标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
NB/T 20428-2017 核电厂仪表和控制系统计算机安全防范总体要求.pdfNB/T204282017
注1:采用硬件描述语言(HDL)和相关工具(例如:仿真器、合成器)将预先开发好的微电子资源进行适当的组 合米实现需求。 注2:HPD的开发可以使用预先开发的(功能)块。 注3:HPD通常基于空白的FPGA、PLD,或者类似的微电子技术进行开发。 [IAEA Safetyglossary,2007edition]
I&C功能I&Cfunction 对工艺过程的指定部分实施控制、操作和(或)监督的功能GM/T 0094-2020 公钥密码应用技术体系框架规范, NB/T20026—2014.3.321
I&C系统I&Csystem 基于电气和(或)电子和(或)可编程电子技术的系统,它执行I&C功能以及与系统自身运行有关 的服务和监督功能。 本术语作为通用术语适用于系统的所有部件(例如,内部电源、传感器和其他输入设备、数据总线 和其他通信路径、对驱动器和其他输出设备的接口)。系统内的不同功能可使用专用资源或共享资源。 注1:见"I&C功能”。 注2:任何网络要么是I&C系统的一部分,要么本身就是一个I&C系统。 [NB/T 20026—2014,3.35]
&C系统I&Csystem
完整性integrity 保护资产准确和完备的特性。 [GB/T 292462012]
安全防范等级securitydegree
安全防范等级securitydegree
NB/T204282017
依据一个系统遭受网络攻击时在电厂安全和性能方面的最严重后果,分配该系统的对应不同要求的 安全保护等级, 注:本标准的子条款5.2.3中规定了S1、S2、S3三个安全防范等级。附录A中提供了I&C系统使用这三个安全防范 等级的理由。本标准仅考虑I&C系统,而不对其他类型系统的安全防范等级作任何的假设。从核电厂全局角度 来看,非I&C系统(例如办公计算机)也许会分配到其他的安全防范等级,从而会出现多于三种安全防范级别的 分级方法。
安全防范区域securityzone
安全防范区域指的是,为了便于管理、通信和保护措施的应用而对基于计算机的I&C系统进行分 注:安全防范区域是分级方法的实际架构实现。安全防范区域没有数量限制。它们可以是逻辑的和(或)物理 安全防范区域与相关的地理分隔之间没有直接的对应关系。 [IAEANuclearSecuritySeriesNo.17:2011]
漏洞vulnerability 资产或者安全防范管控中可以被威胁所利用的薄弱环节。 [IAEANuclear Security Series No.17:201]]
5制定和管理核电厂I&C系统计算机安全防范计划
NB/T 204282017
计算机安全防范计划的管理应确保所有必要的计算机安全防范问题纳入核电厂安保计划的策略和 程序内,以满足监管部门和企业的要求。它应与核电厂安保计划和现场当前的策略、计划、实践和程序 的框架相协调。 持久的I&C系统安全防范计划的实施应整合或者紧密结合I&C系统专家、计算机安全专家和实物保 护专家。 在设计和开发阶段,可能有不同的公司负责开发不同的I&C系统。设计者应明确规定I&C系统供应 商在计算机安全方面的职责,并验证供应商履行了这些职责。 在I&C系统生命周期中参与任何部分开发的所有组织都应记录其组织结构和每个职位的相关责任 来支持系统的计算机安全防范计划。在所有涉及的组织(特别是具有不同法律实体的组织)之间,也包 括一个组织或公司内部的团队之间的通信程序应有记录文件。 为了建立、批准和实施I&C系统安全防范计划,核电厂管理层应在I&C系统设计者的协同下作如下 考虑:
NB/T 204282017
