GB/T 41241-2022 核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全管理要求（正式版）

ICSCCS27.120.20GB/T41241—2022核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全管理要求國家市場監(jiān)督管理總局國家標準化管理委員會I Ⅲ 12規(guī)范性引用文件 1 1 45核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全管理 46核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全技術(shù)防護 7核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全應急管理 附錄A(資料性)核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全定級說明 圖A.1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全防御模型 表A.1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全設防等級示例…………………20ⅢGB/T41241—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由全國核儀器儀表標準化技術(shù)委員會(SAC/TC30)提出并歸口。本文件起草單位：中廣核工程有限公司、中國廣核電力股份有限公司、上海核工程研究設計院有限福清核電有限公司、北京廣利核系統(tǒng)工程有限公司、大亞灣核電運營管理有限責任公司、遼寧紅沿河核電有限公司、奇安信科技集團股份有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、深信服科技股份有限公陳薇。GB/T41241—2022為提升和規(guī)范核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡安全防護能力，根據(jù)國家在電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護的要求和規(guī)定、電力行業(yè)信息系統(tǒng)安全等級保護基本要求、核電廠儀表和控制系統(tǒng)相關(guān)核安全導則等方1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全管理要求1范圍GB/T22240信息安全技術(shù)網(wǎng)絡安全等級保護定級指南GB/T25058信息安全技術(shù)網(wǎng)絡安全等級保護實施指南GB/T28448信息安全技術(shù)網(wǎng)絡安全等級保護測評要求GB/T28449信息安全技術(shù)網(wǎng)絡安全等級保護測評過程指南2GB/T41241—20223.5數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達到的未提供或未泄露給非授權(quán)的個人、過程或其他實體的程度。3.6由具有實時監(jiān)控功能、縱向聯(lián)接使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或者專用通道的各業(yè)務系統(tǒng)構(gòu)成3.73.83.9識別identify對某一評估要素進行標識與辨別的過程。3.10信息系統(tǒng)informationsystem注：典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)(計算機硬件系統(tǒng)和網(wǎng)絡硬件系統(tǒng));系統(tǒng)軟件(計算機系統(tǒng)軟件和網(wǎng)3.11保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。3.123.13調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)的各業(yè)務系統(tǒng)構(gòu)成的安全區(qū)域。33.14由作用不同的個體為實施共同的業(yè)務目標而建立的機構(gòu)。[來源：GB/T20984—2007,3.11,有修改]3.15由具有數(shù)據(jù)采集與控制功能、縱向聯(lián)接使用專用網(wǎng)絡或?qū)Ｓ猛ǖ赖碾娏ΡO(jiān)控系統(tǒng)構(gòu)成的安全區(qū)域。3.16殘余風險residualrisk采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。3.17系統(tǒng)地使用信息來識別風險來源和估計風險。