文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2097-1788.2023.02.003
引用格式: 李實(shí),王紹杰,,萬佳蓉,,等. 關(guān)于核電廠網(wǎng)絡(luò)安全準(zhǔn)入管理制度的探究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,,42(2):19-24.
0 引言
作為核能發(fā)電的主要場(chǎng)地,,核電廠的安全至關(guān)重要,,應(yīng)牢牢把握和深入貫徹落實(shí)習(xí)近平總書記關(guān)于核電行業(yè)“安全發(fā)展、創(chuàng)新發(fā)展”的重要指示,,在提升核工業(yè)核心競(jìng)爭(zhēng)力的同時(shí),,守住核安全,在外部環(huán)境,、設(shè)備設(shè)施,、人員管理等諸多方面嚴(yán)格把關(guān),建立健全技術(shù)和管理體系,,保障核電廠的網(wǎng)絡(luò)安全準(zhǔn)入建設(shè),,促進(jìn)核能的可持續(xù)發(fā)展。
然而,,隨著新型信息技術(shù)的引入,,核電廠網(wǎng)絡(luò)安全受到了一定的沖擊,比如核電儀控系統(tǒng)在向智能化,、數(shù)字化方向發(fā)展的過程中,,安全風(fēng)險(xiǎn)系數(shù)隨之增大[1],,并且在核電網(wǎng)絡(luò)安全設(shè)備、軟件,、人員等的準(zhǔn)入管理方面也存在諸多問題,,這就給核電廠帶來更大的安全隱患,因此應(yīng)當(dāng)明確問題所在,,并針對(duì)問題做好應(yīng)對(duì)措施,。在設(shè)備正式投入使用之前,需要經(jīng)過多個(gè)環(huán)節(jié),,其中值得重點(diǎn)關(guān)注的是一些關(guān)鍵節(jié)點(diǎn)存在的安全問題,。首先,采購(gòu)是必不可少且十分重要的一步,,它對(duì)于設(shè)備的質(zhì)量,、后續(xù)進(jìn)程能否順利推進(jìn)具有決定性作用;其次,,在選定采購(gòu)的設(shè)備后,,需要對(duì)其質(zhì)量、功能,、性能等進(jìn)行測(cè)試,,確保有安全合格證明才能進(jìn)入下一步;第三,,設(shè)備的運(yùn)行涉及使用前接入,、使用中運(yùn)維設(shè)備接入等方面,無論是哪種接入,,若存在安全隱患,,都會(huì)對(duì)運(yùn)行環(huán)境造成直接影響;最后,,從采購(gòu)到正式運(yùn)行,,必有人員的全程參與,因此人員的安全意識(shí)必須要提高,。為此,,下面從采購(gòu)、測(cè)試,、設(shè)備接入和人員四方面簡(jiǎn)要列舉可能存在的問題:
(1)采購(gòu),。采購(gòu)是產(chǎn)品入廠前必備的關(guān)鍵步驟,而這其中也通常具備一些問題:招標(biāo)時(shí)對(duì)內(nèi)容的控制度不夠,,對(duì)招標(biāo)企業(yè)的篩選和甄別不詳細(xì)[2],,驗(yàn)收時(shí)產(chǎn)品質(zhì)量不過關(guān),交付時(shí)間無法保證,,造成工程進(jìn)度緩慢甚至停滯的狀態(tài)[3],,這些都會(huì)影響整個(gè)供應(yīng)鏈的運(yùn)行,勢(shì)必對(duì)設(shè)備的最終質(zhì)量造成影響,。此外,,采購(gòu)流程的不完善、監(jiān)管不力,、供應(yīng)商證明材料的真實(shí)性確認(rèn)等,,都是采購(gòu)過程中可能會(huì)出現(xiàn)的問題。
(2)測(cè)試,。測(cè)試開始前,,需要進(jìn)行測(cè)試申請(qǐng),同時(shí)檢查物理環(huán)境,、軟硬件環(huán)境,、測(cè)試大綱等必需文件、人員及其信息等進(jìn)行檢查,,如若疏漏或檢查不徹底,,就會(huì)影響測(cè)試進(jìn)度和結(jié)果,增加潛在的安全風(fēng)險(xiǎn)[4],。
