（2020年）核设施网络安全技术类控制（试行） - 法律查询

发文机关国家原子能机构

发文日期2020年09月07日

时效性现行有效

发文字号国原发〔2020〕3号

施行日期2020年09月07日

效力级别部门规范性文件

1. 引言

1.1 目的

本导则对核设施营运单位制定、运行和维护《网络安全实施计划》采取必要的技术类控制措施提供指导, 使得能够实现核设施网络安全的总体目的，确保关键系统免受设计基准威胁所规定的网络攻击损坏而造成下述后果:

1) 对数据和软件完整性或机密性产生不利影响；

2) 拒绝访问系统、服务或数据产生的不利影响；

3) 对系统、网络和相关设备运行的不利影响。

1.2 依据

依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国保守国家秘密法》《中华人民共和国核材料管制条例》制定本导则。

1.3 范围

本导则适用于我国核动力厂（核电厂、核热电厂、核供汽供热厂等）和研究堆、实验堆、临界装置等；核燃料生产、加工、贮存和后处理设施；放射性废物的储存、处理和处置设施营运单位的核设施网络安全管理。

2. 访问控制

2.1 访问控制方针和规程

核设施营运单位应制定、分发和[每年]进行审核与更新文档化的关键系统访问控制方针，包括目的、适用范围、角色、职责和内部协调。核设施营运单位同时也应制定文档化的促进执行访问控制方针及相关安全访问控制的规程。

访问控制方针的目的是确保仅经授权的个人或代表他们的进程可以访问关键系统并执行经授权的操作。访问控制方针包含以下系统特定要求：账户管理、强制访问控制、强制数据流控制、功能分离、最小权限、登录失败处理、系统使用通告、系统登录历史通告、会话锁定、监督和检查/访问控制、准许未经身份认证或授权的行为、自动标识、自动标签、网络接入控制、开放/非安全协议限制、无线接入限制、非安全和恶意连接、便携式和可移动设备接入控制、专用协议透明度、第三方产品使用及控制和外部系统的使用。

访问控制方针具有以下几点要素：

1) 访问权控制（即何人和何种进程可以访问何种资源）与访问权限控制（即这些人和进程对可访问的资源执行何种操作）；

2) 关键系统管理（即创建、激活、修改、检查、禁用和删除账户）；

3) 保护密码/密钥数据库以防止未授权访问高级用户和密码列表；

4) 关键系统[每年]定期审计或当人员角色、职责变动或系统的配置或功能的重大变更时立即进行审计；

5) 职责分离（即，通过指定的访问授权）。

2.2 账户管理

核设施营运单位应：

1) 管理并记录关键系统账户，包括账户的授权、创建、激活、修改、检查、禁用和删除；

2) 依照与[设计控制方案、访问控制计划及其他相关网络安全规程]提供的访问控制列表要求一致的方式检查关键系统账户及[至少每30天一次]对关键系统账户采取所需行动；

