发文机关国家原子能机构

发文日期2020年09月07日

时效性现行有效

发文字号国原发〔2020〕3号

施行日期2020年09月07日

效力级别部门规范性文件

1.引言

1.1 目的

本导则对核设施营运单位制定、运行和维护《核设施网络安全实施计划》（下称“网络安全实施计划”）提供指导, 使得能够实现核设施网络安全的总体目标，确保关键系统免受设计基准威胁所规定的网络攻击损坏而造成下述后果:

1) 对数据和软件完整性或机密性产生不利影响；

2) 拒绝访问系统、服务或数据产生的不利影响；

3) 对系统、网络和相关设备运行的不利影响。

1.2 依据

依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国保守国家秘密法》《中华人民共和国核材料管制条例》制定本导则。

1.3 范围

本导则适用于我国核动力厂（核电厂、核热电厂、核供汽供热厂等）和研究堆、实验堆、临界装置等；核燃料生产、加工、贮存和后处理设施；放射性废物的储存、处理和处置设施营运单位的核设施网络安全管理。

2.核设施网络安全实施计划的要素

网络安全实施计划应叙述核设施营运单位如何通过实行分等级保护，制定纵深防御策略，编制、执行和维护一系列规程，采取网络安全控制措施，实现上述第1.1节所描述目的。

2.1 网络安全实施计划的要素

核设施营运单位的网络安全实施计划应描述：

1) 识别和认证关键系统的方案是什么；

2) 网络安全实施计划怎样确保关键系统免受网络攻击的不利影响；

3) 怎样制定、运行和维护网络安全实施计划；

4) 怎样使得网络安全实施计划与《核设施实物保护与保密实施计划》协同执行；

5) 采取了哪些控制措施，以及它们是怎样保护关键系统的；

6) 采用的纵深防御策略是什么，以及怎样利用这一策略防御、检测、响应网络攻击和在受到攻击后恢复系统功能的；

7) 网络安全实施计划的要素是怎样用于减轻网络攻击产生的不利影响的；

8) 网络安全的意识教育和培训计划是怎样为员工提供履行其职责所需要的技能的；

9) 怎样评估和管控网络安全风险的；

10) 怎样实现配置管理控制和设计控制过程，确保资产变更和设备添置不影响网络安全的；是怎样在关键系统的设计、建造、运行和维护的整个生命周期内确保执行网络安全措施；

11) 场址的特定条件是怎样影响执行网络安全计划的；

12) 采用了哪些网络安全事故响应和网络攻击恢复措施，包括：

(1) 维持及时检测和响应的能力；

(2) 减轻网络攻击后果；

(3) 脆弱性整改；

(4) 恢复受到网络攻击影响的系统、网络和设备。

13) 制定了哪些场址特定的网络安全方针和规程，确保实现网络安全总体目标的；

14) 怎样使得网络安全实施计划与《核设施实物保护与保密实施计划》共同进行定期评估和检查；

15) 怎样组织网络安全事故应急响应演练，包括与实物保护突发事件应急响应的联合演练；

16) 怎样保存和处理网络安全相关记录和支持文件。

2.2 网络安全实施计划的主要内容

核设施营运单位制定的网络安全实施计划应叙述以下网络安全相关的内容：

1) 组织机构与职责分工；

2) 数字计算机系统及网络分析；

3) 关键系统的等级划分和保护能力目标；

4) 纵深防御策略和防御架构；

5) 网络安全控制；

6) 网络安全实施计划与《核设施实物保护与保密实施计划》的协同执行；

7) 场址网络安全方针和规程；

8) 网络安全实施计划的维护；

9) 网络安全实施计划的检查和专业测评；

10) 文档控制和记录保存与处理。

核设施应在制定网络安全实施计划，基本文件的模板见附件1。

核设施营运单位应制定正式的、文档化的方针、规程等作为网络安全实施计划基本文件相应栏目内容的支持性文件。

在网络安全有效性评估结果显示必要时或在发生重大变更时，核设施营运单位应修订和更新网络安全实施计划，调整相关方针和规程。

3. 组织机构与职责分工

3.1 执行网络安全实施计划的人员组成

核设施营运单位应组织一个网络安全管理机构，确定其角色、职责、授权和职能关系，并确保各级部门和个人（包括雇员、访客、承包商和供应商现场人员）理解上述职能关系。核设施营运单位可赋予管理网络安全实施计划的以下人员明确的职责：

1) 网络安全主管领导：应为场址高级管理层的成员以及被赋予对网络安全实施计划的全面责任和问责权，并能够为网络安全实施计划的制定，执行和维护提供必要的资源。

2) 网络安全负责人具体负责：

(1) 指导网络安全日常工作；

(2) 归口联络网络安全的所有事项；

(3) 对网络安全的所有相关事项进行监督和检查；

(4) 在需要时，报请网络安全主管领导，启动和协调网络安全事故应急响应小组(CSIRT)的功能；

(5) 在网络安全事件和事故期间和之后，按照国家有关法规进行上报和处置工作；

(6) 批准和监督网络安全实施计划及其相关方针和规程的制定、执行和维护；

(7) 组织和实施网络安全意识教育，宣传和培训活动。

3) 若干名网络安全专家负责以下事项：

(1) 保护关键系统免受网络威胁;

(2) 配置、运行和维护网络安全设备;

(3) 掌握核设施网络操作系统总体架构、硬件平台、软件平台、操作系统和应用程序的网络安全特性；核设施特定应用程序以及这些应用程序所依赖的服务和协议;

(4) 开展数字系统的网络安全评估;

(5) 对关键系统进行网络安全审计、脆弱性测评、网络扫描和渗透测试;

(6) 在关键系统损坏后进行网络安全调查;

(7) 保存在网络安全调查期间收集得到的法政证据，防止损失证据价值;

(8) 维持和提高组织内网络安全专业技能和知识水平;

(9) 作为CSIRT的主要指导者或领导者。

4) CSIRT：可根据需要，由核设施内各部门的人员，包括安保、运维、工程、应急准备和其他支持部门的人员组成一个CSIRT，负责：

(1) 启动适当的应急响应和行动，保护关键系统, 使得避免在已知或疑似的网络安全事故中损坏，以及协助受损系统恢复正常工作;

(2) 遏制和减轻涉及关键系统的网络安全事故，并在事故发生后确保受损系统恢复正常。

5) 辅助人员：包括负责运行、维护或设计数字系统的操作人员、工程师、技术人员、用户、合同方和供应商的代表。

3.2 组建网络安全管理机构

核设施营运单位可组织或指定对下述领域的人员组成网络安全管理机构：

1) 信息和数字系统技术: 包括网络安全、软件开发、场外通信、计算机系统管理、计算机工程和计算机网络等。在核设施运行中涉及的数字系统（包括数字仪表和控制系统）知识，以及在核设施中涉及的信息系统知识。核设施运行系统包括可编程逻辑控制器、控制系统和分布式控制系统。信息系统包括计算机系统和含有用于设计、运行和维护关键系统信息的数据库。网络建设领域包括核设施和集团公司范围内网络的知识;

2) 核设施运行、工程和安全: 包括核设施整体运行和核设施技术指标。代表此技术领域的工作人员必须能够通过跟踪在关键系统（或连接的数字资产）中的脆弱性或一系列脆弱性向外延伸对核设施系统和子系统影响，以便评估对核设施运行安全功能、核安保功能、核应急准备功能（下称“SSEP”）的总体影响;

