国产草草浮力影院|亚洲无码在线入口|超碰免频在线播放|成人深夜视频在线|亚洲美国毛片观看|69无码精品视频|精品有码一区二区|69式人人超人人|国产人人人人人操|欧美久久天天综合

發(fā)文機(jī)關(guān)國家原子能機(jī)構(gòu)

發(fā)文日期2020年09月07日

時(shí)效性現(xiàn)行有效

發(fā)文字號(hào)國原發(fā)〔2020〕3號(hào)

施行日期2020年09月07日

效力級(jí)別部門規(guī)范性文件

1.引言

1.1 目的

本導(dǎo)則對(duì)核設(shè)施營運(yùn)單位制定、運(yùn)行和維護(hù)《核設(shè)施網(wǎng)絡(luò)安全實(shí)施計(jì)劃》（下稱“網(wǎng)絡(luò)安全實(shí)施計(jì)劃”）提供指導(dǎo), 使得能夠?qū)崿F(xiàn)核設(shè)施網(wǎng)絡(luò)安全的總體目標(biāo)，確保關(guān)鍵系統(tǒng)免受設(shè)計(jì)基準(zhǔn)威脅所規(guī)定的網(wǎng)絡(luò)攻擊損壞而造成下述后果:

1) 對(duì)數(shù)據(jù)和軟件完整性或機(jī)密性產(chǎn)生不利影響；

2) 拒絕訪問系統(tǒng)、服務(wù)或數(shù)據(jù)產(chǎn)生的不利影響；

3) 對(duì)系統(tǒng)、網(wǎng)絡(luò)和相關(guān)設(shè)備運(yùn)行的不利影響。

1.2 依據(jù)

依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《中華人民共和國保守國家秘密法》《中華人民共和國核材料管制條例》制定本導(dǎo)則。

1.3 范圍

本導(dǎo)則適用于我國核動(dòng)力廠（核電廠、核熱電廠、核供汽供熱廠等）和研究堆、實(shí)驗(yàn)堆、臨界裝置等；核燃料生產(chǎn)、加工、貯存和后處理設(shè)施；放射性廢物的儲(chǔ)存、處理和處置設(shè)施營運(yùn)單位的核設(shè)施網(wǎng)絡(luò)安全管理。

2.核設(shè)施網(wǎng)絡(luò)安全實(shí)施計(jì)劃的要素

網(wǎng)絡(luò)安全實(shí)施計(jì)劃應(yīng)敘述核設(shè)施營運(yùn)單位如何通過實(shí)行分等級(jí)保護(hù)，制定縱深防御策略，編制、執(zhí)行和維護(hù)一系列規(guī)程，采取網(wǎng)絡(luò)安全控制措施，實(shí)現(xiàn)上述第1.1節(jié)所描述目的。

2.1 網(wǎng)絡(luò)安全實(shí)施計(jì)劃的要素

核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全實(shí)施計(jì)劃應(yīng)描述：

1) 識(shí)別和認(rèn)證關(guān)鍵系統(tǒng)的方案是什么；

2) 網(wǎng)絡(luò)安全實(shí)施計(jì)劃怎樣確保關(guān)鍵系統(tǒng)免受網(wǎng)絡(luò)攻擊的不利影響；

3) 怎樣制定、運(yùn)行和維護(hù)網(wǎng)絡(luò)安全實(shí)施計(jì)劃；

4) 怎樣使得網(wǎng)絡(luò)安全實(shí)施計(jì)劃與《核設(shè)施實(shí)物保護(hù)與保密實(shí)施計(jì)劃》協(xié)同執(zhí)行；

5) 采取了哪些控制措施，以及它們是怎樣保護(hù)關(guān)鍵系統(tǒng)的；

6) 采用的縱深防御策略是什么，以及怎樣利用這一策略防御、檢測(cè)、響應(yīng)網(wǎng)絡(luò)攻擊和在受到攻擊后恢復(fù)系統(tǒng)功能的；

7) 網(wǎng)絡(luò)安全實(shí)施計(jì)劃的要素是怎樣用于減輕網(wǎng)絡(luò)攻擊產(chǎn)生的不利影響的；

8) 網(wǎng)絡(luò)安全的意識(shí)教育和培訓(xùn)計(jì)劃是怎樣為員工提供履行其職責(zé)所需要的技能的；

9) 怎樣評(píng)估和管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的；

10) 怎樣實(shí)現(xiàn)配置管理控制和設(shè)計(jì)控制過程，確保資產(chǎn)變更和設(shè)備添置不影響網(wǎng)絡(luò)安全的；是怎樣在關(guān)鍵系統(tǒng)的設(shè)計(jì)、建造、運(yùn)行和維護(hù)的整個(gè)生命周期內(nèi)確保執(zhí)行網(wǎng)絡(luò)安全措施；

11) 場(chǎng)址的特定條件是怎樣影響執(zhí)行網(wǎng)絡(luò)安全計(jì)劃的；

12) 采用了哪些網(wǎng)絡(luò)安全事故響應(yīng)和網(wǎng)絡(luò)攻擊恢復(fù)措施，包括：

(1) 維持及時(shí)檢測(cè)和響應(yīng)的能力；

(2) 減輕網(wǎng)絡(luò)攻擊后果；

(3) 脆弱性整改；

(4) 恢復(fù)受到網(wǎng)絡(luò)攻擊影響的系統(tǒng)、網(wǎng)絡(luò)和設(shè)備。

13) 制定了哪些場(chǎng)址特定的網(wǎng)絡(luò)安全方針和規(guī)程，確保實(shí)現(xiàn)網(wǎng)絡(luò)安全總體目標(biāo)的；

14) 怎樣使得網(wǎng)絡(luò)安全實(shí)施計(jì)劃與《核設(shè)施實(shí)物保護(hù)與保密實(shí)施計(jì)劃》共同進(jìn)行定期評(píng)估和檢查；

15) 怎樣組織網(wǎng)絡(luò)安全事故應(yīng)急響應(yīng)演練，包括與實(shí)物保護(hù)突發(fā)事件應(yīng)急響應(yīng)的聯(lián)合演練；

16) 怎樣保存和處理網(wǎng)絡(luò)安全相關(guān)記錄和支持文件。

2.2 網(wǎng)絡(luò)安全實(shí)施計(jì)劃的主要內(nèi)容

核設(shè)施營運(yùn)單位制定的網(wǎng)絡(luò)安全實(shí)施計(jì)劃應(yīng)敘述以下網(wǎng)絡(luò)安全相關(guān)的內(nèi)容：

1) 組織機(jī)構(gòu)與職責(zé)分工；

2) 數(shù)字計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)分析；

3) 關(guān)鍵系統(tǒng)的等級(jí)劃分和保護(hù)能力目標(biāo)；

4) 縱深防御策略和防御架構(gòu)；

5) 網(wǎng)絡(luò)安全控制；

6) 網(wǎng)絡(luò)安全實(shí)施計(jì)劃與《核設(shè)施實(shí)物保護(hù)與保密實(shí)施計(jì)劃》的協(xié)同執(zhí)行；

7) 場(chǎng)址網(wǎng)絡(luò)安全方針和規(guī)程；

8) 網(wǎng)絡(luò)安全實(shí)施計(jì)劃的維護(hù)；

9) 網(wǎng)絡(luò)安全實(shí)施計(jì)劃的檢查和專業(yè)測(cè)評(píng)；

10) 文檔控制和記錄保存與處理。

核設(shè)施應(yīng)在制定網(wǎng)絡(luò)安全實(shí)施計(jì)劃，基本文件的模板見附件1。

核設(shè)施營運(yùn)單位應(yīng)制定正式的、文檔化的方針、規(guī)程等作為網(wǎng)絡(luò)安全實(shí)施計(jì)劃基本文件相應(yīng)欄目內(nèi)容的支持性文件。

在網(wǎng)絡(luò)安全有效性評(píng)估結(jié)果顯示必要時(shí)或在發(fā)生重大變更時(shí)，核設(shè)施營運(yùn)單位應(yīng)修訂和更新網(wǎng)絡(luò)安全實(shí)施計(jì)劃，調(diào)整相關(guān)方針和規(guī)程。

3. 組織機(jī)構(gòu)與職責(zé)分工

3.1 執(zhí)行網(wǎng)絡(luò)安全實(shí)施計(jì)劃的人員組成

核設(shè)施營運(yùn)單位應(yīng)組織一個(gè)網(wǎng)絡(luò)安全管理機(jī)構(gòu)，確定其角色、職責(zé)、授權(quán)和職能關(guān)系，并確保各級(jí)部門和個(gè)人（包括雇員、訪客、承包商和供應(yīng)商現(xiàn)場(chǎng)人員）理解上述職能關(guān)系。核設(shè)施營運(yùn)單位可賦予管理網(wǎng)絡(luò)安全實(shí)施計(jì)劃的以下人員明確的職責(zé)：

1) 網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)：應(yīng)為場(chǎng)址高級(jí)管理層的成員以及被賦予對(duì)網(wǎng)絡(luò)安全實(shí)施計(jì)劃的全面責(zé)任和問責(zé)權(quán)，并能夠?yàn)榫W(wǎng)絡(luò)安全實(shí)施計(jì)劃的制定，執(zhí)行和維護(hù)提供必要的資源。

2) 網(wǎng)絡(luò)安全負(fù)責(zé)人具體負(fù)責(zé)：

(1) 指導(dǎo)網(wǎng)絡(luò)安全日常工作；

(2) 歸口聯(lián)絡(luò)網(wǎng)絡(luò)安全的所有事項(xiàng)；

(3) 對(duì)網(wǎng)絡(luò)安全的所有相關(guān)事項(xiàng)進(jìn)行監(jiān)督和檢查；

(4) 在需要時(shí)，報(bào)請(qǐng)網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)，啟動(dòng)和協(xié)調(diào)網(wǎng)絡(luò)安全事故應(yīng)急響應(yīng)小組(CSIRT)的功能；

(5) 在網(wǎng)絡(luò)安全事件和事故期間和之后，按照國家有關(guān)法規(guī)進(jìn)行上報(bào)和處置工作；

(6) 批準(zhǔn)和監(jiān)督網(wǎng)絡(luò)安全實(shí)施計(jì)劃及其相關(guān)方針和規(guī)程的制定、執(zhí)行和維護(hù)；

(7) 組織和實(shí)施網(wǎng)絡(luò)安全意識(shí)教育，宣傳和培訓(xùn)活動(dòng)。

3) 若干名網(wǎng)絡(luò)安全專家負(fù)責(zé)以下事項(xiàng)：

(1) 保護(hù)關(guān)鍵系統(tǒng)免受網(wǎng)絡(luò)威脅;

(2) 配置、運(yùn)行和維護(hù)網(wǎng)絡(luò)安全設(shè)備;

(3) 掌握核設(shè)施網(wǎng)絡(luò)操作系統(tǒng)總體架構(gòu)、硬件平臺(tái)、軟件平臺(tái)、操作系統(tǒng)和應(yīng)用程序的網(wǎng)絡(luò)安全特性；核設(shè)施特定應(yīng)用程序以及這些應(yīng)用程序所依賴的服務(wù)和協(xié)議;

(4) 開展數(shù)字系統(tǒng)的網(wǎng)絡(luò)安全評(píng)估;

(5) 對(duì)關(guān)鍵系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全審計(jì)、脆弱性測(cè)評(píng)、網(wǎng)絡(luò)掃描和滲透測(cè)試;

(6) 在關(guān)鍵系統(tǒng)損壞后進(jìn)行網(wǎng)絡(luò)安全調(diào)查;

(7) 保存在網(wǎng)絡(luò)安全調(diào)查期間收集得到的法政證據(jù)，防止損失證據(jù)價(jià)值;

(8) 維持和提高組織內(nèi)網(wǎng)絡(luò)安全專業(yè)技能和知識(shí)水平;

(9) 作為CSIRT的主要指導(dǎo)者或領(lǐng)導(dǎo)者。

4) CSIRT：可根據(jù)需要，由核設(shè)施內(nèi)各部門的人員，包括安保、運(yùn)維、工程、應(yīng)急準(zhǔn)備和其他支持部門的人員組成一個(gè)CSIRT，負(fù)責(zé)：

(1) 啟動(dòng)適當(dāng)?shù)膽?yīng)急響應(yīng)和行動(dòng)，保護(hù)關(guān)鍵系統(tǒng), 使得避免在已知或疑似的網(wǎng)絡(luò)安全事故中損壞，以及協(xié)助受損系統(tǒng)恢復(fù)正常工作;

(2) 遏制和減輕涉及關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全事故，并在事故發(fā)生后確保受損系統(tǒng)恢復(fù)正常。

5) 輔助人員：包括負(fù)責(zé)運(yùn)行、維護(hù)或設(shè)計(jì)數(shù)字系統(tǒng)的操作人員、工程師、技術(shù)人員、用戶、合同方和供應(yīng)商的代表。

3.2 組建網(wǎng)絡(luò)安全管理機(jī)構(gòu)

