（2020年）核设施网络安全运维和管理类控制（试行） - 法律查询

发文机关国家原子能机构

发文日期2020年09月07日

时效性现行有效

发文字号国原发〔2020〕3号

施行日期2020年09月07日

效力级别部门规范性文件

1. 引言

1.1 目的

本导则对核设施营运单位制定、运行和维护《网络安全等级保护实施计划》（下称“网络安全实施计划”）, 采取必要的运维和管理控制提供指导, 使得能够实现核设施网络安全等级保护的总体目标，确保关键系统免受设计基准威胁所规定的网络攻击危害而造成下述后果:

1) 对数据和软件完整性或机密性产生不利影响；

2) 拒绝访问系统、服务或数据产生的不利影响；

3) 对系统、网络和相关设备运行的不利影响。

1.2 依据

依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国保守国家秘密法》《中华人民共和国核材料管制条例》制定本导则。

1.3 范围

本导则适用于我国核动力厂（核电厂、核热电厂、核供汽供热厂等）和研究堆、实验堆、临界装置等；核燃料生产、加工、贮存和后处理设施；放射性废物的储存、处理和处置设施营运单位的核设施网络安全管理。

2. 介质保护

2.1 介质保护方针和规程

核设施营运单位应制定、分发和[每年]进行检查和更新：

1) 一项文档化的方针，包含目的、适用范围、角色、职责和核设施营运单位各部门之间协调的介质保护，符合每一个依照场址方针规定的信息类别，并确保至少标识含有能为敌手提供帮助信息的介质，使得能够识别其敏感特性；

2) 一份文档化的规程，用以促进执行介质保护方针及相关介质保护控制，包含方法论，规定目的、适用范围、角色、职责，用于介质的接收、储存、处理、清除、移出、再利用和销毁，确保防止未经授权泄露能用于网络攻击从而对核设施运行安全、核安保、核应急准备(下称“SSEP”）功能产生不利影响的信息。

2.2 介质访问控制

核设施营运单位应将对关键系统介质的访问仅限于授权用户，并予以记录。关键系统介质包括数字介质（如磁盘、磁带、外部或移动硬盘、闪存/U盘、CD和DVD）和非数字介质（如纸张、微缩胶片）。

核设施营运单位应将对具有信息存储能力的移动计算机和通讯设备（如笔记本电脑、个人数字化辅助工具、手机）上的任何网络安全信息的访问仅限于授权用户。

核设施营运单位应采用自动化机制限制对介质存储区域的访问，并对访问尝试和访问许可进行审计。

2.3 介质标签/标识

核设施营运单位应根据信息分类，标识可移动的关键系统介质和关键系统输出，说明分发限制和处理注意事项。应依照易读的介质标签标准命名规范标识介质外部输出设备，包括视频显示设备。

2.4 介质存储

核设施营运单位应采取与数据的敏感性相一致的级别对关键系统介质进行物理保护和安全存储。

2.5 介质运输

核设施营运单位应采取与数据的敏感性相一致的级别对运输过程中的关键系统介质进行物理保护和存储。

核设施营运单位应在控制区域外运输过程中保护并控制关键系统介质，并由授权人员负责运输。

核设施营运单位应使用规定的实物保护措施（如加锁容器、由保卫人员运输、加密），在控制区域外运输过程中保护数字和非数字介质。

核设施营运单位应使用规定的记录系统，记录与关键系统介质运输相关的活动。

核设施营运单位应在关键系统介质运输全过程中使用指定的监护人员。

2.6 介质的清除和销毁

核设施营运单位应在销毁或再利用前，对数字和非数字关键系统介质进行数据清除。核设施营运单位应采用设计基准威胁所规定敌手不可重建的方法对关键系统介质进行数据清除，销毁敏感信息。

核设施营运单位应识别需要进行数据清除的关键系统介质，以及将用于该过程中的技术和规程。在销毁或发放再利用前对识别的关键系统介质（包括纸质和数字的）进行数据清除。实行该控制以确保介质的数据清除过程是始终如一的。核设施营运单位应跟踪、记录并核实介质数据清除和销毁行动，并[每季度]对已清除的数据进行测试，确保设备和规程功能正确。

3. 人员安全

3.1 人员安全方针和规程

核设施营运单位应对那些拥有(可能对关键系统或SSEP功能带来不利影响的）关键系统或通信系统的访问权、广博知识、管理控制权的个人，在他们获得这些系统的访问权之前，审查无人陪同访问授权的正式许可。

3.2 人员的离职或换岗

在人员离职或换岗时，核设施营运单位应立即执行下述行动：

1) 终止其所有关键系统和相关系统的访问权；

2) 进行离职面谈；

3) 向适当的人员通报人员的变更和终止的现状；

4) 回收其所有网络安全相关的单位财产；

5) 保留曾被离职人员控制的单位信息和关键系统的访问路径。

4. 系统和信息完整性

4.1 系统和信息完整性方针和规程

核设施营运单位应制定、分发和[每年]检查与更新：

1) 一项文档化的系统和信息完整性方针，包含目的、适用范围、角色、职责和核设施营运单位内各部门之间协调；

2) 一份文档化的规程，促进执行系统和信息完整性保护方针及相关系统和信息完整性网络安全控制。

核设施营运单位的系统和信息完整性规程应包含以下属性：

1) 检测发生在已建的防护层边界和网络安全层内的恶意或可疑访问控制或网络异常；

2) 采用与被监控网络独立的通讯机制向适当的人员发出检测到恶意或可疑活动的警报；

3) 对恶意行为进行隔离和遏制；

4) 使恶意行为无害化；

5) 集中记录网络安全事件，支持关联分析；

6) 为安全地监控和管理提供安保机制；

7) 对所有网络安全相关设备提供时钟同步；

8) 对监控网络（或相关系统/关键系统）提供高可靠性的物理或逻辑安全环境，该物理或逻辑安全环境的水平与被监控的相关系统/关键系统或网络相等同或更优，并且机理不同。

4.2 脆弱性修复

核设施营运单位应建立、实现、记录以下规程：

1) 识别网络安全警报和脆弱性评估过程；

2) 就脆弱性信息进行沟通；

3) 采用配置管理过程迅速修复脆弱性；

4) 修复关键系统中的网络安全脆弱性；

5) 为验证在关键系统投入生产前已消除脆弱性，进行关键系统的脆弱性扫描和评估。

在执行修复之前，核设施营运单位应记录并测试与脆弱性修复相关的软件更新，确定其有效性和对关键系统的潜在副作用。核设施营运单位应在其整改行动计划中反映脆弱性修复信息。

4.3 恶意代码防护

核设施营运单位应在网络上的安全边界设备输入端和输出端、关键系统（如果适用）、工作站、服务器和移动计算设备（即刻度器）等位置，建立、部署和记录实时恶意代码防护机制，以检测、消除由下述导致的恶意代码：

1) 关键系统间、关键系统子系统/部件间、移动介质间或其他常见的装置间的数据通讯；

2) 利用关键系统脆弱性。

每当发布了新版本后，核设施营运单位应根据配置管理方针和规程，记录并更新恶意代码防护机制（包括签名定义）。

核设施营运单位应记录并配置恶意代码防护机制，确保：

1) 每周对安全边界设备、关键系统、工作站、服务器和移动计算设备进行扫描，并在下载、打开或执行外源文件时进行实时扫描；

2) 对受感染文件进行杀毒和隔离。

作为纵深防御策略的组成部分，核设施营运单位应使用和记录从多个供应商获得的恶意代码防护软件产品，并对恶意代码检测和清除中收到的误报以及对关键系统可用性产生的潜在影响进行处理。