3) 物理安全和应急准备: 包括场址的物理安全和应急准备系统和流程。

3.3 网络安全管理机构的角色和职责

网络安全管理机构的角色和职责包括：

1) 执行或监督各阶段的网络安全和管理过程；

2) 记录和评估过程中所有重要的观察、分析和调查结果，使得此信息可以作为实施网络安全控制的基础；

3) 评估或再评估当前网络安全威胁的假设和结论；对网络攻击可利用的潜在脆弱性，以及攻击产生的后果；现有的网络安全控制、防御方针及攻击缓解方法的有效性；对在系统整个生命周期内参与或负责关键系统和网络安全控制工作人员的网络安全意识教育和技能培训；以及网络安全的管理；

4) 确认通过广泛地对关键系统和相连接数字资产的巡视，以及相关的网络安全控制的检查（包括借助于物理和电子认证活动的巡视检查）所获得的信息；

5) 识别并实施可能的新网络安全控制；

6) 编制《核设施网络安全技术类控制》（下称核安保导则HABD-004/02）和《核设施网络安全运维和管理类控制》（下称核安保导则HABD-004/03）所描述的网络安全控制的文件，并监督网络安全控制的实施，记录不能实施核安保导则HABD-004/02中提供的特定网络安全控制的依据，或记录实施替代或补偿措施以代替核安保导则HABD-004/02中提供的任何网络安全控制的依据；

7) 建立本单位网络安全相关运行记录和支持性文件的保存、利用和处置制度，确保保存所有评估文件，包括笔记和支持性信息；

8) 应有权进行客观的评估，做出不受运行目标（如成本）限制的决定，实施本导则第6.1节所描述的纵深防御策略，并确保采用在本导则第7节所描述的过程实施网络安全控制。

本导则第3.2节描述了核设施营运单位组建网络安全管理机构的模板，以及核安保导则HABD-004/03第11.10节角色和职责描述的网络安全实施计划管理人员的职责分工。

4. 数字计算机系统及网络分析

核设施营运单位应进行本单位数字计算机和通信系统以及网络的特定场址分析，识别如果损坏将对核设施SSEP功能造成不利影响的关键系统。核设施营运单位可依据下列方法识别和记录关键系统：

1) 获得网络安全评估的授权；

2) 组建网络安全管理机构，并规定网络安全的角色和职责；

3) 在设施内识别和记录关键系统；

4) 检查并验证关键系统的配置。

4.1 网络安全评估及授权

核设施营运单位应分配资源，赋予授权，规定管理职责，执行网络安全评估。作为执行网络安全实施计划的第一步，开展网络安全评估，应首先制定、分发并[每年]检查和更新以下：

1) 正式的、文档化的网络安全评估和授权方针：用于规定目的、适用范围、角色、职责和内部协调以及执行核安保导则HABD-004/02和核安保导则HABD-004/03所描述的网络安全控制；

2) 正式的、文档化的规程：用以促进执行网络安全评估。

4.2 组成网络安全管理机构，规定角色和职责

参照本导则第3.2节和第3.3节的要求组成网络安全管理机构，确定角色和职责。

4.3 识别关键系统

关键系统可能包括控制系统、安全系统、数据采集系统、应急准备系统、办公和运行管理系统，以及实物保护系统等。这些系统与SSEP功能相关的程度有所不同，其损坏可能不同程度地导致放射性破坏（即显著堆芯损坏），因此有可能对公众健康和安全造成不利影响。尽管并非所有这些系统可能会最终被列入核设施营运单位的网络安全计划的范围内，准确地识别与SSEP功能相关的系统，对制定一个满足相关要求的网络安全实施计划是重要的。一旦识别了这些系统，核设施营运单位可以确定需要保护的设备清单。

为了确定关键系统，核设施营运单位应首先确定与SSEP功能相关的或与支持SSEP功能相关的工厂系统、设备、通信系统和网络的整体配置和组织情况。这些系统可以是数字系统或模拟系统，因此，有些最终可能不会列入网络安全实施计划的范围。核设施营运单位应对工厂系统、设备、通信系统和网络进行初步的后果分析，确定哪些系统一旦损坏、被控制、或失效可能影响核设施SSEP功能。这种分析不应考虑已有的缓解措施，以确定如果关键系统一旦被损坏可能出现“最坏情况”的影响。

对于不直接与SSEP功能相关的支持系统或设备，核设施营运单位应执行依赖性分析，确定这些系统或设备的网络被损坏后是否可能对SSEP功能产生不利影响。如果分析表明，这种损坏、被控制、或失效可能对SSEP功能产生不利影响，那么这样的系统本身应被认为是关键系统。

关键系统的识别包括下述系统：(1)执行SSEP功能，或SSEP功能所依赖的；(2)影响SSEP功能，或影响执行SSEP功能的关键系统和/或关键系统的子系统或设备的；(3)提供一个通向一个关键系统和/或关键系统的子系统或设备的路径的，该路径可被用来损坏，攻击，或降级一种SSEP功能；(4)支持一个关键系统和/或关键系统的子系统或设备的；(5)保护任何上述免受设计基准威胁规定的网络攻击的。

在识别所有的关键系统后，核设施营运单位应分析和识别特定资产是实际的关键系统。一个关键系统可能是系统的一个部件，该部件可能是用于保护系统免受网络攻击的，或可能是直接或间接地连接到关键系统的。该直接连接可以包括有线或无线路径（涉及一个连接链路）。间接连接可以包括物理隔离，单向网络安全边界设备后面的关键系统，或者采用人工的方式，通过可移动存储介质，诸如软盘、U盘、便携式硬盘或其他数据传输方式，将数据或软件从一个数字设备携带到另一个数字设备。一些对识别关键系统有用的信息来源包括，但不限于最终安全分析报告、场址相关的概率风险评估、技术说明书和一些与监测核电厂维护有效性相关的文件。

核电厂内的一些关键系统可能是自成系统的或独立的系统（即他们没有数据链路到任何其他系统）。这种缺乏与其他工厂系统的连通性大大增强了自成的关键系统或网络的网络安全态势，降低了由工厂外部网络威胁造成损坏的概率。然而，这些系统仍然容易受到来自内部源的网络攻击，例如，将具有恶意代码的介质插入系统，连接诊断系统以及其他离线连接和访问。此外，因为存在大量的支持通信技术的商用现货设备和外部设备，当这种通信设备被有意或无意地引入到系统中时，自成系统的体系结构将发生改变。因此，核设施营运单位应按照与相互连接的系统相同的严格要求，保护一个自成系统的网络安全态势。

为了记录上述识别过程的结果，核设施营运单位应收集下述信息：

1) 对每一个被识别为关键系统（和/或子系统或设备）的系统、资产和网络的一般性叙述；

2) 对每一个关键系统（和/或子系统或设备）提供的总体功能的简要叙述；

3) 如果关键系统（和/或子系统或设备）受到网络攻击造成损坏，对关键系统和SSEP两者功能的潜在后果分析;

4) 关键系统的功能（例如保护、控制、监视、报告或通信）；

5) 每一个关键系统内的子系统或设备的标识；

6) 下述网络安全功能要求和指标说明：

(1) 开发和评估相关的质保要求；

(2) 为维护被采购系统的完整性，对系统开发商或供应商所必要的网络安全要求；

(3) 关键系统的网络安全配置、安装和运行要求；

(4) 网络安全特性/功能的有效使用和维护说明;