I&C系统安全防范计划应规定必要的措施和管理程序,以确保对影响网络安全的物项和活动进行充 分的记录,并经评审、批准、发布、加以利用和及时修订,以反映完成的工作,具体包括: a)在计划制定、实施和维护时产生的记录; b)威胁评估结果的记录,该评估针对与所使用的技术、I&C系统配置、它们的使用性质、维护和 测试要求有关的特定薄弱环节; c)在计划中添加、修改或者删除I&C资产的记录; d)为满足法规要求所需的审计数据和培训记录等支持性文档。
NB/T204282017
文档有助于证明&C系统的设计和实施达到了本标准所规定的适当的安全防范等级,并证明系统用 户在计算机安全相关系统部件的操作和维护方面接受了充分的指导和培训。
5. 2. 1确定安全防范策略
负责安全防范计划的相关人员(见5.1.2中的规定)应为计划制定书面的顶层安全防范策略。该策略 应: a)包含设置目标和为I&C系统安全防范相关的行为建立总体方向和原则的框架; b)考虑法律和法规要求,以及合同安全防范义务; c)保证安全防范要求通过各级供应链在全生命周期活动中得以实施: d)结合核电厂的战略风险管理环境,建立和维护I&C系统安全防范计划; e)建立风险评估准则(参见5.2.2),包括考虑I&C系统开发成果等; 得到管理层批准。
5.2.2确定计划范围和边界
I&C系统安全防范计划的范围和边界应按照核电厂的组织机构特点和地理位置、国家 &C资产和技术、以及系统的利用风险做出规定
5.2.3I&C安全防范分级方法及风险评估
5. 2. 3.1分级方案
5. 2. 3. 1. 1概述
5.2.3.1.2安全分类、安全分级和安全防范等级之间的联系
NB/T 204282017
本标准中的安全防范分级方法基于后果分析而构建,旨在保护核电广安全和性能免遭网络攻击威 胁。 后果分析中关系到导致核安全后果的部分已经从非恶意的视角通过遵守NB/T20026一2010和 GB/T15474一2010进行了处理。因而,依据GB/T15474一2010的安全分类(并根据功能的安全分类进行 系统和设备的安全分级)应作为安全防范等级分配过程的一个重要的输入。为满足NB/T20026一2010以 及其他核安全相关标准的要求而采取的安全措施,对于安全防范是有益的。 然而,为了考虑核电厂性能,同时考虑在遭网络攻击时有可能危害核安全的功能的实现方法,在I&C 系统的安全分级和安全防范等级之间并没有严格的一一对应关系。
5.2.3.1.3安全防范等级和相应分配准则
5. 2.3. 2技术要求
5.2.3.2.1概述
5.2.3.2.3中给出的安全防范要求适用于所有I&C系统。除这些要求外,为S1级系统增加5.2.3.2.4中给 出的要求,为S2级系统增加5.2.3.2.5中给出的要求,为S3级系统增加5.2.3.2.6中给出的要求。这些要求 涉及系统本身和系统之间的通信。它们重申或补充NB/T200262010、NB/T20054—2011、 NB/T20300—2014和NB/T20055—2011中已有的安全防范要求。 以计算机为基础的工具、尤其是那些用于I&C系统维护和诊断的工具的要求在5.2.3.2.7中给出。
5.2.3.2.2与安全风险评估活动和设计基准威胁的关系
NB/T 204282017
5.2.3.2. 3通用要求
以下要求适用于所有I&C系统,与它们分配的安全防范等级无关: a)应规定设计措施以确保分配给定安全防范等级的系统不会被分配较低安全防范等级的系统所降 级; b)任何I&C系统的配置和参数设置应最大限度地减少系统的薄弱环节: c)任何预开发部件的选择、配置和参数设置应最大限度地减少系统的薄弱环节; d)系统安全分析应在系统安全防范计划中考虑,如果分析表明计划的措施不足,则安全分析应确 定所需的附加措施; e)安全防范策略应适用于每个I&C系统或者系统组。宜建立整体安全防范策略与其对I&C系统或系 统组适用性的非正式或正式的对应关系: f)在可编程设备的设计、配置和(或)参数设置过程中,宜包含对下列方面的有效保护措施: 1)用户可选的对软件功能和存储空间的访问控制: 2)与安全防范等级较低的系统的数据连接; 3)软件修改或参数修改的可追溯性。 g)在系统的验证与确认期间,应通过对最终配置的系统的适当测试来证明其安全防范功能的有效 性; h)I&C系统宜支持技术措施在允许访问之前提供有效的认证过程; i)用于操作电厂或离线专用功能、或用于I&C系统维护的人机交互界面,无论是对授权人员还是