核设施营运单位应对恶意代码防护机制进行集中管理，实现：

1) 关键系统应能防止用户绕过恶意代码防护机制；

2) 仅在特权用户指导下关键系统方可更新恶意代码防护机制。

核设施营运单位应禁止用户将未授权的移动介质接入关键系统。

核设施营运单位应禁用所有与关键系统操作无关的介质接口（如USB接口）。

在关键系统遇到网络安全方针未明确允许的数据时，核设施营运单位应记录和执行恶意代码防护机制，识别含有恶意代码的数据并作出相应的响应。

4.4 监视工具和技术

核设施营运单位应：

1) 监视关键系统上发生的事件；

2) 检测对关键系统的攻击；

3) 检测并屏蔽未授权连接；

4) 依照信息保存要求保存事件日志；

5) 识别未授权使用关键系统；

6) 为实现下述能力而部署的提供所有关键系统透明度的监视设备：

(1) 收集信息用以检测攻击、未授权行为和访问，以及授权的访问；

(2) 跟踪核设施营运单位关注的业务交互的特定类型。

在核设施营运单位（依据国家有关部门发布的安全相关信息）确认场址的SSEP存在风险上升的迹象时，核设施营运单位应提高监视活动的级别。

核设施营运单位应将单一的入侵检测工具互连并配置到使用通用协议的全厂入侵检测系统中，并记录在案。

核设施营运单位应定期，和在其每次维护或停运状态后重新返回服务前，测试网络入侵检测和防御系统。

核设施营运单位应采用自动化工具以支持近实时事件分析，并记录在案。

为对攻击做出快速响应，核设施营运单位应使用自动化工具将入侵检测工具集成到访问控制和数据流控制机制中，上述机制应能支持攻击隔离和清除的重新配置。

核设施营运单位应对不寻常或非授权活动或条件的入站和出站通信进行监视、记录日志和文档化。当出现失效或潜在失效的迹象时，监控功能应提供实时的报警。

核设施营运单位应具有防止用户绕过入侵检测和防御的能力。

核设施营运单位应将可疑事件通知事件响应人员并记录，并采取对SSEP功能破坏性最小的行动，调查和终止可疑事件。

核设施营运单位应记录和保护入侵监视工具获得的信息，使其免受非授权访问、修改和删除。

核设施营运单位应使用合格的网络安全人员，随机测试入侵检测工具，并记录。

核设施营运单位应制定规则确保加密流量对监视工具是可视的，并记录。

核设施营运单位应分析并记录在关键系统外部边界（即系统边缘）和在关键系统基础设施中选定的内部节点的出站通讯流量，以便发现异常。

核设施营运单位应确保监测工具和技术的使用不对关键系统的功能产生不利影响，以及在监测工具和技术不能使用时，采用充分的替代控制予以补偿，并记录。

4.5 网络安全警报及公告

核设施营运单位应：

1) 持续地及时接收从上级主管单位或国家和地方相关部门和核设施营运单位指定的可信的外部组织发来的安全警报、通报、公告和指令，例如第三方安全警报通知服务和供应商安全警报清单，并维护这些文档的副本；

2) 为按照关键系统网络安全控制的方式处理上述安全警报、通报、公告和指令(核安保导则HABD-004/01第4节)，独立评估和确定需求、严重性、方法和时限；

3) 在核设施制定的指导时限内，核设施营运单位应：

(1) 产生并记录内部网络安全警报、公告和必要的指令；

(2) 向指定人员分发网络安全警报、公告和指令，以便采取行动，以及跟踪其状态和完成情况，并记录；

(3) 按照已设定的时限执行并记录网络安全指令或采取替代的网络安全措施；

(4) 根据[配置管理过程]执行并记录任何需要的缓解措施；

(5) 根据需要，采取自动化或其他机制（如邮件列表），使[场址]可利用安全警报和公告信息。

4.6 网络安全功能验证

核设施营运单位应验证并记录关键系统网络安全功能的正确操作。在发生启动与重启，适当权限的用户发出指令，[每周]，以及发现异常时, 如可能进行上述验证和记录。

若技术可行，关键系统应提供关于网络安全测试出错的通知，核设施营运单位应记录这些情况。

若技术可行，关键系统应提供对分布式网络安全测试（distributed security testing）管理的自动化支持，核设施营运单位应记录测试结果。

在关键系统不支持使用分布式网络安全测试管理的自动化机制时，核设施营运单位应记录采用替代（补偿）控制的理由。此外，测试网络安全功能的非自动化机制和规程包括采用以下：

1) 有资质的人员；

2) 可信赖和可靠的人员；

3) 测试规程和结果；

4) 对关键系统的物理访问限制；

5) 监测并记录对关键系统的物理访问（以便及时探测和响应入侵行为）；

6) 审计和确认措施（如保卫人员巡视、定期监视防篡改封记）。

4.7 软件和信息的完整性

核设施营运单位应：

1) 检测并记录未授权的软件和信息变更；

2) 若技术可行，采用硬件访问控制措施（如硬接线开关），以防止未授权的软件变更；

3) 应[每季度]依照生产商或供应商的推荐方案，通过进行常规的完整性、操作和功能扫描，重新评估并记录软件和信息的完整性、操作和功能；

4) 若技术可行，采用自动化工具向指定人员提供完整性检测期间发现的不符合项通告，并记录；

5) 使用和记录集中管理的完整性验证工具；

6) 应对系统部件采用篡改指示物理包装或封记；

7) 当使用了篡改指示包装时，应定期检查封记；

8) 确保并记录完整性检测应用软件的使用未对关键系统的操作功能产生不利影响，并在不能使用完整性检测应用软件时实行替代控制。

4.8 信息输入限制

核设施营运单位应确保：

1) 仅经授权的信息源可向关键系统输入信息；

2) 尽可能地在靠近信息源产生的位置自动检测信息的精确性、完整性、有效性和真实性。记录检测关键系统输入有效语法（如字符集、长度、数值范围、可接受的值）的规则，并将规则用于验证输入是否符合具体规定的格式和内容。对传输给解析器的输入信息进行筛选，防止内容被无意地解析为指令。

4.9 错误处理

核设施营运单位应对关键系统执行控制并记录，以确保：

1) 识别错误条件；

2) 生成的错误消息为整改行动提供必要的信息，但不泄露可能被敌手利用的潜在有害信息；

3) 仅对授权人员透露错误消息；

4) 禁止在错误日志或相关管理消息中含有敏感信息（如口令）。

4.10 信息输出处理和保存

核设施营运单位应保存关键系统的输出信息以确保敏感信息仅向授权人员公开，并进行相应的处理和处置以确保输出信息未透露给未授权人员。

4.11 预期失效响应

核设施营运单位应通过遵循技术规范、预防性维护程序、维护规则程序、网络安全实施计划、应急预案或整改行动计划来保护关键系统的可用性。当这些程序不适用时，可通过下述提供关键系统的可用性：

1)在需要时，更换部件，以及采用切换部件在用和备用角色的机制；

2) 考虑在特定运维环境中部件的平均无故障时间；

3) 重要的备用部件有充分库存。

5. 维护

5.1 系统维护方针和规程

核设施营运单位应制定、分发和[每年]检查：

1) 一项文档化的关键系统维护方针，包含目的、适用范围、角色、职责和核设施营运单位各部门之间协调；

2) 一份文档化的规程，促进执行关键系统维护方针以及相关的维护控制；

3) 系统维护方针和规程覆盖所有网络安全边界内的资产，包括：

(1) 控制区：工厂最外层保护边界，在工厂保护区之外；

(2) 保护区：核设施边界之内，由实体屏障包围，出入受到控制的区域；

(3) 要害区：拥有任何设备、系统、装置或材料的区域，其故障、损毁或泄漏可能会使公众健康和社会安全直接或间接地受到辐射危害。要害区还可能拥有在发生上述故障、损毁或泄漏后，用以执行保护公众健康和社会安全功能所需的设备和系统；

(4) 公共出入区：工厂实物保护控制以外的区域。

5.2 维护工具

核设施营运单位应：

1) 批准、监视和记录关键系统维护工具的使用；

2) 检查和记录由维护人员携入设施的维护工具（如：诊断与测试设备和移动装置，如笔记本电脑）进行明显不适当变更；

3) 在介质和移动设备（例如含有诊断工具的笔记本电脑、关键系统和相关系统）及其测试程序或软件被用于关键系统前，对他们进行恶意代码的测试，并记录在案；

4) 采用以下方法之一，控制、预防并记录擅自移出维护设备：

(1) 核实设备中未含核设施营运单位的信息，并在设备再次携带进入设施前进行设备完整性验证；

(2) 对设备进行清除或销毁；

(3) 设备保存在设施中；

(4) 获得授权人员明确的批准从设施移出设备。

5) 采取[自动/手动]机制使得维护工具仅限于授权人员使用，并在关键系统或支持设备（如笔记本电脑）不支持自动机制时采取手动机制。

5.3 执行维护和测试活动人员

核设施营运单位应：

1) 根据其访问授权规程和内部威胁缓解规程，维护并记录一份最新的授权维护人员名单；

2) 执行[自动机制或非自动机制]，用以检测被陪同人员未经授权的使用或执行命令，并记录；或指定核设施营运单位人员进行监督，该人员应具有监督被陪同人员与关键系统交互操作所必要的访问权限和知识，并记录。