(5) 管理员权限（即特权）功能的配置和使用所引入的已知脆弱性说明;

(6) 用户访问的网络安全特性/功能，以及怎样有效使用这些网络安全特性/功能说明；

(7) 用户与关键系统的交互方式说明，使得人员能够以更加安全的方式使用系统；

(8) 用户对维护关键系统的网络安全责任说明等。

4.4 检查和验证

检查的目的是检查和确认每个关键系统的直接和间接连接,并识别通向关键系统的路径。核设施营运单位在随后的检查中可以使用这些信息以确保：(1)关键系统要部署在本导则6.2节描述的网络安全架构中的正确层；(2)参照本导则第7节描述的方法使得关键系统潜在的网络安全风险得到了有效的缓解；(3)为执行变更控制程序，建立每个关键系统的基准配置。核设施营运单位的检查和验证可包括以下活动：

1) 识别并记录每个关键系统的物理和逻辑位置；

2) 识别和记录通向或来自关键系统的直接和间接的连接路径；

3) 识别和记录关键系统与基础设施的相互依存关系；

4) 识别和评估任何（对于现有工厂）现有的网络安全控制措施的有效性和关键系统在防御架构中位置。

核设施营运单位应通过系统的物理和电子检查，验证这一信息。该验证过程包括下述活动：

1) 对每个关键系统配置进行物理检查，包括跟踪与关键系统每个端接点连接的所有流入或流出的通信路径；

2) 检查已经建立的保护每个关键系统及其通信路径的物理安全措施；

3) 检查和评估沿通信路径的网络安全控制（例如，防火墙，入侵检测系统，单向网闸）的配置和有效性；

4) 检查与其他关键系统（和/或子系统或设备）的相互依赖关系以及在关键系统子系统或设备与关键系统之间的信任关系；

5) 检查与基础设施支持系统的相互依赖性，着重关注供电、环境控制和灭火设备损坏的可能性；

6) 解决检查过程中发现的信息或配置的存在问题，包括存在未记载的或被忽视的连接，以及与关键系统（和/或子系统或设备）有关的其他网络安全相关的不合规性。

如果不可能通过巡视检查来跟踪一个通信路径得到完整的结论，可采用电子验证的方法。与巡视方法相比，电子验证方法提供了相当于或优于连接验证的验证检查结果，是一个值得采用的方法（如，数字电压表、物理连续性验证）。巡视应从关键系统开始向外延伸，检查连接的硬件和与关键支持基础设施（如供电、供暖、通风、空调、消防）的相互依存关系。

5. 关键系统的等级划分和保护能力目标

5.1 关键系统的网络安全等级划分

关键系统受到网络攻击后产生后果的严重性取决于关键系统受到损坏时所侵害的客体以及侵害程度。核设施营运单位应对其使用和拥有的关键系统自行认定其网络安全等级。在自行认定的过程中，核设施营运单位应考虑的因素有：(1)关键系统对执行或支持核设施运行安全、核安保和应急准备功能的重要性；(2)核设施本身的类别、运行特性和拥有的核材料的种类和数量。

核设施营运单位应根据下述方法自行认定每个关键系统的网络安全等级：

5.1.1 第一级

核设施营运单位的下述关键系统受到损坏后可能对核设施营运单位的合法权益造成损害，但不损害国家安全、社会秩序和公共利益和环境，应定为第一级，例如：

1) 核设施的办公自动化系统；

2) 行政档案管理系统。

5.1.2 第二级

核设施营运单位的下述关键系统受到损坏后可能对核设施营运单位的合法权益产生严重的损害，或者对社会秩序和公共利益造成损害，但不损害国家安全，应定为第二级，例如：

1) 实物保护等级为二级或持有的核材料数量达到二级实物保护要求的核设施的非核安全相关的运行仪控系统、燃料贮存和操作系统、消防系统、通信系统、核材料衡算系统和实物保护系统;

2) 核设施的生产管理应用系统，包括作业许可和作业指令系统、运行和维护系统和配置管理系统。

5.1.3 第三级

核设施营运单位的下述关键系统受到损坏后可能对社会秩序、公共利益和环境造成严重的损害，或者对国家安全造成损害，应定为第三级，例如：

1) 与涉及国家秘密级信息的系统、设备、材料、技术和数据相关的关键系统；

2) 核电站和其他实物保护等级为一级或持有核材料数量达到一级实物保护要求的核设施的非核安全相关的运行仪控系统、燃料贮存和操作系统、消防系统、通信系统、核材料衡算系统和实物保护系统；

3) 实物保护等级为二级或持有核材料数量达到二级实物保护要求的核设施的下述功能的关键系统：

(1) 保护功能：自动控制核安全保护行动的反应堆或工艺流程保护系统所用的仪控系统；执行核安全保护行动的仪控系统；应急供电等核安全辅助功能的控制系统；核安全应急指挥系统；

(2) 核安全相关功能：过程控制的仪控系统；中央控制室的操作和监视系统，以及报警系统；为中央控制室采集和处理数据的过程计算机系统；冷却剂泵控制系统;辐射监测系统等。

5.1.4 第四级

核设施营运单位的下述关键系统受到损坏后可能对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重的损害，应定为第四级，例如：

1) 与涉及国家机密级信息的系统、设备、材料、技术和数据相关的关键系统；

2) 核电站和其他实物保护等级为一级或持有核材料数量达到一级实物保护要求的核设施的下述功能的：

(1) 保护功能：自动控制核安全保护行动的反应堆或工艺流程保护系统所用的仪控系统；执行核安全保护行动的仪控系统；应急供电等核安全辅助功能的控制系统；核安全应急指挥系统；

(2) 核安全相关功能：过程控制的仪控系统；中央控制室的操作和监视系统，以及报警系统；为中央控制室采集和处理数据的过程计算机系统；冷却剂泵控制系统等。

5.1.5 第五级

核设施营运单位的下述关键系统受到损坏后可能对国家安全造成特别严重的损害，应定为第五级，例如：

1) 与涉及国家绝密级信息、设备、材料、技术和数据相关的关键系统；

2) 核设施营运单位的上级主管单位和有关部门认定的其他数字系统。

5.2 关键系统的网络安全能力目标

核设施营运单位应通过网络安全建设整改使得各等级的关键系统达到以下等级网络安全能力目标：

5.2.1 第一级

经过网络安全建设整改，关键系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力；关键系统遭到损害后，具有恢复系统主要功能的能力。

5.2.2 第二级

经过网络安全建设整改，关键系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对网络安全事件进行记录的能力；系统遭到损害后，具有在一定时间内，恢复部分功能的能力。

5.2.3 第三级

经过网络安全建设整改，关键系统在统一的网络安全方针下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录网络入侵行为的能力；具有对网络安全事件进行响应处置，并能够追踪网络安全责任的能力；在系统遭到损害后，具有较快恢复大部分功能的能力；对于服务保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、网络安全机制等进行集中控管的能力。

