劉景賓，喬 寧，董曉璐，陳子溪

（生態(tài)環(huán)境部核與輻射安全中心，北京 100082）

根據(jù)國(guó)家信息安全漏洞共享平臺(tái)（China National Vulnerability Database，簡(jiǎn)稱CNVD）和“諦聽(tīng)”的數(shù)據(jù)，2009—2019年工控安全漏洞的數(shù)量呈逐年遞增的趨勢(shì)。核電廠的儀表和控制系統(tǒng)（I&C）也是一種典型的工控系統(tǒng)，其作為核電站的“神經(jīng)中樞”，控制著核電站數(shù)百個(gè)系統(tǒng)和近萬(wàn)個(gè)設(shè)備的運(yùn)行，其中還包括反應(yīng)堆緊急停堆系統(tǒng)和專(zhuān)設(shè)安全設(shè)施觸發(fā)系統(tǒng)等安全級(jí)系統(tǒng)，一旦發(fā)生網(wǎng)絡(luò)信息安全事件，將直接影響核電廠的正常運(yùn)轉(zhuǎn)，可能導(dǎo)致巨大的經(jīng)濟(jì)損失，甚至威脅人員的生命安全和環(huán)境安全。

針對(duì)I&C系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題，目前國(guó)內(nèi)外比較認(rèn)可的應(yīng)用實(shí)踐是制訂一套完善的核電廠網(wǎng)絡(luò)安全防范計(jì)劃，在儀控系統(tǒng)的開(kāi)發(fā)、運(yùn)行及維護(hù)階段進(jìn)行全面的安全管控，以預(yù)防、檢測(cè)和應(yīng)對(duì)針對(duì)I&C系統(tǒng)使用數(shù)字化手段的惡意行為。與核設(shè)施的功能分級(jí)類(lèi)似，由于對(duì)每一個(gè)系統(tǒng)或設(shè)備實(shí)施相同等級(jí)的防護(hù)既不經(jīng)濟(jì)也不現(xiàn)實(shí)，因此，該計(jì)劃中最為重要的一個(gè)環(huán)節(jié)是將計(jì)算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò)中的數(shù)字化資產(chǎn)根據(jù)其重要性程度和安全需求進(jìn)行分類(lèi)和分級(jí)，再針對(duì)不同等級(jí)和重要程度實(shí)施分級(jí)保護(hù)策略。

圖1 2009—2019年工控漏洞走勢(shì)圖Fig.1 Trend chart of industrial control systems vulnerabilities from 2009 to 2019

1 核電廠儀控系統(tǒng)的網(wǎng)絡(luò)安全分級(jí)現(xiàn)狀

網(wǎng)絡(luò)安全級(jí)別是規(guī)定核設(shè)施內(nèi)各種I&C系統(tǒng)所需安全保護(hù)程度的一種抽象概念。分級(jí)方案中的每個(gè)級(jí)別都需要有一套不同的保護(hù)措施，這樣才能滿足該級(jí)別的安全要求。

當(dāng)前，我國(guó)各核電廠均由獨(dú)立的IT 部門(mén)負(fù)責(zé)管理計(jì)算機(jī)和網(wǎng)絡(luò)，通常還設(shè)有保密委員會(huì)或保密辦公室管理網(wǎng)絡(luò)安全相關(guān)事宜。核電廠和設(shè)計(jì)單位對(duì)于I&C 系統(tǒng)的安全管理主要遵照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、發(fā)改委14 號(hào)令、能源局36號(hào)文、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》以及《核動(dòng)力廠設(shè)計(jì)安全規(guī)定》（HAF 102）、《核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)的軟件》（HAD 102∕16）、《核電廠安全有關(guān)儀表和控制系統(tǒng)》（HAD 102∕14）等有關(guān)規(guī)范的要求進(jìn)行建設(shè)。綜合采取信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、RG 5.71、IEC 62645等相關(guān)標(biāo)準(zhǔn)進(jìn)行參考和評(píng)估。

