GB-T 43532-2023 核电厂仪表和控制系统网络安全防范管控

核电厂仪表和控制系统网络安全防范管控国家标准化管理委员会I Ⅲ 12规范性引用文件 13术语和定义 14缩略语 55通则 76安全策略及评审 7网络安全组织 8人力资源安全 9资产管理 10访问控制 11加密管理 12物理和环境安全 13运行安全 6914通信安全 9916供应商关系 17网络安全事件管理 18业务连续性管理的网络安全方面 19符合性 20核电厂-网络安全和架构 21核电厂-虚拟化环境和设施 附录A(资料性)安全管控来源 附录B(资料性)关于安全防范等级的一般考虑 附录C(资料性)安全管控详述 参考文献 Ⅲ——增加了第4章“缩略语”,将IEC63096:2020中3.2的内容调整至本文件第4章，相应章条号63096:2020中8.2.3调整为9.1.5;——用规范性引用的GB/T20985(所有部分)代替ISO/IEC27035(所有部分)(见13.6.1u)、grammedDevice""CERTComputerEmecurityAdministrators""CSMCryptographySecurityManager"Officer""CSSOComputerSnesses”"DEODevelopmentEnPositioningSystem""HDLHardwareDescriptionLanguage""HMIHuman-MachineIn-terface""IMSIntegratedManagementSystem""LANLocalAreaNetwork""NCSNuclearControlSystems""NISTNationalInstitPowerPlant""NUCNuclear""OEMOriginalEquipmentManufacturer""OSOperatingSystem""QAQualityAssurance""RefListReferencSoftware""UKUnitedKingdom""UTCCoordinatedUniversalUCSTransformationFormat""V&.VVerificationandValidation""V2020有关要求(见第5章);言);●将IEC63096:2020中关于漏洞发布的网站链接地址更改为“漏洞发布的公共网V相关导则和标准要求更改为“根据核电厂相关标准”仪表、控制和电力系统网络安全防范管——用等同采用国际标准的GB/T29246—2017替换了ISO/IEC27000:2018,并移至“参考文“ISO/IEC27036(所有部分)”“ISO/IEC27037”“ISO/IEC29100”“I——根据国家标准格式要求，删除了第6章～第21章中有关说明性内容的悬置段；——为了满足国家标准格式要求，将第6章～第21章对管控的表格式描述更改为文本描述；——删除了与仪控系统无关的描述(见IEC63096:2020的9.3.1(A)、15.1.1a)(1)];——将5.1和5.3.4中关于生命周期活动的重复性描述统一在5.1中进行了说明；——删除了5.1中“本文件适用于负责以下仪控相关工作的各方”(见IEC63096:2020的4.1);——增加了对D阶段维护子活动的补充说明(见5.1.1);——删除了5.3.1中关于附录C的文件格式的描述(见IEC63096:2020的4.3.1);——对5.3.2标题进行了简化，并将原标题的完整内容调整至正文段首(见5.3.2);——将“本文件第5章～第18章遵循了ISO/IEC27002:2013第5章～第18章”更改为“本文件第6章～第19章参考了GB/T22081—2016第5章～第18章”(见5.3.2);为注(见5.3.2);——增加了对附录C中相关符号的说明(见5.3.3);——将以列项方式描述的管控格式说明更改为段描述(见5.3.4);——根据内容将5.2标题更改为“安全防范等级、仪控工具及核安全与网络安全的协调”(见5.2);——删除了5.2.2中和重复的描述(见IEC63096:2020的4.2.2);——将5.3.2标题更改为“安全管控主要依据”(见5.3.2);——将“本文件第6章～第19章参考了GB/T22081—2016第5章～第18章，并增加了第20章和第21章”调整至5.3.2进行了统一说明(见5.3.2);——删除了重复性描述“本指南与IEC62645相符”(见IEC63096:2020的);——删除了标题中括号内的解释性内容(见IEC63096:2020的～);——删除了重复性描述“安全等级的分配过程详见IEC62645(见IEC63096:2020的);——将第6章标题更改为“安全策略及评审”(见第6章);——删除了非必要描述“应以意向读者有关的、可使用的、可理解的形式……前提下”(见IEC63096:2020的5.1.1);——删除举例性描述“如软件识别标签……16字节字符串”[见IEC63096:2020的8.1.1(D)];——删除了重复性描述“(包括仪控设备)”(见IEC63096:2020的11.2.4);——删除了重复性描述“应采取适当的、及时的措施以识别潜在的技术漏洞”(见IEC63096:2020的12.6.1);——删除了举例性描述“包括：移除设备、登录尝试失败、检测恶意软件、修改可——删除了解释性说明“虽然设备支持实物连接，但是……无法篡改仪控系统”[见IEC63096:2020的(B)];——删除了解释性说明“这样就可以检测到是否有人为了……破坏了密封”[见IEC63096:2020的——删除了对无线网络使用的有关描述[见IEC63096:2020的13.1.3(A)];——删除了解释性说明“但是，该措施的实施方式……的水平之内”[见IEC63096:2020的——删除了有关的产品示例[见IEC63096:2020的13.6.4a]];NⅡ——删除了对于无线网络参考文件的描述(见IEC63096:2020的);——删除了解释性说明“因为在该类活动期间……篡改仪控系统”[见IEC63096:2020的14.2.9——删除了重复性描