标准规范下载简介
NB/T 20428-2017 核电厂仪表和控制系统计算机安全防范总体要求.pdfc)S2级系统的软件升级和配置更改应不允许来自于S3系统: d)S2级系统的软件升级和配置修改应只能在预定义的时间窗口、一次在一个通道进行,并且应受 到适当的联锁的保护。S2级I&C设备与专用服务站之间的双向数据传输应只能使用与其他网络 相隔离的专用数据连接。该专用数据连接应通过技术、运行管理和行政的手段来确保安全防范: e)不管是来自核电厂外部,还是来自非I&C系统的进入S2级I&C系统的通信,都应被阻止; f)应采取设计措施限制对S2级系统的可编程区域的访问(如,通过有效的用户认证),并且阻止任 何未授权建立对这些区域的访问的企图
5.2.3.2.6安全防范等级S3的附加要求
以下列出了S3级I&C系统的最低安全防范要求(除通用要求之外)。宜通过系统特定的安全分析对 此补充完善: a)来自非I&C系统的访问(可能影响I&C系统的功能)应逐个进行合理性论证,且不能降低该系统 的计算机安全和核安全要求; b)S3级系统与非I&C系统之间的通信宜由S3级系统发起。例外情况应适当论证其合理性长郡中学新校区五标段体育馆工程塔吊安装施工方案,并对其 连接加以监控。
基于计算机的工具,尤其是用于I&C系统维护和诊断的工具,在I&C系统攻击场景中是经充分证明 的攻击途径和典型的中间目标。 如果与I&C系统之间有直接的连接(临时的或永久的),它们应被分配与跟它们有关联的I&C系统 相同的安全防范等级。 在间接连接(涉及程序性的和(或)人工控制)的情况下,它们可以分配较低的安全防范等级。如 果给工具分配的安全防范等级较低,则该工具宜被设计成可以阻止计划外的行为,并应实现工具使用的 记录(谁和(或)什么和(或)什么时候)以及严格的访问控制。 计算机工具相关的安全防范要求宜调整如下: a)5.2.3.2.3的通用要求适用于所有的基于计算机的工具; b)对于S1级,除了g)和e),5.2.3.2.4中的其他项内容都保留。其中g)项(涉及报警)与工具 不相关,e)项(涉及隐藏功能)用如下内容代替:宜有措施应对工具系统软件中的隐藏功能; c)对于S2级,除了c)、d)、e)、f),5.2.3.2.5中的其他项内容都保留。其中c)、d)、f) 项与工具不相关。e)项用如下内容代替:不管是来自核电厂外部,还是来自非I&C系统的进 入S2级I&C系统的通信,都应被阻止; d)对于S3级,5.2.3.2.6保留(相同要求)。 注:这些调整台在考虑I&C系统本身(尤其是对安全系统)和他们的基于计机的
5.2.3.3安全防范区域
分级方法可能的实际执行方式是将I&C系统划分为多个逻辑区域,并将分级保护原则运用于每个安 全防范区域(见3.16中的规定)。安全防范区域使得对核安全和核电厂性能具有类似重要性(即具有相 同的安全防范等级)的I&C系统可以组合在一起进行管理和采取保护措施。确定安全防范区域的原则可 以包含组织结构问题(如所有权或责任)、位置、系统架构或技术方面的问题, 注:在本标准的其他部分,术语"区域"指的是3.16和本子条款中所定义的“安全防范区域”。它指的不是核安全区和 相关的地理分隔(尽管存在某种关系)。 区域模型的应用宜遵循如下原则:
NB/I204282017
