视频一区中文字幕日韩欧美|午夜精品大屁股区二区人妻|特级毛片片A片AAAAAA|在线一级黄片伊人久久久国产|欧美成人无码A片免费|日韩性交黄色欧美日韩国产a|国产一级A片a片免费收看|亚州在线_欧美在线|日韩成人AV一区二区|看黄色片网站完整版

發(fā)文機關(guān)國家原子能機構(gòu)

發(fā)文日期2020年09月07日

時效性現(xiàn)行有效

發(fā)文字號國原發(fā)〔2020〕3號

施行日期2020年09月07日

效力級別部門規(guī)范性文件

1.引言

1.1 目的

本導則對核設施營運單位制定、運行和維護《核設施網(wǎng)絡安全實施計劃》（下稱“網(wǎng)絡安全實施計劃”）提供指導, 使得能夠?qū)崿F(xiàn)核設施網(wǎng)絡安全的總體目標，確保關(guān)鍵系統(tǒng)免受設計基準威脅所規(guī)定的網(wǎng)絡攻擊損壞而造成下述后果:

1) 對數(shù)據(jù)和軟件完整性或機密性產(chǎn)生不利影響；

2) 拒絕訪問系統(tǒng)、服務或數(shù)據(jù)產(chǎn)生的不利影響；

3) 對系統(tǒng)、網(wǎng)絡和相關(guān)設備運行的不利影響。

1.2 依據(jù)

依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》《中華人民共和國保守國家秘密法》《中華人民共和國核材料管制條例》制定本導則。

1.3 范圍

本導則適用于我國核動力廠（核電廠、核熱電廠、核供汽供熱廠等）和研究堆、實驗堆、臨界裝置等；核燃料生產(chǎn)、加工、貯存和后處理設施；放射性廢物的儲存、處理和處置設施營運單位的核設施網(wǎng)絡安全管理。

2.核設施網(wǎng)絡安全實施計劃的要素

網(wǎng)絡安全實施計劃應敘述核設施營運單位如何通過實行分等級保護，制定縱深防御策略，編制、執(zhí)行和維護一系列規(guī)程，采取網(wǎng)絡安全控制措施，實現(xiàn)上述第1.1節(jié)所描述目的。

2.1 網(wǎng)絡安全實施計劃的要素

核設施營運單位的網(wǎng)絡安全實施計劃應描述：

1) 識別和認證關(guān)鍵系統(tǒng)的方案是什么；

2) 網(wǎng)絡安全實施計劃怎樣確保關(guān)鍵系統(tǒng)免受網(wǎng)絡攻擊的不利影響；

3) 怎樣制定、運行和維護網(wǎng)絡安全實施計劃；

4) 怎樣使得網(wǎng)絡安全實施計劃與《核設施實物保護與保密實施計劃》協(xié)同執(zhí)行；

5) 采取了哪些控制措施，以及它們是怎樣保護關(guān)鍵系統(tǒng)的；

6) 采用的縱深防御策略是什么，以及怎樣利用這一策略防御、檢測、響應網(wǎng)絡攻擊和在受到攻擊后恢復系統(tǒng)功能的；

7) 網(wǎng)絡安全實施計劃的要素是怎樣用于減輕網(wǎng)絡攻擊產(chǎn)生的不利影響的；

8) 網(wǎng)絡安全的意識教育和培訓計劃是怎樣為員工提供履行其職責所需要的技能的；

9) 怎樣評估和管控網(wǎng)絡安全風險的；

10) 怎樣實現(xiàn)配置管理控制和設計控制過程，確保資產(chǎn)變更和設備添置不影響網(wǎng)絡安全的；是怎樣在關(guān)鍵系統(tǒng)的設計、建造、運行和維護的整個生命周期內(nèi)確保執(zhí)行網(wǎng)絡安全措施；

11) 場址的特定條件是怎樣影響執(zhí)行網(wǎng)絡安全計劃的；

12) 采用了哪些網(wǎng)絡安全事故響應和網(wǎng)絡攻擊恢復措施，包括：

(1) 維持及時檢測和響應的能力；

(2) 減輕網(wǎng)絡攻擊后果；

(3) 脆弱性整改；

(4) 恢復受到網(wǎng)絡攻擊影響的系統(tǒng)、網(wǎng)絡和設備。

13) 制定了哪些場址特定的網(wǎng)絡安全方針和規(guī)程，確保實現(xiàn)網(wǎng)絡安全總體目標的；

14) 怎樣使得網(wǎng)絡安全實施計劃與《核設施實物保護與保密實施計劃》共同進行定期評估和檢查；

15) 怎樣組織網(wǎng)絡安全事故應急響應演練，包括與實物保護突發(fā)事件應急響應的聯(lián)合演練；

16) 怎樣保存和處理網(wǎng)絡安全相關(guān)記錄和支持文件。

2.2 網(wǎng)絡安全實施計劃的主要內(nèi)容

核設施營運單位制定的網(wǎng)絡安全實施計劃應敘述以下網(wǎng)絡安全相關(guān)的內(nèi)容：

1) 組織機構(gòu)與職責分工；

2) 數(shù)字計算機系統(tǒng)及網(wǎng)絡分析；

3) 關(guān)鍵系統(tǒng)的等級劃分和保護能力目標；

4) 縱深防御策略和防御架構(gòu)；

5) 網(wǎng)絡安全控制；

6) 網(wǎng)絡安全實施計劃與《核設施實物保護與保密實施計劃》的協(xié)同執(zhí)行；

7) 場址網(wǎng)絡安全方針和規(guī)程；

8) 網(wǎng)絡安全實施計劃的維護；

9) 網(wǎng)絡安全實施計劃的檢查和專業(yè)測評；

10) 文檔控制和記錄保存與處理。

核設施應在制定網(wǎng)絡安全實施計劃，基本文件的模板見附件1。

核設施營運單位應制定正式的、文檔化的方針、規(guī)程等作為網(wǎng)絡安全實施計劃基本文件相應欄目內(nèi)容的支持性文件。

在網(wǎng)絡安全有效性評估結(jié)果顯示必要時或在發(fā)生重大變更時，核設施營運單位應修訂和更新網(wǎng)絡安全實施計劃，調(diào)整相關(guān)方針和規(guī)程。

3. 組織機構(gòu)與職責分工

3.1 執(zhí)行網(wǎng)絡安全實施計劃的人員組成

核設施營運單位應組織一個網(wǎng)絡安全管理機構(gòu)，確定其角色、職責、授權(quán)和職能關(guān)系，并確保各級部門和個人（包括雇員、訪客、承包商和供應商現(xiàn)場人員）理解上述職能關(guān)系。核設施營運單位可賦予管理網(wǎng)絡安全實施計劃的以下人員明確的職責：

1) 網(wǎng)絡安全主管領(lǐng)導：應為場址高級管理層的成員以及被賦予對網(wǎng)絡安全實施計劃的全面責任和問責權(quán)，并能夠為網(wǎng)絡安全實施計劃的制定，執(zhí)行和維護提供必要的資源。

2) 網(wǎng)絡安全負責人具體負責：

(1) 指導網(wǎng)絡安全日常工作；

(2) 歸口聯(lián)絡網(wǎng)絡安全的所有事項；

(3) 對網(wǎng)絡安全的所有相關(guān)事項進行監(jiān)督和檢查；

(4) 在需要時，報請網(wǎng)絡安全主管領(lǐng)導，啟動和協(xié)調(diào)網(wǎng)絡安全事故應急響應小組(CSIRT)的功能；

(5) 在網(wǎng)絡安全事件和事故期間和之后，按照國家有關(guān)法規(guī)進行上報和處置工作；

(6) 批準和監(jiān)督網(wǎng)絡安全實施計劃及其相關(guān)方針和規(guī)程的制定、執(zhí)行和維護；

(7) 組織和實施網(wǎng)絡安全意識教育，宣傳和培訓活動。

3) 若干名網(wǎng)絡安全專家負責以下事項：

(1) 保護關(guān)鍵系統(tǒng)免受網(wǎng)絡威脅;

(2) 配置、運行和維護網(wǎng)絡安全設備;

(3) 掌握核設施網(wǎng)絡操作系統(tǒng)總體架構(gòu)、硬件平臺、軟件平臺、操作系統(tǒng)和應用程序的網(wǎng)絡安全特性；核設施特定應用程序以及這些應用程序所依賴的服務和協(xié)議;

(4) 開展數(shù)字系統(tǒng)的網(wǎng)絡安全評估;

(5) 對關(guān)鍵系統(tǒng)進行網(wǎng)絡安全審計、脆弱性測評、網(wǎng)絡掃描和滲透測試;

(6) 在關(guān)鍵系統(tǒng)損壞后進行網(wǎng)絡安全調(diào)查;

(7) 保存在網(wǎng)絡安全調(diào)查期間收集得到的法政證據(jù)，防止損失證據(jù)價值;

(8) 維持和提高組織內(nèi)網(wǎng)絡安全專業(yè)技能和知識水平;

(9) 作為CSIRT的主要指導者或領(lǐng)導者。

4) CSIRT：可根據(jù)需要，由核設施內(nèi)各部門的人員，包括安保、運維、工程、應急準備和其他支持部門的人員組成一個CSIRT，負責：

(1) 啟動適當?shù)膽表憫托袆樱Ｗo關(guān)鍵系統(tǒng), 使得避免在已知或疑似的網(wǎng)絡安全事故中損壞，以及協(xié)助受損系統(tǒng)恢復正常工作;

(2) 遏制和減輕涉及關(guān)鍵系統(tǒng)的網(wǎng)絡安全事故，并在事故發(fā)生后確保受損系統(tǒng)恢復正常。

5) 輔助人員：包括負責運行、維護或設計數(shù)字系統(tǒng)的操作人員、工程師、技術(shù)人員、用戶、合同方和供應商的代表。

3.2 組建網(wǎng)絡安全管理機構(gòu)

核設施營運單位可組織或指定對下述領(lǐng)域的人員組成網(wǎng)絡安全管理機構(gòu)：

1) 信息和數(shù)字系統(tǒng)技術(shù): 包括網(wǎng)絡安全、軟件開發(fā)、場外通信、計算機系統(tǒng)管理、計算機工程和計算機網(wǎng)絡等。在核設施運行中涉及的數(shù)字系統(tǒng)（包括數(shù)字儀表和控制系統(tǒng)）知識，以及在核設施中涉及的信息系統(tǒng)知識。核設施運行系統(tǒng)包括可編程邏輯控制器、控制系統(tǒng)和分布式控制系統(tǒng)。信息系統(tǒng)包括計算機系統(tǒng)和含有用于設計、運行和維護關(guān)鍵系統(tǒng)信息的數(shù)據(jù)庫。網(wǎng)絡建設領(lǐng)域包括核設施和集團公司范圍內(nèi)網(wǎng)絡的知識;