述“(见上文)”[见IEC63096:2020的17.1.2(A)];——删除了关于实施工具的多余描述(见IEC63096:2020的18.1.3d)、18.2.3(A)];——删除了对于IAEA部分内容的直接引用(见IEC63096:2020的19.2);63096:2020的5.1.1(A)～5.1.1(C),~a)～12.1.3d)、12.1.3(B),12.2.1,12.3.116.1.6,17.1.1(A)～17.1.1(C),17.1.2,17.2.1,18.1.2,18.1.4,——删除了tools为“无”的内容[见IEC63096:2020的5.1.1(D),8.1.1(B)、8.1.1(C),,——删除了legacy为“无”的内容[见IEC63096:2020的8.1.1(D),8.3.4(A)、8.3.4(D)——将IEC63096:2020中的附录B更改为关于安全防范等级考虑的相关内容；——根据正文的修改情况同步调整了附录C;——考虑到适用性声明的惯用格式存在差异，删除了附录D;——考虑到网络安全人员配置在国内的实际情况，删除了附录E。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国核仪器仪表标准化技术委员会(SAC/TC30)提出并归口。本文件起草单位：华能核电开发有限公司、华能山东石岛湾核电有限公司、核安热工研究院有限公司、华能核能技术研究院有限公司、中核武汉核电运行技术股份有限公司、上海核本文件基于GB/T22081—2016的框架，对GB/T22081—201统特殊的网络安防范管控分类清单(网络安全管控的全部来源1核电厂仪表和控制系统网络安全防范管控本文件规定了核电厂仪表和控制系统(本文件中所述仪表和控制系统均指数字化仪表和控制系GB/T15474—2010核电厂安全重要仪表和控制功能分类(IEC6122GB/T22081—2016信息技术安全技术网络安全控制实践指南(ISO/IEC27002:2013,IDT)GB/T25068(所有部分)信息技术安全技术网络安全[ISO/IEC27033(所有GB/T31722—2015信息技术安全技术信息安全风险管理(ISO/IEC27005:2008,IDT)GB/T33007—2016工业通信网络网络和系统安全建立工业自动化和控制系统安全程序IEC62645:2019核电厂仪表、控制和电气系统网络安全要求(Nuclearpowerplants—In-strumentation,controlandelectricalpowersystems—CybersecurityIEC62859:2016核电厂仪表和控制系统核安全与网络安全的协调要求(NuclearpowerIEC62988核电厂安全重要仪表和控制系统无线设备的选择和使用(Nuclearpowerplants—Instrumentationandcontrolsystemsimportantto2电厂的特定仪控配置及相关应用软件。通常提供许多标准功能(如应用函数库),这些标准功能可以组仪表和控制系统I&Csystem基于电气和(或)电子和(或)可编程电子(E/E/PE)物项的系统，它执行仪表和控制功能以及与系统自身运行有关的服务和监督功能。用于对意图造成如下后果的数字攻击进行预防、检测和修正的活动和措施的集合：a)能够用于执行可导致事故、不安全情况或者电厂性能退化的恶意操作的信息泄露(保密性);b)影响仪控系统执行必要功能的能力(包括失控),从而会导致事故、不安全情况或者电厂性能退化的对功能的恶意修改(完整性);c)恶意占用或阻止信息、数据、资源的访问或交换(包括不可见),从而影响仪控系统执行必要功能的能力，导致事故、不安全状况或者电厂性能降级(可用性)。靠性等，而对信息系统(本文件中特指仪控系统)所选择并实施的技术控制、物理控制或行政控制。依据一个系统遭受网络攻击时在电厂安全和性能方面的最严重后果，分配该系统对应不同要求的安全保护等级。网络安全大纲securityprogramme为实现组织安全策略和目标，所采取的相互关联或相互作用的要素的集合，包括为实现这些目标的3流程和安全计划。识别到的一种系统、服务或网络状态的发生，表明可能违反网络安全策略或管控失效，或者一种可能与网络安全相关但还不为人知的情况。网络安全事件cybersecurityincident单一或一系列不希望或意外的，极有可能威胁核安全、电厂运行和网络安全的网络安全事态。行政控制administrativecontro通过控制人员行为来保护计算机系统的政策、程序和实践。由于技术原因或其他原因无法执行本文件强烈推荐的安全管控，或此类管控与核安全要求相矛盾，在这种情况下可以选择符合安全要求的替代的安全管控。具有关的内容。电气/电子/可编程电子物项Electrical/Electronic/ProgrammableElectronicitem;E/E/PEitem基于电气(E)和/或电子(E)和/或可编程电子(PE)技术的物项。4从一个人交换到另一个人。特定于具体核电项目的仪控系统工程建设所需要的环境，包括但不限于与组织、加固仪控系统hardenedI&C通过应用适当的安全管控减少网络安全脆弱性的仪控系统。除非有已被认可的不能执行的理由(如安全管控确实对安全功能有负面影响),否则应执行的安全可选的安全管控optionalsecuritycontrol可以实施但不是必须实施的安全管控。为了评估系统的网络安全水平，在计算机系统中授权的模拟网络攻击。5可编程数字物项programmabledigitalitem依靠仪控软件指令或可编程逻辑完成某项功能的物项。一种可用于确定角色和责任的工具，该过程不会自动进行，人们必须通过“做”某些事情来实现该安全防范区域securityzone为了便于管理、通信和保护措施的应用而对基于计算机的仪控系统进行分组。用于保护、检测、缓解和恢复入侵或其他恶意行为的硬件和/或软件解决方案。