标准集团解读《核电厂仪表和控制系统网络安全防范管控》
标准集团(香港)有限公司:近日,国家标准计划《核电厂仪表和控制系统网络安全防范管控》编制完成并征求意见,时间截止到11月26日。
该标准主要起草单位为华能核电开发有限公司、华能山东石岛湾核电有限公司、核工业标准化研究所、中核武汉核电运行技术股份有限公司、上海核工程研究设计院有限公司、西安热工研究院有限公司、北京奇虎科技有限公司。
伊朗“震网病毒”事件以来,全球核电厂仪表和控制系统(简称“仪控系统”)面临日趋严重的网络攻击威胁,而仪控系统的安全直接影响核电厂的安全稳定运行。
目前国内各核电企业开展仪控系统网络安全工作的主要依据为网络安全等级保护有关标准以及能源局14号令有关要求,但等级保护标准是一个适合于所有行业的标准,而14号令主要是针对电力行业,并没有专门针对核电厂的网络安全标准。因此国内核电企业迫切需要关于核电厂网络安全防范管控措施的实施指引,该指引应能有效地将核电业务、核安全的特殊性与网络安全防范等级有效结合,真正使网络安全成为核安全的有机组成部分。
本标准拟修改采用IEC 63096 Nuclear Power Plants - Instrumentation, Controland Electrical Power Systems - Security Controls。本标准将在IEC 62645、IEC/ISO27000系列标准、IAEA有关指导文件的基础上,根据核电厂特有的网络安全需求,针对不同安全级别的仪控系统,分别为其在系统设计、工程开发以及运行维修等阶段提出了推荐的安全防范管控指引。本标准规定了核电厂仪表和控制系统网络安全防范管控目录,并供用户进行选择和应用,从而防止、检测和应对针对数字化仪表和控制系统(以下简称“仪控系统”〉的计算机网络攻击。
本标准适用于指导新建核电厂的仪控系统网络安全设计,同时适用于指导在建/在运核电厂对仪控系统实施全生命周期的网络安全防范管控,适用对象包括核电厂工控系统的设计者、运营者、评估者、供应商和分包商等。
本标准目标是针对核电厂数字化仪表和控制(仪控)系统提供基于分级和特定于生命周期的详细安全防范管控指引,帮助核电厂预防、检测和响应网络攻击,以保障仪控系统的可用性、完整性和保密性。
本标准内容主要包括仪控系统网络安全级别的划分、核安全与网络安全的关系、选择安全防范管控的流程、各安全领域(包括信息安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、信息系统获取开发和维护、供应商关系、信息安全事件管理、信息安全方面业务连续性管理、符合性、网络安全和架构、虚拟化环境和基础设施等>具体的安全防范管控措施。