6. 物理和环境保护

6.1 物理和环境保护方针及规程

当关键系统置于场址保护区外时，核设施营运单位应制定、执行和[每年]检查与更新：

1) 一项文档化的物理和环境保护的方针，包含:

(1) 与保护关键系统有关的物理安全计划的目的；

(2) 适用于本单位人员和第三方承包商的物理安全计划的范围；

(3) 物理安全计划的角色、职责和管理问责体系，确保遵守核设施营运单位的网络安全方针和其他法规承诺。

2) 一份文档化的规程，促进执行物理和环境保护方针及相关物理和运维环境保护的网络安全控制。

6.2 第三方/被陪同访问

核设施营运单位应：

1) 进行筛查、强制执行并记录对第三方人员（包括服务承包商和其他提供控制系统运维、开发、信息技术服务、外包应用软件和网络与网络安全管理的组织）的安保控制，以及监视服务提供人员的行为和遵守情况；

2) 采购相关合同和协议文档中应明确包括人员安全控制的要求。

6.3 物理和环境保护

核设施营运单位应确保和记录物理访问关键系统的安保措施。采用实物保护控制（如实物、锁具、驱动器）限制对关键系统的访问，并预防可能影响关键系统正确性能的运维环境恶化（如温度、湿度、粉尘、震动和电磁或射频干扰）。

6.4 物理访问认证

核设施营运单位应：

1) 制定并维护获得关键系统和网络安全边界系统所在设施访问授权的人员清单，并向他们分发授权证书（如：胸牌、身份证件、智能卡等）；

2) 依照访问授权规程，指定组织内的管理人员检查、批准上述授权人员清单和授权证书。

6.5 物理访问控制

核设施营运单位应：

1) 控制所有通向关键系统所在位置的出入口（包括指定的入口和出口），以及在准许访问这些区域前认证人员的访问授权；

2) 批准人员访问特权，并强制执行关键系统变更相关的物理和逻辑访问限制；

3) 通过使用电子设备和软件，控制逻辑访问；

4) 产生、保存和检查访问限制相关的记录；

5) 确保仅有资质和授权的人员可以访问关键系统；

6) 对关键系统的物理访问控制应独立于设施实物保护出入口控制。

6.6 传输媒介的访问控制

核设施营运单位应控制对关键系统通信路径的物理访问，并记录。

6.7 显示媒介的访问控制

核设施营运单位应控制和记录对显示可能有助于敌手信息的关键系统的物理访问，并防止未授权人员观察显示输出。

6.8 监视物理访问

核设施营运单位应：

1) 监视并记录对关键系统和网络安全边界的物理访问，以检测和响应物理安全事故；

2) 检查物理访问日志；

3) 将检查结果和核设施营运单位事故响应人员的调查情况进行协调；

4) 实时监视物理入侵警报和监视设备；

5) 采用自动化机制评估和识别潜在的入侵行为，并启用适当的响应措施；

6) 为访问监视设备（如摄像头）提供充足照明。

6.9 访客控制和记录

核设施营运单位应：

1) 通过在进入前认证身份和确认访客的访问授权，控制和记录其对关键系统的物理访问；

2) 对访客全程陪同并监控其行为，以防对SSEP功能带来不利影响。

7. 防御策略

核设施营运单位应执行和记录其防御策略，该防御策略规定与每一网络安全等级相关的保护控制。

核设施营运单位应执行和记录识别数据传输逻辑边界和相关通信协议的防御模型。该模型规定了各级和单一关键系统之间所允许连通的级别。将防御策略要素融入关键系统。使用为满足设计指标和运行要求所需执行功能的风险相称的方案，实施网络安全控制。该方案用来威慑可能的攻击方法并确保提供充分的保护。纵深防御策略采用的要素包括：物理安全计划，应急响应计划，和管理、运维与技术控制。实行对关键系统的网络安全控制，限制从一个级别向另一级别的数据流，从而保护关键系统免受较低网络安全等级发起的网络攻击。采用网络安全控制和纵深防御策略来检测、延迟、缓解网络攻击和在网络攻击后的恢复。

通过一系列逐步增强防御级别的网络架构来组建网络安全防御模型。该模型利用了物理安全计划中所执行的物理和行政管理安全控制。诸如加锁的门、加锁的柜子或在场址保护区或要害区内的物理位置等的实体屏障也被用于降低风险。

核安保导则HABD-004/01第6节描述了核设施营运单位防御模型的具体要求。

8. 纵深防御

核设施营运单位应执行和记录防御策略，及以下：

1) 为执行核设施运行安全、对安全重要的、安保功能的关键系统指定高等级（即四级）的网络安全防护，并保护上述关键系统免受低防御等级的网络攻击；

2) 防止对高等级（即四级）关键系统的远程访问；

3) 防止从一个网络安全等级到另一个网络安全等级的地址欺骗；

4) 仅允许从四级到三级和从三级到二级的单向数据流；

5) 禁止由较低网络安全等级的数字资产向较高网络安全等级的数字资产发起通信；

6) 四级关键系统之间的双向通信(双路)仅可在四级网络安全等级内进行；

7) 对任何与核设施运行安全系统间具有双向通信的非核设施运行安全系统按照核设施运行安全系统的等级提供保护；

8) 在不同网络安全等级边界和边界内，提供入侵防御和检测能力；

9) 确保使用双向通信的纵深防御等级间，数据从一个等级流向其他等级时，只能通过一个设备，该设备使得能够在各等级之间强制执行网络安全方针，并检测、防止、延迟和缓解来自较低等级的网络攻击，以及恢复系统；

10) 从较低网络安全等级向较高网络安全等级移动数据、软件、固件和设备时，使用信任等级等于或高于需要安装数据、代码、信息或者连接其他设备的设备信任等级的文档化的、有效的过程或规程，确保数据、软件、固件或设备无已知的恶意代码、木马病毒、蠕虫病毒或其他恶意攻击。

核设施营运单位应执行和记录在较高网络安全等级与较低网络安全等级之间网络安全边界控制设备，包括以下要素：

1) 物理和逻辑上对关键系统进行防护和加固，以防止发生未授权的访问或篡改；

2) 依照核安保导则HABD-004/02，采用安全的通信管理和加密措施；

3) 提供日志记录和报警能力；

4) 提供入侵检测和预防能力；

5) 检测并阻止恶意软件在边界之间传播；

6) 具有比用于跨边界通信协议进行状态检测更多的能力,如通过堡垒主机或应用代理服务器；

7) 除应用数据单向网闸情况外，包括一套规则，至少具有下述：

(1) 配置拒绝所有流量，除非该流量有明确授权；

(2) 提供协议、源和目的过滤（如IP地址、MAC地址、TCP端口以及UDP端口）；

(3) 屏蔽应基于协议支持的源地址和目的地址对、服务以及端口；

(4) 默认禁止输入与输出流量；

(5) 通过批准的设备（如笔记本电脑）直接连接到防火墙或通过专用接口连接到场址中央网络进行管理；

(6) 禁止通过任何管理接口（managed interface)对防火墙的直接通信；

(7) 记录关于允许与拒绝连接、流量监视、分析和入侵检测的信息；

(8) 将日志发送到中央日志记录服务器；

(9) 强制执行目的地授权，和通过仅允许用户访问行使其职能所必要的关键系统限制用户；

(10) 为流量监视、分析和入侵检测而记录信息流；

(11) 由对所用技术经过充分培训的授权人员进行部署和维护；

(12) 在发生严重的网络事故或在指定授权人员的指导下，一旦决定允许由合作网络服务本单位的采购和控制网络时，应记录和设计最低限度的连接；

(13) 在部署、例行修订规则集和更新操作防火墙所需的操作软件和固件前，应对其进行评估、分析和测试；

(14) 从下述时钟源接受时间同步信息，包括：网络中已有的可信、专用的时钟源，直接连接在关键系统的或通过简单网络时钟协议（SNTP）的时钟源，和可信密钥管理过程的时钟源；

