核电站网络安全防护技术要求与管理规范.docx

1

核电站网络安全防护技术要求与管理规范

1范围

本文件规定了核电站网络安全防护的原则、基本要求、技术要求和管理要求。

本文件适用于核电站系统生命周期的所有阶段网络安全活动，适用于指导核电站改善和提高网络安全防护能力。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239

信息安全技术

网络安全等级保护基本要求

GB/T22240

信息安全技术

网络安全等级保护定级指南

GB/T25058

信息安全技术

网络安全等级保护实施指南

GB/T25069

信息安全技术

术语

GB/T28448

信息安全技术

网络安全等级保护测评要求

GB/T28449

信息安全技术

网络安全等级保护测评过程指南

GB/T32919

信息安全技术

工业控制系统安全控制应用指南

GB/T37962

信息安全技术

工业控制系统产品信息安全通用评估准则

GB/T37980

信息安全技术

工业控制系统安全检查指南

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

网络安全cybersecurity

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

3.2

访问控制accesscontrol

一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。

3.3

管理信息大区managementofinformationzone

生产控制大区之外的，主要由企业管理、办公自动化系统及信息网络构成的安全区域。

3.4

生产控制大区productioncontrolzone

由具有数据采集与控制功能，纵向联接使用专用网络或专用通道的电力监控系统构成的安全区域。

4缩略语

下列缩略语适用于本文件。

2

B/S：浏览器/服务器模式（Browser/Server）C/S：客户端/服务区模式（Client/Server）

FTP：文件传输协议（FileTransferProtocol）

HTTP：超文本传输协议（HyperTextTransferProtocol）

HTTPS：以安全为目标的HTTP通道（HyperTextTransferProtocoloverSecureSocketLayer）

Rlogin：远程登录命令（RemoteLogininUnixSystems）SSH：安全外壳协议（SecureShell）

VLAN：虚拟局域网（VirtualLocalAreaNetwork）

5防护原则

结合核电站系统特性和面临网络安全威胁，网络安全防护遵循以下基本原则：

a)核电站应参照本单位网络安全大纲等顶层文件和基本管理制度，指定和授权专门的部门对网络安全建设进行总体规划，制定近期和远期的安全建设工作计划；

b)应根据网络安全的等级划分情况，统一考虑网络安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件，应定期根据等保测评、风险评估的结果进行修订；

c)应组织相关部门和安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并向上级相关主管部门报备；

d)网络安全防护方案（总体安全策略、安全技术框架、总体建设规划、详细设计方案等相关配套文件）应确保在网络安全防护相应阶段工作开始前完成；

e)应根据核电厂工业控制系统的网络安全保护等级选择基本安全措施，并依据国家能源局、核安全局、公安部、国家卫生健康委员会等监管部门颁布的相关法令采取增强防护措施；

f)核电站应开展网络安全风险评估工作，并根据风险评估的结果对网络安全防护措施及时进行补充或调整；

g)核电站宜研究建立网络安全实验室或测试平台等基础设施，为上述安全防护方案、产品开发、洞补丁测试、变更验证等提供实验环境。

6基本要求

6.1网络安全机构

6.1.1应明确由核电站主管网络安全工作的委员会或领导小组负责核电站系统网络安全领导工作，其负责人由企业法人或其授权代表担任。

6.1.2应设立独立的行使系统网络安全管理职能的组织机构。

6.1.3应制定文件明确网络安全机构的管理职责和各安全岗位的职责、分工和技能要求，以及确保机构内人员遵守机构的安全管理措施。

6.1.4为保证各相关责任部门对各自的责