安全策略securitypolicy用于治理某一组织及其系统内管理、保护并分发影响安全及有关元素的资产(包括敏感信息)的一仪控平台和仪控系统本体安全管控securitycontrolsfortheactualI&CplatformandI&Csys-集成在已应用的仪控平台或已设计的仪控系统中的安全管控。4缩略语下列缩略语适用于本文件。A:可用性(availability)BIOS:基本输入输出系统(basicinputoutputsystem)BR:基准要求(baselinerequirement)C:保密性(confidentiality)CA:认证机构(certificateauthority)6CERT:计算机应急响应小组(computereCOTS:商品及物项(commercialoff-the-shelf)DBT:设计基准威胁(designbasisdc:检测和修正(detectionE:核电厂仪控系统工程建设(projectenginI:完整性(integrity)IACS:工业自动化控制系统(indIAEA:国际原子能机构(InternICS:工业控制系统(industrialcontrolsystem)ICS-CERT:工业控制系统-计算机应急响应小组(industrialcontrolsystem-computeremergencyICT:信息和通信技术(informationandcommunicationteID:标识符(identifier)IT:信息技术(informationtechnology)I&.C:仪表和控制(instrumentationandcontrol)NDA:保密协议(non-disclosureagreement)O:仪控系统的运行和维护(operationandmaintenanceofI&.Csystem)PC:个人计算机(personalcomputer)PIN:个人识别号码(personalidentificationnumber)PKI:公钥基础设施(publickeyinfrastructure)PLC:可编程序逻辑管控器(programmablelogicconPoC:联络点(pointofcontact)p:预防(prevention)pd:预防和检测(preventionanddeSIEM:安全事件事态监测(securitSLA:服务水平协议(serviceleSNMP:简单网络管理协议(simplenetworkmaS1:安全防范等级1级(securitydegree1)S2:安全防范等级2级(securitydegree2)S3:安全防范等级3级(securitydegree3)TID:防篡改指示器(tamper-indicatingUSB:通用串行总线(universalserialbus)75通则5.1目标用户及相关生命周期活动5.1.1仪控平台开发(D,独立于具体核电项目的仪控平台开发),包括以下活动。a)规范(系统规格书阶段)。b)详细设计和实现(硬件选择和开发；系统软件开发/编码)。c)集成(仪控平台组件集成测试阶段)。d)确认(仪控平台集成测试阶段和仪控平台发布)。e)维护(仪控平台的维护阶段)。f)退役(中止仪控平台的开发和维护)。5.1.2仪控系统工程建设(E,基于仪控平台的系统级开发),包括以下活动。a)安装和调试前的工程建设活动(E),可细分为：1)E₄:需求(针对具体项目)、规格书(针对具体项目)、详细设计和实现(针对具体项目);2)E₂:集成(场外集成);3)E,:验证(FAT);4)E.:装运至现场。b)有关安装和调试的工程建设活动(E),可细分为：1)E:安装(现场集成);2)E:调试(调试和验收测试)。5.1.3仪控系统运行和维护(O,系统级运维),包括以下活动。上述活动的责任因具体项目而异，为了使生命周期活动列表简单易读，本文件并没有明确列出所有相关验证和确认活动。如有本文件未载列的其他活动，由相关方确定该活动属于哪一类主要活动，再采取相应的安全管控。5.2安全防范等级、仪控工具及核安全与网络安全的协调5.2.1安全防范等级和基本要求本文件与其他工业网络安全标准之间的主要区别之一是防御目标不同：核电厂仪控系统执行确保核电厂安全运行的必需功能，以预防不可接受的放射性后果。因此，在核电厂中，所有的仪控系统都根据其所执行的安全功能的类别(按GB/T15474—2010执行)分配特定的安全级别。因此，IEC62645:2019采用的安全防范等级划分方法特别重视保护核安全功能，其规定了三个安全防范等级(S1、S2和S3,关于安全防范等级的分配考虑见附录B)。本文件在此基础上，定义了一种名为“BR”的基准要求，即未分配任何安全防范等级的仪控系统都应遵循安全基准要求“BR”强烈推荐的安全管控。本文件根据各个仪控系统的安全防范等级，提供了强烈推荐的以及可选的安全管控。8安全管控分类清单详见第6章～第21章。针对每个等级的安全管控分类清单构成了通用的适用控。本文件包括16个安全管控的章节，共含有37个安全管控类别以及124项管控。GB/T22081—2016是本文件中安全管控的主要依据。本文件第6章～第19章参考了GB/T22081—2016第5章～第18章，并增加了第20章和第21章。制定本文件的目标之一是使其成为一个独立的标准，无须与GB/T2209系见附录C。——D:仪控平台开发(独立仪控平台开发项目);——E:核电厂仪控系统项目实施(系统级开发);——O:仪控系统的运行和维护(系统级)。核吧安全点要仪核电安生《要仪HHMC大力的计#机数行e收复和制功核电满一城C系战核发全与作用用黄和材品师人线护图3概括了仪控平台和仪控系统本体安全管控的选择和执行过程，以及本文件与其他相关网络安核电厂仪农和控制与英绕相为m图3本体安全管控的选择和执行过程以下条款详述了有关仪控平台和仪控系统本体安全管控的选择和执行过程(见图3中带有黄色编号的圆圈):根据IEC62645:2019,应为所有仪控系统分配相应的安全防范等级；如果威胁、脆弱性或架构发生了重大变化，则应重新评估安全等级的分配，以便持续改进过程。根据“仪控平台和仪控系统”所需的安全防范等级，安全管控分类清单(见第6章～第21章)中所有适用的“仪控平台和仪控系统本体安全管控”(均带有强烈推荐的标记)都应被执行；上述安全管控在相应的安全防范等级列中用带下划线的活动(DEO)标记。