3.18風險評估riskassessment系統(tǒng)地辨識重要系統(tǒng)資源的潛在脆弱性和威脅，基于發(fā)生的概率量化損失風險和后果，并(可選地)建議如何對各對抗措施分配資源以使總風險最小的過程。注2:風險評估常與脆弱性評估相結(jié)合，以辨識脆弱性并量化相關(guān)風險。周期地執(zhí)行這些內(nèi)容是為了反映組織機構(gòu)3.19安全系統(tǒng)safetysystems安全上重要的系統(tǒng)，用于保證反應堆安全停堆、從堆芯排出余熱或者限制預計運行事件和設計基準事故后果。3.20網(wǎng)絡安全事件cybersecurityincident可能會造成網(wǎng)絡安全策略的違反、防護措施的失效，或進入未預知的不安全狀況的系統(tǒng)、服務或網(wǎng)絡的一種可識別狀態(tài)。3.21可能導致對系統(tǒng)或組織危害的不希望事故潛在起因。3.22脆弱性vulnerability系統(tǒng)設計、實現(xiàn)或操作和管理中存在的缺陷或弱點，可被利用來危害系統(tǒng)的完整性或安保策略。4GB/T41241—20224縮略語下列縮略語適用于本文件。B/S:瀏覽器/服務器模式(Browser/Server)C/S:客戶端/服務器模式(Client/Server)FTP:文件傳輸協(xié)議(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)HTTPS:以安全為目標的HTTP通道(HyperTextTransferProtocoloverSecureSocketLayer)Rlogin:遠程登錄命令(RemoteLogininUnixSystems)SSH:安全外殼協(xié)議(SecureShell)5核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全管理5.1網(wǎng)絡安全管理通用要求5.1.1管理體系的建立本項要求包括：工業(yè)控制系統(tǒng)網(wǎng)絡安全總體方針和安全策略，建立網(wǎng)絡安全管理制度，并將網(wǎng)絡安全管理納入日常安全生產(chǎn)管理體系；b)工業(yè)控制系統(tǒng)與信息系統(tǒng)能共用的安全管理制度，應沿用信息系統(tǒng)安全管理制度；c)信息系統(tǒng)安全管理制度不適用或未涉及工業(yè)控制系統(tǒng)的，應單獨建立相應的工業(yè)控制系統(tǒng)安全管理制度；d)應將工業(yè)控制系統(tǒng)網(wǎng)絡安全納入核電企業(yè)的核能安全、工業(yè)安全管理體系，加強能力建設，保障核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全；e)宜加強各類管理人員、內(nèi)部組織機構(gòu)和網(wǎng)絡安全管理部門之間的合作與溝通，定期召開協(xié)調(diào)會f)宜加強與網(wǎng)絡安全職能部門、各類供應商、業(yè)界專家和安全組織之間的溝通，并建立聯(lián)系列表。5.1.2安全管理及防護原則本項要求包括：a)核電廠應參照本單位網(wǎng)絡安全大綱等頂層文件和基本管理制度，指定和授權(quán)專門的部門對工業(yè)控制系統(tǒng)的網(wǎng)絡安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃；b)應根據(jù)工業(yè)控制系統(tǒng)的等級劃分情況，統(tǒng)一考慮網(wǎng)絡安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套文件，應定期根據(jù)等保測評、風險評估的結(jié)果進行修訂；c)應組織相關(guān)部門和安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關(guān)配套文件的合理性和正確性進行論證和審定，并向上級相關(guān)主管部門d)網(wǎng)絡安全防護方案(總體安全策略、安全技術(shù)框架、總體建設規(guī)劃、詳細設計方案等相關(guān)配套文件)應確保在網(wǎng)絡安全防護相應階段工作開始前完成；e)應根據(jù)核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡安全保護等級選擇基本安全措施，并依據(jù)國家能源局、核安5GB/T41241—2022f)核電廠應開展工業(yè)控制系統(tǒng)網(wǎng)絡安全風險評估工作，并根據(jù)風險評估的結(jié)果對網(wǎng)絡安全防護措施及時進行補充或調(diào)整；g)核電企業(yè)宜研究建立核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡安全實驗室或測試平臺等基礎設施，為上述本項要求包括：b)應明確工業(yè)控制系統(tǒng)網(wǎng)絡安全管理制度執(zhí)行責任的主體部門和人員；d)應定期組織相關(guān)部門和相關(guān)人員對工業(yè)控制系統(tǒng)網(wǎng)絡安全管理制度的合理性和適用性進行評本項要求包括：a)應明確由核電企業(yè)主管網(wǎng)絡安全工作的委員會或領(lǐng)導小組負責信息系統(tǒng)網(wǎng)絡安全與工業(yè)控制b)應設立獨立的行使工業(yè)控制系統(tǒng)網(wǎng)絡安全管理職能的組織機構(gòu)；機構(gòu)內(nèi)人員遵守機構(gòu)的安全管理措施；的組成和職責應經(jīng)各工業(yè)控制系統(tǒng)責任部門聯(lián)合審查確認。