3) 要求访问控制权基于岗位职责；

4) 当个人职责变更后进行审核，确保其访问权依旧与其职责功能相符；

5) 定期检查关键系统账户并记录检查结果；

6) 采用支持关键系统账户管理的自动化机制并使得关键系统可自动地启用以下控制：

(1) 删除临时账户、访客账户和应急账户（至少每30天进行一次）；

(2) 停用不活跃账户（至少每30天进行一次）；

(3) 创建并保护账户创建、删除和修改的审计记录；

(4) 记录并向系统管理员通报账户的创建、删除和修改行为，以便于系统管理员知晓任何账户的变动，及时调查研究潜在的网络攻击。

2.3 强制访问控制

核设施营运单位应：

1) 依照已制定的方针及规程，对关键系统的访问控制进行授权；

2) 依照用户的授权范围为其分配对关键系统访问权和访问权限；

3) 规定并记录关键系统的权限功能和网络安全相关信息；

4) 依照已制定的方针及规程，授权个人访问权限功能和网络安全相关信息；

5) 将(植入硬件、软件和固件)权限功能和网络安全相关信息的访问限制到经授权的个人（如网络安全实施计划负责人）；

6) 对关键权限功能和创建用户任何访问权限进行双重授权；

7) 确保强制访问控制机制不对关键系统的运行性能产生不利影响，并在不能使用强制访问控制时采取替代补充的访问控制措施，并予以文档说明。

2.4 强制数据流控制

核设施营运单位应：

1) 按照已制定的防护策略，以近实时的方式，执行并记录关键系统内部及互连系统之间的数据流控制的授权分配；

2) 维护文档以证明核设施营运单位已经分析和处理了关键系统、安全边界设备、边界之间各类准许与禁止的数据流，以及所需的数据流的授权级别是根据防护策略确定的；

3) 采用受保护进程级别（如域型（domain type）强制机制）作为数据流控制决策基础，实施并记录强制数据流控制机制；

4) 实现近实时地检测、威慑、预防和响应非法或未授权的数据流；

5) 防止加密数据绕过内容检查机制；

6) 使用硬件机制实现数据的单向传输；

7) 按照变化的条件或运行考虑决定数据流控制方针，并基于该方针实行动态数据流控制；

8) 配置关键系统，禁止明文传输用户证书，并在访问控制方针中记录该要求。

2.5 功能分离

核设施营运单位应：

1) 按照消除利益冲突以及确保个人角色与职责的独立性的需要，建立划分职责与分离功能的机制并文档化；

2) 通过分配的访问权限执行关键系统功能分离机制；

3) 对关键系统不能支持角色划分要求，个人需要承担关键系统中全部角色的情况，为加强审计，选择替代控制措施并记录选择这些替代控制措施与对策的理由；

4) 将网络安全功能限制于必要的最小数量用户，以确保关键系统的安全。

2.6 最小权限

核设施营运单位应：

1) 为执行特定任务分配给用户一组所需的最具约束性的权利和权限或访问；

2) 配置关键系统以强制分配给用户一组所需的最具约束性的权利和权限或访问；

3) 对关键系统不能支持区分权限的要求，个人需要承担关键系统中全部角色的情况，为加强审计，选择替代控制措施并记录选择这些替代控制措施与对策的理由。

2.7 登录失败处理

核设施营运单位应确保：

1) 执行了网络安全控制，实现对用户无效访问尝试次数的限制。访问控制方针文件应包括此项要求。在特定时间段内，关键系统对无效访问尝试次数的要求可能会不同，例如：在一小时内超过三次无效登录尝试时，该账户被自动锁定。核设施营运单位的系统自动执行锁定模式；

2) 访问控制方针要求，达到最大登录失败次数的账户仅可由非用户本人的授权个人解锁，另外，可采用包含身份鉴别的其他认证技术或机制的替代方案；

3) 对关键系统不能支持账户/节点锁定或延迟登录功能时，应选择替代控制措施或对策，并在访问控制方针中记录选择该替代控制措施与对策的理由和详细说明。如果由于会对性能、安全性或可靠性产生重大的不利影响，关键系统不能支持账户/节点锁定或延迟登录功能时，核设施营运单位可以采用包含以下要点的控制措施或对策：

