今日頭條
官方微信
官方抖音
案例頻道★北京廣利核系統工程有限公司劉春明
關鍵詞:網絡安全;信息安全;自動化;等級保護
1 引言
工業自動化產品是生產過程中不可或缺的技術手段,是現代化工業體系的重要組成部分。隨著工業自動化產品網絡化和信息化程度的提高,其面臨的網絡安全風險也日益增加。核電DCS是核電廠的中樞神經,控制著核電廠的安全運行,一旦受到網絡攻擊,將直接影響核電企業生產和經濟利益,甚至威脅國家安全。因此,加強核電DCS網絡安全技術的研究和開發,已經成為當今重要的研究領域和社會需求。
本文通過對國內網絡安全法律、法規、標準的研究,對重點內容進行了摘取和分析,得到了一份標準清單,指導了核電DCS網絡安全技術研究,提高了核電DCS的安全性和穩定性,降低了網絡安全風險,推動了國內核電DCS網絡安全技術發展,提升了我國核電DCS的競爭力,促進了相關領域的研究水平和應用技術水平,促進了學術交流和技術創新,為保障國家網絡安全做出了貢獻。
2 標準研究范圍
核電DCS設計、生產制造的所有過程均需滿足我國核安全領域標準法律法規的要求。我國核安全領域標準法律法規層次分為五層:頂層為全國人大常委會批準,國家主席令頒布的法律;第二層為國務院批準,國務院令發布的行政法規;第三層為各部委批準和發布的管理條例細則、核安全規定、強制性標準;第四層為各部委批準和發布的核安全導則、推薦標準;第五層為各部委批準和發布的核安全法規技術文件。國內核電標準體系層次圖如圖1所示。
圖1 核電標準體系層次圖
網絡安全標準體系可以參考核電標準體系,從法律、管理條例開始,進一步分析管理條例細則、標準、技術文件等,層層分解細化網絡安全的要求。
2017年,《中華人民共和國網絡安全法》正式實施,它屬于網絡安全領域的基本法,是從國家層面對網絡安全等級保護工作的法律認可。網絡安全法中明確提到信息安全的建設要遵照網絡安全等級保護標準。
網絡安全等級保護工作是國家網絡安全的基礎性工作,是《網絡安全法》要求我們履行的一項安全責任。2019年陸續發布的一系列網絡安全等級保護相關標準對工業控制系統提出了擴展要求,這些要求同樣適用于核電DCS。
《網絡安全法》的實施標志著網絡安全等級保護2.0的正式啟動。圖2展示了等級保護2.0標準體系的主要標準。
圖2 等級保護2.0標準體系
2020年,《密碼法》正式實施,規范了密碼應用和管理,促進了密碼事業發展,保障了網絡與信息安全,維護了國家安全和社會公共利益,保護了公民、法人和其他組織的合法權益。緊接著2021年,隨著《數據安全法》的出臺,我國在網絡與信息安全領域的法律法規體系得到了進一步的完善。同年,國務院第745號令《關鍵信息基礎設施安全保護條例》公布,并于9月1日起施行,明確了關鍵信息基礎設施的定義和認定程序。國內網絡安全相關法律、管理實施的實施,標志著我國網絡安全領域進入新的篇章。
通過對工業自動化產品網絡安全的理解以及對相關法律的調研,我們提煉總結出核電DCS網絡安全需要研究的法規、條例和標準,并將它們總結成一份清單,如表1所示。
表1 標準研究清單
3 標準內容研究及分析
3.1 國家強制要求法規和條例
3.1.1 網絡安全法
《中華人民共和國網絡安全法》是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,是為保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展而制定。《網絡安全法》明確了部門、企業、社會組織和個人的權利、義務和責任,規定了國家網絡安全工作的基本原則、主要任務和重大指導思想、理念。將成熟的政策規定和措施上升為法律,為政府部門的工作提供了法律依據,體現了依法行政、依法治國要求。
《網絡安全法》中明確規定國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
相比普通網絡運營者,《網絡安全法》對關鍵信息基礎設施運營者在安全保障方面提出了特殊要求:在人的方面,《網絡安全法》提出應設置專門的管理機構和負責人,對負責人和關鍵崗位人員進行安全背景審查,定期對從業人員進行教育培訓和技能考核;在系統層面,應對重要系統和數據庫進行容災備份,制定應急預案并定期組織演練;在評估方面,每年至少進行一次安全性檢測評估,并將相關評估報告報送相關主管部門;在供應鏈方面,采購可能影響國家安全的網絡產品和服務應當通過國家安全審查,采購雙方應簽訂安全保密協議;在數據留存傳輸方面,運營者需將運營中收集和產生的公民個人信息和重要業務數據存儲在我國境內,如因業務需要,確需向境外提供的,應進行安全評估。核電DCS應遵循《網絡安全法》中有關網絡安全等級保護制度和保護關鍵信息基礎設施的要求,并積極參與關鍵信息基礎設施保護體系的建設。
3.1.2 密碼法
《密碼法》是為了規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益而制定的法律。《密碼法》中所稱密碼,是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。國家對密碼實行分類管理,密碼分為核心密碼、普通密碼和商用密碼,其中核心密碼、普通密碼用于保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。核心密碼、普通密碼屬于國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。商用密碼用于保護不屬于國家秘密的信息,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。
