中美核设施工业控制系统网络安全监管研究

2022-03-23杨安义晋宏博于大鹏

自动化仪表 2022年3期

杨安义,晋宏博,于大鹏

(生态环境部核与辐射安全中心，北京 100084)

0 引言

随着信息技术的进步和两化融合的发展，数字化网络技术在核能领域得到广泛应用。在提高生产效率的同时，也打破了核设施系统结构的封闭性和物理独立性，引发网络攻击风险。近年来，针对核设施的、有组织或有政府背景的网络攻击频见报端，给人们敲响了网络安全的警钟。本文聚焦中美两国核设施工业控制系统网络安全问题，从监管模式、法律体系和技术标准等方面进行分析研究，为新时期加强我国核设施工业控制系统网络安全监管提供借鉴和建议。

1 美国核设施工业控制系统网络安全监管现状

1.1 监管框架

民用核设施作为美国国家关键基础设施之一，由美国核管会负责日常安全监督管理。民用核设施的网络安全监管工作，由美国核管会联合国土安全部、能源部等其他联邦政府机构，在美国国家关键基础设施网络安全监管框架下组织展开[1]。

在监管框架中，美国总统通过总统行政办公室及所属的白宫网络安全办公室发布国家网络安全战略和政策，管理国家网络安全事务。联邦政府中的国土安全部、司法部和国防部等部门负责国家网络安全相关职责的协同落实。其中：美国国土安全部负责联邦信息系统和关键基础设施的整体网络安全工作，牵头建立全国范围内跨部门、跨行业的网络安全协调管理机制，以加强网络安全防护体系建设、处理网络安全事件、挖掘系统安全漏洞和共享网络威胁情报等[2-4]；美国司法部(联邦调查局)负责网络威胁情报收集和打击网络犯罪工作；国防部(网络司令部)主要负责保护国家军事网络安全和网络作战工作；美国商务部(国家标准技术研究院，即NIST)负责制定相关网络安全标准指南；美国能源部主要负责美国联邦政府能源政策制定、能源行业管理、能源相关技术研发以及武器研制等；美国核管会主要负责研究制定核设施网络安全监管相关法律法规和技术标准，加强核设施网络安全防护体系建设，定期开展网络安全监督检查和应急演练等工作。

美国国家网络安全监管框架如图1所示。

图1 美国国家网络安全监管框架Fig.1 U.S.National cybersecurity regulatory framework

1.2 法律法规

早期计算机安全话题主要关注计算机系统和信息系统安全。“9·11事件”以后，美国政府陆续出台多部法律法规，将网络安全纳入国家安全的范畴，强化国家网络安全建设，在网络安全防护理念和战略上逐渐实现了从“系统防护”到“关键基础设施综合防护”的转变。

2002年，《联邦信息安全管理法案》《国土安全法》和《关键基础设施信息保护法》等一系列法律法规相继发布，标志着美国新时期加强国家网络安全建设的开始。通过立法，美国提出关键基础设施保护的概念，明确关键基础设施的保护范围和责任分工，确立在联邦政府与私营部门之间建立网络安全信息共享机制，为将由私营部门运营的关键基础设施纳入联邦政府监管提供了法律依据[5-6]。

为落实相关法律，美国核管会于2002年发布法令EA-02-026《核电厂临时保障措施和安全补偿措施》，要求核设施持证单位考虑并解决网络安全漏洞相关问题。2003年，美国核管会发布法令EA-03-086《核辐射损害设计基准威胁》，将网络攻击纳入核设施设计基准威胁考虑范畴。

2005年，美国《能源政策法案》修改发布。针对核设施安全监管，该法案提出了修订设计基准威胁时需要考虑的12个因素。其中，网络攻击威胁也列为重要的因素。2007年，美国核管会完成设计基准威胁最终修订，将网络攻击也纳入设计基准威胁中，并在联邦法规10 CFR 73.1《实物保护的目的和范围》中发布。