(1) 对登录失败的实时日志和记录；

(2) 当登录失败次数达到上限时，向对关键系统具有网络安全专业知识的指定人员实时报警。

2.8 系统使用通告

核设施营运单位应确保：

1) 在允许访问系统前显示“系统使用通告”的信息，用于通知潜在用户以下几点：

(1) 用户正在访问一个限制访问的系统；

(2) 对系统的使用过程将接受监控、记录以及审计；

(3) 禁止对关键系统未经授权的使用，如果违反将追究相关责任。使用关键系统即表示认可对相关操作进行监控和记录。

2) 关键系统使用通告信息应在使用前得到批准；

3) 在用户明确采取登录行为前，应持续在屏幕上显示关键系统使用通告信息；

4) 对不支持系统使用通告功能的关键系统，使用实物警示。

2.9 登录历史通告

核设施营运单位应：

1) 配置关键系统使得在成功登录系统后，显示上一次登录的时间和日期以及在此期间发生的登录失败尝试次数；

2) 要求所有终端用户向网络安全实施计划负责人报告任何可疑活动。

2.10 会话锁定

核设施营运单位应配置关键系统：

1) 启用会话锁定[在会话休止30分钟内]；

2) 为用户提供直接启用会话锁定的机制；

3) 保持关键系统的会话锁定状态，直至用户通过身份识别和认证过程重新建立访问；

4) 对关键系统不能支持会话锁定时，应选择替代控制措施或对策，并记录选择该替代控制措施与对策的理由，提供以下功能：

(1) 物理限制对关键系统的访问；

(2) 通过监视和记录对关键系统的物理访问以及时探测和响应入侵行为；

(3) 启用审计和确认措施（如保卫人员巡视、定期监测篡改指示封记），发现对关键系统的未授权访问及修改；

(4) 确保每一个访问关键系统的个人都是有资质的；

(5) 确保这些个人都是可信赖和可靠的。

2.11 监督和检查/访问控制

核设施营运单位应：

1) 记录、监督和检查与访问控制执行和使用相关的用户活动；

2) 在关键系统内采用自动化机制来支持和促进对用户行为的检查。

2.12 准许未经身份认证或授权的行为

核设施营运单位应：

1) 识别并记录在正常和紧急情况下未经身份认证或授权的特定用户可能对关键系统执行的行为；

2) 准许未经身份认证或授权行为仅限于采用与法规要求一致的方式，对核设施运行安全、核安保和核应急准备（SSEP）功能无不利影响的，用于完成任务目的所必要范围内。

2.13 自动标识

核设施营运单位应：

1) 为防止泄露敏感信息，参照相关方针和规程确定和执行标准命名规范；

2) 确保配置了关键系统，采用标准的命名标识电子文件和纸质文件。

2.14 自动标签

核设施营运单位应对存储中、进程中和传输中的电子文件和纸质文件添加标签。

2.15 网络接入控制

核设施营运单位应通过采用介质访问控制地址绑定、物理或电气隔离、静态表单、加密或监控等后果减轻技术保护关键系统，并记录。

2.16 开放/非安全协议限制

核设施营运单位应：

1) 当采用的通信协议缺乏网络安全控制时，应实施额外的保护网络与总线通信免受非授权访问的保护措施，并记录；

2) 除非传输双方在共同的区域边界内，否则禁止启用通信协议；

3) 禁止上述协议发出可将关键系统从一个较高网络安全状态改变到较低网络安全状态的指令。

2.17 无线接入限制

核设施营运单位应：

1) 仅允许通过边界网络安全设备进行无线接入，并将无线接入视作为网络安全边界以外的连接方式；

2) 对于安全相关功能及对安全重要功能的关键系统，禁止使用无线技术；

3) 关闭不使用的无线功能；

4) 建立无线技术的使用限制和执行导则；

5) 记录、认证、授权、监视和控制对关键系统的无线接入，并确保这些无线接入限制符合国家对无线网络使用的防御策略和防御模型；

6)对非授权无线接入点进行扫描[至少每周进行一次]，并禁用发现的非授权无线接入点。

2.18 非安全与恶意连接

核设施营运单位应在部署关键系统期间与关键系统发生变更或修改时，和[每月至少一次],确保关键系统不存在非安全与恶意连接（如与供应商连接和调制解调器）。

2.19 便携式和可移动设备接入控制

核设施营运单位应：

1）建立便携式和可移动设备的使用限制方法和执行导则并文档化；

2）对接入关键系统的便携式和可移动设备进行授权、监视和控制；

3）确保与所支持的关键系统在同一级别上维护便携式和可移动设备的安全性和完整性，并文档化；

4）确保便携式和可移动设备仅用于单一网络安全等级，不在不同网络安全等级之间共用，并文档化。

2.20 专用协议透明度

在专用协议缺乏透明度时（如由于协议是专用的，系统无法检测攻击），核设施营运单位应确保执行替代控制措施或对策，保护关键系统免受设计基准威胁所规定的网络攻击。

2.21 第三方产品使用及控制

核设施营运单位应确保对下述情况采取替代控制措施或对策，应对由于缺乏第三方产品提供的安全功能而引入风险的脆弱性：

(1) 由于供应商许可证和服务协议的原因不允许第三方网络安全方案；

(2) 未经供应商认可或允许安装第三方应用程序，发生缺少服务支持的情况。

2.22 外部系统的使用

核设施营运单位应：

1) 确保不能从较高的网络安全等级，例如三级与四级，访问外部系统；

2) 禁止外部系统访问网络安全等级为三级与四级的关键系统；

3) 除非核设施营运单位核实了外部系统采取了等同的网络安全措施，否则禁止用户使用外部系统访问关键系统或处理、存储及传输受控的信息。

2.23 公开信息

核设施营运单位应：

1) 指定被授权的个人负责在核设施营运单位专供公众访问的系统中发布信息；

2) 对被授权的个人进行培训，以确保发布的公开信息不包含会对SSEP功能产生不利影响或有助于一个敌手发起一次攻击的内容；