《密碼法》明確規定國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。商用密碼技術合作的前提是基于自愿原則和商業規則,行政機關不得要求強制轉讓商用密碼技術。涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供。對于大眾消費類產品所采用的商用密碼不實行進口許可和出口管制制度,也就是說社會公眾通過常規零售渠道購買的,只供個人使用的,對國家安全、社會公共利益帶來的風險較小且可控的,不在管理范圍之內。商用密碼產品檢測認證適用《中華人民共和國網絡安全法》的有關規定,避免重復檢測認證。商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
核電DCS作為關鍵信息基礎設施,應依法使用商用密碼,并提供滿足商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估和網絡安全等級測評的產品。
3.1.3 數據安全法
《中華人民共和國數據安全法》規范了數據安全主管機構的監管職責,建立了健全數據安全協同治理體系,提高了數據安全保障能力,促進了數據出境安全和自由流動,促進了數據開發利用,保護了個人、組織的合法權益,維護了國家主權、安全和發展利益,讓數據安全有法可依、有章可循,為數字化經濟的安全健康發展提供了有力支撐。
《數據安全法》明確了國家推進數據開發利用技術和數據安全標準體系建設。國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告。國家機關為履行法定職責需要收集、使用數據,應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供。
《數據安全法》對行業組織提出了制定安全行為規范、加強行業自律、指導會員加強數據安全保護的要求。這項法規有效地消滅了灰色地帶,對各行業都形成了法律約束,杜絕了數據的隨意共享和流轉。
3.1.4 關鍵信息基礎設施安全保護條例
關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護,強化和落實關鍵信息基礎設施運營者主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全。
從《關鍵信息基礎設施安全保護條例》的內容分析可以得出能源電力信息安全是國家的關鍵信息基礎設施,核電站是電力行業信息的重中之重,一旦核電站發生信息安全事件后會對國家安全、國計民生和公共利益造成嚴重危害。
3.2 通用網絡安全要求
3.2.1 信息安全技術 網絡安全等級保護基本要求
為了配合《中華人民共和國網絡安全法》的實施,同時適應云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用情況下網絡安全等級保護工作的開展,國家標準GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》于2019年正式實施。其代替了GB/T22239-2008,針對網絡安全共性安全保護需求提出了安全通用要求,并對云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用領域的個性安全保護需求提出了安全拓展要求,形成了新的網絡安全等級保護基本要求標準。
3.2.2 信息技術安全 網絡安全等級保護安全設計
技術要求GB/T25070-2019《信息安全技術網絡安全等級保護安全設計技術要求》規定了第一級到第四級等級保護對象的安全設計技術要求,每個級別的安全設計技術要求均由安全通用設計技術要求和安全擴展設計技術要求構成,安全擴展設計技術要求包括了云計算、移動互聯、物聯網、工業控制系統等方面。第一級到第三級的安全設計技術要求均包含安全計算環境、安全區域邊界、安全通信網絡、安全管理中心等四個方面。在第四級的安全設計技術要求增加了系統安全保護環境結構化設計技術要求方面。
3.2.3 信息安全技術 網絡安全等級保護測評要求
GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》規定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求,適用于安全測評服務機構、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評并提供指南,也適用于網絡安全職能部門進行網絡安全等級保護監督檢查時參考使用。相比于GB/T28448-2012,GB/T28448-2019細化了單項測評的規定,增加了等級測評的拓展要求,并對測評力度進行了更嚴格的規定。
3.2.4 信息安全技術 信息系統密碼應用基本要求
GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》是貫徹落實《中華人民共和國密碼法》、指導我國商用密碼應用與安全性評估工作開展的綱領性、框架性標準。該標準分五個級別,從信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個層面提出了密碼應用技術要求,保障了信息系統的實體身份真實性、重要數據的機密性和完整性、操作行為的不可否認性,并從信息系統的管理制度、人員管理、建設運行和應急處置四個方面提出了密碼應用管理要求,為信息系統提供了管理方面的密碼應用安全保障。
