環(huán)境管理本項(xiàng)要求包括：a)應(yīng)建立關(guān)于工業(yè)控制系統(tǒng)運(yùn)行環(huán)境安全管理制度，對有關(guān)工業(yè)控制系統(tǒng)運(yùn)行環(huán)境物理訪問，物品出入控制等方面的管理要求做出規(guī)定，并定期對工業(yè)控制系統(tǒng)運(yùn)行環(huán)境供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；b)應(yīng)對工業(yè)控制系統(tǒng)運(yùn)行環(huán)境的出入人員進(jìn)行相應(yīng)級別的授權(quán)，對進(jìn)入重要安全區(qū)域的活動行為進(jìn)行實(shí)時(shí)監(jiān)視和記錄；c)應(yīng)指定專門的部門或人員定期對工業(yè)控制系統(tǒng)運(yùn)行環(huán)境物理訪問記錄進(jìn)行檢查；d)應(yīng)指定專門的部門或人員在發(fā)生事件或發(fā)現(xiàn)事件跡象的情況下對工業(yè)控制系統(tǒng)運(yùn)行環(huán)境物理訪問記錄進(jìn)行檢查。本項(xiàng)要求包括：a)應(yīng)建立資產(chǎn)安全管理制度，規(guī)定系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，對資產(chǎn)分類、標(biāo)識方法做出規(guī)定，并對資產(chǎn)的使用、傳輸和存儲等進(jìn)行規(guī)范化管理；b)編制并維護(hù)所有重要資產(chǎn)的清單，資產(chǎn)清單要包括資產(chǎn)責(zé)任部門、責(zé)任人、重要程度和所處位置等所有為從災(zāi)難中恢復(fù)而必要的信息；c)應(yīng)確保采用的資產(chǎn)標(biāo)識方法滿足標(biāo)識清楚且不能涂改的要求，且不影響資產(chǎn)正常使用的要求，資產(chǎn)標(biāo)記應(yīng)包括物理和資料格式的資產(chǎn)；d)應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行顏色醒目標(biāo)識度區(qū)分管理，涉及網(wǎng)絡(luò)安全系統(tǒng)及其部件應(yīng)唯一標(biāo)識，并根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施。本項(xiàng)要求包括：a)應(yīng)建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全相關(guān)變更的管理制度，并建立關(guān)于變更申請和審批的程序，并留存記錄；b)應(yīng)充分論證變更的必要性和可行性，針對安全級工業(yè)控制系統(tǒng)，在變更前應(yīng)根據(jù)相關(guān)規(guī)定通過監(jiān)管部門的審批；c)應(yīng)根據(jù)變更需求制定變更實(shí)施方案，針對安全級工業(yè)控制系統(tǒng)的變更，實(shí)施前應(yīng)開展模擬驗(yàn)證；d)應(yīng)充分論證變更實(shí)施過程對系統(tǒng)安全的影響，并制定必要的應(yīng)對措施和預(yù)案，以確保變更不引入新的安全風(fēng)險(xiǎn)；e)變更的執(zhí)行人員應(yīng)進(jìn)行嚴(yán)格的授權(quán)考核，僅有資質(zhì)的人員能夠執(zhí)行變更操作。5.5.4存儲介質(zhì)及連接管理本項(xiàng)要求包括：a)應(yīng)建立存儲介質(zhì)安全管理制度，對存放環(huán)境、使用、維護(hù)和銷毀等方面做出規(guī)定；b)存儲介質(zhì)應(yīng)集中存放并指定專人管理，建立資產(chǎn)臺賬，定期盤點(diǎn)；c)存儲介質(zhì)的使用應(yīng)采用“借用審批，歸還確認(rèn)”的制度，并嚴(yán)格控制其在工業(yè)控制系統(tǒng)中的使用；d)應(yīng)用于不同系統(tǒng)中的存儲介質(zhì)應(yīng)有清楚地標(biāo)識，并將其使用嚴(yán)格限制在所應(yīng)用的系統(tǒng)中；e)存儲介質(zhì)在使用前應(yīng)在專用殺毒計(jì)算機(jī)上殺毒，并留存殺毒記錄；f)應(yīng)關(guān)閉、拆除或封堵控制系統(tǒng)設(shè)備上不需使用的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行接口或多余網(wǎng)口等，確需保留的應(yīng)通過相關(guān)的技術(shù)控制措施實(shí)施嚴(yán)格的監(jiān)控管理；g)應(yīng)確保存儲介質(zhì)存放在安全的環(huán)境中，保存環(huán)境應(yīng)符合所存儲數(shù)據(jù)等級的物理安全防護(hù)要求；h)應(yīng)根據(jù)管理制度要求對存儲介質(zhì)的使用、維護(hù)和銷毀等工作進(jìn)行嚴(yán)格管理，并對管理過程進(jìn)行記錄；i)應(yīng)對送出維修的存儲介質(zhì)進(jìn)行跟蹤記錄，在送修前應(yīng)清除敏感或秘密數(shù)據(jù)；j)應(yīng)對銷毀的存儲介質(zhì)清除敏感或秘密數(shù)據(jù)，采用物理銷毀和消磁處理，并指定專人跟蹤；k)應(yīng)用于不同系統(tǒng)中移動設(shè)備應(yīng)有清楚地標(biāo)識，應(yīng)包含責(zé)任人，系統(tǒng)信息等，并嚴(yán)格限制在所應(yīng)用的系統(tǒng)中；1)應(yīng)禁止未經(jīng)授權(quán)的移動設(shè)備開啟無線功能。