通常假设本体安全管控已在D和/或E活动期间进行了相应考虑和实施，因此，仪控平台和仪控系统的技术控制通常显示为E活动和O活动，以表示其需在仪控系统“场外集成”期间进行激活/配——如果由于技术原因不能将安全管控作为仪控平台的固有部分而交付(如禁用计算机的硬件接口),并且只能由仪控系统管理人员在E活动期d)集成(场外集成);一种可能威胁和风险管理方法实践在GB/T31722—2015中进行了说明。根据IEC62645:2019,宜定期更新理。因此，安全管控清单(第6章～第21章)中适用D活动的相应管控重点关注仪控平台的开发环级，仪控平台应使用来自于安全管控分类清单(见第6章～第21章)中的被标记为适用于相应安全防范等级的针对D活动所强烈推荐的安全管控，并在仪控平台的开发环境中进行部署。在附录C的BR、理。因此，安全管控清单(第6章～第21章)中适用E活动的相应管控重点关注仪控系统的建设环级，仪控系统应使用来自于安全管控分类清单(见第6章～第21章)中的被标记为适用于相应安全防范等级的针对E活动所强烈推荐的安全管控，并在仪控系统的开发环境中进行部署。在附录C的BR、在仪控系统的集成或验证阶段(E,活动),宜在假设已实施相应安全管控措施的情况下执行特定的和风险评估结果显示存在不可接受的风险，则应增加额外的安全管控从而将风险降低到可接受的水平，安全管控分类清单中尚未被选择的管控和可继续使用的安全管控都可以作为附加的安全管控(见在仪控系统的安装或调试阶段(E,活动),宜在假设已实施相应安全管控措施的情况下执行特定的可继续使用的安全管控都可以作为附加的安全管控(见);在安装或调试阶段(E活动),将所有安全管控清单(见第6章～第21章)中适用O活动的相应管控重点关注仪控系统的“运行和维护”等级，仪控平台应使用来自于安全管控分类清单(见第6章～第21章)中的被标记为适用于相应安全防有效性，则应记录并确认原因；对于更高的安全防范等级(S1和S2),应根据IEC62645:2019和可以继续使用已经存在的安全管控，即在无法执行本文件中的某种安全管控时，可以将现有的措施用作补偿性安全管控；对于补偿性安全管控，也可以遵循安全重要仪控系统的有关安全要求(如增加单向隔离装置或实体隔离);对于继续使用或遵循的安全管控的有效性，应通过威胁和风险分析对其正式理由予以证明。对在役仪控系统执行特定的安全管控可能很难执行或无法执行，此时宜选用补偿性安全管控；对于某些安全管控，本文件从在役仪控系统的角度提供了补偿性安全管控。对于可以说明补偿性安全管控有效性的正式理由，应通过威胁和风险分析予以证明。5.5记录和可追溯性应记录所有已选择的安全管控(强烈推荐的和可选的);如果由于某种原因不选择强烈推荐的安全管控，则应给出原因说明并形成文档；在允许的情况下，应定义和记录补安全管控的有效性的理由，应通过威胁和风险分析予以证明。应保证可以追溯到已选择的和补偿性的安全管控，可追溯性应涵盖DEO各阶段活动，还需要在以下阶段检查各种安全管控是否仍然有效：a)在集成完毕之后；b)在安装完毕之后；c)当冷试完毕之后；d)在热试和验收测试完毕之后；e)在仪控系统的运行和维护期间(需要进行定期检查)。如果更改了已选择的安全管控，或增加或移除了仪控系统资产，宜保证其具有可追溯性。6安全策略及评审6.1安全策略本管控保护目标为保密性、完整性和可用性(CIA),管控重点为预防(p)。安全策略集宜被定义并由管理者批准并发布、传达给所有员工和外部相关方，其实现指南包括以下内容。a)在最高层上，组织制定一个“安全策略”,该策略获得管理层批准，并建立组织管理其网络安全目标的方法，安全策略满足在业务战略、法律法规和合同以及当前和预期的网络安全威胁环境等方面的要求。安全策略包括涉及以下内容的陈述：网络安全、目标和原则的定义，以指导与网络安全有关的一切活动；网络安全管理方面的一般和特定责任分配给已定义的角色；处理偏差和意外的过程。在较低层面，该安全策略由特定主题的分策略予以支持，这些分策略进一步强制性地规定了安全管控的实现，并通常是结构化的，以强调组织内某些目标群体需求或涵盖某些主题。厂验收测试);维护期间的仪控平台渗透测试(目的是验证技术控制的有效性和识别尚未缓解本管控保护目标为保密性、完整性和可用性(CIA),管控重——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。d)根据文件形式的策略(见6.1),按照由安全计划负责人批准的流程来执行网络安全——BR:EO;——S3:EO;——S2:EO;——S1:EO。a)对于支持网络安全大纲中的所有职位的组织及相关职责，参与仪控系统生命周期各阶段的所b)将仪控系统网络安全监督工作指派给计算机系——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。控系统供应商在网络安全方面的义务，并核实落实情况(见第16章)。本持网络安全事件管理(见第17章)或业务连续和应急计划过程(见第18章)的要求；与法规部门的联系c)当使用移动设备进行与业务有关的任何活动时进行登记，并为此详细说明移动设备的唯一标d)在授权使用移动设备之前采取加密(见第11章)和防恶意软件保护技术，以确保业务信息不被——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。f)与仪控系统相连的移动设备的使用需得到明确界定及批准。本实施项与安全防范等级和生命b)允许移动设备连接组织允许访问的信息服务和应用程序，拒绝连接或访问不在授权列表中的——BR:DE;——S3:DE₄;——S2:DE;——S1:DE。—BR:(EO);——S3:EO;——S2:EO;——S1:EOe)对于不需要与仪控系统相连的移动设备，则需及时更新其软件组件的补丁。本实施项与安全所有第三方软件对应的补丁，见13.6)。本实施项与安全防范等级和生命周期的适用性关访问(见第10章)以及移动设备与仪控系统的连接。本实施项与安全防范等级和生命周期的a)根据具体的物理和环境安全限制安排远程工作，使其与平常的工作场所限制条件相似(见第12章)。