2) 核設施運行、工程和安全: 包括核設施整體運行和核設施技術(shù)指標。代表此技術(shù)領(lǐng)域的工作人員必須能夠通過跟蹤在關(guān)鍵系統(tǒng)（或連接的數(shù)字資產(chǎn)）中的脆弱性或一系列脆弱性向外延伸對核設施系統(tǒng)和子系統(tǒng)影響，以便評估對核設施運行安全功能、核安保功能、核應急準備功能（下稱“SSEP”）的總體影響;

3) 物理安全和應急準備: 包括場址的物理安全和應急準備系統(tǒng)和流程。

3.3 網(wǎng)絡安全管理機構(gòu)的角色和職責

網(wǎng)絡安全管理機構(gòu)的角色和職責包括：

1) 執(zhí)行或監(jiān)督各階段的網(wǎng)絡安全和管理過程；

2) 記錄和評估過程中所有重要的觀察、分析和調(diào)查結(jié)果，使得此信息可以作為實施網(wǎng)絡安全控制的基礎(chǔ)；

3) 評估或再評估當前網(wǎng)絡安全威脅的假設和結(jié)論；對網(wǎng)絡攻擊可利用的潛在脆弱性，以及攻擊產(chǎn)生的后果；現(xiàn)有的網(wǎng)絡安全控制、防御方針及攻擊緩解方法的有效性；對在系統(tǒng)整個生命周期內(nèi)參與或負責關(guān)鍵系統(tǒng)和網(wǎng)絡安全控制工作人員的網(wǎng)絡安全意識教育和技能培訓；以及網(wǎng)絡安全的管理；

4) 確認通過廣泛地對關(guān)鍵系統(tǒng)和相連接數(shù)字資產(chǎn)的巡視，以及相關(guān)的網(wǎng)絡安全控制的檢查（包括借助于物理和電子認證活動的巡視檢查）所獲得的信息；

5) 識別并實施可能的新網(wǎng)絡安全控制；

6) 編制《核設施網(wǎng)絡安全技術(shù)類控制》（下稱核安保導則HABD-004/02）和《核設施網(wǎng)絡安全運維和管理類控制》（下稱核安保導則HABD-004/03）所描述的網(wǎng)絡安全控制的文件，并監(jiān)督網(wǎng)絡安全控制的實施，記錄不能實施核安保導則HABD-004/02中提供的特定網(wǎng)絡安全控制的依據(jù)，或記錄實施替代或補償措施以代替核安保導則HABD-004/02中提供的任何網(wǎng)絡安全控制的依據(jù)；

7) 建立本單位網(wǎng)絡安全相關(guān)運行記錄和支持性文件的保存、利用和處置制度，確保保存所有評估文件，包括筆記和支持性信息；

8) 應有權(quán)進行客觀的評估，做出不受運行目標（如成本）限制的決定，實施本導則第6.1節(jié)所描述的縱深防御策略，并確保采用在本導則第7節(jié)所描述的過程實施網(wǎng)絡安全控制。

本導則第3.2節(jié)描述了核設施營運單位組建網(wǎng)絡安全管理機構(gòu)的模板，以及核安保導則HABD-004/03第11.10節(jié)角色和職責描述的網(wǎng)絡安全實施計劃管理人員的職責分工。

4. 數(shù)字計算機系統(tǒng)及網(wǎng)絡分析

核設施營運單位應進行本單位數(shù)字計算機和通信系統(tǒng)以及網(wǎng)絡的特定場址分析，識別如果損壞將對核設施SSEP功能造成不利影響的關(guān)鍵系統(tǒng)。核設施營運單位可依據(jù)下列方法識別和記錄關(guān)鍵系統(tǒng)：

1) 獲得網(wǎng)絡安全評估的授權(quán)；

2) 組建網(wǎng)絡安全管理機構(gòu)，并規(guī)定網(wǎng)絡安全的角色和職責；

3) 在設施內(nèi)識別和記錄關(guān)鍵系統(tǒng)；

4) 檢查并驗證關(guān)鍵系統(tǒng)的配置。

4.1 網(wǎng)絡安全評估及授權(quán)

核設施營運單位應分配資源，賦予授權(quán)，規(guī)定管理職責，執(zhí)行網(wǎng)絡安全評估。作為執(zhí)行網(wǎng)絡安全實施計劃的第一步，開展網(wǎng)絡安全評估，應首先制定、分發(fā)并[每年]檢查和更新以下：

1) 正式的、文檔化的網(wǎng)絡安全評估和授權(quán)方針：用于規(guī)定目的、適用范圍、角色、職責和內(nèi)部協(xié)調(diào)以及執(zhí)行核安保導則HABD-004/02和核安保導則HABD-004/03所描述的網(wǎng)絡安全控制；

2) 正式的、文檔化的規(guī)程：用以促進執(zhí)行網(wǎng)絡安全評估。

4.2 組成網(wǎng)絡安全管理機構(gòu)，規(guī)定角色和職責

參照本導則第3.2節(jié)和第3.3節(jié)的要求組成網(wǎng)絡安全管理機構(gòu)，確定角色和職責。

4.3 識別關(guān)鍵系統(tǒng)

關(guān)鍵系統(tǒng)可能包括控制系統(tǒng)、安全系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、應急準備系統(tǒng)、辦公和運行管理系統(tǒng)，以及實物保護系統(tǒng)等。這些系統(tǒng)與SSEP功能相關(guān)的程度有所不同，其損壞可能不同程度地導致放射性破壞（即顯著堆芯損壞），因此有可能對公眾健康和安全造成不利影響。盡管并非所有這些系統(tǒng)可能會最終被列入核設施營運單位的網(wǎng)絡安全計劃的范圍內(nèi)，準確地識別與SSEP功能相關(guān)的系統(tǒng)，對制定一個滿足相關(guān)要求的網(wǎng)絡安全實施計劃是重要的。一旦識別了這些系統(tǒng)，核設施營運單位可以確定需要保護的設備清單。

為了確定關(guān)鍵系統(tǒng)，核設施營運單位應首先確定與SSEP功能相關(guān)的或與支持SSEP功能相關(guān)的工廠系統(tǒng)、設備、通信系統(tǒng)和網(wǎng)絡的整體配置和組織情況。這些系統(tǒng)可以是數(shù)字系統(tǒng)或模擬系統(tǒng)，因此，有些最終可能不會列入網(wǎng)絡安全實施計劃的范圍。核設施營運單位應對工廠系統(tǒng)、設備、通信系統(tǒng)和網(wǎng)絡進行初步的后果分析，確定哪些系統(tǒng)一旦損壞、被控制、或失效可能影響核設施SSEP功能。這種分析不應考慮已有的緩解措施，以確定如果關(guān)鍵系統(tǒng)一旦被損壞可能出現(xiàn)“最壞情況”的影響。

對于不直接與SSEP功能相關(guān)的支持系統(tǒng)或設備，核設施營運單位應執(zhí)行依賴性分析，確定這些系統(tǒng)或設備的網(wǎng)絡被損壞后是否可能對SSEP功能產(chǎn)生不利影響。如果分析表明，這種損壞、被控制、或失效可能對SSEP功能產(chǎn)生不利影響，那么這樣的系統(tǒng)本身應被認為是關(guān)鍵系統(tǒng)。

關(guān)鍵系統(tǒng)的識別包括下述系統(tǒng)：(1)執(zhí)行SSEP功能，或SSEP功能所依賴的；(2)影響SSEP功能，或影響執(zhí)行SSEP功能的關(guān)鍵系統(tǒng)和/或關(guān)鍵系統(tǒng)的子系統(tǒng)或設備的；(3)提供一個通向一個關(guān)鍵系統(tǒng)和/或關(guān)鍵系統(tǒng)的子系統(tǒng)或設備的路徑的，該路徑可被用來損壞，攻擊，或降級一種SSEP功能；(4)支持一個關(guān)鍵系統(tǒng)和/或關(guān)鍵系統(tǒng)的子系統(tǒng)或設備的；(5)保護任何上述免受設計基準威脅規(guī)定的網(wǎng)絡攻擊的。

在識別所有的關(guān)鍵系統(tǒng)后，核設施營運單位應分析和識別特定資產(chǎn)是實際的關(guān)鍵系統(tǒng)。一個關(guān)鍵系統(tǒng)可能是系統(tǒng)的一個部件，該部件可能是用于保護系統(tǒng)免受網(wǎng)絡攻擊的，或可能是直接或間接地連接到關(guān)鍵系統(tǒng)的。該直接連接可以包括有線或無線路徑（涉及一個連接鏈路）。間接連接可以包括物理隔離，單向網(wǎng)絡安全邊界設備后面的關(guān)鍵系統(tǒng)，或者采用人工的方式，通過可移動存儲介質(zhì)，諸如軟盤、U盤、便攜式硬盤或其他數(shù)據(jù)傳輸方式，將數(shù)據(jù)或軟件從一個數(shù)字設備攜帶到另一個數(shù)字設備。一些對識別關(guān)鍵系統(tǒng)有用的信息來源包括，但不限于最終安全分析報告、場址相關(guān)的概率風險評估、技術(shù)說明書和一些與監(jiān)測核電廠維護有效性相關(guān)的文件。

核電廠內(nèi)的一些關(guān)鍵系統(tǒng)可能是自成系統(tǒng)的或獨立的系統(tǒng)（即他們沒有數(shù)據(jù)鏈路到任何其他系統(tǒng)）。這種缺乏與其他工廠系統(tǒng)的連通性大大增強了自成的關(guān)鍵系統(tǒng)或網(wǎng)絡的網(wǎng)絡安全態(tài)勢，降低了由工廠外部網(wǎng)絡威脅造成損壞的概率。然而，這些系統(tǒng)仍然容易受到來自內(nèi)部源的網(wǎng)絡攻擊，例如，將具有惡意代碼的介質(zhì)插入系統(tǒng)，連接診斷系統(tǒng)以及其他離線連接和訪問。此外，因為存在大量的支持通信技術(shù)的商用現(xiàn)貨設備和外部設備，當這種通信設備被有意或無意地引入到系統(tǒng)中時，自成系統(tǒng)的體系結(jié)構(gòu)將發(fā)生改變。因此，核設施營運單位應按照與相互連接的系統(tǒng)相同的嚴格要求，保護一個自成系統(tǒng)的網(wǎng)絡安全態(tài)勢。

