核动力厂网络安全技术政策 （试行） 一、 前言 核电厂营运单位（以下简称营运单位）必须对数字化技术的计 算机、通信系统以及网络提供有效的保障，使其在遭受网络攻击时 能够得到充分保护，以免对核安全、实物保护和应急响应产生不利 影响。与这些功能相关的数字化技术的计算机、通信系统以及网络 也必须受到保护，以应对网络攻击可能导致的数据或软件的可用性、 完整性受到影响，或对系统、网络和相关设备的运行产生不利影响。 为实现上述目标，营运单位应建立、执行和维护网络安全大纲， 同时应考虑影响该大纲实施的厂址特定条件。应使用和维持完整的 纵深防御策略，以确保预防、检测和应对网络攻击，以及在受到网 络攻击后减轻后果和恢复系统的能力，确保重要数字资产免受网络 攻击的侵害。 制订本技术政策的目的在于指导营运单位通过建立和实施网络 安全大纲，对核电厂网络安全风险进行监测和管理，以保证核电厂 安全水平得以维持或得到提升。其他核设施营运单位可参照执行。 二、 网络安全大纲制定 为保护与核安全、实物保护和应急响应功能相关或提供支持 的采用数字化技术的计算机、通信系统以及网络，应建立、实施 — 3 — 和维护网络安全大纲。 （一）建立网络安全大纲 1.定义岗位和职责并组建网络安全队伍 营运单位应组建网络安全队伍,并通过文件明确岗位、责任、权 限和职能关系。网络安全队伍应由多学科、多领域工作经验的人员 组成。典型的人员及其职责至少包括以下几类： （1）网络安全责任人，其本身应为核电厂领导层管理人员，经 授权对网络安全负有全面责任，负责大纲建立、批准，并为大纲的 实施及维护提供必要资源。 （2）网络安全经理，履行以下主要职责：网络安全相关问题联 络；监督并落实网络安全行动；组建并协调网络安全事故响应队伍； 监督、制定和实施网络安全大纲、政策和程序；组织网络安全教育 和培训。 （3）网络安全专家，履行以下主要职责：保护重要数字资产免 受网络安全威胁；配置、运行和维护网络安全设备；对数字系统进 行网络安全评估；对重要数字资产进行安全审核、漏洞评估、网络 扫描和渗透测试；在重要数字资产遭受破坏后进行网络安全调查； 保护在网络安全调查期间收集的证据及防止证据损坏和丢失；保持 网络安全领域的专家技能和知识；为网络安全事件的预防和处置提 供技术咨询和决策建议，必要时可聘请外部专家或机构。 （4）网络安全事件响应组织，包括实物保护、运营、工程、应 急准备和其他外部支持人员，履行以下主要职责：在网络安全事件 期间开展响应和行动，保护重要数字资产不受破坏，并协助恢复受 — 4 — 损系统；减轻涉及重要数字资产的网络安全事件造成的损失和危害， 并确保事件发生后妥善恢复受影响的系统。 （5）辅助支持人员，包括负责操作、维护和设计数字系统的运 行人员、工程师、技术人员、用户、承包商和供应商等。 2.识别重要数字资产 必须对数字化技术的计算机、通信系统和网络开展分析，以识 别影响核安全、实物保护和应急响应功能的重要数字资产。 为识别重要数字资产，营运单位应首先确定与核安全、实物保 护和应急响应功能或其支持功能相关的关键系统。 完成所有关键系统识别后，营运单位应分析和确定重要数字资 产。重要数字资产可以是关键系统组件，可以是保护关键系统免受 网络攻击组件，或者是可以直接或间接地连接到关键系统组件。 3.审查和确认 审查目的是审查和确认每个重要数字资产的直接和间接连接， 识别重要数字资产路径，以确保重要数字资产部署在正确的安全区 域、潜在的网络安全风险得到充分考虑、每个重要数字资产建立了 初始配置。 