本項要求包括：本項要求包括：a)應指定或授權(quán)專門的部門或人員負責網(wǎng)絡安全相關(guān)崗位的人員錄用工作；b)應根據(jù)核電廠的網(wǎng)絡安全相關(guān)人員配備政策和現(xiàn)場網(wǎng)絡安全防護工作需求制定人員錄用計劃及錄用工作規(guī)程；括網(wǎng)絡安全的要求和責任；6GB/T41241—2022e)應從內(nèi)部人員中選拔從事網(wǎng)絡安全相關(guān)的關(guān)鍵崗位人員；f)應規(guī)定人員錄用記錄的保存時間，并按要求保存招聘過程和人員錄用抉擇的相關(guān)記錄。本項要求包括：a)應將工業(yè)控制系統(tǒng)網(wǎng)絡安全責任納入人員考核體系；b)應定期對工業(yè)控制系統(tǒng)各個崗位的人員進行安全技能及安全認知的考核；d)應按照企業(yè)保密制度定期對保密制度執(zhí)行情況進行檢查或考核；采取相應的懲罰措施；f)應對考核結(jié)果進行記錄并保存。本項要求包括：a)應針對工業(yè)控制系統(tǒng)人員離崗制定相應的管理制度；構(gòu)提供的軟硬件設備；c)應終止離職人員對工業(yè)控制系統(tǒng)的使用權(quán)限；d)網(wǎng)絡安全管理層和關(guān)鍵崗位人員調(diào)離崗位，應根據(jù)離崗單位相關(guān)的保密管理要求和流程執(zhí)行，本項要求包括：e)外部人員離場后應及時清除其所有訪問權(quán)限。本項要求包括：b)應定期對工業(yè)控制系統(tǒng)相關(guān)人員進行工業(yè)控制系統(tǒng)網(wǎng)絡安全培訓；c)應定期對從事工業(yè)控制系統(tǒng)網(wǎng)絡安全防護工作崗位的人員開展專業(yè)技能培訓；d)專業(yè)技能培訓內(nèi)容應包含實際的安全防護技術(shù)練習，以模擬實際的工業(yè)控制系統(tǒng)網(wǎng)絡安全攻e)應定期(每年至少一次)對各類人員進行安全保密意識教育和崗位技能培訓；g)應告知相關(guān)的網(wǎng)絡安全責任和獎懲措施，確保所有從業(yè)人員意識到網(wǎng)絡安全活動的相關(guān)性和7h)應妥善保存培訓過程中的各項記錄。5.2設計階段管理要求本項要求包括：b)應明確核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡安全保護等級及相關(guān)安全需求；c)應在核電廠工業(yè)控制系統(tǒng)初始設計階段包含工業(yè)控制系統(tǒng)網(wǎng)絡安全防護設計；e)應包含工業(yè)控制系統(tǒng)網(wǎng)絡安全防護的詳細設計。本項要求包括：a)應編制相關(guān)制度，用于明確核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全設計環(huán)節(jié)變更的工作流程；b)工業(yè)控制系統(tǒng)網(wǎng)絡安全設計變更應經(jīng)過充分的c)對于執(zhí)行核安全或核安全有關(guān)功能的工業(yè)控制系統(tǒng)，其網(wǎng)絡安全設計變更應有嚴格內(nèi)部審核e)應根據(jù)變更后對系統(tǒng)網(wǎng)絡安全防護方面的影響，進行相應的網(wǎng)絡安本項要求包括：作并行開展。GB/T22240、GB/T28448、GB/T28449、GB/T25058執(zhí)行。本項要求包括：本項要求包括：8GB/T41241—2022a)應確保采購的網(wǎng)絡安全產(chǎn)品或服務符合國家的相關(guān)要求，并通過國家網(wǎng)絡安全相關(guān)部門評估，具有網(wǎng)絡安全保障和網(wǎng)絡安全管理的相關(guān)功能；b)應確保采購用于工業(yè)控制系統(tǒng)的網(wǎng)絡安全產(chǎn)品，通過國家認可機構(gòu)的安全性檢測和電磁兼容性的檢測；c)應用于核電廠工業(yè)控制系統(tǒng)內(nèi)的網(wǎng)絡安全防護產(chǎn)品，應在使用前進行充分驗證，確保其不影響工業(yè)控制系統(tǒng)的可靠性和穩(wěn)定性后方可應用于現(xiàn)場；d)計劃應用于安全級工業(yè)控制系統(tǒng)的網(wǎng)絡安全防護產(chǎn)品，應具備工業(yè)網(wǎng)絡安全相關(guān)產(chǎn)品資質(zhì)，符合自主可控安全可信要求；e)應確保采購的密碼產(chǎn)品符合國家密碼管理規(guī)定。