5.2.4 第四级

经过网络安全建设整改，关键系统在统一的网络安全方针下具有抵御敌对势力有组织大规模攻击的能力，抵抗严重自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录网络入侵行为的能力；具有对网络安全事件进行快速响应处置，并能够追踪网络安全责任的能力；在系统遭到损害后，具有能够迅速恢复正常运行状态的能力；对于服务保障性要求高的系统，应能迅速恢复正常运行状态；具有对系统资源、用户、网络安全机制等进行集中控管的能力。

5.2.5 第五级

（略）

6. 纵深防御策略和防御架构

6.1 网络安全纵深防御策略

核设施营运单位应制定和执行一个网络安全实施计划，执行和维护集成的纵深防御策略，以确保检测、预防、应对网络攻击，以及在受到网络攻击后减轻后果和恢复系统的能力。为满足这一要求，核设施营运单位应执行一个场址综合的与本导则6.2节所描述的防御架构一致的纵深防御策略，以及本导则7节所要求的网络安全控制。纵深防御策略代表了文档化的，建立多层保护架构保护关键系统的一组互补和冗余的网络安全控制。采用纵深防御策略，可在单一防御方针或网络安全控制的失效时，不至于导致一个SSEP功能的失效。

核设施营运单位可由多种方式来实现纵深防御策略。从网络安全架构的角度出发，纵深防御策略包含了建立多层网络安全边界，保护关键系统和网络免受网络攻击。但是，纵深防御策略不能仅建立多层网络安全边界，而且要建立和维护一个鲁棒性网络安全实施计划，用于评估、保护、预防、检测和减轻对关键系统的攻击，并在受到攻击后恢复系统。

例如，即使发生了一个防御措施失效（例如违反网络安全方针）或保护机制被绕行（例如，被一种未被标示为网络攻击的新病毒），机制仍然存在，并能够对受到感染的关键系统内非授权篡改进行检测和响应，减轻这种篡改的影响，并在发生不利影响前，恢复受感染关键系统的正常运行。

6.2 网络安全防御架构

核设施营运单位的场址综合的网络安全防御方针应采取纵深防御策略，保护关键系统免受设计基准威胁的网络攻击。为实现这一目标，核设施营运单位应整合一个纵深防御架构，建立严格的通信边界（或网络安全层），在边界上采用防御措施，评估、保护、预防、检测和减轻网络攻击，并在受到攻击后恢复系统。一种防御架构的模型包括一系列网络安全措施逐层增强的同心的防御层，在概念上类似于核设施现有的实物保护区（例如，要害区、保护区、控制区）。

例如，可以采用包括五个同心防御层的防御模型。在相邻的同心防御层之间设置边界进行分隔，例如采用防火墙和单向网闸，对跨越边界的数字通信进行监测和限制。需要最高网络安全措施的系统应置于多层边界的内层。但是，这种多层同心防御模型并不总是直接对应于例如要害区、保护区和控制区的物理位置。

核设施营运单位的多层同心防御架构至少应具有下述特性：

1) 与运行安全相关，对运行安全和安保功能重要，以及重要的支持系统和设备，如果被损坏，可能对运行安全，或对运行安全和安保重要的功能带来不利影响的关键系统应置于四级，防御来自所有较低级别防御层的网络攻击；

2) 仅允许从四级至三级关键系统，和三级至二级关键系统的单向数据流；

3) 禁止从低等级关键系统向高等级关键系统的通信要求；

4) 从一个级别向另一个级别的数据通信应经过一个或多个执行每个级别间网络安全方针的边界控制设备；

5) 维护检测、预防、延迟和减轻网络攻击，并在受到攻击后恢复系统的能力；

6)按照核安保导则HABD-004/02第4节和核安保导则HABD-004/03第12节和第13节的要求配置关键系统和边界保护系统；

7) 禁止对支持所涉及关键系统的设计基准功能不必要的应用、服务和协议。

6.3 安全域

核设施营运单位可建立多层网络安全的纵深防御模型，将对运行安全具有同样或类似重要性的关键系统组合形成安全域。根据安全域的风险等级，实施不同等级的网络安全控制。网络安全风险高的安全域位于多层防御模型内层,网络安全风险低的安全域位于多层防御模型外层，同一层防御模型可能包含多个网络安全等级相同的安全域。

为使这一防御模型更加有效地保护关键系统免受网络攻击，核设施营运单位应持续地维持上述特性，同时采用核安保导则HABD-004/02所描述的技术类控制和核安保导则HABD-004/03所描述的运维和管理类控制，以及实行本导则第7节所述的网络安全控制。

虽然上述安全域和多层防御模型可能允许在同一级别内系统之间的通信（例如四级和/或三级），但是，关键系统之间的数字隔离（即在关键系统之间不设置通信路径）是满足网络安全管理要求的最安全的方式。特别是，应在任何可能的条件下使用数字隔离措施。

7. 网络安全控制

核设施营运单位应按照网络安全实施计划实施控制措施，保护关键系统免受设计基准威胁所规定的网络攻击。关键系统潜在的网络安全风险应作为已知的网络风险处理，并在核设施的独特环境下采用 “高于已知风险”标准的网络安全控制。

本导则7.1节（技术控制），7.2节（运维控制）和7.3节（管理控制）为应对潜在的网络安全风险提供一个网络安全控制一览表。在按照系统类型选择基线网络安全控制方面，上述控制是与当前国际成熟和标准的风险评估方法一致的。

为防御潜在的网络风险，核设施营运单位对参照本导则第4.4节（检查和验证）识别的每一个关键系统实行核安保导则HABD-004/03描述的所有控制，并对核安保导则HABD-004/02描述的每一个控制执行下述一个或多个活动：

1) 实行核安保导则HABD-004/02所描述的每个技术类控制；

2) 对于一个未能实行的控制，通过下述方法实行替代控制,以便消除与一个或多个核安保导则HABD-004/02所列的控制相关的威胁：

(1) 记录实行替代控制的基础；

(2) 执行和记录一个对关键系统攻击矢量和攻击树以及替代控制的分析，确认应对措施提供与核安保导则HABD-004/02规定的相应控制同等或更高的保护；

(3) 实行提供至少与核安保导则HABD-004/02规定的相应控制同等保护的替代应对措施。

3) 对关键系统一个或多个特定的网络安全控制进行攻击矢量和攻击树分析，以便提供一个书面的理由来证明该攻击矢量不存在（即不适用），由此可免除这些特定网络安全控制的需求。

在确认实行某一控制对SSEP功能产生不利影响时（例如，系统响应时间出现不可接受的变化，或者不必要地增加系统复杂性），就不应该实行这一控制。在不实行这一控制时，核设施营运单位应按照上述过程，实行替代控制，保护关键系统免受设计基准威胁所规定的网络攻击。对因担心对关键系统性能产生影响而未实行某一控制，导致关键系统具有任何残余的脆弱性时，应实行替代控制消除或减轻脆弱性。

一旦实行了网络安全控制，核设施营运单位的网络安全管理机构应执行10.1.2节所描述的有效性分析和第10.1.3节描述的脆弱性评估/脆弱性扫描，核实已经确保了关键系统免受设计基准威胁所规定的网络攻击。如果这些有效性分析和脆弱性分析发现网络安全实施计划有缺陷，核设施营运单位应实行核安保导则HABD-004/02和核安保导则HABD-004/03未提供的额外的网络安全控制措施。