1.1 我國(guó)的信息系統(tǒng)等級(jí)保護(hù)制度

1994年，國(guó)務(wù)院147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》發(fā)布，首次提出信息系統(tǒng)要實(shí)行等級(jí)保護(hù)。2017 年6 月1 日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行，其中第三十一條規(guī)定，“能源等重要行業(yè)和領(lǐng)域，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全，應(yīng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。

根據(jù)《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》（GB∕T 22240—2016）中的描述，“信息系統(tǒng)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級(jí)”［1］，見(jiàn)表1。在具體的實(shí)施過(guò)程中，目前國(guó)內(nèi)核電廠等保分級(jí)的原則和方法主要根據(jù)《電力行業(yè)信息安全等級(jí)保護(hù)管理辦法》《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等規(guī)定，對(duì)核電站數(shù)字化儀控系統(tǒng)（Digital Instrument &Control System，簡(jiǎn)稱DCS）施以系統(tǒng)級(jí)別三級(jí)或四級(jí)的防護(hù)。

表1 定級(jí)要素與安全保護(hù)等級(jí)關(guān)系Table 1 Classified elements and criteria

2019 年5 月，《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB∕T 22239—2019）正式發(fā)布，其作為“等保2.0”的首份標(biāo)準(zhǔn)，從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等幾個(gè)方面對(duì)不同安全保護(hù)等級(jí)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)提出了具體要求［2］。其中，與上一版本最大的不同是針對(duì)工業(yè)控制系統(tǒng)的特點(diǎn)提出了特殊要求，增加的主要內(nèi)容包含“室外控制設(shè)備防護(hù)”“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”“撥號(hào)使用控制”“無(wú)線使用控制”和“控制設(shè)備安全”等方面。相對(duì)于其他計(jì)算機(jī)系統(tǒng)，工業(yè)控制系統(tǒng)對(duì)實(shí)時(shí)性有更高的要求，因此，調(diào)整了“漏洞和風(fēng)險(xiǎn)管理”“惡意代碼防范管理”等方面的要求。

當(dāng)前，等級(jí)保護(hù)系列標(biāo)準(zhǔn)已提高到國(guó)家網(wǎng)絡(luò)安全防護(hù)的重要程度，是今后核電廠應(yīng)重點(diǎn)關(guān)注的方向。

1.2 美國(guó)核電廠儀控系統(tǒng)的網(wǎng)絡(luò)安全分級(jí)要求

2010 年，美國(guó)核管會(huì)（Nuclear Regulatory Commission，簡(jiǎn)稱NRC）發(fā)布的RG 5.71 中，定義了一個(gè)專(zhuān)有名詞SSEP（Safety，Security，and Emergency Preparedness），譯為核安全、網(wǎng)絡(luò)安全、應(yīng)急準(zhǔn)備［3］。該標(biāo)準(zhǔn)中規(guī)定核電站應(yīng)對(duì)儀控系統(tǒng)、設(shè)備、通信系統(tǒng)和網(wǎng)絡(luò)進(jìn)行初步的后果分析，確定哪些系統(tǒng)一旦損壞、被控制或失效，可能影響核設(shè)施的SSEP 功能，從而確定關(guān)鍵數(shù)字化物項(xiàng)（Critical Digital Assets，簡(jiǎn)稱CDAs），確保關(guān)鍵功能得到充分保護(hù)，免受網(wǎng)絡(luò)攻擊。

為了確定CDAs，申請(qǐng)者應(yīng)首先確定與SSEP功能相關(guān)的或與支持SSEP 功能相關(guān)的系統(tǒng)、設(shè)備、通信系統(tǒng)和網(wǎng)絡(luò)的整體配置和組織情況，這些系統(tǒng)被稱為關(guān)鍵系統(tǒng)（Critical Systems，簡(jiǎn)稱CSs）。圖2說(shuō)明了這個(gè)評(píng)估過(guò)程。