本实施项与安全防范等级和生命周期的适用性关系为：b)禁止利用核电厂项目特定的仪控系统进行远程工作。本实施——S3:(Eg)O;d)制定具体的策略和流程，以避免发生与在私有设备上开发的知识产权有关的争议a)定期对远程工作专用的企业基础设施进行维护和支持。——BR:DE₄;——S3:DE;——S2:DE;——S1:DE。a)定期为员工培训，使其了解远程工作可产生的额外风险。本实施项与安全防范等级和生命周b)执行远程工作任务的人员阅读并签署专项协议，确认其对远程工作场所的各种数据或设备的在役仪控系统处理：如果在役仪控系统装有远程维护和服务专用的数据通信线路(从核电厂外a)负责仪控平台开发、仪控系统工程建设和运营的各部门持有与网络安全有关的资产清单；制定一套策略对网络安全相关人员进行聘用前审查，并采取行动核实其是否具备特定职位所需的网络安全意识(如考察培训经历、现有证书或工作经验),核实其是否有能力承担对应职位；当为一项工作所初始任命或晋升的人员有权访问与安全防范等级为S1、S2和S3同方人员审查的过程(在这种情况下，组织和合同方的协议需规定执行审查的责任，以及当审查未完成或审查结果引起怀疑或关注时，需遵守的通告规程);被考虑录用的所有候选者的信息按照相关管辖范围内存在的合适的法律来收集和处理；依据适用的法律，将审查活——BR:(DEO);——S3:DEO;——S2:DEO;——S1:DEO。问保密信息的员工或合同方人员在给予访问系统或组资产。应为每项已识别的资产指定所属关系并分级(见9.2)。本实施项与安全防范等级和生d)组织为项目配备准确高效的资产跟踪系统。本实施项与安全防范等级和生命e)仪控系统资产信息包括实物资产的位置信息。本实施项与安全防范等级和生命周期的适用性——BR:(DEO);——S3:DEO;——S2:DEO;——S1:DEO。c)当员工或外部方用户购买了组织的设备或使用他们自己人员设备时，遵循规程确保所有相关d)当员工或外部方用户拥有的知识对正在进行的操作非常重要时，相关信息形成文件并移交给e)在终止通知期间，组织管控被终止合作的员工和合同方对相关信息(如知识产权)的非授权——BR:(DEO);——S3:DEO;——S2:DEO;——Sl:DEO。GB/T43532—2023本管控保护目标为保密性、完整性和可用性(CIA),管控重点为预防(p)。制定一套规程，用于对已识别和授权的移动介质进行访问控制，并定期审核和审查授权清单以及在系统中应用的安全规则，其实现指南包括以下内容。a)为敏感系统制定允许访问的可移动介质清单，以防意外连接潜在受病毒感染或有害的设备。本实施项与安全防范等级和生命周期的适用性关系为：本实施项的可用工具：对于USB设备，可以利用序列号标识、供应商标识和组件标识来标记。b)可移动介质白名单优先于灰名单或黑名单。本实施项与安全防范等级和生命周期的适用性关c)仪控系统根据上述列表执行过滤规则，以防进行错误的连接。本实施项与安全防范等级和生命周期的适用性关系为：本实施项的可用工具：在现有的系统中，需要对操作系统进行配置才能执行该类限制。在役仪控系统处理：在存量系统中可能无法实现这样的系统加固。d)需利用组织的规程来识别和管理可移动设备和权限，可进行使用跟踪，以便应对事故的发生。本实施项与安全防范等级和生命周期的适用性关系为：本实施项的可用工具：敏感系统专用的可移动介质应被存放在带有数字标记的上锁机柜中，并跟踪用户的访问记录。10访问控制10.1访问控制的业务要求10.1.1访问控制策略本管控保护目标为保密性、完整性和可用性(CIA),管控重点为预防(p)。宜根据个人业务应用的业务和网络安全要求，建立访问控制策略，形成文件并进行评审，其实现指南包括以下内容。GB/T43532—2023a)对电子设备间的物理访问限制为仅对服务器管理人员授权；对开仅对仪控平台的开发人员和管理员授权；对开发工作站与开发服务器的连c)为履行工作职责而访问资源库(含源代码)的开发人d)限制对仪控系统应用软件开发环境的访问。本实施项与安全防范等级和生命周期的适用性关——BR:(E)——S3:(E₂);——S2:E——S1:E。g)在安装和调试期间(在设施现场),实施对仪控系统的访问控制。本实施项与安全防范等级和维护服务器和维护设备的访问进行管理。本实施项与安全防范等级和生命周期的适用性关a)应制订源代码及工程应用软件保护策略，明确代码在组织内部应该如何处理和保护。本实施b)该保护策略解决披露敏感信息的潜在技术和法律后果。本实施项与安全防范等级和生命周期c)应只有授权人员有权访问工程应用软件数据库和项目特定资源。本实施项与安全防范等级和d)授权人员不应向未经授权的人员分享或转让源代码或应用软e)应仅限在经授权的计算机上访问和存储源代码。本实施项与安全防范等级和生命周期的适用——BR:(DEO);——S3:(DEO);——S2:DEO;——S1:DEO。m)限制参与相关工程项目的人员访问工程数据。本实施项与安全防范等级和生命周期a)在仪控平台开发和仪控系统工程建设阶段，保证项目合作单位的保密分级方案与客户的保密——BR:不适用；——S3:(D)E;——S2:DE;——S1:DE。且禁止远程维护访问和远程工作访问。本实施项与安全防范等级和生命周期的适用性关b)在仪控系统工程建设阶段，仅限在隔离的网络环境中进行访问。本实施项与安全防范等级和设备，并限制外来员工在维护期间的访问时间和权限。本实施d)限制工业仪控平台开发环境的访问权限，不允许公开访问该类资源。本e)建立办公级仪控平台开发环境的访问权限的可追溯性(并非所有资源都是可用的)。本实施项a)职责与RACI模型相符。——BR:(DEO);——S3:DEO;——S2:DEO;——S1:DEO。c)试验台负责人及其副职负责批准访问试验间及特定部件。本实施项与安全防范等级和生命周括访问指定仪控系统房间和机柜的权限。本实施项与安全防范等级和生命周期的适用性关 e)在核电厂运行或维护期间，由主控室提供许可权限。本实施项与安全防范等级和生命周期的a)仪控平台开发项目的开发人员有权访问开发网络。