本項要求包括：a)應確保網(wǎng)絡安全產(chǎn)品供應商的選擇符合國家的有關(guān)規(guī)定；b)應明確供應商所需履行的網(wǎng)絡安全義務和防護措施，通過評審、檢查、測試等方式確保供應商網(wǎng)絡安全防護措施的有效性；c)應與供應商簽訂保密協(xié)議；d)在滿足功能、性能要求的前提下應優(yōu)先采用自主可控的工業(yè)控制系統(tǒng)及其網(wǎng)絡安全相關(guān)產(chǎn)品。5.4建設階段管理要求本項要求包括：a)應制定相關(guān)制度，明確工業(yè)控制系統(tǒng)建設環(huán)節(jié)中實施過程的管理方式和人員行為準則等內(nèi)容；b)建設環(huán)節(jié)的網(wǎng)絡安全防護措施應滿足設計文件要求，并明確建設階段的網(wǎng)絡安全管理要求；c)應為建設環(huán)節(jié)各重要節(jié)點設置明確驗證節(jié)點，驗證通過后方可開展后續(xù)建設工作，驗證報告應5.4.2驗收管理本項要求包括：a)應由工業(yè)控制系統(tǒng)建設方對系統(tǒng)進行網(wǎng)絡安全性測試，并提供可供復查的安全測試報告，由業(yè)主單位進行審核和確認；b)應由核電廠委托具有相關(guān)資質(zhì)的獨立第三方測評機構(gòu)對系統(tǒng)進行網(wǎng)絡安全測試，并出具安全測試報告；c)應驗證系統(tǒng)集成的網(wǎng)絡安全防護功能不影響系統(tǒng)的正常運行，部署的獨立安全工具應在部署前先進行兼容性測試，對可能造成影響的情況，應由建設方進行處理；d)進行滲透性測試的測試環(huán)節(jié)，應由業(yè)主單位和系統(tǒng)建設方進行溝通確認，并進行備份做好恢復準備措施；e)系統(tǒng)測試環(huán)境應獨立于系統(tǒng)運行環(huán)境和開發(fā)環(huán)境；f)系統(tǒng)測試過程中應避免使用個人信息或其他敏感信息，并保障測試用運行數(shù)據(jù)的安全性。本項要求包括：a)應制定相關(guān)制度，明確交付環(huán)節(jié)的管理要求和人員行為準則等內(nèi)容；9GB/T41241—2022c)應指定專人負責系統(tǒng)交付后的網(wǎng)絡安全管理；d)應交付系統(tǒng)網(wǎng)絡安全相關(guān)的文檔資料；e)應對負責系統(tǒng)運行管理的部門和人員進行相應的培訓。本項要求包括：度控制等設施進行維護管理；b)應對工業(yè)控制系統(tǒng)運行環(huán)境的出入人員進行相應級別的授權(quán)，對進入重要安全區(qū)域的活動行為進行實時監(jiān)視和記錄；c)應指定專門的部門或人員定期對工業(yè)控制系統(tǒng)運行環(huán)境物理訪問記錄進行檢查；d)應指定專門的部門或人員在發(fā)生事件或發(fā)現(xiàn)事件跡象的情況下對工業(yè)控制系統(tǒng)運行環(huán)境物理訪問記錄進行檢查。本項要求包括：置等所有為從災難中恢復而必要的信息；c)應確保采用的資產(chǎn)標識方法滿足標識清楚且不能涂改的要求，且不影響資產(chǎn)正常使用的要求，資產(chǎn)標記應包括物理和資料格式的資產(chǎn)；d)應根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行顏色醒目標識度區(qū)分管理，涉及網(wǎng)絡安全系統(tǒng)及其部件應本項要求包括：c)應根據(jù)變更需求制定變更實施方案，針對安全級工業(yè)控制系統(tǒng)的變更，實施前應開展模擬本項要求包括：GB/T41241—2022c)存儲介質(zhì)的使用應采用“借用審批，歸還確認”的制度，并嚴格控制其在工業(yè)控制系統(tǒng)中的d)應用于不同系統(tǒng)中的存儲介質(zhì)應有清楚地標識，并將其使用嚴格限制在所應用的系統(tǒng)中；e)存儲介質(zhì)在使用前應在專用殺毒計算機上殺毒，并留存殺毒記錄；g)應確保存儲介質(zhì)存放在安全的環(huán)境中，保存環(huán)境應符合所存儲數(shù)據(jù)等級的物理安全防護要求；i)應對送出維修的存儲介質(zhì)進行跟蹤記錄，在送修前應清除敏感或秘密數(shù)據(jù)；1)應禁止未經(jīng)授權(quán)的移動設備開啟無線功能。本項要求包括：授權(quán)考核；d)系統(tǒng)應配備相應的管理人員，在必要時能阻斷各層網(wǎng)絡邊界上異常的通信線路；應嚴格評估無線通信技術(shù)應用于核電廠工業(yè)控制不應在核電廠工業(yè)控制系統(tǒng)中使用遠程接入管理功能。本項要求包括：a)應建立賬戶管理流程與策略，應對系統(tǒng)賬戶管理流程與策略進行評審；b)應指定專門的部門或人員進行賬戶管理；GB/T41241—2022c)應及時對所有賬戶進行檢查，核查賬戶的分配是否經(jīng)過管理員授權(quán)、審批。