描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787511138828
内容简介
随着计算机和网络通信技术的发展,特别是信息化与工业自动化的深度融合,数字化系统已经全面进入核电站的实际应用,信息系统、网络系统成为了核电站重要的基础设施和战略资产。近年来,世界核电领域发生过多起已知的重大网络安全事件,尤其是2010年伊朗“震网”(Stuxnet)病毒爆发以来,网络安全逐渐成为国内外关注的热点。之后,英国、乌克兰、韩国、俄罗斯等国的核电厂先后爆出了信息泄露、蠕虫病毒、恶意软件攻击等事件,更是引发了公众的广泛关注。而事实上,大量网络安全事件因为涉及国家机密或比较敏感并未公开。因此,为满足当前核电建设数字化及信息化的快速发展需求,加强核电网络安全对确保核安全具有重要的现实意义。
2018年5月,国家发展和改革委员会765号文《关于进一步加强核电运行安全管理的指导意见》中强调,为进一步加强核电厂网络安全管理,应将网络安全纳入核电安全管理体系,加强能力建设,保障核电厂网络安全。仪表和控制系统(I&C)作为核电站的“神经中枢”,控制着核电站数百个系统、近万个设备的运行,其中还包括反应堆紧急停堆系统和专设安全设施触发系统等安全级系统,一旦发生网络安全事件,将直接影响核电厂的正常运转,可能导致巨大的经济损失,甚至威胁人员生命安全和环境安全。因此,加强核电厂仪表和控制系统的网络安全控制,在核电厂的网络安全建设中至关重要。
针对I&C系统,目前国内外比较认可的应用实践是制订一套完善的核电厂网络安全防范计划,以防止、检测和应对针对I&C系统使用数字化手段的恶意行为。与安全分级类似,由于对每一个系统或设备实施相同等级的防护是不现实、不经济的,因此需要将数字计算机、通信系统和网络中的信息资产按照重要性等级及实际安全需求进行分级和分类,针对不同等级和重要程度实施分级保护策略。在分级保护的基础上,各核电厂在设计建立网络安全技术方案时应遵循纵深防御原则,并贯穿于核电站设计、制造、运行、维护的整个生命周期过程。同时,还应加强供应商、系统工具的管理,完善应急响应措施等工作。
2018年5月,国家发展和改革委员会765号文《关于进一步加强核电运行安全管理的指导意见》中强调,为进一步加强核电厂网络安全管理,应将网络安全纳入核电安全管理体系,加强能力建设,保障核电厂网络安全。仪表和控制系统(I&C)作为核电站的“神经中枢”,控制着核电站数百个系统、近万个设备的运行,其中还包括反应堆紧急停堆系统和专设安全设施触发系统等安全级系统,一旦发生网络安全事件,将直接影响核电厂的正常运转,可能导致巨大的经济损失,甚至威胁人员生命安全和环境安全。因此,加强核电厂仪表和控制系统的网络安全控制,在核电厂的网络安全建设中至关重要。
针对I&C系统,目前国内外比较认可的应用实践是制订一套完善的核电厂网络安全防范计划,以防止、检测和应对针对I&C系统使用数字化手段的恶意行为。与安全分级类似,由于对每一个系统或设备实施相同等级的防护是不现实、不经济的,因此需要将数字计算机、通信系统和网络中的信息资产按照重要性等级及实际安全需求进行分级和分类,针对不同等级和重要程度实施分级保护策略。在分级保护的基础上,各核电厂在设计建立网络安全技术方案时应遵循纵深防御原则,并贯穿于核电站设计、制造、运行、维护的整个生命周期过程。同时,还应加强供应商、系统工具的管理,完善应急响应措施等工作。
目 录
第1章 概述
1.1 研究意义
1.2 研究范围和目的
1.1 研究意义
1.2 研究范围和目的
第2章 I&C系统网络安全计划/程序的建立
第3章 职责划分和管理
3.1 RG5.7 1的要求
3.2 IEC62645的要求
3.3 NSS17的要求
3.4 小结