(15) 与关键系统进行时钟同步，提供事件关联；

(16) 能够将日志信息以标准格式转发到网络安全日志记录服务器或使用外部设备提供日志（如在使用单向网闸情况下）；

(17) 由在检测恶意或异常活动分析方面经过适当培训的人员例行检查日志；

(18) [每季度]更新；

(19) 仅使用物理和逻辑防护和加固过的计算设备和信息流控制，防止对数据流的未授权访问或篡改；

(20) 禁止任何类型的信息（包括握手协议）由较低网络安全等级的网络、关键系统或关键系统的子系统或部件直接传输到四级的网络、关键系统或关键系统的子系统或部件；

(21) 采取措施以防止病毒或其他恶意或无用程序在网络安全等级之间传播信息。

9. 事故响应

应由[关键系统、关键系统的子系统或部件、网络防护设备]执行拒绝、威慑和检测网络攻击的必要措施，这些措施应遵循核设施营运单位的防御策略。

核设施营运单位应建立、执行并记录网络安全控制，用以拒绝、威慑和检测对可能易受网络攻击的关键系统的恶意威胁和状况。采用网络安全控制应对假设的威胁。核设施营运单位应建立、执行并记录用于事故响应的方法，以及逐级向事故响应人员、上级主管单位和国家有关部门上报。

核设施营运单位的整改行动计划应评估、跟踪、管控和规定整改行动，以及记录网络攻击。

核设施营运单位应编制管控网络事故响应的规程，直接及时的识别、检测和应对网络攻击。当发现可疑的网络攻击事件时，响应指令应直接通报给值班的运行负责人、场址实物保护负责人、核信息技术管理员和网络安全事故响应团队等，并启动其他的应急响应活动。

核设施营运单位应编制指导遏制行动的规程。这些措施包含（但不局限于）下述所必要的活动：

1) 在执行操作决策的过程中协助操作；

2) 如可能，经值班运行负责人批准后隔离受感染的关键系统；

3) 验证周围或互联的关键系统、网络以及支持系统未受感染、功能退化或损坏；

清除行动应识别攻击和损害路径。核设施营运单位应采用灾难恢复规程对关键系统进行补丁修复、清除、重新加载或更换。核设施营运单位的执行规程应能指导采取缓解网络攻击后果所必要的措施。

恢复活动包括，但不限于功能恢复的测试、网络安全功能和要求的测试、恢复到运行状态、可操作性验证以及返回服务激活状态。按照核设施营运单位的规程修复受到网络攻击影响的系统、网络或设备和使其重返运行状态。核设施营运单位应依照整改行动计划执行事故后分析。

核设施营运单位应按照国家有关规定，以及本单位相关规程向上级主管单位和有关部门报告网络攻击事故。

9.1 事故响应方针和规程

核设施营运单位应制定、分发和[每年]进行检查与更新：

1) 一项文档化的事故响应方针，包含目的、适用范围、角色、职责和核设施营运单位内各部门之间协调；

2）一份文档化的规程，促进执行事故响应方针及相关事故响应的控制，规程内容包括：

(1) 通知员工和操作员；

(2) 确定未预期迹象或故障状态是否由正在进行的网络攻击所导致的；

(3) 对由早前在关键系统中潜伏的网络攻击引起的事件，采用整改行动计划执行分析，识别入侵机制和采取修复脆弱性步骤；

(4) 建立专用于从网络攻击中快速恢复的灾难恢复计划，包括允许快速重建关键系统的系统备份。

3) 演练恢复计划，确保计划的有效性，同时相关人员充分熟悉如何使用恢复计划，并在演练、综合演习和实际事故经验教训的基础上修订恢复计划。

核设施营运单位制定事故响应方针、规程和计划的过程应有利益相关方参与，包括：实物保护、网络安全、运行、工程服务、信息技术、人力资源、系统支持供应商、管理团队和法律服务等方面。

9.2 事故响应培训

核设施营运单位应：

1) 依照人员在关键系统事故响应中的角色和职责进行培训，并[至少每年]进行复训；

2) 将模拟事件集成到事故响应培训中，以促进危机情况下人员响应的有效性；

3) 记录事故响应培训演练并对培训合格人员颁发相关证书。

9.3 事故响应测试和综合演习

核设施营运单位应：

1) [至少每年一次]对关键系统的事故响应能力进行测试和综合演习；

2) 通过核设施营运单位确定的测试或/和综合演习提升事故响应能力，维护其有效性；

3) 记录测试和综合演习的结果；

4) 提供事故响应测试和综合演习规程；

5) 采用自动化机制全面地和有效地测试或综合演习事故响应能力；

6) 执行并记录事前通知的和未通知的测试和综合演习。

9.4 事故处理

核设施营运单位应：

1) 执行并记录现有的网络安全事故处理能力，包括准备、检测和分析、遏制、清除和恢复[并入现有的事故处理计划]；

2) 将从现有的事故处理活动中取得的经验教训纳入事故响应规程，并按此执行；

3) 组建整合的网络安全事故应急响应小组（CSIRT）；

4) 在所需网络安全人员减少的意外事故情况下，事发2小时内，通过使用其他经过培训和有资质的现场网络安全人员或调用非值班人员进行补充；

5) 为团队提供技术能力和授权，有效响应潜在的网络安全事件；

6) 制定并记录在发现或识别潜在的或实际的网络安全攻击时，团队将采用的过程、规程和控制；

7) 记录并确定下述响应内容：

(1) 识别网络安全事故的构成；

(2) 识别事故的威胁等级类别；

(3) 描述为事故响应和恢复（IR&R）过程中每个阶段应采取的行动；

(4) 描述依照攻击向量分析获得的单一事故或攻击的假设级别或类别、指示器（indicator）和可能的或计划的缓解方法；

(5) 制定协助识别和遏制网络攻击的防御策略；

(6) 描述CSIRT的事故通知流程；

(7) 描述事故记录要求；

(8) 在本地和远程CSIRT成员以及外部机构之间，建立协调和安全的通讯方式；

(9) 描述事件逐步升级时的响应要求。

核设施营运单位的CSIRT应包含在以下领域富有知识和经验的人员：

1) 信息和数字系统技术—包括网络安全、软件开发和应用、计算机系统管理和计算机网络领域。特别指出，需要掌握涉及工厂运行相关的数字系统的知识，包括数字仪表和控制系统、涉及工厂业务的系统。在工厂运行领域，包括可编程逻辑控制器、控制系统和分布式控制系统。在业务领域，包括含有设计、运行和维护关键系统信息的计算机系统和数据库。在网络领域，需要掌握工厂和上级单位的网络知识。一位经验丰富、技术高超的网络安全人员可能在全部上述领域都富有经验;

2) 核设施运行、工程和安全—包括总体的设施运行和工厂技术规范的知识。代表此技术领域的工作人员必须能够跟踪关键系统（或连接的数字资产）中一个脆弱性或一系列脆弱性向外延伸至工厂子系统和系统，从而能对工厂运行安全、安保和应急准备功能的全面影响进行评估;

3) 实物保护和运维安全—包括掌握工厂的实物保护和运维安全规程深入的知识。除上述要求外，需要专业深入的网络安全技能进行电子验证测试和必要的扫描活动;

4) 核设施营运单位可能没有在各领域都经过培训和经验丰富的现场人员。如果在现场不具备此种专长，可考虑使用上级单位的网络安全人员、独立的网络安全机构或具有必要的验证专长的其他外部单位。

此外，在情况需要时（取决于事故）, 担任以下角色的个人应加入到CSIRT：

1) 场址保卫人员；

2) 高级工厂管理人员；

3) 上级单位公关人员；

4) 上级单位法律工作人员。

事故数据的收集包括：

1) 事故标题；

2) 事故日期；

3) 报告的可靠性；

4) 事故类型（如事故、病毒）；

5) 接入点（如互联网、无线、调制解调器）；

6) 肇事者；

7) 受影响的系统、硬件和软件的类型

8) 事故的简要说明；

9) 对核设施营运单位的影响；

10) 防止重复发生的措施；

11) 备注。

9.5 事故监控

核设施营运单位应在实时的基础上，使用自动化机制跟踪并记录网络安全事故，协助追踪网络安全事故并收集和分析事故信息。

9.6 事故报告

根据网络安全管理规定的要求，在调查和从网络安全攻击或网络事故中恢复的过程中，对攻击事件进行调查取证，根据核设施营运单位的规程确定需要报告的事项。

9.7 事故响应支持

核设施营运单位应提供能够胜任工作的训练有素的应急响应技术支持人员，全天候24小时地在网络安全事故的响应和报告方面为关键系统用户提供建议和支持。该支持资源是核设施营运单位事故响应能力不可分割的部分。