NB/T 204282017
授权操作,都应将访问权限限制在最小的必要范围; i)对现场的配置和参数设置宜进行安全评估,以核实对潜在的安全威胁是否采取了适当的措施; k)软件修改活动应系统性地计划和执行,并考虑潜在的安全风险: I)对安全级I&C系统及安全级I&C系统监控系统的日志,宜从计算机安全角度进行定期检查; m)宜定期检查用于确保网络安全功能的系统(例如,过滤和(或)隔离设备)的日志。这些日志 宜集中管理,并尽可能关联,只要它不会损害计算机安全或者安全隔离; n)网络访问点的数目应尽可能地减少,以使系统薄弱环节减到最小; 0)宜实现异常检测的功能,对警报宜进行分析并采取适当的应对措施。异常检测功能的实现应不 违反核安全要求; P)应严格控制对I&C系统的访问以防止未授权人员的访问。应通过实物保护措施(例如:锁柜、 房间和区域的物理访问控制)以及适当的组织和行政措施来实现。这些措施应与该系统的安全 防范等级相适应; q)承包商对I&C系统的物理和逻辑访问应根据他们的任务在持续时间和涉及的系统方面进行限 制; r)对所有的临时措施,例如测试设备对I&C系统的root访问权限和补充连接,应做出规定并记录; s)如果没有计划、未经业主批准、未形成书面文件,应禁止对软件配置和硬件实现进行修改: t)措施安排应到位,以确保在遭受网络攻击后使服务及时恢复到可接受水平。措施应落实到位, 以使安全防范自身受到相同网络威胁的可能性最小化
5.2.3.2.4安全防范等级S1的附加要求
以下列出了S1级I&C系统安全防范的最低要求(除通用要求之外)。所需的面向具体应用的安全防 措施应由该系统的安全分析来决定,包括相关威胁和攻击场景,以及系统薄弱环节的识别: a)S1级I&C系统的通信应仅限于与其他S1级I&C系统、与S2级I&C系统、及与其相关的工具; b)通信的方向宜从S1级I&C系统到S2级I&C系统; c)从S2级系统到S1级系统的数据网络传输应仅限于那些无法避免的传输(例如,驱动器优先控制 系统、允许、复位等),并且应由完整的合理性证明和安全风险分析所支持。任何从S2级系统 到S1级系统的数据传输都应通过应用静态规定(例如,格式和时间窗口控制等)以确保安全防 范; d)S1级系统的软件升级和配置更改应只能通过就地硬件联锁手段(如钥匙)才可以进行,并且一 次只能进行一个通道。在拥有最高安全防范等级的I&C设备与专用服务站之间的双向数据传输 应只能使用与其他网络相隔离的专用数据连接。该专用数据连接应通过技术、运行管理和行政 的手段来确保安全防范。经授权进行的软件或配置更改的访问应在控制室或者其他合适的位置 通过监控进行报警; e)应有针对系统软件中的隐藏功能的规定(如软件代码验证); f)S1级系统应满足NB/T20054—2011的5.7和12.2及NB/T20300—2014的要求; g)对S1级I&C系统的物理访问应在控制室或者其他合适的地方通过报警进行监控。
范措施应由该系统的安全分析所决定,包括相关威胁和攻击场景,以及系统薄弱环节的识别: a)通信的方向宜从S2级系统到S3级系统。S2级系统宜作为通信的发起者。这些要求(方向和发起 者)宜通过适当的安全防范装置(例如专用的过滤设备)强制执行; h)从S3级系统到S2级系统的数据传输应严格限制,并逐个进行合理性论证:
NB/T 204282017
c)S2级系统的软件升级和配置更改应不允许来自于S3系统: d)S2级系统的软件升级和配置修改应只能在预定义的时间窗口、一次在一个通道进行,并且应受 到适当的联锁的保护。S2级I&C设备与专用服务站之间的双向数据传输应只能使用与其他网络 相隔离的专用数据连接。该专用数据连接应通过技术、运行管理和行政的手段来确保安全防范: e)不管是来自核电厂外部,还是来自非I&C系统的进入S2级I&C系统的通信,都应被阻止; f)应采取设计措施限制对S2级系统的可编程区域的访问(如,通过有效的用户认证),并且阻止任 何未授权建立对这些区域的访问的企图