圖2 關(guān)鍵系統(tǒng)（CSs）的評(píng)估過(guò)程Fig.2 The evaluation process of critical systems

通過(guò)識(shí)別所有CSs后，申請(qǐng)者應(yīng)分析和確定哪些具體資產(chǎn)是CDAs。一個(gè)CDA可能是關(guān)鍵系統(tǒng)的一個(gè)部件，該部件可能用于保護(hù)系統(tǒng)免受網(wǎng)絡(luò)攻擊，或可能直接或間接地連接到關(guān)鍵系統(tǒng)。圖3說(shuō)明了這個(gè)評(píng)估過(guò)程。

圖3 關(guān)鍵數(shù)字資產(chǎn)（CDAs）的評(píng)估過(guò)程Fig.3 The evaluation process of critical digital assets

正確識(shí)別出核電廠的CDAs后，應(yīng)對(duì)這些資產(chǎn)進(jìn)行核電廠獨(dú)特環(huán)境下的網(wǎng)絡(luò)安全控制，包括全生命周期的防護(hù)，縱深防御原則，技術(shù)、管理、操作等措施。當(dāng)前，國(guó)家核安全局以該標(biāo)準(zhǔn)為藍(lán)本，編制了《核電廠網(wǎng)絡(luò)安全監(jiān)管技術(shù)政策》，已征求廣泛意見(jiàn)并召開(kāi)了專(zhuān)家咨詢會(huì)，預(yù)計(jì)將于2021年發(fā)布。

1.3 IEC針對(duì)儀控系統(tǒng)的網(wǎng)絡(luò)安全分級(jí)要求

2014年8月，國(guó)際電工委員會(huì)的45A小組發(fā)布了IEC 62645，該標(biāo)準(zhǔn)作為IEC 系列文件中網(wǎng)絡(luò)安全領(lǐng)域的頂層文件，適用于核電廠儀控系統(tǒng)（包括非安全系統(tǒng)）網(wǎng)絡(luò)安全計(jì)劃的制定和實(shí)施，規(guī)定所有的I&C系統(tǒng)都應(yīng)分配一定的、與不同安全防范要求相關(guān)聯(lián)的3 個(gè)安全防范等級(jí)：S1、S2 和S3。I&C 系統(tǒng)的安全防范等級(jí)分配原則見(jiàn)表2［4］。

表2 IEC 62645中的安全防范等級(jí)分配原則Table 2 Cyber security degrees defined in IEC 62645

在準(zhǔn)確地對(duì)I&C 系統(tǒng)進(jìn)行安全防范分級(jí)后，應(yīng)按照標(biāo)準(zhǔn)中給出的安全防范通用要求和特定要求規(guī)定所有I&C系統(tǒng)，如通信的方向只能從高級(jí)別向低級(jí)別傳送，不允許遠(yuǎn)程維護(hù)訪問(wèn)等。當(dāng)前，國(guó)際電工委員會(huì)正在編制IEC 63096，該標(biāo)準(zhǔn)對(duì)IEC 62645中描述的安全控制方法給出了詳細(xì)的指導(dǎo)。

此外，國(guó)際原子能機(jī)構(gòu)針對(duì)儀控系統(tǒng)的網(wǎng)絡(luò)安全分級(jí)防護(hù)也有一系列的標(biāo)準(zhǔn)，如核安保系列NSS-17，具體的執(zhí)行標(biāo)準(zhǔn)NSS-33-T等。

2 儀控系統(tǒng)網(wǎng)絡(luò)安全分級(jí)中存在的問(wèn)題

2.1 我國(guó)等級(jí)保護(hù)方案并不能完全適用于核電I&C系統(tǒng)