核設(shè)施營運(yùn)單位可組織或指定對(duì)下述領(lǐng)域的人員組成網(wǎng)絡(luò)安全管理機(jī)構(gòu)：

1) 信息和數(shù)字系統(tǒng)技術(shù): 包括網(wǎng)絡(luò)安全、軟件開發(fā)、場(chǎng)外通信、計(jì)算機(jī)系統(tǒng)管理、計(jì)算機(jī)工程和計(jì)算機(jī)網(wǎng)絡(luò)等。在核設(shè)施運(yùn)行中涉及的數(shù)字系統(tǒng)（包括數(shù)字儀表和控制系統(tǒng)）知識(shí)，以及在核設(shè)施中涉及的信息系統(tǒng)知識(shí)。核設(shè)施運(yùn)行系統(tǒng)包括可編程邏輯控制器、控制系統(tǒng)和分布式控制系統(tǒng)。信息系統(tǒng)包括計(jì)算機(jī)系統(tǒng)和含有用于設(shè)計(jì)、運(yùn)行和維護(hù)關(guān)鍵系統(tǒng)信息的數(shù)據(jù)庫。網(wǎng)絡(luò)建設(shè)領(lǐng)域包括核設(shè)施和集團(tuán)公司范圍內(nèi)網(wǎng)絡(luò)的知識(shí);

2) 核設(shè)施運(yùn)行、工程和安全: 包括核設(shè)施整體運(yùn)行和核設(shè)施技術(shù)指標(biāo)。代表此技術(shù)領(lǐng)域的工作人員必須能夠通過跟蹤在關(guān)鍵系統(tǒng)（或連接的數(shù)字資產(chǎn)）中的脆弱性或一系列脆弱性向外延伸對(duì)核設(shè)施系統(tǒng)和子系統(tǒng)影響，以便評(píng)估對(duì)核設(shè)施運(yùn)行安全功能、核安保功能、核應(yīng)急準(zhǔn)備功能（下稱“SSEP”）的總體影響;

3) 物理安全和應(yīng)急準(zhǔn)備: 包括場(chǎng)址的物理安全和應(yīng)急準(zhǔn)備系統(tǒng)和流程。

3.3 網(wǎng)絡(luò)安全管理機(jī)構(gòu)的角色和職責(zé)

網(wǎng)絡(luò)安全管理機(jī)構(gòu)的角色和職責(zé)包括：

1) 執(zhí)行或監(jiān)督各階段的網(wǎng)絡(luò)安全和管理過程；

2) 記錄和評(píng)估過程中所有重要的觀察、分析和調(diào)查結(jié)果，使得此信息可以作為實(shí)施網(wǎng)絡(luò)安全控制的基礎(chǔ)；

3) 評(píng)估或再評(píng)估當(dāng)前網(wǎng)絡(luò)安全威脅的假設(shè)和結(jié)論；對(duì)網(wǎng)絡(luò)攻擊可利用的潛在脆弱性，以及攻擊產(chǎn)生的后果；現(xiàn)有的網(wǎng)絡(luò)安全控制、防御方針及攻擊緩解方法的有效性；對(duì)在系統(tǒng)整個(gè)生命周期內(nèi)參與或負(fù)責(zé)關(guān)鍵系統(tǒng)和網(wǎng)絡(luò)安全控制工作人員的網(wǎng)絡(luò)安全意識(shí)教育和技能培訓(xùn)；以及網(wǎng)絡(luò)安全的管理；

4) 確認(rèn)通過廣泛地對(duì)關(guān)鍵系統(tǒng)和相連接數(shù)字資產(chǎn)的巡視，以及相關(guān)的網(wǎng)絡(luò)安全控制的檢查（包括借助于物理和電子認(rèn)證活動(dòng)的巡視檢查）所獲得的信息；

5) 識(shí)別并實(shí)施可能的新網(wǎng)絡(luò)安全控制；

6) 編制《核設(shè)施網(wǎng)絡(luò)安全技術(shù)類控制》（下稱核安保導(dǎo)則HABD-004/02）和《核設(shè)施網(wǎng)絡(luò)安全運(yùn)維和管理類控制》（下稱核安保導(dǎo)則HABD-004/03）所描述的網(wǎng)絡(luò)安全控制的文件，并監(jiān)督網(wǎng)絡(luò)安全控制的實(shí)施，記錄不能實(shí)施核安保導(dǎo)則HABD-004/02中提供的特定網(wǎng)絡(luò)安全控制的依據(jù)，或記錄實(shí)施替代或補(bǔ)償措施以代替核安保導(dǎo)則HABD-004/02中提供的任何網(wǎng)絡(luò)安全控制的依據(jù)；

7) 建立本單位網(wǎng)絡(luò)安全相關(guān)運(yùn)行記錄和支持性文件的保存、利用和處置制度，確保保存所有評(píng)估文件，包括筆記和支持性信息；

8) 應(yīng)有權(quán)進(jìn)行客觀的評(píng)估，做出不受運(yùn)行目標(biāo)（如成本）限制的決定，實(shí)施本導(dǎo)則第6.1節(jié)所描述的縱深防御策略，并確保采用在本導(dǎo)則第7節(jié)所描述的過程實(shí)施網(wǎng)絡(luò)安全控制。

本導(dǎo)則第3.2節(jié)描述了核設(shè)施營運(yùn)單位組建網(wǎng)絡(luò)安全管理機(jī)構(gòu)的模板，以及核安保導(dǎo)則HABD-004/03第11.10節(jié)角色和職責(zé)描述的網(wǎng)絡(luò)安全實(shí)施計(jì)劃管理人員的職責(zé)分工。

4. 數(shù)字計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)分析

核設(shè)施營運(yùn)單位應(yīng)進(jìn)行本單位數(shù)字計(jì)算機(jī)和通信系統(tǒng)以及網(wǎng)絡(luò)的特定場(chǎng)址分析，識(shí)別如果損壞將對(duì)核設(shè)施SSEP功能造成不利影響的關(guān)鍵系統(tǒng)。核設(shè)施營運(yùn)單位可依據(jù)下列方法識(shí)別和記錄關(guān)鍵系統(tǒng)：

1) 獲得網(wǎng)絡(luò)安全評(píng)估的授權(quán)；

2) 組建網(wǎng)絡(luò)安全管理機(jī)構(gòu)，并規(guī)定網(wǎng)絡(luò)安全的角色和職責(zé)；

3) 在設(shè)施內(nèi)識(shí)別和記錄關(guān)鍵系統(tǒng)；

4) 檢查并驗(yàn)證關(guān)鍵系統(tǒng)的配置。

4.1 網(wǎng)絡(luò)安全評(píng)估及授權(quán)

核設(shè)施營運(yùn)單位應(yīng)分配資源，賦予授權(quán)，規(guī)定管理職責(zé)，執(zhí)行網(wǎng)絡(luò)安全評(píng)估。作為執(zhí)行網(wǎng)絡(luò)安全實(shí)施計(jì)劃的第一步，開展網(wǎng)絡(luò)安全評(píng)估，應(yīng)首先制定、分發(fā)并[每年]檢查和更新以下：

1) 正式的、文檔化的網(wǎng)絡(luò)安全評(píng)估和授權(quán)方針：用于規(guī)定目的、適用范圍、角色、職責(zé)和內(nèi)部協(xié)調(diào)以及執(zhí)行核安保導(dǎo)則HABD-004/02和核安保導(dǎo)則HABD-004/03所描述的網(wǎng)絡(luò)安全控制；

2) 正式的、文檔化的規(guī)程：用以促進(jìn)執(zhí)行網(wǎng)絡(luò)安全評(píng)估。

4.2 組成網(wǎng)絡(luò)安全管理機(jī)構(gòu)，規(guī)定角色和職責(zé)

參照本導(dǎo)則第3.2節(jié)和第3.3節(jié)的要求組成網(wǎng)絡(luò)安全管理機(jī)構(gòu)，確定角色和職責(zé)。

4.3 識(shí)別關(guān)鍵系統(tǒng)

關(guān)鍵系統(tǒng)可能包括控制系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、應(yīng)急準(zhǔn)備系統(tǒng)、辦公和運(yùn)行管理系統(tǒng)，以及實(shí)物保護(hù)系統(tǒng)等。這些系統(tǒng)與SSEP功能相關(guān)的程度有所不同，其損壞可能不同程度地導(dǎo)致放射性破壞（即顯著堆芯損壞），因此有可能對(duì)公眾健康和安全造成不利影響。盡管并非所有這些系統(tǒng)可能會(huì)最終被列入核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全計(jì)劃的范圍內(nèi)，準(zhǔn)確地識(shí)別與SSEP功能相關(guān)的系統(tǒng)，對(duì)制定一個(gè)滿足相關(guān)要求的網(wǎng)絡(luò)安全實(shí)施計(jì)劃是重要的。一旦識(shí)別了這些系統(tǒng)，核設(shè)施營運(yùn)單位可以確定需要保護(hù)的設(shè)備清單。

為了確定關(guān)鍵系統(tǒng)，核設(shè)施營運(yùn)單位應(yīng)首先確定與SSEP功能相關(guān)的或與支持SSEP功能相關(guān)的工廠系統(tǒng)、設(shè)備、通信系統(tǒng)和網(wǎng)絡(luò)的整體配置和組織情況。這些系統(tǒng)可以是數(shù)字系統(tǒng)或模擬系統(tǒng)，因此，有些最終可能不會(huì)列入網(wǎng)絡(luò)安全實(shí)施計(jì)劃的范圍。核設(shè)施營運(yùn)單位應(yīng)對(duì)工廠系統(tǒng)、設(shè)備、通信系統(tǒng)和網(wǎng)絡(luò)進(jìn)行初步的后果分析，確定哪些系統(tǒng)一旦損壞、被控制、或失效可能影響核設(shè)施SSEP功能。這種分析不應(yīng)考慮已有的緩解措施，以確定如果關(guān)鍵系統(tǒng)一旦被損壞可能出現(xiàn)“最壞情況”的影響。

對(duì)于不直接與SSEP功能相關(guān)的支持系統(tǒng)或設(shè)備，核設(shè)施營運(yùn)單位應(yīng)執(zhí)行依賴性分析，確定這些系統(tǒng)或設(shè)備的網(wǎng)絡(luò)被損壞后是否可能對(duì)SSEP功能產(chǎn)生不利影響。如果分析表明，這種損壞、被控制、或失效可能對(duì)SSEP功能產(chǎn)生不利影響，那么這樣的系統(tǒng)本身應(yīng)被認(rèn)為是關(guān)鍵系統(tǒng)。

關(guān)鍵系統(tǒng)的識(shí)別包括下述系統(tǒng)：(1)執(zhí)行SSEP功能，或SSEP功能所依賴的；(2)影響SSEP功能，或影響執(zhí)行SSEP功能的關(guān)鍵系統(tǒng)和/或關(guān)鍵系統(tǒng)的子系統(tǒng)或設(shè)備的；(3)提供一個(gè)通向一個(gè)關(guān)鍵系統(tǒng)和/或關(guān)鍵系統(tǒng)的子系統(tǒng)或設(shè)備的路徑的，該路徑可被用來損壞，攻擊，或降級(jí)一種SSEP功能；(4)支持一個(gè)關(guān)鍵系統(tǒng)和/或關(guān)鍵系統(tǒng)的子系統(tǒng)或設(shè)備的；(5)保護(hù)任何上述免受設(shè)計(jì)基準(zhǔn)威脅規(guī)定的網(wǎng)絡(luò)攻擊的。

在識(shí)別所有的關(guān)鍵系統(tǒng)后，核設(shè)施營運(yùn)單位應(yīng)分析和識(shí)別特定資產(chǎn)是實(shí)際的關(guān)鍵系統(tǒng)。一個(gè)關(guān)鍵系統(tǒng)可能是系統(tǒng)的一個(gè)部件，該部件可能是用于保護(hù)系統(tǒng)免受網(wǎng)絡(luò)攻擊的，或可能是直接或間接地連接到關(guān)鍵系統(tǒng)的。該直接連接可以包括有線或無線路徑（涉及一個(gè)連接鏈路）。間接連接可以包括物理隔離，單向網(wǎng)絡(luò)安全邊界設(shè)備后面的關(guān)鍵系統(tǒng)，或者采用人工的方式，通過可移動(dòng)存儲(chǔ)介質(zhì)，諸如軟盤、U盤、便攜式硬盤或其他數(shù)據(jù)傳輸方式，將數(shù)據(jù)或軟件從一個(gè)數(shù)字設(shè)備攜帶到另一個(gè)數(shù)字設(shè)備。一些對(duì)識(shí)別關(guān)鍵系統(tǒng)有用的信息來源包括，但不限于最終安全分析報(bào)告、場(chǎng)址相關(guān)的概率風(fēng)險(xiǎn)評(píng)估、技術(shù)說明書和一些與監(jiān)測(cè)核電廠維護(hù)有效性相關(guān)的文件。

核電廠內(nèi)的一些關(guān)鍵系統(tǒng)可能是自成系統(tǒng)的或獨(dú)立的系統(tǒng)（即他們沒有數(shù)據(jù)鏈路到任何其他系統(tǒng)）。這種缺乏與其他工廠系統(tǒng)的連通性大大增強(qiáng)了自成的關(guān)鍵系統(tǒng)或網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)，降低了由工廠外部網(wǎng)絡(luò)威脅造成損壞的概率。然而，這些系統(tǒng)仍然容易受到來自內(nèi)部源的網(wǎng)絡(luò)攻擊，例如，將具有惡意代碼的介質(zhì)插入系統(tǒng)，連接診斷系統(tǒng)以及其他離線連接和訪問。此外，因?yàn)榇嬖诖罅康闹С滞ㄐ偶夹g(shù)的商用現(xiàn)貨設(shè)備和外部設(shè)備，當(dāng)這種通信設(shè)備被有意或無意地引入到系統(tǒng)中時(shí)，自成系統(tǒng)的體系結(jié)構(gòu)將發(fā)生改變。因此，核設(shè)施營運(yùn)單位應(yīng)按照與相互連接的系統(tǒng)相同的嚴(yán)格要求，保護(hù)一個(gè)自成系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)。

