中美核設施工業控制系統網絡安全監管研究

楊安義,晉宏博,于大鵬

(生態環境部核與輻射安全中心，北京 100084)

0 引言

隨著信息技術的進步和兩化融合的發展，數字化網絡技術在核能領域得到廣泛應用。在提高生產效率的同時，也打破了核設施系統結構的封閉性和物理獨立性，引發網絡攻擊風險。近年來，針對核設施的、有組織或有政府背景的網絡攻擊頻見報端，給人們敲響了網絡安全的警鐘。本文聚焦中美兩國核設施工業控制系統網絡安全問題，從監管模式、法律體系和技術標準等方面進行分析研究，為新時期加強我國核設施工業控制系統網絡安全監管提供借鑒和建議。

1 美國核設施工業控制系統網絡安全監管現狀

1.1 監管框架

民用核設施作為美國國家關鍵基礎設施之一，由美國核管會負責日常安全監督管理。民用核設施的網絡安全監管工作，由美國核管會聯合國土安全部、能源部等其他聯邦政府機構，在美國國家關鍵基礎設施網絡安全監管框架下組織展開[1]。

在監管框架中，美國總統通過總統行政辦公室及所屬的白宮網絡安全辦公室發布國家網絡安全戰略和政策，管理國家網絡安全事務。聯邦政府中的國土安全部、司法部和國防部等部門負責國家網絡安全相關職責的協同落實。其中：美國國土安全部負責聯邦信息系統和關鍵基礎設施的整體網絡安全工作，牽頭建立全國范圍內跨部門、跨行業的網絡安全協調管理機制，以加強網絡安全防護體系建設、處理網絡安全事件、挖掘系統安全漏洞和共享網絡威脅情報等[2-4]；美國司法部(聯邦調查局)負責網絡威脅情報收集和打擊網絡犯罪工作；國防部(網絡司令部)主要負責保護國家軍事網絡安全和網絡作戰工作；美國商務部(國家標準技術研究院，即NIST)負責制定相關網絡安全標準指南；美國能源部主要負責美國聯邦政府能源政策制定、能源行業管理、能源相關技術研發以及武器研制等；美國核管會主要負責研究制定核設施網絡安全監管相關法律法規和技術標準，加強核設施網絡安全防護體系建設，定期開展網絡安全監督檢查和應急演練等工作。

美國國家網絡安全監管框架如圖1所示。

圖1 美國國家網絡安全監管框架Fig.1 U.S.National cybersecurity regulatory framework

1.2 法律法規

早期計算機安全話題主要關注計算機系統和信息系統安全?！?·11事件”以后，美國政府陸續出臺多部法律法規，將網絡安全納入國家安全的范疇，強化國家網絡安全建設，在網絡安全防護理念和戰略上逐漸實現了從“系統防護”到“關鍵基礎設施綜合防護”的轉變。

2002年，《聯邦信息安全管理法案》《國土安全法》和《關鍵基礎設施信息保護法》等一系列法律法規相繼發布，標志著美國新時期加強國家網絡安全建設的開始。通過立法，美國提出關鍵基礎設施保護的概念，明確關鍵基礎設施的保護范圍和責任分工，確立在聯邦政府與私營部門之間建立網絡安全信息共享機制，為將由私營部門運營的關鍵基礎設施納入聯邦政府監管提供了法律依據[5-6]。

為落實相關法律，美國核管會于2002年發布法令EA-02-026《核電廠臨時保障措施和安全補償措施》，要求核設施持證單位考慮并解決網絡安全漏洞相關問題。2003年，美國核管會發布法令EA-03-086《核輻射損害設計基準威脅》，將網絡攻擊納入核設施設計基準威脅考慮范疇。

2005年，美國《能源政策法案》修改發布。針對核設施安全監管，該法案提出了修訂設計基準威脅時需要考慮的12個因素。其中，網絡攻擊威脅也列為重要的因素。2007年，美國核管會完成設計基準威脅最終修訂，將網絡攻擊也納入設計基準威脅中，并在聯邦法規10 CFR 73.1《實物保護的目的和范圍》中發布。