電力監(jiān)控系統(tǒng)安全保護(hù)等級(jí)標(biāo)準(zhǔn)中要求對(duì)核電站DCS系統(tǒng)施以系統(tǒng)級(jí)別3級(jí)的防護(hù)，而核電廠中對(duì)保護(hù)系統(tǒng)的實(shí)時(shí)性和可靠性有極高的要求，3 級(jí)防護(hù)中的某些具體要求（如防火墻、入侵檢測(cè)等技術(shù)）會(huì)對(duì)這些指標(biāo)造成直接影響，從而威脅核安全，這可能會(huì)比網(wǎng)絡(luò)不安全的影響和危害更嚴(yán)重。

隨著網(wǎng)絡(luò)安全法和等保2.0 的出臺(tái)，我們需要對(duì)核電廠儀控系統(tǒng)實(shí)施重點(diǎn)的等級(jí)保護(hù)，然而這通常是不夠的，等級(jí)保護(hù)中的某些保護(hù)要求不完全適用于核電廠的安全級(jí)DCS 系統(tǒng)，某些保護(hù)要求對(duì)于安全級(jí)系統(tǒng)又過(guò)于“簡(jiǎn)單”，因此，還要結(jié)合核電站的特點(diǎn)進(jìn)行刪減和增補(bǔ)。

2019 版的GB∕T 22239 在約束條件一節(jié)中增加了這段描述：“工業(yè)控制系統(tǒng)通常對(duì)可靠性、可用性要求非常高，所以，在對(duì)工業(yè)控制系統(tǒng)依照等級(jí)保護(hù)進(jìn)行防護(hù)的時(shí)候要滿足以下約束條件［2］：

（1）原則上安全措施不應(yīng)對(duì)高可用性的工業(yè)控制系統(tǒng)基本功能產(chǎn)生不利影響。例如用于基本功能的賬戶不應(yīng)被鎖定，甚至短暫的也不行。

（2）安全措施的部署不應(yīng)顯著增加延遲而影響系統(tǒng)響應(yīng)時(shí)間。

（3）對(duì)于高可用性的控制系統(tǒng)，安全措施失效不應(yīng)中斷基本功能等。

（4）經(jīng)評(píng)估對(duì)可用性有較大影響而無(wú)法實(shí)施和落實(shí)安全等級(jí)保護(hù)要求的相關(guān)條款時(shí)，應(yīng)進(jìn)行安全聲明，分析和說(shuō)明此條款實(shí)施可能產(chǎn)生的影響和后果，以及使用的補(bǔ)償措施?！?/p>

因此，對(duì)這部分內(nèi)容的裁剪或者增補(bǔ)工作，以及其合理性和適用性的論證，應(yīng)是后續(xù)工作中需要關(guān)注的重點(diǎn)。

2.2 國(guó)外的網(wǎng)絡(luò)安全分級(jí)標(biāo)準(zhǔn)很難適應(yīng)于國(guó)內(nèi)I&C系統(tǒng)

相對(duì)等級(jí)保護(hù)方案，盡管RG 5.71 和IEC 62645等標(biāo)準(zhǔn)中的分級(jí)制度是針對(duì)核電站I&C系統(tǒng)，但這類(lèi)標(biāo)準(zhǔn)大量引用了NIST、IEC、DHS ICS等系列的標(biāo)準(zhǔn)，并且很多管理和技術(shù)手段與國(guó)內(nèi)現(xiàn)狀不符，很難將其直接用于國(guó)內(nèi)核電廠的I&C系統(tǒng)。

同時(shí)，這類(lèi)標(biāo)準(zhǔn)與國(guó)內(nèi)現(xiàn)有標(biāo)準(zhǔn)也存在某些沖突，如IEC 62645 是基于IEC 61226 的功能分級(jí)方法（A、B、C類(lèi)）［5］，而我國(guó)目前大多數(shù)核電站采用的是安全級(jí)和非安全級(jí)的功能分級(jí)方案，因此，這些標(biāo)準(zhǔn)很難直接適用。