2009年，联邦法规10 CFR 73.54《数字计算机和通信系统与网络保护》发布。法规要求：“核电站应为数字计算机和通信系统、网络提供充分保护，确保核设施的安全相关、安全重要功能和应急准备功能(safety security and emergency preparedness，SSEP)不受包括设计基准威胁的网络攻击。”该法规明确提出核设施持证单位的网络安全计划将作为持证许可条件之一，必需经过美国核管会审核批准，从而将核设施网络安全正式纳入许可监管范围。

2013年，奥巴马政府发布21号总统令《提高关键基础设施的安全性和弹性》和第13636 号行政令《改善关键基础设施的网络安全》，将网络攻击定位为美国重要关键基础设施面临的最严重的威胁之一；提出实施更新版的《国家基础设施保护计划，NIPP 2013》[7]，以进一步提高美国国家关键基础设施的安全性和弹性；授权NIST制定相关安全标准，为落实NIPP 2013提供技术支撑。该计划由美国国土安全部牵头，通过政企合作建立信息共享机制，成立各级协调委员会，明确政府机构、行业协会组织和私营业主等各个利益相关方的角色和责任，确定了16类关键基础设施网络安全保护的国家目标和优先事项。同时，该计划指定每类关键基础设施行业网络安全工作的负责机构，共同制定行业专项计划，以实现国家网络安全战略在各个行业的落实和协调发展。如美国国土安全部是核行业的指定负责机构，负责牵头建立协调委员会，落实行业保护计划。该计划保持每四年更新一次[8-9]。

2015年，美国国土安全部在美国核管会的协助下完成《国家基础设施保护计划-核行业专项计划》第二版。专项计划根据核行业的独特运行条件和风险状况，提出了加强核设施网络安全和弹性的5项总体目标、9项重点工作和15项具体活动。该计划为核行业提高网络安全和弹性设定了方向。

1.3 标准体系

为保障网络安全相关法律法规要求落实，美国NIST、美国国土安全部、美国核管会等机构发布了多项标准和指南。美国网络安全标准指南如表1所示。这些标准涵盖了信息系统安全保护和关键基础设施网络安全防护的各个方面。

表1 美国网络安全标准指南Tab.1 U.S.Cybersecurity standards guide

为落实10 CFR 73.54有关核设施网络安全的要求，美国核管会于2010年发布导则RG 5.71[10]《核设施网络安全大纲》。RG 5.71是在国土安全部指导下，借鉴了国际自动化学会、NIST和IEEE等标准组织的研究成果，以NIST SP 800-82[11]和NIST SP 800-53[12]标准的网络安全防御体系架构和安全控制策略为基础，并根据核行业特点进行适当裁剪形成的核设施网络安全监管指南。RG 5.71的提出，为核能行业落实核设施网络安全问题提供了一致的标准规范。RG 5.71所参考的NIST SP 800-53 和SP 800-82是应用于计算机信息系统和工业控制系统网络安全的两个通用性、基础性标准，基于人们熟知的威胁-漏洞-风险评估的网络安全管理理念，被广泛采纳和使用。

2011年，美国核管会修改发布RG 1.152[13]《核电厂安全系统中计算机使用准则》第三版：删除了有关网络安全、攻击方面的监管立场要求，以消除与10 CFR 73.54中网络安全要求之间的冲突；将RG 1.152的监管重点放在为数字安全系统建立安全的开发和运行环境，以减少数字安全系统潜在的弱点或漏洞，保证系统的可靠性。

为保障NIPP 2013计划的有效实施，NIST于2014年发布《改进关键基础设施网络安全框架》[14]。框架提供了一套促进关键基础设施保护的标准、指南和最佳实践，具有灵活、可重复、成本效益高的特点，以帮助关键基础设施的所有者和运营商管理网络安全相关风险。框架依赖既有的各种安全标准和指南，以保持技术中性化，有利于缓和美国政府和私营企业之间针对网络安全监管的矛盾。框架作为关键基础设施安全风险管控的一种“通用语言”，促进关键基础设施网络安全问题的多方交流和沟通协调，保障NIPP 2013计划的有效实施。

