RG5.71導則在國內核設施網絡安全領域的應用探討

錢單

摘 要 RG 5.71 《Cyber Security Programs for Nuclear Facilities》是美國核管會根據聯邦法規（the Code of Federal Regulation）中對于計算機、通信系統和網絡的保護需求，針對核設施而制定的計算機安保方面的導則。RG5.71主要從組織機構、技術、運行和管理等方面描述了針對信息網絡的威脅、漏洞和攻擊需采用的對策和防護技術。導則不僅提出了針對核設施信息網絡安全的監管要求，同時也提供了一個切實可行的核設施信息網絡安全的解決方案。本文將對RG5.71導則的內容進行簡介，并重點探討該導則在國內核設施信息網絡安全方面的應用。

關鍵詞 RG5.71；核設施；信息網絡安全

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2018）206-0129-02

隨著國家以及電力行業一系列信息網絡安全文件、導則的發布，同時由于“工業化”“信息化”兩化融合對傳統工業控制系統帶來的技術革新，核電領域的信息網絡安全工作日益受到關注，相關監管要求日益嚴格，核設施如何有效地進行信息網絡安全方面的防護工作成為一個重要課題。

目前，國內針對核設施信息網絡安全方面的導則、規范仍相對匱乏，而歐美國家在信息網絡安全領域起步較早，許多國家已經建立了針對核設施信息網絡安全方面的導則、文件。例如RG？5.71？《Cyber？ Security？Programs？for？Nuclear？Facilities》是美國核管會根據聯邦法規（the？Code？of？Federal？ Regulation）中對于計算機、通信系統和網絡的保護需求，針對核設施而制定的計算機安保方面的導則。該導則主要從組織機構、技術、運行和管理等方面描述了針對信息網絡的威脅、漏洞和攻擊應采用的對策和防護措施。

1 RG5.71內容簡介

1.1 通用要求

RG5.71要求核設施建立相應的網絡安全計劃以描述如何執行信息網絡安全相關法律、法規的要求，使核設施關鍵數字計算機、通信系統和網絡受到充分保護，避免這些系統、設備受到網絡攻擊。網絡安全計劃應包含：關鍵數字資產的識別、網絡安全計劃實施維護、網絡安全的設計、深度防御策略（保護、檢測、響應和恢復）、文檔化的管理制度、安全意識培訓、網絡安全風險評估和管理、配置管理和文檔管理等要素。

1.2 組織機構

RG5.71描述了應建立一個網絡安全團隊（CST），確定其角色、職責、授權和職能關系。主要包括：

1）網絡安全程序主管人員，應為廠址高級管理層成員，并被賦予對網絡安全程序全面責任和問責權，并能為網絡安全程序的制定、執行和維護提供必要的資源。

2）網絡安全程序負責人，主要負責以下方面。

（1）監督網絡安全操作；

（2）歸口聯絡網絡安全所有事項；

（3）對網絡安全相關事項進行監督和指導；

（4）需要時啟動和協調網絡安全事件響應小組職能；

（5）在網絡安全事件和事故發生前后，負責與相關部門聯絡工作；

（6）批準和監督網絡安全計劃及有關程序制定、執行和維護；

（7）組織和實施網絡安全意識教育、培訓活動。

3）網絡安全專家。

（1）保護關鍵數字資產（CDA）免受網絡威脅；

（2）配置、操作和維護網絡安全設備；

（3）掌握核設施網絡操作系統總體架構、軟硬件平臺、操作系統等網絡特性；

（4）開展數字系統的網絡安全評估，對關鍵數字資產（CDA）進行網絡安全審計、脆弱性測評、網絡掃描和滲透測試等；

（5）在關鍵數字資產（CDA）損壞后進行事故調查；

（6）維持和提高網絡安全領域的專業技能和知識水平；

（7）作為應急響應機構的主要指導者和領導者。

除上述人員外，應成立相應的網絡安全事件響應機構（CSIRT），包括：安保、操作、工程、應急準備和其他支持部門的相關人員。

1.3 技術控制

RG5.71描述了應在識別關鍵數字資產（CDA）的基礎上，采取縱深防御保護策略，建立網絡安全分區，控制數據流向，并在邊界上采用防御措施等技術措施。同時，導則提出了一系列包括：訪問控制、審計和問責、通信保護、識別和認證、系統加固、操作控制等綜合防護的控制措施。