2.3 儀控系統(tǒng)網(wǎng)絡(luò)安全分級(jí)未遵循縱深防御原則

I&C系統(tǒng)縱深防御的概念指的是在計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)失效或不利于系統(tǒng)運(yùn)行的損害發(fā)生前，通過(guò)一系列連續(xù)且具有獨(dú)立性的保護(hù)層次，防止和減輕網(wǎng)絡(luò)攻擊行為后果的有效手段。這種具有多層次的獨(dú)立保護(hù)屏障，使當(dāng)某一層次失效時(shí)，后續(xù)的保護(hù)層可以繼續(xù)發(fā)揮作用。這種布置在某種程度上可以預(yù)防單一的網(wǎng)絡(luò)攻擊、技術(shù)性故障以及人因?qū)е碌挠?jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的損害。

目前，國(guó)內(nèi)各核電廠在設(shè)計(jì)網(wǎng)絡(luò)安全技術(shù)方案時(shí)，通常建立了分層的信息安全保護(hù)結(jié)構(gòu)，劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，橫向部署專(zhuān)用隔離裝置，縱向部署專(zhuān)用加密裝置。但這些工作的主要目的還是防止電力二次系統(tǒng)遭到入侵，生產(chǎn)控制大區(qū)中的DCS 側(cè)并未進(jìn)行安全區(qū)域的劃分和縱深防御的防護(hù)。

2.4 未根據(jù)分級(jí)方案建立網(wǎng)絡(luò)安全保障體系

當(dāng)前，根據(jù)國(guó)內(nèi)相關(guān)法規(guī)和應(yīng)用實(shí)踐，I&C系統(tǒng)在設(shè)計(jì)制造和運(yùn)行過(guò)程中的管控措施大多根據(jù)其功能分級(jí)的重要程度進(jìn)行實(shí)施。安全級(jí)I&C系統(tǒng)通常滿足獨(dú)立性、網(wǎng)絡(luò)隔離、物理冗余和多樣性等固有的安全要求，同時(shí)規(guī)范人員操作流程及權(quán)限控制，實(shí)行信息分區(qū)隔離和加密等手段來(lái)防止網(wǎng)絡(luò)安全事件的發(fā)生。

然而，針對(duì)非安全級(jí)I&C系統(tǒng)缺乏相應(yīng)的管控措施，這類(lèi)系統(tǒng)在儀控系統(tǒng)網(wǎng)絡(luò)安全分級(jí)中未必是“非安全”的。此外，未針對(duì)I&C系統(tǒng)的分級(jí)方案設(shè)置具有針對(duì)性的管控手段，用于評(píng)估、保護(hù)、預(yù)防、檢測(cè)和減輕對(duì)I&C 系統(tǒng)的攻擊，缺少系統(tǒng)全面的網(wǎng)絡(luò)安全保障體系。

2.5 未根據(jù)分級(jí)方案建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案

根據(jù)以往的審評(píng)情況和現(xiàn)場(chǎng)調(diào)研結(jié)果，國(guó)內(nèi)目前針對(duì)I&C系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題的應(yīng)急響應(yīng)機(jī)制不夠健全，缺乏應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)化的事件處理流程，未對(duì)網(wǎng)絡(luò)安全事件進(jìn)行明確的分級(jí)。發(fā)生網(wǎng)絡(luò)安全事件后，相關(guān)人員通常依據(jù)經(jīng)驗(yàn)評(píng)估系統(tǒng)和設(shè)備的損害和危害程度，再由此判斷網(wǎng)絡(luò)安全事件的嚴(yán)重程度。同時(shí)，應(yīng)對(duì)手段也比較單一，一般是通過(guò)重啟發(fā)生故障的設(shè)備來(lái)恢復(fù)，這種處理方法會(huì)將網(wǎng)絡(luò)安全事件和I&C系統(tǒng)故障混淆，無(wú)法及時(shí)發(fā)現(xiàn)系統(tǒng)的潛在漏洞，無(wú)法對(duì)危害的等級(jí)和程度進(jìn)行判斷。此外，響應(yīng)能力也有待提高。