a)每个区域包含具有相同安全防范程等级的系统。如果因为系统架构或其他原因,一个I&C系统 的安全防范等级比该区域其他系统低(依据5.2.3.1.3),那么其安全防范等级应提高,并且满 足该区域其他系统的安全防范等级所对应的安全要求; 注:严格说来安全防范等级是分配给I&C系统(见5.2.3.2)的。但由于一个区域聚集了具有相同安全防范等级的 系统,可以引申开米认为一个给定的区域具有与它所包含的系统相同的安全防范等级(如,“安全防范等 级为S2的区域")。尽管安全防范区域和安全防范等级是相互交织的,但它们仍然是不同的概念。 b)在属于同一个安全防范区域的系统之间,计算机安全屏障不是必须的。但是,对于有多个系统 和跨区域接口的区域来说,计算机屏障可以是有效的保护手段: c)网络设备(交换机、电缆等)宜放置在与其互联的I&C系统同一个安全防范区域内。在网络设 备连接到多个区域的情况下,如果这些区域有相同的安全防范等级,那么潜在的计算机安全隔 离应通过具体的设备要求来规定(超出了本标准的范围)。如果这些区域有不同的安全防范等 级,则安全防范要求与安全防范等级有关(见5.2.3.2.3~5.2.3.2.6)。特别是当涉及具有不同安 全防范等级的系统之间的通信和接口时,就应采取专门的安全防范措施; d)通信只能由较高的安全防范区域(分配较高安全防范等级的系统组)向较低的安全防范区域(分 配较低安全防范等级的系统组)发起: e)区域边界需要数据流解耦机制,该解耦机制应与相关I&C系统的安全防范等级相一致。 安全防范区域和安全防范等级之间并不是一对一的关系。由于多个区域可能需要相同的安全防范等 一个安全防范等级可以分配给多个区域。区域是一个计算机系统的逻辑和(或)物理分组,而安全 范等级表示的是所需的保护程度。
5.3.1通用要求的实施
组织机构应进行下列工作: a)制定I&C系统安全防范计划,使之满足本标准的通用安全防范要求; h)制定实施计划,确定管理I&C系统风险的管理措施、资源和优先次序:
NB/T 204282017
C)实施I&C系统安全防范计划,利用规定的操作、管理和技术控制和(或)缓解措施来适当地管 理风险; d)对计算机安全事故响应工作进行持续的维护和更新,以确保对I&C系统提供持续的网络攻击保 护; e)实施所有的计划,在实施时考虑资金、角色与职责分配和管理支持
5.3.2有效性度量定义
管控组合的有效性。这些度量使得组织机构可以评估这些管控实现计划目标的程度。 在I&C系统安全防范计划制定阶段,组织机构宜: a)为计划中所采取的每一个管控规定有效性指标; b)为在安全防范计划中作为独立实体考虑的管控组合规定有效性指标: c)确定管控和管控组合在实施过程中的具体变化,这些变化也会要求在度量指标上有变化; d)确定指标以量化用于弥补安全管控持续缺位的缓解措施的有效性; e)准备一份关于规定指标详细信息的集合,这些指标与具体管控有关,用于支持管控效果监测工 作的效率和标准化
5.4计划的监控和审查
保持I&C系统安全防范计划持续有效的一个重要因素就是定期对安全防范进行审查。计划规定必要 的措施和管理程序,以按照法规要求对适用的计划要素进行审查。因此,组织机构应: a)制定审查计划,包括与I&C系统安全防范计划有效性审查要素相关的目标、范围、角色、责任、 要求和管理承诺; b)制定便于执行和维护审查计划的程序,包括所需的审查频率以及审查人员的咨质
I&C系统安全防范计划应规定以下过程: a)实施在内外部计划审查时所确定的计划改进,包括校正和预防措施; b)作为正在进行的培训计划的一部分,将这些行动和改进以适当的详细程度传达给有关各方 c)建立并实施审查计划以定期评价和更新计算机安全威胁评估; d)规定措施以评估改进项目是否达到预期的目标
6I&C系统安全防范在生命周期过程的实施
NB/T204282017
下列小节在系统层级上概要描述了I&C系统安全防范生命周期过程中所应包含的 制定I&C系统安全防范生命周期以实现I&C系统及其部件从项目开始到运行和最终退役阶段的安全防 范。