7.1 技术控制

技术控制是通过包含硬件、固件、操作系统或应用软件在内的非人为机制实现的保障或保护措施。这类控制的属性包括访问控制、审计和问责制、系统和通信保护、检查和验证。实行了技术控制后，动作是预先计划的，或预编程并自动执行对触发事件做出响应的，或被配置以提供既定方针电子执行能力的。这些动作一般不需要人为干预。下述7.1.1至7.1.5节描述了实行网络安全技术控制的方法。

7.1.1 访问控制

访问控制主要包括：

1) 一项文档化的方针，明确目的、适用范围、角色、职责以确保只有被授权的个人，或代表这些个人的进程方可访问关键系统和执行经授权的活动；

2) 促进和维护访问控制方针的规程应描述以下事项：

(1) 访问权的控制（即，何人和何进程可以访问何资源）和访问权限的控制（即，这些个人和进程可以对访问的资源做什么）；

(2) 系统加固（即，识别和移除不必要的系统服务、通信路径、数据存储能力和不安全的通信协议）；

(3) 关键系统账户管理（即，创建、激活、修改、检查、禁用和删除账户）；

(4) 关键系统审计（即，至少每年一次或在发生人员角色、职责变动或系统配置或功能的重大变更时立即进行）；

(5) 职责分离（即，通过指定的访问授权）。

3) 实行核安保导则HABD-004/02第2节描述的网络安全控制。

7.1.2 审计和问责

审计和问责主要包括：

1) 一项文档化的方针，明确目的、适用范围、角色、职责、要求，审计网络安全实施计划各个要素的有效性，对任何发现的问题进行整改，确保网络安全实施计划对保护SSEP功能的有效性；

2) 促进并维护审计与问责方针的规程；

3) 实行核安保导则HABD-004/02第3节介绍的网络安全控制。

7.1.3 系统和通信保护

系统和通信保护包括:

1) 一项文档化的方针，规定目的、范围、职责、分工，减轻可能导致网络攻击的未经授权访问系统或通信，对核设施SSEP功能造成不利影响；

2) 促进并维护系统和通信保护方针以及相关系统和通信保护控制的规程；

3) 实行核安保导则HABD-004/02第4节描述的网络安全控制。

7.1.4 识别与认证

识别与认证保护包括：

1) 采用以下方法进行用户标识管理：

(1) 唯一性地识别每个用户和代表用户的应用程序；

(2) 验证每一个用户和代表用户的应用程序；

(3) 经批准后，代表相关行政部门颁发一个用户标识；

(4) 确保将用户标识发送到预期的当事方；

(5) 在预先规定的静止期后使得用户标识失效；

(6) 用户标识归档。

2) 通过以下方法管理关键系统认证器：

(1) 确定初始认证内容；

(2) 建立分发初始认证器的行政规程，处理认证器的丢失、失效、损坏,以及吊销；

(3) 一旦安装了控制系统，立即更改其默认认证器；

(4) 定期更改和刷新认证器；

3) 实行核安保导则HABD-004/02第5节描述的网络安全控制。

7.1.5 系统加固

关键系统的系统加固包括：

1)一项文档化的方针，明确目的、适用范围、角色、职责，确保安全地配置全部现有的关键系统，以防止未经授权的访问和使用；

2) 促进和维护系统加固方针的规程；

3) 实行核安保导则HABD-004/02第6节中描述的网络安全控制。

7.2 运维控制

运维控制是人为而不是自动化手段执行的保护措施。此类措施的属性包括涉及介质保护、物理和环境保护、人员安全、系统和信息的完整性、应急计划、事故响应、维护、攻击缓解、功能持续性、意识教育与培训和配置管理等方面的活动。运维控制应有文档化的规程，以确保对核设施人员和承包商的行为问责。下述7.2.1 至7.2.9节描述了相关的运维控制。

7.2.1 介质保护

介质保护包括：

1) 一项文档化的方针，明确目的、适用范围、角色、职责，用于介质的接收、储存、处理、清除、移出、再利用和销毁等方面；

2) 促进和维护介质保护方针的规程；

3) 实行核安保导则HABD-004/03第2节描述的网络安全控制。

7.2.2 人员安全

人员安全包括：

1) 一项文档化的方针，规定覆盖人员的范围，网络安全计划的角色、职责和审计机制，以确保具有无人陪同访问（电子或物理）关键系统权限的人员的可信赖性和可靠性；

2) 促进执行人员安全方针的规程；

3) 实行核安保导则HABD-004/03第3节描述的网络安全控制。

7.2.3 系统和信息完整性

系统和信息完整性包括：

1) 一项文档化的方针，明确目的、适用范围、角色、职责，用于确保能够保护贮存在关键系统中的信息；

2) 促进和维护系统和信息完整性方针的规程；

3) 实行核安保导则HABD-004/03第4节描述的网络安全控制。

7.2.4 维护

维护包括：

1) 一项文档化的方针，明确目的、适用范围、角色、职责，用于为确保核设施SSEP功能免受网络攻击所需的对关键系统以及网络安全边界设备相关的日常和预防性维护；

2) 促进和维护维护方针的规程；

3) 实行核安保导则HABD-004/03第5节描述的网络安全控制。

7.2.5 物理和环境保护

物理和环境保护包括：

1) 一项文档化的方针，明确目的、适用范围、角色、职责，能够确保下述；

(1) 减轻非授权物理访问关键系统和有关联的通信路径的风险；

(2) 保护关键系统和有关联的通信路径免受可能导致基础设施支持系统（例如供电；供暖，通风和空调系统；消防系统）故障失效或无法正常运行的环境条件影响。

2) 促进和维护物理和操作环境保护方针的规程；

3) 实行核安保导则HABD-004/03第6节描述的网络安全控制。

7.2.6 事故响应

核设施网络安全实施计划应包括如何执行事故响应和恢复措施，包括：

1) 维护及时检测和应对网络攻击的能力；

2) 减轻网络攻击的后果；

3) 对发现的脆弱性进行整改；

4) 恢复受感染的系统、网络和设备。

在网络攻击时和网络攻击后，核设施营运单位可采取下述方法满足响应和恢复相关的要求：

1) 制定一项事故响应方针，规定目的、范围、职责、分工，用于编制计划和应对网络安全事故，确保将网络攻击的后果减轻到可以接受的水平；

2) 制定规程促进执行事故响应方针和相关的事故响应措施；

3) 制定规程促进执行事故响应调查：

4) 实行核安保导则HABD-004/03第9节描述的网络安全控制。

核设施营运单位应将事故响应和恢复措施并入到网络安全实施计划和应急预案中。

7.2.7 应急计划/SSEP功能的持续性

核设施营运单位满足应急预案要求的方法可包括：

1) 制定和执行一项运行持续性方针，明确目的、适用范围、角色、职责，用于编制和启动网络安全事故恢复计划，确保在一次网络攻击后，能够维护SSEP功能运行的持续性；

2) 制定和执行促进和维护运行持续性方针的规程；

3) 实行核安保导则HABD-004/03第10节描述网络安全控制。

7.2.8 意识教育和培训

网络安全从业人员管理，作为其网络安全实施计划的一部分，核设施营运单位应确保相关的设施人员，包括承包商意识到网络安全的要求，并获得有效履行其岗位职能所必需的培训。核设施营运单位满足意识教育和培训要求的方法可包括：