3 核電廠網(wǎng)絡(luò)安全后續(xù)工作的建議

3.1 繼續(xù)推進(jìn)數(shù)字化儀控系統(tǒng)的國(guó)產(chǎn)化

建議進(jìn)一步加強(qiáng)國(guó)產(chǎn)數(shù)字化儀控系統(tǒng)的開(kāi)發(fā)和工程應(yīng)用，專(zhuān)注于核心技術(shù)和核心設(shè)備的研發(fā)，尤其要關(guān)注基礎(chǔ)軟件的開(kāi)發(fā)和芯片技術(shù)的應(yīng)用。當(dāng)前，盡管?chē)?guó)產(chǎn)安全級(jí)I&C系統(tǒng)的生產(chǎn)商已有數(shù)家，但是這些系統(tǒng)的開(kāi)發(fā)過(guò)程中均不同程度地使用了國(guó)外的PLC、CPU、FPGA、基礎(chǔ)軟件、測(cè)試軟件等，如果“中興”或“華為”事件發(fā)生在核電I&C領(lǐng)域，這些企業(yè)也將受到嚴(yán)重影響。

針對(duì)進(jìn)口I&C產(chǎn)品，建議在標(biāo)準(zhǔn)法規(guī)中要求國(guó)外廠商做到軟件公開(kāi)，避免“黑匣子”的存在，以便針對(duì)網(wǎng)絡(luò)安全漏洞進(jìn)行測(cè)試，并在后續(xù)安裝國(guó)產(chǎn)化的安全防護(hù)產(chǎn)品。

3.2 繼續(xù)完善相關(guān)法規(guī)標(biāo)準(zhǔn)

由于核電的特殊性和重要性，我國(guó)核電和網(wǎng)絡(luò)安全的主管部門(mén)應(yīng)盡快發(fā)布和完善針對(duì)核電廠網(wǎng)絡(luò)安全的法規(guī)，建立相應(yīng)的標(biāo)準(zhǔn)體系，對(duì)核電I&C 系統(tǒng)和網(wǎng)絡(luò)安全等問(wèn)題進(jìn)行規(guī)范和約束。根據(jù)前面的分析，我國(guó)目前的等級(jí)保護(hù)方案并不能完全適用于核電I&C 系統(tǒng)，國(guó)外的網(wǎng)絡(luò)安全分級(jí)標(biāo)準(zhǔn)很難直接兼容國(guó)內(nèi)I&C 系統(tǒng)。因此，相關(guān)標(biāo)準(zhǔn)的制訂過(guò)程中，很重要的一部分內(nèi)容是要明確如何對(duì)核電廠的關(guān)鍵物項(xiàng)進(jìn)行網(wǎng)絡(luò)安全方面的分級(jí)，然后才能根據(jù)分級(jí)方案實(shí)施后續(xù)的相關(guān)要求。此外，還要對(duì)國(guó)家法規(guī)層面的等級(jí)保護(hù)制度進(jìn)行適當(dāng)?shù)牟眉艋蛘咴鲅a(bǔ)工作。

針對(duì)當(dāng)前核安全局編制的《核電廠網(wǎng)絡(luò)安全監(jiān)管技術(shù)政策》，屬于網(wǎng)絡(luò)安全分級(jí)和防護(hù)層面的原則性或頂層文件，后續(xù)也應(yīng)繼續(xù)出臺(tái)一些配套的執(zhí)行標(biāo)準(zhǔn)，以指導(dǎo)設(shè)計(jì)單位和營(yíng)運(yùn)單位進(jìn)行具體的操作。