3) 确保不对外发布会对SSEP功能产生不利影响或有助于一个敌手发起一次攻击的信息。

3. 审计和问责

3.1 审计和问责方针和规程

核设施营运单位应通过一个独立部门制定、分发和[每年]进行审核与更新以下几项：

1)一项文档化的方针，包括目的、适用范围、角色、职责和内部协调的审计和问责；

2) 一份文档化的规程，促进执行审计和问责方针及相关审计和问责网络安全控制。

3.2 审计事项

核设施营运单位应：

1) 确定并文档化需要审计的SSEP功能相关的关键系统事项；

2) 确定可审计事件清单和每个识别到的可审计事件的审计频度；

3) 至少审计所有关键系统链接、用户登录/退出、配置/软件/固件的变更、审计设置变更、访问权限、权限指令以及任何关键系统的网络安全功能修改；

4) 当关键系统不能支持审计记录自动生成机制或采用非自动审计机制和规程时，选择替代控制措施或对策并记录选择这些替代控制措施与对策的理由；

5) 检查并更新已确定的可审计事件清单 [每年至少一次]；

6) 在关键系统的可审计事件清单中包含特权功能的执行；

7) 防止关键系统重启时清空审计事件记录；

8) 协调各部门间的网络安全审计职能，做好可审计事件的选取工作；

9) 配置所有关键系统，保证可审计事件足以支持网络安全事故的事后调查；

10) 基于当前的威胁信息和核安保导则 HABD-004/01第10.1.2节中描述的有效性分析结果调整关键系统的待审计事件。

3.3 审计记录内容

核设施营运单位应：

1) 确保关键系统产生的审计记录包含充分的信息以确定：发生了什么事件、发生在什么时间、发生在什么地点、事件发生原因及事件结果；

2) 确保关键系统在其审计记录中对不同类型、位置和科目的审计事件提供附加的、更具体的信息的能力；

3) 对整个关键系统的单一部件产生的审计记录内容实施集中结构化管理，以防止关键系统的审计记录被修改或销毁。

3.4 审计记录存储容量

核设施营运单位应合理分配审计记录存储容量，满足网络安全法对审计记录保存的要求，并配置审计功能，降低发生存储空间不足的可能性。

3.5 审计过程失败响应

核设施营运单位应确保：

1) 当分配给审计记录的存储量达到最大存储容量的预定百分比时[基于存储空间消耗速率、单位的资源状况及响应时间]，关键系统应发出警告并记录；

2) 在关键系统不支持审计过程失败响应的情况下，记录执行替代网络安全控制措施的合理性和细节；

3) 核设施营运单位应对审计失败作出响应，包括使用外部系统提供上述能力；

4) 当对关键系统或网络安全边界设备的审计处理能力失效时，应采取以下措施：

(1) 在发生审计处理失败事件时，向核设施营运单位指定的负责人发送警告；

(2) 审计失败被认定为一种关键系统或网络安全边界设备的故障，核设施营运单位应依据技术规范采取处理措施；

(3) 关键系统审计失败时采用以下措施：

a)关闭关键系统；

b)为防止对SSEP功能产生不利影响，必要时转换采用冗余关键系统；

c)只重写最陈旧的审计记录；

d)停止产生审计记录。

3.6 审计记录的检查、分析和报告

核设施营运单位应：

1) 检查并分析关键系统的审计记录[每30天至少进行一次]，找出不恰当或不寻常的活动，并就发现的问题向核设施营运单位指定的负责人进行报告；

2) 当根据核设施营运单位指定的可靠信息源提供的针对核设施营运单位SSEP功能的威胁或风险发生变化时，应调整关键系统中的审计检查、分析和报告级别；

3) 采用关键系统的自动机制将审计记录的审查、分析和报告整合到核设施营运单位对可疑活动调查和应对过程中。

3.7 审计记录精简和报告生成

核设施营运单位应配置和部署所有的关键系统，实现：

1) 提供关键系统审计记录的精简和报告生成能力；

2) 根据事件选择准则，提供对重要事件自动处理审计记录的功能。

对关键系统不支持提供审计记录精简和报告生成能力的情况，核设施营运单位应记录通过其他系统提供上述能力的替代补充网络安全控制措施的理由和细节。

3.8 时间戳

核设施营运单位的关键系统应使用与关键系统同等级或更高保护等级的时钟源或一个内部系统的时钟，为审计记录提供时间戳，核设施营运单位应同步所有关键系统的时钟。

核设施营运单位应通过实物保护网络中存在的与关键系统同等或更高网络安全等级的专用时钟源，同步所有关键系统的时间。这个专用时钟源可以直接或通过简单网络时间协议(SNTP)与可信赖的密钥管理进程连接。

当关键系统不支持时间同步时，核设施营运单位只能采用不引入网络攻击脆弱性或共模故障的时间同步方法，实行替代控制，管理潜在的网络安全风险。

3.9 审计信息保护

核设施营运单位应：

1) 依照符合产生审计信息关键系统的要求，防止审计信息与审计工具受到未经授权的访问、修改和删除；

2) 确保审计信息的保护等级与产生审计信息的设备处于同一等级。

3.10 抗抵赖性

核设施营运单位应保护关键系统及审计记录，防止个人否认其执行过的特定行为。

3.11 审计记录保存

为支持网络安全事故后调查，满足监管部门以及核设施营运单位的记录保存要求，核设施营运单位应依照访问授权程序对记录保存的要求保存审计记录。

3.12 审计记录生成

核设施营运单位的网络安全架构应提供：

1) 对关键系统可审计事件的审计记录生成能力；

2) 授权用户对关键系统特定部件选择可审计事件并生成审计记录的能力；

3) 对关键系统选择的可审计事件清单的审计记录；

4) 将关键系统内多部件的审计记录汇编到的整个场址（逻辑或物理）审计跟踪的能力。该场址审计跟踪中各记录时间戳之间的关联性应在核设施运营单位规定的可容忍范围内。

4. 关键系统及通信保护

4.1 关键系统及通信保护方针和规程:

核设施营运单位应制定、分发和[每年]检查与更新：

1) 一项文档化的方针，包括目的、适用范围、角色、职责和内部协调的关键系统和通信保护；

2) 一份文档化的网络安全控制规程，促进执行关键系统和通信保护方针及相关关键系统和通信保护。

4.2 应用分区和网络安全功能隔离

核设施营运单位应：

1) 配置关键系统，将应用分为用户功能（包括用户界面服务）和关键系统管理功能；

2) 配置关键系统，通过[分区、分域等]包括访问控制以及执行网络安全功能的硬件、软件及固件的集成等手段，完成将网络安全功能与非网络安全功能的隔离；

3) 配置关键系统，采用底层硬件划分机制来促进网络安全功能的隔离；

4) 配置关键系统，将重要的网络安全功能（如强制访问控制功能和数据流控制功能）与非网络安全功能和其他网络安全功能隔离；

5) 配置关键系统，使得网络安全功能隔离边界内的非网络安全功能的数量最小化；

6) 配置关键系统的各网络安全功能为独立模块，避免各模块之间的不必要交互；

7) 以分层结构配置关键系统的网络安全功能，使设计的各层间的交互最小化，避免低层对高层的功能或正确性的依赖；

8) 当关键系统不支持网络安全功能隔离时，核设施营运单位应采取替代网络安全控制，记录选择替代控制或对策的理由，并采用以下措施：

(1) 物理手段限制对关键系统的访问；

(2) 监测并记录关键系统的物理访问，及时发现和响应入侵行为；

(3) 启用审计/确认措施（如保卫人员巡视、防篡改封记的定期监视），检测对关键系统的未授权访问和修改；

(4) 确保访问关键系统的个人具备资质；

(5) 确保访问关键系统的个人是可信赖和可靠的。

4.3 资源共享

核设施营运单位应：

1) 配置关键系统，防止通过共享系统资源发生非授权或无意识的信息传输；

2) 使用物理隔离网络设备，实现并维护第三级和第四级之间的逻辑的隔离以及与其他各级之间的逻辑隔离。

4.4 拒绝服务防护

核设施营运单位应：

1) 配置关键系统，防止或限制拒绝服务攻击造成的影响；

2) 配置关键系统，限制用户对其他关键系统或网络发起拒绝服务攻击的能力；

3) 配置关键系统，管理超额容量、带宽或其他冗余性，限制泛洪攻击和饱和拒绝服务攻击造成的影响。

4.5 资源优先级

核设施营运单位应配置关键系统通过优先级限制资源的使用，防止低优先级进程推迟或干扰高优先级服务进程。

4.6 传输完整性

核设施营运单位应：

1) 配置关键系统，保护传输信息的完整性；

2) 除非采用了替代物理措施，否则应启用加密机制，识别传输和接收过程中发生的信息篡改；

3) 采取以下方法执行防止中间人（MITM）攻击的机制：

(1) 介质访问控制地址绑定——核设施营运单位应通过地址绑定设备和端口，防范MITM攻击和恶意设备连接到网络中；

(2) 网络接入控制——核设施营运单位应通过网络接入控制，防护MITM攻击和恶意设备连接到网络中。

4) 实施监控，检测MITM和地址解析协议中毒；

5) 当关键系统不支持实现传输信息完整性时，核设施营运单位应执行替代控制，记录该替代控制或对策的理由，并采用以下措施：

(1) 物理手段限制对关键系统的访问；

(2) 监测并记录关键系统的物理访问，及时发现和响应入侵行为；

(3) 启用审计/确认措施（如保卫人员巡视、防篡改封记的定期监视），检测对关键系统的未授权访问和修改；

(4) 确保访问关键系统的个人具备资质；

(5) 确保访问关键系统的个人是可信赖和可靠的。

4.7 传输机密性

核设施营运单位应：

1) 配置关键系统,保护传输信息的机密性；

2) 除非采用了替代物理措施，否则应启用加密机制，识别传输和接收过程中发生未经授权的信息披露；

3) 当关键系统不能支持内部传输信息机密性能力时，核设施营运单位应执行替代控制，包括虚拟专用网（VPN）,并记录替代控制和对策的理由，或采用全部以下措施：

(1) 物理手段限制对关键系统的访问；

(2) 监测并记录关键系统的物理访问，及时发现和响应入侵行为；

(3) 启用审计/确认措施（如保卫人员巡视、防篡改封记的定期监视），检测对关键系统的未授权访问和修改；

(4) 确保访问关键系统的个人具备资质；

(5) 确保访问关键系统的个人是可信赖和可靠的。

4.8 可信任路径

核设施营运单位应配置关键系统，在用户与关键系统网络安全功能之间使用可信通信路径，至少包含验证和再验证。

4.9 密钥建立和管理

当需要和依照国家密码主管部门关于密码管理的相关规定，在关键系统中使用密码时，核设施营运单位应尽可能使用有支持程序的自动化机制或手动程序对密码算法和密钥进行管理。

4.10 启用加密

核设施营运单位应遵照国家密码主管部门关于密码管理的相关规定配置关键系统，执行加密机制。

4.11 非授权远程激活服务

核设施营运单位应：

1) 配置关键系统，禁止协作计算机制的远程激活，并为本地用户提供明确的警示；

2) 配置关键系统，采用支持易于使用的模式，提供对摄像头和麦克风的物理隔断，除非这些技术是为了网络安全目的用于控制和监视关键系统。

4.12 网络安全参数传输

核设施营运单位应配置关键系统，使网络安全参数与在关键系统之间交换的信息相关联。

4.13 公钥基础设施证书

核设施营运单位在证书方针的指导下发布公钥证书，或在核设施营运单位批准的供应商提供的证书方针下获取公钥证书。

4.14 移动代码

核设施营运单位应：

1) 基于恶意地使用移动代码可能对关键系统引起危害，建立对移动代码技术的使用限制和执行导则；

2)授权、监视和控制移动代码在关键系统内的使用。

4.15 安全的名称/地址解析服务（验证/可信源）

核设施营运单位应：

1) 配置提供名称/地址解析的系统，与所反馈的解析查询验证数据一起提供附加数据源和数据完整性信息；

2) 配置为关键系统提供名称/地址解析的系统，在该系统作为分布式层次化命名空间的一部分使用时，提供表明子空间安全状态的手段，如果子空间支持安全解析服务，使得能够核实父空间与子空间域之间的信任链。