為了記錄上述識(shí)別過程的結(jié)果，核設(shè)施營運(yùn)單位應(yīng)收集下述信息：

1) 對(duì)每一個(gè)被識(shí)別為關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設(shè)備）的系統(tǒng)、資產(chǎn)和網(wǎng)絡(luò)的一般性敘述；

2) 對(duì)每一個(gè)關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設(shè)備）提供的總體功能的簡要敘述；

3) 如果關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設(shè)備）受到網(wǎng)絡(luò)攻擊造成損壞，對(duì)關(guān)鍵系統(tǒng)和SSEP兩者功能的潛在后果分析;

4) 關(guān)鍵系統(tǒng)的功能（例如保護(hù)、控制、監(jiān)視、報(bào)告或通信）；

5) 每一個(gè)關(guān)鍵系統(tǒng)內(nèi)的子系統(tǒng)或設(shè)備的標(biāo)識(shí)；

6) 下述網(wǎng)絡(luò)安全功能要求和指標(biāo)說明：

(1) 開發(fā)和評(píng)估相關(guān)的質(zhì)保要求；

(2) 為維護(hù)被采購系統(tǒng)的完整性，對(duì)系統(tǒng)開發(fā)商或供應(yīng)商所必要的網(wǎng)絡(luò)安全要求；

(3) 關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全配置、安裝和運(yùn)行要求；

(4) 網(wǎng)絡(luò)安全特性/功能的有效使用和維護(hù)說明;

(5) 管理員權(quán)限（即特權(quán)）功能的配置和使用所引入的已知脆弱性說明;

(6) 用戶訪問的網(wǎng)絡(luò)安全特性/功能，以及怎樣有效使用這些網(wǎng)絡(luò)安全特性/功能說明；

(7) 用戶與關(guān)鍵系統(tǒng)的交互方式說明，使得人員能夠以更加安全的方式使用系統(tǒng)；

(8) 用戶對(duì)維護(hù)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全責(zé)任說明等。

4.4 檢查和驗(yàn)證

檢查的目的是檢查和確認(rèn)每個(gè)關(guān)鍵系統(tǒng)的直接和間接連接,并識(shí)別通向關(guān)鍵系統(tǒng)的路徑。核設(shè)施營運(yùn)單位在隨后的檢查中可以使用這些信息以確保：(1)關(guān)鍵系統(tǒng)要部署在本導(dǎo)則6.2節(jié)描述的網(wǎng)絡(luò)安全架構(gòu)中的正確層；(2)參照本導(dǎo)則第7節(jié)描述的方法使得關(guān)鍵系統(tǒng)潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)得到了有效的緩解；(3)為執(zhí)行變更控制程序，建立每個(gè)關(guān)鍵系統(tǒng)的基準(zhǔn)配置。核設(shè)施營運(yùn)單位的檢查和驗(yàn)證可包括以下活動(dòng)：

1) 識(shí)別并記錄每個(gè)關(guān)鍵系統(tǒng)的物理和邏輯位置；

2) 識(shí)別和記錄通向或來自關(guān)鍵系統(tǒng)的直接和間接的連接路徑；

3) 識(shí)別和記錄關(guān)鍵系統(tǒng)與基礎(chǔ)設(shè)施的相互依存關(guān)系；

4) 識(shí)別和評(píng)估任何（對(duì)于現(xiàn)有工廠）現(xiàn)有的網(wǎng)絡(luò)安全控制措施的有效性和關(guān)鍵系統(tǒng)在防御架構(gòu)中位置。

核設(shè)施營運(yùn)單位應(yīng)通過系統(tǒng)的物理和電子檢查，驗(yàn)證這一信息。該驗(yàn)證過程包括下述活動(dòng)：

1) 對(duì)每個(gè)關(guān)鍵系統(tǒng)配置進(jìn)行物理檢查，包括跟蹤與關(guān)鍵系統(tǒng)每個(gè)端接點(diǎn)連接的所有流入或流出的通信路徑；

2) 檢查已經(jīng)建立的保護(hù)每個(gè)關(guān)鍵系統(tǒng)及其通信路徑的物理安全措施；

3) 檢查和評(píng)估沿通信路徑的網(wǎng)絡(luò)安全控制（例如，防火墻，入侵檢測(cè)系統(tǒng)，單向網(wǎng)閘）的配置和有效性；

4) 檢查與其他關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設(shè)備）的相互依賴關(guān)系以及在關(guān)鍵系統(tǒng)子系統(tǒng)或設(shè)備與關(guān)鍵系統(tǒng)之間的信任關(guān)系；

5) 檢查與基礎(chǔ)設(shè)施支持系統(tǒng)的相互依賴性，著重關(guān)注供電、環(huán)境控制和滅火設(shè)備損壞的可能性；

6) 解決檢查過程中發(fā)現(xiàn)的信息或配置的存在問題，包括存在未記載的或被忽視的連接，以及與關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設(shè)備）有關(guān)的其他網(wǎng)絡(luò)安全相關(guān)的不合規(guī)性。

如果不可能通過巡視檢查來跟蹤一個(gè)通信路徑得到完整的結(jié)論，可采用電子驗(yàn)證的方法。與巡視方法相比，電子驗(yàn)證方法提供了相當(dāng)于或優(yōu)于連接驗(yàn)證的驗(yàn)證檢查結(jié)果，是一個(gè)值得采用的方法（如，數(shù)字電壓表、物理連續(xù)性驗(yàn)證）。巡視應(yīng)從關(guān)鍵系統(tǒng)開始向外延伸，檢查連接的硬件和與關(guān)鍵支持基礎(chǔ)設(shè)施（如供電、供暖、通風(fēng)、空調(diào)、消防）的相互依存關(guān)系。

5. 關(guān)鍵系統(tǒng)的等級(jí)劃分和保護(hù)能力目標(biāo)

5.1 關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)劃分

關(guān)鍵系統(tǒng)受到網(wǎng)絡(luò)攻擊后產(chǎn)生后果的嚴(yán)重性取決于關(guān)鍵系統(tǒng)受到損壞時(shí)所侵害的客體以及侵害程度。核設(shè)施營運(yùn)單位應(yīng)對(duì)其使用和擁有的關(guān)鍵系統(tǒng)自行認(rèn)定其網(wǎng)絡(luò)安全等級(jí)。在自行認(rèn)定的過程中，核設(shè)施營運(yùn)單位應(yīng)考慮的因素有：(1)關(guān)鍵系統(tǒng)對(duì)執(zhí)行或支持核設(shè)施運(yùn)行安全、核安保和應(yīng)急準(zhǔn)備功能的重要性；(2)核設(shè)施本身的類別、運(yùn)行特性和擁有的核材料的種類和數(shù)量。

核設(shè)施營運(yùn)單位應(yīng)根據(jù)下述方法自行認(rèn)定每個(gè)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)：

5.1.1 第一級(jí)

核設(shè)施營運(yùn)單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對(duì)核設(shè)施營運(yùn)單位的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益和環(huán)境，應(yīng)定為第一級(jí)，例如：

1) 核設(shè)施的辦公自動(dòng)化系統(tǒng)；

2) 行政檔案管理系統(tǒng)。

5.1.2 第二級(jí)

核設(shè)施營運(yùn)單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對(duì)核設(shè)施營運(yùn)單位的合法權(quán)益產(chǎn)生嚴(yán)重的損害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全，應(yīng)定為第二級(jí)，例如：

1) 實(shí)物保護(hù)等級(jí)為二級(jí)或持有的核材料數(shù)量達(dá)到二級(jí)實(shí)物保護(hù)要求的核設(shè)施的非核安全相關(guān)的運(yùn)行儀控系統(tǒng)、燃料貯存和操作系統(tǒng)、消防系統(tǒng)、通信系統(tǒng)、核材料衡算系統(tǒng)和實(shí)物保護(hù)系統(tǒng);

2) 核設(shè)施的生產(chǎn)管理應(yīng)用系統(tǒng)，包括作業(yè)許可和作業(yè)指令系統(tǒng)、運(yùn)行和維護(hù)系統(tǒng)和配置管理系統(tǒng)。

5.1.3 第三級(jí)

核設(shè)施營運(yùn)單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對(duì)社會(huì)秩序、公共利益和環(huán)境造成嚴(yán)重的損害，或者對(duì)國家安全造成損害，應(yīng)定為第三級(jí)，例如：

1) 與涉及國家秘密級(jí)信息的系統(tǒng)、設(shè)備、材料、技術(shù)和數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)；

2) 核電站和其他實(shí)物保護(hù)等級(jí)為一級(jí)或持有核材料數(shù)量達(dá)到一級(jí)實(shí)物保護(hù)要求的核設(shè)施的非核安全相關(guān)的運(yùn)行儀控系統(tǒng)、燃料貯存和操作系統(tǒng)、消防系統(tǒng)、通信系統(tǒng)、核材料衡算系統(tǒng)和實(shí)物保護(hù)系統(tǒng)；

3) 實(shí)物保護(hù)等級(jí)為二級(jí)或持有核材料數(shù)量達(dá)到二級(jí)實(shí)物保護(hù)要求的核設(shè)施的下述功能的關(guān)鍵系統(tǒng)：

(1) 保護(hù)功能：自動(dòng)控制核安全保護(hù)行動(dòng)的反應(yīng)堆或工藝流程保護(hù)系統(tǒng)所用的儀控系統(tǒng)；執(zhí)行核安全保護(hù)行動(dòng)的儀控系統(tǒng)；應(yīng)急供電等核安全輔助功能的控制系統(tǒng)；核安全應(yīng)急指揮系統(tǒng)；

(2) 核安全相關(guān)功能：過程控制的儀控系統(tǒng)；中央控制室的操作和監(jiān)視系統(tǒng)，以及報(bào)警系統(tǒng)；為中央控制室采集和處理數(shù)據(jù)的過程計(jì)算機(jī)系統(tǒng)；冷卻劑泵控制系統(tǒng);輻射監(jiān)測(cè)系統(tǒng)等。

5.1.4 第四級(jí)

核設(shè)施營運(yùn)單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重的損害，應(yīng)定為第四級(jí)，例如：

1) 與涉及國家機(jī)密級(jí)信息的系統(tǒng)、設(shè)備、材料、技術(shù)和數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)；

2) 核電站和其他實(shí)物保護(hù)等級(jí)為一級(jí)或持有核材料數(shù)量達(dá)到一級(jí)實(shí)物保護(hù)要求的核設(shè)施的下述功能的：

(1) 保護(hù)功能：自動(dòng)控制核安全保護(hù)行動(dòng)的反應(yīng)堆或工藝流程保護(hù)系統(tǒng)所用的儀控系統(tǒng)；執(zhí)行核安全保護(hù)行動(dòng)的儀控系統(tǒng)；應(yīng)急供電等核安全輔助功能的控制系統(tǒng)；核安全應(yīng)急指揮系統(tǒng)；

(2) 核安全相關(guān)功能：過程控制的儀控系統(tǒng)；中央控制室的操作和監(jiān)視系統(tǒng)，以及報(bào)警系統(tǒng)；為中央控制室采集和處理數(shù)據(jù)的過程計(jì)算機(jī)系統(tǒng)；冷卻劑泵控制系統(tǒng)等。

5.1.5 第五級(jí)

核設(shè)施營運(yùn)單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對(duì)國家安全造成特別嚴(yán)重的損害，應(yīng)定為第五級(jí)，例如：

1) 與涉及國家絕密級(jí)信息、設(shè)備、材料、技術(shù)和數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)；

2) 核設(shè)施營運(yùn)單位的上級(jí)主管單位和有關(guān)部門認(rèn)定的其他數(shù)字系統(tǒng)。

5.2 關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全能力目標(biāo)

核設(shè)施營運(yùn)單位應(yīng)通過網(wǎng)絡(luò)安全建設(shè)整改使得各等級(jí)的關(guān)鍵系統(tǒng)達(dá)到以下等級(jí)網(wǎng)絡(luò)安全能力目標(biāo)：

5.2.1 第一級(jí)

經(jīng)過網(wǎng)絡(luò)安全建設(shè)整改，關(guān)鍵系統(tǒng)具有抵御一般性攻擊的能力，防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力；關(guān)鍵系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)主要功能的能力。

5.2.2 第二級(jí)

經(jīng)過網(wǎng)絡(luò)安全建設(shè)整改，關(guān)鍵系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)常見的攻擊行為，并對(duì)網(wǎng)絡(luò)安全事件進(jìn)行記錄的能力；系統(tǒng)遭到損害后，具有在一定時(shí)間內(nèi)，恢復(fù)部分功能的能力。

5.2.3 第三級(jí)

經(jīng)過網(wǎng)絡(luò)安全建設(shè)整改，關(guān)鍵系統(tǒng)在統(tǒng)一的網(wǎng)絡(luò)安全方針下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄網(wǎng)絡(luò)入侵行為的能力；具有對(duì)網(wǎng)絡(luò)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤網(wǎng)絡(luò)安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有較快恢復(fù)大部分功能的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、網(wǎng)絡(luò)安全機(jī)制等進(jìn)行集中控管的能力。

5.2.4 第四級(jí)