——BR:(D);——S3:(D);——S2:D;——S1:D。c)仅仪控系统项目成员有权访问工程环境。本实施项与安全防范等级和生命周期的适用性关d)仅必要的仪控维护和操作人员有权访问仪控系统组件。本实施项与安全防范等级和生命周期略，以明确人员访问网络和网络服务的授权流程。本实施项与安全防范等级和生命周期的适用性关以明确保护访问网络连接和网络服务的行政控制和规程。本实施项与安a)等级为S1和S2的仪控系统不b)等级为S3和BR的仪控系统不应使用无线网络。本实施项与安全防范等级和生命周期的适c)仪控系统坚持安全分区原则。本实施项与安全防范等级和生命周期的适用性关系为：a)该策略涉及访问各种网络服务的用户鉴别要求。本实施项与安全防范等级和生b)针对仪控平台和仪控系统开发环境的访问，采用双因子鉴别。本实施项c)用于访问仪控系统的双因子鉴别，不包括主控室或应急控制室的设备操作人员对工作场所仪d)运行人员访问主控室或应急控制室内仪控系统采用双关键核状况时的快速响应，因此核电厂主控室需要有高度安全2)S3;禁止4)S1:禁止。a)对仪控平台和仪控系统开发环境的网络使用情况进行监测。本实施项与安全防范等级和生命b)对仪控系统的网络使用情况进行监测。本实施项与安全防范等级和生命周期的适用性关a)只有在对于业务或操作而言必要时，才允许使用共享ID,并经过批准并形成文件。本实施项b)立即禁用或删除离开用户的ID。c)定期识别并删除或禁用冗余的用户ID。——BR:(DEO);——S3:DEO;——S2:DEO;——S1:DEO。d)确保冗余的用户ID不会发给其他用户。本实施项与安全防范等级和生命周期的适用性关a)确保授权规程完成之前，访问权未被激活(如没有被服务提供商所激活)。本实施项与安全防c)调整已变更角色和工作的用户的访问权，并立即删除或阻断已离开组织的用户的访问权。本本管控保护目标为保密性、完整性和可用性(CIA),管控重点为预防(c)定义特许访问权到期的要求。d)特许访问权赋予一个用户ID,该用户ID不同于常规业务活动所使用的那些ID,常规业务活动不应根据这一授权的ID予以执行。——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。——BR:(D)E;——S3:DE;——S2:DE;——S1:DE。c)以安全的方式将临时秘密鉴别信息提供给用户；避免使用外部方或未受保护的(明文)电子邮d)临时秘密鉴别信息对个人而言是唯一的、不可猜测的。本实施项与安全防范等e)用户对收到的秘密鉴别信息进行确认。本实施项与安全防范等级和生命周期的适用性关f)在系统或软件安装后，修改提供商的默认秘密鉴别信息。本实施项与安全防范等级和生命周a)当在同一组织中变更角色时，评审和重新分配用户的访问权。本实施项与安全防范等级和生b)对于特许访问权的授权以更频繁的时间间隔进行评审。本实施项与安全防范等级和生命周期——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。本管控保护目标为保密性(C),管控重点为预防(p)。宜要求用户遵循组织在使用秘密鉴别信息时e)个人用户的秘密鉴别信息不共享。上述a)～g)7个实施项与安全防范等级——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。a)对访问的限制基于各个业务应用要求，并符合已制定的组织访问控制策略。本实施项与安全据的修改、仪控系统诊断信息的访问等)。本实施项与安全防范等级和生命周期的适用性关本管控保护目标为保密性、完整性和可用性(CIA),管控重点为预防(p)。当访问控制策略要求 本管控保护目标为保密性、完整性和可用性(CIA),管控重点为预防(p)。口令管理系统宜采用交a)强制使用个人用户ID和口令，以维护可核查性。本实施项与安全防范等级和生命周期的适用性关系为： b)管控措施a)不适用于主控室中的操作员工作场所。本实施项与安全防范等级和生命周期的适用性关系为：c)允许用户选择和变更他们自己的口令，并且提供确认规程，以便允许输入出错的情况。本实施项与安全防范等级和生命周期的适用性关系为：d)强制选择优质口令。本实施项与安全防范等级和生命周期的适用性关系为： e)管控措施d)不适用于主控室中操作员工作场所。本实施项与安全防范等级和生命周期的适用性关系为：f)在第一次登录时强制用户变更口令。本实施项与安全防范等级和生命周期的适用性关系为：g)管控措施f)不适用于主控室中的操作员工作场所。本实施项与安全防范等级和生命周期的适j)管控措施h)不适用于主控室中的操作员工作场所。本实施项与安全防范等级和生命周期的k)维护以前使用过的口令的记录，并防止重复使用。本实施——BR:DEO;——S2:DEO;——S1:DEO。——S3:DEO——S1:DEO,术应用实现存在不可抗拒因素，则制定相应的管理措施进行针对性b)在制定加密策略时，包括保护业务信息的一般原则。本实施项与安全防范等级和生e)所采取的加密措施如果由于技术受限而无法实施加密管控措施，则采取可以保护安全目标的——S2:EO;—S1:EwO。f)管控措施a)中提及的评估包括保证安全的开发环境，防止夹杂未记录或不需要的代码(见 h)管控措施a)中提及的评估包括防止对资产的未经授权披露，在这种情况下，加密i)管控措施a)中提及的评估包括保证通信协议的兼容和通信安全，以避免预期外的连接行为(此处指的是各个独立的内部网络之间的通系统的发展，今后可能成为一个可行方案。本实施项与安全防范等级和生命周期的据进行加密(为了确保授权和保密性)等措施来实现不同的安全目标。本m)对通过移动介质、可拆卸的介质设备或通信线路传输的信息使用加密保护。本实施项与安全n)在通过移动设备或通信线路传输数据时，采用散列机制。本实施项与安全防范等级和生命周o)对于可执行程序，采用可信平台模块以确保数据在使用或执行过程中的完整性和保密性。本r)以最高的安全级别管理密钥(见11.2)。——BR:(DEO);——S3:DEO;——S2:DEO;——S1:DEO。s)公钥基础设施(PKI)可用于开发和工程环境。