今日頭條
官方微信
官方抖音
案例頻道★北京廣利核系統(tǒng)工程有限公司劉春明
關(guān)鍵詞:網(wǎng)絡(luò)安全;信息安全;自動(dòng)化;等級保護(hù)
1 引言
工業(yè)自動(dòng)化產(chǎn)品是生產(chǎn)過程中不可或缺的技術(shù)手段,是現(xiàn)代化工業(yè)體系的重要組成部分。隨著工業(yè)自動(dòng)化產(chǎn)品網(wǎng)絡(luò)化和信息化程度的提高,其面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也日益增加。核電DCS是核電廠的中樞神經(jīng),控制著核電廠的安全運(yùn)行,一旦受到網(wǎng)絡(luò)攻擊,將直接影響核電企業(yè)生產(chǎn)和經(jīng)濟(jì)利益,甚至威脅國家安全。因此,加強(qiáng)核電DCS網(wǎng)絡(luò)安全技術(shù)的研究和開發(fā),已經(jīng)成為當(dāng)今重要的研究領(lǐng)域和社會(huì)需求。
本文通過對國內(nèi)網(wǎng)絡(luò)安全法律、法規(guī)、標(biāo)準(zhǔn)的研究,對重點(diǎn)內(nèi)容進(jìn)行了摘取和分析,得到了一份標(biāo)準(zhǔn)清單,指導(dǎo)了核電DCS網(wǎng)絡(luò)安全技術(shù)研究,提高了核電DCS的安全性和穩(wěn)定性,降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn),推動(dòng)了國內(nèi)核電DCS網(wǎng)絡(luò)安全技術(shù)發(fā)展,提升了我國核電DCS的競爭力,促進(jìn)了相關(guān)領(lǐng)域的研究水平和應(yīng)用技術(shù)水平,促進(jìn)了學(xué)術(shù)交流和技術(shù)創(chuàng)新,為保障國家網(wǎng)絡(luò)安全做出了貢獻(xiàn)。
2 標(biāo)準(zhǔn)研究范圍
核電DCS設(shè)計(jì)、生產(chǎn)制造的所有過程均需滿足我國核安全領(lǐng)域標(biāo)準(zhǔn)法律法規(guī)的要求。我國核安全領(lǐng)域標(biāo)準(zhǔn)法律法規(guī)層次分為五層:頂層為全國人大常委會(huì)批準(zhǔn),國家主席令頒布的法律;第二層為國務(wù)院批準(zhǔn),國務(wù)院令發(fā)布的行政法規(guī);第三層為各部委批準(zhǔn)和發(fā)布的管理?xiàng)l例細(xì)則、核安全規(guī)定、強(qiáng)制性標(biāo)準(zhǔn);第四層為各部委批準(zhǔn)和發(fā)布的核安全導(dǎo)則、推薦標(biāo)準(zhǔn);第五層為各部委批準(zhǔn)和發(fā)布的核安全法規(guī)技術(shù)文件。國內(nèi)核電標(biāo)準(zhǔn)體系層次圖如圖1所示。
圖1 核電標(biāo)準(zhǔn)體系層次圖
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系可以參考核電標(biāo)準(zhǔn)體系,從法律、管理?xiàng)l例開始,進(jìn)一步分析管理?xiàng)l例細(xì)則、標(biāo)準(zhǔn)、技術(shù)文件等,層層分解細(xì)化網(wǎng)絡(luò)安全的要求。
2017年,《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施,它屬于網(wǎng)絡(luò)安全領(lǐng)域的基本法,是從國家層面對網(wǎng)絡(luò)安全等級保護(hù)工作的法律認(rèn)可。網(wǎng)絡(luò)安全法中明確提到信息安全的建設(shè)要遵照網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)。
網(wǎng)絡(luò)安全等級保護(hù)工作是國家網(wǎng)絡(luò)安全的基礎(chǔ)性工作,是《網(wǎng)絡(luò)安全法》要求我們履行的一項(xiàng)安全責(zé)任。2019年陸續(xù)發(fā)布的一系列網(wǎng)絡(luò)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)對工業(yè)控制系統(tǒng)提出了擴(kuò)展要求,這些要求同樣適用于核電DCS。
《網(wǎng)絡(luò)安全法》的實(shí)施標(biāo)志著網(wǎng)絡(luò)安全等級保護(hù)2.0的正式啟動(dòng)。圖2展示了等級保護(hù)2.0標(biāo)準(zhǔn)體系的主要標(biāo)準(zhǔn)。
圖2 等級保護(hù)2.0標(biāo)準(zhǔn)體系
2020年,《密碼法》正式實(shí)施,規(guī)范了密碼應(yīng)用和管理,促進(jìn)了密碼事業(yè)發(fā)展,保障了網(wǎng)絡(luò)與信息安全,維護(hù)了國家安全和社會(huì)公共利益,保護(hù)了公民、法人和其他組織的合法權(quán)益。緊接著2021年,隨著《數(shù)據(jù)安全法》的出臺,我國在網(wǎng)絡(luò)與信息安全領(lǐng)域的法律法規(guī)體系得到了進(jìn)一步的完善。同年,國務(wù)院第745號令《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》公布,并于9月1日起施行,明確了關(guān)鍵信息基礎(chǔ)設(shè)施的定義和認(rèn)定程序。國內(nèi)網(wǎng)絡(luò)安全相關(guān)法律、管理實(shí)施的實(shí)施,標(biāo)志著我國網(wǎng)絡(luò)安全領(lǐng)域進(jìn)入新的篇章。
通過對工業(yè)自動(dòng)化產(chǎn)品網(wǎng)絡(luò)安全的理解以及對相關(guān)法律的調(diào)研,我們提煉總結(jié)出核電DCS網(wǎng)絡(luò)安全需要研究的法規(guī)、條例和標(biāo)準(zhǔn),并將它們總結(jié)成一份清單,如表1所示。
