加强核电厂工业控制系统信息安全监管的若干思考(梁昊飞)

1、2022年6月9日2022-6-91引言环境保护部华南核与辐射安全监督站 引言2022-6-92环境保护部华南核与辐射安全监督站 引言2022-6-9Dillon Beresford3 引言45 引言2022-6-9环境保护部华南核与辐射安全监督站6核电工控系统信息安全监管现状关注的主要问题对策建议2022-6-97图1 我国核电厂工业控制系统信息安全监管模式 核电厂工控系统是我国重要领域工业控制系统1，其信息安全直接关系到国家重大基础设施安全、核安全和能源（电力）安全，因此长期以来形成了跨领域多部门协同监管的模式。环境保护部华南核与辐射安全监督站名 称类型中华人民共和国主席令中华人民共和国国

2、家安全法、刑法、刑法修正案（七）、治安处罚法、警察法、网络安全法（草案）、放射性污染防治法法律中办发200327号国家信息化领导小组关于加强信息安全保障工作的意见中央及国务院文件国发201223号国务院关于大力推进信息化发展和切实保障信息安全的若干意见国办发200758号国务院办公厅关于开展重大基础设施安全隐患排查工作的通知国务院令147号计算机信息系统安全保护条例行政法规国务院1986年10月29日发布民用核设施安全监督管理条例国务院令第500号民用核安全设备监督管理条例公安部令第51号计算机病毒防治管理办法部门规章国家经贸委令第30号电网和电厂计算机监控系统及调度数据网络安全防护规定国家环

3、保总局令第46号进口民用核安全设备监督管理规定（HAF604）国家发改革委2014年第14号令电力监控系统安全防护规定国核安发200481号核动力厂设计安全规定(HAF102)公通字200743号信息安全等级保护管理办法电安生1997239号并网核电厂电力生产安全管理规定办安全201296号核电站二次系统安全防护技术规定（试行）公信安20071360号信息安全等级保护备案实施细则公信安2008736号公安机关信息安全等级保护检查工作规范国能安全2014317号电力行业网络与信息安全管理办法国能安全2014318号电力行业信息安全等级保护管理办法公通字200466号关于信息安全等级保护工作的实施

4、意见其他规范性文件电监安全200634号电力二次系统安全防护方案公信安2007861号关于开展全国重要信息系统安全等级保护定级工作的通知电监信息2007 34号关于开展电力行业信息系统安全等级保护定级工作的通知电监信息2007 44号电力行业信息系统等级保护定级工作指导意见公信安20091429号关于开展信息安全等级保护安全建设整改工作的指导意见工信部协2011451号关于加强工业控制系统信息安全管理的通知表表1.1主要核电厂工控系统信息安全监管相关法规清单主要核电厂工控系统信息安全监管相关法规清单2022-6-9环境保护部华南核与辐射安全监督站9GB17859-1999计算机信息系统安全保护

5、等级划分准则国家强制标准GA 243-2000计算机病毒防治产品评级准则行业强制标准HAD102/14核动力厂安全重要仪表和控制系统核安全导则HAD102/16核动力厂基于计算机的安全重要系统软件GB/T13284.1-2008核电厂安全系统第1部分：设计准则核安全领域国家推荐标准GB/T13629-2008核电厂安全系统中数字计算机的适用准则NB/T 20054-2011核电厂安全重要仪表和控制系统执行A类功能的计算机软件核电行业推荐标准 NB/T 20055-2011核电厂安全重要仪表和控制系统执行B 类和C类功能的计算机软件NB/T 20298-2014核电厂安全重要数字仪表和控制系统硬

6、件设计要求NB/T 20026-2014核电厂安全重要仪表和控制系统总体要求NB/T 20300-2014核电厂安全重要仪表和控制系统执行 A类功能的HDL可编程集成电路开发NB/T 20344-2015核电厂安全级电子设备鉴定规程GB/T 26333-2010工业控制网络安全风险评估规范工业控制领域国家推荐标准GB/T 30976.1-2014工业控制系统信息安全第1部分：评估规范GB/T 30976.2-2014工业控制系统信息安全第2部分：验收规范20130783-T-604集散控制系统（DCS ）安全防护标准（征求意见稿）20130784-T-604集散控制系统（DCS ）安全管理标准

7、（征求意见稿）20130785-T-604集散控制系统（DCS ）安全评估标准（征求意见稿）20130786-T-604集散控制系统（DCS ）风险与脆弱性检测标准（征求意见稿）20130787-T-604可编程逻辑控制器（PLC ）安全要求（征求意见稿）表表1.2主要核电厂工控系统信息安全监管相关标准清单主要核电厂工控系统信息安全监管相关标准清单2022-6-9环境保护部华南核与辐射安全监督站10监管制度：多年来，我国在核电厂工控系统信息安全方面建立了安全风险和漏洞通报、信息安全产品强制性认证、信息安全人员测评与资质认定等系列监管制度；其中，最重要的是信息安全等级保护制度和核安全许可监督制度

8、。2022-6-9环境保护部华南核与辐射安全监督站11 核安全许可监督制度是1986年民用核设施安全监督管理条例和国务院500号令中确定的基本制度。核电厂安全重要构筑物、系统、设备的设计、制造、建造必须经过国家核安全局的技术审评，只有在确认满足相关法规标准要求后，国家核安全局才颁发相应行政许可；同时，国家核安全局派驻核安全监督员对核电厂的设计、制造、建造、调试、运行直至退役等活动进行全过程的核安全监督。2022-6-9环境保护部华南核与辐射安全监督站12 总体来看,信息安全等级保护制度侧重在信息安全（security）的保障方面，主要考虑对人为地有意破坏进行的保障和保卫； 而核安全许可监督制度通常是针对功能安全（safety）方面的，主要考虑硬件和软件的随机故障所导致工控系统失效对核安全、辐射环境安全和公众安全的影响。对核电厂工控系统信息安全问题的特殊性认识不足对核电厂工控系统信息安全问题的后果估计不足核电厂工