术规格书,先从功能和安全防范的角度规定I&C系统的整体架构,然后规定各单个系统及其接口。 注:编制技术规格书时,用于实现所需要功能的系统还是未知的,因此不可能执行完整、详细的计算机安全风险评 估,此阶段只可能对设计薄弱环节进行评价。 单个系统或设备可能会由不同的供应商所提供并实现其安全防范,这些系统及设备应始终如一地满 足I&C系统整体架构的安全防范要求。每一个系统都应分配一个安全防范等级(见5.2.3.1中的规定) 和相关的安全防范要求。这些系统可能还会被分配至有额外安全防范要求的安全防范区域。
6.3.1确定I&C系统的范围
应确定在电厂设计范围内的每一个I&C系统。在生命周期过程的这一阶段,应编制一份I&C ,此清单不包含详细设计及部件选型,因该部分工作在电厂设计阶段进行。
6.3.2安全防范等级分配
6.4.2设计阶段的风险评估
应进行风险评估以证明安全防范要求得以正确实现。这些分析应考虑技术实 特定威胁及攻击场景分析(如果适用的话,包括设计基准威胁)。风险评估结果可能会要求对安全防范 措施加以改进。威胁及薄弱环节的评估活动可能会要求确定并实现必要的补充措施,以防止或缓解针对 电厂I&C系统攻击所产生的后果。
6.4.3设计项目安全防范计划
NB/T204282017
I&C安全防范计划应由在此项目的主要设计组织、所有第三方或分包商组织实施。应制定一项设计 页目安全防范计划,包含执照持有人及(或)运营商,以及与此项目相关的第三方和外部实体。尤其是, 设计者应表明: a)其有一个有效的安全防范策略; b)该策略将应用于每一个研发场所; c)该策略考虑了本地特征; d)该策略确保设计者的第三方具备足够的安全防范水平
在设计系统及部件时,应对通信路径进行评估。在设计过程中,应确定系统边界并建立系统拓扑图 应建立网络安全管控以实现: a)按其所分配的安全防范等级(见5.2.3.3),对互联系统内部及其之间的信息流的控制进行权限 管理及记录; 注:这是针对系统分配了不同的安全防范等级或分配到不同安全防范区域时的情景。 b)应有文档对I&C系统安全防范计划中所规定的系统和设备间许可的和不受许可的信息流的分析 及处理进行说明,应对该文档进行维护以证明符合5.2.3中所描述的风险评估和分级方注
6.4.5确定安全防范区域
应在设计阶段确定安全防范区域(见3.16及5.2.3.3),或者也可以在实现阶段确定(见6.5) 统的安全防范区域的分配,应考虑在计划阶段对每一个&C系统所分配的安全防范等级(按5.1 方法)。
6.4.6最终设计的安全防范评估
在最终设计阶段,安全防范评估应确保完全覆盖了整个I&C架构
应按照所需遵循的标准针对I&C系统规定的安全防范要求开展验证和确认(V&V)测试。此外,测 试应对I&C安全防范设计(包括硬件架构、外部通信设备及未授权的通信通道配置)和系统完整性进行 验证。安全防范要求及配置项的确认应属于系统整体需求及设计配置项确认的一部分。每一项系统安全 防范措施都应进行确认,以确保所实现的系统不会增加安全防范漏洞风险,并且不会降低核安全功能的 可靠性。
6.7安装及验收测试活动
针对规定的安全防范要求的安装及验收测试应与电厂特定的策略及程序以及电厂I&C系统安 计划(如果有的话)保持一致。在安装完成时,应在运行环境中对系统进行测试,以对I&C系统 范措施及其按照设计整合入系统的正确性进行验证和确认。
NB/T 204282017
6. 8. 1运行及维护时的变更控制
在运行及维护阶段,应定期开展安全防范措施审查。在进行任何系统修改或维护活动之前,应对受 影响的部件进行评估以确认所有的保护措施及设计要素仍将发挥作用。在这些修改或维护活动完成之 后,任何临时闭锁的安全防范保护措施和管制都应得到恢复,并对安全防范功能进行验证。基于计算机 的工具的安全防范要求见5.2.3.2.7。
6.8.2定期的风险及安全防范管控再评估