表1 標(biāo)準(zhǔn)研究清單
3 標(biāo)準(zhǔn)內(nèi)容研究及分析
3.1 國家強(qiáng)制要求法規(guī)和條例
3.1.1 網(wǎng)絡(luò)安全法
《中華人民共和國網(wǎng)絡(luò)安全法》是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律,是為保障網(wǎng)絡(luò)安全,維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展而制定。《網(wǎng)絡(luò)安全法》明確了部門、企業(yè)、社會(huì)組織和個(gè)人的權(quán)利、義務(wù)和責(zé)任,規(guī)定了國家網(wǎng)絡(luò)安全工作的基本原則、主要任務(wù)和重大指導(dǎo)思想、理念。將成熟的政策規(guī)定和措施上升為法律,為政府部門的工作提供了法律依據(jù),體現(xiàn)了依法行政、依法治國要求。
《網(wǎng)絡(luò)安全法》中明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。
相比普通網(wǎng)絡(luò)運(yùn)營者,《網(wǎng)絡(luò)安全法》對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在安全保障方面提出了特殊要求:在人的方面,《網(wǎng)絡(luò)安全法》提出應(yīng)設(shè)置專門的管理機(jī)構(gòu)和負(fù)責(zé)人,對負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查,定期對從業(yè)人員進(jìn)行教育培訓(xùn)和技能考核;在系統(tǒng)層面,應(yīng)對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份,制定應(yīng)急預(yù)案并定期組織演練;在評估方面,每年至少進(jìn)行一次安全性檢測評估,并將相關(guān)評估報(bào)告報(bào)送相關(guān)主管部門;在供應(yīng)鏈方面,采購可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)當(dāng)通過國家安全審查,采購雙方應(yīng)簽訂安全保密協(xié)議;在數(shù)據(jù)留存?zhèn)鬏敺矫妫\(yùn)營者需將運(yùn)營中收集和產(chǎn)生的公民個(gè)人信息和重要業(yè)務(wù)數(shù)據(jù)存儲在我國境內(nèi),如因業(yè)務(wù)需要,確需向境外提供的,應(yīng)進(jìn)行安全評估。核電DCS應(yīng)遵循《網(wǎng)絡(luò)安全法》中有關(guān)網(wǎng)絡(luò)安全等級保護(hù)制度和保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的要求,并積極參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系的建設(shè)。
3.1.2 密碼法
《密碼法》是為了規(guī)范密碼應(yīng)用和管理,促進(jìn)密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全,維護(hù)國家安全和社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益而制定的法律。《密碼法》中所稱密碼,是指采用特定變換的方法對信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。國家對密碼實(shí)行分類管理,密碼分為核心密碼、普通密碼和商用密碼,其中核心密碼、普通密碼用于保護(hù)國家秘密信息,核心密碼保護(hù)信息的最高密級為絕密級,普通密碼保護(hù)信息的最高密級為機(jī)密級。核心密碼、普通密碼屬于國家秘密。密碼管理部門依照本法和有關(guān)法律、行政法規(guī)、國家有關(guān)規(guī)定對核心密碼、普通密碼實(shí)行嚴(yán)格統(tǒng)一管理。商用密碼用于保護(hù)不屬于國家秘密的信息,公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全。
《密碼法》明確規(guī)定國家鼓勵(lì)商用密碼技術(shù)的研究開發(fā)、學(xué)術(shù)交流、成果轉(zhuǎn)化和推廣應(yīng)用,健全統(tǒng)一、開放、競爭、有序的商用密碼市場體系,鼓勵(lì)和促進(jìn)商用密碼產(chǎn)業(yè)發(fā)展。商用密碼技術(shù)合作的前提是基于自愿原則和商業(yè)規(guī)則,行政機(jī)關(guān)不得要求強(qiáng)制轉(zhuǎn)讓商用密碼技術(shù)。涉及國家安全、國計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品,應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的機(jī)構(gòu)檢測認(rèn)證合格后,方可銷售或者提供。對于大眾消費(fèi)類產(chǎn)品所采用的商用密碼不實(shí)行進(jìn)口許可和出口管制制度,也就是說社會(huì)公眾通過常規(guī)零售渠道購買的,只供個(gè)人使用的,對國家安全、社會(huì)公共利益帶來的風(fēng)險(xiǎn)較小且可控的,不在管理范圍之內(nèi)。商用密碼產(chǎn)品檢測認(rèn)證適用《中華人民共和國網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定,避免重復(fù)檢測認(rèn)證。商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的,應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對該商用密碼服務(wù)認(rèn)證合格。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接,避免重復(fù)評估、測評。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)按照《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定,通過國家網(wǎng)信部門會(huì)同國家密碼管理部門等有關(guān)部門組織的國家安全審查。