在核设施网络工业控制系统安全问题上，国土安全部和美国核管会、私营部门之间建立了合作伙伴关系，分享网络漏洞和安全防护信息，制定了《国家基础设施保护计划-核行业专项计划》，提高了核设施的整体安全防护能力。可以说，RG 5.71标准为核行业解决核设施网络安全风险提供了解决方案，提高了核设施抵御网络攻击的能力。而NIPP 2013的计划实施，则是从国家和行业更宏观层面，着眼提升关键基础设施的安全性和弹性，强调协调、合作和共享，提升了整体防护能力。

1.4 小结

美国政府将网络安全纳入国家安全战略，相继出台多项网络安全法律法规和技术标准，形成了较为完备的监督管理机制、信息共享机制和标准规范体系。

在保护理念上，从单一信息系统保护扩展到整体关键基础设施保护，有利于明确保护重点、突出整体安全概念。

在保护战略上，美国汲取了IEC/ISO 27001风险管理和COBIT信息安全治理的思想，注重从组织使命、管理体系和业务流程上进行安全优化，将网络安全管理纳入到组织整体安全管理，注重威胁情报共享和态势感知，以强化整体安全性和弹性能力建设[15]。

在核设施网络安全方面，美国核管会会同美国国土安全部等联邦政府部门，通过完善相关法律法规、明确监管要求，将核设施网络安全威胁及时纳入监管范围；同时，结合技术发展和核设施行业特点，研究、制定具有可操作性的网络安全解决方案，指导和监督核设施持证单位落实。关键基础设施网络安全保护的概念迅速发展，也推动了核设施网络安全监管进入一个新的阶段。

2 我国核设施工业控制系统网络安全监管

2.1 监管框架

作为国家安全的重要组成部分，我国高度重视网络安全和核安全问题，长期以来已形成了行业主管和跨部门协同监管的监管模式。

全国人民代表大会是我国最高国家权力机关，行使国家立法权，负责制定国家网络安全领域的相关法律。中央网络安全和信息化委员会办公室(国家互联网信息办公室)负责统筹协调国家网络安全工作和相关监督管理工作，是我国网络安全相关工作的最高管理机构。我国国家网络安全监管框架如图2所示[16]。

图2 我国国家网络安全监管框架Fig.2 China’s cybersecurity regulatory framework

在政府层面，公安部负责全国计算机信息系统安全等级保护工作，具体包括组织制定系统等级保护标准，监督检查等级保护标准落实和查处网络违法犯罪等工作。国家保密局负责涉密信息系统和密码安全管理工作。工业和信息化部负责网络强国建设相关工作，以及国家关键信息基础设施保护和网络信息安全保障体系建设工作。国家国防科技工业局是我国核行业主管部门，承担我国和平利用原子能事业的管理规划和核材料管制以及核安保工作。国家原子能机构是我国核工业主管部门，负责核领域政府间及与国际组织的交流与合作，并牵头负责国家核事故的应急管理工作。国家能源局是我国核电主管部门，负责核电厂电力生产安全监督管理。国家核安全局是我国核安全监管部门，负责制定核安全有关的法律法规和政策标准，独立行使核设施核安全监督管理工作[17]。

2.2 法律法规

对核设施网络安全问题的关注，最早见于国家发展改革委员会14 号令和国家能源局36号文相关要求。14号令关注电力监控系统的信息安全管理，但并没有涉及到核电工控系统网络安全问题。36号文根据电力系统特点，结合国家等级保护要求，提出了落实14号令的系统安全防护总体方案。其中涉及核电工控系统网络安全的内容较少，同时对核电工控系统的特点考虑不足[18]。