為了記錄上述識別過程的結(jié)果，核設施營運單位應收集下述信息：

1) 對每一個被識別為關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設備）的系統(tǒng)、資產(chǎn)和網(wǎng)絡的一般性敘述；

2) 對每一個關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設備）提供的總體功能的簡要敘述；

3) 如果關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設備）受到網(wǎng)絡攻擊造成損壞，對關(guān)鍵系統(tǒng)和SSEP兩者功能的潛在后果分析;

4) 關(guān)鍵系統(tǒng)的功能（例如保護、控制、監(jiān)視、報告或通信）；

5) 每一個關(guān)鍵系統(tǒng)內(nèi)的子系統(tǒng)或設備的標識；

6) 下述網(wǎng)絡安全功能要求和指標說明：

(1) 開發(fā)和評估相關(guān)的質(zhì)保要求；

(2) 為維護被采購系統(tǒng)的完整性，對系統(tǒng)開發(fā)商或供應商所必要的網(wǎng)絡安全要求；

(3) 關(guān)鍵系統(tǒng)的網(wǎng)絡安全配置、安裝和運行要求；

(4) 網(wǎng)絡安全特性/功能的有效使用和維護說明;

(5) 管理員權(quán)限（即特權(quán)）功能的配置和使用所引入的已知脆弱性說明;

(6) 用戶訪問的網(wǎng)絡安全特性/功能，以及怎樣有效使用這些網(wǎng)絡安全特性/功能說明；

(7) 用戶與關(guān)鍵系統(tǒng)的交互方式說明，使得人員能夠以更加安全的方式使用系統(tǒng)；

(8) 用戶對維護關(guān)鍵系統(tǒng)的網(wǎng)絡安全責任說明等。

4.4 檢查和驗證

檢查的目的是檢查和確認每個關(guān)鍵系統(tǒng)的直接和間接連接,并識別通向關(guān)鍵系統(tǒng)的路徑。核設施營運單位在隨后的檢查中可以使用這些信息以確保：(1)關(guān)鍵系統(tǒng)要部署在本導則6.2節(jié)描述的網(wǎng)絡安全架構(gòu)中的正確層；(2)參照本導則第7節(jié)描述的方法使得關(guān)鍵系統(tǒng)潛在的網(wǎng)絡安全風險得到了有效的緩解；(3)為執(zhí)行變更控制程序，建立每個關(guān)鍵系統(tǒng)的基準配置。核設施營運單位的檢查和驗證可包括以下活動：

1) 識別并記錄每個關(guān)鍵系統(tǒng)的物理和邏輯位置；

2) 識別和記錄通向或來自關(guān)鍵系統(tǒng)的直接和間接的連接路徑；

3) 識別和記錄關(guān)鍵系統(tǒng)與基礎(chǔ)設施的相互依存關(guān)系；

4) 識別和評估任何（對于現(xiàn)有工廠）現(xiàn)有的網(wǎng)絡安全控制措施的有效性和關(guān)鍵系統(tǒng)在防御架構(gòu)中位置。

核設施營運單位應通過系統(tǒng)的物理和電子檢查，驗證這一信息。該驗證過程包括下述活動：

1) 對每個關(guān)鍵系統(tǒng)配置進行物理檢查，包括跟蹤與關(guān)鍵系統(tǒng)每個端接點連接的所有流入或流出的通信路徑；

2) 檢查已經(jīng)建立的保護每個關(guān)鍵系統(tǒng)及其通信路徑的物理安全措施；

3) 檢查和評估沿通信路徑的網(wǎng)絡安全控制（例如，防火墻，入侵檢測系統(tǒng)，單向網(wǎng)閘）的配置和有效性；

4) 檢查與其他關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設備）的相互依賴關(guān)系以及在關(guān)鍵系統(tǒng)子系統(tǒng)或設備與關(guān)鍵系統(tǒng)之間的信任關(guān)系；

5) 檢查與基礎(chǔ)設施支持系統(tǒng)的相互依賴性，著重關(guān)注供電、環(huán)境控制和滅火設備損壞的可能性；

6) 解決檢查過程中發(fā)現(xiàn)的信息或配置的存在問題，包括存在未記載的或被忽視的連接，以及與關(guān)鍵系統(tǒng)（和/或子系統(tǒng)或設備）有關(guān)的其他網(wǎng)絡安全相關(guān)的不合規(guī)性。

如果不可能通過巡視檢查來跟蹤一個通信路徑得到完整的結(jié)論，可采用電子驗證的方法。與巡視方法相比，電子驗證方法提供了相當于或優(yōu)于連接驗證的驗證檢查結(jié)果，是一個值得采用的方法（如，數(shù)字電壓表、物理連續(xù)性驗證）。巡視應從關(guān)鍵系統(tǒng)開始向外延伸，檢查連接的硬件和與關(guān)鍵支持基礎(chǔ)設施（如供電、供暖、通風、空調(diào)、消防）的相互依存關(guān)系。

5. 關(guān)鍵系統(tǒng)的等級劃分和保護能力目標

5.1 關(guān)鍵系統(tǒng)的網(wǎng)絡安全等級劃分

關(guān)鍵系統(tǒng)受到網(wǎng)絡攻擊后產(chǎn)生后果的嚴重性取決于關(guān)鍵系統(tǒng)受到損壞時所侵害的客體以及侵害程度。核設施營運單位應對其使用和擁有的關(guān)鍵系統(tǒng)自行認定其網(wǎng)絡安全等級。在自行認定的過程中，核設施營運單位應考慮的因素有：(1)關(guān)鍵系統(tǒng)對執(zhí)行或支持核設施運行安全、核安保和應急準備功能的重要性；(2)核設施本身的類別、運行特性和擁有的核材料的種類和數(shù)量。

核設施營運單位應根據(jù)下述方法自行認定每個關(guān)鍵系統(tǒng)的網(wǎng)絡安全等級：

5.1.1 第一級

核設施營運單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對核設施營運單位的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益和環(huán)境，應定為第一級，例如：

1) 核設施的辦公自動化系統(tǒng)；

2) 行政檔案管理系統(tǒng)。

5.1.2 第二級

核設施營運單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對核設施營運單位的合法權(quán)益產(chǎn)生嚴重的損害，或者對社會秩序和公共利益造成損害，但不損害國家安全，應定為第二級，例如：

1) 實物保護等級為二級或持有的核材料數(shù)量達到二級實物保護要求的核設施的非核安全相關(guān)的運行儀控系統(tǒng)、燃料貯存和操作系統(tǒng)、消防系統(tǒng)、通信系統(tǒng)、核材料衡算系統(tǒng)和實物保護系統(tǒng);

2) 核設施的生產(chǎn)管理應用系統(tǒng)，包括作業(yè)許可和作業(yè)指令系統(tǒng)、運行和維護系統(tǒng)和配置管理系統(tǒng)。

5.1.3 第三級

核設施營運單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對社會秩序、公共利益和環(huán)境造成嚴重的損害，或者對國家安全造成損害，應定為第三級，例如：

1) 與涉及國家秘密級信息的系統(tǒng)、設備、材料、技術(shù)和數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)；

2) 核電站和其他實物保護等級為一級或持有核材料數(shù)量達到一級實物保護要求的核設施的非核安全相關(guān)的運行儀控系統(tǒng)、燃料貯存和操作系統(tǒng)、消防系統(tǒng)、通信系統(tǒng)、核材料衡算系統(tǒng)和實物保護系統(tǒng)；

3) 實物保護等級為二級或持有核材料數(shù)量達到二級實物保護要求的核設施的下述功能的關(guān)鍵系統(tǒng)：

(1) 保護功能：自動控制核安全保護行動的反應堆或工藝流程保護系統(tǒng)所用的儀控系統(tǒng)；執(zhí)行核安全保護行動的儀控系統(tǒng)；應急供電等核安全輔助功能的控制系統(tǒng)；核安全應急指揮系統(tǒng)；

(2) 核安全相關(guān)功能：過程控制的儀控系統(tǒng)；中央控制室的操作和監(jiān)視系統(tǒng)，以及報警系統(tǒng)；為中央控制室采集和處理數(shù)據(jù)的過程計算機系統(tǒng)；冷卻劑泵控制系統(tǒng);輻射監(jiān)測系統(tǒng)等。

5.1.4 第四級

核設施營運單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重的損害，應定為第四級，例如：

1) 與涉及國家機密級信息的系統(tǒng)、設備、材料、技術(shù)和數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)；

2) 核電站和其他實物保護等級為一級或持有核材料數(shù)量達到一級實物保護要求的核設施的下述功能的：

(1) 保護功能：自動控制核安全保護行動的反應堆或工藝流程保護系統(tǒng)所用的儀控系統(tǒng)；執(zhí)行核安全保護行動的儀控系統(tǒng)；應急供電等核安全輔助功能的控制系統(tǒng)；核安全應急指揮系統(tǒng)；

(2) 核安全相關(guān)功能：過程控制的儀控系統(tǒng)；中央控制室的操作和監(jiān)視系統(tǒng)，以及報警系統(tǒng)；為中央控制室采集和處理數(shù)據(jù)的過程計算機系統(tǒng)；冷卻劑泵控制系統(tǒng)等。

5.1.5 第五級

核設施營運單位的下述關(guān)鍵系統(tǒng)受到損壞后可能對國家安全造成特別嚴重的損害，應定為第五級，例如：

1) 與涉及國家絕密級信息、設備、材料、技術(shù)和數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)；

2) 核設施營運單位的上級主管單位和有關(guān)部門認定的其他數(shù)字系統(tǒng)。

5.2 關(guān)鍵系統(tǒng)的網(wǎng)絡安全能力目標

核設施營運單位應通過網(wǎng)絡安全建設整改使得各等級的關(guān)鍵系統(tǒng)達到以下等級網(wǎng)絡安全能力目標：

5.2.1 第一級

經(jīng)過網(wǎng)絡安全建設整改，關(guān)鍵系統(tǒng)具有抵御一般性攻擊的能力，防范常見計算機病毒和惡意代碼危害的能力；關(guān)鍵系統(tǒng)遭到損害后，具有恢復系統(tǒng)主要功能的能力。