核電DCS作為關(guān)鍵信息基礎(chǔ)設(shè)施,應(yīng)依法使用商用密碼,并提供滿足商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估和網(wǎng)絡(luò)安全等級測評的產(chǎn)品。
3.1.3 數(shù)據(jù)安全法
《中華人民共和國數(shù)據(jù)安全法》規(guī)范了數(shù)據(jù)安全主管機(jī)構(gòu)的監(jiān)管職責(zé),建立了健全數(shù)據(jù)安全協(xié)同治理體系,提高了數(shù)據(jù)安全保障能力,促進(jìn)了數(shù)據(jù)出境安全和自由流動(dòng),促進(jìn)了數(shù)據(jù)開發(fā)利用,保護(hù)了個(gè)人、組織的合法權(quán)益,維護(hù)了國家主權(quán)、安全和發(fā)展利益,讓數(shù)據(jù)安全有法可依、有章可循,為數(shù)字化經(jīng)濟(jì)的安全健康發(fā)展提供了有力支撐。
《數(shù)據(jù)安全法》明確了國家推進(jìn)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)。國家建立數(shù)據(jù)分類分級保護(hù)制度,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度,對數(shù)據(jù)實(shí)行分類分級保護(hù)。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強(qiáng)對重要數(shù)據(jù)的保護(hù)。開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施;發(fā)生數(shù)據(jù)安全事件時(shí),應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。國家機(jī)關(guān)為履行法定職責(zé)需要收集、使用數(shù)據(jù),應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進(jìn)行;對在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供。
《數(shù)據(jù)安全法》對行業(yè)組織提出了制定安全行為規(guī)范、加強(qiáng)行業(yè)自律、指導(dǎo)會(huì)員加強(qiáng)數(shù)據(jù)安全保護(hù)的要求。這項(xiàng)法規(guī)有效地消滅了灰色地帶,對各行業(yè)都形成了法律約束,杜絕了數(shù)據(jù)的隨意共享和流轉(zhuǎn)。
3.1.4 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例
關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)堅(jiān)持綜合協(xié)調(diào)、分工負(fù)責(zé)、依法保護(hù),強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者主體責(zé)任,充分發(fā)揮政府及社會(huì)各方面的作用,共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。
從《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的內(nèi)容分析可以得出能源電力信息安全是國家的關(guān)鍵信息基礎(chǔ)設(shè)施,核電站是電力行業(yè)信息的重中之重,一旦核電站發(fā)生信息安全事件后會(huì)對國家安全、國計(jì)民生和公共利益造成嚴(yán)重危害。
3.2 通用網(wǎng)絡(luò)安全要求
3.2.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求
為了配合《中華人民共和國網(wǎng)絡(luò)安全法》的實(shí)施,同時(shí)適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護(hù)工作的開展,國家標(biāo)準(zhǔn)GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》于2019年正式實(shí)施。其代替了GB/T22239-2008,針對網(wǎng)絡(luò)安全共性安全保護(hù)需求提出了安全通用要求,并對云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出了安全拓展要求,形成了新的網(wǎng)絡(luò)安全等級保護(hù)基本要求標(biāo)準(zhǔn)。
3.2.2 信息技術(shù)安全 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)