我国核设施网络安全相关法律法规如表2所示。

表2 我国核设施网络安全相关法律法规Tab.2 China’s network security-related laws and regulations of nuclear facilites

2017年，《中华人民共和国网络安全法》颁布，首次将网络安全等级保护制度上升到法律层面，同时提出了保障关键信息基础设施运行安全的概念，要求“应在网络安全等级保护制度的基础上，实行重点保护”。

2021年9月，国务院745号令《关键信息基础设施安全保护条例》正式发布实施，要求对关系国家安全、国计民生、公共利益的重要网络设施和信息系统等实行重点保护，以进一步维护关键信息基础设施安全和网络安全。

2018年，国家四部委联合发布《关于进一步加强核电运行安全管理的指导意见》。指导意见第八条明确指出，将网络安全纳入核电安全管理体系，要求各核电厂开展网络安全能力建设，做好网络等级保护测评和评估工作，以保障核电厂网络安全。

2020年12月16日，国家核安全局与国家原子能机构联合印发《核动力厂网络安全技术政策》通知，要求各核电厂营运单位加强对核电厂网络安全风险的监测和管理，并建立网络安全大纲并定期审查，以提高核电厂网络安全水平。

2.3 标准体系

目前，我国核设施持证单位在网络安全保护方面，主要依据《中华人民共和国网络安全法》要求落实等级保护相关标准，同时也参考了其他相关标准。按制定和发布主体，标准可分为信息安全标准系列、工业自动化系统安全标准系列和核仪器仪表安全标准系列这三个标准系列。其中，信息安全标准系列又细分为网络安全等级保护标准和工业控制系统安全标准两类。国内网络安全标准体系如表3所示。

表3 国内网络安全标准体系Tab.3 Domestic network security standards system

网络安全等级保护标准是我国网络安全领域较为全面、发展较快的一套通用标准，在《中华人民共和国网络安全法》中也明确提出落实要求，具体标准可分为安全等级、安全要求、安全实施和安全测评四大类，涉及系统和网络安全建设的分级、整改、测评和运行各个方面。2019年5月，网络安全等级保护标准2.0版正式实施。该标准将云计算、大数据、物联网、工业控制系统和移动互联网纳入保护对象，并制定了相应的安全要求，扩展了标准的适用范围。

工业控制系统安全标准基于我国信息系统分等级保护的思想，借鉴了NIST SP 800-82/53和IEC 62443等相关标准相关理念，是针对我国工业控制系统的安全标准。

工业自动化系统安全标准从工业控制系统和产品的角度，提出基于工控产品的网络安全解决方案。该标准参考了IEC 62443系列标准，目前还存在标准体系不全、可操作性不强的问题。

TC 30负责全国核仪器仪表等专业领域标准化工作。其制定的核电网络安全标准NB/T 20428—2017《核电厂仪表和控制系统计算机安全防范总体要求》，翻译修改自IEC 62645-2014《核电厂-仪控系统中基于计算机系统的安全大纲要求》。IEC 62645标准是针对核设施仪控系统计算机安全的国际标准，在国际核电领域得到广泛应用。

在我国核安全监督管理实践中，2004年国家核安全局发布HAD 102/16《核动力厂基于计算机的安全重要系统软件》，为核动力厂基于计算机的安全重要系统软件在生存周期各个阶段进行安全论证提供指导，用于验证基于计算机的安全重要系统的软件安全性和可靠性。近几年，相关职能单位相继发布了《关于进一步加强核电运行安全管理的指导意见》《核动力厂网络安全技术政策》等政策指导意见，体现了国家加强核设施网络安全管理的政策导向。但在具体导则和技术标准落地方面，还需进一步落实。

2.4 小结

目前，我国核设施工业控制系统网络安全工作得到有关部门高度重视，相关法律法规体系和监管要求逐步完善，职责分工逐步明确，标准体系逐步完善。特别是网络等级保护标准，已成为实质上强制标准[19-20]。网络安全防护工作整体处于快速发展的阶段。