变更管理过程应遵循电厂规程、法规要求和(或)取证时的承诺(如果有的话) 符合性以及配置控制。因可能对安全防范措施产生影响,在任何变更实施之前,都应进行风险评估。应 对考虑的变更执行批准程序。 作为最低要求,在任何变更执行前,应基于风险评估考虑其对安全防范的影响并进行文档记录。对 于任何新的已确定风险的处理应通过分析论证以说明适当的措施已经就位或将以适当的方式实现。 由电厂人员或第三方进行的未授权的或无文档记录的网络配置或特性变更会使I&C系统计算机安 全防御模型的完整性失效。因此,应对设计及维护活动进行仔细控制以防止此类违规情况的发生。
I&C系统退役阶段应首先是电厂管理的职责。 一个持续有效的计划应包含生命周期的退役阶段。应制定程序以恰当处理I&C系统设备退役以及以 受控方式废置介质及其内含的软件,以避免敏感信息泄露。另外,如果需要的话,应针对为一个系统退 役而进行的预各活动,如在役系统与新系统的双机运行,制定安全防范措施。
本章提供了在核电广I&C环境下,在按照 安全防范管控的一些具体考虑。本章的内容按照GB/T22081一2008和GB/T22080一2008附录A所涵 盖的十一个安全防范专题进行组织。 注:GB/T22081一2008使用术语"安全防范类别”(securitycategories)。在本标准的框架内,首选术语"安全防范专 "(securitythematicarea)以避免与"安全类别(safetycategories)发生混淆。
7.2. 1安全防范策略
要求的前提下,为核电厂管理层提供针对I&C系统安全防范的指导及支持
NB/T204282017
电厂管理层应通过发布、实施及管理一个全厂安全防范策略,设定一个明确的、与法规要求及整体 安全防范要求(包括公司安全防范策略、实物保护以及网络安全防范)一致的策略方向。
7.2.2组织安全防范
组织安全防范的目的是对设施内I&C系统的安全防范进行管理。 应建立一个管理框架,以便在I&C系统生命周期的所有阶段启动并控制I&C系统安全防范计划的实 施。此框架应考虑不同的I&C系统及其相关专家们在知识基础、威胁问题以及运行考虑方面的差异。如 果组织能够提供支持的话,应为现场的安全防范专业人员提供支持。 应确定并建立与外部安全防范专业人员及团队(包括监管部门)的联系及技术交流。与这些资源进 行交互合作应是安全防范管理过程的一个组成部分
资产管理的目的是实现并保持适当的资产保护,以确保核电厂的安全运行及性能,并满足相关的法 律及法规要求。 全部资产应进行登记,并且有一个对其负责任的所有者。 应明确符合适当管控要求的维护及运行责任。尽管在合适的情况下适当的管控措施可由所有者委派 他人实施,但所有者应对资产的适当保护及其功能负责。所有者应对保持资产与法规要求的一致性负责, 并确保资产和相应的管控措施得以按照系统安全防范计划恰当地确定、评估及维护。所有者应负责对资 产的风险部件和薄弱环节的整体水平进行恰当的评估(在第5章所详述),并确保对资产采取了适当且 有效的保护措施。所有者还应负责确保新的和突发的威胁不会影响资产按规定运行并达到系统风险评估 所要求的程度。
7.2.4人力资源安全防范
人力资源安全防范的目的是确保员工、合同商以及获授权的第三方知晓其职责,能适于并合格地承 担为其所考虑的和(或)分配的职能,并降低设施遭到盗窃、伪冒、误用或是有意破坏的风险。 安全防范职责应在聘用之前,在工作岗位说明和劳动条款、条件中进行规定。应利用持续的培训、 宣传以及教育计划以降低潜在的计算机安全风险。应建立正式的安全防范违规处置程序。 对所有职位、合同商以及授权第三方的候选人都应进行充分的筛查,特别是对(但不限于)敏感的 职位更应如此。聘用手续应遵循适用的法律和法规,并尽可能利用相关机构或与之合作进行背景调查。 在聘用之前,员工、合同商以及获授权第三方应签订协议,声明同意其安全防范角色及职责。 应采用持续进行的人员可信程序识别潜在的问题。 在对员工、合同商以及授权第三方重新委派或终止聘用时,应向其简述需要继续执行的安全防范要 求并获得其书面同意。一旦员工或第三方合同商聘用终止或重新委派时,其对设备、设施和资源的访问 权限应被终止,所有设备应立即归还并终止设备的访问权限。 重新委派应与终止旧聘任并开始一个新职位聘任按同样方式处理。可以例外的是在经过背景审查 新的委派所要求的访问等级是相同的或是更低级别的。
