RG5.73导则对核设施网络安全的应用.docx

RG5.73导则对核设施网络安全的应用RG5.73导则对核设施网络平安的应用 本文关键词：网络平安，核设施，导则，RG5RG5.73导则对核设施网络平安的应用 本文简介：摘要RG5.73CyberSecurityProgramsforNuclearFacilities是美国核管会依据联邦法规（theCodeofFederalRegulation）中对于计算机、通信系统和网络的爱护需求，针对核设施而制定的计算机安保方面的导则。RG5.73主要从组织机构、技术、运行RG5.73导则对核设施网络平安的应用 本文内容：摘要RG5.73CyberSecurityProgramsforNuclearFacilities是美国核管会依据联邦法规（theCodeofFederalRegulation）中对于计算机、通信系统和网络的爱护需求，针对核设施而制定的计算机安保方面的导则。RG5.73主要从组织机构、技术、运行和管理等方面描述了针对信息网络的威逼、漏洞和攻击需采纳的对策和防护技术。导则不仅提出了针对核设施信息网络平安的监管要求，同时也供应了一个切实可行的核设施信息网络平安的解决方案。本文将对RG5.73导则的内容进行简介，并重点探讨该导则在国内核设施信息网络平安方面的应用。关键词RG5.73；核设施；信息网络平安随着国家以及电力行业一系列信息网络平安文件、导则的发布，同时由于“工业化”“信息化”两化融合对传统工业限制系统带来的技术革新，核电领域的信息网络平安工作日益受到关注，相关监管要求日益严格，核设施如何有效地进行信息网络平安方面的防护工作成为一个重要课题。目前，国内针对核设施信息网络平安方面的导则、规范仍相对匮乏，而欧美国家在信息网络平安领域起步较早，很多国家已经建立了针对核设施信息网络平安方面的导则、文件。例如RG5.73CyberSecurityProgramsforNuclearFacilities是美国核管会依据联邦法规（theCodeofFederalRegulation）中对于计算机、通信系统和网络的爱护需求，针对核设施而制定的计算机安保方面的导则。该导则主要从组织机构、技术、运行和管理等方面描述了针对信息网络的威逼、漏洞和攻击应采纳的对策和防护措施。1、RG5.73内容简介1.1通用要求RG5.73要求核设施建立相应的网络平安安排以描述如何执行信息网络平安相关法律、法规的要求，使核设施关键数字计算机、通信系统和网络受到充分爱护，避开这些系统、设备受到网络攻击。网络平安安排应包含：关键数字资产的识别、网络平安安排实施维护、网络平安的设计、深度防卫策略（爱护、检测、响应和复原）、文档化的管理制度、平安意识培训、网络平安风险评估和管理、配置管理和文档管理等要素。1.2组织机构RG5.73描述了应建立一个网络平安团队（CST），确定其角色、职责、授权和职能关系。主要包括：1）网络平安程序主管人员，应为厂址高级管理层成员，并被给予对网络平安程序全面责任和问责权，并能为网络平安程序的制定、执行和维护供应必要的资源。2）网络平安程序负责人，主要负责以下方面。（1）监督网络平安操作；（2）归口联络网络平安全部事项；（3）对网络平安相关事项进行监督和指导；（4）须要时启动和协调网络平安事务响应小组职能；（5）在网络平安事务和事故发生前后，负责与相关部门联络工作；（6）批准和监督网络平安安排及有关程序制定、执行和维护；（7）组织和实施网络平安意识教化、培训活动。3）网络平安专家。（1）爱护关键数字资产（CDA）免受网络威逼；（2）配置、操作和维护网络平安设备；（3）驾驭核设施网络操作系统总体架构、软硬件平台、操作系统等网络特性；（4）开展数字系统的网络平安评估，对关键数字资产（CDA）进行网络平安审计、脆弱性测评、网络扫描和渗透测试等；（5）在关键数字资产（CDA）损坏后进行事故调查；（6）维持和提高网络平安领域的专业技能和学问水平；（7）作为应急响应机构的主要指导者和领导者。除上述人员外，应成立相应的网络平安事务响应机构（CSIRT），包括：安保、操作、工程、应急打算和其他支持部门的相关人员。1.3技术限制RG5.73描述了应在识别关键数字资产（CDA）的基础上，实行纵深防卫爱护策略，建立网络平安分区，限制数据流向，并在边界上采纳防卫措施等技术措施。