5.5.5網(wǎng)絡(luò)和系統(tǒng)管理本項(xiàng)要求包括：a)應(yīng)建立網(wǎng)絡(luò)和系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程、補(bǔ)丁與升級、口令更新周期等方面做出規(guī)定；b)應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行安全維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；c)根據(jù)業(yè)務(wù)重要性的不同，應(yīng)設(shè)置有不同權(quán)限的用戶進(jìn)行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理，并經(jīng)過嚴(yán)格的授權(quán)考核；d)系統(tǒng)應(yīng)配備相應(yīng)的管理人員，在必要時(shí)能阻斷各層網(wǎng)絡(luò)邊界上異常的通信線路；e)應(yīng)嚴(yán)格控制運(yùn)維工具的使用，經(jīng)審批后方可接入進(jìn)行操作，操作過程中應(yīng)保留審計(jì)日志；f)應(yīng)對通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)行為等進(jìn)行監(jiān)測和報(bào)警，形成記錄并妥善保存；g)應(yīng)指定專門的部門或人員對日志、監(jiān)測和報(bào)警數(shù)據(jù)等進(jìn)行分析、統(tǒng)計(jì)，及時(shí)發(fā)現(xiàn)可疑行為；h)應(yīng)對系統(tǒng)資源的使用進(jìn)行監(jiān)控，以確保充足的處理速度和存儲容量，管理人員應(yīng)隨時(shí)掌握系統(tǒng)資源的使用情況，包括處理器、存儲設(shè)備和輸出設(shè)備。應(yīng)嚴(yán)格評估無線通信技術(shù)應(yīng)用于核電廠工業(yè)控制系統(tǒng)的安全性，在確保安全的前提下謹(jǐn)慎使用。不應(yīng)在核電廠工業(yè)控制系統(tǒng)中使用遠(yuǎn)程接入管理功能。本項(xiàng)要求包括：a)應(yīng)建立賬戶管理流程與策略，應(yīng)對系統(tǒng)賬戶管理流程與策略進(jìn)行評審；b)應(yīng)指定專門的部門或人員進(jìn)行賬戶管理；c)應(yīng)及時(shí)對所有賬戶進(jìn)行檢查，核查賬戶的分配是否經(jīng)過管理員授權(quán)、審批。本項(xiàng)要求包括：a)應(yīng)制定口令管理制度，對各類用戶的口令進(jìn)行管理；b)口令應(yīng)根據(jù)工業(yè)控制系統(tǒng)及設(shè)備特點(diǎn)規(guī)定有效期和口令強(qiáng)度要求；c)應(yīng)將存儲用戶口令的存儲介質(zhì)保存在實(shí)施嚴(yán)格物理訪問控制的安全位置；d)應(yīng)使用安全的方式為用戶分配用戶及口令，應(yīng)避免信息泄露，并要求用戶確認(rèn)接收；e)應(yīng)在分配用戶時(shí)僅設(shè)置安全的臨時(shí)口令，并強(qiáng)制用戶立即更改；f)應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，按照系統(tǒng)定級采取相應(yīng)的系統(tǒng)登、離措施，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；g)應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和登錄連接超時(shí)自動退出等相關(guān)措施。本項(xiàng)要求包括：a)應(yīng)針對用戶的訪問權(quán)限制定相應(yīng)的管理制度，包括用戶權(quán)限的分配、變更、注銷和審核；b)用戶初始化創(chuàng)建時(shí)應(yīng)不具備任何權(quán)限，僅由管理人員根據(jù)用戶的業(yè)務(wù)功能需求分配最小權(quán)限；c)應(yīng)明確標(biāo)識系統(tǒng)內(nèi)全部的特殊權(quán)限(包含操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)應(yīng)用程序等),以及需要具備這些特殊權(quán)限的用戶；d)特殊權(quán)限要按照訪問控制策略在“按需使用”和“一事一議”的基礎(chǔ)上分配給用戶，即僅當(dāng)需要時(shí)，為其職能角色分配最低要求權(quán)限，使用結(jié)束后立刻撤銷權(quán)限；e)應(yīng)根據(jù)用戶的崗位變動，重新分配相應(yīng)用戶的訪問權(quán)限并進(jìn)行審核。5.5.11補(bǔ)丁及漏洞管理本項(xiàng)要求包括：a)應(yīng)建立并實(shí)施關(guān)于系統(tǒng)、設(shè)備的補(bǔ)丁和漏洞管理程序，并制定工業(yè)控制系統(tǒng)補(bǔ)丁安裝流程；b)應(yīng)采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評估可能的影響后決定是否進(jìn)行修補(bǔ)；c)應(yīng)評估并確定補(bǔ)丁安裝對系統(tǒng)安全的影響，確保補(bǔ)丁安裝后系統(tǒng)能夠滿足目標(biāo)安全等級；d)安裝系統(tǒng)補(bǔ)丁程序或升級設(shè)備程序前，應(yīng)在測試環(huán)境中測試通過后，并對重要文件進(jìn)行備份，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝，補(bǔ)丁安裝前應(yīng)做好應(yīng)急方案；e)補(bǔ)丁升級工作應(yīng)安排在系統(tǒng)空閑時(shí)間，減少對系統(tǒng)業(yè)務(wù)功能穩(wěn)定運(yùn)行的影響。