4.16 安全的名称/地址解析服务（递归方式或缓存解析）

核设施营运单位应：

1) 配置为关键系统提供名称/地址解析服务的系统，当收到来自验证源的信息反馈时，执行数据源的验证和数据完整性的核实；

2) 配置关键系统，使得在收到数据时，无论关键系统是否明确请求此种服务，在解析反馈中执行数据源验证和数据完整性核实。

4.17 架构和提供名称/地址解析服务

核设施营运单位应，为容错和分离服务（即执行角色分离）的逻辑结构，配置集中提供名称/地址解析服务的系统。

4.18 会话真实性

核设施营运单位应配置关键系统，提供保护通信会话真实性的机制。

4.19 瘦节点

核设施营运单位应配置关键系统和控制设备，采用最少功能和数据存储量的处理部件。

4.20 剩余信息机密性

核设施营运单位应配置关键系统以保护剩余信息的机密性。

4.21 多样性/分散性

核设施营运单位应在关键系统的使用中，采用多样性的技术。

4.22 已知状态下的失效

核设施营运单位应：

1) 关键系统失效在已知状况，确保SSEP功能不因关键系统失效受到不利影响；

2) 在关键系统或关键系统部件失效时，防止丧失机密性、完整性和可用性。

5. 身份识别和认证

5.1 身份识别和认证方针和规程

核设施营运单位应制定、分发和[每年]检查与更新：

1) 一项文档化的身份识别和认证的方针，包括目的、适用范围、角色、职责和内部协调，使用识别因子的集合或证书，积极识别潜在的网络用户、主机、应用程序、服务和资源；

2) 一份文档化的规程，用以促进执行身份识别和认证方针及相关的身份识别和认证控制。

身份识别和认证方针和规程为管理用户身份识别和关键系统认证提供指导。其中包含以下：

1) 为每一个用户和代表用户的进程提供唯一标识；

2) 核实每一个用户和代表用户的进程的标识；

3) 由适当的授权代表获得向用户分发标识的授权；

4) 确保用户标识发放到预期的当事人；

5) 禁用超过最大不活跃时限（30天）的用户标识；

6) 用户访问需求终止时，立即禁用用户标识；

7) 归档用户标识；

8) 规定初始认证内容；

9) 建立行政规程，管理初始认证器的分发，丢失、失效或损坏的认证器，以及注销的认证器；

10) 安装控制系统后，立即更改默认的认证器；

11) 更改/更新认证器[每年]。

5.2 用户标识和认证

核设施营运单位应：

1) 实现身份识别和认证技术，唯一地标识和认证个人或代表关键系统用户的进程，确保关键系统、网络安全边界设备、运维环境的物理控制、用户和关键系统的交互是可被唯一标识和认证的，同时代表用户的进程也可同样被唯一认证和识别；