同时，导则提出了一系列包括：访问限制、审计和问责、通信爱护、识别和认证、系统加固、操作限制等综合防护的限制措施。另外，导则还要求核设施应配置必要的评估工具，对现场系统进行漏洞扫描、渗透测试等薄弱性评估测试。1.4管理限制RG5.73在管理限制方面针对系统服务和选购、持续监测和平安评估、策略和规程、变更限制、记录保留及处理等系统生命周期管理方面提出了相关的监管要求。2、RG5.73导则的应用RG5.73导则不仅提出了针对核设施信息网络平安的监管要求，同时也供应了一个切实可行的核设施信息网络平安的解决方案。通过建立网络平安安排，从组织机构、技术、管理等各方面描述如何建立核设施的信息网络平安策略，对于国内核设施信息网络平安工作的建设具有相当的借鉴意义。结合我国针对电力行业信息网络平安的相关文件、导则，例如电力监控系统平安防护规定(国家发改委2022年第14号令)、电力监控系统平安防护总体方案(国能平安202236号文)、电力行业网络与信息平安管理方法(国能平安2022317号文)，国内核设施可编制基于自身的网络平安安排或实施方案，实施方案的内容可包括但不限于核设施面临的信息平安威逼和总体目标、各信息业务系统的描述、平安分区、网络架构、信息平安组织机构、管理措施、技术措施、综合平安防护措施、主要问题及整改安排等。该文件可以作为核设施平安防护工作的指导性文件。组织机构方面，RG5.73提出的人员架构同样适用于国内的核设施。核设施应建立以公司高层为领导的信息网络平安团队，配置并培育类似网络平安程序负责人、网络平安专家的专业队伍，负责核设施信息网络平安管理制度建设，并对核设施信息系统软硬件操作平台、平安策略的配置、平安防护设备管理、维护进行统一管理。同时，应建立多个部门协同的信息平安应急响应机构，定期进行应急演练。目前，国内核设施在建立网络平安专家团队方面仍属于薄弱环节，特殊是在工控领域方面，缺乏这方面的专业人才及队伍，须要进一步引起重视，并加强这方面人才队伍的培育。技术措施上，结合国内电力行业信息平安提出的“平安分区、网络专用、横向隔离、纵向认证”之总体方针，核设施应对自身业务系统的重要性进行评估识别，根据业务系统的重要性及其对一次系统的影响程度，建立分层的信息平安爱护结构，可将其划分为生产限制大区和管理信息大区，生产限制大区可进一步划分为限制区(平安区I)和非限制区(平安区II)，管理信息大区则也可进一步被划分为（平安区III）和（平安区IV），将各信息业务系统和功能模块依据重要性划分至各个平安区域。同时，在限制数据流向和边界防护措施上，在生产限制大区和管理限制大区间设置单向隔离网闸，只允许数据单向传输。在每个平安区的系统边界上设置专用的防火墙等平安防护设备，在纵向网络上设置纵向加密认证。在上述基础上，进一步做好在物理平安、访问限制、防病毒措施等方面的综合防护措施，并适时进行内部薄弱性测试评估。管理制度上，可依据RG5.73导则及国内监管当局的要求，结合自身实际状况，编制包括信息系统生命周期管理、人员管理、权限管理、访问限制、介质管理、运维管理、审计管理、备份管理、应急响应、培训管理等一系列程序，从而形成完整的信息平安防护制度，并适时的进行评估修订以便更好满意监管要求以及详细执行。3、结论综上所述，在国内针对核设施信息网络平安方面的导则、规范仍相对匮乏的状况下，RG5.73供应了一个切实可行的核设施信息网络平安的解决方案，对于现阶段核电领域信息网络平安工作的开展具有相当重要的借鉴意义。国内核设施可依据该导则，结合国内信息网络平安方面的导则、文件，建立适合核电领域的信息平安防护策略，从而有效提升核设施的信息网络平安。参考文献1RG5.73CyberSecurityProgramsforNuclearFacilities.2电力监控系统平安防护规定（国家发改委2022年第14号令）.3电力监控系统平安防护总体方案（国能平安202236号文）.4电力行业网络与信息平安管理方法（国能平安2022317号文）.5电力行业信息平安等级爱护管理方法（国能平安2022318号文）.作者：钱单 单位：三门核电有限公司第7页 共7页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页