5.5.12備份與恢復(fù)管理本項(xiàng)要求包括：a)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，明確備份策略，對備份方式、備份頻率、存儲介質(zhì)和保存期等進(jìn)行規(guī)范；b)應(yīng)根據(jù)數(shù)據(jù)所屬系統(tǒng)的重要性及其對核電廠工業(yè)控制系統(tǒng)的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序，備份策略指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、存儲介質(zhì)替換頻率等；c)應(yīng)根據(jù)系統(tǒng)的數(shù)據(jù)備份策略，制定相應(yīng)的災(zāi)難恢復(fù)計(jì)劃，并對其進(jìn)行測試以確保各個(gè)恢復(fù)規(guī)程的正確性和計(jì)劃整體的有效性，對不適用的規(guī)定進(jìn)行修改或更新；d)應(yīng)識別系統(tǒng)信息的重要級別，明確需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件程序等；e)應(yīng)采取安全防護(hù)措施，保護(hù)備份信息的保密性、完整性和可用性；f)應(yīng)將重要操作系統(tǒng)和業(yè)務(wù)系統(tǒng)的備份信息存儲在隔離設(shè)備或者沒有配置操作軟件的存儲器中；g)對需要采取加密或數(shù)據(jù)脫敏處理的備份數(shù)據(jù)，進(jìn)行備份和加密操作時(shí)要求兩名工作人員在場；h)應(yīng)建立異地備份策略，異地備份存儲場所的物理環(huán)境安全要求應(yīng)與系統(tǒng)本地相同；i)應(yīng)對異地備份存儲設(shè)備進(jìn)行適當(dāng)配置，確保其能夠及時(shí)有效的執(zhí)行恢復(fù)操作。5.5.13維護(hù)維修管理本項(xiàng)要求包括：a)應(yīng)制定工業(yè)控制系統(tǒng)日常巡檢管理制度，明確巡查要點(diǎn)，關(guān)注安全設(shè)備的日志記錄，及時(shí)發(fā)現(xiàn)異常情況；b)應(yīng)結(jié)合設(shè)備狀態(tài)，制定糾正性維修策略和預(yù)防性維修策略，并結(jié)合核電機(jī)組大修做好工業(yè)控制系統(tǒng)預(yù)防性維護(hù)，保障安全；c)所有的維護(hù)維修工作均應(yīng)編制相應(yīng)的技術(shù)規(guī)程，清楚地列出所執(zhí)行的操作，避免不當(dāng)操作對系統(tǒng)運(yùn)行帶來風(fēng)險(xiǎn)；d)應(yīng)制定維修階段外部人員網(wǎng)絡(luò)安全管理制度，并按制度嚴(yán)格執(zhí)行；e)應(yīng)制定維修階段外接設(shè)備、移動存儲介質(zhì)的管理要求；f)不應(yīng)將外部人員攜帶未經(jīng)審核檢查的移動存儲介質(zhì)、外接設(shè)備等接入工業(yè)控制系統(tǒng)。5.5.14業(yè)務(wù)連續(xù)性保障本項(xiàng)要求包括：a)應(yīng)制定核電廠工業(yè)控制系統(tǒng)業(yè)務(wù)連續(xù)性的設(shè)計(jì)規(guī)劃，識別進(jìn)行連續(xù)性規(guī)劃時(shí)所面臨的風(fēng)險(xiǎn)以及如何消除這些威脅；b)應(yīng)定期對業(yè)務(wù)連續(xù)性規(guī)劃進(jìn)行驗(yàn)證，若發(fā)現(xiàn)不足或有缺陷的地方，應(yīng)及時(shí)修訂。本項(xiàng)要求包括：a)工業(yè)控制系統(tǒng)設(shè)備和存儲介質(zhì)報(bào)廢前應(yīng)使用恢復(fù)出廠設(shè)置、格式化、消磁等方式清除設(shè)備的配置信息和介質(zhì)內(nèi)存儲的業(yè)務(wù)數(shù)據(jù)，并確認(rèn)配置信息、數(shù)據(jù)已清除；b)應(yīng)用于工業(yè)控制系統(tǒng)的移動存儲介質(zhì)、設(shè)備在報(bào)廢時(shí)應(yīng)執(zhí)行物理銷毀；c)涉及報(bào)廢審批、執(zhí)行流程應(yīng)由業(yè)務(wù)歸口部門和安全監(jiān)督部門共同參與，并做好記錄備案。5.6退役階段管理要求本項(xiàng)要求包括：a)核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全管理制度應(yīng)包含工業(yè)控制系統(tǒng)設(shè)施退役和人員離崗相關(guān)的管理規(guī)定；b)在核電廠退役過程中，應(yīng)建立網(wǎng)絡(luò)安全管理制度，對信息的轉(zhuǎn)移或銷毀等進(jìn)行規(guī)范化管理。本項(xiàng)要求包括：a)應(yīng)對退役工業(yè)控制系統(tǒng)進(jìn)行評估，重點(diǎn)考慮被退役的硬件和軟件的網(wǎng)絡(luò)安全要求；b)退役過程應(yīng)重點(diǎn)考慮退役系統(tǒng)的保密性要求，確保敏感信息不會泄露；c)應(yīng)對系統(tǒng)退役后的殘余風(fēng)險(xiǎn)進(jìn)行評估，確保殘余風(fēng)險(xiǎn)是在電廠的可接受范圍內(nèi)。