本項要求包括：a)應制定口令管理制度，對各類用戶的口令進行管理；b)口令應根據(jù)工業(yè)控制系統(tǒng)及設備特點規(guī)定有效期和口令強度要求；c)應將存儲用戶口令的存儲介質(zhì)保存在實施嚴格物理訪問控制的安全位置；d)應使用安全的方式為用戶分配用戶及口令，應避免信息泄露，并要求用戶確認接收；e)應在分配用戶時僅設置安全的臨時口令，并強制用戶立即更改；f)應對登錄的用戶進行身份標識和鑒別，按照系統(tǒng)定級采取相應的系統(tǒng)登、離措施，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；g)應具有登錄失敗處理功能，應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和登錄連接超時自動退出等相關(guān)措施。本項要求包括：a)應針對用戶的訪問權(quán)限制定相應的管理制度，包括用戶權(quán)限的分配、變更、注銷和審核；b)用戶初始化創(chuàng)建時應不具備任何權(quán)限，僅由管理人員根據(jù)用戶的業(yè)務功能需求分配最小權(quán)限；c)應明確標識系統(tǒng)內(nèi)全部的特殊權(quán)限(包含操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和業(yè)務應用程序等),以及需要具備這些特殊權(quán)限的用戶；e)應根據(jù)用戶的崗位變動，重新分配相應用戶的訪問權(quán)限并進行審核。5.5.11補丁及漏洞管理本項要求包括：a)應建立并實施關(guān)于系統(tǒng)、設備的補丁和漏洞管理程序，并制定工業(yè)控制系統(tǒng)補丁安裝流程；b)應采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后決定是否進行修補；c)應評估并確定補丁安裝對系統(tǒng)安全的影響，確保補丁安裝后系統(tǒng)能夠滿足目標安全等級；d)安裝系統(tǒng)補丁程序或升級設備程序前，應在測試環(huán)境中測試通過后，并對重要文件進行備份，方可實施系統(tǒng)補丁程序的安裝，補丁安裝前應做好應急方案；e)補丁升級工作應安排在系統(tǒng)空閑時間，減少對系統(tǒng)業(yè)務功能穩(wěn)定運行的影響。5.5.12備份與恢復管理本項要求包括：和保存期等進行規(guī)范；b)應根據(jù)數(shù)據(jù)所屬系統(tǒng)的重要性及其對核電廠工業(yè)控制系統(tǒng)的影響，制定數(shù)據(jù)的備份策略和恢換頻率等；c)應根據(jù)系統(tǒng)的數(shù)據(jù)備份策略，制定相應的災難恢復計劃，并對其進行測試以確保各個恢復規(guī)程的正確性和計劃整體的有效性，對不適用的規(guī)定進行修改或更新；GB/T41241—2022f)應將重要操作系統(tǒng)和業(yè)務系統(tǒng)的備份信息存儲在隔離設備或者沒有配置操作軟件的存儲g)對需要采取加密或數(shù)據(jù)脫敏處理的備份數(shù)據(jù)，進行備份和加密操作時要求兩名工作人員在場；h)應建立異地備份策略，異地備份存儲場所的物理環(huán)境安全要求應與系統(tǒng)本地相同；i)應對異地備份存儲設備進行適當配置，確保其能夠及時有效的執(zhí)行恢復操作。本項要求包括：統(tǒng)運行帶來風險；e)應制定維修階段外接設備、移動存儲介質(zhì)的管理要求；f)不應將外部人員攜帶未經(jīng)審核檢查的移動存儲介質(zhì)、外接設備等接入工業(yè)控制系統(tǒng)。本項要求包括：a)應制定核電廠工業(yè)控制系統(tǒng)業(yè)務連續(xù)性的設計規(guī)劃，識別進行連續(xù)性規(guī)劃時所面臨的風險以b)應用于工業(yè)控制系統(tǒng)的移動存儲介質(zhì)、設備在報廢時應執(zhí)行物理銷毀；本項要求包括：a)核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡安全管理制度應包含工業(yè)控制系統(tǒng)設施退役和人員離崗相關(guān)的管本項要求包括：GB/T41241—2022a)應對退役工業(yè)控制系統(tǒng)進行評估，重點考慮被退役的硬件和軟件的網(wǎng)絡安全要求；b)退役過程應重點考慮退役系統(tǒng)的保密性要求，確保敏感信息不會泄露；c)應對系統(tǒng)退役后的殘余風險進行評估，確保殘余風險是在電廠的可接受范圍內(nèi)。本項要求包括：a)應建立與保護對象相關(guān)的設備清單，明確資產(chǎn)管理的責任人員或責任部門，并對資產(chǎn)的轉(zhuǎn)移和銷毀等進行規(guī)范化管理；c)對退役報廢的系統(tǒng)和設備應按相關(guān)要求，銷毀含敏感信息的介質(zhì)和重要安全設備；d)應對退役設備執(zhí)行報廢流程，在對服務器、終端、網(wǎng)絡設備采取相應網(wǎng)絡安全措施后報廢設備；e)應對載有敏感信息的媒體加以安全妥當?shù)谋４婊虿捎冒踩姆绞郊右蕴幹?