5.2.2 第二級

經(jīng)過網(wǎng)絡安全建設整改，關(guān)鍵系統(tǒng)具有抵御小規(guī)模、較弱強度惡意攻擊的能力，抵抗一般的自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對網(wǎng)絡安全事件進行記錄的能力；系統(tǒng)遭到損害后，具有在一定時間內(nèi)，恢復部分功能的能力。

5.2.3 第三級

經(jīng)過網(wǎng)絡安全建設整改，關(guān)鍵系統(tǒng)在統(tǒng)一的網(wǎng)絡安全方針下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄網(wǎng)絡入侵行為的能力；具有對網(wǎng)絡安全事件進行響應處置，并能夠追蹤網(wǎng)絡安全責任的能力；在系統(tǒng)遭到損害后，具有較快恢復大部分功能的能力；對于服務保障性要求高的系統(tǒng)，應能快速恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、網(wǎng)絡安全機制等進行集中控管的能力。

5.2.4 第四級

經(jīng)過網(wǎng)絡安全建設整改，關(guān)鍵系統(tǒng)在統(tǒng)一的網(wǎng)絡安全方針下具有抵御敵對勢力有組織大規(guī)模攻擊的能力，抵抗嚴重自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄網(wǎng)絡入侵行為的能力；具有對網(wǎng)絡安全事件進行快速響應處置，并能夠追蹤網(wǎng)絡安全責任的能力；在系統(tǒng)遭到損害后，具有能夠迅速恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能迅速恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、網(wǎng)絡安全機制等進行集中控管的能力。

5.2.5 第五級

（略）

6. 縱深防御策略和防御架構(gòu)

6.1 網(wǎng)絡安全縱深防御策略

核設施營運單位應制定和執(zhí)行一個網(wǎng)絡安全實施計劃，執(zhí)行和維護集成的縱深防御策略，以確保檢測、預防、應對網(wǎng)絡攻擊，以及在受到網(wǎng)絡攻擊后減輕后果和恢復系統(tǒng)的能力。為滿足這一要求，核設施營運單位應執(zhí)行一個場址綜合的與本導則6.2節(jié)所描述的防御架構(gòu)一致的縱深防御策略，以及本導則7節(jié)所要求的網(wǎng)絡安全控制?？v深防御策略代表了文檔化的，建立多層保護架構(gòu)保護關(guān)鍵系統(tǒng)的一組互補和冗余的網(wǎng)絡安全控制。采用縱深防御策略，可在單一防御方針或網(wǎng)絡安全控制的失效時，不至于導致一個SSEP功能的失效。

核設施營運單位可由多種方式來實現(xiàn)縱深防御策略。從網(wǎng)絡安全架構(gòu)的角度出發(fā)，縱深防御策略包含了建立多層網(wǎng)絡安全邊界，保護關(guān)鍵系統(tǒng)和網(wǎng)絡免受網(wǎng)絡攻擊。但是，縱深防御策略不能僅建立多層網(wǎng)絡安全邊界，而且要建立和維護一個魯棒性網(wǎng)絡安全實施計劃，用于評估、保護、預防、檢測和減輕對關(guān)鍵系統(tǒng)的攻擊，并在受到攻擊后恢復系統(tǒng)。

例如，即使發(fā)生了一個防御措施失效（例如違反網(wǎng)絡安全方針）或保護機制被繞行（例如，被一種未被標示為網(wǎng)絡攻擊的新病毒），機制仍然存在，并能夠?qū)κ艿礁腥镜年P(guān)鍵系統(tǒng)內(nèi)非授權(quán)篡改進行檢測和響應，減輕這種篡改的影響，并在發(fā)生不利影響前，恢復受感染關(guān)鍵系統(tǒng)的正常運行。

6.2 網(wǎng)絡安全防御架構(gòu)

核設施營運單位的場址綜合的網(wǎng)絡安全防御方針應采取縱深防御策略，保護關(guān)鍵系統(tǒng)免受設計基準威脅的網(wǎng)絡攻擊。為實現(xiàn)這一目標，核設施營運單位應整合一個縱深防御架構(gòu)，建立嚴格的通信邊界（或網(wǎng)絡安全層），在邊界上采用防御措施，評估、保護、預防、檢測和減輕網(wǎng)絡攻擊，并在受到攻擊后恢復系統(tǒng)。一種防御架構(gòu)的模型包括一系列網(wǎng)絡安全措施逐層增強的同心的防御層，在概念上類似于核設施現(xiàn)有的實物保護區(qū)（例如，要害區(qū)、保護區(qū)、控制區(qū)）。

例如，可以采用包括五個同心防御層的防御模型。在相鄰的同心防御層之間設置邊界進行分隔，例如采用防火墻和單向網(wǎng)閘，對跨越邊界的數(shù)字通信進行監(jiān)測和限制。需要最高網(wǎng)絡安全措施的系統(tǒng)應置于多層邊界的內(nèi)層。但是，這種多層同心防御模型并不總是直接對應于例如要害區(qū)、保護區(qū)和控制區(qū)的物理位置。

核設施營運單位的多層同心防御架構(gòu)至少應具有下述特性：

1) 與運行安全相關(guān)，對運行安全和安保功能重要，以及重要的支持系統(tǒng)和設備，如果被損壞，可能對運行安全，或?qū)\行安全和安保重要的功能帶來不利影響的關(guān)鍵系統(tǒng)應置于四級，防御來自所有較低級別防御層的網(wǎng)絡攻擊；

2) 僅允許從四級至三級關(guān)鍵系統(tǒng)，和三級至二級關(guān)鍵系統(tǒng)的單向數(shù)據(jù)流；

3) 禁止從低等級關(guān)鍵系統(tǒng)向高等級關(guān)鍵系統(tǒng)的通信要求；

4) 從一個級別向另一個級別的數(shù)據(jù)通信應經(jīng)過一個或多個執(zhí)行每個級別間網(wǎng)絡安全方針的邊界控制設備；

5) 維護檢測、預防、延遲和減輕網(wǎng)絡攻擊，并在受到攻擊后恢復系統(tǒng)的能力；

6)按照核安保導則HABD-004/02第4節(jié)和核安保導則HABD-004/03第12節(jié)和第13節(jié)的要求配置關(guān)鍵系統(tǒng)和邊界保護系統(tǒng)；

7) 禁止對支持所涉及關(guān)鍵系統(tǒng)的設計基準功能不必要的應用、服務和協(xié)議。

6.3 安全域

核設施營運單位可建立多層網(wǎng)絡安全的縱深防御模型，將對運行安全具有同樣或類似重要性的關(guān)鍵系統(tǒng)組合形成安全域。根據(jù)安全域的風險等級，實施不同等級的網(wǎng)絡安全控制。網(wǎng)絡安全風險高的安全域位于多層防御模型內(nèi)層,網(wǎng)絡安全風險低的安全域位于多層防御模型外層，同一層防御模型可能包含多個網(wǎng)絡安全等級相同的安全域。

為使這一防御模型更加有效地保護關(guān)鍵系統(tǒng)免受網(wǎng)絡攻擊，核設施營運單位應持續(xù)地維持上述特性，同時采用核安保導則HABD-004/02所描述的技術(shù)類控制和核安保導則HABD-004/03所描述的運維和管理類控制，以及實行本導則第7節(jié)所述的網(wǎng)絡安全控制。

雖然上述安全域和多層防御模型可能允許在同一級別內(nèi)系統(tǒng)之間的通信（例如四級和/或三級），但是，關(guān)鍵系統(tǒng)之間的數(shù)字隔離（即在關(guān)鍵系統(tǒng)之間不設置通信路徑）是滿足網(wǎng)絡安全管理要求的最安全的方式。特別是，應在任何可能的條件下使用數(shù)字隔離措施。

7. 網(wǎng)絡安全控制

核設施營運單位應按照網(wǎng)絡安全實施計劃實施控制措施，保護關(guān)鍵系統(tǒng)免受設計基準威脅所規(guī)定的網(wǎng)絡攻擊。關(guān)鍵系統(tǒng)潛在的網(wǎng)絡安全風險應作為已知的網(wǎng)絡風險處理，并在核設施的獨特環(huán)境下采用 “高于已知風險”標準的網(wǎng)絡安全控制。

本導則7.1節(jié)（技術(shù)控制），7.2節(jié)（運維控制）和7.3節(jié)（管理控制）為應對潛在的網(wǎng)絡安全風險提供一個網(wǎng)絡安全控制一覽表。在按照系統(tǒng)類型選擇基線網(wǎng)絡安全控制方面，上述控制是與當前國際成熟和標準的風險評估方法一致的。

為防御潛在的網(wǎng)絡風險，核設施營運單位對參照本導則第4.4節(jié)（檢查和驗證）識別的每一個關(guān)鍵系統(tǒng)實行核安保導則HABD-004/03描述的所有控制，并對核安保導則HABD-004/02描述的每一個控制執(zhí)行下述一個或多個活動：

1) 實行核安保導則HABD-004/02所描述的每個技術(shù)類控制；

2) 對于一個未能實行的控制，通過下述方法實行替代控制,以便消除與一個或多個核安保導則HABD-004/02所列的控制相關(guān)的威脅：

(1) 記錄實行替代控制的基礎(chǔ)；

(2) 執(zhí)行和記錄一個對關(guān)鍵系統(tǒng)攻擊矢量和攻擊樹以及替代控制的分析，確認應對措施提供與核安保導則HABD-004/02規(guī)定的相應控制同等或更高的保護；

(3) 實行提供至少與核安保導則HABD-004/02規(guī)定的相應控制同等保護的替代應對措施。

3) 對關(guān)鍵系統(tǒng)一個或多個特定的網(wǎng)絡安全控制進行攻擊矢量和攻擊樹分析，以便提供一個書面的理由來證明該攻擊矢量不存在（即不適用），由此可免除這些特定網(wǎng)絡安全控制的需求。

在確認實行某一控制對SSEP功能產(chǎn)生不利影響時（例如，系統(tǒng)響應時間出現(xiàn)不可接受的變化，或者不必要地增加系統(tǒng)復雜性），就不應該實行這一控制。在不實行這一控制時，核設施營運單位應按照上述過程，實行替代控制，保護關(guān)鍵系統(tǒng)免受設計基準威脅所規(guī)定的網(wǎng)絡攻擊。對因擔心對關(guān)鍵系統(tǒng)性能產(chǎn)生影響而未實行某一控制，導致關(guān)鍵系統(tǒng)具有任何殘余的脆弱性時，應實行替代控制消除或減輕脆弱性。