实物保护不属本标准的范围。尽管如此,应认识到I&C系统计算机安全防范的基本方面及基础有赖 于遵循法律及法规要求实施的实物安全防范及实物保护
7.2.6通信及运行管理
通信及运行管理的目的是确保设施正确地并在安全防范状态下运行
NB/T204282017
应规定I&C系统在遭受攻击的情况 下设施的管理和运行职责及程序,包括建立适当的运行规程。核 电厂的安全及可靠运行需要该设施具体的、准确的运行规程,而这些都应与计算机安全防范要求相结合。
7. 2. 7 访问控制
访问控制的目的是控制针对核电厂I&C系统的信息及运行的逻辑访问。 安全防范等级(见5.2.3.1.3的规定)应作为所需要的访问控制等级的的基准。访问控制既应考虑为 信息传播和授权所规定的策略,也应考虑运行时的访问限制。 访问控制不应阻止操纵员或其他合法用户所要采取的安全或控制动作,或使其功能退化。
7.2.8I&C系统采购、研发及维护
在I&C系统采购、研发及维护过程中实施安全防范的目的是确保系统按照与它们的安全防 汇手级 应的满足安全防范要求的适当方式进行研发及维护。 系统从需求阶段开始就应考虑网络安全防范要素并进行设计。 设计及研发人员应建立满足安全防范要求的研发方法并进行验证,该方法应在整个系统研发生命周 期中贯彻执行。 所有参与系统研发的分包商和其他支持单位及人员应遵循与主要研发人员同样的要求。尤其是, &C系统的设计者和(或)供应商应表明其具有一个有效的安全防范策略,并依照本地的安全策略及程 序应用于每一个研发场所。 在安全防范状态下进行系统研发要求应作为合同条款写入所有的采购文件中。 硬件采购工作应具有适用的程序以确保用于系统研发及运行的设备满足计算机安全要求,而非在已 经受损的状态下提供使用。 应制定维护规程并使之生效,以确保所有必要的以及推荐性的适当安全防范升级在合理的情况下尽 可能迅速地得到实施从而保持系统的安全防范水平。应持续对已经公布的漏洞(如,由控制系统供应商 或是计算机应急响应机构所发布的)进行监控,如果使用中的I&C系统受到已知漏洞的影响,还应采取 适当的措施。 在进行各种打补丁和(或)升级工作之前,应对系统的功能进行验证以确保这些补丁或升级不会影 响到系统的核安全功能。 在研发、运行和维护期间提出的对于建议及需求的分级方法,都应基于其所分配的安全防范等级(如 5.2.3所要求)。 系统设计者应确保所有应由供应商的产品及服务所提供的安全防范管控措施都在采购文件中进行 了充分的说明。供应商应提供满足这些安全防范管控措施的证据,包括功能、可测试性、必要的升级程 序、配置管理策略和(或)程序、变更控制策略和(或)程序等等。对于安全防范措施的任何例外都应 经由系统设计者进行评估,并经适当的论证后,或是在系统设计文件中采取补偿措施后方能接受。
7.2.10运行连续性管理
NB/T204282017
符合性的目的是避免违反任何法律、法令、法规或合同义务,以及任何安全防范要求。 核电厂I&C系统的设计、运行、使用和管理要遵循法令、法规或合同义务要求。应从核电厂或组织 机构的法律法规专家(或其他有资质的人员)处获取关于法律和法规的符合性建议。 对隐私权及知识产权的保护应至少达到适用法律所要求的程度。
NB/I204282017