本項(xiàng)要求包括：a)應(yīng)建立與保護(hù)對象相關(guān)的設(shè)備清單，明確資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并對資產(chǎn)的轉(zhuǎn)移和銷毀等進(jìn)行規(guī)范化管理；b)應(yīng)對核電廠工業(yè)控制系統(tǒng)退役的部分進(jìn)行分析，包括歷史數(shù)據(jù)、硬件、軟件，或者整個(gè)系統(tǒng)；c)對退役報(bào)廢的系統(tǒng)和設(shè)備應(yīng)按相關(guān)要求，銷毀含敏感信息的介質(zhì)和重要安全設(shè)備；d)應(yīng)對退役設(shè)備執(zhí)行報(bào)廢流程，在對服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備采取相應(yīng)網(wǎng)絡(luò)安全措施后報(bào)廢設(shè)備；e)應(yīng)對載有敏感信息的媒體加以安全妥當(dāng)?shù)谋４婊虿捎冒踩姆绞郊右蕴幹茫籪)應(yīng)對包含存儲介質(zhì)的退役設(shè)備進(jìn)行全面核查，以確保在處置之前，任何敏感信息和注冊軟件已被刪除。具體可進(jìn)行物理銷毀，或采用使原始信息不可獲取的技術(shù)進(jìn)行破壞、刪除或?qū)懜采w，不得采用一般的刪除或格式化處理；g)應(yīng)對退役設(shè)備的處置進(jìn)行記錄，以便保持審核記錄；應(yīng)指定專門的部門或人員定期對資產(chǎn)的變動情況進(jìn)行審核。6核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)6.1防護(hù)總體要求和縱深防御原則核電廠工業(yè)控制系統(tǒng)的防護(hù)總體原則應(yīng)遵循國家網(wǎng)絡(luò)安全等級保護(hù)和電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的原則。核電廠應(yīng)建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全縱深防御模型，根據(jù)系統(tǒng)的重要性劃分安全防護(hù)等級，并為不同等級的系統(tǒng)制定相應(yīng)的防護(hù)措施，各層防護(hù)措施的有效性應(yīng)保持連續(xù)且相對獨(dú)立。安全重要的工業(yè)控制系統(tǒng)應(yīng)處于防御模型的最嚴(yán)等級。核電廠網(wǎng)絡(luò)安全防護(hù)等級的說明見附錄A。6.2系統(tǒng)安全防護(hù)基本要求6.2.1物理安全防護(hù)本項(xiàng)要求包括：b)機(jī)房應(yīng)避免設(shè)在建筑物頂層或地下室以及用水設(shè)備的下層或隔壁；c)機(jī)房應(yīng)配置電子門禁系統(tǒng)以加強(qiáng)物理訪問控制，控制、鑒別和記錄進(jìn)入的人員，并對關(guān)鍵設(shè)備及磁介質(zhì)實(shí)施電磁屏蔽；d)進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。6.2.2分區(qū)分域及邊界防護(hù)本項(xiàng)要求包括：a)電廠生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的通信必須部署經(jīng)國家主管部門檢測認(rèn)證的專用單向安全隔離裝置；b)嚴(yán)格禁止E-mail、HTTP、Telnet、Rlogin、FTP等安全風(fēng)險(xiǎn)高的網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫訪問穿越電力專用橫向單向隔離裝置；c)具備對邊界防護(hù)有效性進(jìn)行實(shí)時(shí)監(jiān)控和邊界防護(hù)失效后及時(shí)報(bào)警的能力；d)控制區(qū)與非控制區(qū)之間應(yīng)采用具有訪問控制功能的硬件工業(yè)防火墻，應(yīng)具備邏輯隔離、報(bào)文過e)選用的工業(yè)防火墻應(yīng)具備對流經(jīng)控制區(qū)與非控制區(qū)工業(yè)控制通信協(xié)議進(jìn)行過濾的功能，且不影響工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸?shù)捻憫?yīng)要求；f)生產(chǎn)控制大區(qū)內(nèi)同屬一個(gè)安全區(qū)域的各工業(yè)控制系統(tǒng)之間宜采用VLAN或訪問控制等安全措施，限制系統(tǒng)間的直接互通。本項(xiàng)要求包括：a)核電廠應(yīng)對生產(chǎn)控制大區(qū)的交換機(jī)、工業(yè)防火墻、單向隔離裝置等網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行安全防護(hù)建設(shè)；b)對登錄網(wǎng)絡(luò)設(shè)備、安全設(shè)備的用戶進(jìn)行身份鑒別及權(quán)限控制，只允許相關(guān)管理、維護(hù)人員等登c)對登錄網(wǎng)絡(luò)設(shè)備、安全設(shè)備應(yīng)采用HTTPS、SSH等加密方式進(jìn)行，同時(shí)輔以安全審計(jì)等管理措施；d)網(wǎng)絡(luò)設(shè)備、安全設(shè)備用戶口令應(yīng)該滿足復(fù)雜度要求，定期更換，并由專人負(fù)責(zé)保護(hù)管理；e)應(yīng)及時(shí)清理網(wǎng)絡(luò)設(shè)備、安全設(shè)備上臨時(shí)用戶、多余用戶；f)生產(chǎn)控制大區(qū)內(nèi)應(yīng)部署網(wǎng)絡(luò)監(jiān)控審計(jì)系統(tǒng)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控審計(jì)，宜具備指令級監(jiān)控審計(jì)能力；g)生產(chǎn)控制大區(qū)和管理信息大區(qū)之間應(yīng)部署網(wǎng)絡(luò)入侵檢測設(shè)備，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。