2) 确保认证技术使用了强多因子认证方式，该方式采取保护进程的级别；

3) 当关键系统不支持用户标识和身份认证时，应选择替代控制和记录选择该替代控制的理由，并采用以下措施：

(1) 物理手段限制对关键系统的访问；

(2) 监测并记录关键系统的物理访问，及时发现和响应入侵行为；

(3) 启用审计/确认措施（如保卫人员巡视、防篡改封记的定期监视），检测对关键系统的未授权访问和修改；

(4) 确保访问关键系统的个人具备资质；

(5) 确保访问关键系统的个人是可信赖和可靠的。

4) 执行基于域的安全认证，以及：

(1) 在计划提供服务的网络安全等级内维护域控制器；

(2) 以物理和逻辑的方式保护域控制器，防止非授权访问和篡改；

(3) 禁止处于不同网络安全级别的域之间存在域信任关系；

(4) 禁止域认证协议跨越域边界传输；

(5) 执行基于角色的访问控制，尽可能将用户权限限制于完成他们任务所需的范围。

5) 未启用基于域的认证的情况下，核设施营运单位应：

(1) 记录并证明未启用基于域的安全认证的理由；

(2) 条件可行的情况下执行本地认证；

(3) 在应用支持的场景下，执行最强可能的挑战—应答认证机制；

(4) 执行基于角色的访问控制，尽可能将用户权限限制于完成他们任务所需的范围。

5.3 口令要求

核设施营运单位应确保口令使用时满足：

1) 在关键系统的能力内，口令的长度、强度和复杂度，应平衡网络安全要求和访问操作易用性；

2) 口令的长度和复杂度上应与所需的网络安全要求一致；

3) 定期更换口令[根据系统类型的时间要求，例如工作站每30天一次，要害区的关键系统每3个月一次]；

4) 口令不能在字典中找到，或包含可预测的数字或字母序列；

5) 主口令副本应储存在一个限制访问的安全位置；

6) 仅授权人员可修改主口令。

5.4 非认证的人机交互安全

核设施营运单位应：

1) 在由于操作需要不支持关键系统人机交互（HMI）认证的情况，确保存在充分的物理安全控制，对操作者进行认证、适当的识别和监视，使得能够审计和记录操作者的行为；

2) 在维护非授权的人机交互(NHMI)安全性的同时，控制NHMI的访问，使得不妨害HMI，确保仅授权人员可访问NHMI；

3) 验证SSEP功能未受到身份认证、会话锁定或会话终止控制的不利影响；

4) 对NHMI执行审计，以确保经授权和有资质的人员记录和监视所有的操作者的活动，并为满足审计要求维护历史记录。

5.5 设备标识和认证

核设施营运单位应：

1) 建立设备与关键系统的连接前，执行和记录标识和认证该设备(测试器)的技术；

2) 当关键系统不支持设备标识和认证时（如对串行设备），应选择替代控制和记录选择该替代控制的理由，并采用以下措施：

(1) 物理手段限制对关键系统的访问；

(2) 监测并记录关键系统的物理访问，及时发现和响应入侵行为；

(3) 启用审计/确认措施（如保卫人员巡视、防篡改封记的定期监视），检测对关键系统的未授权访问和修改；

(4) 确保访问关键系统的个人具备资质；

(5) 确保访问关键系统的个人是可信赖和可靠的。

5.6 用户标识管理

核设施营运单位应实现以下几点，以管理和记录用户标识：

1) 为每一位用户提供唯一标识；

2) 核实每一位用户的标识；

3) 从单位官方获得向用户分发标识的授权；

4) 确保用户标识发放到预期的当事人；

5) 禁用超过最大不活跃时限（30天）的用户标识；

6) 依照访问授权规程规定的记录保存要求一致的方式，对用户标识进行归档。

5.7 认证器管理

核设施营运单位应采用下述所有方法，管理关键系统认证器：

1) 规定初始认证器内容，如规定口令长度和复杂度要求、令牌、密钥以及其他认证手段；

2) 建立行政规程，管理初始认证器的分发，丢失、失效或损坏的认证器，以及吊销的认证器；

3) 安装控制系统后，立即更改默认的认证器；

4) 更改/更新认证器[每年]。

5.8 认证器反馈

核设施营运单位应：

1) 确保关键系统隐藏认证过程中的认证反馈信息，防止可能被非授权用户利用和使用；

2) 确保关键系统和关键系统的反馈不提供允许非授权用户破坏认证机制的信息。

5.9 加密模块的认证

核设施营运单位应确保关键系统的认证加密模块满足(国家保密局对密码模块的)相关要求。

6. 系统加固

6.1 删除不必要的服务和程序

核设施营运单位应为与关键系统相关联的每一个计算机系统记录所有必需的应用程序、专用模块、系统服务、脚本、配置文件、数据库和其他软件以及相应配置，包括版本或补丁级别。

核设施营运单位维护一份关键系统需要的服务列表。该列表包括正常和应急操作所要求的所有必要的端口和服务。该列表还包括一份解释或对照检索，以说明每个服务对操作的必要性。仅允许操作必需的服务和程序。

核设施营运单位应验证并记录依照核安保导则 HABD-004/03第4.2节脆弱性修复网络安全控制的要求对所有关键系统进行的补丁修复或危害减轻操作。

为减轻与产品相关的所有脆弱性并维持已建立的网络安全等级，核设施营运单位应记录软件和服务更新或替代方法相关的修复周期。

核设施营运单位应记录关键系统进化过程中操作系统和软件补丁以便追溯，并核实未重新安装或重新激活额外的服务。

在关键系统融合到生产环境前，核设施营运单位应删除或禁用对运行和维护关键系统不需要的软件部件。

核设施营运单位应记录删除或禁用的部件。需要删除或禁用的软件包括，但不限于：

1) 未交付网络设备的设备驱动；

2) 未使用的外设的设备驱动；

3) 消息服务（如MSN、AOLIM等）；

4) 未使用的服务的服务器端或客户端；

5) 除开发用工作站和服务器外，全部用户工作站和服务器的软件编译器；

6) 在控制系统中未使用的语言软件编译器；

7) 未使用的网络和通信协议；

8) 未使用的管理工具、诊断工具、网络管理和系统管理功能；

9) 文件备份、数据库和仅系统开发中使用的应用程序；

10) 所有未使用的数据和配置文件；

11) 例程和脚本；

12) 未使用的文件处理工具（如Microsoft Word、Excel、Power Point、Adobe Acrobat、OpenOffice等）；

13) 未使用的可移动介质支持；

14) 游戏。

6.2 主机入侵检测系统

核设施营运单位应建立、实施和记录下述要求：

1) 配置主机入侵检测系统（HIDS）以使系统可以检测设计基准威胁所规定的网络攻击，包括：属性（如静态文件名称、动态文件名称模板）系统和用户账户、未授权代码执行、主机使用记录和进程许可；