核设施营运单位应采用相关机制来提高事故响应信息和支持的可用性。

9.8事故响应计划

核设施营运单位应制定网络安全事故响应计划：

1) 描述网络安全事故响应能力的体系结构和组织机构；

2) 提供高层次渠道将网络安全事故响应能力融入到单位整体管理体系中；

3) 依据网络安全管理规定和国家其他相关法律法规确定应报告的网络事故；

4) 提供衡量单位网络安全事故响应能力的方法；

5）为有效维护和完善网络安全事故响应能力，确定所需的资源和管理支持；

6）由网络安全实施计划负责人检查和批准。

核设施营运单位应向厂方人员（包括事故响应人员）分发事故响应计划，[每年]检查事故响应计划，针对计划执行或测试过程中发现的变更和问题，修订事故响应计划，并就事故响应计划的变更与厂方人员（包括事故响应人员）沟通。

10. 应急计划和备份与恢复

10.1 应急计划方针和规程

核设施营运单位应制定、分发和[每年]检查与更新：

1) 一项文档化的应急计划方针，包含目的、适用范围、角色、职责和核设施营运单位内各部门之间协调；

2) 一份文档化的规程，促进执行应急计划方针及相关应急计划控制。

当核设施营运单位的例行检查表明需要更新时，应更新应急计划方针和规程，并在必要时，更新其它领域的相关方针和规程。

核设施营运单位的应急计划应包括：

1) 为应对可触发恢复计划的，持续时间和严重性不同的事件或状况所需要的响应；

2) 在恢复到安全状态前，使用外部电子连接的方式手动操作关键系统的规程；

3) 响应人员的角色和职责；

4) 信息备份和安全存储的流程和规程；

5) 完整的最新的网络连接图；

6) 部件的当前配置信息；

7) 授权对关键系统进行物理和网络访问的人员名单（包括职务或/和职责）；

8) 紧急情况下，通讯规程和联系人员名单(包括职务或/和职责）；

9) 部件更换的记录要求。

10.2 应急计划

核设施营运单位应：

1) 通过设定和分配角色、职责、具有联络信息的指定人员，以及为确定关键系统损坏、中断、失效的影响和恢复关键系统相关的活动，来执行网络安全应急预案，维护SSEP功能；

2) 与核设施营运单位负责计划（如应急计划、物理保护计划）和相关要求（如技术指标）的部门协调制定应急计划；

3) 维持必要的资源和能力，确保在危机情况下必要的信息处理、电子通讯和环境支持；

4) 记录确保在危机情况下必要的信息处理、电子通讯和环境支持所需的资源和能力；

5) 部署关键系统，使得在一个关键系统内进程失效或与运行的设施通信中断的情况下，这些关键系统可以执行预定的动作。

10.3 应急计划测试

核设施营运单位应：

1) [至少每年]进行应急计划的测试和/或演练，以验证其有效性以及单位随时能够执行该计划，并记录；

2) 检查应急计划测试和演练结果并启动适当的整改行动；

3) 与核设施营运单位负责相关计划的部门协调应急计划的测试和/或演练；

4) 在应急和/或备用场址进行应急计划的测试和/或演练，使应急人员熟悉这些设施及其可用的资源，并评估场址对支持应急操作的能力，并记录；

5) 采用自动化机制，通过更全面覆盖应急事项和选择更真实的测试/演练场景和环境，全面和有效地测试/演练应急计划；

6) 将关键系统的恢复和重建作为应急计划测试的一部分；

7) 因对场址或关键系统的安全、安保、性能或可靠性可能产生严重不利影响，而不能对生产线上的关键系统进行应急计划的测试或演练时，应执行替代控制，并记录；

8) 利用计划的或未计划的系统维护活动，包括对关键系统部件或系统失效的响应，作为测试或演练应急计划的时机。

10.4 应急计划培训

核设施营运单位应：

1) 对关键系统相关应急角色和职责的人员进行培训，并依照[至少每年一次]或与核设施营运单位的整体应急方案一致的频度(取两者较短的时限）提供复训；

2) 维护培训规程并保存人员培训记录；

3) 进行培训和演练，使得应急人员熟悉设施、关键系统和可用资源，以及评估场址对支持应急操作的能力；

4) 采用自动化机制，通过提供更全面覆盖应急事项，全面和有效地测试/综合演习应急计划；

5) 选择真实的测试/综合演习场景和环境，对关键系统进行有效的压力测试。

10.5 备份的备用存储场址和地点

核设施营运单位应确定并记录备用的备份存储地点,并达成准许存储关键系统备份信息所必要的协议。关键系统备份频率和向备用存储地点传输备份信息的速率应与核设施营运单位的恢复时间目标和恢复计划目标相一致。

核设施营运单位应：

1) 确保备用存储地点与主存储地点在地理位置上是分离的，使得免受共因灾害的影响；

2) 配置备用存储地点，便利恢复操作；

3) 识别和记录在大面积中断或灾害情况下，可能难以使用备用存储地点的问题，并执行明晰的缓解行动。

10.6 关键系统备份:

核设施营运单位应：

1) 创建用户级和系统级信息的备份；

2) 根据对关键系统规定的时间间隔或基于触发事件对关键系统进行备份；

3) 保护在存储地点的备份信息；

4) [每月]测试和记录备份信息，以验证介质可靠性和信息完整性；

5) 将使用备份信息恢复关键系统功能作为应急计划测试的一部分；

6) 防止系统备份信息受到未授权的修改；

7) 将操作系统和其他重要的关键系统软件备份副本，存储在与操作软件异地的分离设施或防火容器中；

8) 规定并记录数据或关键系统必须恢复的时限和关键数据和配置的变更频率。

10.7 恢复与重建

核设施营运单位应采用具有支持规程的机制，在关键系统中断或失效后和仅由授权人员启动时，允许关键系统恢复和重建到已知的安全状态。核设施营运单位应在返回到正常运行状态前进行回归测试，以确保关键系统功能正确。

11. 意识和培训

11.1 网络安全意识和培训

核设施营运单位应制定、执行并记录必要的培训要求，确保本单位人员和合同人员能够在执行计划的要求时，履行其所承担的任务和职责。

核设施营运单位的人员应接受网络安全知识的培训，达到与其承担的职责相称的水平，确保人员可以正确地履行其岗位职能。

11.2 意识培训:

核设施营运单位的网络安全意识培训旨在增强人员对网络威胁、脆弱性的敏感度和对保护数据、信息需求的认知。方针层面的网络安全意识培训旨在使得本单位员工和合同方人员更好地理解网络安全方针，从而使方针可以有效的执行。个人用户必须理解其在遵循相应方针和标准方面所负有的职责。

核设施营运单位应建立、执行并记录以下要求：

1) 培训计划提供设施人员基础的网络安全意识培训。复训或持续培训提供新威胁和技术的进展情况；

2) 通过张贴海报、提供网络安全消息、发送电子邮件资讯和通知，以及登录界面提示信息来增强网络安全意识；

3) 培训包括模拟真实网络事故、恢复计划、响应计划和敌手攻击的实际演练。

核设施营运单位应基于下述制定并记录网络安全培训内容：

1) 分配的角色和职责；

2) 根据防御策略确定的具体要求；

3) 人员具有访问权限的关键系统。

核设施营运单位应建立、执行并记录培训要求，提供：

1) 为本单位员工和合同人员进行网络安全意识培训，包括下述：

(1) 场址特定目标、管理预期业绩、管理职权、角色和职责、方针、规程，以及违反网络安全实施计划的后果；

(2) 常见的攻击方法学，包括社会工程技术和适当的与不适当的网络安全实践；

(3) 攻击迹象，例如：

i.异常的网络流量负荷；

ii.磁盘无可用空间或可用空间显著减少；

iii.异常高的CPU使用率；

iv.创建新的用户账户；

v.尝试或实际使用管理员权限账户；

vi.被锁定的账户；

vii.用户未在岗时其账户在使用；

viii.已清除的日志文件；

ix.异常大量的事件装满日志文件；

x.反病毒或IDS警报；

xi.失效的反病毒软件和其他网络安全控制；

xii.非预期的补丁变更；

xiii.设备连接到外部IP地址；

xiv.请求获取系统信息（社会工程的尝试）；

xv.非预期的配置变更；

xvi.非预期的系统停机；

xvii.控制设备的异常活动；

xviii.控制设备的信号丢失；

xix.安保区域内的异常设备。

(4) 接受可疑行为、事故和违反网络安全方针、规程或实践报告的单位联系人；

(5) 需要启用访问和控制方法的解释；

(6) 用户可采取的减少风险的措施；

(7) 若不采取控制方法会对单位产生的影响。

11.3 技术培训

核设施营运单位应在培训计划范围内，为执行、验证或管理活动的人员建立、执行并记录培训内容，确保相关人员达到并维持适当的专业水平。核设施营运单位中负有与网络安全实施计划、过程和规程相关责任的人员，或涉及设计、变更和维护关键系统的人员应接受技术培训。