本实施项与安全防范等级和生命周期的适用性t)因为核电厂仪控系统不应接入互联网，所以仪控系统u)仅限负责网络安全工作的团队成员(经过适当培训且可信任)访问密钥管理系统。本实施项与w)明确为在整个组织内有效实现密码管控而采用的标准。本实施项与安全防范等级和生命周期x)分析加密后的信息对基于内容检查的管控的影响。本实施项与安全防范等级d)所有新生成的密钥都需要经过一段时间的观察，以确保能够保留密钥和受保护系——BR:(DEO);——S3:(DE)O;——S2:(DE)O;——S1:(DE)O。问网络来管理证书，所以不适合安全性要求较高的仪控系统；在仪控平台开发和工程环境h)密钥管理系统支持分发密钥给预期实体，包括在收到密钥时要如何激活。本实施项与安全防i)加密策略的制定方法见GB/T39786—2021。本实施项与安全防范等级和生命周期的适用性关系为：本实施项的可用工具：加密手册；加密技术的第三方支持/专业知识。j)密钥管理系统支持存储密钥，包括已授权用户如何访问密钥。本实施项与安全防范等级和生命周期的适用性关系为：k)密钥管理系统设置双因子鉴别。本实施项与安全防范等级和生命周期的适用性关系为： 本实施项的可用工具：密钥管理系统。1)密钥管理系统支持更改或更新密钥，包括要何时变更密钥和如何变更密钥的规则。本实施项与安全防范等级和生命周期的适用性关系为：m)留意职责划分，以确保团队成员对密钥管理的控制不超过必要范围。本实施项与安全防范等级和生命周期的适用性关系为：n)密钥管理系统支持根据规定的加密期限，更改或更新密钥及加密文件。本实施项与安全防范等级和生命周期的适用性关系为：GB/T43532—2023o)密钥管理系统支持撤销密钥，包括如何撤销或吊销密钥，如当密钥泄露或用户离开组织时(在这种情况下，密钥也要归档)。本实施项与安全防范等级和生命周期的适用性关系为：本实施项的可用工具：密钥管理系统；事故响应程序及培训计划。p)密钥管理系统支持恢复已丢失或损坏的密钥。本实施项的可用工具：备份密钥管理服务器；外部密钥托管；保密协议及备份和恢复程序。q)密钥管理系统支持备份或存档密钥。r)必要时使用可靠的外部密钥托管，通过风险分析帮助决策。本实施项的可用工具：备份密钥管理服务器；外部密钥托管；保密协议及备份和恢复程序。上述p)~r)3个实施项与安全防范等级和生命周期的适用性关系均为：——BR:(DE)O;——S3:(DE)O;——S2:DEO;——S1:DEO。s)密钥管理系统支持销毁密钥。本实施项与安全防范等级和生命周期的适用性关系为： 本实施项的可用工具：密钥管理系统和手册。t)记录和审计与密钥管理相关的活动。本实施项与安全防范等级和生命周期的适用性关系为：u)负责网络安全工作的团队成员遵守密钥管理条例，出于审计目的，并在具体实施前检查策略等相关文件。本实施项与安全防范等级和生命周期的适用性关系为：v)为密钥管理系统(包括主系统和备份系统)设置日志记录，以用于审计和取证，从而检测并记录每次访问和修改，检测并记录更改的属性。本实施项与安全防范等级和生命周期的适用性关GB/T43532—2023本实施项的可用工具：密钥管理系统中的日志功能。由合适的安全团队成员定期进行内部本管控保护目标为保密性、完整性和可用性(CIA),管控重点为预防(p)。宜定义和使用安全边a)所有仪控设备位于专门上锁的仪控间内，在任何情况下仪控间都要设置门禁保护系统。本实c)如果仪控设备无法设置在仪控间(如涡轮大厅)内，则将仪控设备安装在可上锁的机柜或可上d)确定安全边界，各个边界的设置地点和保护强度取决于边界内资产的安全要求和 f)设立人工接待区域或采用其他手段，对安全边界进行出入管理；应限制只有授权的人员才能进入安全边界内。本实施项与安全防范等级和生命周期的适用性关系为：g)对于核电厂的仪控系统，建立物理屏障以防止未授权进入和环境污染。本实施项与安全防范等级和生命周期的适用性关系为： h)对设计要求较高的核电厂，根据相关标准在安全边界的防火门及其墙体上安装报警装置，并定 h)对设计要求较高的核电厂，根据相关标准在安全边界的防火门及其墙体上安装报警装置，并定期进行测试，以建立所需的防护水平，且相关要求按消防规范安全运行。本实施项与安全防范等级和生命周期的适用性关系为：i)按照我国标准、地区或国际标准，对所有的外部门窗安装适当的安防监测系统，并进行定期测试；持续警惕空闲区域；其他区域提供掩护方法。本实施项与安i)按照我国标准、地区或国际标准，对所有的外部门窗安装适当的安防监测系统，并进行定期测试；持续警惕空闲区域；其他区域提供掩护方法。本实施项与安全防范等级和生命周期的适用性关系为：本管控保护目标为保密性、完整性和可用性(CIA),管控重点为预防(p)。宜定义和使用适合的入口控制，以确保只有授权的人员才允许访问，其实现指南包括以下内容。a)记录访客的出入时间和日期；对所有访问者予以监督，除非访问事前已经通过批准；只允许访客访问特定的、已授权的目标，并向访客说明该区域的安全要求和应急规程，访客的身份通过适当的方式进行身份验证。本实施项与安全防范等级和生命周期的适用性关系为：b)采用适当的访问控制措施(例如，可采用如门禁卡和私密PIN的双因素鉴别机制),来实现仅GB/T43532—2023c)安全地维护和监控所有访问的纸质登记册或者电子审计的追踪。——BR:(DE)O;—S3:(DE)O;——S2:(DE)O:——S1:(DE)O。和未佩戴可视标识的人员则立即通知安保人员。本实施项与安全防范等级和生命周期的适用需要被授权并受监视；可访问仪控系统的外f)对安全区域的访问权限定期地予以评审和更新，并在必要时废除(见10.2.5——BR:DEO;c)标识了开发环境、工程环境和仪控系统位置的目录和内部电话簿不应被未授权的任何人轻易本管控保护目标为保密性、完整性和可用性(CIA)b)应备份在工程建设和开发活动期间生成的所有数据；应将数据备份介质部署在距离工程和开乱及其他自然或人为灾害所造成的损害；数据备份应作为100%恢复工程和开发——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。