2009年，聯邦法規10 CFR 73.54《數字計算機和通信系統與網絡保護》發布。法規要求：“核電站應為數字計算機和通信系統、網絡提供充分保護，確保核設施的安全相關、安全重要功能和應急準備功能(safety security and emergency preparedness，SSEP)不受包括設計基準威脅的網絡攻擊?！痹摲ㄒ幟鞔_提出核設施持證單位的網絡安全計劃將作為持證許可條件之一，必需經過美國核管會審核批準，從而將核設施網絡安全正式納入許可監管范圍。

2013年，奧巴馬政府發布21號總統令《提高關鍵基礎設施的安全性和彈性》和第13636 號行政令《改善關鍵基礎設施的網絡安全》，將網絡攻擊定位為美國重要關鍵基礎設施面臨的最嚴重的威脅之一；提出實施更新版的《國家基礎設施保護計劃，NIPP 2013》[7]，以進一步提高美國國家關鍵基礎設施的安全性和彈性；授權NIST制定相關安全標準，為落實NIPP 2013提供技術支撐。該計劃由美國國土安全部牽頭，通過政企合作建立信息共享機制，成立各級協調委員會，明確政府機構、行業協會組織和私營業主等各個利益相關方的角色和責任，確定了16類關鍵基礎設施網絡安全保護的國家目標和優先事項。同時，該計劃指定每類關鍵基礎設施行業網絡安全工作的負責機構，共同制定行業專項計劃，以實現國家網絡安全戰略在各個行業的落實和協調發展。如美國國土安全部是核行業的指定負責機構，負責牽頭建立協調委員會，落實行業保護計劃。該計劃保持每四年更新一次[8-9]。

2015年，美國國土安全部在美國核管會的協助下完成《國家基礎設施保護計劃-核行業專項計劃》第二版。專項計劃根據核行業的獨特運行條件和風險狀況，提出了加強核設施網絡安全和彈性的5項總體目標、9項重點工作和15項具體活動。該計劃為核行業提高網絡安全和彈性設定了方向。

1.3 標準體系

為保障網絡安全相關法律法規要求落實，美國NIST、美國國土安全部、美國核管會等機構發布了多項標準和指南。美國網絡安全標準指南如表1所示。這些標準涵蓋了信息系統安全保護和關鍵基礎設施網絡安全防護的各個方面。

表1 美國網絡安全標準指南Tab.1 U.S.Cybersecurity standards guide

為落實10 CFR 73.54有關核設施網絡安全的要求，美國核管會于2010年發布導則RG 5.71[10]《核設施網絡安全大綱》。RG 5.71是在國土安全部指導下，借鑒了國際自動化學會、NIST和IEEE等標準組織的研究成果，以NIST SP 800-82[11]和NIST SP 800-53[12]標準的網絡安全防御體系架構和安全控制策略為基礎，并根據核行業特點進行適當裁剪形成的核設施網絡安全監管指南。RG 5.71的提出，為核能行業落實核設施網絡安全問題提供了一致的標準規范。RG 5.71所參考的NIST SP 800-53 和SP 800-82是應用于計算機信息系統和工業控制系統網絡安全的兩個通用性、基礎性標準，基于人們熟知的威脅-漏洞-風險評估的網絡安全管理理念，被廣泛采納和使用。

2011年，美國核管會修改發布RG 1.152[13]《核電廠安全系統中計算機使用準則》第三版：刪除了有關網絡安全、攻擊方面的監管立場要求，以消除與10 CFR 73.54中網絡安全要求之間的沖突；將RG 1.152的監管重點放在為數字安全系統建立安全的開發和運行環境，以減少數字安全系統潛在的弱點或漏洞，保證系統的可靠性。

為保障NIPP 2013計劃的有效實施，NIST于2014年發布《改進關鍵基礎設施網絡安全框架》[14]?？蚣芴峁┝艘惶状龠M關鍵基礎設施保護的標準、指南和最佳實踐，具有靈活、可重復、成本效益高的特點，以幫助關鍵基礎設施的所有者和運營商管理網絡安全相關風險?？蚣芤蕾嚰扔械母鞣N安全標準和指南，以保持技術中性化，有利于緩和美國政府和私營企業之間針對網絡安全監管的矛盾?？蚣茏鳛殛P鍵基礎設施安全風險管控的一種“通用語言”，促進關鍵基礎設施網絡安全問題的多方交流和溝通協調，保障NIPP 2013計劃的有效實施。