一旦實行了網(wǎng)絡安全控制，核設施營運單位的網(wǎng)絡安全管理機構(gòu)應執(zhí)行10.1.2節(jié)所描述的有效性分析和第10.1.3節(jié)描述的脆弱性評估/脆弱性掃描，核實已經(jīng)確保了關(guān)鍵系統(tǒng)免受設計基準威脅所規(guī)定的網(wǎng)絡攻擊。如果這些有效性分析和脆弱性分析發(fā)現(xiàn)網(wǎng)絡安全實施計劃有缺陷，核設施營運單位應實行核安保導則HABD-004/02和核安保導則HABD-004/03未提供的額外的網(wǎng)絡安全控制措施。

7.1 技術(shù)控制

技術(shù)控制是通過包含硬件、固件、操作系統(tǒng)或應用軟件在內(nèi)的非人為機制實現(xiàn)的保障或保護措施。這類控制的屬性包括訪問控制、審計和問責制、系統(tǒng)和通信保護、檢查和驗證。實行了技術(shù)控制后，動作是預先計劃的，或預編程并自動執(zhí)行對觸發(fā)事件做出響應的，或被配置以提供既定方針電子執(zhí)行能力的。這些動作一般不需要人為干預。下述7.1.1至7.1.5節(jié)描述了實行網(wǎng)絡安全技術(shù)控制的方法。

7.1.1 訪問控制

訪問控制主要包括：

1) 一項文檔化的方針，明確目的、適用范圍、角色、職責以確保只有被授權(quán)的個人，或代表這些個人的進程方可訪問關(guān)鍵系統(tǒng)和執(zhí)行經(jīng)授權(quán)的活動；

2) 促進和維護訪問控制方針的規(guī)程應描述以下事項：

(1) 訪問權(quán)的控制（即，何人和何進程可以訪問何資源）和訪問權(quán)限的控制（即，這些個人和進程可以對訪問的資源做什么）；

(2) 系統(tǒng)加固（即，識別和移除不必要的系統(tǒng)服務、通信路徑、數(shù)據(jù)存儲能力和不安全的通信協(xié)議）；

(3) 關(guān)鍵系統(tǒng)賬戶管理（即，創(chuàng)建、激活、修改、檢查、禁用和刪除賬戶）；

(4) 關(guān)鍵系統(tǒng)審計（即，至少每年一次或在發(fā)生人員角色、職責變動或系統(tǒng)配置或功能的重大變更時立即進行）；

(5) 職責分離（即，通過指定的訪問授權(quán)）。

3) 實行核安保導則HABD-004/02第2節(jié)描述的網(wǎng)絡安全控制。

7.1.2 審計和問責

審計和問責主要包括：

1) 一項文檔化的方針，明確目的、適用范圍、角色、職責、要求，審計網(wǎng)絡安全實施計劃各個要素的有效性，對任何發(fā)現(xiàn)的問題進行整改，確保網(wǎng)絡安全實施計劃對保護SSEP功能的有效性；

2) 促進并維護審計與問責方針的規(guī)程；

3) 實行核安保導則HABD-004/02第3節(jié)介紹的網(wǎng)絡安全控制。

7.1.3 系統(tǒng)和通信保護

系統(tǒng)和通信保護包括:

1) 一項文檔化的方針，規(guī)定目的、范圍、職責、分工，減輕可能導致網(wǎng)絡攻擊的未經(jīng)授權(quán)訪問系統(tǒng)或通信，對核設施SSEP功能造成不利影響；

2) 促進并維護系統(tǒng)和通信保護方針以及相關(guān)系統(tǒng)和通信保護控制的規(guī)程；

3) 實行核安保導則HABD-004/02第4節(jié)描述的網(wǎng)絡安全控制。

7.1.4 識別與認證

識別與認證保護包括：

1) 采用以下方法進行用戶標識管理：

(1) 唯一性地識別每個用戶和代表用戶的應用程序；

(2) 驗證每一個用戶和代表用戶的應用程序；

(3) 經(jīng)批準后，代表相關(guān)行政部門頒發(fā)一個用戶標識；

(4) 確保將用戶標識發(fā)送到預期的當事方；

(5) 在預先規(guī)定的靜止期后使得用戶標識失效；

(6) 用戶標識歸檔。

2) 通過以下方法管理關(guān)鍵系統(tǒng)認證器：

(1) 確定初始認證內(nèi)容；

(2) 建立分發(fā)初始認證器的行政規(guī)程，處理認證器的丟失、失效、損壞,以及吊銷；

(3) 一旦安裝了控制系統(tǒng)，立即更改其默認認證器；

(4) 定期更改和刷新認證器；

3) 實行核安保導則HABD-004/02第5節(jié)描述的網(wǎng)絡安全控制。

7.1.5 系統(tǒng)加固

關(guān)鍵系統(tǒng)的系統(tǒng)加固包括：

1)一項文檔化的方針，明確目的、適用范圍、角色、職責，確保安全地配置全部現(xiàn)有的關(guān)鍵系統(tǒng)，以防止未經(jīng)授權(quán)的訪問和使用；

2) 促進和維護系統(tǒng)加固方針的規(guī)程；

3) 實行核安保導則HABD-004/02第6節(jié)中描述的網(wǎng)絡安全控制。

7.2 運維控制

運維控制是人為而不是自動化手段執(zhí)行的保護措施。此類措施的屬性包括涉及介質(zhì)保護、物理和環(huán)境保護、人員安全、系統(tǒng)和信息的完整性、應急計劃、事故響應、維護、攻擊緩解、功能持續(xù)性、意識教育與培訓和配置管理等方面的活動。運維控制應有文檔化的規(guī)程，以確保對核設施人員和承包商的行為問責。下述7.2.1 至7.2.9節(jié)描述了相關(guān)的運維控制。

7.2.1 介質(zhì)保護

介質(zhì)保護包括：

1) 一項文檔化的方針，明確目的、適用范圍、角色、職責，用于介質(zhì)的接收、儲存、處理、清除、移出、再利用和銷毀等方面；

2) 促進和維護介質(zhì)保護方針的規(guī)程；

3) 實行核安保導則HABD-004/03第2節(jié)描述的網(wǎng)絡安全控制。

7.2.2 人員安全

人員安全包括：

1) 一項文檔化的方針，規(guī)定覆蓋人員的范圍，網(wǎng)絡安全計劃的角色、職責和審計機制，以確保具有無人陪同訪問（電子或物理）關(guān)鍵系統(tǒng)權(quán)限的人員的可信賴性和可靠性；

2) 促進執(zhí)行人員安全方針的規(guī)程；

3) 實行核安保導則HABD-004/03第3節(jié)描述的網(wǎng)絡安全控制。

7.2.3 系統(tǒng)和信息完整性

系統(tǒng)和信息完整性包括：

1) 一項文檔化的方針，明確目的、適用范圍、角色、職責，用于確保能夠保護貯存在關(guān)鍵系統(tǒng)中的信息；

2) 促進和維護系統(tǒng)和信息完整性方針的規(guī)程；

3) 實行核安保導則HABD-004/03第4節(jié)描述的網(wǎng)絡安全控制。

7.2.4 維護

維護包括：

1) 一項文檔化的方針，明確目的、適用范圍、角色、職責，用于為確保核設施SSEP功能免受網(wǎng)絡攻擊所需的對關(guān)鍵系統(tǒng)以及網(wǎng)絡安全邊界設備相關(guān)的日常和預防性維護；

2) 促進和維護維護方針的規(guī)程；

3) 實行核安保導則HABD-004/03第5節(jié)描述的網(wǎng)絡安全控制。

7.2.5 物理和環(huán)境保護

物理和環(huán)境保護包括：

1) 一項文檔化的方針，明確目的、適用范圍、角色、職責，能夠確保下述；

(1) 減輕非授權(quán)物理訪問關(guān)鍵系統(tǒng)和有關(guān)聯(lián)的通信路徑的風險；

(2) 保護關(guān)鍵系統(tǒng)和有關(guān)聯(lián)的通信路徑免受可能導致基礎(chǔ)設施支持系統(tǒng)（例如供電；供暖，通風和空調(diào)系統(tǒng)；消防系統(tǒng)）故障失效或無法正常運行的環(huán)境條件影響。

2) 促進和維護物理和操作環(huán)境保護方針的規(guī)程；

3) 實行核安保導則HABD-004/03第6節(jié)描述的網(wǎng)絡安全控制。

7.2.6 事故響應

核設施網(wǎng)絡安全實施計劃應包括如何執(zhí)行事故響應和恢復措施，包括：

1) 維護及時檢測和應對網(wǎng)絡攻擊的能力；

2) 減輕網(wǎng)絡攻擊的后果；

3) 對發(fā)現(xiàn)的脆弱性進行整改；

4) 恢復受感染的系統(tǒng)、網(wǎng)絡和設備。

在網(wǎng)絡攻擊時和網(wǎng)絡攻擊后，核設施營運單位可采取下述方法滿足響應和恢復相關(guān)的要求：

1) 制定一項事故響應方針，規(guī)定目的、范圍、職責、分工，用于編制計劃和應對網(wǎng)絡安全事故，確保將網(wǎng)絡攻擊的后果減輕到可以接受的水平；

2) 制定規(guī)程促進執(zhí)行事故響應方針和相關(guān)的事故響應措施；

3) 制定規(guī)程促進執(zhí)行事故響應調(diào)查：

4) 實行核安保導則HABD-004/03第9節(jié)描述的網(wǎng)絡安全控制。

核設施營運單位應將事故響應和恢復措施并入到網(wǎng)絡安全實施計劃和應急預案中。

7.2.7 應急計劃/SSEP功能的持續(xù)性

核設施營運單位滿足應急預案要求的方法可包括：

1) 制定和執(zhí)行一項運行持續(xù)性方針，明確目的、適用范圍、角色、職責，用于編制和啟動網(wǎng)絡安全事故恢復計劃，確保在一次網(wǎng)絡攻擊后，能夠維護SSEP功能運行的持續(xù)性；

2) 制定和執(zhí)行促進和維護運行持續(xù)性方針的規(guī)程；

3) 實行核安保導則HABD-004/03第10節(jié)描述網(wǎng)絡安全控制。

7.2.8 意識教育和培訓

網(wǎng)絡安全從業(yè)人員管理，作為其網(wǎng)絡安全實施計劃的一部分，核設施營運單位應確保相關(guān)的設施人員，包括承包商意識到網(wǎng)絡安全的要求，并獲得有效履行其崗位職能所必需的培訓。核設施營運單位滿足意識教育和培訓要求的方法可包括：