1) 制定、分发，并定期审查和更新网络安全培训和意识教育计划，明确目的、适用范围、角色、职责，确保设施人员已经接受了能够正确履行其岗位职能的培训；

2) 在需要额外培训的领域，进行差距分析；

3) 采取措施确定是否遵守了方针和规程，如果未能遵守，是否是由培训或意识教育导致的，以及应采取何种纠正措施；

4)制定，分发和定期审查和更新促进和维护网络安全培训和意识教育的规程；

5) 实行核安保导则HABD-004/03第11节描述的网络安全控制。

7.2.9 配置管理

核设施营运单位应在关键系统变更前进行评估，确保实现网络安全管理的目标。核设施营运单位满足配置管理要求的方法可包括：

1) 制定，分发，并每年审查和更新配置管理方针和计划，明确配置管理的目的、适用范围、角色、职责，确保(1)当对一个关键系统变更时，不降低现有的网络安全功能；(2)防止了对一个关键系统的任何未经授权或意外修改。配置管理方针和规程应同时适用于核设施营运单位及供应商双方的人员。

2) 制定促进和维护配置管理方针和计划的规程以及相关的配置管理控制和措施；

3) 实行核安保导则HABD-004/03第12节描述的网络安全控制。

7.3 管理控制

管理控制是注重于风险和网络安全方针环境的管理。这类控制的属性包括系统和服务采购、网络安全评估和风险管理、以及数字资产的添置和变更。下述7.3.1至7.3.2节描述了相关的管理控制。

7.3.1 系统和服务采购

系统和服务采购的方案包括：

1) 制定采购方针，明确目的、适用范围、角色、职责，确保在采购过程中，能够维护所采购系统和服务的完整性；

2) 制定规程，促进和维护执行与供应商网络安全和开发生命周期相关的采购方针；

3) 实行核安保导则HABD-004/03第13节描述的网络安全控制。

7.3.2 威胁评估和风险管理

核设施营运单位的网络安全实施计划应确保网络安全风险得到适当管理和评估。核设施营运单位可建立风险管理和评估计划，执行本导则第6节和第10节描述的步骤，以及核安保导则HABD-004/03第14节描述的网络安全评估与风险管理方法，确保保护了所安装的关键系统免受网络攻击。

8. 《核设施网络安全实施计划》与《核设施实物保护与保密实施计划》的协同执行

核设施营运单位应将网络安全实施计划与《核设施实物保护与保密实施计划》协同执行。为满足《中华人民共和国核材料管制条例》的要求，核设施的实物保护和保密实施计划提出了组织的目标和要求，描述了为实现核设施整体安全态势的综合方案所必要的保护措施。虽然实施网络攻击所使用的方法和工具可能不同于实体攻击，但是产生的后果可能是类似的。此外，网络攻击可被用以配合实体攻击，或者可被用于协助实体攻击，因此，核设施营运单位的防卫方案必须设计得能够保护核设施免受设计基准威胁的针对实体、网络和两者的联合攻击。

为满足上述要求，核设施营运单位可在制定和识别防卫计划所要求的目标组时考虑网络攻击,并且要整合实物和网络安全的管理。这种整合应考虑：

1) 组成一体化联合组织，整合网络安全和实物保护两方面的安全功能,并独立于运行;

2) 分析，识别，并记录实物保护和网络安全的相互依赖性;

3) 制定方针和规程，以整合和统一这些相互依赖的管理;

4) 整合和统一方针和规程，采用相互协调的方案来保护核设施免受设计基准威胁的攻击;

5) 协调实物保护或网络安全设备和仪器的采购;

6) 协调相互依赖的实物保护和网络安全的运行活动以及实物保护和网络安全人员的培训活动;

7) 整合和协调包括实物保护突发事件和网络安全事故响应人员的应急响应能力;

8) 针对这两个任务的需求培训有关的高级管理人员;

9) 使用结合实体和网络模拟攻击的多种现实场景定期进行整个网络安全和实物保护力量的联合演练。

9. 场址网络安全方针和规程

核设施营运单位应制定文档化的场址网络安全方针和规程，用于执行网络安全实施计划。这些方针、规程、场址特定分析，或其他网络安全实施计划的支持性技术文件应记录留存，以备上级主管单位检查组现场调阅。核设施营运单位制定的网络安全实施计划应包括方针和规程，描述整体网络安全控制目标、目的、实践和核设施营运单位内部的角色和职责，以及已制定和维护的网络安全实施计划，使得能够确保SSEP功能免受网络攻击。本导则第3节描述了制定角色和职责规程的方法。

为满足编制方针和执行规程的要求，核设施营运单位可执行：

1) 定期审查场址网络安全方针和规程，确保它们持续地充分应对了所保护关键系统面临的风险；

2) 评估了技术发展相关的问题；

3) 处理了雇员岗位相关的风险；

4) 实行了核安保导则HABD-004/02 和核安保导则HABD-004/03网络安全控制中描述的方针和规程。

10. 网络安全实施计划的维护

核设施营运单位一旦执行了网络安全实施计划，应定期进行网络安全风险的评估和管理。为满足这一要求，核设施营运单位可为关键系统制定全生命周期的网络安全计划，包括：

1) 持续的监测和评估；

2) 配置管理；

3) 变更管理；

4) 变更和环境对网络安全的影响分析；

5) 有效性分析；

6) 持续评估网络安全控制和网络安全实施计划的有效性；

7) 脆弱性评估/扫描；

8) 变更控制；

9) 网络安全实施计划的检查。

下述10.1到10.3节描述了这些要素：

10.1 持续监控与评估

核设施营运单位应持续监控网络安全控制、过程和规程，确认建立的网络安全控制时刻满足实施计划的要求，以及系统、网络、环境的变更或新的威胁并未降低其有效性。

持续监控包括：

1) 在全生命周期内，核实每一个关键系统采用的网络安全措施是否始终到位，并实时评估核实结果；

2) 核实各基础设施未感染恶意代码；

3) 持续地评估核安保导则HABD-004/02 和核安保导则HABD-004/03中要求的网络安全控制的必要性和有效性；

4) 定期检查网络安全实施计划，评估和提高其有效性。

为维持确保关键系统得到充分保护免受网络攻击，持续监控和及时更新网络安全实施计划，反映必要的变化。

10.1.1 持续评估网络安全控制

持续地评估网络安全控制确保在关键系统全生命周期内实行的网络安全控制始终到位，并功能准确。核设施营运单位应定期[在至少每年一次的基础上]或者根据核安保导则HABD-004/02和核安保导则HABD-004/03的描述对每项控制规定的更高的频度要求核实这些网络安全控制的状态。

10.1.2 网络安全控制的有效性分析

核设施营运单位的网络安全管理机构应监控和检查网络安全实施计划和网络安全控制的有效性，确保正确地执行上述计划和控制，并按预期要求操作，以及持续地确保关键系统免受设计基准威胁规定的网络攻击。检查网络安全实施计划和安全控制措施应包括，但不限于：定期测试网络安全控制；重新评估设计基准威胁规定的敌手能力；审计实物保护和网络安全计划与执行规程、运行安全/安保交接活动、测试/维护/标定计划、操作经验；评估为落实上级主管单位和有关部门意见拟采取的整改措施。