5.2.3.2.6安全防范等级S3的附加要求
以下列出了S3级I&C系统的最低安全防范要求(除通用要求之外)。宜通过系统特定的安全分析对 此补充完善: a)来自非I&C系统的访问(可能影响I&C系统的功能)应逐个进行合理性论证,且不能降低该系统 的计算机安全和核安全要求; b)S3级系统与非I&C系统之间的通信宜由S3级系统发起。例外情况应适当论证其合理性,并对其 连接加以监控。
基于计算机的工具,尤其是用于I&C系统维护和诊断的工具,在I&C系统攻击场景中是经充分证明 的攻击途径和典型的中间目标。 如果与I&C系统之间有直接的连接(临时的或永久的),它们应被分配与跟它们有关联的I&C系统 相同的安全防范等级。 在间接连接(涉及程序性的和(或)人工控制)的情况下,它们可以分配较低的安全防范等级。如 果给工具分配的安全防范等级较低,则该工具宜被设计成可以阻止计划外的行为,并应实现工具使用的 记录(谁和(或)什么和(或)什么时候)以及严格的访问控制。 计算机工具相关的安全防范要求宜调整如下: a)5.2.3.2.3的通用要求适用于所有的基于计算机的工具; b)对于S1级,除了g)和e),5.2.3.2.4中的其他项内容都保留。其中g)项(涉及报警)与工具 不相关,e)项(涉及隐藏功能)用如下内容代替:宜有措施应对工具系统软件中的隐藏功能; c)对于S2级,除了c)、d)、e)、f),5.2.3.2.5中的其他项内容都保留。其中c)、d)、f) 项与工具不相关。e)项用如下内容代替:不管是来自核电厂外部,还是来自非I&C系统的进 入S2级I&C系统的通信,都应被阻止; d)对于S3级,5.2.3.2.6保留(相同要求)。 注:这些调整台在考虑I&C系统本身(尤其是对安全系统)和他们的基于计机的
5.2.3.3安全防范区域
分级方法可能的实际执行方式是将I&C系统划分为多个逻辑区域,并将分级保护原则运用于每个安 全防范区域(见3.16中的规定)。安全防范区域使得对核安全和核电厂性能具有类似重要性(即具有相 同的安全防范等级)的I&C系统可以组合在一起进行管理和采取保护措施。确定安全防范区域的原则可 以包含组织结构问题(如所有权或责任)、位置、系统架构或技术方面的问题, 注:在本标准的其他部分,术语"区域"指的是3.16和本子条款中所定义的“安全防范区域”。它指的不是核安全区和 相关的地理分隔(尽管存在某种关系)。 区域模型的应用宜遵循如下原则:
NB/I204282017
a)每个区域包含具有相同安全防范程等级的系统。如果因为系统架构或其他原因,一个I&C系统 的安全防范等级比该区域其他系统低(依据5.2.3.1.3),那么其安全防范等级应提高,并且满 足该区域其他系统的安全防范等级所对应的安全要求; 注:严格说来安全防范等级是分配给I&C系统(见5.2.3.2)的。但由于一个区域聚集了具有相同安全防范等级的 系统,可以引申开米认为一个给定的区域具有与它所包含的系统相同的安全防范等级(如,“安全防范等 级为S2的区域")。尽管安全防范区域和安全防范等级是相互交织的,但它们仍然是不同的概念。 b)在属于同一个安全防范区域的系统之间,计算机安全屏障不是必须的。但是,对于有多个系统 和跨区域接口的区域来说,计算机屏障可以是有效的保护手段: c)网络设备(交换机、电缆等)宜放置在与其互联的I&C系统同一个安全防范区域内。在网络设 备连接到多个区域的情况下,如果这些区域有相同的安全防范等级,那么潜在的计算机安全隔 离应通过具体的设备要求来规定(超出了本标准的范围)。如果这些区域有不同的安全防范等 级,则安全防范要求与安全防范等级有关(见5.2.3.2.3~5.2.3.2.6)。特别是当涉及具有不同安 全防范等级的系统之间的通信和接口时,就应采取专门的安全防范措施; d)通信只能由较高的安全防范区域(分配较高安全防范等级的系统组)向较低的安全防范区域(分 配较低安全防范等级的系统组)发起: e)区域边界需要数据流解耦机制,该解耦机制应与相关I&C系统的安全防范等级相一致。 安全防范区域和安全防范等级之间并不是一对一的关系。由于多个区域可能需要相同的安全防范等 一个安全防范等级可以分配给多个区域。区域是一个计算机系统的逻辑和(或)物理分组,而安全 范等级表示的是所需的保护程度。