进行审查的可行方法包括： （1）识别和记录每个重要数字资产的物理和逻辑位置； （2）识别和记录直接或间接连接重要数字资产的路径； （3） 识别和记录重要数字资产基础设施间的相互依赖关系； （4）确定和评估任何现有安全控制措施的有效性以及重要数字 资产在网络安全架构中的位置。 — 5 — 通过对系统的物理和电气检查来确认信息,确认过程包括以下 活动： （1）对每个重要数字资产的配置进行物理检查，包括跟踪与重 要数字资产连接的所有通信路径； （2）检查为保护每个重要数字资产及其通信路径而建立的物理 安全措施； （3）沿着通信路径检查和评估网络安全控制（例如防火墙、入 侵检测系统、网闸）的配置和有效性； （4）检查与其他重要数字资产和关键系统的相关性，以及重要 数字资产和关键系统之间的信任关系； （5）检查与基础设施支持系统的相互依赖关系，尤其是供电、 环境控制和消防设备的潜在危害； （6）解决在审查过程中发现的信息或配置差异，包括未记录或 连接被遗漏的情况，以及与重要数字资产和关键系统相关的其他违 规行为。 （二）纵深防御策略 应使用和维持完整的纵深防御策略设计网络安全大纲，以确保 预防、检测和应对网络攻击，以及在受到网络攻击后减轻后果和恢 复系统的能力。 必须采用纵深防御策略来确保重要数字资产免受网络攻击的侵 害。可结合网络安全架构建立连接边界，并部署防御措施来保护、 探测、响应、缓解对重要数字资产攻击，并在受到攻击后恢复。 （三）安全控制 — 6 — 应对网络安全控制执行有效性和脆弱性分析，以确保重要数字 资产在遭受网络攻击时得到防护。如存在缺陷，应采取额外的网络 安全控制措施。 不应使用会对核安全、实物保护和应急响应功能或性能产生不 利影响的安全控制措施（例如，系统响应时间的不可接受的变化， 系统复杂性的不良增长） 。当安全控制措施会产生不利影响时，营运 单位应采用替代措施，以确保重要数字资产得到防护。任何因上述 情况导致的脆弱性都应通过替代控制措施消除或缓解。 1.技术控制 技术控制是硬件、固件、操作系统或应用软件中包含的非人员 执行的预防或防护措施。技术控制包括访问控制、审计和追溯、系 统和通信保护、身份识别和身份认证、系统加固等。技术控制动作 是预先设计和预编程的，并根据触发事件自动执行，通常不需要人 为干预。 2.操作控制 操作控制是人员执行的保护措施，而非设备自动执行的。操作 控制包括涉及存储介质保护、物理和环境保护、人员安全、系统和 信息完整性、应急计划、事件响应、维护、缓解攻击、功能连续性、 培训以及配置管理的活动。操作控制应有文档化的规程，以确保核 电厂人员和承包商对其行为负责。 3.管理控制 管理控制是专注于风险管理和网络安全大纲的控制。系统或服 务采购、网络安全评估和风险管理、数字资产的增加和修改等活动 — 7 — 均属于管理控制范畴。 三、 网络安全大纲实施和维护 应定期进行网络安全风险评估和管理，为重要数字资产制定全 生命周期的网络安全措施，包括持续监测和评估、配置管理、变更 管理、变更与环境的安全影响分析、有效性分析、持续评估网络安 全控制和安全大纲的有效性、脆弱性扫描、脆弱性评估、变更控制、 安全大纲审查等。 （一）持续监测和评估 应开展持续监测和评估，并考虑网络安全技术进步，确保针对 安全控制、相关流程和程序建立定期审查和试验的安全控制措施持 续有效，系统、网络、环境的变化或新出现的威胁不会降低原有措 施的效果。