(3)設(shè)備接入,。首先對(duì)于設(shè)備接入而言,可能存在的問題包括:接入時(shí)需交付的文件或內(nèi)容不全,,接入驗(yàn)收?qǐng)F(tuán)隊(duì)的組成不全面,,接入程序不完善,在接入過程中發(fā)現(xiàn)的問題未得到及時(shí)處置等,,若不妥善處理這些問題,,就會(huì)直接威脅到核設(shè)施的安全。其次在對(duì)設(shè)備進(jìn)行運(yùn)維時(shí),,往往會(huì)接入運(yùn)維設(shè)備,,特別是對(duì)于專業(yè)性較強(qiáng)的核電系統(tǒng),一般由廠家進(jìn)行操作,,一些安全病毒便會(huì)隨著運(yùn)維設(shè)備接入及操作過程中的不注意而進(jìn)入系統(tǒng)中,,比如設(shè)備接入不規(guī)范、接入系統(tǒng)前未對(duì)電腦進(jìn)行惡意代碼查殺,、非法外聯(lián),、未經(jīng)授權(quán)進(jìn)行操作等,都會(huì)帶來較大的安全風(fēng)險(xiǎn),。
(4)人員,。人員是必不可少的因素,會(huì)參與到供應(yīng)鏈的每個(gè)層面,,對(duì)于人員方面而言,,常存在的問題有:采購(gòu)時(shí)對(duì)技術(shù)參數(shù)等內(nèi)容要求不仔細(xì),,測(cè)試時(shí)對(duì)執(zhí)行項(xiàng)的遺漏[5],接入時(shí)對(duì)文件清單檢查不認(rèn)真,,不按照制度履行工作職責(zé),,技術(shù)經(jīng)驗(yàn)不足,安全意識(shí)淡薄等,。此外,,在外來人員訪問時(shí),未對(duì)外來人員及其攜帶物品進(jìn)行細(xì)致的檢查,,未經(jīng)授權(quán)隨意進(jìn)行操作等,,都會(huì)給予黑客進(jìn)行攻擊的機(jī)會(huì)。
對(duì)于這些核安全問題,,國(guó)內(nèi)外紛紛出臺(tái)多項(xiàng)法律法規(guī),、政策標(biāo)準(zhǔn)來進(jìn)行約束和管理[6-8],例如,,美國(guó)基于NIST系列標(biāo)準(zhǔn)中的NIST SP800-82和NIST SP800-53,,制定了RG5.71和RG1.152,這是專屬于核電網(wǎng)絡(luò)的標(biāo)準(zhǔn),,RG5.71提出了針對(duì)核設(shè)施的管理方案,,RG1.152則對(duì)數(shù)字系統(tǒng)生命周期的各個(gè)階段進(jìn)行了說明;反應(yīng)堆核儀器分技術(shù)委員會(huì)也發(fā)布了IEC系列標(biāo)準(zhǔn),,如IEC62645,、IEC62859、IEC63096,,分別對(duì)核電系統(tǒng)的計(jì)算機(jī)安全程序管理和防范,、核安全和網(wǎng)絡(luò)安全間的關(guān)系、核電儀控系統(tǒng)網(wǎng)絡(luò)安全控制提出相應(yīng)的要求,。我國(guó)也頒布了多個(gè)文件,,如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》,2018年四部委提出針對(duì)核電行業(yè)的《關(guān)于進(jìn)一步加強(qiáng)核電運(yùn)行安全管理的指導(dǎo)意見》,,2020年核安全局發(fā)布的《核動(dòng)力廠網(wǎng)絡(luò)安全技術(shù)政策》等,,但是并沒有針對(duì)核電廠工控網(wǎng)絡(luò)安全的相關(guān)標(biāo)準(zhǔn),故還需進(jìn)一步完善政策體系,。
本文結(jié)合《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[9]標(biāo)準(zhǔn)中關(guān)于準(zhǔn)入方面的要求,,重點(diǎn)針對(duì)核電廠網(wǎng)絡(luò)安全設(shè)備產(chǎn)品的采購(gòu)、測(cè)試,、上線前接入,、運(yùn)維設(shè)備、外來人員等過程的準(zhǔn)入問題進(jìn)行探究,并在實(shí)際場(chǎng)景中提出可行的解決方案,。
本文詳細(xì)內(nèi)容請(qǐng)下載:http://forexkbc.com/resource/share/2000005208
作者信息:
李 實(shí)1,,王紹杰2,萬佳蓉2,,衣 然2
(1.大亞灣核電運(yùn)營(yíng)管理有限責(zé)任公司,,廣東 深圳518000,;2.華北計(jì)算機(jī)系統(tǒng)工程研究所,,北京100083)