5.3.1通用要求的实施
组织机构应进行下列工作: a)制定I&C系统安全防范计划,使之满足本标准的通用安全防范要求; h)制定实施计划,确定管理I&C系统风险的管理措施、资源和优先次序:
NB/T 204282017
C)实施I&C系统安全防范计划,利用规定的操作、管理和技术控制和(或)缓解措施来适当地管 理风险; d)对计算机安全事故响应工作进行持续的维护和更新,以确保对I&C系统提供持续的网络攻击保 护; e)实施所有的计划,在实施时考虑资金、角色与职责分配和管理支持
5.3.2有效性度量定义
管控组合的有效性。这些度量使得组织机构可以评估这些管控实现计划目标的程度。 在I&C系统安全防范计划制定阶段,组织机构宜: a)为计划中所采取的每一个管控规定有效性指标; b)为在安全防范计划中作为独立实体考虑的管控组合规定有效性指标: c)确定管控和管控组合在实施过程中的具体变化,这些变化也会要求在度量指标上有变化; d)确定指标以量化用于弥补安全管控持续缺位的缓解措施的有效性; e)准备一份关于规定指标详细信息的集合,这些指标与具体管控有关,用于支持管控效果监测工 作的效率和标准化
5.4计划的监控和审查
保持I&C系统安全防范计划持续有效的一个重要因素就是定期对安全防范进行审查。计划规定必要 的措施和管理程序,以按照法规要求对适用的计划要素进行审查。因此,组织机构应: a)制定审查计划,包括与I&C系统安全防范计划有效性审查要素相关的目标、范围、角色、责任、 要求和管理承诺; b)制定便于执行和维护审查计划的程序,包括所需的审查频率以及审查人员的咨质
I&C系统安全防范计划应规定以下过程: a)实施在内外部计划审查时所确定的计划改进,包括校正和预防措施; b)作为正在进行的培训计划的一部分,将这些行动和改进以适当的详细程度传达给有关各方 c)建立并实施审查计划以定期评价和更新计算机安全威胁评估; d)规定措施以评估改进项目是否达到预期的目标
6I&C系统安全防范在生命周期过程的实施
NB/T204282017
下列小节在系统层级上概要描述了I&C系统安全防范生命周期过程中所应包含的 制定I&C系统安全防范生命周期以实现I&C系统及其部件从项目开始到运行和最终退役阶段的安全防 范。
术规格书,先从功能和安全防范的角度规定I&C系统的整体架构,然后规定各单个系统及其接口。 注:编制技术规格书时,用于实现所需要功能的系统还是未知的,因此不可能执行完整、详细的计算机安全风险评 估,此阶段只可能对设计薄弱环节进行评价。 单个系统或设备可能会由不同的供应商所提供并实现其安全防范,这些系统及设备应始终如一地满 足I&C系统整体架构的安全防范要求。每一个系统都应分配一个安全防范等级(见5.2.3.1中的规定) 和相关的安全防范要求。这些系统可能还会被分配至有额外安全防范要求的安全防范区域。
6.3.1确定I&C系统的范围
应确定在电厂设计范围内的每一个I&C系统。在生命周期过程的这一阶段,应编制一份I&C ,此清单不包含详细设计及部件选型,因该部分工作在电厂设计阶段进行。
6.3.2安全防范等级分配
6.4.2设计阶段的风险评估
应进行风险评估以证明安全防范要求得以正确实现。这些分析应考虑技术实 特定威胁及攻击场景分析(如果适用的话,包括设计基准威胁)。风险评估结果可能会要求对安全防范 措施加以改进。威胁及薄弱环节的评估活动可能会要求确定并实现必要的补充措施,以防止或缓解针对 电厂I&C系统攻击所产生的后果。
6.4.3设计项目安全防范计划
NB/T204282017