核设施营运单位应制定、执行并记录下述要求：

1) 对员工提供网络安全相关技术培训：

(1) 在授权访问关键系统或执行指定的任务前；

(2) 当方针或规程变更和工厂相关条件更改需要时；

(3) 每年或由核设施营运单位规定的时间间隔(取两者较小者)内，以减少风险并确保人员胜任工作。

2) 为那些负有设计、安装、运行、维护或管理（如系统管理员）关键系统或相关网络的角色和职责的人员，提供关于适当的网络安全概念和实践的网络安全相关技术培训。包括：

(1) 指定的关于网络安全和工程规程、实践和技术的知识，包括执行方法和设计要求，这些知识适用于其工作中可能接触的资产；

(2) 网络脆弱性的总体信息、网络攻击成功时关键系统和网络的潜在后果、以及减轻网络安全风险的方法。

核设施营运单位应为系统管理员、网络安全专家、系统所有者、网络管理员和其他可以访问系统级软件的人员提供网络安全相关技术培训，使他们能够履行其职责。

11.4 专业网络安全培训

为了有效地设计、执行和管理网络防御策略，核设施营运单位应为有权限制定网络安全实施计划和规程的人员和担任网络安全专家职能需要技能和知识的人员，提供专业网络安全培训。

核设施营运单位应建立、执行并记录为网络安全专业技术人员和专家提供高级培训的要求，包括对网络安全、事故响应和纵深防御策略的执行和管理负有角色和职责的网络安全专家。高级培训包含：

1) 在数据安全、操作系统安全、应用软件安全、通信网络安全、网络安全控制、入侵分析、事故管理和响应、数字取证、渗透测试以及工厂系统功能和运行的核心能力方面，达到和维持必要的最新技能和知识；

2) 通过使用工具和技术，从物理和逻辑上加固关键系统和网络的能力，减轻对网络攻击的脆弱性；

3) 为其他工作人员提供网络安全指导、支持和培训；

4) 检查总体的和系统特定的网络安全实施计划和实践；

5) 评估关键系统、网络和资产遵守网络安全方针的情况；

6) 网络安全控制的设计、采购、安装、运行、维护和管理。

11.5 跨职能的网络安全团队

核设施营运单位应建立、运行并记录跨职能的网络安全团队（CST）。

核设施营运单位应制定、执行并记录CST成员间分享技术专长和多领域知识的计划。

核设施营运单位的CST至少包括一名单位信息技术人员、一名仪控系统工程师、一名控制系统操作员、一名网络安全专项工作专业技术人员和一名管理人员。

核设施营运单位的网络安全专项工作专业技术人员的技能包括，网络架构和设计、网络安全过程和实践以及网络安全基础设施的设计和运行；需要时，核设施营运单位的CST也包括控制系统供应商或系统集成商；核设施营运单位的CST的报告机制[直接向单位高级管理层]。

11.6 态势感知

核设施营运单位网络安全培训应描述受控制的物理过程，以及相关的关键系统和网络安全控制。

11.7 反馈

核设施营运单位应制定、执行并记录一个反馈的过程，用于单位人员和合同方人员完善网络安全实施计划并处理已发现的培训不足。

11.8 网络安全培训记录

核设施营运单位应记录并监督人员的网络安全培训。

11.9 与网络安全机构和组织的联络

核设施营运单位应保持与地方网络安全机构和组织的联络，获得最新推荐的网络安全实践、技术和科技信息，同时分享当前的网络安全相关信息，包括威胁、脆弱性和事故。

11.10 角色和职责

核设施营运单位应依照核安保导则HABD-004/01 第3.1节描述的执行网络安全实施计划的人员组成，建立、记录并分配角色和职责。

12. 配置管理

12.1 配置管理

核设施营运单位应依照核安保导则HABD-004/01第10.2.1节描述的过程，制定、执行并记录关键系统网络安全控制的配置管理。

12.2 配置管理方针和规程

核设施营运单位应制定、分发和[每年]检查与更新文档化的配置管理的方针和执行规程，包括目的、范围、角色、职责和核设施营运单位各部门间协调，以及相关配置管理控制。

核设施营运单位应将其配置管理方针作为场址配置管理计划的一部分进行记录，包括硬件配置、软件配置和访问许可。依照这些方针和执行规程记录和访问硬件或软件的变更。

采用结构化配置管理过程评估和控制关键系统的变更，确保关键系统处于安全状态。在执行任何变更前，核设施营运单位应确认未引入新的脆弱性。

12.3 基线配置

核设施营运单位应制定、记录并维护关键系统和其连接的当前基线配置，包括接口特性、网络安全要求和传输信息的性质。作为配置管理过程的一部分，核设施营运单位应采取[手动/自动]机制来维护每个关键系统的最新、完整、准确和随时可用的基线配置。

核设施营运单位应记录最新的基线配置，并[每季度]审计该配置。基线配置包括但不限于：所有部件的当前清单（如硬件、软件）、外围设备的配置、当前软件的版本和设备部件的开关设置。对于每一个关键系统，核设施营运单位应维护一份日志，记录所执行的配置变更，执行变更的人员、变更的日期、变更的目的和变更过程中任何观察到的现象。

核设施营运单位应记录并维护用于开发和测试环境的基线配置，将其与运行/生产的基线配置分开管理。

核设施营运单位应采用“拒绝所有、准许例外”的授权方针，识别和授权核设施营运单位关键系统上许可的软件（即授权软件白名单）。当授权变更实施后，核设施营运单位应验证网络安全特性仍然运作正常，并充分地维持了网络安全等级。

授权修改关键系统配置的人员应经适当的培训并有资格执行修改。核设施营运单位应对修改规定最小物理和逻辑访问。此外，核设施营运单位应采用电子手段来监视对关键系统的访问，确保只启用授权的系统和服务。而且，在无法采用电子手段进行监视时，核设施营运单位应记录执行以下替代（补充）网络安全控制的理由：

1) 物理限制访问；

2) 监视并记录物理访问，使得可能及时检测和响应入侵；

3) 采用审计和确认措施（如保卫人员巡查、周期性监测防篡改封记）；

4) 确保授权人员是可信赖的可靠的；

5) 确保授权人员按照批准的程序进行操作；

6) 进行事后维护测试，确认正确地执行了变更。

核设施营运单位应按照物理安全计划[至少每季度一次]检查日志记录。

12.4 配置变更控制

核设施营运单位应：

1) 授权并记录对关键系统的变更；

2) 保存并检查关键系统配置变更记录以及关键系统配置变更相关审计活动记录，并采用[手动/自动]机制实现：

(1) 记录关键系统的变更；

(2) 通告指定的审批部门；

(3) 在接收到指定的批准文件并记录在案前，禁止执行变更。

12.5 变更和环境对网络安全的影响分析

核设施营运单位的CST应按照核安保导则 HABD-004/01 10.2.2节的要求，在进行关键系统变更前，执行网络安全影响分析，管控因变更导致的网络风险。CST评估、记录，并在网络安全影响分析中考虑任何识别到的安全和安保相互依赖关系。

核设施营运单位应将网络安全影响评估作为变更批准过程的一部分来执行并记录。

12.6 变更的访问限制

核设施营运单位应确定、记录、审批并执行与关键系统变更相关的物理和逻辑访问限制，以及[每季度]和有迹象表明可能发生了未经授权的变更时，生成、保存和审计记录。

核设施营运单位应通过执行其配置管理计划，处理在变更访问限制中所发现的偏差。

核设施营运单位应采用自动化机制检测未授权变更、强制执行访问限制和支持对强制执行活动的事后审计。

在关键系统不能支持使用自动化机制强制执行访问限制和支持对强制执行活动的事后审计时，核设施营运单位应记录执行替代（补充）网络安全控制的理由和具体的安排，包括所有下述：

1) 物理限制访问；

2) 监测并记录物理访问，使得可能及时检测和响应入侵；

3) 采用审计和确认措施（如保卫人员巡查、周期性监测防篡改封记）；

4) 确保授权人员是可信赖的可靠的；

5) 确保授权人员按照批准的程序进行操作；

6) 进行事后维护测试，验证正确地执行了变更。

12.7 配置设置

核设施营运单位应通过下述对关键系统实行配置设置：

1) 记录最严格的限制模式；

2) 评估运维要求；

3) 强制执行并记录依照明晰的运维要求实行的最为严格的配置设置。

实行上述配置设置需要：

1) 制定并记录反映最严格限制模式的关键系统配置设置；

2) 按照明晰的运维要求，记录和批准对关键系统单一部件实行最严格限制模式的配置设置时出现的任何例外；

3) 依据核设施营运单位的相关方针和规程，执行关键系统的配置设置，并监视和控制配置设置的变更；

4) 记录并采用自动化机制[集中]管理、实行和核实配置设置；

5) 记录并采取[自动机制/手动机制]响应对核设施营运单位规定的配置设置的未授权变更；

6) 在关键系统不能支持使用自动化机制实现[集中]管理、实行和核实配置设置功能时，核设施营运单位应记录执行替代（补充）网络安全控制的理由和具体的安排，包括所有下述：