經(jīng)過網(wǎng)絡(luò)安全建設(shè)整改，關(guān)鍵系統(tǒng)在統(tǒng)一的網(wǎng)絡(luò)安全方針下具有抵御敵對(duì)勢(shì)力有組織大規(guī)模攻擊的能力，抵抗嚴(yán)重自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄網(wǎng)絡(luò)入侵行為的能力；具有對(duì)網(wǎng)絡(luò)安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤網(wǎng)絡(luò)安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠迅速恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能迅速恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、網(wǎng)絡(luò)安全機(jī)制等進(jìn)行集中控管的能力。

5.2.5 第五級(jí)

（略）

6. 縱深防御策略和防御架構(gòu)

6.1 網(wǎng)絡(luò)安全縱深防御策略

核設(shè)施營運(yùn)單位應(yīng)制定和執(zhí)行一個(gè)網(wǎng)絡(luò)安全實(shí)施計(jì)劃，執(zhí)行和維護(hù)集成的縱深防御策略，以確保檢測(cè)、預(yù)防、應(yīng)對(duì)網(wǎng)絡(luò)攻擊，以及在受到網(wǎng)絡(luò)攻擊后減輕后果和恢復(fù)系統(tǒng)的能力。為滿足這一要求，核設(shè)施營運(yùn)單位應(yīng)執(zhí)行一個(gè)場(chǎng)址綜合的與本導(dǎo)則6.2節(jié)所描述的防御架構(gòu)一致的縱深防御策略，以及本導(dǎo)則7節(jié)所要求的網(wǎng)絡(luò)安全控制。縱深防御策略代表了文檔化的，建立多層保護(hù)架構(gòu)保護(hù)關(guān)鍵系統(tǒng)的一組互補(bǔ)和冗余的網(wǎng)絡(luò)安全控制。采用縱深防御策略，可在單一防御方針或網(wǎng)絡(luò)安全控制的失效時(shí)，不至于導(dǎo)致一個(gè)SSEP功能的失效。

核設(shè)施營運(yùn)單位可由多種方式來實(shí)現(xiàn)縱深防御策略。從網(wǎng)絡(luò)安全架構(gòu)的角度出發(fā)，縱深防御策略包含了建立多層網(wǎng)絡(luò)安全邊界，保護(hù)關(guān)鍵系統(tǒng)和網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊。但是，縱深防御策略不能僅建立多層網(wǎng)絡(luò)安全邊界，而且要建立和維護(hù)一個(gè)魯棒性網(wǎng)絡(luò)安全實(shí)施計(jì)劃，用于評(píng)估、保護(hù)、預(yù)防、檢測(cè)和減輕對(duì)關(guān)鍵系統(tǒng)的攻擊，并在受到攻擊后恢復(fù)系統(tǒng)。

例如，即使發(fā)生了一個(gè)防御措施失效（例如違反網(wǎng)絡(luò)安全方針）或保護(hù)機(jī)制被繞行（例如，被一種未被標(biāo)示為網(wǎng)絡(luò)攻擊的新病毒），機(jī)制仍然存在，并能夠?qū)κ艿礁腥镜年P(guān)鍵系統(tǒng)內(nèi)非授權(quán)篡改進(jìn)行檢測(cè)和響應(yīng)，減輕這種篡改的影響，并在發(fā)生不利影響前，恢復(fù)受感染關(guān)鍵系統(tǒng)的正常運(yùn)行。

6.2 網(wǎng)絡(luò)安全防御架構(gòu)

核設(shè)施營運(yùn)單位的場(chǎng)址綜合的網(wǎng)絡(luò)安全防御方針應(yīng)采取縱深防御策略，保護(hù)關(guān)鍵系統(tǒng)免受設(shè)計(jì)基準(zhǔn)威脅的網(wǎng)絡(luò)攻擊。為實(shí)現(xiàn)這一目標(biāo)，核設(shè)施營運(yùn)單位應(yīng)整合一個(gè)縱深防御架構(gòu)，建立嚴(yán)格的通信邊界（或網(wǎng)絡(luò)安全層），在邊界上采用防御措施，評(píng)估、保護(hù)、預(yù)防、檢測(cè)和減輕網(wǎng)絡(luò)攻擊，并在受到攻擊后恢復(fù)系統(tǒng)。一種防御架構(gòu)的模型包括一系列網(wǎng)絡(luò)安全措施逐層增強(qiáng)的同心的防御層，在概念上類似于核設(shè)施現(xiàn)有的實(shí)物保護(hù)區(qū)（例如，要害區(qū)、保護(hù)區(qū)、控制區(qū)）。

例如，可以采用包括五個(gè)同心防御層的防御模型。在相鄰的同心防御層之間設(shè)置邊界進(jìn)行分隔，例如采用防火墻和單向網(wǎng)閘，對(duì)跨越邊界的數(shù)字通信進(jìn)行監(jiān)測(cè)和限制。需要最高網(wǎng)絡(luò)安全措施的系統(tǒng)應(yīng)置于多層邊界的內(nèi)層。但是，這種多層同心防御模型并不總是直接對(duì)應(yīng)于例如要害區(qū)、保護(hù)區(qū)和控制區(qū)的物理位置。

核設(shè)施營運(yùn)單位的多層同心防御架構(gòu)至少應(yīng)具有下述特性：

1) 與運(yùn)行安全相關(guān)，對(duì)運(yùn)行安全和安保功能重要，以及重要的支持系統(tǒng)和設(shè)備，如果被損壞，可能對(duì)運(yùn)行安全，或?qū)\(yùn)行安全和安保重要的功能帶來不利影響的關(guān)鍵系統(tǒng)應(yīng)置于四級(jí)，防御來自所有較低級(jí)別防御層的網(wǎng)絡(luò)攻擊；

2) 僅允許從四級(jí)至三級(jí)關(guān)鍵系統(tǒng)，和三級(jí)至二級(jí)關(guān)鍵系統(tǒng)的單向數(shù)據(jù)流；

3) 禁止從低等級(jí)關(guān)鍵系統(tǒng)向高等級(jí)關(guān)鍵系統(tǒng)的通信要求；

4) 從一個(gè)級(jí)別向另一個(gè)級(jí)別的數(shù)據(jù)通信應(yīng)經(jīng)過一個(gè)或多個(gè)執(zhí)行每個(gè)級(jí)別間網(wǎng)絡(luò)安全方針的邊界控制設(shè)備；

5) 維護(hù)檢測(cè)、預(yù)防、延遲和減輕網(wǎng)絡(luò)攻擊，并在受到攻擊后恢復(fù)系統(tǒng)的能力；

6)按照核安保導(dǎo)則HABD-004/02第4節(jié)和核安保導(dǎo)則HABD-004/03第12節(jié)和第13節(jié)的要求配置關(guān)鍵系統(tǒng)和邊界保護(hù)系統(tǒng)；

7) 禁止對(duì)支持所涉及關(guān)鍵系統(tǒng)的設(shè)計(jì)基準(zhǔn)功能不必要的應(yīng)用、服務(wù)和協(xié)議。

6.3 安全域

核設(shè)施營運(yùn)單位可建立多層網(wǎng)絡(luò)安全的縱深防御模型，將對(duì)運(yùn)行安全具有同樣或類似重要性的關(guān)鍵系統(tǒng)組合形成安全域。根據(jù)安全域的風(fēng)險(xiǎn)等級(jí)，實(shí)施不同等級(jí)的網(wǎng)絡(luò)安全控制。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)高的安全域位于多層防御模型內(nèi)層,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)低的安全域位于多層防御模型外層，同一層防御模型可能包含多個(gè)網(wǎng)絡(luò)安全等級(jí)相同的安全域。

為使這一防御模型更加有效地保護(hù)關(guān)鍵系統(tǒng)免受網(wǎng)絡(luò)攻擊，核設(shè)施營運(yùn)單位應(yīng)持續(xù)地維持上述特性，同時(shí)采用核安保導(dǎo)則HABD-004/02所描述的技術(shù)類控制和核安保導(dǎo)則HABD-004/03所描述的運(yùn)維和管理類控制，以及實(shí)行本導(dǎo)則第7節(jié)所述的網(wǎng)絡(luò)安全控制。

雖然上述安全域和多層防御模型可能允許在同一級(jí)別內(nèi)系統(tǒng)之間的通信（例如四級(jí)和/或三級(jí)），但是，關(guān)鍵系統(tǒng)之間的數(shù)字隔離（即在關(guān)鍵系統(tǒng)之間不設(shè)置通信路徑）是滿足網(wǎng)絡(luò)安全管理要求的最安全的方式。特別是，應(yīng)在任何可能的條件下使用數(shù)字隔離措施。

7. 網(wǎng)絡(luò)安全控制

核設(shè)施營運(yùn)單位應(yīng)按照網(wǎng)絡(luò)安全實(shí)施計(jì)劃實(shí)施控制措施，保護(hù)關(guān)鍵系統(tǒng)免受設(shè)計(jì)基準(zhǔn)威脅所規(guī)定的網(wǎng)絡(luò)攻擊。關(guān)鍵系統(tǒng)潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)作為已知的網(wǎng)絡(luò)風(fēng)險(xiǎn)處理，并在核設(shè)施的獨(dú)特環(huán)境下采用 “高于已知風(fēng)險(xiǎn)”標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制。

本導(dǎo)則7.1節(jié)（技術(shù)控制），7.2節(jié)（運(yùn)維控制）和7.3節(jié)（管理控制）為應(yīng)對(duì)潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供一個(gè)網(wǎng)絡(luò)安全控制一覽表。在按照系統(tǒng)類型選擇基線網(wǎng)絡(luò)安全控制方面，上述控制是與當(dāng)前國際成熟和標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估方法一致的。

為防御潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)，核設(shè)施營運(yùn)單位對(duì)參照本導(dǎo)則第4.4節(jié)（檢查和驗(yàn)證）識(shí)別的每一個(gè)關(guān)鍵系統(tǒng)實(shí)行核安保導(dǎo)則HABD-004/03描述的所有控制，并對(duì)核安保導(dǎo)則HABD-004/02描述的每一個(gè)控制執(zhí)行下述一個(gè)或多個(gè)活動(dòng)：

1) 實(shí)行核安保導(dǎo)則HABD-004/02所描述的每個(gè)技術(shù)類控制；

2) 對(duì)于一個(gè)未能實(shí)行的控制，通過下述方法實(shí)行替代控制,以便消除與一個(gè)或多個(gè)核安保導(dǎo)則HABD-004/02所列的控制相關(guān)的威脅：

(1) 記錄實(shí)行替代控制的基礎(chǔ)；

(2) 執(zhí)行和記錄一個(gè)對(duì)關(guān)鍵系統(tǒng)攻擊矢量和攻擊樹以及替代控制的分析，確認(rèn)應(yīng)對(duì)措施提供與核安保導(dǎo)則HABD-004/02規(guī)定的相應(yīng)控制同等或更高的保護(hù)；

(3) 實(shí)行提供至少與核安保導(dǎo)則HABD-004/02規(guī)定的相應(yīng)控制同等保護(hù)的替代應(yīng)對(duì)措施。

3) 對(duì)關(guān)鍵系統(tǒng)一個(gè)或多個(gè)特定的網(wǎng)絡(luò)安全控制進(jìn)行攻擊矢量和攻擊樹分析，以便提供一個(gè)書面的理由來證明該攻擊矢量不存在（即不適用），由此可免除這些特定網(wǎng)絡(luò)安全控制的需求。

在確認(rèn)實(shí)行某一控制對(duì)SSEP功能產(chǎn)生不利影響時(shí)（例如，系統(tǒng)響應(yīng)時(shí)間出現(xiàn)不可接受的變化，或者不必要地增加系統(tǒng)復(fù)雜性），就不應(yīng)該實(shí)行這一控制。在不實(shí)行這一控制時(shí)，核設(shè)施營運(yùn)單位應(yīng)按照上述過程，實(shí)行替代控制，保護(hù)關(guān)鍵系統(tǒng)免受設(shè)計(jì)基準(zhǔn)威脅所規(guī)定的網(wǎng)絡(luò)攻擊。對(duì)因擔(dān)心對(duì)關(guān)鍵系統(tǒng)性能產(chǎn)生影響而未實(shí)行某一控制，導(dǎo)致關(guān)鍵系統(tǒng)具有任何殘余的脆弱性時(shí)，應(yīng)實(shí)行替代控制消除或減輕脆弱性。

一旦實(shí)行了網(wǎng)絡(luò)安全控制，核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)執(zhí)行10.1.2節(jié)所描述的有效性分析和第10.1.3節(jié)描述的脆弱性評(píng)估/脆弱性掃描，核實(shí)已經(jīng)確保了關(guān)鍵系統(tǒng)免受設(shè)計(jì)基準(zhǔn)威脅所規(guī)定的網(wǎng)絡(luò)攻擊。如果這些有效性分析和脆弱性分析發(fā)現(xiàn)網(wǎng)絡(luò)安全實(shí)施計(jì)劃有缺陷，核設(shè)施營運(yùn)單位應(yīng)實(shí)行核安保導(dǎo)則HABD-004/02和核安保導(dǎo)則HABD-004/03未提供的額外的網(wǎng)絡(luò)安全控制措施。