本項(xiàng)要求包括：a)生產(chǎn)控制大區(qū)內(nèi)主機(jī)應(yīng)采用免受惡意代碼攻擊的技術(shù)措施；b)生產(chǎn)控制大區(qū)內(nèi)主機(jī)宜部署白名單軟件和惡意代碼防護(hù)軟件，在部署或更新前，應(yīng)首先在測試環(huán)境中測試通過，確保對業(yè)務(wù)系統(tǒng)無影響；c)對不適宜部署惡意代碼防護(hù)的主機(jī)，可通過部署主機(jī)白名單軟件進(jìn)行安全防護(hù)；應(yīng)先在測試環(huán)境中進(jìn)行充分測試，確保對業(yè)務(wù)系統(tǒng)無影響后方可實(shí)施；對列入白名單內(nèi)的軟件進(jìn)程應(yīng)遵循最小化原則；d)可推廣應(yīng)用以密碼硬件為核心的可信計(jì)算技術(shù)，用于實(shí)現(xiàn)計(jì)算環(huán)境和網(wǎng)絡(luò)環(huán)境安全可信，免疫未知惡意代碼破壞，應(yīng)對高級別的惡意攻擊；e)生產(chǎn)控制大區(qū)內(nèi)應(yīng)部署安全審計(jì)設(shè)備，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記f)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；g)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；h)應(yīng)合理設(shè)置安全審計(jì)設(shè)備存儲容量，保障安全審計(jì)日志保存時(shí)間不低于6個(gè)月；i)采取上述安全增強(qiáng)措施前，應(yīng)首先在測試環(huán)境中進(jìn)行充分測試，確保所采取的措施對業(yè)務(wù)系統(tǒng)無影響；j)加強(qiáng)對安全增強(qiáng)措施的審核與管理，制定安全增強(qiáng)措施的技術(shù)要求和管理策略，充分發(fā)揮主機(jī)增強(qiáng)措施的安全效應(yīng)；k)宜采用自主可控的安全增強(qiáng)系統(tǒng)實(shí)現(xiàn)以上要求。安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心可具備可信驗(yàn)證的能力。計(jì)算節(jié)點(diǎn)可基于可信根實(shí)現(xiàn)開機(jī)到操作系統(tǒng)啟動，再到應(yīng)用程序啟動的可信驗(yàn)證，并將驗(yàn)證結(jié)果形成審計(jì)記錄。本項(xiàng)要求包括：a)應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；b)網(wǎng)絡(luò)中的安全設(shè)備或安全組件應(yīng)使用一條安全的信息傳輸路徑進(jìn)行管理；c)應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測；d)應(yīng)對分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求；e)應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理；f)應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報(bào)警和分析；g)應(yīng)在專用場所建立集中的監(jiān)控中心；h)應(yīng)獨(dú)立實(shí)行系統(tǒng)管理、審計(jì)管理和安全管理。6.3核安全功能與網(wǎng)絡(luò)安全功能的協(xié)同6.3.1核安全功能與網(wǎng)絡(luò)安全功能原則要求核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全措施的實(shí)現(xiàn)不應(yīng)影響核安全功能的實(shí)現(xiàn)，需要考慮對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)失效模式和失效后果影響，對工業(yè)控制系統(tǒng)的性能(包括響應(yīng)時(shí)間)、有效性、可靠性或安全重要功能操作的影響應(yīng)在設(shè)計(jì)安全規(guī)范范圍內(nèi)。6.3.2工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急與核安全應(yīng)急協(xié)調(diào)機(jī)制本項(xiàng)要求包括：a)應(yīng)將工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)納入應(yīng)急管理體系中進(jìn)行統(tǒng)一管理；b)核電廠的工業(yè)控制系統(tǒng)應(yīng)急組織的協(xié)調(diào)演練和緊急處理程序的演練不應(yīng)影響核安全功能。