从这些分析获得的结果可用于：

1) 改善网络安全实施计划的绩效和有效性；

2) 管理和评估网络安全风险；

3) 改进实行核安保导则HABD-004/02和核安保导则HABD-004/03所叙述的网络安全控制；

4) 确定是否需要新的网络安全控制，用于保护关键系统免受网络攻击；

5) 核实现有网络安全控制在保护关键系统免受网络攻击方面是否运行正常和有效；

6) 促进在网络安全自我评估或专业测评中所发现问题的整改。

核设施营运单位的网络安全管理机构应定期[在至少每年一次的基础上]或者根据核安保导则HABD-004/02 和核安保导则HABD-004/03描述的对每项控制规定更高的具体频度要求检查网络安全控制的有效性。网络安全管理机构应检查关键系统部件的维修记录，确保执行网络安全功能关键系统的性能维持在制造商建议的水平。

10.1.3 脆弱性评估和扫描

核设施营运单位的网络安全管理机构应定期对网络安全控制、防御架构和所有关键系统进行脆弱性评估和扫描，识别网络安全缺陷。核设施营运单位应[至少每季度]或者按照核安保导则HABD-004/02 和核安保导则HABD-004/03中描述的每个网络安全控制的具体要求（取频度高者），或当出现新脆弱性会影响到网络安全实施计划的有效性或关键系统网络安全态势时，对关键系统和环境进行一次脆弱性评估。此外，核设施营运单位应使用最新脆弱性扫描工具和技术，促进扫描工具和脆弱性管理进程的自动部件之间互操作性。

核设施营运单位的网络安全管理机构应分析脆弱性评估和扫描报告，及时处理对场址上可能用于损坏关键系统和可能对SSEP功能带来不利影响的脆弱性。网络安全管理机构应与相关人员分享由脆弱性评估和脆弱性扫描所得到的信息，确保理解、评估和缓解了类似的脆弱性，这些脆弱性可能对相连接的或相类似的关键系统的网络安全和/或对SSEP带来不利影响。

核设施营运单位应确保扫描过程不严重影响SSEP功能，当可能产生这种情况时，如可能，在扫描前，将关键系统撤出服务或者采用复制品（在可行情况下），或者将扫描安排在关键系统检修期间。如果因为有可能严重影响核设施运行安全、核安保和应急准备功能，不能进行脆弱性扫描时，应采用替代控制（例如，提供复制的关键系统、子系统或设备进行扫描）。

10.2 变更控制

变更控制是确保添置或变更关键系统（或者其环境的变更）是以可控和协调的方式进行的。为准备变更管理方案，核设施营运单位应：(1)实行核安保导则HABD-004/03第12节中的网络安全控制(2)建立、维护和记录关键系统的配置基线。这一基线至少包括：现有所有部件清单（如硬件、软件）、外围设备和软件的配置、当前软件版本和机械/硬件部件的开关设置。

有效的变更控制所必要的文档包括，但不限于：说明授权与执行人的配置变更日志、变更的日期和时间、变更目的、变更后网络安全控制有效性的确认、变更过程中的监测记录。

核设施营运单位应采用能够确保SSEP功能免受网络攻击的方式，系统地计划、批准、测试和记录关键系统环境的变更、在环境中添置关键系统和现有关键系统的变更。在运行和维护的生命周期阶段，核设施营运单位应制定规程，使得关键系统的变更采用了相关标准，确保现有网络安全控制的有效性，保护可被用于网络攻击损坏关键系统的任何路径。

在退役阶段，核设施营运单位应采用[设计控制和配置管理规程或其他规程相关的过程]管理运行安全、可靠性和网络安全工程活动。

核安保导则HABD-004/03对变更控制提供了具体的指导意见。

10.2.1 配置管理

核设施营运单位应实行核安保导则HABD-004/03第12节描述的配置管理控制，以及本导则第10.2节所描述的配置和变更管理过程，并编制文档化的规程，确保满足场址网络安全计划的目标。核设施营运单位应确保在关键系统的变更执行前通过了按照本导则10.2节进行的评估，使得能够达到网络安全管理的目标。

在关键系统的运行和维护的生命周期阶段，核设施营运单位应确保采用了变更控制管理规程进行相关变更，避免给系统引入新的脆弱性、弱项或风险。该过程也确保及时和有效地实行了核安保导则HABD-004/02和核安保导则HABD-004/03叙述的网络安全控制。

10.2.2 变更和环境对网络安全的影响分析

核设施营运单位的网络安全管理机构应在执行一项关键系统的设计或配置变更前或出现环境变更时，按照本导则第10.1.2节的要求进行网络安全影响分析，以便管控由此变更引入的潜在风险。

核设施营运单位应评估、记录网络安全影响，并且将其他关键系统（或子系统或设备）的运行安全和实物保护一同并入网络安全影响分析，以及更新和记载：

1) 关键系统和与其相连资产的位置；

2) 连通路径（直接或间接）；

3) 基础设施的相互依赖性；

4) 应用的防御策略，包括防御模型、网络安全控制和其他防御策略措施；

5) 与保护关键系统免受网络攻击相关的场址实物保护和网络安全方针和规程，包括攻击后果减轻、事故响应和系统恢复。

核设施营运单位应将这些影响分析作为变更批准过程的一个部分来执行，以便如本导则10.1.2所要求的，评估变更对关键系统和网络安全控制的网络安全态势影响，以及处理任何发现的偏差，保护关键系统免受设计基准威胁所规定的网络攻击。

核设施营运单位应在关键系统的全生命周期实行管理，实现SSEP功能的网络安全目标，这种管理应通过持续评估威胁和脆弱性及实行核安保导则HABD-004/02和核安保导则HABD-004/03叙述的网络安全控制来实现。此外，核设施营运单位应制定文档化规程，用于筛选、评估、减轻和处置从可信机构所获得的威胁和脆弱性通知。处置也包括实行了相关网络安全控制，减轻新发布的或新发现的威胁和脆弱性。

10.2.3 网络安全再评估和授权

核设施营运单位应制定、执行、记录和维护确保在执行关键系统变更前评估变更的规程，使得网络安全控制仍然有效，以及已经处置了任何可能被用于损坏变更后关键系统的路径，保护关键系统和SSEP功能免受网络攻击。该规程应确保在执行变更前，采用本导则10.1.2节要求的过程，使用已被证明的和可接受的方法评估了添置和变更，确保充分防范了设计基准威胁的网络攻击。

核设施营运单位应在关键系统变更后分发、检查和更新：

1) 一个正式的、文档化的，反映所有的变更或添置的网络安全评估和授权方针，规定目的、适用范围、角色、职责和核设施营运单位内各个部门之间的协调机制；

2) 一个正式的、文档化的用于促进执行网络安全再评估和授权方针和相关控制的规程。

10.2.4 更新网络安全实践

在发生关键系统或环境变更时，核设施营运单位应检查、更新和修订场址网络安全方针、规程、实践、现有网络安全控制、网络架构的详细描述（包括逻辑和物理连接图）、网络安全设备的信息以及其他任何与网络安全实施计划状态或者核安保导则HABD-004/02和核安保导则HABD-004/03叙述的网络安全控制相关信息。这些信息包括：