(1) 物理限制访问；

(2) 监测并记录物理访问，使得可能及时检测和响应入侵；

(3) 采用审计和确认措施（如保卫人员巡视、周期性监测防篡改封记）；

(4) 确保授权人员是可信赖的可靠的；

(5) 确保授权人员按照批准的程序进行操作；

(6) 进行事后维护测试，验证正确地执行了变更。

12.8 最小功能

核设施营运单位应配置并记录关键系统的配置设置，使得仅提供必要的能力，以及特别禁止、防范和限制不安全功能、端口、协议和服务的使用。核设施营运单位应[每月]检查关键系统，识别和消除不必要的功能、端口、协议和服务。核设施营运单位应记录并采取自动化机制以防止非必要程序执行。核设施营运单位应采用[白名单、黑名单、灰名单]的应用控制技术。

12.9 部件库存

核设施营运单位应制定、记录并维护具有以下属性的关键系统部件库存清单：

1) 准确反映当前的系统配置；

2) 确保各个部件的位置（逻辑和物理）与关键系统的授权边界相一致；

3) 为跟踪和报告，以及有效的资产统计，提供必要和适当的粒度水平；

4) 更新系统部件的库存清单，将其作为部件安装和系统更新不可分割的一部分；

5) 采用自动化机制来维护一个最新、完整、准确并随时可用的系统部件的库存清单；

6) 采用自动化机制来检测未经授权的部件或设备接入环境，禁止这些部件或设备的访问，并通知核设施营运单位指定的管理人员；

7) 记录负责管理这些部件的人员[姓名或角色]。

13. 系统和服务采购

13.1 系统及服务采购方针和规程

1) 核设施营运单位应制定，分发和【每年】检查和更新一项文档化的系统和服务采购方针，包括目的，范围，任务，角色，职责，核设施营运单位各个部门间协调，与系统和服务采购相关的控制；

2) 核设施营运单位应制定，分发和【每年】检查和更新一份文档化的规程，促进执行系统和服务采购方针和相关系统和服务采购控制。

13.2 供应链保护

为防范供应链的威胁，维护被采购关键系统的完整性，核设施营运单位应采用下述措施，防范供应链的威胁和脆弱性：

1) 建立可信任的供应路径

2) 供应商验证

3) 采购的产品需是防篡改产品或者在其上加装防篡改封记。

核设施营运单位应分析每一个产品采购项目，确定该产品满足了核安保导则 HABD-004/02和核安保导则 HABD-004/03描述的网络安全控制所必要的网络安全要求。

核设施营运单位应使用异构性，以减轻使用单一供应商产品相关的脆弱性。

13.3 诚信

核设施营运单位应要求软件开发商采用软件质保和验证方法，尽量减少有缺陷或有问题的软件。

核设施营运单位应制定，实施以及记录相关要求，使得所有执行网络安全任务或SSEP功能的工具通过一个商业质量认证过程，该过程类似于用于开发数字仪控系统的软件工程工具。

13.4 网络安全能力整合

核设施营运单位应记录和执行一个计划，确保新采购的产品包含网络安全能力及相关的设计信息，用于执行核安保导则 HABD-004/02描述的网络安全控制。这些网络安全能力包括：

1) 能够察知不断演变的网络安全威胁和脆弱性；

2) 能够察知网络安全防御策略和网络安全控制的改进；

3) 分析每项改进对网络安全、运行安全，以及关键资产、关键系统、关键系统的子系统或部件运行和网络的影响，并及时执行这些改进;

4) 在旧系统到达寿期时，使用带有网络安全功能的系统予以更换。

核设施营运单位应设立时限，将部署新的、更有效的防御策略和网络安全控制所需的时间减至最小。

13.5 开发商网络安全测试

核设施营运单位应记录和要求所采购关键系统的系统开发商和集成承包商制定、执行和记录一个网络安全测试和评估计划，确保采购的产品满足所有规定的网络安全要求：

1) 通过识别和消除下列脆弱性和随新技术应用可能产生的其它脆弱性，使得该产品不含已知的、可检测到的脆弱性和恶意代码：

(1) 脆弱的、未证实的或非标准的加密模块；

(2) 用于敏感通信的非安全网络协议；

(3) 已知的非安全软件部件或库；

(4) 已知的脆弱性；

(5) 控制应用程序功能的非安全配置文件或选项；

(6) 不充分或不适当地利用访问控制机制，控制对系统资源的访问；

(7) 将不适当的特权授予用户、进程或应用程序；

(8) 弱认证机制；

(9) 对输入和输出数据不适当的或失败的验证；

(10) 不安全或不充分的系统错误或网络安全相关信息日志；

(11) 缓冲区分界不当；

(12) 格式字符串脆弱性；

(13) 特权提升脆弱性；

(14) 非安全的数据库交互；

(15) 非安全的使用本地功能调用；

(16) 代码中隐藏的功能和脆弱性特征；

(17) 执行安全特征本身不增加网络安全脆弱性的风险，不增加网络攻击的易感性，或不降低设计基准功能的可靠性；

(18) 使用不支持的或者未文档化的方法或功能；

(19) 使用未文档化的代码或恶意功能, 使得可能允许未经授权访问或使用系统，或使得系统的行为超出系统需求。

2) 为了防止篡改和确保直到交付给核设施营运单位时，所开发关键系统的完整性，开发商的网络安全计划应通过执行核安保导则HABD-004/01和核安保导则 HABD-004/02中描述的等效网络安全控制措施，维护已采购系统的完整性，直到产品被交付给核设施营运单位。

核设施营运单位应要求开发商执行和记录：

1）网络安全要求是经过验证和确认的；

2）产品中执行的和为满足本计划的要求使用的网络安全控制是经过测试的，确保他们有效地满足了核安保导则HABD-004/01第10.1.2节的要求。

核设施营运单位应要求记录所有下列活动：

1) 系统设计转换为代码、数据库结构以及相关的设备可执行的表述；

2) 硬件和软件的配置和安装；

3) 软件编码实践和测试；

4) 通信配置和安装（包括整合复用软件和商用产品）

5) 执行的单元测试结果，确保代码开发正确、精确、完整地反映了由设计要求到网络安全设计配置的转换；

6) 在开发的代码库内的每一个所需网络安全特性的实施细节。清单包括开发用于执行网络安全特性代码库中的参考编码功能和模块；

7) 执行的网络安全配置，满足要求所规定的网络安全设计特性；

8) 执行的操作系统网络安全配置，记录为满足要求所规定的网络安全设计特性；

9) 对支持静态分析源代码扫描器的编程语言，记录下述结果：

(1) 进行静态源代码脆弱性分析，检查开发的代码是否有：潜在的网络安全缺陷、不良的编程习惯、隐蔽的功能、以及在执行代码库代码进程中的脆弱特性；以及用于消除这些脆弱性的方法；

(2) 网络安全缺陷跟踪矩阵，用于捕获和跟踪代码中发现的网络安全缺陷的标识、类型、分类、发生原因和修复；

(3) 在将要求中特定的设计特性转化至代码过程中出现的缺陷。

10) 对所有的编程语言，应记录下述结果：

(1) 进行动态源代码脆弱性分析，检查开发的代码是否有：潜在的网络安全缺陷、不良的编程习惯、隐蔽的功能、以及在执行代码库代码进程中的脆弱特性；以及用于消除这些脆弱性的方法；