技術(shù)要求GB/T25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》規(guī)定了第一級到第四級等級保護(hù)對象的安全設(shè)計(jì)技術(shù)要求,每個(gè)級別的安全設(shè)計(jì)技術(shù)要求均由安全通用設(shè)計(jì)技術(shù)要求和安全擴(kuò)展設(shè)計(jì)技術(shù)要求構(gòu)成,安全擴(kuò)展設(shè)計(jì)技術(shù)要求包括了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等方面。第一級到第三級的安全設(shè)計(jì)技術(shù)要求均包含安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全管理中心等四個(gè)方面。在第四級的安全設(shè)計(jì)技術(shù)要求增加了系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求方面。
3.2.3 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求
GB/T28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》規(guī)定了不同級別的等級保護(hù)對象的安全測評通用要求和安全測評擴(kuò)展要求,適用于安全測評服務(wù)機(jī)構(gòu)、等級保護(hù)對象的運(yùn)營使用單位及主管部門對等級保護(hù)對象的安全狀況進(jìn)行安全測評并提供指南,也適用于網(wǎng)絡(luò)安全職能部門進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)監(jiān)督檢查時(shí)參考使用。相比于GB/T28448-2012,GB/T28448-2019細(xì)化了單項(xiàng)測評的規(guī)定,增加了等級測評的拓展要求,并對測評力度進(jìn)行了更嚴(yán)格的規(guī)定。
3.2.4 信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求
GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》是貫徹落實(shí)《中華人民共和國密碼法》、指導(dǎo)我國商用密碼應(yīng)用與安全性評估工作開展的綱領(lǐng)性、框架性標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)分五個(gè)級別,從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)層面提出了密碼應(yīng)用技術(shù)要求,保障了信息系統(tǒng)的實(shí)體身份真實(shí)性、重要數(shù)據(jù)的機(jī)密性和完整性、操作行為的不可否認(rèn)性,并從信息系統(tǒng)的管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置四個(gè)方面提出了密碼應(yīng)用管理要求,為信息系統(tǒng)提供了管理方面的密碼應(yīng)用安全保障。
3.2.5 信息系統(tǒng)安全 等級保護(hù)定級指南研究
GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》主要是對信息系統(tǒng)的定級指引,包含內(nèi)容有:等級保護(hù)對象介紹、定級要素與安全保護(hù)等級的關(guān)系、定級流程、不同保護(hù)對象的定級說明等。該標(biāo)準(zhǔn)替代GB/T22240-2008,主要為信息系統(tǒng)運(yùn)營使用單位開展網(wǎng)絡(luò)安全等級保護(hù)工作提供指導(dǎo),行業(yè)主管部門可以依據(jù)《定級指南》,結(jié)合行業(yè)特點(diǎn)和信息系統(tǒng)實(shí)際出臺行業(yè)定級細(xì)則,保證行業(yè)內(nèi)信息系統(tǒng)在不同地區(qū)等級的一致性,以指導(dǎo)本行業(yè)信息系統(tǒng)定級工作的開展。
3.2.6 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南研究
GB/T25058-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南》介紹和描述了實(shí)施網(wǎng)絡(luò)安全等級保護(hù)過程中涉及的階段、過程和需要完成的活動(dòng),通過對過程和活動(dòng)的介紹,使大家了解對等級保護(hù)對象實(shí)施等級保護(hù)的流程方法,以及不同的角色在不同階段的作用等。
3.3 核電領(lǐng)域網(wǎng)絡(luò)安全要求
3.3.1 核電廠儀表和控制系統(tǒng)計(jì)算機(jī)安全防范總體要求
NB/T20428-2017《核電廠儀表和控制系統(tǒng)計(jì)算機(jī)安全防范總體要求》為防止、檢測和應(yīng)對采用數(shù)字化手段針對I&c系統(tǒng)的惡意行為(網(wǎng)絡(luò)攻擊)規(guī)定適當(dāng)?shù)挠?jì)劃措施,屬于核電廠控制系統(tǒng)的安全防范總要求,涉及到安全防范的研制與應(yīng)用的全生命周期過程和要求,包括內(nèi)生網(wǎng)絡(luò)安全的等級劃分、區(qū)域劃分、訪問控制和數(shù)據(jù)安全等。
核電DCS系統(tǒng)/軟件分為A類、B類、C類。根據(jù)NB_T20428-2017核電廠儀表和控制系統(tǒng)計(jì)算機(jī)安全防范總體要求的規(guī)定,安全防范等級與核電安全的關(guān)系如表2所示。
表2 安全防范等級與核電安全的關(guān)系
3.3.2核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控