在核設施網絡工業控制系統安全問題上，國土安全部和美國核管會、私營部門之間建立了合作伙伴關系，分享網絡漏洞和安全防護信息，制定了《國家基礎設施保護計劃-核行業專項計劃》，提高了核設施的整體安全防護能力?？梢哉f，RG 5.71標準為核行業解決核設施網絡安全風險提供了解決方案，提高了核設施抵御網絡攻擊的能力。而NIPP 2013的計劃實施，則是從國家和行業更宏觀層面，著眼提升關鍵基礎設施的安全性和彈性，強調協調、合作和共享，提升了整體防護能力。

1.4 小結

美國政府將網絡安全納入國家安全戰略，相繼出臺多項網絡安全法律法規和技術標準，形成了較為完備的監督管理機制、信息共享機制和標準規范體系。

在保護理念上，從單一信息系統保護擴展到整體關鍵基礎設施保護，有利于明確保護重點、突出整體安全概念。

在保護戰略上，美國汲取了IEC/ISO 27001風險管理和COBIT信息安全治理的思想，注重從組織使命、管理體系和業務流程上進行安全優化，將網絡安全管理納入到組織整體安全管理，注重威脅情報共享和態勢感知，以強化整體安全性和彈性能力建設[15]。

在核設施網絡安全方面，美國核管會會同美國國土安全部等聯邦政府部門，通過完善相關法律法規、明確監管要求，將核設施網絡安全威脅及時納入監管范圍；同時，結合技術發展和核設施行業特點，研究、制定具有可操作性的網絡安全解決方案，指導和監督核設施持證單位落實。關鍵基礎設施網絡安全保護的概念迅速發展，也推動了核設施網絡安全監管進入一個新的階段。

2 我國核設施工業控制系統網絡安全監管

2.1 監管框架

作為國家安全的重要組成部分，我國高度重視網絡安全和核安全問題，長期以來已形成了行業主管和跨部門協同監管的監管模式。

全國人民代表大會是我國最高國家權力機關，行使國家立法權，負責制定國家網絡安全領域的相關法律。中央網絡安全和信息化委員會辦公室(國家互聯網信息辦公室)負責統籌協調國家網絡安全工作和相關監督管理工作，是我國網絡安全相關工作的最高管理機構。我國國家網絡安全監管框架如圖2所示[16]。

圖2 我國國家網絡安全監管框架Fig.2 China’s cybersecurity regulatory framework

在政府層面，公安部負責全國計算機信息系統安全等級保護工作，具體包括組織制定系統等級保護標準，監督檢查等級保護標準落實和查處網絡違法犯罪等工作。國家保密局負責涉密信息系統和密碼安全管理工作。工業和信息化部負責網絡強國建設相關工作，以及國家關鍵信息基礎設施保護和網絡信息安全保障體系建設工作。國家國防科技工業局是我國核行業主管部門，承擔我國和平利用原子能事業的管理規劃和核材料管制以及核安保工作。國家原子能機構是我國核工業主管部門，負責核領域政府間及與國際組織的交流與合作，并牽頭負責國家核事故的應急管理工作。國家能源局是我國核電主管部門，負責核電廠電力生產安全監督管理。國家核安全局是我國核安全監管部門，負責制定核安全有關的法律法規和政策標準，獨立行使核設施核安全監督管理工作[17]。

2.2 法律法規

對核設施網絡安全問題的關注，最早見于國家發展改革委員會14 號令和國家能源局36號文相關要求。14號令關注電力監控系統的信息安全管理，但并沒有涉及到核電工控系統網絡安全問題。36號文根據電力系統特點，結合國家等級保護要求，提出了落實14號令的系統安全防護總體方案。其中涉及核電工控系統網絡安全的內容較少，同時對核電工控系統的特點考慮不足[18]。

我國核設施網絡安全相關法律法規如表2所示。

表2 我國核設施網絡安全相關法律法規Tab.2 China’s network security-related laws and regulations of nuclear facilites