1) 整个核设施和上级主管单位的与网络安全相关的方针、规程和现行实践的信息；

2) 详细的网络架构和流程图；

3) 网络安全设备或关键系统的配置信息；

4) 整个核设施和上级主管单位正在制定的新的网络安全策略或网络安全控制，以及与其将来部署相关的方针、规程和技术；

5) 场址的物理安全和运维安全计划；

6) 对供应商和合同方的网络安全要求；

7) 发现的潜在攻击路径；

8) 最新的网络安全研究或审计结果（获得对潜在脆弱性的深入观察）；

9) 识别一旦失效或被操纵可能影响关键系统正常工作的基础结构支持系统（例如，供电；供暖、通风和空调、通信、消防）。

10.2.5 关键系统变更和添置的检查和验证测试

核设施营运单位的网络安全管理机构应采用本导则第4.4节叙述的过程对每一个关键系统的变更和添置进行检查和验证测试，并记载检查和验证测试结果。

10.2.6 实行与变更和添置相关的网络安全控制

当环境中引入了新的关键系统后，核设施营运单位应：

1) 将该关键系统部署在本导则第6.2节叙述防御架构的适当防御层；

2) 按照第7.1节叙述的方式实行核安保导则HABD-004/02叙述的网络安全技术控制；

3) 确认应用了核安保导则HABD-004/03叙述的网络安全运维和管理控制，并且对该关键系统是有效的。

当关键系统发生变更后，核设施营运单位应：

1) 核实该关键系统被部署在本导则第6.2节所叙述防御架构的适当的防御层；

2) 进行本导则第10.2.2节所叙述的网络安全影响分析；

3) 核实按照本导则第7.1节所叙述的方式实行了核安保导则HABD-004/02叙述的网络安全技术控制；

4) 核实上述网络安全控制按照本导则10.1.2节所叙述的过程得到了有效的执行；

5) 核实实行了核安保导则HABD-004/03叙述的网络安全运维和管理类控制，并且对该关键系统是有效的。

10.3 网络安全实施计划的检查

核设施营运单位应定期检查网络安全实施计划，并在必要时与《核设施实物保护与保密实施计划》进行协同检查。核设施营运单位应采取必要的措施和执行规程来对网络安全实施计划要素进行自查，并对三级以上（含三级）的关键系统，委托专业测评机构对实施计划的有效性进行测评。核设施营运单位网络安全实施计划的检查包括：

1) 制定和执行包含目的、适用范围、角色、职责、要求的检查预案，用于检查网络安全实施计划要素的有效性；

2) 制定和执行促进和维护检查网络安全实施计划的规程。

核设施营运单位应按照下述要求对网络安全实施计划进行有效性评估:

1)网络安全等级为三级的核设施应每年至少进行一次评估；

2）网络安全等级为四级的核设施应每半年至少进行一次评估；

3) 网络安全等级为五级的核设施应根据特殊网络安全需求进行评估；

4) 网络安全设备与相关设施发生重大变更时，或者网络安全风险和威胁评估结果表明必要时进行重新评估。

核设施营运单位应记载：(1)网络安全实施计划检查结果，包括专业测评机构出具的有效性评估报告；(2)整改建议、管理层关于网络安全实施计划有效性的意见；(3)为前次网络安全实施计划检查提出的整改建议而采取的任何行动。

核设施营运单位应以可审计的形式保留这些报告, 随时供现场检查调阅,以及将计划检查中发现的问题列入场址整改行动计划内。

11. 文档控制和记录保存与处理

核设施营运单位应建立本单位网络安全相关运行记录和支持性文件的保存、利用和处置制度，制定必要的措施和执行规程,确保编制、检查、批准、发布、使用和更新了网络安全有关物项和活动的记录，反映已经完成的工作。

核设施营运单位应保存的记录包括，但不限于所有收集、记录与分析网络和关键系统事件和事故的数字记录、日志文件、审计文件和非数字文件。保存这些记录用于记载访问历史和发现网络攻击源或其他影响关键系统或SSEP功能或两者的网络安全相关事件。核设施营运单位应在记录被取代后，至少将被取代部分的旧记录保存3年。

核设施营运单位应保留记录和支持性技术文件，确保检查人员、审计人员或者辅助人员能够评估网络安全实施计划所描述的、引用的或包含的事件，以及其他与网络安全实施计划各个要素相关的活动。

12. 术语

网络攻击：系指对计算机和通信系统与网络的物理或逻辑(即电子或数字)威胁的一种表现形式。威胁可能来自核设施内部或外部、或具有内部或外部的成分、以及出自恶意的或非恶意目的; 威胁可能包含物理或逻辑的形式、直接或间接的性质; 以及威胁可能对一个关键系统造成直接或间接的不利影响或后果。网络攻击包括企图未经授权访问一个关键系统的服务、资源或信息; 企图损害一个关键系统的完整性、可用性和机密性, 或企图对一个核设施运行安全、核安保或应急准备功能造成不利影响。网络攻击可能以单一攻击或任何组合攻击的形式出现。

损坏：系指丧失数据或系统功能的保密性、完整性或可用性。

设计基准威胁：系指对可能试图对核设施关键系统实施网络攻击恶意行为的潜在内部敌手和外部敌手的属性和特征的描述。

关键系统：系指一个核设施内或核设施外基于数字技术的，执行核设施运行安全，对核设施运行安全、核安保、核应急准备功能重要的系统或与其相关系统。关键系统包括但不限于工控系统、通信系统、网络、场外通信，或支持系统；或者系统的一个子项或一个组成部分，可能包括或含有一个数字设备、通信设备，或支持设备等。

支持设备: 直接或间接支持核设施运行安全、对核设施运行安全、核安保或应急准备功能重要的设备, 以及如果受到损害, 该设备可能对上述功能造成不利影响。支持设备的例子包括, 但不限于用以操作、测试和维修的支持设备和部件。

支持系统: 直接或间接支持核设施运行安全、对核设施运行安全、核安保或应急准备功能重要的系统,以及如果受到损害, 该系统可能对上述功能造成不利影响。支持系统的例子包括, 但不限于供电、供暖、通风和空调、通讯、消防系统等。

纵深防御: 系指部署了多层网络安全措施或方法的网络安全方案, 用以防止一个部件或多个保护层的同时失效。纵深防御可以用多种方式实现。从网络安全架构观点出发, 一种方式可以设置多层边界保护关键系统免受到网络攻击。在采用此种方式后, 只有多种机理的保护层同时失效, 网络攻击才能进入并影响一个关键系统。因此, 纵深防御不仅使用多层边界, 也执行和维护一个有效的网络安全实施计划, 用于评估、保护、响应、防范、检测和减轻对关键系统的攻击, 并及时恢复功能。

安全域： 是为管理和实施保护措施的目的将关键系统进行分组的一种逻辑和物理管理模式。安全域的设置应：

1) 每个安全域均由对核设施的核设施运行安全、核安保和应急准备功能具有同样或类似重要性的系统组成；

2) 同属于一个安全域的关键系统对保护措施具有类似的要求，在确保安全的前提下，可建立 安全域内部通信可信区；

3) 安全域应建立边界，设置满足网络安全要求的数据流控制设备和措施；

4) 安全域可为改进配置的目的划分为分安全域；

每个安全域都可以按照域内关键系统的最高网络安全要求指定一个网络安全等级。如果核设施内存在多个安全域，需要同等程度保护时，可指定为同一个网络安全等级。

附件：《核设施网络安全实施计划》的内容和格式

核设施网络安全实施计划

单位名称： （盖章）

日 期： 年 月 日

国家原子能机构监制