；f)應對包含存儲介質(zhì)的退役設備進行全面核查，以確保在處置之前，任何敏感信息和注冊軟件已被刪除。具體可進行物理銷毀，或采用使原始信息不可獲取的技術(shù)進行破壞、刪除或?qū)懜采w，不得采用一般的刪除或格式化處理；g)應對退役設備的處置進行記錄，以便保持審核記錄；應指定專門的部門或人員定期對資產(chǎn)的變動情況進行審核。6核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全技術(shù)防護6.1防護總體要求和縱深防御原則核電廠工業(yè)控制系統(tǒng)的防護總體原則應遵循國家網(wǎng)絡安全等級保護和電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護的原則。核電廠應建立工業(yè)控制系統(tǒng)網(wǎng)絡安全縱深防御模型，根據(jù)系統(tǒng)的重要性劃分安全防護等級，并為不同等級的系統(tǒng)制定相應的防護措施，各層防護措施的有效性應保持連續(xù)且相對獨立。安全重要的工業(yè)控制系統(tǒng)應處于防御模型的最嚴等級。核電廠網(wǎng)絡安全防護等級的說明見附錄A。6.2系統(tǒng)安全防護基本要求6.2.1物理安全防護本項要求包括：b)機房應避免設在建筑物頂層或地下室以及用水設備的下層或隔壁；c)機房應配置電子門禁系統(tǒng)以加強物理訪問控制，控制、鑒別和記錄進入的人員，并對關(guān)鍵設備及磁介質(zhì)實施電磁屏蔽；d)進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。6.2.2分區(qū)分域及邊界防護本項要求包括：a)電廠生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的通信必須部署經(jīng)國家主管部門檢測認證的專用單向安全隔離裝置；b)嚴格禁止E-mail、HTTP、Telnet、Rlogin、FTP等安全風險高的網(wǎng)絡服務和以B/S或C/S方GB/T41241—2022式的數(shù)據(jù)庫訪問穿越電力專用橫向單向隔離裝置；c)具備對邊界防護有效性進行實時監(jiān)控和邊界防護失效后及時報警的能力；e)選用的工業(yè)防火墻應具備對流經(jīng)控制區(qū)與非控制區(qū)工業(yè)控制通信協(xié)議進行過濾的功能，且不影響工業(yè)控制系統(tǒng)數(shù)據(jù)傳輸?shù)捻憫?；f)生產(chǎn)控制大區(qū)內(nèi)同屬一個安全區(qū)域的各工業(yè)控制系統(tǒng)之間宜采用VLAN或訪問控制等安全本項要求包括：c)對登錄網(wǎng)絡設備、安全設備應采用HTTPS、SSH等加密方式進行，同時輔以安全審計等管理措施；f)生產(chǎn)控制大區(qū)內(nèi)應部署網(wǎng)絡監(jiān)控審計系統(tǒng)進行網(wǎng)絡數(shù)據(jù)流監(jiān)控審計，宜具備指令級監(jiān)控審計g)生產(chǎn)控制大區(qū)和管理信息大區(qū)之間應部署網(wǎng)絡入侵檢測設備，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界本項要求包括：a)生產(chǎn)控制大區(qū)內(nèi)主機應采用免受惡意代碼攻擊的技術(shù)措施；c)對不適宜部署惡意代碼防護的主機h)應合理設置安全審計設備存儲容量，保障安全審計日志保存時間不低于6個月；增強措施的安全效應；k)宜采用自主可控的安全增強系統(tǒng)實現(xiàn)以上要求。6.2.5可信驗證安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡以及安全管理中心可具備可信驗證的能力。計算節(jié)點可基于可信根實現(xiàn)開機到操作系統(tǒng)啟動，再到應用程序啟動的可信驗證，并將驗證結(jié)果形成審計記錄。6.2.6集中管控本項要求包括：a)應劃分出特定的管理區(qū)域，對分布在網(wǎng)絡中的安全設備或安全組件進行管控；b)網(wǎng)絡中的安全設備或安全組件應使用一條安全的信息傳輸路徑進行管理；c)應對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測；d)應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求；e)應對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理；f)應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析；g)應在專用場所建立集中的監(jiān)控中心；h)應獨立實行系統(tǒng)管理、審計管理和安全管理。