第4章 等级防护策略
4.1 等级保护原则
4.2 RG5.7 1的CDA识别
4.3 IEC62645的分级原则
4.4 NSS17的分级原则
4.5 小结
第5章 纵深防御原则
第6章 网络安全管控方法
6.1 等级保护的管控方法
6.2 RG5.7 1的管控方法
6.3 IEC62645的管控方法
6.4 NSS17的管控方法
6.5 小结
第7章 全生命周期过程的实施
7.1 RG5.7 1的要求
7.2 IEC62645的要求
7.3 NSS17的要求
7.4 小结
第8章 风险评估和管理
8.1 RG5.7 1的有效性和脆弱性分析
8.2 IEC62645的风险评估
8.3 NSS17的风险评定和管理
8.4 小结
第9章 商用部件、供应商的管理
9.1 RG5.7 1的要求
9.2 IEC62645的要求
9.3 NSS17的要求
9.4 小结
第10章 其他要求
10.1 工具的管理
10.2 应急响应措施管理
10.3 意识和培训
第11章 建议与总结
参考文献
免费在线读
《核电厂DCS系统网络安全标准研究》:
6.4 NSS17的管控方法
如《核电厂DCS系统网络安全标准研究》4.4节所述,NSS17规定了与不同安全防范要求相关联的5个安全等级:1~5级。根据此分级方法,该标准规定了6种安全管控措施,分别为通用级别措施、1级措施、2级措施、3级措施、4级措施和5级措施。
6.4.1 通用级别措施
对于适用的系统和级别而言,应采用以下通用措施:
1)规定适合于每一级别的政策和做法:
2)为所有使用者编写安全操作程序并使其为他们所理解;
3)获准接触该系统的工作人员必须具备适当的资格和经验,并在必要时经过安全审批;
4)使用者只能获准接触其开展工作所需的系统上的功能;
5)建立适当的接触控制和使用者验证过程;
6)建立异常现象探测制度或程序:
7)对应用程序和系统薄弱环节进行监测,并采取适当的措施;
8)定期进行系统薄弱环节评定;
9)必须按照安全操作程序对可移动介质进行控制;
10)应对计算机和网络安保组成部分进行严格的维护;
11)对计算机和网络安全组成部分(如安全门户、侵入探测系统、侵入预防系统、虚拟个人网络服务器)进行严格的登记和监测;
12)建立适当的备份/恢复程序;
13)按照部件和系统的功能对其实际接触进行限制。
6.4.2 1级措施
除通用措施外,还应将1级保护措施适用于对设施至关重要并需要最高水平安保的系统,如保护系统。这种措施可以包括以下内容:
1)不得授权安全级别较弱系统的任何类型网络数据流(如确认、信号通知)进入1级系统。只应允许严格的向外通信。注意这种严格的单向通信不天然确保可靠性和完整性(可以考虑冗余/纠错手段)。还注意这样做排除了任何类型的“握手”协议(包括TCP/IP),甚至是采用控制连接指示的协议。强烈劝阻规定例外,而且只有在严格的逐案基础上并在得到完全的正当理由和安全风险分析支持的情况下才能考虑规定例外;
2)确保系统完整性和可用性的措施一般解释为属于安全论证文件的一部分:
3)不允许远程维护访问;
4)严格控制对系统的实际接触:
5)获准接触系统的工作人员的数量限于绝对的最少量;
6)双人规则适用于在计算机系统范围内所作的经核准的任何修改;
7)对所有活动都应进行登记和监测;
8)在逐案基础上对系统的每一次数据输入进行批准和验证;
9)对任何修改都应适用严格的组织和行政程序,包括对硬件进行维护和更新以及对软件进行修改。
6.4.3 2级措施
除通用措施外,还应将2级保护措施适用于需要高水平安全的系统,如运行控制系统。这种措施可以包括以下内容:
1)只允许2级和3级系统的外向单向网络数据流。相反(内向)方向只能允许接收必要的确认信息或受控信号信息(如适合于TCP/IP的信息);