I&C安全防范计划应由在此项目的主要设计组织、所有第三方或分包商组织实施。应制定一项设计 页目安全防范计划,包含执照持有人及(或)运营商,以及与此项目相关的第三方和外部实体。尤其是, 设计者应表明: a)其有一个有效的安全防范策略; b)该策略将应用于每一个研发场所; c)该策略考虑了本地特征; d)该策略确保设计者的第三方具备足够的安全防范水平
在设计系统及部件时,应对通信路径进行评估。在设计过程中,应确定系统边界并建立系统拓扑图 应建立网络安全管控以实现: a)按其所分配的安全防范等级(见5.2.3.3),对互联系统内部及其之间的信息流的控制进行权限 管理及记录; 注:这是针对系统分配了不同的安全防范等级或分配到不同安全防范区域时的情景。 b)应有文档对I&C系统安全防范计划中所规定的系统和设备间许可的和不受许可的信息流的分析 及处理进行说明,应对该文档进行维护以证明符合5.2.3中所描述的风险评估和分级方注
6.4.5确定安全防范区域
应在设计阶段确定安全防范区域(见3.16及5.2.3.3),或者也可以在实现阶段确定(见6.5) 统的安全防范区域的分配,应考虑在计划阶段对每一个&C系统所分配的安全防范等级(按5.1 方法)。
6.4.6最终设计的安全防范评估
在最终设计阶段,安全防范评估应确保完全覆盖了整个I&C架构
应按照所需遵循的标准针对I&C系统规定的安全防范要求开展验证和确认(V&V)测试。此外,测 试应对I&C安全防范设计(包括硬件架构、外部通信设备及未授权的通信通道配置)和系统完整性进行 验证。安全防范要求及配置项的确认应属于系统整体需求及设计配置项确认的一部分。每一项系统安全 防范措施都应进行确认,以确保所实现的系统不会增加安全防范漏洞风险,并且不会降低核安全功能的 可靠性。
6.7安装及验收测试活动
针对规定的安全防范要求的安装及验收测试应与电厂特定的策略及程序以及电厂I&C系统安 计划(如果有的话)保持一致。在安装完成时,应在运行环境中对系统进行测试QLLD 0001S-2015 丽江程海绿丹螺旋藻生物开发有限公司 螺旋藻制品,以对I&C系统 范措施及其按照设计整合入系统的正确性进行验证和确认。
NB/T 204282017
6. 8. 1运行及维护时的变更控制
在运行及维护阶段,应定期开展安全防范措施审查。在进行任何系统修改或维护活动之前,应对受 影响的部件进行评估以确认所有的保护措施及设计要素仍将发挥作用。在这些修改或维护活动完成之 后,任何临时闭锁的安全防范保护措施和管制都应得到恢复,并对安全防范功能进行验证。基于计算机 的工具的安全防范要求见5.2.3.2.7。
6.8.2定期的风险及安全防范管控再评估
变更管理过程应遵循电厂规程、法规要求和(或)取证时的承诺(如果有的话) 符合性以及配置控制。因可能对安全防范措施产生影响,在任何变更实施之前,都应进行风险评估。应 对考虑的变更执行批准程序。 作为最低要求,在任何变更执行前,应基于风险评估考虑其对安全防范的影响并进行文档记录。对 于任何新的已确定风险的处理应通过分析论证以说明适当的措施已经就位或将以适当的方式实现。 由电厂人员或第三方进行的未授权的或无文档记录的网络配置或特性变更会使I&C系统计算机安 全防御模型的完整性失效。因此,应对设计及维护活动进行仔细控制以防止此类违规情况的发生。
I&C系统退役阶段应首先是电厂管理的职责。 一个持续有效的计划应包含生命周期的退役阶段。应制定程序以恰当处理I&C系统设备退役以及以 受控方式废置介质及其内含的软件,以避免敏感信息泄露。另外,如果需要的话,应针对为一个系统退 役而进行的预各活动,如在役系统与新系统的双机运行,制定安全防范措施。
本章提供了在核电广I&C环境下,在按照 安全防范管控的一些具体考虑。本章的内容按照GB/T22081一2008和GB/T22080一2008附录A所涵 盖的十一个安全防范专题进行组织。 注:GB/T22081一2008使用术语"安全防范类别”(securitycategories)。在本标准的框架内,首选术语"安全防范专 "(securitythematicarea)以避免与"安全类别(safetycategories)发生混淆。
YY/T 0070-2018 食管窥镜标准7.2. 1安全防范策略