6.3核安全功能與網(wǎng)絡安全功能的協(xié)同6.3.1核安全功能與網(wǎng)絡安全功能原則要求核電廠工業(yè)控制系統(tǒng)的網(wǎng)絡安全措施的實現(xiàn)不應影響核安全功能的實現(xiàn)，需要考慮對工業(yè)控制系統(tǒng)的網(wǎng)絡失效模式和失效后果影響，對工業(yè)控制系統(tǒng)的性能(包括響應時間)、有效性、可靠性或安全重要功能操作的影響應在設計安全規(guī)范范圍內(nèi)。6.3.2工業(yè)控制系統(tǒng)網(wǎng)絡安全應急與核安全應急協(xié)調(diào)機制本項要求包括：a)應將工業(yè)控制系統(tǒng)網(wǎng)絡安全應急響應納入應急管理體系中進行統(tǒng)一管理；b)核電廠的工業(yè)控制系統(tǒng)應急組織的協(xié)調(diào)演練和緊急處理程序的演練不應影響核安全功能。7核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全應急管理7.1應急管理體系a)應建立工業(yè)控制系統(tǒng)網(wǎng)絡安全應急響應的組織，組織的負責人應為電廠生產(chǎn)運維領(lǐng)域或工業(yè)控制網(wǎng)絡安全領(lǐng)域第一負責人；b)工業(yè)控制系統(tǒng)的運維工程師、核安全工程師和其他運行及支持人員應參與應急組織；c)明確安全事件類型及分類原則，確定各類安全事件的報告流程，響應和處理的范圍、程度和處置方案等內(nèi)容；d)應急預案應包含全部工業(yè)控制系統(tǒng)可能發(fā)生的網(wǎng)絡事件及導致的故障或問題；GB/T41241—2022g)應制定應急培訓和演練的計劃，確保所有人員均進行了各自應急活動方面的培訓和練習；h)應急響應過程中形成的所有文檔和記錄均應妥善保存。本項要求包括：b)應明確規(guī)定應急響應的方針策略、制度、計劃、預案等規(guī)程性文檔需要定期進行審核和更新d)應定期對過去的安全事件進行總結(jié)提煉，將相應的改進行動落實到網(wǎng)絡安全管理體系中。本項要求包括：擊事件和其他安全事件的方法；b)應定期(每年至少一次)對應急響應工作人員進行專項應急培訓，確保人員熟悉各自的應急響有關(guān)人員熟悉各自應急響應任務的變化；a)應對系統(tǒng)可能遭受的網(wǎng)絡安全事件進行等級劃分，并建立網(wǎng)絡安全事件應急預案和現(xiàn)場處置方案；b)應監(jiān)控工業(yè)控制系統(tǒng)網(wǎng)絡安全邊界，以確保及時發(fā)現(xiàn)存在潛在的安全威脅并采取相應的措施；c)應跟蹤和記錄系統(tǒng)內(nèi)網(wǎng)絡安全事件，對重要系統(tǒng)的異常事件重點監(jiān)視；本項要求包括：b)應定期組織網(wǎng)絡安全機構(gòu)與工業(yè)控制系統(tǒng)運行部門間關(guān)于系統(tǒng)網(wǎng)絡安全事件的溝通交流；GB/T41241—2022向相應的主管部門匯報。本項要求包括：應持續(xù)完善提升處置能力；b)應針對不同等級的網(wǎng)絡安全事件采用不同的處理和報告程序；c)涉及國家秘密的網(wǎng)絡安全事件應按照國家保密相關(guān)法規(guī)進行處置；d)在網(wǎng)絡安全事件的報告和處置過程中，應分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程；本項要求包括：a)系統(tǒng)應具備在規(guī)定的時間內(nèi)，進行實時或準實時的恢b)應確保系統(tǒng)恢復后，系統(tǒng)運行狀態(tài)與7.3應急響應本項要求包括：c)應與各外部支持單位建立密切協(xié)作關(guān)系，確保支持單位了解應急響應工作和責任；d)應協(xié)調(diào)應急響應工作相關(guān)計劃和活動與其他工作計劃和活動之間的協(xié)調(diào)性和一致性。本項要求包括：b)核電廠運營單位應定期組織工業(yè)控制系統(tǒng)網(wǎng)絡安全(不超過12個月至少進行一次)應急演練，包括應急組織的協(xié)調(diào)演練和應急處理程序的演練；c)應急組織的演練以面向工業(yè)控制系統(tǒng)的故障或網(wǎng)絡安全攻擊為目標，應急響應組織負責人作序進行修訂完善；g)核電廠應編制工業(yè)控制系統(tǒng)網(wǎng)絡安全事件應急預案，并根據(jù)應急演練反饋或發(fā)生重大變化時GB/T41241—20227.4網(wǎng)絡安全應急與核安全應急協(xié)同本項要求包括：a)應建立工業(yè)控制系統(tǒng)網(wǎng)絡安全應急與核安全應急協(xié)調(diào)機制；b)應判斷工業(yè)控制系統(tǒng)網(wǎng)絡安事件是否導致核安全事件發(fā)生；c)應急過程中導致核安全事件發(fā)生，應統(tǒng)一進行應急指揮調(diào)度。GB/T41241—2022(資料性)核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全定級說明針對核電廠工業(yè)控制系統(tǒng)，應根據(jù)對系統(tǒng)成功進行網(wǎng)絡攻擊所造成的對電廠安全和發(fā)電影響的最大后果，分配系統(tǒng)的網(wǎng)絡安全設防等級。