另外，導則還要求核設施應配置必要的評估工具，對現場系統進行漏洞掃描、滲透測試等薄弱性評估測試。

1.4 管理控制

RG5.71在管理控制方面針對系統服務和采購、持續監測和安全評估、策略和規程、變更控制、記錄保留及處理等系統生命周期管理方面提出了相關的監管要求。

2 RG5.71導則的應用

RG5.71導則不僅提出了針對核設施信息網絡安全的監管要求，同時也提供了一個切實可行的核設施信息網絡安全的解決方案。通過建立網絡安全計劃，從組織機構、技術、管理等各方面描述如何建立核設施的信息網絡安全策略，對于國內核設施信息網絡安全工作的建設具有相當的借鑒意義。

結合我國針對電力行業信息網絡安全的相關文件、導則，例如電力監控系統安全防護規定（國家發改委2014年第14號令）、電力監控系統安全防護總體方案（國能安全〔2015〕36號文）、電力行業網絡與信息安全管理辦法（國能安全〔2014〕317號文），國內核設施可編制基于自身的網絡安全計劃或實施方案，實施方案的內容可包括但不限于核設施面臨的信息安全威脅和總體目標、各信息業務系統的描述、安全分區、網絡架構、信息安全組織機構、管理措施、技術措施、綜合安全防護措施、主要問題及整改計劃等。該文件可以作為核設施安全防護工作的指導性文件。？

組織機構方面，RG5.71提出的人員架構同樣適用于國內的核設施。核設施應建立以公司高層為領導的信息網絡安全團隊，配置并培養類似網絡安全程序負責人、網絡安全專家的專業隊伍，負責核設施信息網絡安全管理制度建設，并對核設施信息系統軟硬件操作平臺、安全策略的配置、安全防護設備管理、維護進行統一管理。

同時，應建立多個部門協同的信息安全應急響應機構，定期進行應急演練。目前，國內核設施在建立網絡安全專家團隊方面仍屬于薄弱環節，特別是在工控領域方面，缺乏這方面的專業人才及隊伍，需要進一步引起重視，并加強這方面人才隊伍的培養。

技術措施上，結合國內電力行業信息安全提出的“安全分區、網絡專用、橫向隔離、縱向認證”之總體方針，核設施應對自身業務系統的重要性進行評估識別，按照業務系統的重要性及其對一次系統的影響程度，建立分層的信息安全保護結構，可將其劃分為生產控制大區和管理信息大區，生產控制大區可進一步劃分為控制區（安全區I）和非控制區（安全區II），管理信息大區則也可進一步被劃分為（安全區III）和（安全區IV），將各信息業務系統和功能模塊根據重要性劃分至各個安全區域。

同時，在控制數據流向和邊界防護措施上，在生產控制大區和管理控制大區間設置單向隔離網閘，只允許數據單向傳輸。在每個安全區的系統邊界上設置專用的防火墻等安全防護設備，在縱向網絡上設置縱向加密認證。在上述基礎上，進一步做好在物理安全、訪問控制、防病毒措施等方面的綜合防護措施，并適時進行內部薄弱性測試評估。

管理制度上，可依據RG5.71導則及國內監管當局的要求，結合自身實際情況，編制包括信息系統生命周期管理、人員管理、權限管理、訪問控制、介質管理、運維管理、審計管理、備份管理、應急響應、培訓管理等一系列程序，從而形成完整的信息安全防護制度，并適時的進行評估修訂以便更好滿足監管要求以及具體執行。

3 結論

綜上所述，在國內針對核設施信息網絡安全方面的導則、規范仍相對匱乏的情況下，RG5.71提供了一個切實可行的核設施信息網絡安全的解決方案，對于現階段核電領域信息網絡安全工作的開展具有相當重要的借鑒意義。國內核設施可依據該導則，結合國內信息網絡安全方面的導則、文件，建立適合核電領域的信息安全防護策略，從而有效提升核設施的信息網絡安全。

參考文獻

[1]RG 5.71《Cyber Security Programs for Nuclear Facilities》.

[2]電力監控系統安全防護規定（國家發改委2014年第14號令）.

[3]電力監控系統安全防護總體方案（國能安全〔2015〕36號文）.

[4]電力行業網絡與信息安全管理辦法（國能安全〔2014〕317號文）.

[5]電力行業信息安全等級保護管理辦法（國能安全〔2014〕318號文）.