1) 制定、分發(fā)，并定期審查和更新網(wǎng)絡安全培訓和意識教育計劃，明確目的、適用范圍、角色、職責，確保設施人員已經(jīng)接受了能夠正確履行其崗位職能的培訓；

2) 在需要額外培訓的領(lǐng)域，進行差距分析；

3) 采取措施確定是否遵守了方針和規(guī)程，如果未能遵守，是否是由培訓或意識教育導致的，以及應采取何種糾正措施；

4)制定，分發(fā)和定期審查和更新促進和維護網(wǎng)絡安全培訓和意識教育的規(guī)程；

5) 實行核安保導則HABD-004/03第11節(jié)描述的網(wǎng)絡安全控制。

7.2.9 配置管理

核設施營運單位應在關(guān)鍵系統(tǒng)變更前進行評估，確保實現(xiàn)網(wǎng)絡安全管理的目標。核設施營運單位滿足配置管理要求的方法可包括：

1) 制定，分發(fā)，并每年審查和更新配置管理方針和計劃，明確配置管理的目的、適用范圍、角色、職責，確保(1)當對一個關(guān)鍵系統(tǒng)變更時，不降低現(xiàn)有的網(wǎng)絡安全功能；(2)防止了對一個關(guān)鍵系統(tǒng)的任何未經(jīng)授權(quán)或意外修改。配置管理方針和規(guī)程應同時適用于核設施營運單位及供應商雙方的人員。

2) 制定促進和維護配置管理方針和計劃的規(guī)程以及相關(guān)的配置管理控制和措施；

3) 實行核安保導則HABD-004/03第12節(jié)描述的網(wǎng)絡安全控制。

7.3 管理控制

管理控制是注重于風險和網(wǎng)絡安全方針環(huán)境的管理。這類控制的屬性包括系統(tǒng)和服務采購、網(wǎng)絡安全評估和風險管理、以及數(shù)字資產(chǎn)的添置和變更。下述7.3.1至7.3.2節(jié)描述了相關(guān)的管理控制。

7.3.1 系統(tǒng)和服務采購

系統(tǒng)和服務采購的方案包括：

1) 制定采購方針，明確目的、適用范圍、角色、職責，確保在采購過程中，能夠維護所采購系統(tǒng)和服務的完整性；

2) 制定規(guī)程，促進和維護執(zhí)行與供應商網(wǎng)絡安全和開發(fā)生命周期相關(guān)的采購方針；

3) 實行核安保導則HABD-004/03第13節(jié)描述的網(wǎng)絡安全控制。

7.3.2 威脅評估和風險管理

核設施營運單位的網(wǎng)絡安全實施計劃應確保網(wǎng)絡安全風險得到適當管理和評估。核設施營運單位可建立風險管理和評估計劃，執(zhí)行本導則第6節(jié)和第10節(jié)描述的步驟，以及核安保導則HABD-004/03第14節(jié)描述的網(wǎng)絡安全評估與風險管理方法，確保保護了所安裝的關(guān)鍵系統(tǒng)免受網(wǎng)絡攻擊。

8. 《核設施網(wǎng)絡安全實施計劃》與《核設施實物保護與保密實施計劃》的協(xié)同執(zhí)行

核設施營運單位應將網(wǎng)絡安全實施計劃與《核設施實物保護與保密實施計劃》協(xié)同執(zhí)行。為滿足《中華人民共和國核材料管制條例》的要求，核設施的實物保護和保密實施計劃提出了組織的目標和要求，描述了為實現(xiàn)核設施整體安全態(tài)勢的綜合方案所必要的保護措施。雖然實施網(wǎng)絡攻擊所使用的方法和工具可能不同于實體攻擊，但是產(chǎn)生的后果可能是類似的。此外，網(wǎng)絡攻擊可被用以配合實體攻擊，或者可被用于協(xié)助實體攻擊，因此，核設施營運單位的防衛(wèi)方案必須設計得能夠保護核設施免受設計基準威脅的針對實體、網(wǎng)絡和兩者的聯(lián)合攻擊。

為滿足上述要求，核設施營運單位可在制定和識別防衛(wèi)計劃所要求的目標組時考慮網(wǎng)絡攻擊,并且要整合實物和網(wǎng)絡安全的管理。這種整合應考慮：

1) 組成一體化聯(lián)合組織，整合網(wǎng)絡安全和實物保護兩方面的安全功能,并獨立于運行;

2) 分析，識別，并記錄實物保護和網(wǎng)絡安全的相互依賴性;

3) 制定方針和規(guī)程，以整合和統(tǒng)一這些相互依賴的管理;

4) 整合和統(tǒng)一方針和規(guī)程，采用相互協(xié)調(diào)的方案來保護核設施免受設計基準威脅的攻擊;

5) 協(xié)調(diào)實物保護或網(wǎng)絡安全設備和儀器的采購;

6) 協(xié)調(diào)相互依賴的實物保護和網(wǎng)絡安全的運行活動以及實物保護和網(wǎng)絡安全人員的培訓活動;

7) 整合和協(xié)調(diào)包括實物保護突發(fā)事件和網(wǎng)絡安全事故響應人員的應急響應能力;

8) 針對這兩個任務的需求培訓有關(guān)的高級管理人員;

9) 使用結(jié)合實體和網(wǎng)絡模擬攻擊的多種現(xiàn)實場景定期進行整個網(wǎng)絡安全和實物保護力量的聯(lián)合演練。

9. 場址網(wǎng)絡安全方針和規(guī)程

核設施營運單位應制定文檔化的場址網(wǎng)絡安全方針和規(guī)程，用于執(zhí)行網(wǎng)絡安全實施計劃。這些方針、規(guī)程、場址特定分析，或其他網(wǎng)絡安全實施計劃的支持性技術(shù)文件應記錄留存，以備上級主管單位檢查組現(xiàn)場調(diào)閱。核設施營運單位制定的網(wǎng)絡安全實施計劃應包括方針和規(guī)程，描述整體網(wǎng)絡安全控制目標、目的、實踐和核設施營運單位內(nèi)部的角色和職責，以及已制定和維護的網(wǎng)絡安全實施計劃，使得能夠確保SSEP功能免受網(wǎng)絡攻擊。本導則第3節(jié)描述了制定角色和職責規(guī)程的方法。

為滿足編制方針和執(zhí)行規(guī)程的要求，核設施營運單位可執(zhí)行：

1) 定期審查場址網(wǎng)絡安全方針和規(guī)程，確保它們持續(xù)地充分應對了所保護關(guān)鍵系統(tǒng)面臨的風險；

2) 評估了技術(shù)發(fā)展相關(guān)的問題；

3) 處理了雇員崗位相關(guān)的風險；

4) 實行了核安保導則HABD-004/02 和核安保導則HABD-004/03網(wǎng)絡安全控制中描述的方針和規(guī)程。

10. 網(wǎng)絡安全實施計劃的維護

核設施營運單位一旦執(zhí)行了網(wǎng)絡安全實施計劃，應定期進行網(wǎng)絡安全風險的評估和管理。為滿足這一要求，核設施營運單位可為關(guān)鍵系統(tǒng)制定全生命周期的網(wǎng)絡安全計劃，包括：

1) 持續(xù)的監(jiān)測和評估；

2) 配置管理；

3) 變更管理；

4) 變更和環(huán)境對網(wǎng)絡安全的影響分析；

5) 有效性分析；

6) 持續(xù)評估網(wǎng)絡安全控制和網(wǎng)絡安全實施計劃的有效性；

7) 脆弱性評估/掃描；

8) 變更控制；

9) 網(wǎng)絡安全實施計劃的檢查。

下述10.1到10.3節(jié)描述了這些要素：

10.1 持續(xù)監(jiān)控與評估

核設施營運單位應持續(xù)監(jiān)控網(wǎng)絡安全控制、過程和規(guī)程，確認建立的網(wǎng)絡安全控制時刻滿足實施計劃的要求，以及系統(tǒng)、網(wǎng)絡、環(huán)境的變更或新的威脅并未降低其有效性。

持續(xù)監(jiān)控包括：

1) 在全生命周期內(nèi)，核實每一個關(guān)鍵系統(tǒng)采用的網(wǎng)絡安全措施是否始終到位，并實時評估核實結(jié)果；

2) 核實各基礎(chǔ)設施未感染惡意代碼；

3) 持續(xù)地評估核安保導則HABD-004/02 和核安保導則HABD-004/03中要求的網(wǎng)絡安全控制的必要性和有效性；

4) 定期檢查網(wǎng)絡安全實施計劃，評估和提高其有效性。

為維持確保關(guān)鍵系統(tǒng)得到充分保護免受網(wǎng)絡攻擊，持續(xù)監(jiān)控和及時更新網(wǎng)絡安全實施計劃，反映必要的變化。

10.1.1 持續(xù)評估網(wǎng)絡安全控制

持續(xù)地評估網(wǎng)絡安全控制確保在關(guān)鍵系統(tǒng)全生命周期內(nèi)實行的網(wǎng)絡安全控制始終到位，并功能準確。核設施營運單位應定期[在至少每年一次的基礎(chǔ)上]或者根據(jù)核安保導則HABD-004/02和核安保導則HABD-004/03的描述對每項控制規(guī)定的更高的頻度要求核實這些網(wǎng)絡安全控制的狀態(tài)。

10.1.2 網(wǎng)絡安全控制的有效性分析

核設施營運單位的網(wǎng)絡安全管理機構(gòu)應監(jiān)控和檢查網(wǎng)絡安全實施計劃和網(wǎng)絡安全控制的有效性，確保正確地執(zhí)行上述計劃和控制，并按預期要求操作，以及持續(xù)地確保關(guān)鍵系統(tǒng)免受設計基準威脅規(guī)定的網(wǎng)絡攻擊。檢查網(wǎng)絡安全實施計劃和安全控制措施應包括，但不限于：定期測試網(wǎng)絡安全控制；重新評估設計基準威脅規(guī)定的敵手能力；審計實物保護和網(wǎng)絡安全計劃與執(zhí)行規(guī)程、運行安全/安保交接活動、測試/維護/標定計劃、操作經(jīng)驗；評估為落實上級主管單位和有關(guān)部門意見擬采取的整改措施。