應從功能角度考慮系統(tǒng)，考慮其可能對電廠安全及發(fā)電所產(chǎn)生的直接或間接影響，并根據(jù)系統(tǒng)實施的最敏感的功能(即被惡意操縱或中斷時產(chǎn)生的影響最為嚴重的功能)來分配該系統(tǒng)的網(wǎng)絡安全設防等級。如果系統(tǒng)與網(wǎng)絡安全設防等級更高級別的系統(tǒng)存在連接或接口，并且本系統(tǒng)遭受網(wǎng)絡安全攻擊會對高級別系統(tǒng)實現(xiàn)其功能產(chǎn)生不利影響，那么可為該系統(tǒng)分配更為嚴格的網(wǎng)絡安全設防等級。核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全設防等級由1級(需最少保護)至5級(需最多保護)構(gòu)成。網(wǎng)絡安全5級和4級的系統(tǒng)或設備受到損壞后，可能會使電廠安全受損，導致不同程度的輻射防護屏障失效，造成放射性物質(zhì)向外釋放，因此有可能對公眾健康和安全造成不利影響。例如執(zhí)行保護功——保護功能：反應堆保護系統(tǒng)；其中執(zhí)行保護功能的系統(tǒng)屬于網(wǎng)絡安全5級，其他系統(tǒng)屬于網(wǎng)絡安全4級。網(wǎng)絡安全3級用于構(gòu)建隔離緩沖網(wǎng)絡，與網(wǎng)絡安全4級系統(tǒng)存在通信接口，但是實施了單向隔離，例如設置了隔離裝置的通信接口系統(tǒng)。網(wǎng)絡安全2級為一般工業(yè)系統(tǒng)或生產(chǎn)管理系統(tǒng)，此類系統(tǒng)受到損壞后，可能對電廠正常運行和控制造成損害，中斷系統(tǒng)的正常運行，造成設備損壞等，但不會造成放射性物質(zhì)向外釋放。例如模擬機系統(tǒng)、外圍就地控制系統(tǒng)等。網(wǎng)絡安全1級系統(tǒng)對于技術(shù)控制或運行目的沒有直接重要性，主要為電廠信息管理系統(tǒng)，此類系統(tǒng)受到損壞后，可能對核電廠運營單位的合法利益造成損害，如造成電廠信息的泄露，使電廠日常運行變得更加困難，增加行政負擔等。例如辦公自動化系統(tǒng)，行政檔案管理系統(tǒng)等。核電廠應建立工業(yè)控制系統(tǒng)網(wǎng)絡安全縱深防御架構(gòu)，建立嚴格的通信邊界，在邊界上采取防御措設防措施逐層增強的防御層，實現(xiàn)多層邊界防護的獨立性和多樣性，防止他人通過多層網(wǎng)絡中相同或相似的安全漏洞，非法訪問或控制系統(tǒng)和設備。圖A.1給出了一種核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全防御模型。表A.1給出了一種核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全設防等級劃分原則。網(wǎng)絡安企2級生產(chǎn)管理系統(tǒng)網(wǎng)絡安全1級網(wǎng)絡安企3級緩沖網(wǎng)絡不受保護網(wǎng)絡安企2級生產(chǎn)管理系統(tǒng)網(wǎng)絡安全1級網(wǎng)絡安企3級緩沖網(wǎng)絡不受保護的網(wǎng)絡和互聯(lián)網(wǎng)/4級信息管理系統(tǒng)信息管理系統(tǒng)非安全級工業(yè)控制系統(tǒng)圖A.1核電廠工業(yè)控制系統(tǒng)網(wǎng)絡安全防御模型網(wǎng)絡安全設防等級要求典型系統(tǒng)5級等級保護3級及以上遵照《工業(yè)控制系統(tǒng)信息安全防護指南》參照GB/T33009.1—2016反應堆保護系統(tǒng)4級等級保護3級及以上遵照《工業(yè)控制系統(tǒng)信息安全防護指南》參照GB/T33009.1—2016過程控制的儀控系統(tǒng)、主控制室的操作和監(jiān)視系統(tǒng)以及報警系統(tǒng)等3級等級保護2級以上遵照《工業(yè)控制系統(tǒng)信息安全防護指南》通信緩沖網(wǎng)絡2級等級保護2級模擬機系統(tǒng)、外圍就地控制系統(tǒng)1級商業(yè)級信息安全，由核電廠業(yè)主確定保護程度辦公自動化系統(tǒng)，行政檔案管理系統(tǒng)等GB/T41241—2022[1]GB/T15474—2010核電廠安全重要儀表和控制功能分類信息技術(shù)安全技術(shù)密鑰管理第1部分：框架[3]GB/T20984—2007信息安全技術(shù)信息安全風險評估規(guī)范[4]GB/T22239—2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求[5]GB/T25069—2010信息安全技術(shù)術(shù)語[6]GB/T25070—2019信息安全技術(shù)網(wǎng)絡安全等級保護設計技術(shù)要求[7]GB/T28455—2012信息安全技術(shù)引入可信第三方的實體鑒別及接