7.1 技術(shù)控制

技術(shù)控制是通過包含硬件、固件、操作系統(tǒng)或應(yīng)用軟件在內(nèi)的非人為機(jī)制實(shí)現(xiàn)的保障或保護(hù)措施。這類控制的屬性包括訪問控制、審計(jì)和問責(zé)制、系統(tǒng)和通信保護(hù)、檢查和驗(yàn)證。實(shí)行了技術(shù)控制后，動(dòng)作是預(yù)先計(jì)劃的，或預(yù)編程并自動(dòng)執(zhí)行對(duì)觸發(fā)事件做出響應(yīng)的，或被配置以提供既定方針電子執(zhí)行能力的。這些動(dòng)作一般不需要人為干預(yù)。下述7.1.1至7.1.5節(jié)描述了實(shí)行網(wǎng)絡(luò)安全技術(shù)控制的方法。

7.1.1 訪問控制

訪問控制主要包括：

1) 一項(xiàng)文檔化的方針，明確目的、適用范圍、角色、職責(zé)以確保只有被授權(quán)的個(gè)人，或代表這些個(gè)人的進(jìn)程方可訪問關(guān)鍵系統(tǒng)和執(zhí)行經(jīng)授權(quán)的活動(dòng)；

2) 促進(jìn)和維護(hù)訪問控制方針的規(guī)程應(yīng)描述以下事項(xiàng)：

(1) 訪問權(quán)的控制（即，何人和何進(jìn)程可以訪問何資源）和訪問權(quán)限的控制（即，這些個(gè)人和進(jìn)程可以對(duì)訪問的資源做什么）；

(2) 系統(tǒng)加固（即，識(shí)別和移除不必要的系統(tǒng)服務(wù)、通信路徑、數(shù)據(jù)存儲(chǔ)能力和不安全的通信協(xié)議）；

(3) 關(guān)鍵系統(tǒng)賬戶管理（即，創(chuàng)建、激活、修改、檢查、禁用和刪除賬戶）；

(4) 關(guān)鍵系統(tǒng)審計(jì)（即，至少每年一次或在發(fā)生人員角色、職責(zé)變動(dòng)或系統(tǒng)配置或功能的重大變更時(shí)立即進(jìn)行）；

(5) 職責(zé)分離（即，通過指定的訪問授權(quán)）。

3) 實(shí)行核安保導(dǎo)則HABD-004/02第2節(jié)描述的網(wǎng)絡(luò)安全控制。

7.1.2 審計(jì)和問責(zé)

審計(jì)和問責(zé)主要包括：

1) 一項(xiàng)文檔化的方針，明確目的、適用范圍、角色、職責(zé)、要求，審計(jì)網(wǎng)絡(luò)安全實(shí)施計(jì)劃各個(gè)要素的有效性，對(duì)任何發(fā)現(xiàn)的問題進(jìn)行整改，確保網(wǎng)絡(luò)安全實(shí)施計(jì)劃對(duì)保護(hù)SSEP功能的有效性；

2) 促進(jìn)并維護(hù)審計(jì)與問責(zé)方針的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/02第3節(jié)介紹的網(wǎng)絡(luò)安全控制。

7.1.3 系統(tǒng)和通信保護(hù)

系統(tǒng)和通信保護(hù)包括:

1) 一項(xiàng)文檔化的方針，規(guī)定目的、范圍、職責(zé)、分工，減輕可能導(dǎo)致網(wǎng)絡(luò)攻擊的未經(jīng)授權(quán)訪問系統(tǒng)或通信，對(duì)核設(shè)施SSEP功能造成不利影響；

2) 促進(jìn)并維護(hù)系統(tǒng)和通信保護(hù)方針以及相關(guān)系統(tǒng)和通信保護(hù)控制的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/02第4節(jié)描述的網(wǎng)絡(luò)安全控制。

7.1.4 識(shí)別與認(rèn)證

識(shí)別與認(rèn)證保護(hù)包括：

1) 采用以下方法進(jìn)行用戶標(biāo)識(shí)管理：

(1) 唯一性地識(shí)別每個(gè)用戶和代表用戶的應(yīng)用程序；

(2) 驗(yàn)證每一個(gè)用戶和代表用戶的應(yīng)用程序；

(3) 經(jīng)批準(zhǔn)后，代表相關(guān)行政部門頒發(fā)一個(gè)用戶標(biāo)識(shí)；

(4) 確保將用戶標(biāo)識(shí)發(fā)送到預(yù)期的當(dāng)事方；

(5) 在預(yù)先規(guī)定的靜止期后使得用戶標(biāo)識(shí)失效；

(6) 用戶標(biāo)識(shí)歸檔。

2) 通過以下方法管理關(guān)鍵系統(tǒng)認(rèn)證器：

(1) 確定初始認(rèn)證內(nèi)容；

(2) 建立分發(fā)初始認(rèn)證器的行政規(guī)程，處理認(rèn)證器的丟失、失效、損壞,以及吊銷；

(3) 一旦安裝了控制系統(tǒng)，立即更改其默認(rèn)認(rèn)證器；

(4) 定期更改和刷新認(rèn)證器；

3) 實(shí)行核安保導(dǎo)則HABD-004/02第5節(jié)描述的網(wǎng)絡(luò)安全控制。

7.1.5 系統(tǒng)加固

關(guān)鍵系統(tǒng)的系統(tǒng)加固包括：

1)一項(xiàng)文檔化的方針，明確目的、適用范圍、角色、職責(zé)，確保安全地配置全部現(xiàn)有的關(guān)鍵系統(tǒng)，以防止未經(jīng)授權(quán)的訪問和使用；

2) 促進(jìn)和維護(hù)系統(tǒng)加固方針的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/02第6節(jié)中描述的網(wǎng)絡(luò)安全控制。

7.2 運(yùn)維控制

運(yùn)維控制是人為而不是自動(dòng)化手段執(zhí)行的保護(hù)措施。此類措施的屬性包括涉及介質(zhì)保護(hù)、物理和環(huán)境保護(hù)、人員安全、系統(tǒng)和信息的完整性、應(yīng)急計(jì)劃、事故響應(yīng)、維護(hù)、攻擊緩解、功能持續(xù)性、意識(shí)教育與培訓(xùn)和配置管理等方面的活動(dòng)。運(yùn)維控制應(yīng)有文檔化的規(guī)程，以確保對(duì)核設(shè)施人員和承包商的行為問責(zé)。下述7.2.1 至7.2.9節(jié)描述了相關(guān)的運(yùn)維控制。

7.2.1 介質(zhì)保護(hù)

介質(zhì)保護(hù)包括：

1) 一項(xiàng)文檔化的方針，明確目的、適用范圍、角色、職責(zé)，用于介質(zhì)的接收、儲(chǔ)存、處理、清除、移出、再利用和銷毀等方面；

2) 促進(jìn)和維護(hù)介質(zhì)保護(hù)方針的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/03第2節(jié)描述的網(wǎng)絡(luò)安全控制。

7.2.2 人員安全

人員安全包括：

1) 一項(xiàng)文檔化的方針，規(guī)定覆蓋人員的范圍，網(wǎng)絡(luò)安全計(jì)劃的角色、職責(zé)和審計(jì)機(jī)制，以確保具有無人陪同訪問（電子或物理）關(guān)鍵系統(tǒng)權(quán)限的人員的可信賴性和可靠性；

2) 促進(jìn)執(zhí)行人員安全方針的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/03第3節(jié)描述的網(wǎng)絡(luò)安全控制。

7.2.3 系統(tǒng)和信息完整性

系統(tǒng)和信息完整性包括：

1) 一項(xiàng)文檔化的方針，明確目的、適用范圍、角色、職責(zé)，用于確保能夠保護(hù)貯存在關(guān)鍵系統(tǒng)中的信息；

2) 促進(jìn)和維護(hù)系統(tǒng)和信息完整性方針的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/03第4節(jié)描述的網(wǎng)絡(luò)安全控制。

7.2.4 維護(hù)

維護(hù)包括：

1) 一項(xiàng)文檔化的方針，明確目的、適用范圍、角色、職責(zé)，用于為確保核設(shè)施SSEP功能免受網(wǎng)絡(luò)攻擊所需的對(duì)關(guān)鍵系統(tǒng)以及網(wǎng)絡(luò)安全邊界設(shè)備相關(guān)的日常和預(yù)防性維護(hù)；

2) 促進(jìn)和維護(hù)維護(hù)方針的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/03第5節(jié)描述的網(wǎng)絡(luò)安全控制。

7.2.5 物理和環(huán)境保護(hù)

物理和環(huán)境保護(hù)包括：

1) 一項(xiàng)文檔化的方針，明確目的、適用范圍、角色、職責(zé)，能夠確保下述；

(1) 減輕非授權(quán)物理訪問關(guān)鍵系統(tǒng)和有關(guān)聯(lián)的通信路徑的風(fēng)險(xiǎn)；

(2) 保護(hù)關(guān)鍵系統(tǒng)和有關(guān)聯(lián)的通信路徑免受可能導(dǎo)致基礎(chǔ)設(shè)施支持系統(tǒng)（例如供電；供暖，通風(fēng)和空調(diào)系統(tǒng)；消防系統(tǒng)）故障失效或無法正常運(yùn)行的環(huán)境條件影響。

2) 促進(jìn)和維護(hù)物理和操作環(huán)境保護(hù)方針的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/03第6節(jié)描述的網(wǎng)絡(luò)安全控制。

7.2.6 事故響應(yīng)

核設(shè)施網(wǎng)絡(luò)安全實(shí)施計(jì)劃應(yīng)包括如何執(zhí)行事故響應(yīng)和恢復(fù)措施，包括：

1) 維護(hù)及時(shí)檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力；

2) 減輕網(wǎng)絡(luò)攻擊的后果；

3) 對(duì)發(fā)現(xiàn)的脆弱性進(jìn)行整改；

4) 恢復(fù)受感染的系統(tǒng)、網(wǎng)絡(luò)和設(shè)備。

在網(wǎng)絡(luò)攻擊時(shí)和網(wǎng)絡(luò)攻擊后，核設(shè)施營運(yùn)單位可采取下述方法滿足響應(yīng)和恢復(fù)相關(guān)的要求：

1) 制定一項(xiàng)事故響應(yīng)方針，規(guī)定目的、范圍、職責(zé)、分工，用于編制計(jì)劃和應(yīng)對(duì)網(wǎng)絡(luò)安全事故，確保將網(wǎng)絡(luò)攻擊的后果減輕到可以接受的水平；

2) 制定規(guī)程促進(jìn)執(zhí)行事故響應(yīng)方針和相關(guān)的事故響應(yīng)措施；

3) 制定規(guī)程促進(jìn)執(zhí)行事故響應(yīng)調(diào)查：

4) 實(shí)行核安保導(dǎo)則HABD-004/03第9節(jié)描述的網(wǎng)絡(luò)安全控制。

核設(shè)施營運(yùn)單位應(yīng)將事故響應(yīng)和恢復(fù)措施并入到網(wǎng)絡(luò)安全實(shí)施計(jì)劃和應(yīng)急預(yù)案中。

7.2.7 應(yīng)急計(jì)劃/SSEP功能的持續(xù)性

核設(shè)施營運(yùn)單位滿足應(yīng)急預(yù)案要求的方法可包括：

1) 制定和執(zhí)行一項(xiàng)運(yùn)行持續(xù)性方針，明確目的、適用范圍、角色、職責(zé)，用于編制和啟動(dòng)網(wǎng)絡(luò)安全事故恢復(fù)計(jì)劃，確保在一次網(wǎng)絡(luò)攻擊后，能夠維護(hù)SSEP功能運(yùn)行的持續(xù)性；

2) 制定和執(zhí)行促進(jìn)和維護(hù)運(yùn)行持續(xù)性方針的規(guī)程；

3) 實(shí)行核安保導(dǎo)則HABD-004/03第10節(jié)描述網(wǎng)絡(luò)安全控制。

7.2.8 意識(shí)教育和培訓(xùn)

網(wǎng)絡(luò)安全從業(yè)人員管理，作為其網(wǎng)絡(luò)安全實(shí)施計(jì)劃的一部分，核設(shè)施營運(yùn)單位應(yīng)確保相關(guān)的設(shè)施人員，包括承包商意識(shí)到網(wǎng)絡(luò)安全的要求，并獲得有效履行其崗位職能所必需的培訓(xùn)。核設(shè)施營運(yùn)單位滿足意識(shí)教育和培訓(xùn)要求的方法可包括：

1) 制定、分發(fā)，并定期審查和更新網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)教育計(jì)劃，明確目的、適用范圍、角色、職責(zé)，確保設(shè)施人員已經(jīng)接受了能夠正確履行其崗位職能的培訓(xùn)；

2) 在需要額外培訓(xùn)的領(lǐng)域，進(jìn)行差距分析；

3) 采取措施確定是否遵守了方針和規(guī)程，如果未能遵守，是否是由培訓(xùn)或意識(shí)教育導(dǎo)致的，以及應(yīng)采取何種糾正措施；

4)制定，分發(fā)和定期審查和更新促進(jìn)和維護(hù)網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)教育的規(guī)程；

5) 實(shí)行核安保導(dǎo)則HABD-004/03第11節(jié)描述的網(wǎng)絡(luò)安全控制。

7.2.9 配置管理

核設(shè)施營運(yùn)單位應(yīng)在關(guān)鍵系統(tǒng)變更前進(jìn)行評(píng)估，確保實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的目標(biāo)。核設(shè)施營運(yùn)單位滿足配置管理要求的方法可包括：