A.1关于三个安全防范等级的考虑
专家们认为在GB/T15474中采用三个安全类别对于所有安全功能的分类是必要以及足够的。与此类 以,本标准中采用三个安全防范等级对于所有I&C系统的安全防范措施的分级也是必要以及足够的。尽 管这样简化了两种分级方案间的联系,但是在(核)安全分类与安全防范分级之间并不是一一对应的关 系。 注:本标准仅考虑I&C系统,而不对其他类型系统的安全防范等级作任何的假设。从核电厂全局角度来看,非I&C 系统可能会分配到其他的和(或)不同的安全防范等级,从而出现多于三种安全防范等级的分级方法。 事实上,在本标准中,不论是电厂安全(因显而易见的原因),还是电厂可用性(因能源对国家是 极其重要的),都作为安全防范的基本目标并构成安全防范等级分配的基准。
A.1.2安全分类作为安全防范等级分配的输入
首先要考虑的是核安全,因为如不能确保核安全,则电厂无法获得许可证。因此,安全防范等级的 确定显然应考虑在GB/T15474中规定的三个安全类别。需要指出的是,一个I&C系统对核安全越是必要, 其安全防范等级必须越加严格。对此建议如下: a)执行A类安全功能的I&C系统归入最严格的安全防范等级(S1); b)执行B类安全功能的I&C系统至少应归入中等的安全防范等级(S2); c)执行C类安全功能的I&C系统,则需要对以其为目标的网络攻击所能对电厂安全造成的最坏后 果进行分析,因其可能导致A类或B类安全功能被削弱(如,参数值未能维持在规定的安全限 制内、不满足概率安全目标、不能确保防止内部危害发生等等); d)不执行安全功能的I&C系统可以分配到一个稍低的第三级别安全防范等级(S3)。尽管如此, 当被攻击者所操纵时,如果对电厂可用性、或者甚至对电厂安全有潜在影响(在GB/T15474安 全分类所作假设之外),则可能需要给他们分配一个更高的安全防范等级。
A.1.3电厂可用性及性能影响作为安全防范等级输入
其次要考虑的是对电厂可用性人 电厂运行所必需的I&C系统遭受网络攻击所造成的后果不会达到那些安全防范S1级系统的程度,但 是对于电厂性能,在最坏情况下也可以达到安全防范S2级计算机系统遭受网络攻击的后果。
A.1.4最终的安全防范等级分配方法
综上所述,综合考虑对电厂安全性及可用性的影响,对I&C系统遭受网络攻击所产生影响的分级, 仅需要采用三个安全防范等级: a)S1,分配给执行A类功能,以及被恶意操纵时可能会对安全性有同样影响的功能(不论其安全 分类是什么)的I&C系统:
NB/T 204282017
b)S2,分配给执行B类功能,或是被恶意操纵时可能会对安全性有同样影响的功能(包括可能有 的特定C类功能或是非安全级功能),以及执行电厂运行所必需功能的I&C系统: c)S3,分配给不会对电厂安全性及可用性产生实时影响的I&C系统。 考虑到电厂的安全性及可用性某市自来水六厂施工方案,某个I&C系统的安全防范等级可能需要提高至与其所处理的最敏感 功能遭受网络攻击所产生影响相应的级别。
A.2在线系统相关工具的考虑
与在线系统相关的工具,比如对在线系统进行配置、监测或维护的工具,虽然无需满足同样的核安 全要求,但是考虑到当连接到在线系统时,它们就是潜在的攻击路径,其应分配至同样的安全防范等级, 具有相当的安全防范(非核安全的)要求。
A.3实际的设计及实现
第一步千思板装修施工工艺,应对那些不是由S1级安全防范等级的系统所处理的功能对于电厂安全性及性能产生的可 能影响进行分析,以便给其分配一个适当的安全防范等级。 第二步是对每一个系统开展漏洞分析。 第三步的目标是为每一个I&C系统设计适当的计算机保护,在设计时考虑与其安全防范等级相关的 通用要求以及漏洞分析的结果。
NB/T204282017
NB/T204282017