7核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急管理7.1應(yīng)急管理體系核電廠運(yùn)營單位應(yīng)將工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急納入應(yīng)急管理體系中，內(nèi)容應(yīng)包括：目的、范圍、角a)應(yīng)建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的組織，組織的負(fù)責(zé)人應(yīng)為電廠生產(chǎn)運(yùn)維領(lǐng)域或工業(yè)控制網(wǎng)絡(luò)安全領(lǐng)域第一負(fù)責(zé)人；b)工業(yè)控制系統(tǒng)的運(yùn)維工程師、核安全工程師和其他運(yùn)行及支持人員應(yīng)參與應(yīng)急組織；c)明確安全事件類型及分類原則，確定各類安全事件的報(bào)告流程，響應(yīng)和處理的范圍、程度和處置方案等內(nèi)容；d)應(yīng)急預(yù)案應(yīng)包含全部工業(yè)控制系統(tǒng)可能發(fā)生的網(wǎng)絡(luò)事件及導(dǎo)致的故障或問題；e)應(yīng)至少包括啟動預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容，并明確系統(tǒng)應(yīng)急需求、規(guī)定系統(tǒng)恢復(fù)優(yōu)先級與目標(biāo)、明確責(zé)任人等內(nèi)容；f)應(yīng)對應(yīng)急預(yù)案進(jìn)行集中管理，避免發(fā)生泄露和未授權(quán)更改；g)應(yīng)制定應(yīng)急培訓(xùn)和演練的計(jì)劃，確保所有人員均進(jìn)行了各自應(yīng)急活動方面的培訓(xùn)和練習(xí)；h)應(yīng)急響應(yīng)過程中形成的所有文檔和記錄均應(yīng)妥善保存。本項(xiàng)要求包括：a)應(yīng)急響應(yīng)的方針策略、制度、計(jì)劃、預(yù)案等規(guī)程性文檔制定完成后，均應(yīng)經(jīng)過應(yīng)急響應(yīng)小組領(lǐng)導(dǎo)審核批準(zhǔn)，如應(yīng)急預(yù)案對應(yīng)的安全事件可能引發(fā)核安全事件，該預(yù)案應(yīng)經(jīng)主管部門審查后，送交指定部門備案；b)應(yīng)明確規(guī)定應(yīng)急響應(yīng)的方針策略、制度、計(jì)劃、預(yù)案等規(guī)程性文檔需要定期進(jìn)行審核和更新c)應(yīng)針對系統(tǒng)或組織機(jī)構(gòu)的變更或應(yīng)急響應(yīng)文檔在實(shí)施、測試過程中遇到問題的情況，對應(yīng)急響應(yīng)文檔進(jìn)行審核和更新；d)應(yīng)定期對過去的安全事件進(jìn)行總結(jié)提煉，將相應(yīng)的改進(jìn)行動落實(shí)到網(wǎng)絡(luò)安全管理體系中。本項(xiàng)要求包括：a)應(yīng)對全部人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)，宣貫相應(yīng)的政策、規(guī)程，以及識別、響應(yīng)疑似和確認(rèn)的網(wǎng)絡(luò)攻擊事件和其他安全事件的方法；b)應(yīng)定期(每年至少一次)對應(yīng)急響應(yīng)工作人員進(jìn)行專項(xiàng)應(yīng)急培訓(xùn)，確保人員熟悉各自的應(yīng)急響應(yīng)任務(wù)；c)應(yīng)針對系統(tǒng)、組織機(jī)構(gòu)或應(yīng)急響應(yīng)文檔發(fā)生變更時(shí)，對應(yīng)急響應(yīng)工作人員進(jìn)行專項(xiàng)培訓(xùn)，確保有關(guān)人員熟悉各自應(yīng)急響應(yīng)任務(wù)的變化；d)應(yīng)急培訓(xùn)時(shí)，應(yīng)搭建模擬事件場景供受訓(xùn)人員進(jìn)行實(shí)操練習(xí)；e)應(yīng)急響應(yīng)文檔審批通過后，應(yīng)根據(jù)應(yīng)急響應(yīng)人員的職責(zé)，分發(fā)相應(yīng)的應(yīng)急響應(yīng)文檔。7.2安全事件管理7.2.1安全事件監(jiān)測本項(xiàng)要求包括：a)應(yīng)對系統(tǒng)可能遭受的網(wǎng)絡(luò)安全事件進(jìn)行等級劃分，并建立網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和現(xiàn)場處置方案；b)應(yīng)監(jiān)控工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全邊界，以確保及時(shí)發(fā)現(xiàn)存在潛在的安全威脅并采取相應(yīng)的措施；c)應(yīng)跟蹤和記錄系統(tǒng)內(nèi)網(wǎng)絡(luò)安全事件，對重要系統(tǒng)的異常事件重點(diǎn)監(jiān)視；d)應(yīng)統(tǒng)計(jì)系統(tǒng)內(nèi)網(wǎng)絡(luò)安全事件的類型、頻率和損害風(fēng)險(xiǎn)，并進(jìn)行風(fēng)險(xiǎn)評估。