1) 制定，分發(fā)，并每年審查和更新配置管理方針和計(jì)劃，明確配置管理的目的、適用范圍、角色、職責(zé)，確保(1)當(dāng)對(duì)一個(gè)關(guān)鍵系統(tǒng)變更時(shí)，不降低現(xiàn)有的網(wǎng)絡(luò)安全功能；(2)防止了對(duì)一個(gè)關(guān)鍵系統(tǒng)的任何未經(jīng)授權(quán)或意外修改。配置管理方針和規(guī)程應(yīng)同時(shí)適用于核設(shè)施營運(yùn)單位及供應(yīng)商雙方的人員。

2) 制定促進(jìn)和維護(hù)配置管理方針和計(jì)劃的規(guī)程以及相關(guān)的配置管理控制和措施；

3) 實(shí)行核安保導(dǎo)則HABD-004/03第12節(jié)描述的網(wǎng)絡(luò)安全控制。

7.3 管理控制

管理控制是注重于風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全方針環(huán)境的管理。這類控制的屬性包括系統(tǒng)和服務(wù)采購、網(wǎng)絡(luò)安全評(píng)估和風(fēng)險(xiǎn)管理、以及數(shù)字資產(chǎn)的添置和變更。下述7.3.1至7.3.2節(jié)描述了相關(guān)的管理控制。

7.3.1 系統(tǒng)和服務(wù)采購

系統(tǒng)和服務(wù)采購的方案包括：

1) 制定采購方針，明確目的、適用范圍、角色、職責(zé)，確保在采購過程中，能夠維護(hù)所采購系統(tǒng)和服務(wù)的完整性；

2) 制定規(guī)程，促進(jìn)和維護(hù)執(zhí)行與供應(yīng)商網(wǎng)絡(luò)安全和開發(fā)生命周期相關(guān)的采購方針；

3) 實(shí)行核安保導(dǎo)則HABD-004/03第13節(jié)描述的網(wǎng)絡(luò)安全控制。

7.3.2 威脅評(píng)估和風(fēng)險(xiǎn)管理

核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全實(shí)施計(jì)劃應(yīng)確保網(wǎng)絡(luò)安全風(fēng)險(xiǎn)得到適當(dāng)管理和評(píng)估。核設(shè)施營運(yùn)單位可建立風(fēng)險(xiǎn)管理和評(píng)估計(jì)劃，執(zhí)行本導(dǎo)則第6節(jié)和第10節(jié)描述的步驟，以及核安保導(dǎo)則HABD-004/03第14節(jié)描述的網(wǎng)絡(luò)安全評(píng)估與風(fēng)險(xiǎn)管理方法，確保保護(hù)了所安裝的關(guān)鍵系統(tǒng)免受網(wǎng)絡(luò)攻擊。

8. 《核設(shè)施網(wǎng)絡(luò)安全實(shí)施計(jì)劃》與《核設(shè)施實(shí)物保護(hù)與保密實(shí)施計(jì)劃》的協(xié)同執(zhí)行

核設(shè)施營運(yùn)單位應(yīng)將網(wǎng)絡(luò)安全實(shí)施計(jì)劃與《核設(shè)施實(shí)物保護(hù)與保密實(shí)施計(jì)劃》協(xié)同執(zhí)行。為滿足《中華人民共和國核材料管制條例》的要求，核設(shè)施的實(shí)物保護(hù)和保密實(shí)施計(jì)劃提出了組織的目標(biāo)和要求，描述了為實(shí)現(xiàn)核設(shè)施整體安全態(tài)勢(shì)的綜合方案所必要的保護(hù)措施。雖然實(shí)施網(wǎng)絡(luò)攻擊所使用的方法和工具可能不同于實(shí)體攻擊，但是產(chǎn)生的后果可能是類似的。此外，網(wǎng)絡(luò)攻擊可被用以配合實(shí)體攻擊，或者可被用于協(xié)助實(shí)體攻擊，因此，核設(shè)施營運(yùn)單位的防衛(wèi)方案必須設(shè)計(jì)得能夠保護(hù)核設(shè)施免受設(shè)計(jì)基準(zhǔn)威脅的針對(duì)實(shí)體、網(wǎng)絡(luò)和兩者的聯(lián)合攻擊。

為滿足上述要求，核設(shè)施營運(yùn)單位可在制定和識(shí)別防衛(wèi)計(jì)劃所要求的目標(biāo)組時(shí)考慮網(wǎng)絡(luò)攻擊,并且要整合實(shí)物和網(wǎng)絡(luò)安全的管理。這種整合應(yīng)考慮：

1) 組成一體化聯(lián)合組織，整合網(wǎng)絡(luò)安全和實(shí)物保護(hù)兩方面的安全功能,并獨(dú)立于運(yùn)行;

2) 分析，識(shí)別，并記錄實(shí)物保護(hù)和網(wǎng)絡(luò)安全的相互依賴性;

3) 制定方針和規(guī)程，以整合和統(tǒng)一這些相互依賴的管理;

4) 整合和統(tǒng)一方針和規(guī)程，采用相互協(xié)調(diào)的方案來保護(hù)核設(shè)施免受設(shè)計(jì)基準(zhǔn)威脅的攻擊;

5) 協(xié)調(diào)實(shí)物保護(hù)或網(wǎng)絡(luò)安全設(shè)備和儀器的采購;

6) 協(xié)調(diào)相互依賴的實(shí)物保護(hù)和網(wǎng)絡(luò)安全的運(yùn)行活動(dòng)以及實(shí)物保護(hù)和網(wǎng)絡(luò)安全人員的培訓(xùn)活動(dòng);

7) 整合和協(xié)調(diào)包括實(shí)物保護(hù)突發(fā)事件和網(wǎng)絡(luò)安全事故響應(yīng)人員的應(yīng)急響應(yīng)能力;

8) 針對(duì)這兩個(gè)任務(wù)的需求培訓(xùn)有關(guān)的高級(jí)管理人員;

9) 使用結(jié)合實(shí)體和網(wǎng)絡(luò)模擬攻擊的多種現(xiàn)實(shí)場(chǎng)景定期進(jìn)行整個(gè)網(wǎng)絡(luò)安全和實(shí)物保護(hù)力量的聯(lián)合演練。

9. 場(chǎng)址網(wǎng)絡(luò)安全方針和規(guī)程

核設(shè)施營運(yùn)單位應(yīng)制定文檔化的場(chǎng)址網(wǎng)絡(luò)安全方針和規(guī)程，用于執(zhí)行網(wǎng)絡(luò)安全實(shí)施計(jì)劃。這些方針、規(guī)程、場(chǎng)址特定分析，或其他網(wǎng)絡(luò)安全實(shí)施計(jì)劃的支持性技術(shù)文件應(yīng)記錄留存，以備上級(jí)主管單位檢查組現(xiàn)場(chǎng)調(diào)閱。核設(shè)施營運(yùn)單位制定的網(wǎng)絡(luò)安全實(shí)施計(jì)劃應(yīng)包括方針和規(guī)程，描述整體網(wǎng)絡(luò)安全控制目標(biāo)、目的、實(shí)踐和核設(shè)施營運(yùn)單位內(nèi)部的角色和職責(zé)，以及已制定和維護(hù)的網(wǎng)絡(luò)安全實(shí)施計(jì)劃，使得能夠確保SSEP功能免受網(wǎng)絡(luò)攻擊。本導(dǎo)則第3節(jié)描述了制定角色和職責(zé)規(guī)程的方法。

為滿足編制方針和執(zhí)行規(guī)程的要求，核設(shè)施營運(yùn)單位可執(zhí)行：

1) 定期審查場(chǎng)址網(wǎng)絡(luò)安全方針和規(guī)程，確保它們持續(xù)地充分應(yīng)對(duì)了所保護(hù)關(guān)鍵系統(tǒng)面臨的風(fēng)險(xiǎn)；

2) 評(píng)估了技術(shù)發(fā)展相關(guān)的問題；

3) 處理了雇員崗位相關(guān)的風(fēng)險(xiǎn)；

4) 實(shí)行了核安保導(dǎo)則HABD-004/02 和核安保導(dǎo)則HABD-004/03網(wǎng)絡(luò)安全控制中描述的方針和規(guī)程。

10. 網(wǎng)絡(luò)安全實(shí)施計(jì)劃的維護(hù)

核設(shè)施營運(yùn)單位一旦執(zhí)行了網(wǎng)絡(luò)安全實(shí)施計(jì)劃，應(yīng)定期進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估和管理。為滿足這一要求，核設(shè)施營運(yùn)單位可為關(guān)鍵系統(tǒng)制定全生命周期的網(wǎng)絡(luò)安全計(jì)劃，包括：

1) 持續(xù)的監(jiān)測(cè)和評(píng)估；

2) 配置管理；

3) 變更管理；

4) 變更和環(huán)境對(duì)網(wǎng)絡(luò)安全的影響分析；

5) 有效性分析；

6) 持續(xù)評(píng)估網(wǎng)絡(luò)安全控制和網(wǎng)絡(luò)安全實(shí)施計(jì)劃的有效性；

7) 脆弱性評(píng)估/掃描；

8) 變更控制；

9) 網(wǎng)絡(luò)安全實(shí)施計(jì)劃的檢查。

下述10.1到10.3節(jié)描述了這些要素：

10.1 持續(xù)監(jiān)控與評(píng)估

核設(shè)施營運(yùn)單位應(yīng)持續(xù)監(jiān)控網(wǎng)絡(luò)安全控制、過程和規(guī)程，確認(rèn)建立的網(wǎng)絡(luò)安全控制時(shí)刻滿足實(shí)施計(jì)劃的要求，以及系統(tǒng)、網(wǎng)絡(luò)、環(huán)境的變更或新的威脅并未降低其有效性。

持續(xù)監(jiān)控包括：

1) 在全生命周期內(nèi)，核實(shí)每一個(gè)關(guān)鍵系統(tǒng)采用的網(wǎng)絡(luò)安全措施是否始終到位，并實(shí)時(shí)評(píng)估核實(shí)結(jié)果；

2) 核實(shí)各基礎(chǔ)設(shè)施未感染惡意代碼；

3) 持續(xù)地評(píng)估核安保導(dǎo)則HABD-004/02 和核安保導(dǎo)則HABD-004/03中要求的網(wǎng)絡(luò)安全控制的必要性和有效性；

4) 定期檢查網(wǎng)絡(luò)安全實(shí)施計(jì)劃，評(píng)估和提高其有效性。

為維持確保關(guān)鍵系統(tǒng)得到充分保護(hù)免受網(wǎng)絡(luò)攻擊，持續(xù)監(jiān)控和及時(shí)更新網(wǎng)絡(luò)安全實(shí)施計(jì)劃，反映必要的變化。

10.1.1 持續(xù)評(píng)估網(wǎng)絡(luò)安全控制

持續(xù)地評(píng)估網(wǎng)絡(luò)安全控制確保在關(guān)鍵系統(tǒng)全生命周期內(nèi)實(shí)行的網(wǎng)絡(luò)安全控制始終到位，并功能準(zhǔn)確。核設(shè)施營運(yùn)單位應(yīng)定期[在至少每年一次的基礎(chǔ)上]或者根據(jù)核安保導(dǎo)則HABD-004/02和核安保導(dǎo)則HABD-004/03的描述對(duì)每項(xiàng)控制規(guī)定的更高的頻度要求核實(shí)這些網(wǎng)絡(luò)安全控制的狀態(tài)。

10.1.2 網(wǎng)絡(luò)安全控制的有效性分析

核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)監(jiān)控和檢查網(wǎng)絡(luò)安全實(shí)施計(jì)劃和網(wǎng)絡(luò)安全控制的有效性，確保正確地執(zhí)行上述計(jì)劃和控制，并按預(yù)期要求操作，以及持續(xù)地確保關(guān)鍵系統(tǒng)免受設(shè)計(jì)基準(zhǔn)威脅規(guī)定的網(wǎng)絡(luò)攻擊。檢查網(wǎng)絡(luò)安全實(shí)施計(jì)劃和安全控制措施應(yīng)包括，但不限于：定期測(cè)試網(wǎng)絡(luò)安全控制；重新評(píng)估設(shè)計(jì)基準(zhǔn)威脅規(guī)定的敵手能力；審計(jì)實(shí)物保護(hù)和網(wǎng)絡(luò)安全計(jì)劃與執(zhí)行規(guī)程、運(yùn)行安全/安保交接活動(dòng)、測(cè)試/維護(hù)/標(biāo)定計(jì)劃、操作經(jīng)驗(yàn)；評(píng)估為落實(shí)上級(jí)主管單位和有關(guān)部門意見擬采取的整改措施。

從這些分析獲得的結(jié)果可用于：

1) 改善網(wǎng)絡(luò)安全實(shí)施計(jì)劃的績效和有效性；

2) 管理和評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；

3) 改進(jìn)實(shí)行核安保導(dǎo)則HABD-004/02和核安保導(dǎo)則HABD-004/03所敘述的網(wǎng)絡(luò)安全控制；

4) 確定是否需要新的網(wǎng)絡(luò)安全控制，用于保護(hù)關(guān)鍵系統(tǒng)免受網(wǎng)絡(luò)攻擊；

5) 核實(shí)現(xiàn)有網(wǎng)絡(luò)安全控制在保護(hù)關(guān)鍵系統(tǒng)免受網(wǎng)絡(luò)攻擊方面是否運(yùn)行正常和有效；