從這些分析獲得的結(jié)果可用于：

1) 改善網(wǎng)絡安全實施計劃的績效和有效性；

2) 管理和評估網(wǎng)絡安全風險；

3) 改進實行核安保導則HABD-004/02和核安保導則HABD-004/03所敘述的網(wǎng)絡安全控制；

4) 確定是否需要新的網(wǎng)絡安全控制，用于保護關(guān)鍵系統(tǒng)免受網(wǎng)絡攻擊；

5) 核實現(xiàn)有網(wǎng)絡安全控制在保護關(guān)鍵系統(tǒng)免受網(wǎng)絡攻擊方面是否運行正常和有效；

6) 促進在網(wǎng)絡安全自我評估或?qū)I(yè)測評中所發(fā)現(xiàn)問題的整改。

核設施營運單位的網(wǎng)絡安全管理機構(gòu)應定期[在至少每年一次的基礎(chǔ)上]或者根據(jù)核安保導則HABD-004/02 和核安保導則HABD-004/03描述的對每項控制規(guī)定更高的具體頻度要求檢查網(wǎng)絡安全控制的有效性。網(wǎng)絡安全管理機構(gòu)應檢查關(guān)鍵系統(tǒng)部件的維修記錄，確保執(zhí)行網(wǎng)絡安全功能關(guān)鍵系統(tǒng)的性能維持在制造商建議的水平。

10.1.3 脆弱性評估和掃描

核設施營運單位的網(wǎng)絡安全管理機構(gòu)應定期對網(wǎng)絡安全控制、防御架構(gòu)和所有關(guān)鍵系統(tǒng)進行脆弱性評估和掃描，識別網(wǎng)絡安全缺陷。核設施營運單位應[至少每季度]或者按照核安保導則HABD-004/02 和核安保導則HABD-004/03中描述的每個網(wǎng)絡安全控制的具體要求（取頻度高者），或當出現(xiàn)新脆弱性會影響到網(wǎng)絡安全實施計劃的有效性或關(guān)鍵系統(tǒng)網(wǎng)絡安全態(tài)勢時，對關(guān)鍵系統(tǒng)和環(huán)境進行一次脆弱性評估。此外，核設施營運單位應使用最新脆弱性掃描工具和技術(shù)，促進掃描工具和脆弱性管理進程的自動部件之間互操作性。

核設施營運單位的網(wǎng)絡安全管理機構(gòu)應分析脆弱性評估和掃描報告，及時處理對場址上可能用于損壞關(guān)鍵系統(tǒng)和可能對SSEP功能帶來不利影響的脆弱性。網(wǎng)絡安全管理機構(gòu)應與相關(guān)人員分享由脆弱性評估和脆弱性掃描所得到的信息，確保理解、評估和緩解了類似的脆弱性，這些脆弱性可能對相連接的或相類似的關(guān)鍵系統(tǒng)的網(wǎng)絡安全和/或?qū)SEP帶來不利影響。

核設施營運單位應確保掃描過程不嚴重影響SSEP功能，當可能產(chǎn)生這種情況時，如可能，在掃描前，將關(guān)鍵系統(tǒng)撤出服務或者采用復制品（在可行情況下），或者將掃描安排在關(guān)鍵系統(tǒng)檢修期間。如果因為有可能嚴重影響核設施運行安全、核安保和應急準備功能，不能進行脆弱性掃描時，應采用替代控制（例如，提供復制的關(guān)鍵系統(tǒng)、子系統(tǒng)或設備進行掃描）。

10.2 變更控制

變更控制是確保添置或變更關(guān)鍵系統(tǒng)（或者其環(huán)境的變更）是以可控和協(xié)調(diào)的方式進行的。為準備變更管理方案，核設施營運單位應：(1)實行核安保導則HABD-004/03第12節(jié)中的網(wǎng)絡安全控制(2)建立、維護和記錄關(guān)鍵系統(tǒng)的配置基線。這一基線至少包括：現(xiàn)有所有部件清單（如硬件、軟件）、外圍設備和軟件的配置、當前軟件版本和機械/硬件部件的開關(guān)設置。

有效的變更控制所必要的文檔包括，但不限于：說明授權(quán)與執(zhí)行人的配置變更日志、變更的日期和時間、變更目的、變更后網(wǎng)絡安全控制有效性的確認、變更過程中的監(jiān)測記錄。

核設施營運單位應采用能夠確保SSEP功能免受網(wǎng)絡攻擊的方式，系統(tǒng)地計劃、批準、測試和記錄關(guān)鍵系統(tǒng)環(huán)境的變更、在環(huán)境中添置關(guān)鍵系統(tǒng)和現(xiàn)有關(guān)鍵系統(tǒng)的變更。在運行和維護的生命周期階段，核設施營運單位應制定規(guī)程，使得關(guān)鍵系統(tǒng)的變更采用了相關(guān)標準，確保現(xiàn)有網(wǎng)絡安全控制的有效性，保護可被用于網(wǎng)絡攻擊損壞關(guān)鍵系統(tǒng)的任何路徑。

在退役階段，核設施營運單位應采用[設計控制和配置管理規(guī)程或其他規(guī)程相關(guān)的過程]管理運行安全、可靠性和網(wǎng)絡安全工程活動。

核安保導則HABD-004/03對變更控制提供了具體的指導意見。

10.2.1 配置管理

核設施營運單位應實行核安保導則HABD-004/03第12節(jié)描述的配置管理控制，以及本導則第10.2節(jié)所描述的配置和變更管理過程，并編制文檔化的規(guī)程，確保滿足場址網(wǎng)絡安全計劃的目標。核設施營運單位應確保在關(guān)鍵系統(tǒng)的變更執(zhí)行前通過了按照本導則10.2節(jié)進行的評估，使得能夠達到網(wǎng)絡安全管理的目標。

在關(guān)鍵系統(tǒng)的運行和維護的生命周期階段，核設施營運單位應確保采用了變更控制管理規(guī)程進行相關(guān)變更，避免給系統(tǒng)引入新的脆弱性、弱項或風險。該過程也確保及時和有效地實行了核安保導則HABD-004/02和核安保導則HABD-004/03敘述的網(wǎng)絡安全控制。

10.2.2 變更和環(huán)境對網(wǎng)絡安全的影響分析

核設施營運單位的網(wǎng)絡安全管理機構(gòu)應在執(zhí)行一項關(guān)鍵系統(tǒng)的設計或配置變更前或出現(xiàn)環(huán)境變更時，按照本導則第10.1.2節(jié)的要求進行網(wǎng)絡安全影響分析，以便管控由此變更引入的潛在風險。

核設施營運單位應評估、記錄網(wǎng)絡安全影響，并且將其他關(guān)鍵系統(tǒng)（或子系統(tǒng)或設備）的運行安全和實物保護一同并入網(wǎng)絡安全影響分析，以及更新和記載：

1) 關(guān)鍵系統(tǒng)和與其相連資產(chǎn)的位置；

2) 連通路徑（直接或間接）；

3) 基礎(chǔ)設施的相互依賴性；

4) 應用的防御策略，包括防御模型、網(wǎng)絡安全控制和其他防御策略措施；

5) 與保護關(guān)鍵系統(tǒng)免受網(wǎng)絡攻擊相關(guān)的場址實物保護和網(wǎng)絡安全方針和規(guī)程，包括攻擊后果減輕、事故響應和系統(tǒng)恢復。

核設施營運單位應將這些影響分析作為變更批準過程的一個部分來執(zhí)行，以便如本導則10.1.2所要求的，評估變更對關(guān)鍵系統(tǒng)和網(wǎng)絡安全控制的網(wǎng)絡安全態(tài)勢影響，以及處理任何發(fā)現(xiàn)的偏差，保護關(guān)鍵系統(tǒng)免受設計基準威脅所規(guī)定的網(wǎng)絡攻擊。

核設施營運單位應在關(guān)鍵系統(tǒng)的全生命周期實行管理，實現(xiàn)SSEP功能的網(wǎng)絡安全目標，這種管理應通過持續(xù)評估威脅和脆弱性及實行核安保導則HABD-004/02和核安保導則HABD-004/03敘述的網(wǎng)絡安全控制來實現(xiàn)。此外，核設施營運單位應制定文檔化規(guī)程，用于篩選、評估、減輕和處置從可信機構(gòu)所獲得的威脅和脆弱性通知。處置也包括實行了相關(guān)網(wǎng)絡安全控制，減輕新發(fā)布的或新發(fā)現(xiàn)的威脅和脆弱性。

10.2.3 網(wǎng)絡安全再評估和授權(quán)

核設施營運單位應制定、執(zhí)行、記錄和維護確保在執(zhí)行關(guān)鍵系統(tǒng)變更前評估變更的規(guī)程，使得網(wǎng)絡安全控制仍然有效，以及已經(jīng)處置了任何可能被用于損壞變更后關(guān)鍵系統(tǒng)的路徑，保護關(guān)鍵系統(tǒng)和SSEP功能免受網(wǎng)絡攻擊。該規(guī)程應確保在執(zhí)行變更前，采用本導則10.1.2節(jié)要求的過程，使用已被證明的和可接受的方法評估了添置和變更，確保充分防范了設計基準威脅的網(wǎng)絡攻擊。

核設施營運單位應在關(guān)鍵系統(tǒng)變更后分發(fā)、檢查和更新：

1) 一個正式的、文檔化的，反映所有的變更或添置的網(wǎng)絡安全評估和授權(quán)方針，規(guī)定目的、適用范圍、角色、職責和核設施營運單位內(nèi)各個部門之間的協(xié)調(diào)機制；

2) 一個正式的、文檔化的用于促進執(zhí)行網(wǎng)絡安全再評估和授權(quán)方針和相關(guān)控制的規(guī)程。

10.2.4 更新網(wǎng)絡安全實踐

在發(fā)生關(guān)鍵系統(tǒng)或環(huán)境變更時，核設施營運單位應檢查、更新和修訂場址網(wǎng)絡安全方針、規(guī)程、實踐、現(xiàn)有網(wǎng)絡安全控制、網(wǎng)絡架構(gòu)的詳細描述（包括邏輯和物理連接圖）、網(wǎng)絡安全設備的信息以及其他任何與網(wǎng)絡安全實施計劃狀態(tài)或者核安保導則HABD-004/02和核安保導則HABD-004/03敘述的網(wǎng)絡安全控制相關(guān)信息。這些信息包括：

1) 整個核設施和上級主管單位的與網(wǎng)絡安全相關(guān)的方針、規(guī)程和現(xiàn)行實踐的信息；

2) 詳細的網(wǎng)絡架構(gòu)和流程圖；

3) 網(wǎng)絡安全設備或關(guān)鍵系統(tǒng)的配置信息；

4) 整個核設施和上級主管單位正在制定的新的網(wǎng)絡安全策略或網(wǎng)絡安全控制，以及與其將來部署相關(guān)的方針、規(guī)程和技術(shù)；