7.2.2安全事件上報(bào)本項(xiàng)要求包括：a)針對系統(tǒng)中發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件相關(guān)的弱點(diǎn)、不足和脆弱性及可疑事件，任何發(fā)現(xiàn)事件的人員均應(yīng)記錄，并向應(yīng)急響應(yīng)機(jī)構(gòu)或網(wǎng)絡(luò)安全管理機(jī)構(gòu)進(jìn)行報(bào)告，但在任何情況下均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；b)應(yīng)定期組織網(wǎng)絡(luò)安全機(jī)構(gòu)與工業(yè)控制系統(tǒng)運(yùn)行部門間關(guān)于系統(tǒng)網(wǎng)絡(luò)安全事件的溝通交流；c)當(dāng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件可能導(dǎo)致涉及國家秘密的重大失、泄密事件時(shí)，應(yīng)按照有關(guān)規(guī)定向相應(yīng)的主管部門匯報(bào)。7.2.3安全事件處置本項(xiàng)要求包括：應(yīng)持續(xù)完善提升處置能力；b)應(yīng)針對不同等級的網(wǎng)絡(luò)安全事件采用不同的處理和報(bào)告程序；c)涉及國家秘密的網(wǎng)絡(luò)安全事件應(yīng)按照國家保密相關(guān)法規(guī)進(jìn)行處置；d)在網(wǎng)絡(luò)安全事件的報(bào)告和處置過程中，應(yīng)分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程；e)應(yīng)通過對網(wǎng)絡(luò)安全事件的評價(jià)分析，獲取的網(wǎng)絡(luò)安全事件的特征經(jīng)驗(yàn)，用于識別易重發(fā)的或高安全風(fēng)險(xiǎn)的事件，并采取必要措施避免類似事件重發(fā)。本項(xiàng)要求包括：a)系統(tǒng)應(yīng)具備在規(guī)定的時(shí)間內(nèi)，進(jìn)行實(shí)時(shí)或準(zhǔn)實(shí)時(shí)的恢復(fù)能力；b)應(yīng)確保系統(tǒng)恢復(fù)后，系統(tǒng)運(yùn)行狀態(tài)與事件發(fā)生前一致；c)應(yīng)跟蹤核查系統(tǒng)狀態(tài)，應(yīng)確保處于規(guī)定的安全狀態(tài)，否則應(yīng)執(zhí)行系統(tǒng)恢復(fù)工作。7.3應(yīng)急響應(yīng)7.3.1協(xié)調(diào)和保障本項(xiàng)要求包括：a)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急響應(yīng)工作的執(zhí)行有足夠的資源保障；b)應(yīng)成立應(yīng)急響應(yīng)小組，并明確規(guī)定小組成員的崗位職責(zé)，負(fù)責(zé)對全廠工業(yè)控制系統(tǒng)安全事件進(jìn)行響應(yīng)；c)應(yīng)與各外部支持單位建立密切協(xié)作關(guān)系，確保支持單位了解應(yīng)急響應(yīng)工作和責(zé)任；d)應(yīng)協(xié)調(diào)應(yīng)急響應(yīng)工作相關(guān)計(jì)劃和活動與其他工作計(jì)劃和活動之間的協(xié)調(diào)性和一致性。本項(xiàng)要求包括：a)應(yīng)制定相應(yīng)的應(yīng)急響預(yù)案、現(xiàn)場處置方案，并根據(jù)計(jì)劃對應(yīng)急預(yù)案進(jìn)行演練；b)核電廠運(yùn)營單位應(yīng)定期組織工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全(不超過12個(gè)月至少進(jìn)行一次)應(yīng)急演練，包括應(yīng)急組織的協(xié)調(diào)演練和應(yīng)急處理程序的演練；c)應(yīng)急組織的演練以面向工業(yè)控制系統(tǒng)的故障或網(wǎng)絡(luò)安全攻擊為目標(biāo)，應(yīng)急響應(yīng)組織負(fù)責(zé)人作為演練的負(fù)責(zé)人，各個(gè)相關(guān)部門參與，以確保應(yīng)急組織的總體有效運(yùn)作；d)應(yīng)針對系統(tǒng)、組織機(jī)構(gòu)或應(yīng)急預(yù)案發(fā)生變更時(shí)，對應(yīng)急預(yù)案進(jìn)行演練；e)應(yīng)在實(shí)驗(yàn)室、測試平臺進(jìn)行應(yīng)急演練，模擬評估應(yīng)急處置能力；f)應(yīng)急演練后，應(yīng)組織對應(yīng)急預(yù)案的審核和討論會議，根據(jù)演練結(jié)果，對應(yīng)急預(yù)案及應(yīng)急管理程序進(jìn)行修訂完善；g)核電廠應(yīng)編制工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并根據(jù)應(yīng)急演練反饋或發(fā)生重大變化時(shí)對應(yīng)急預(yù)案及時(shí)進(jìn)行修訂。7.4網(wǎng)絡(luò)安全應(yīng)急與核安全應(yīng)急協(xié)同本項(xiàng)要求包括：a)應(yīng)建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急與核安全應(yīng)急協(xié)調(diào)機(jī)制；b)應(yīng)判斷工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安事件是否導(dǎo)致核安全事件發(fā)生；c)應(yīng)急過程中導(dǎo)致核安全事件發(fā)生，應(yīng)統(tǒng)一進(jìn)行應(yīng)急指揮調(diào)度。