6) 促進(jìn)在網(wǎng)絡(luò)安全自我評(píng)估或?qū)I(yè)測(cè)評(píng)中所發(fā)現(xiàn)問題的整改。

核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)定期[在至少每年一次的基礎(chǔ)上]或者根據(jù)核安保導(dǎo)則HABD-004/02 和核安保導(dǎo)則HABD-004/03描述的對(duì)每項(xiàng)控制規(guī)定更高的具體頻度要求檢查網(wǎng)絡(luò)安全控制的有效性。網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)檢查關(guān)鍵系統(tǒng)部件的維修記錄，確保執(zhí)行網(wǎng)絡(luò)安全功能關(guān)鍵系統(tǒng)的性能維持在制造商建議的水平。

10.1.3 脆弱性評(píng)估和掃描

核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)定期對(duì)網(wǎng)絡(luò)安全控制、防御架構(gòu)和所有關(guān)鍵系統(tǒng)進(jìn)行脆弱性評(píng)估和掃描，識(shí)別網(wǎng)絡(luò)安全缺陷。核設(shè)施營運(yùn)單位應(yīng)[至少每季度]或者按照核安保導(dǎo)則HABD-004/02 和核安保導(dǎo)則HABD-004/03中描述的每個(gè)網(wǎng)絡(luò)安全控制的具體要求（取頻度高者），或當(dāng)出現(xiàn)新脆弱性會(huì)影響到網(wǎng)絡(luò)安全實(shí)施計(jì)劃的有效性或關(guān)鍵系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)時(shí)，對(duì)關(guān)鍵系統(tǒng)和環(huán)境進(jìn)行一次脆弱性評(píng)估。此外，核設(shè)施營運(yùn)單位應(yīng)使用最新脆弱性掃描工具和技術(shù)，促進(jìn)掃描工具和脆弱性管理進(jìn)程的自動(dòng)部件之間互操作性。

核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)分析脆弱性評(píng)估和掃描報(bào)告，及時(shí)處理對(duì)場(chǎng)址上可能用于損壞關(guān)鍵系統(tǒng)和可能對(duì)SSEP功能帶來不利影響的脆弱性。網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)與相關(guān)人員分享由脆弱性評(píng)估和脆弱性掃描所得到的信息，確保理解、評(píng)估和緩解了類似的脆弱性，這些脆弱性可能對(duì)相連接的或相類似的關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全和/或?qū)SEP帶來不利影響。

核設(shè)施營運(yùn)單位應(yīng)確保掃描過程不嚴(yán)重影響SSEP功能，當(dāng)可能產(chǎn)生這種情況時(shí)，如可能，在掃描前，將關(guān)鍵系統(tǒng)撤出服務(wù)或者采用復(fù)制品（在可行情況下），或者將掃描安排在關(guān)鍵系統(tǒng)檢修期間。如果因?yàn)橛锌赡車?yán)重影響核設(shè)施運(yùn)行安全、核安保和應(yīng)急準(zhǔn)備功能，不能進(jìn)行脆弱性掃描時(shí)，應(yīng)采用替代控制（例如，提供復(fù)制的關(guān)鍵系統(tǒng)、子系統(tǒng)或設(shè)備進(jìn)行掃描）。

10.2 變更控制

變更控制是確保添置或變更關(guān)鍵系統(tǒng)（或者其環(huán)境的變更）是以可控和協(xié)調(diào)的方式進(jìn)行的。為準(zhǔn)備變更管理方案，核設(shè)施營運(yùn)單位應(yīng)：(1)實(shí)行核安保導(dǎo)則HABD-004/03第12節(jié)中的網(wǎng)絡(luò)安全控制(2)建立、維護(hù)和記錄關(guān)鍵系統(tǒng)的配置基線。這一基線至少包括：現(xiàn)有所有部件清單（如硬件、軟件）、外圍設(shè)備和軟件的配置、當(dāng)前軟件版本和機(jī)械/硬件部件的開關(guān)設(shè)置。

有效的變更控制所必要的文檔包括，但不限于：說明授權(quán)與執(zhí)行人的配置變更日志、變更的日期和時(shí)間、變更目的、變更后網(wǎng)絡(luò)安全控制有效性的確認(rèn)、變更過程中的監(jiān)測(cè)記錄。

核設(shè)施營運(yùn)單位應(yīng)采用能夠確保SSEP功能免受網(wǎng)絡(luò)攻擊的方式，系統(tǒng)地計(jì)劃、批準(zhǔn)、測(cè)試和記錄關(guān)鍵系統(tǒng)環(huán)境的變更、在環(huán)境中添置關(guān)鍵系統(tǒng)和現(xiàn)有關(guān)鍵系統(tǒng)的變更。在運(yùn)行和維護(hù)的生命周期階段，核設(shè)施營運(yùn)單位應(yīng)制定規(guī)程，使得關(guān)鍵系統(tǒng)的變更采用了相關(guān)標(biāo)準(zhǔn)，確?，F(xiàn)有網(wǎng)絡(luò)安全控制的有效性，保護(hù)可被用于網(wǎng)絡(luò)攻擊損壞關(guān)鍵系統(tǒng)的任何路徑。

在退役階段，核設(shè)施營運(yùn)單位應(yīng)采用[設(shè)計(jì)控制和配置管理規(guī)程或其他規(guī)程相關(guān)的過程]管理運(yùn)行安全、可靠性和網(wǎng)絡(luò)安全工程活動(dòng)。

核安保導(dǎo)則HABD-004/03對(duì)變更控制提供了具體的指導(dǎo)意見。

10.2.1 配置管理

核設(shè)施營運(yùn)單位應(yīng)實(shí)行核安保導(dǎo)則HABD-004/03第12節(jié)描述的配置管理控制，以及本導(dǎo)則第10.2節(jié)所描述的配置和變更管理過程，并編制文檔化的規(guī)程，確保滿足場(chǎng)址網(wǎng)絡(luò)安全計(jì)劃的目標(biāo)。核設(shè)施營運(yùn)單位應(yīng)確保在關(guān)鍵系統(tǒng)的變更執(zhí)行前通過了按照本導(dǎo)則10.2節(jié)進(jìn)行的評(píng)估，使得能夠達(dá)到網(wǎng)絡(luò)安全管理的目標(biāo)。

在關(guān)鍵系統(tǒng)的運(yùn)行和維護(hù)的生命周期階段，核設(shè)施營運(yùn)單位應(yīng)確保采用了變更控制管理規(guī)程進(jìn)行相關(guān)變更，避免給系統(tǒng)引入新的脆弱性、弱項(xiàng)或風(fēng)險(xiǎn)。該過程也確保及時(shí)和有效地實(shí)行了核安保導(dǎo)則HABD-004/02和核安保導(dǎo)則HABD-004/03敘述的網(wǎng)絡(luò)安全控制。

10.2.2 變更和環(huán)境對(duì)網(wǎng)絡(luò)安全的影響分析

核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)在執(zhí)行一項(xiàng)關(guān)鍵系統(tǒng)的設(shè)計(jì)或配置變更前或出現(xiàn)環(huán)境變更時(shí)，按照本導(dǎo)則第10.1.2節(jié)的要求進(jìn)行網(wǎng)絡(luò)安全影響分析，以便管控由此變更引入的潛在風(fēng)險(xiǎn)。

核設(shè)施營運(yùn)單位應(yīng)評(píng)估、記錄網(wǎng)絡(luò)安全影響，并且將其他關(guān)鍵系統(tǒng)（或子系統(tǒng)或設(shè)備）的運(yùn)行安全和實(shí)物保護(hù)一同并入網(wǎng)絡(luò)安全影響分析，以及更新和記載：

1) 關(guān)鍵系統(tǒng)和與其相連資產(chǎn)的位置；

2) 連通路徑（直接或間接）；

3) 基礎(chǔ)設(shè)施的相互依賴性；

4) 應(yīng)用的防御策略，包括防御模型、網(wǎng)絡(luò)安全控制和其他防御策略措施；

5) 與保護(hù)關(guān)鍵系統(tǒng)免受網(wǎng)絡(luò)攻擊相關(guān)的場(chǎng)址實(shí)物保護(hù)和網(wǎng)絡(luò)安全方針和規(guī)程，包括攻擊后果減輕、事故響應(yīng)和系統(tǒng)恢復(fù)。

核設(shè)施營運(yùn)單位應(yīng)將這些影響分析作為變更批準(zhǔn)過程的一個(gè)部分來執(zhí)行，以便如本導(dǎo)則10.1.2所要求的，評(píng)估變更對(duì)關(guān)鍵系統(tǒng)和網(wǎng)絡(luò)安全控制的網(wǎng)絡(luò)安全態(tài)勢(shì)影響，以及處理任何發(fā)現(xiàn)的偏差，保護(hù)關(guān)鍵系統(tǒng)免受設(shè)計(jì)基準(zhǔn)威脅所規(guī)定的網(wǎng)絡(luò)攻擊。

核設(shè)施營運(yùn)單位應(yīng)在關(guān)鍵系統(tǒng)的全生命周期實(shí)行管理，實(shí)現(xiàn)SSEP功能的網(wǎng)絡(luò)安全目標(biāo)，這種管理應(yīng)通過持續(xù)評(píng)估威脅和脆弱性及實(shí)行核安保導(dǎo)則HABD-004/02和核安保導(dǎo)則HABD-004/03敘述的網(wǎng)絡(luò)安全控制來實(shí)現(xiàn)。此外，核設(shè)施營運(yùn)單位應(yīng)制定文檔化規(guī)程，用于篩選、評(píng)估、減輕和處置從可信機(jī)構(gòu)所獲得的威脅和脆弱性通知。處置也包括實(shí)行了相關(guān)網(wǎng)絡(luò)安全控制，減輕新發(fā)布的或新發(fā)現(xiàn)的威脅和脆弱性。

10.2.3 網(wǎng)絡(luò)安全再評(píng)估和授權(quán)

核設(shè)施營運(yùn)單位應(yīng)制定、執(zhí)行、記錄和維護(hù)確保在執(zhí)行關(guān)鍵系統(tǒng)變更前評(píng)估變更的規(guī)程，使得網(wǎng)絡(luò)安全控制仍然有效，以及已經(jīng)處置了任何可能被用于損壞變更后關(guān)鍵系統(tǒng)的路徑，保護(hù)關(guān)鍵系統(tǒng)和SSEP功能免受網(wǎng)絡(luò)攻擊。該規(guī)程應(yīng)確保在執(zhí)行變更前，采用本導(dǎo)則10.1.2節(jié)要求的過程，使用已被證明的和可接受的方法評(píng)估了添置和變更，確保充分防范了設(shè)計(jì)基準(zhǔn)威脅的網(wǎng)絡(luò)攻擊。

核設(shè)施營運(yùn)單位應(yīng)在關(guān)鍵系統(tǒng)變更后分發(fā)、檢查和更新：

1) 一個(gè)正式的、文檔化的，反映所有的變更或添置的網(wǎng)絡(luò)安全評(píng)估和授權(quán)方針，規(guī)定目的、適用范圍、角色、職責(zé)和核設(shè)施營運(yùn)單位內(nèi)各個(gè)部門之間的協(xié)調(diào)機(jī)制；

2) 一個(gè)正式的、文檔化的用于促進(jìn)執(zhí)行網(wǎng)絡(luò)安全再評(píng)估和授權(quán)方針和相關(guān)控制的規(guī)程。

10.2.4 更新網(wǎng)絡(luò)安全實(shí)踐

在發(fā)生關(guān)鍵系統(tǒng)或環(huán)境變更時(shí)，核設(shè)施營運(yùn)單位應(yīng)檢查、更新和修訂場(chǎng)址網(wǎng)絡(luò)安全方針、規(guī)程、實(shí)踐、現(xiàn)有網(wǎng)絡(luò)安全控制、網(wǎng)絡(luò)架構(gòu)的詳細(xì)描述（包括邏輯和物理連接圖）、網(wǎng)絡(luò)安全設(shè)備的信息以及其他任何與網(wǎng)絡(luò)安全實(shí)施計(jì)劃狀態(tài)或者核安保導(dǎo)則HABD-004/02和核安保導(dǎo)則HABD-004/03敘述的網(wǎng)絡(luò)安全控制相關(guān)信息。這些信息包括：

1) 整個(gè)核設(shè)施和上級(jí)主管單位的與網(wǎng)絡(luò)安全相關(guān)的方針、規(guī)程和現(xiàn)行實(shí)踐的信息；

2) 詳細(xì)的網(wǎng)絡(luò)架構(gòu)和流程圖；

3) 網(wǎng)絡(luò)安全設(shè)備或關(guān)鍵系統(tǒng)的配置信息；

4) 整個(gè)核設(shè)施和上級(jí)主管單位正在制定的新的網(wǎng)絡(luò)安全策略或網(wǎng)絡(luò)安全控制，以及與其將來部署相關(guān)的方針、規(guī)程和技術(shù)；

5) 場(chǎng)址的物理安全和運(yùn)維安全計(jì)劃；

6) 對(duì)供應(yīng)商和合同方的網(wǎng)絡(luò)安全要求；

7) 發(fā)現(xiàn)的潛在攻擊路徑；

8) 最新的網(wǎng)絡(luò)安全研究或?qū)徲?jì)結(jié)果（獲得對(duì)潛在脆弱性的深入觀察）；

9) 識(shí)別一旦失效或被操縱可能影響關(guān)鍵系統(tǒng)正常工作的基礎(chǔ)結(jié)構(gòu)支持系統(tǒng)（例如，供電；供暖、通風(fēng)和空調(diào)、通信、消防）。