持续监测包括：持续评估以确认每个重要数字资产实施 的安全控制措施在整个生命周期内保持有效；确保未经授权的资产 未连接到基础设施；对安全控制的必要性和有效性的持续评估；定 期的网络安全大纲审查、评估和提高安全计划的有效性。 根据持续监测和评估结果更新网络安全大纲，以反映必要的更 改，保证重要数字资产得到充分保护。 （二）变更控制 变更控制是管理网络安全的关键要素，应开展变更控制确保增 加或修改的重要数字资产以受控和协调的方式引入。有效的变更控 制所需的文件至少包括：标识了授权和实施更改人员的配置项变更 日志、变更日期和时间、变更目的、安全控制有效性的验证以及在 变更过程中的监测记录等。 — 8 — 1.配置管理 应对整个生命周期内重要数字资产的变更进行控制以确保网络 安全大纲目标得到满足。在重要数字资产生命周期的运行和维护阶 段，使用有效的配置管理确保对重要数字资产的更改按照流程和程 序进行，不会在系统中引入额外的安全风险。配置管理还应保证营 运单位及时有效地执行变更控制。营运单位应在实施变更之前对重 要数字资产的变更进行评估，以确保维持网络安全目标。 2.安全影响分析 安全影响分析有助于管理由系统、网络、环境或新出现的威胁 所引起的潜在漏洞、薄弱环节和风险。应在重要数字资产设计、配 置变更或其环境发生变化之前执行安全影响分析，并进行评估和记 录。同时将其他受影响的重要数字资产或系统纳入网络安全影响分 析，并更新和记录以下内容：重要数字资产和其关联资产的位置； 连通路径（直接和间接）；基础设施相互依赖关系；防御性策略，包 括网络安全架构、安全控制和其他防御性策略措施；物理和网络安 全策略及程序文件，包括攻击缓解、事件响应和系统恢复；用于筛 选、评估、减轻和处理从可信来源收到的威胁和漏洞通知的程序。 应将这些影响分析作为变更批准过程的一部分来执行，以评估 变更对重要数字资产的网络安全态势的影响，应在完成分析后实施 新的安全控制措施。 （三）网络安全大纲审查 营运单位应为网络安全大纲配套制定必要的措施和管理程序， 并执行对大纲要素的审查。审查方法包括：制定和实施审查计划； — 9 — 制定和执行维护网络安全大纲的实施程序。 必须记录网络安全大纲审查的结果和意见、管理层关于大纲有 效性的整改意见以及任何因先前程序审查的意见而采取的行动。以 可审核的形式进行网络安全大纲维护，根据要求供检查使用。 四、 保存记录 应保存的记录包括但不限于所有收集、记录与分析网络和重要 数字资产事件或事故的数字记录、日志文件、设计文件和非数字文 件。保留上述记录和支持性技术文件，是为确保检查人员、审计人 员或者技术支持人员能够对网络安全大纲所描述的、引用的或包含 的事件，以及其他与网络安全大纲各个要素相关的活动进行评估。 必须保留所有记录和技术支持文件，在记录被取代后至少还应 保存 3 年。 五、 监管要求 营运单位应至少每 24 个月完成一次网络安全大纲审查。在以下 情况出现时应开展审查：在大纲初次实施 12 个月内；运行环境变化 可能对安全产生不利影响；基于厂址特定分析、评估或其他绩效指 标按需开展。 网络安全大纲应纳入保密管理，必要时国务院核安全监督管理 部门、国务院核工业主管部门可对网络安全大纲进行检查和评估。 建立网络安全大纲并维持核电厂网络安全是一项必要且长期的 工作，需要不断优化完善。国务院核安全监督管理部门、国务院核 工业主管部门将根据职责分工，逐步推进核电厂网络安全相关工作， 并持续完善相关核安全要求。 — 10 — 附录 名 词 解 释 1.网络攻击 计算机和通信系统与网络的物理或逻辑威胁的一种表现形式。 包括试图对重要数字资产