同时，相关从业人员也应该清醒认识到，加强核设施网络安全工作是一项庞大的系统工程。目前，在核设施网络安全建设方面，还存在网络安全意识不足、安全责任落实不力、标准规范不统一、安全整改落地难、安全防护能力不高等问题，亟待进一步加强。

3 思考与建议

我国核工业起步相对较晚，核设施网络安全监管体系建设相对落后，技术和人员力量相对薄弱，在运核设施关键系统软硬件以进口设备和产品为主，受合同协议、技术专利和适用标准体系等因素影响，系统中存在一定的技术“黑盒”和网络安全“盲区”；同时，现有工业控制系统架构设计理念多源自二十世纪六、七十年代，强调功能可靠性和实时性，主要安全策略为物理隔离、纵深防御和设备核安全分级，难以对当下流行的网络威胁提供足够的防御能力。对此，本文提出以下几点建议。

①加强我国核设施网络安全监管体系建设和流程设计。在核设施网络安全监管领域，美国已建立一套比较成熟完备法律标准体系和监管体系。相比而言，我国针对核设施的网络安全监管起步较晚，需要在国家整体网络安全监管框架指导下，进一步完善相关法律法规和标准体系，厘清企业主体、主管部门和监管部门的网络安全职责分工，明确企业的网络安全主体责任，明确核设施网络安全监管要求。以《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》的颁布实施为契机，逐渐实现从“系统防护”到“关键基础设施综合防护”的网络安全防护理念转变，提高核设施核行业的综合安全防护能力，以实现全面的、有重点的防护。

②加强核设施网络安全联合技术攻关和人才力量建设。为应对日益严峻的网络安全威胁对美国国土安全的威胁，美国联邦政府建立跨政府部门和行业的协调合作机制，涵盖大学、研究院和国家实验室等科研机构，开展有针对性的科学研究和攻防实验，分析网络安全漏洞，破解技术瓶颈问题，实现网络威胁情报共享和技术保障能力突破。这一点对现阶段加强我国核设施网络安全建设具有一定的借鉴意义。核设施工业控制系统的网络安全问题涉及到核技术、自动化控制技术、网络信息安全技术等多个交叉学科，需要创新技术合作机制，加强技术人才引进和培养，整合国家、行业和整个产业链条的优势技术力量开展联合技术攻关，加强重难点技术问题的研究和解决，为提升我国核设施的整体网络安全水平奠定基础。

③加强核设施网络安全标准体系建设。美国核管会以NIST SP 800-53和NIST SP 800-82等网络安全标准为依据，结合美国核设施行业特点，以监管导则RG 5.71的形式提出了核设施网络安全问题的监管立场，形成了法规-导则-标准的层级化监管体系，具有较强的可操作性。在我国核设施网络安全监管方面，相关职能和监管部门相继发布多项政策指导意见，但目前尚缺乏相应配套安全标准体系，政策要求落地困难。随着国家网络安全等级保护标准2.0的出台，建议以国家网络安全等级保护标准为基本依据，借鉴和参考国内外其他安全标准，结合我国核设施行业发展现状，积极开展等级保护标准在核行业适用性研究，形成具有可操作性、可落地的网络安全标准体系。

④核心技术突破和创新是解决网络安全问题的根本。核设施网络安全问题，实质上是信息技术迅猛发展与控制系统安全架构陈旧落后之间的矛盾。当前主流的安全解决方案是通过增加一系列的安全防护设备来提高系统的安全性，属于权宜之计。从长期来看，解决核设施工业控制系统网络安全问题，要在我国核设施关键系统和设备自主化国产化进程中，不断汲取先进的网络安全理念，综合利用各种新型安全技术，从强化系统安全架构设计入手，研制具有内生安全性和本质安全性的新一代控制系统。