2) 配置HIDS，记录系统和用户账户的连接，使得在发生异常情况会向用户或网络安全人员报警；

3) 配置HIDS，使其不会对关键系统的SSEP功能产生不利影响；

4) 配置安全日志存储设备为追加模式，防止修改存储设备中的记录；

5) 当发现新的安全问题后，对HIDS进行规则更新和补丁升级，维持已建立的系统网络安全级别；

6) 核设施营运单位应保护HIDS配置文件，确保仅授权人员方可访问。

6.3 文件系统和操作系统权限变更

核设施营运单位应建立、实施、记录以下要求：

1) 配置关键系统为最小权限、数据、指令、文件以及账户访问；

2) 配置系统服务，以最小可能权限执行该服务，并记录相应配置；

3) 记录对文件和功能访问的变更或禁用；

4) 确认在发生修复或升级后，基线许可和网络安全设置未被修改。

6.4 硬件配置

核设施营运单位应建立、实施、记录以下要求：

1) 通过软件或物理阻断，禁用不需要的网络、无线和通信端口和可移动介质驱动器或提供工程隔断；

2) 通过口令保护BIOS免受未授权的修改；

3) 在对BIOS的口令保护在技术上不可行时，记录缓解措施；

4) 记录硬件配置；

5) 在合适的地方，使用网络设备限制出入特定地点；

6) 如果设备被软件禁用，允许系统管理员对设备进行重新启用，并记录相应配置；

7) 核实替代设备的配置等于或高于其原设备。

6.5 操作系统、应用程序安装和第三方软件更新

核设施营运单位应建立、执行和记录以下要求：

1) 补丁管理程序、更新进程以及负责安装的个人；

2) [收到脆弱性信息的4小时内]发出影响关键系统的脆弱性通告；

3) 向授权人员通告升级补丁对网络安全的影响；

4) 在执行基线更新或替代前，进行授权；

5) 安装后的关键系统补丁管理程序，包括：方针、规程和缓解策略相关的计划（例如：关键系统供应商通知核设施营运单位不执行发布的补丁）；

6) 测试补丁发布的支持等级。

核设施营运单位应建立、执行并测试以下：

1) 在安装到生产系统前，在非生产系统/设备上接收网络安全更新，并予以测试和确认；

2) 所有对网络安全有影响的更新。

核设施营运单位应确保非生产系统/设备验证过的补丁准确复制到生产线的关键系统中。

7. 术语

网络攻击：系指对计算机和通信系统与网络的物理或逻辑(即电子或数字)威胁的一种表现形式。威胁可能来自核设施内部或外部、或具有内部或外部的成分、以及出自恶意的或非恶意目的; 威胁可能包含物理或逻辑的形式、直接或间接的性质; 以及威胁可能对一个关键系统造成直接或间接的不利影响或后果。网络攻击包括企图未经授权访问一个关键系统的服务、资源或信息; 企图损害一个关键系统的完整性、可用性和机密性, 或企图对一个核设施运行安全、核安保或应急准备功能造成不利影响。网络攻击可能以单一攻击或任何组合攻击的形式出现。

损坏：系指丧失数据或系统功能的保密性、完整性或可用性。

设计基准威胁：系指对可能试图对核设施关键系统实施网络攻击恶意行为的潜在内部敌手和外部敌手的属性和特征的描述。

关键系统：系指一个核设施内或核设施外基于数字技术的，执行核设施运行安全，对核设施运行安全、核安保、核应急准备功能重要的系统或与其相关系统。关键系统包括但不限于工控系统、通信系统、网络、场外通信，或支持系统；或者系统的一个子项或一个组成部分，可能包括或含有一个数字设备、通信设备，或支持设备等。

支持设备: 直接或间接支持核设施运行安全、对核设施运行安全、核安保或应急准备功能重要的设备, 以及如果受到损害, 该设备可能对上述功能造成不利影响。支持设备的例子包括, 但不限于用以操作、测试和维修的支持设备和部件。

支持系统: 直接或间接支持核设施运行安全、对核设施运行安全、核安保或应急准备功能重要的系统,以及如果受到损害, 该系统可能对上述功能造成不利影响。支持系统的例子包括, 但不限于供电、供暖、通风和空调、通讯、消防系统等。

纵深防御: 系指部署了多层网络安全措施或方法的网络安全方案, 用以防止一个部件或多个保护层的同时失效。纵深防御可以用多种方式实现。从网络安全架构观点出发, 一种方式可以设置多层边界保护关键系统免受到网络攻击。在采用此种方式后, 只有多种机理的保护层同时失效, 网络攻击才能进入并影响一个关键系统。因此, 纵深防御不仅使用多层边界, 也执行和维护一个有效的网络安全实施计划, 用于评估、保护、响应、防范、检测和减轻对关键系统的攻击, 并及时恢复功能。

安全域：是为管理和实施保护措施的目的将关键系统进行分组的一种逻辑和物理管理模式。安全域的设置应：

1) 每个安全域均由对核设施的核设施运行安全、核安保和应急准备功能具有同样或类似重要性的系统组成；

2) 同属于一个安全域的关键系统对保护措施具有类似的要求，在确保安全的前提下，可建立安全域内部通信可信区；

3) 安全域应建立边界，设置满足网络安全要求的数据流控制设备和措施；

4) 安全域可为改进配置的目的划分为分安全域；

每个安全域都可以按照域内关键系统的最高网络安全要求指定一个网络安全等级。如果核设施内存在多个安全域，需要同等程度保护时，可指定为同一个网络安全等级。