2017年，《中華人民共和國網絡安全法》頒布，首次將網絡安全等級保護制度上升到法律層面，同時提出了保障關鍵信息基礎設施運行安全的概念，要求“應在網絡安全等級保護制度的基礎上，實行重點保護”。

2021年9月，國務院745號令《關鍵信息基礎設施安全保護條例》正式發布實施，要求對關系國家安全、國計民生、公共利益的重要網絡設施和信息系統等實行重點保護，以進一步維護關鍵信息基礎設施安全和網絡安全。

2018年，國家四部委聯合發布《關于進一步加強核電運行安全管理的指導意見》。指導意見第八條明確指出，將網絡安全納入核電安全管理體系，要求各核電廠開展網絡安全能力建設，做好網絡等級保護測評和評估工作，以保障核電廠網絡安全。

2020年12月16日，國家核安全局與國家原子能機構聯合印發《核動力廠網絡安全技術政策》通知，要求各核電廠營運單位加強對核電廠網絡安全風險的監測和管理，并建立網絡安全大綱并定期審查，以提高核電廠網絡安全水平。

2.3 標準體系

目前，我國核設施持證單位在網絡安全保護方面，主要依據《中華人民共和國網絡安全法》要求落實等級保護相關標準，同時也參考了其他相關標準。按制定和發布主體，標準可分為信息安全標準系列、工業自動化系統安全標準系列和核儀器儀表安全標準系列這三個標準系列。其中，信息安全標準系列又細分為網絡安全等級保護標準和工業控制系統安全標準兩類。國內網絡安全標準體系如表3所示。

表3 國內網絡安全標準體系Tab.3 Domestic network security standards system

網絡安全等級保護標準是我國網絡安全領域較為全面、發展較快的一套通用標準，在《中華人民共和國網絡安全法》中也明確提出落實要求，具體標準可分為安全等級、安全要求、安全實施和安全測評四大類，涉及系統和網絡安全建設的分級、整改、測評和運行各個方面。2019年5月，網絡安全等級保護標準2.0版正式實施。該標準將云計算、大數據、物聯網、工業控制系統和移動互聯網納入保護對象，并制定了相應的安全要求，擴展了標準的適用范圍。

工業控制系統安全標準基于我國信息系統分等級保護的思想，借鑒了NIST SP 800-82/53和IEC 62443等相關標準相關理念，是針對我國工業控制系統的安全標準。

工業自動化系統安全標準從工業控制系統和產品的角度，提出基于工控產品的網絡安全解決方案。該標準參考了IEC 62443系列標準，目前還存在標準體系不全、可操作性不強的問題。

TC 30負責全國核儀器儀表等專業領域標準化工作。其制定的核電網絡安全標準NB/T 20428—2017《核電廠儀表和控制系統計算機安全防范總體要求》，翻譯修改自IEC 62645-2014《核電廠-儀控系統中基于計算機系統的安全大綱要求》。IEC 62645標準是針對核設施儀控系統計算機安全的國際標準，在國際核電領域得到廣泛應用。

在我國核安全監督管理實踐中，2004年國家核安全局發布HAD 102/16《核動力廠基于計算機的安全重要系統軟件》，為核動力廠基于計算機的安全重要系統軟件在生存周期各個階段進行安全論證提供指導，用于驗證基于計算機的安全重要系統的軟件安全性和可靠性。近幾年，相關職能單位相繼發布了《關于進一步加強核電運行安全管理的指導意見》《核動力廠網絡安全技術政策》等政策指導意見，體現了國家加強核設施網絡安全管理的政策導向。但在具體導則和技術標準落地方面，還需進一步落實。

2.4 小結

目前，我國核設施工業控制系統網絡安全工作得到有關部門高度重視，相關法律法規體系和監管要求逐步完善，職責分工逐步明確，標準體系逐步完善。特別是網絡等級保護標準，已成為實質上強制標準[19-20]。網絡安全防護工作整體處于快速發展的階段。

同時，相關從業人員也應該清醒認識到，加強核設施網絡安全工作是一項龐大的系統工程。目前，在核設施網絡安全建設方面，還存在網絡安全意識不足、安全責任落實不力、標準規范不統一、安全整改落地難、安全防護能力不高等問題，亟待進一步加強。