GB/T43532-2023《核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控》規(guī)范了核電廠新建儀控系統(tǒng)生命周期所有階段(包括儀控平臺開發(fā)、儀控系統(tǒng)工程建設(shè)、儀控系統(tǒng)運(yùn)行和維護(hù)、退役等)安全管控措施選擇和執(zhí)行活動(dòng),包括訪問控制、密碼、通信等。該標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全相關(guān)技術(shù)要求歸為網(wǎng)絡(luò)安全和核安全的協(xié)調(diào)要求、區(qū)域劃分、數(shù)據(jù)安全、可信驗(yàn)證、安全審計(jì)、訪問控制,以及測試與驗(yàn)證技術(shù)要求。
4 結(jié)論
《網(wǎng)絡(luò)安全法》構(gòu)筑了網(wǎng)絡(luò)安全的基礎(chǔ),強(qiáng)調(diào)了網(wǎng)絡(luò)安全的保護(hù),為網(wǎng)絡(luò)空間的整體安全和有序發(fā)展奠定了總基調(diào),它與《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等配套規(guī)定共同構(gòu)建了網(wǎng)絡(luò)空間的合規(guī)框架。《數(shù)據(jù)安全法》則是搭建數(shù)據(jù)安全的基礎(chǔ),它強(qiáng)調(diào)數(shù)據(jù)安全的保護(hù),尤其注重重要數(shù)據(jù)和國家核心數(shù)據(jù)的保護(hù),規(guī)制對象“數(shù)據(jù)”的載體不僅限于網(wǎng)絡(luò)數(shù)據(jù)。《密碼法》要求作為提供關(guān)鍵信息基礎(chǔ)設(shè)施的設(shè)備供應(yīng)商,應(yīng)依法使用商用密碼,并提供滿足商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估和網(wǎng)絡(luò)安全等級測評的產(chǎn)品。
核電DCS網(wǎng)絡(luò)安全在滿足國家強(qiáng)制要求法和條例基礎(chǔ)上,要同時(shí)滿足核電領(lǐng)域網(wǎng)絡(luò)安全要求,參考通用網(wǎng)絡(luò)安全要求,所有網(wǎng)絡(luò)安全應(yīng)用的前提是不能影響核電功能安全。
核電DCS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是保障核電站安全穩(wěn)定運(yùn)行的重要基礎(chǔ)。通過分析核電DCS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的重要性、現(xiàn)狀及其挑戰(zhàn),本文提出了相應(yīng)的建議和對策。未來,我們應(yīng)持續(xù)關(guān)注網(wǎng)絡(luò)安全技術(shù)的發(fā)展和攻擊手段的變化,不斷完善和更新核電DCS網(wǎng)絡(luò)安全標(biāo)準(zhǔn),為核電行業(yè)的網(wǎng)絡(luò)安全提供有力保障。
作者簡介:
劉春明(1983-),男,北京人,高級工程師,碩士,現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司,主要從事核電網(wǎng)絡(luò)安全方面的研究。
參考文獻(xiàn):
[1] 姚相振, 周睿康, 范科峰. 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系研究[J]. 信息安全與通信保密, 2015, 7 : 53 - 56.
[2] 覃華. 國內(nèi)外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)研究[J]. 儀器儀表用戶, 2019, 26 (7) : 97 - 99.
[3] 中華人民共和國第十二屆全國人民代表大會(huì)常務(wù)委員會(huì). 中華人民共和國網(wǎng)絡(luò)安全法[Z]. 2016.
[4] 第十三屆全國人民代表大會(huì)常務(wù)委員會(huì). 中華人民共和國密碼法[Z]. 2019.
[5] 第十三屆全國人民代表大會(huì)常務(wù)委員會(huì). 中華人民共和國數(shù)據(jù)安全法[Z]. 2021.
[6] 國務(wù)院常務(wù)會(huì). 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例[Z]. 2021.
[7] GB/T 22239-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求[S].
[8] GB/T 25070-2019, 信息技術(shù)安全 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求[S].
[9] GB/T 28448-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求[S].
[10] GB/T 39786-2021, 信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求[S].
[11] GB/T 22240-2020, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南[S].
[12] GB/T 25058-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南[S].
[13] NB/T 20428-2017, 核電廠儀表和控制系統(tǒng)計(jì)算機(jī)安全防范總體要求[S].
[14] GB/T43532-2023, 核電廠儀表和控制系統(tǒng)網(wǎng)絡(luò)安全防范管控[S].
摘自《自動(dòng)化博覽》2024年7月刊
北京市公安局海淀分局備案號:11010802023656號