3.2.5 信息系統安全 等級保護定級指南研究
GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》主要是對信息系統的定級指引,包含內容有:等級保護對象介紹、定級要素與安全保護等級的關系、定級流程、不同保護對象的定級說明等。該標準替代GB/T22240-2008,主要為信息系統運營使用單位開展網絡安全等級保護工作提供指導,行業主管部門可以依據《定級指南》,結合行業特點和信息系統實際出臺行業定級細則,保證行業內信息系統在不同地區等級的一致性,以指導本行業信息系統定級工作的開展。
3.2.6 信息安全技術 網絡安全等級保護實施指南研究
GB/T25058-2019《信息安全技術網絡安全等級保護實施指南》介紹和描述了實施網絡安全等級保護過程中涉及的階段、過程和需要完成的活動,通過對過程和活動的介紹,使大家了解對等級保護對象實施等級保護的流程方法,以及不同的角色在不同階段的作用等。
3.3 核電領域網絡安全要求
3.3.1 核電廠儀表和控制系統計算機安全防范總體要求
NB/T20428-2017《核電廠儀表和控制系統計算機安全防范總體要求》為防止、檢測和應對采用數字化手段針對I&c系統的惡意行為(網絡攻擊)規定適當的計劃措施,屬于核電廠控制系統的安全防范總要求,涉及到安全防范的研制與應用的全生命周期過程和要求,包括內生網絡安全的等級劃分、區域劃分、訪問控制和數據安全等。
核電DCS系統/軟件分為A類、B類、C類。根據NB_T20428-2017核電廠儀表和控制系統計算機安全防范總體要求的規定,安全防范等級與核電安全的關系如表2所示。
表2 安全防范等級與核電安全的關系
3.3.2核電廠儀表和控制系統網絡安全防范管控
GB/T43532-2023《核電廠儀表和控制系統網絡安全防范管控》規范了核電廠新建儀控系統生命周期所有階段(包括儀控平臺開發、儀控系統工程建設、儀控系統運行和維護、退役等)安全管控措施選擇和執行活動,包括訪問控制、密碼、通信等。該標準的網絡安全相關技術要求歸為網絡安全和核安全的協調要求、區域劃分、數據安全、可信驗證、安全審計、訪問控制,以及測試與驗證技術要求。
4 結論
《網絡安全法》構筑了網絡安全的基礎,強調了網絡安全的保護,為網絡空間的整體安全和有序發展奠定了總基調,它與《關鍵信息基礎設施安全保護條例》等配套規定共同構建了網絡空間的合規框架。《數據安全法》則是搭建數據安全的基礎,它強調數據安全的保護,尤其注重重要數據和國家核心數據的保護,規制對象“數據”的載體不僅限于網絡數據。《密碼法》要求作為提供關鍵信息基礎設施的設備供應商,應依法使用商用密碼,并提供滿足商用密碼應用安全性評估、關鍵信息基礎設施安全檢測評估和網絡安全等級測評的產品。
核電DCS網絡安全在滿足國家強制要求法和條例基礎上,要同時滿足核電領域網絡安全要求,參考通用網絡安全要求,所有網絡安全應用的前提是不能影響核電功能安全。
核電DCS網絡安全標準是保障核電站安全穩定運行的重要基礎。通過分析核電DCS網絡安全標準的重要性、現狀及其挑戰,本文提出了相應的建議和對策。未來,我們應持續關注網絡安全技術的發展和攻擊手段的變化,不斷完善和更新核電DCS網絡安全標準,為核電行業的網絡安全提供有力保障。
作者簡介:
劉春明(1983-),男,北京人,高級工程師,碩士,現就職于北京廣利核系統工程有限公司,主要從事核電網絡安全方面的研究。
參考文獻:
[1] 姚相振, 周睿康, 范科峰. 網絡安全標準體系研究[J]. 信息安全與通信保密, 2015, 7 : 53 - 56.
[2] 覃華. 國內外網絡安全標準研究[J]. 儀器儀表用戶, 2019, 26 (7) : 97 - 99.
[3] 中華人民共和國第十二屆全國人民代表大會常務委員會. 中華人民共和國網絡安全法[Z]. 2016.
[4] 第十三屆全國人民代表大會常務委員會. 中華人民共和國密碼法[Z]. 2019.
[5] 第十三屆全國人民代表大會常務委員會. 中華人民共和國數據安全法[Z]. 2021.
[6] 國務院常務會. 關鍵信息基礎設施安全保護條例[Z]. 2021.
[7] GB/T 22239-2019, 信息安全技術 網絡安全等級保護基本要求[S].
[8] GB/T 25070-2019, 信息技術安全 網絡安全等級保護安全設計技術要求[S].
[9] GB/T 28448-2019, 信息安全技術 網絡安全等級保護測評要求[S].
[10] GB/T 39786-2021, 信息安全技術 信息系統密碼應用基本要求[S].
[11] GB/T 22240-2020, 信息安全技術 網絡安全等級保護定級指南[S].
[12] GB/T 25058-2019, 信息安全技術 網絡安全等級保護實施指南[S].
[13] NB/T 20428-2017, 核電廠儀表和控制系統計算機安全防范總體要求[S].
[14] GB/T43532-2023, 核電廠儀表和控制系統網絡安全防范管控[S].
摘自《自動化博覽》2024年7月刊
北京市公安局海淀分局備案號:11010802023656號