安全区域的工作安排包括对在安全区域工作的员工和外部用户的——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。e)运进的物资按照资产管理规程(见第9章)在场所入口处进行登记。——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。a)始终将仪控系统设备(HMI设备、打印机除外)安置在可上锁的机柜或箱体(如控制器、服务器)内，也可将仪控系统设置在永久值守的房间(如主控制室)或部分值守的专门上锁的房间——BR:(EO);——S3:EO;——S2:EO;——S1:EO。c)将用于仪控平台开发或仪控系统工程建设活动的服务器安置在可上锁的机柜中，以减少被篡f)将易受攻击的打印机安置在一个永久值守的区域(如主控制室)内，否则可将打印机上锁。本 j)谨慎放置处理敏感数据的仪控系统，以减少其在使用期间信息被未授权人员窥视的风险。本k)保护仪控备件的仓储设施和仓库以防止未授权访问。本实施项与安全防范等级和生命周期的 1)保证那些需要特别保护的部件安全，以降低n)采用适当的管控，将潜在的物理和环境威胁风险降到最低。本实施项o)建立在仪控系统附近饮食和吸烟的规定。本实施项与安全防范等级和生命周期的适用性关p)监视可能对仪控系统运行状态产生负面影响的环境条件。本实施项与安全防范等级和生命周r)对于工业环境中的设备，考虑使用专门的保护方法。本实施项与安全防范等级和生命周期的s)保护处理保密信息的设备，以最小化因辐射而导致信息泄a)定期评估核电厂仪控系统配套设施的能力，以满足业务增长的需要并保持与其他支持设施的b)定期评估核电厂仪控系统配套设施的能力，以满足业务增长需要并保持与其他配套设施的交c)定期检查和测试确保其正常运行。本实施项与安全防范等级和生命周期的适用性关系为：e)如在必要时，使用多种物理途径进行多路供给。本实施项与安全防范等级和生命周期的适用 b)为了防止干扰，电源电缆与通信电缆分开。本实施项与安全防范等级和生命周期的适用性关a)按照供应商推荐的服务时间间隔和规范对设备进行维护。本实施项与安全防范等级和生命周c)保存所有仪控故障的记录(尤其是可疑故障记录),以及所有预防性和纠正性维护记录。本实e)遵从核电厂设计要求所规定的仪控维护要求。本实施项与安全防范等级和生命周期的适用性a)对授权允许将仪控资产带出办公场所的员工进行标识，外部单位的用户不应将仪控系统资产——BR:(EicO);——S3:(EicO);——S2:EicO;——S1:EicO。——S3:EwaO;——S1:EaO。f)组织场所外工作位置的控制根据风险评估确定并应用合适的控制措施[按GB/T25068(所有——BR:DE₄;——S3:DE;——S2:DE;——Sl:DE。本管控保护目标为保密性和完整性(CI),管控重点为预防(p)。相关员工尽可能不在组织场所外——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。度足以抵御暴力破解攻击；加密密钥自身的机密性能够得到保障(例如，不存储在同一磁盘本管控保护目标为保密性和完整性(CI),管控重点为预防(p)。宜确保无人值守的用户设备有适a)所有用户需要了解保护无人值守设备的安全要求和程序，以及他们对实现这种保护所负有的过使用带钥匙的锁或等效的控制(如口令访问)等，避免未经授权地访问计算机或移动设备。 d)对无人值守的监控设备进行加固处理，以免有人使用外部接口篡改设备。本实施项与安全防 其锁起来(理想情况下，在保险柜或保险箱或者其他形式的安全设备——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。增加或修改仪控系统；建立、维护和记录仪控系统的基准配置，至上述a)～h)7个实施项与安全防范等级和——BR:DEO;——S3:DEO;——S2:DEO;——S1:DEO。求以及当前的组织信息处理能力和预计的发展趋势；特别关注与订务应用或仪控系统管理工具相关的使用；管理者全或服务的潜在的瓶颈及对关键员工的依赖，并策划适当的措施。本d)优化应用逻辑或数据库查询。上述c)～e)3个实施项与安全防范等级和生命周期的适用性关系均为：——BR:DE,;——S3:DE;——S2:DE;——S1:DE。 b)定义软件从开发状态到运行状态的传送规则并形成文件。本c)开发和运行软件在不同的系统或计算机处理器上且在不同的域或目录中运行。本实施项与安d)在应用到核电厂仪控系统之前，操作系统和应用程序的变更在测试或临时环境中进行测试。e)除在特殊情况下，测试不应在a)制定禁止使用未授权软件的正式策略。本实施项与安全防范等级和生命周期的适用性关b)实施管控(如应用程序白名单),以预防或检测未经授权的软件使用情况。本实施项与安全防范等级和生命周期的适用性关系为：c)实施管控(如黑名单),以预防或检测已知或可疑的恶意网站访问。本实施项与安全防范等级和生命周期的适用性关系为：d)不允许使用仪控系统边界之外的网站。本实施项与安全防范等级和生命周期的适用性关e)建立防范风险的正式策略，该风险与来自或经由外部网络或在其他介质上获得的文件和软件相关，该策略列示需采取的保护措施。本实施项与安全防范等级和生命周期的适用性关系为：f)减少可能被恶意软件利用的脆弱性。本实施项与安全防范等级和生命周期的适用性关系为：g)定期评审支持关键业务过程的系统软件和数据内容；正式调查存在的任何未经批准的文件或未经授权的修改：本实施项与安全防范等级和生命周期的适用性关系为：h)作为预防控制措施或例行程序，安装和定期更新恶意软件检测和修复软件扫描计算机和介质；执行的扫描包括：在使用通过网络或任何形式的存储介质得到的文件前，要进行恶意软件扫描；在使用电子邮件附件前，要进行恶意软件扫描，该扫描在不同的位置进行实施；扫描网页的恶意代码。本实施项与安全防范等级和生命周期的适用性关系为：j):恶意软件扫描器适用于仪控系统的工程和诊断工具，但由于不使用仪控系统的工程和诊断工—BR:EgO;——S3:EgO;——S2:EO;——S1:EgwO。对仪控系统软件的可执行文件进行完整性检查。本实施项与安全