3.3 貫徹落實(shí)縱深防御原則

縱深防御是核安全技術(shù)中常用的一種保護(hù)手段，使核設(shè)施置于多重保護(hù)之中。當(dāng)某一種手段失效時(shí)，還有其他的補(bǔ)償或糾正措施，從而使危害的可能性降到最低。我們對(duì)核電廠I&C系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù)時(shí)，也應(yīng)同樣使用縱深防御原則，在預(yù)防、監(jiān)測(cè)、應(yīng)對(duì)、恢復(fù)過(guò)程中采取多層次的深度防護(hù)，并貫穿于I&C系統(tǒng)的整個(gè)生命周期中。

RG 5.71 中對(duì)此有比較具體的說(shuō)明，且提供了一個(gè)可接受的簡(jiǎn)化網(wǎng)絡(luò)安全防御體系結(jié)構(gòu)，可為后續(xù)國(guó)內(nèi)制定相關(guān)政策時(shí)提供參考，如圖4所示。

圖4 簡(jiǎn)化的網(wǎng)絡(luò)安全防御體系結(jié)構(gòu)Fig.4 Simplified cyber security defense architecture

IEC 62645 中提到了網(wǎng)絡(luò)安全域的概念，將I&C系統(tǒng)劃分為多個(gè)邏輯區(qū)域，也提供了一種縱深防御的思路。

3.4 建立全面的網(wǎng)絡(luò)安全保障體系

我國(guó)的核電建設(shè)過(guò)程中，應(yīng)針對(duì)不同的網(wǎng)絡(luò)安全級(jí)別，建立和完善一個(gè)全面的、貫穿于全生命周期的網(wǎng)絡(luò)安全管控體系。完整而有效的網(wǎng)絡(luò)安全管控體系應(yīng)包含技術(shù)和管理兩個(gè)要素。這部分內(nèi)容可以參考GB∕T 22239—2019 中的安全通用要求、工業(yè)控制系統(tǒng)的安全擴(kuò)展要求。此外，針對(duì)核電的特殊性，可以參考RG 5.71附錄中的具體要求，其指導(dǎo)性更強(qiáng)，相關(guān)人員可以在短時(shí)間內(nèi)建立針對(duì)核電I&C系統(tǒng)的網(wǎng)絡(luò)安全保障體系。同時(shí)，針對(duì)不同的機(jī)組類(lèi)型，也要借鑒IEC 62645、NSS 17 等標(biāo)準(zhǔn)中的原則和方法，將網(wǎng)絡(luò)安全的管控貫穿于評(píng)估、監(jiān)測(cè)、預(yù)防、應(yīng)對(duì)直到緩解和恢復(fù)的整個(gè)過(guò)程。

圖5 I&C系統(tǒng)網(wǎng)絡(luò)安全保障體系Fig.5 I&C system cyber security guarantee process

3.5 加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急能力建設(shè)

網(wǎng)絡(luò)安全事件的應(yīng)急能力指的是當(dāng)出現(xiàn)非預(yù)期的各種網(wǎng)絡(luò)攻擊事件時(shí)，核電廠如何在有效時(shí)間內(nèi)整合各種資源，快速、準(zhǔn)確、安全地恢復(fù)核電廠的基本安全功能。為此，核電廠首先應(yīng)制訂完善的應(yīng)急管理程序和應(yīng)急預(yù)案，其中應(yīng)包括如何識(shí)別不同的網(wǎng)絡(luò)攻擊手段，如何對(duì)網(wǎng)絡(luò)事件的危害程度和級(jí)別進(jìn)行判斷，如何應(yīng)對(duì)和緩解該攻擊帶來(lái)的影響，如何及時(shí)恢復(fù)至正常運(yùn)行狀態(tài)，如何防止再次受到同類(lèi)型的攻擊等。其次，要加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急演練，針對(duì)不同威脅等級(jí)的網(wǎng)絡(luò)攻擊，提供事件響應(yīng)測(cè)試和演習(xí)程序，納入事件響應(yīng)培訓(xùn)，以促進(jìn)危機(jī)情況下人員的有效反應(yīng)。