5) 場址的物理安全和運維安全計劃；

6) 對供應商和合同方的網(wǎng)絡安全要求；

7) 發(fā)現(xiàn)的潛在攻擊路徑；

8) 最新的網(wǎng)絡安全研究或?qū)徲嫿Y(jié)果（獲得對潛在脆弱性的深入觀察）；

9) 識別一旦失效或被操縱可能影響關(guān)鍵系統(tǒng)正常工作的基礎(chǔ)結(jié)構(gòu)支持系統(tǒng)（例如，供電；供暖、通風和空調(diào)、通信、消防）。

10.2.5 關(guān)鍵系統(tǒng)變更和添置的檢查和驗證測試

核設施營運單位的網(wǎng)絡安全管理機構(gòu)應采用本導則第4.4節(jié)敘述的過程對每一個關(guān)鍵系統(tǒng)的變更和添置進行檢查和驗證測試，并記載檢查和驗證測試結(jié)果。

10.2.6 實行與變更和添置相關(guān)的網(wǎng)絡安全控制

當環(huán)境中引入了新的關(guān)鍵系統(tǒng)后，核設施營運單位應：

1) 將該關(guān)鍵系統(tǒng)部署在本導則第6.2節(jié)敘述防御架構(gòu)的適當防御層；

2) 按照第7.1節(jié)敘述的方式實行核安保導則HABD-004/02敘述的網(wǎng)絡安全技術(shù)控制；

3) 確認應用了核安保導則HABD-004/03敘述的網(wǎng)絡安全運維和管理控制，并且對該關(guān)鍵系統(tǒng)是有效的。

當關(guān)鍵系統(tǒng)發(fā)生變更后，核設施營運單位應：

1) 核實該關(guān)鍵系統(tǒng)被部署在本導則第6.2節(jié)所敘述防御架構(gòu)的適當?shù)姆烙鶎樱?/p>

2) 進行本導則第10.2.2節(jié)所敘述的網(wǎng)絡安全影響分析；

3) 核實按照本導則第7.1節(jié)所敘述的方式實行了核安保導則HABD-004/02敘述的網(wǎng)絡安全技術(shù)控制；

4) 核實上述網(wǎng)絡安全控制按照本導則10.1.2節(jié)所敘述的過程得到了有效的執(zhí)行；

5) 核實實行了核安保導則HABD-004/03敘述的網(wǎng)絡安全運維和管理類控制，并且對該關(guān)鍵系統(tǒng)是有效的。

10.3 網(wǎng)絡安全實施計劃的檢查

核設施營運單位應定期檢查網(wǎng)絡安全實施計劃，并在必要時與《核設施實物保護與保密實施計劃》進行協(xié)同檢查。核設施營運單位應采取必要的措施和執(zhí)行規(guī)程來對網(wǎng)絡安全實施計劃要素進行自查，并對三級以上（含三級）的關(guān)鍵系統(tǒng)，委托專業(yè)測評機構(gòu)對實施計劃的有效性進行測評。核設施營運單位網(wǎng)絡安全實施計劃的檢查包括：

1) 制定和執(zhí)行包含目的、適用范圍、角色、職責、要求的檢查預案，用于檢查網(wǎng)絡安全實施計劃要素的有效性；

2) 制定和執(zhí)行促進和維護檢查網(wǎng)絡安全實施計劃的規(guī)程。

核設施營運單位應按照下述要求對網(wǎng)絡安全實施計劃進行有效性評估:

1)網(wǎng)絡安全等級為三級的核設施應每年至少進行一次評估；

2）網(wǎng)絡安全等級為四級的核設施應每半年至少進行一次評估；

3) 網(wǎng)絡安全等級為五級的核設施應根據(jù)特殊網(wǎng)絡安全需求進行評估；

4) 網(wǎng)絡安全設備與相關(guān)設施發(fā)生重大變更時，或者網(wǎng)絡安全風險和威脅評估結(jié)果表明必要時進行重新評估。

核設施營運單位應記載：(1)網(wǎng)絡安全實施計劃檢查結(jié)果，包括專業(yè)測評機構(gòu)出具的有效性評估報告；(2)整改建議、管理層關(guān)于網(wǎng)絡安全實施計劃有效性的意見；(3)為前次網(wǎng)絡安全實施計劃檢查提出的整改建議而采取的任何行動。

核設施營運單位應以可審計的形式保留這些報告, 隨時供現(xiàn)場檢查調(diào)閱,以及將計劃檢查中發(fā)現(xiàn)的問題列入場址整改行動計劃內(nèi)。

11. 文檔控制和記錄保存與處理

核設施營運單位應建立本單位網(wǎng)絡安全相關(guān)運行記錄和支持性文件的保存、利用和處置制度，制定必要的措施和執(zhí)行規(guī)程,確保編制、檢查、批準、發(fā)布、使用和更新了網(wǎng)絡安全有關(guān)物項和活動的記錄，反映已經(jīng)完成的工作。

核設施營運單位應保存的記錄包括，但不限于所有收集、記錄與分析網(wǎng)絡和關(guān)鍵系統(tǒng)事件和事故的數(shù)字記錄、日志文件、審計文件和非數(shù)字文件。保存這些記錄用于記載訪問歷史和發(fā)現(xiàn)網(wǎng)絡攻擊源或其他影響關(guān)鍵系統(tǒng)或SSEP功能或兩者的網(wǎng)絡安全相關(guān)事件。核設施營運單位應在記錄被取代后，至少將被取代部分的舊記錄保存3年。

核設施營運單位應保留記錄和支持性技術(shù)文件，確保檢查人員、審計人員或者輔助人員能夠評估網(wǎng)絡安全實施計劃所描述的、引用的或包含的事件，以及其他與網(wǎng)絡安全實施計劃各個要素相關(guān)的活動。

12. 術(shù)語

網(wǎng)絡攻擊：系指對計算機和通信系統(tǒng)與網(wǎng)絡的物理或邏輯(即電子或數(shù)字)威脅的一種表現(xiàn)形式。威脅可能來自核設施內(nèi)部或外部、或具有內(nèi)部或外部的成分、以及出自惡意的或非惡意目的; 威脅可能包含物理或邏輯的形式、直接或間接的性質(zhì); 以及威脅可能對一個關(guān)鍵系統(tǒng)造成直接或間接的不利影響或后果。網(wǎng)絡攻擊包括企圖未經(jīng)授權(quán)訪問一個關(guān)鍵系統(tǒng)的服務、資源或信息; 企圖損害一個關(guān)鍵系統(tǒng)的完整性、可用性和機密性, 或企圖對一個核設施運行安全、核安?；驊睖蕚涔δ茉斐刹焕绊?。網(wǎng)絡攻擊可能以單一攻擊或任何組合攻擊的形式出現(xiàn)。

損壞：系指喪失數(shù)據(jù)或系統(tǒng)功能的保密性、完整性或可用性。

設計基準威脅：系指對可能試圖對核設施關(guān)鍵系統(tǒng)實施網(wǎng)絡攻擊惡意行為的潛在內(nèi)部敵手和外部敵手的屬性和特征的描述。

關(guān)鍵系統(tǒng)：系指一個核設施內(nèi)或核設施外基于數(shù)字技術(shù)的，執(zhí)行核設施運行安全，對核設施運行安全、核安保、核應急準備功能重要的系統(tǒng)或與其相關(guān)系統(tǒng)。關(guān)鍵系統(tǒng)包括但不限于工控系統(tǒng)、通信系統(tǒng)、網(wǎng)絡、場外通信，或支持系統(tǒng)；或者系統(tǒng)的一個子項或一個組成部分，可能包括或含有一個數(shù)字設備、通信設備，或支持設備等。

支持設備: 直接或間接支持核設施運行安全、對核設施運行安全、核安保或應急準備功能重要的設備, 以及如果受到損害, 該設備可能對上述功能造成不利影響。支持設備的例子包括, 但不限于用以操作、測試和維修的支持設備和部件。

支持系統(tǒng): 直接或間接支持核設施運行安全、對核設施運行安全、核安保或應急準備功能重要的系統(tǒng),以及如果受到損害, 該系統(tǒng)可能對上述功能造成不利影響。支持系統(tǒng)的例子包括, 但不限于供電、供暖、通風和空調(diào)、通訊、消防系統(tǒng)等。

縱深防御: 系指部署了多層網(wǎng)絡安全措施或方法的網(wǎng)絡安全方案, 用以防止一個部件或多個保護層的同時失效。縱深防御可以用多種方式實現(xiàn)。從網(wǎng)絡安全架構(gòu)觀點出發(fā), 一種方式可以設置多層邊界保護關(guān)鍵系統(tǒng)免受到網(wǎng)絡攻擊。在采用此種方式后, 只有多種機理的保護層同時失效, 網(wǎng)絡攻擊才能進入并影響一個關(guān)鍵系統(tǒng)。因此, 縱深防御不僅使用多層邊界, 也執(zhí)行和維護一個有效的網(wǎng)絡安全實施計劃, 用于評估、保護、響應、防范、檢測和減輕對關(guān)鍵系統(tǒng)的攻擊, 并及時恢復功能。

安全域： 是為管理和實施保護措施的目的將關(guān)鍵系統(tǒng)進行分組的一種邏輯和物理管理模式。安全域的設置應：

1) 每個安全域均由對核設施的核設施運行安全、核安保和應急準備功能具有同樣或類似重要性的系統(tǒng)組成；

2) 同屬于一個安全域的關(guān)鍵系統(tǒng)對保護措施具有類似的要求，在確保安全的前提下，可建立 安全域內(nèi)部通信可信區(qū)；

3) 安全域應建立邊界，設置滿足網(wǎng)絡安全要求的數(shù)據(jù)流控制設備和措施；

4) 安全域可為改進配置的目的劃分為分安全域；

每個安全域都可以按照域內(nèi)關(guān)鍵系統(tǒng)的最高網(wǎng)絡安全要求指定一個網(wǎng)絡安全等級。如果核設施內(nèi)存在多個安全域，需要同等程度保護時，可指定為同一個網(wǎng)絡安全等級。

附件：《核設施網(wǎng)絡安全實施計劃》的內(nèi)容和格式

核設施網(wǎng)絡安全實施計劃

單位名稱： （蓋章）

日 期： 年 月 日

國家原子能機構(gòu)監(jiān)制