3 思考與建議

我國核工業起步相對較晚，核設施網絡安全監管體系建設相對落后，技術和人員力量相對薄弱，在運核設施關鍵系統軟硬件以進口設備和產品為主，受合同協議、技術專利和適用標準體系等因素影響，系統中存在一定的技術“黑盒”和網絡安全“盲區”；同時，現有工業控制系統架構設計理念多源自二十世紀六、七十年代，強調功能可靠性和實時性，主要安全策略為物理隔離、縱深防御和設備核安全分級，難以對當下流行的網絡威脅提供足夠的防御能力。對此，本文提出以下幾點建議。

①加強我國核設施網絡安全監管體系建設和流程設計。在核設施網絡安全監管領域，美國已建立一套比較成熟完備法律標準體系和監管體系。相比而言，我國針對核設施的網絡安全監管起步較晚，需要在國家整體網絡安全監管框架指導下，進一步完善相關法律法規和標準體系，厘清企業主體、主管部門和監管部門的網絡安全職責分工，明確企業的網絡安全主體責任，明確核設施網絡安全監管要求。以《中華人民共和國網絡安全法》和《關鍵信息基礎設施安全保護條例》的頒布實施為契機，逐漸實現從“系統防護”到“關鍵基礎設施綜合防護”的網絡安全防護理念轉變，提高核設施核行業的綜合安全防護能力，以實現全面的、有重點的防護。

②加強核設施網絡安全聯合技術攻關和人才力量建設。為應對日益嚴峻的網絡安全威脅對美國國土安全的威脅，美國聯邦政府建立跨政府部門和行業的協調合作機制，涵蓋大學、研究院和國家實驗室等科研機構，開展有針對性的科學研究和攻防實驗，分析網絡安全漏洞，破解技術瓶頸問題，實現網絡威脅情報共享和技術保障能力突破。這一點對現階段加強我國核設施網絡安全建設具有一定的借鑒意義。核設施工業控制系統的網絡安全問題涉及到核技術、自動化控制技術、網絡信息安全技術等多個交叉學科，需要創新技術合作機制，加強技術人才引進和培養，整合國家、行業和整個產業鏈條的優勢技術力量開展聯合技術攻關，加強重難點技術問題的研究和解決，為提升我國核設施的整體網絡安全水平奠定基礎。

③加強核設施網絡安全標準體系建設。美國核管會以NIST SP 800-53和NIST SP 800-82等網絡安全標準為依據，結合美國核設施行業特點，以監管導則RG 5.71的形式提出了核設施網絡安全問題的監管立場，形成了法規-導則-標準的層級化監管體系，具有較強的可操作性。在我國核設施網絡安全監管方面，相關職能和監管部門相繼發布多項政策指導意見，但目前尚缺乏相應配套安全標準體系，政策要求落地困難。隨著國家網絡安全等級保護標準2.0的出臺，建議以國家網絡安全等級保護標準為基本依據，借鑒和參考國內外其他安全標準，結合我國核設施行業發展現狀，積極開展等級保護標準在核行業適用性研究，形成具有可操作性、可落地的網絡安全標準體系。

④核心技術突破和創新是解決網絡安全問題的根本。核設施網絡安全問題，實質上是信息技術迅猛發展與控制系統安全架構陳舊落后之間的矛盾。當前主流的安全解決方案是通過增加一系列的安全防護設備來提高系統的安全性，屬于權宜之計。從長期來看，解決核設施工業控制系統網絡安全問題，要在我國核設施關鍵系統和設備自主化國產化進程中，不斷汲取先進的網絡安全理念，綜合利用各種新型安全技術，從強化系統安全架構設計入手，研制具有內生安全性和本質安全性的新一代控制系統。

4 結論

核設施工業控制系統網絡安全問題是新形勢下世界各國核行業面臨的新挑戰、新問題。美國在核技術和信息網絡技術研究利用方面走在全世界的前列，其加強核設施網絡安全監管的諸多做法值得認真思考和借鑒。

加強我國核設施工業控制系統網絡安全建設，需要進一步提高思想認識，加強監管體系建設和技術科研攻關，通過健全法律法規、建立標準規范和開展監督檢查等多種手段，增強全行業網絡安全意識，提高網絡安全保障能力，從而有效提升我國核設施的網絡安全水平。