2)可以允许在逐案基础上并在限定的工作期内进行远程维护访问。远程维护访问在使用时必须要有强力措施的保护,使用者必须遵守通过合同规定的既定的安全政策;
3)将获准接触该系统的工作人员的数量保持在最低限度,并对使用者和行政管理人员精确地加以区分:
4)应严格控制与系统实际连接;
5)已经采取了一切合理措施来确保系统的完整性和可用性;
6)涉及对系统采取行动的薄弱环节评定可能导致电厂或程序不稳定,因此,只应考虑在工厂验收测试或长期计划停堆期间利用试验台架、备用系统进行。
……
6.4 NSS17的管控方法
如《核电厂DCS系统网络安全标准研究》4.4节所述,NSS17规定了与不同安全防范要求相关联的5个安全等级:1~5级。根据此分级方法,该标准规定了6种安全管控措施,分别为通用级别措施、1级措施、2级措施、3级措施、4级措施和5级措施。
6.4.1 通用级别措施
对于适用的系统和级别而言,应采用以下通用措施:
1)规定适合于每一级别的政策和做法:
2)为所有使用者编写安全操作程序并使其为他们所理解;
3)获准接触该系统的工作人员必须具备适当的资格和经验,并在必要时经过安全审批;
4)使用者只能获准接触其开展工作所需的系统上的功能;
5)建立适当的接触控制和使用者验证过程;
6)建立异常现象探测制度或程序:
7)对应用程序和系统薄弱环节进行监测,并采取适当的措施;
8)定期进行系统薄弱环节评定;
9)必须按照安全操作程序对可移动介质进行控制;
10)应对计算机和网络安保组成部分进行严格的维护;
11)对计算机和网络安全组成部分(如安全门户、侵入探测系统、侵入预防系统、虚拟个人网络服务器)进行严格的登记和监测;
12)建立适当的备份/恢复程序;
13)按照部件和系统的功能对其实际接触进行限制。
6.4.2 1级措施
除通用措施外,还应将1级保护措施适用于对设施至关重要并需要最高水平安保的系统,如保护系统。这种措施可以包括以下内容:
1)不得授权安全级别较弱系统的任何类型网络数据流(如确认、信号通知)进入1级系统。只应允许严格的向外通信。注意这种严格的单向通信不天然确保可靠性和完整性(可以考虑冗余/纠错手段)。还注意这样做排除了任何类型的“握手”协议(包括TCP/IP),甚至是采用控制连接指示的协议。强烈劝阻规定例外,而且只有在严格的逐案基础上并在得到完全的正当理由和安全风险分析支持的情况下才能考虑规定例外;
2)确保系统完整性和可用性的措施一般解释为属于安全论证文件的一部分:
3)不允许远程维护访问;
4)严格控制对系统的实际接触:
5)获准接触系统的工作人员的数量限于绝对的最少量;
6)双人规则适用于在计算机系统范围内所作的经核准的任何修改;
7)对所有活动都应进行登记和监测;
8)在逐案基础上对系统的每一次数据输入进行批准和验证;
9)对任何修改都应适用严格的组织和行政程序,包括对硬件进行维护和更新以及对软件进行修改。
6.4.3 2级措施
除通用措施外,还应将2级保护措施适用于需要高水平安全的系统,如运行控制系统。这种措施可以包括以下内容:
1)只允许2级和3级系统的外向单向网络数据流。相反(内向)方向只能允许接收必要的确认信息或受控信号信息(如适合于TCP/IP的信息);
2)可以允许在逐案基础上并在限定的工作期内进行远程维护访问。远程维护访问在使用时必须要有强力措施的保护,使用者必须遵守通过合同规定的既定的安全政策;
3)将获准接触该系统的工作人员的数量保持在最低限度,并对使用者和行政管理人员精确地加以区分:
4)应严格控制与系统实际连接;
5)已经采取了一切合理措施来确保系统的完整性和可用性;
6)涉及对系统采取行动的薄弱环节评定可能导致电厂或程序不稳定,因此,只应考虑在工厂验收测试或长期计划停堆期间利用试验台架、备用系统进行。
……
评论
还没有评论。