(資料性)核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全定級說明針對核電廠工業(yè)控制系統(tǒng)，應(yīng)根據(jù)對系統(tǒng)成功進(jìn)行網(wǎng)絡(luò)攻擊所造成的對電廠安全和發(fā)電影響的最大后果，分配系統(tǒng)的網(wǎng)絡(luò)安全設(shè)防等級。應(yīng)從功能角度考慮系統(tǒng)，考慮其可能對電廠安全及發(fā)電所產(chǎn)生的直接或間接影響，并根據(jù)系統(tǒng)實(shí)施的最敏感的功能(即被惡意操縱或中斷時(shí)產(chǎn)生的影響最為嚴(yán)重的功能)來分配該系統(tǒng)的網(wǎng)絡(luò)安全設(shè)防等級。如果系統(tǒng)與網(wǎng)絡(luò)安全設(shè)防等級更高級別的系統(tǒng)存在連接或接口，并且本系統(tǒng)遭受網(wǎng)絡(luò)安全攻擊會對高級別系統(tǒng)實(shí)現(xiàn)其功能產(chǎn)生不利影響，那么可為該系統(tǒng)分配更為嚴(yán)格的網(wǎng)絡(luò)安全設(shè)防等級。核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)防等級由1級(需最少保護(hù))至5級(需最多保護(hù))構(gòu)成。網(wǎng)絡(luò)安全5級和4級的系統(tǒng)或設(shè)備受到損壞后，可能會使電廠安全受損，導(dǎo)致不同程度的輻射防護(hù)屏障失效，造成放射性物質(zhì)向外釋放，因此有可能對公眾健康和安全造成不利影響。例如執(zhí)行保護(hù)功能、核安全有關(guān)功能的系統(tǒng)：——保護(hù)功能：反應(yīng)堆保護(hù)系統(tǒng)；——核安全有關(guān)功能：過程控制的儀控系統(tǒng)、主控制室的操作和監(jiān)視系統(tǒng)以及報(bào)警系統(tǒng)等。其中執(zhí)行保護(hù)功能的系統(tǒng)屬于網(wǎng)絡(luò)安全5級，其他系統(tǒng)屬于網(wǎng)絡(luò)安全4級。網(wǎng)絡(luò)安全3級用于構(gòu)建隔離緩沖網(wǎng)絡(luò)，與網(wǎng)絡(luò)安全4級系統(tǒng)存在通信接口，但是實(shí)施了單向隔離，例如設(shè)置了隔離裝置的通信接口系統(tǒng)。網(wǎng)絡(luò)安全2級為一般工業(yè)系統(tǒng)或生產(chǎn)管理系統(tǒng)，此類系統(tǒng)受到損壞后，可能對電廠正常運(yùn)行和控制造成損害，中斷系統(tǒng)的正常運(yùn)行，造成設(shè)備損壞等，但不會造成放射性物質(zhì)向外釋放。例如模擬機(jī)系統(tǒng)、外圍就地控制系統(tǒng)等。網(wǎng)絡(luò)安全1級系統(tǒng)對于技術(shù)控制或運(yùn)行目的沒有直接重要性，主要為電廠信息管理系統(tǒng)，此類系統(tǒng)受到損壞后，可能對核電廠運(yùn)營單位的合法利益造成損害，如造成電廠信息的泄露，使電廠日常運(yùn)行變得更加困難，增加行政負(fù)擔(dān)等。例如辦公自動化系統(tǒng)，行政檔案管理系統(tǒng)等。核電廠應(yīng)建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全縱深防御架構(gòu)，建立嚴(yán)格的通信邊界，在邊界上采取防御措施，評估、保護(hù)、預(yù)防、監(jiān)測和緩解網(wǎng)絡(luò)攻擊，并在受到攻擊后恢復(fù)系統(tǒng)。防御架構(gòu)模型應(yīng)采用網(wǎng)絡(luò)安全設(shè)防措施逐層增強(qiáng)的防御層，實(shí)現(xiàn)多層邊界防護(hù)的獨(dú)立性和多樣性，防止他人通過多層網(wǎng)絡(luò)中相同或相似的安全漏洞，非法訪問或控制系統(tǒng)和設(shè)備。圖A.1給出了一種核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御模型。表A.1給出了一種核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)防等級劃分原則。網(wǎng)絡(luò)安全2級生產(chǎn)管理系統(tǒng)網(wǎng)絡(luò)安全1級網(wǎng)絡(luò)安全3級緩沖網(wǎng)絡(luò)不受保護(hù)網(wǎng)絡(luò)安全2級生產(chǎn)管理系統(tǒng)網(wǎng)絡(luò)安全1級網(wǎng)絡(luò)安全3級緩沖網(wǎng)絡(luò)不受保護(hù)的網(wǎng)絡(luò)和/4級信息管理系統(tǒng)信息管理系統(tǒng)控制系統(tǒng)非安全級工業(yè)控制系統(tǒng)圖A.1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御模型表A.1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)防等級示例網(wǎng)絡(luò)安全設(shè)防等級要求典型系統(tǒng)5級等級保護(hù)3級及以上遵照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》參照GB/T33009.1—2016反應(yīng)堆保護(hù)系統(tǒng)4級等級保護(hù)3級及以上遵照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》參照GB/T33009.1—2016過程控制的儀控系統(tǒng)、主控制室的操作和監(jiān)視系統(tǒng)以及報(bào)警系統(tǒng)等3級等級保護(hù)2級以上遵照《工業(yè)控制系統(tǒng)信息安全