(2) 网络安全缺陷跟踪矩阵，用于捕获和跟踪代码中发现的网络安全缺陷的标识、类型、分类、发生原因和修复；

(3) 在将要求中特定的设计特性转化至代码过程中出现的缺陷。

核设施营运单位应要求关键系统开发商/集成承包商：

1) 在关键系统设计、开发、执行和运行过程中实行配置管理；

2) 管理和控制关键系统的变更；

3) 仅执行核设施营运单位批准的变更；

4) 记录批准的关键系统变更；

5) 跟踪网络安全缺陷和缺陷整改。

13.6 核设施营运单位测试

按照上述13.5节的要求，核设施营运单位应验证和确认开发商网络安全测试的结果。

核设施营运单位应：

1) 在安装前，测试关键系统（例如，类似关键系统的离线条件下）的网络安全设备，网络安全控制和软件，确保它们不损坏关键系统，或与之相连的关键系统及其运行；

2) 测试，确保关键系统不提供损坏特定关键系统，或者其他关键系统的路径；

3) 按照核安保导则 HABD-004/01第7节描述的过程执行核安保导则 HABD-004/02和核安保导则HABD-004/03的网络安全控制；

4) 按照核安保导则 HABD-004/01第10.1.2节的描述测试网络安全控制的有效性；

5) 按照核安保导则HABD-004/01第10.1.3节的描述，以及本导则第14.1节的描述，针对关键系统的集成状态进行脆弱性扫描，以及校正、消除或讨论发现的脆弱性；

6) 安装并在目标环境下测试关键系统；

7) 对关键系统的网络安全特性进行验收检查和测试。

核设施营运单位应记录下列：

1) 按照核安保导则HABD-004/02实行的网络安全控制；

2) 按照本导则进行的网络安全控制的有效性验证；

3) 已开发的网络安全设计特性，这些特性用于处理除了按照核安保导则HABD-004/02执行的网络安全控制外，已识别的关键系统网络安全要求（如有）。对于每个执行的网络安全特性或配置，文档应包括：特性的描述，执行方法，以及与提供的特性相关联的任何配置的选项。设计到系统中的每个网络安全特性应可溯源至其相应的网络安全要求。

应记录由负责关键资产/系统/网络保护的网络安全部门对已执行设计进行的网络安全检查。检查应确保由要求转换到网络安全设计的配置项目是正确、精确和完整的。

核设施营运单位应[每年]审计关键系统，验证：

1) 在测试过程中存在的网络安全控制仍然到位，以及在生产系统中工作正常；

2) 关键系统无已知的脆弱性和网络安全损坏，并在一旦发生损坏时，能够持续提供关于损坏的性质和程度的信息；

3) 变更管理[进程/程序]功能有效，并能够恰当地记录配置变更。

14. 威胁评估和风险管理

14.1 威胁和脆弱性管理

核设施营运单位应：

1) [不低于每季度一次]，和按照核安保导则 HABD-004/01 第10.1.3节要求在随机时间间隔，以及接到通报或者识别了新的关键系统潜在脆弱性后，进行关键系统的脆弱性评估和扫描；

2) 采用脆弱性扫描工具和技术，它们能够促进工具和脆弱性管理进程自动部件的协同性：

(1) 列举平台、软件缺陷和不当配置；

(2) 编制清晰的和格式化的检查表和测试规程；

(3) 衡量脆弱性的影响。

3) 分析脆弱性扫描报告, 并在确保关键系统免受设计基准威胁规定的网络攻击的时间间隔内修复脆弱性；

4) 消除其他关键系统中类似的脆弱性；

5) 采用具备更新扫描到的网络脆弱性清单能力的脆弱性扫描工具，和[每月]或新脆弱性被发现和通报时，更新已扫描到的关键系统脆弱性清单；

6) 采用覆盖最广和最深的脆弱性扫描规程（即，扫描的关键系统部件和检测的脆弱性）；

7) 识别并记录可能被敌手发现的关键系统相关信息；

8) 进行网络安全检测，确定绕过关键系统网络安全控制的难度等级。[测试方法包括：渗透测试、恶意用户测试和独立的验证和确认]；

9) 将对关键系统的特权访问授权作为选择的脆弱性扫描活动，促进更深入的扫描；

10) 采取自动机制，比较脆弱性扫描结果随时间的变化，确定关键系统脆弱性和缓解/缺陷修复活动的趋势；

11) 采取自动机制，检测关键系统中存在的非授权软件，并通知相关授权人员；

12) 确保扫描过程不对SSEP功能产生不利影响。当可能发生此种情况时，在扫描前从服务中撤出关键系统或（在可行时）采用复制品，或每当可能，将扫描安排在可能计划的关键系统检修期间实施。因为对SSEP功能产生潜在的不利影响，核设施营运单位不能对生产线上的关键系统进行脆弱性扫描时，需采取替代控制措施（如提供复制的关键系统、关键系统的子系统或部件进行扫描）。

核设施营运单位应审核历史审计日志，确定是否有关键系统中发现的脆弱性在先前被利用过。

14.2 风险缓解

核设施营运单位应采用下述，达到防御和缓解风险的目的：

1) 核安保导则 HABD-004/01第6.1节描述的纵深防御策略；

2) 核安保导则 HABD-004/02和核安保导则 HABD-004/03描述的网络安全控制措施；

3) 针对网络安全管理规定范围内的系统、结构和部件的数字设备，软件网络攻击检测、预防、恢复技术和工具；

4) 核安保导则HABD-004/01第10章描述的网络安全实施计划的维护。

核设施营运单位应保留如何实现其实施计划规定的具体网络安全控制措施，达到高可靠性目标要求的详细信息。这些详细信息可供检查和审计。

14.3 整改行动计划

核设施营运单位应建立、执行并记录按照核安保导则 HABD-004/01的描述用于不利条件和整改行动要求的准则。依据整改行动计划要求的方式，核设施营运单位应评估、跟踪，并纠正网络安全事故所导致的不利影响。

15. 术语

网络攻击：系指对计算机和通信系统与网络的物理或逻辑(即电子或数字)威胁的一种表现形式。威胁可能来自核设施内部或外部、或具有内部或外部的成分、以及出自恶意的或非恶意目的; 威胁可能包含物理或逻辑的形式、直接或间接的性质; 以及威胁可能对一个关键系统造成直接或间接的不利影响或后果。网络攻击包括企图未经授权访问一个关键系统的服务、资源或信息; 企图损害一个关键系统的完整性、可用性和机密性, 或企图对一个核设施运行安全、核安保或应急准备功能造成不利影响。网络攻击可能以单一攻击或任何组合攻击的形式出现。

损坏：系指丧失数据或系统功能的保密性、完整性或可用性。

设计基准威胁：系指对可能试图对核设施关键系统实施网络攻击恶意行为的潜在内部敌手和外部敌手的属性和特征的描述。

关键系统：系指一个核设施内或核设施外基于数字技术的，执行核设施运行安全，对核设施运行安全、核安保、核应急准备功能重要的系统或与其相关系统。关键系统包括但不限于工控系统、通信系统、网络、场外通信，或支持系统；或者系统的一个子项或一个组成部分，可能包括或含有一个数字设备、通信设备，或支持设备等。

支持设备: 直接或间接支持核设施运行安全、对核设施运行安全、核安保或应急准备功能重要的设备, 以及如果受到损害, 该设备可能对上述功能造成不利影响。支持设备的例子包括, 但不限于用以操作、测试和维修的支持设备和部件。

支持系统: 直接或间接支持核设施运行安全、对核设施运行安全、核安保或应急准备功能重要的系统,以及如果受到损害, 该系统可能对上述功能造成不利影响。支持系统的例子包括, 但不限于供电、供暖、通风和空调、通讯、消防系统等。

纵深防御: 系指部署了多层网络安全措施或方法的网络安全方案, 用以防止一个部件或多个保护层的同时失效。纵深防御可以用多种方式实现。从网络安全架构观点出发, 一种方式可以设置多层边界保护关键系统免受到网络攻击。在采用此种方式后, 只有多种机理的保护层同时失效, 网络攻击才能进入并影响一个关键系统。因此, 纵深防御不仅使用多层边界, 也执行和维护一个有效的网络安全实施计划, 用于评估、保护、响应、防范、检测和减轻对关键系统的攻击, 并及时恢复功能。

安全域：是为管理和实施保护措施的目的将关键系统进行分组的一种逻辑和物理管理模式。安全域的设置应：

1) 每个安全域均由对核设施的核设施运行安全、核安保和应急准备功能具有同样或类似重要性的系统组成；

2) 同属于一个安全域的关键系统对保护措施具有类似的要求，在确保安全的前提下，可建立安全域内部通信可信区；

3) 安全域应建立边界，设置满足网络安全要求的数据流控制设备和措施；

4) 安全域可为改进配置的目的划分为分安全域；

每个安全域都可以按照域内关键系统的最高网络安全要求指定一个网络安全等级。如果核设施内存在多个安全域，需要同等程度保护时，可指定为同一个网络安全等级。