10.2.5 關(guān)鍵系統(tǒng)變更和添置的檢查和驗(yàn)證測(cè)試

核設(shè)施營運(yùn)單位的網(wǎng)絡(luò)安全管理機(jī)構(gòu)應(yīng)采用本導(dǎo)則第4.4節(jié)敘述的過程對(duì)每一個(gè)關(guān)鍵系統(tǒng)的變更和添置進(jìn)行檢查和驗(yàn)證測(cè)試，并記載檢查和驗(yàn)證測(cè)試結(jié)果。

10.2.6 實(shí)行與變更和添置相關(guān)的網(wǎng)絡(luò)安全控制

當(dāng)環(huán)境中引入了新的關(guān)鍵系統(tǒng)后，核設(shè)施營運(yùn)單位應(yīng)：

1) 將該關(guān)鍵系統(tǒng)部署在本導(dǎo)則第6.2節(jié)敘述防御架構(gòu)的適當(dāng)防御層；

2) 按照第7.1節(jié)敘述的方式實(shí)行核安保導(dǎo)則HABD-004/02敘述的網(wǎng)絡(luò)安全技術(shù)控制；

3) 確認(rèn)應(yīng)用了核安保導(dǎo)則HABD-004/03敘述的網(wǎng)絡(luò)安全運(yùn)維和管理控制，并且對(duì)該關(guān)鍵系統(tǒng)是有效的。

當(dāng)關(guān)鍵系統(tǒng)發(fā)生變更后，核設(shè)施營運(yùn)單位應(yīng)：

1) 核實(shí)該關(guān)鍵系統(tǒng)被部署在本導(dǎo)則第6.2節(jié)所敘述防御架構(gòu)的適當(dāng)?shù)姆烙鶎樱?/p>

2) 進(jìn)行本導(dǎo)則第10.2.2節(jié)所敘述的網(wǎng)絡(luò)安全影響分析；

3) 核實(shí)按照本導(dǎo)則第7.1節(jié)所敘述的方式實(shí)行了核安保導(dǎo)則HABD-004/02敘述的網(wǎng)絡(luò)安全技術(shù)控制；

4) 核實(shí)上述網(wǎng)絡(luò)安全控制按照本導(dǎo)則10.1.2節(jié)所敘述的過程得到了有效的執(zhí)行；

5) 核實(shí)實(shí)行了核安保導(dǎo)則HABD-004/03敘述的網(wǎng)絡(luò)安全運(yùn)維和管理類控制，并且對(duì)該關(guān)鍵系統(tǒng)是有效的。

10.3 網(wǎng)絡(luò)安全實(shí)施計(jì)劃的檢查

核設(shè)施營運(yùn)單位應(yīng)定期檢查網(wǎng)絡(luò)安全實(shí)施計(jì)劃，并在必要時(shí)與《核設(shè)施實(shí)物保護(hù)與保密實(shí)施計(jì)劃》進(jìn)行協(xié)同檢查。核設(shè)施營運(yùn)單位應(yīng)采取必要的措施和執(zhí)行規(guī)程來對(duì)網(wǎng)絡(luò)安全實(shí)施計(jì)劃要素進(jìn)行自查，并對(duì)三級(jí)以上（含三級(jí)）的關(guān)鍵系統(tǒng)，委托專業(yè)測(cè)評(píng)機(jī)構(gòu)對(duì)實(shí)施計(jì)劃的有效性進(jìn)行測(cè)評(píng)。核設(shè)施營運(yùn)單位網(wǎng)絡(luò)安全實(shí)施計(jì)劃的檢查包括：

1) 制定和執(zhí)行包含目的、適用范圍、角色、職責(zé)、要求的檢查預(yù)案，用于檢查網(wǎng)絡(luò)安全實(shí)施計(jì)劃要素的有效性；

2) 制定和執(zhí)行促進(jìn)和維護(hù)檢查網(wǎng)絡(luò)安全實(shí)施計(jì)劃的規(guī)程。

核設(shè)施營運(yùn)單位應(yīng)按照下述要求對(duì)網(wǎng)絡(luò)安全實(shí)施計(jì)劃進(jìn)行有效性評(píng)估:

1)網(wǎng)絡(luò)安全等級(jí)為三級(jí)的核設(shè)施應(yīng)每年至少進(jìn)行一次評(píng)估；

2）網(wǎng)絡(luò)安全等級(jí)為四級(jí)的核設(shè)施應(yīng)每半年至少進(jìn)行一次評(píng)估；

3) 網(wǎng)絡(luò)安全等級(jí)為五級(jí)的核設(shè)施應(yīng)根據(jù)特殊網(wǎng)絡(luò)安全需求進(jìn)行評(píng)估；

4) 網(wǎng)絡(luò)安全設(shè)備與相關(guān)設(shè)施發(fā)生重大變更時(shí)，或者網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅評(píng)估結(jié)果表明必要時(shí)進(jìn)行重新評(píng)估。

核設(shè)施營運(yùn)單位應(yīng)記載：(1)網(wǎng)絡(luò)安全實(shí)施計(jì)劃檢查結(jié)果，包括專業(yè)測(cè)評(píng)機(jī)構(gòu)出具的有效性評(píng)估報(bào)告；(2)整改建議、管理層關(guān)于網(wǎng)絡(luò)安全實(shí)施計(jì)劃有效性的意見；(3)為前次網(wǎng)絡(luò)安全實(shí)施計(jì)劃檢查提出的整改建議而采取的任何行動(dòng)。

核設(shè)施營運(yùn)單位應(yīng)以可審計(jì)的形式保留這些報(bào)告, 隨時(shí)供現(xiàn)場(chǎng)檢查調(diào)閱,以及將計(jì)劃檢查中發(fā)現(xiàn)的問題列入場(chǎng)址整改行動(dòng)計(jì)劃內(nèi)。

11. 文檔控制和記錄保存與處理

核設(shè)施營運(yùn)單位應(yīng)建立本單位網(wǎng)絡(luò)安全相關(guān)運(yùn)行記錄和支持性文件的保存、利用和處置制度，制定必要的措施和執(zhí)行規(guī)程,確保編制、檢查、批準(zhǔn)、發(fā)布、使用和更新了網(wǎng)絡(luò)安全有關(guān)物項(xiàng)和活動(dòng)的記錄，反映已經(jīng)完成的工作。

核設(shè)施營運(yùn)單位應(yīng)保存的記錄包括，但不限于所有收集、記錄與分析網(wǎng)絡(luò)和關(guān)鍵系統(tǒng)事件和事故的數(shù)字記錄、日志文件、審計(jì)文件和非數(shù)字文件。保存這些記錄用于記載訪問歷史和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊源或其他影響關(guān)鍵系統(tǒng)或SSEP功能或兩者的網(wǎng)絡(luò)安全相關(guān)事件。核設(shè)施營運(yùn)單位應(yīng)在記錄被取代后，至少將被取代部分的舊記錄保存3年。

核設(shè)施營運(yùn)單位應(yīng)保留記錄和支持性技術(shù)文件，確保檢查人員、審計(jì)人員或者輔助人員能夠評(píng)估網(wǎng)絡(luò)安全實(shí)施計(jì)劃所描述的、引用的或包含的事件，以及其他與網(wǎng)絡(luò)安全實(shí)施計(jì)劃各個(gè)要素相關(guān)的活動(dòng)。

12. 術(shù)語

網(wǎng)絡(luò)攻擊：系指對(duì)計(jì)算機(jī)和通信系統(tǒng)與網(wǎng)絡(luò)的物理或邏輯(即電子或數(shù)字)威脅的一種表現(xiàn)形式。威脅可能來自核設(shè)施內(nèi)部或外部、或具有內(nèi)部或外部的成分、以及出自惡意的或非惡意目的; 威脅可能包含物理或邏輯的形式、直接或間接的性質(zhì); 以及威脅可能對(duì)一個(gè)關(guān)鍵系統(tǒng)造成直接或間接的不利影響或后果。網(wǎng)絡(luò)攻擊包括企圖未經(jīng)授權(quán)訪問一個(gè)關(guān)鍵系統(tǒng)的服務(wù)、資源或信息; 企圖損害一個(gè)關(guān)鍵系統(tǒng)的完整性、可用性和機(jī)密性, 或企圖對(duì)一個(gè)核設(shè)施運(yùn)行安全、核安?；驊?yīng)急準(zhǔn)備功能造成不利影響。網(wǎng)絡(luò)攻擊可能以單一攻擊或任何組合攻擊的形式出現(xiàn)。

損壞：系指喪失數(shù)據(jù)或系統(tǒng)功能的保密性、完整性或可用性。

設(shè)計(jì)基準(zhǔn)威脅：系指對(duì)可能試圖對(duì)核設(shè)施關(guān)鍵系統(tǒng)實(shí)施網(wǎng)絡(luò)攻擊惡意行為的潛在內(nèi)部敵手和外部敵手的屬性和特征的描述。

關(guān)鍵系統(tǒng)：系指一個(gè)核設(shè)施內(nèi)或核設(shè)施外基于數(shù)字技術(shù)的，執(zhí)行核設(shè)施運(yùn)行安全，對(duì)核設(shè)施運(yùn)行安全、核安保、核應(yīng)急準(zhǔn)備功能重要的系統(tǒng)或與其相關(guān)系統(tǒng)。關(guān)鍵系統(tǒng)包括但不限于工控系統(tǒng)、通信系統(tǒng)、網(wǎng)絡(luò)、場(chǎng)外通信，或支持系統(tǒng)；或者系統(tǒng)的一個(gè)子項(xiàng)或一個(gè)組成部分，可能包括或含有一個(gè)數(shù)字設(shè)備、通信設(shè)備，或支持設(shè)備等。

支持設(shè)備: 直接或間接支持核設(shè)施運(yùn)行安全、對(duì)核設(shè)施運(yùn)行安全、核安?；驊?yīng)急準(zhǔn)備功能重要的設(shè)備, 以及如果受到損害, 該設(shè)備可能對(duì)上述功能造成不利影響。支持設(shè)備的例子包括, 但不限于用以操作、測(cè)試和維修的支持設(shè)備和部件。

支持系統(tǒng): 直接或間接支持核設(shè)施運(yùn)行安全、對(duì)核設(shè)施運(yùn)行安全、核安?；驊?yīng)急準(zhǔn)備功能重要的系統(tǒng),以及如果受到損害, 該系統(tǒng)可能對(duì)上述功能造成不利影響。支持系統(tǒng)的例子包括, 但不限于供電、供暖、通風(fēng)和空調(diào)、通訊、消防系統(tǒng)等。

縱深防御: 系指部署了多層網(wǎng)絡(luò)安全措施或方法的網(wǎng)絡(luò)安全方案, 用以防止一個(gè)部件或多個(gè)保護(hù)層的同時(shí)失效?？v深防御可以用多種方式實(shí)現(xiàn)。從網(wǎng)絡(luò)安全架構(gòu)觀點(diǎn)出發(fā), 一種方式可以設(shè)置多層邊界保護(hù)關(guān)鍵系統(tǒng)免受到網(wǎng)絡(luò)攻擊。在采用此種方式后, 只有多種機(jī)理的保護(hù)層同時(shí)失效, 網(wǎng)絡(luò)攻擊才能進(jìn)入并影響一個(gè)關(guān)鍵系統(tǒng)。因此, 縱深防御不僅使用多層邊界, 也執(zhí)行和維護(hù)一個(gè)有效的網(wǎng)絡(luò)安全實(shí)施計(jì)劃, 用于評(píng)估、保護(hù)、響應(yīng)、防范、檢測(cè)和減輕對(duì)關(guān)鍵系統(tǒng)的攻擊, 并及時(shí)恢復(fù)功能。

安全域： 是為管理和實(shí)施保護(hù)措施的目的將關(guān)鍵系統(tǒng)進(jìn)行分組的一種邏輯和物理管理模式。安全域的設(shè)置應(yīng)：

1) 每個(gè)安全域均由對(duì)核設(shè)施的核設(shè)施運(yùn)行安全、核安保和應(yīng)急準(zhǔn)備功能具有同樣或類似重要性的系統(tǒng)組成；

2) 同屬于一個(gè)安全域的關(guān)鍵系統(tǒng)對(duì)保護(hù)措施具有類似的要求，在確保安全的前提下，可建立 安全域內(nèi)部通信可信區(qū)；

3) 安全域應(yīng)建立邊界，設(shè)置滿足網(wǎng)絡(luò)安全要求的數(shù)據(jù)流控制設(shè)備和措施；

4) 安全域可為改進(jìn)配置的目的劃分為分安全域；

每個(gè)安全域都可以按照域內(nèi)關(guān)鍵系統(tǒng)的最高網(wǎng)絡(luò)安全要求指定一個(gè)網(wǎng)絡(luò)安全等級(jí)。如果核設(shè)施內(nèi)存在多個(gè)安全域，需要同等程度保護(hù)時(shí)，可指定為同一個(gè)網(wǎng)絡(luò)安全等級(jí)。

附件：《核設(shè)施網(wǎng)絡(luò)安全實(shí)施計(jì)劃》的內(nèi)容和格式

核設(shè)施網(wǎng)絡(luò)安全實(shí)施計(jì)劃

單位名稱： （蓋章）

日 期： 年 月 日

國家原子能機(jī)構(gòu)監(jiān)制