RG5.71导则在国内核设施网络安全领域应用探讨.docVIP

RG5.71导则在国内核设施网络安全领域应用探讨 　　摘 要 RG 5.71 《Cyber Security Programs for Nuclear Facilities》是美国核管会根据联邦法规（the Code of Federal Regulation）中对于计算机、通信系统和网络的保护需求，针对核设施而制定的计算机安保方面的导则。RG5.71主要从组织机构、技术、运行和管理等方面描述了针对信息网络的威胁、漏洞和攻击需采用的对策和防护技术。导则不仅提出了针对核设施信息网络安全的监管要求，同时也提供了一个切实可行的核设施信息网络安全的解决方案。本文将对RG5.71导则的内容进行简介，并重点探讨该导则在国内核设施信息网络安全方面的应用。 　　关键词 RG5.71；核设施；信息网络安全 　　中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2018）206-0129-02 　　随着国家以及电力行业一系列信息网络安全文件、导则的发布，同时由于“工业化”“信息化”两化融合对传统工业控制系统带来的技术革新，核电领域的信息网络安全工作日益受到关注，相关监管要求日益严格，核设施如何有效地进行信息网络安全方面的防护工作成为一个重要课题。 　　目前，国内针对核设施信息网络安全方面的导则、规范仍相对匮乏，而欧美国家在信息网络安全领域起步较早，许多国家已经建立了针对核设施信息网络安全方面的导则、文件。例如RG？5.71？《Cyber？ Security？Programs？for？Nuclear？Facilities》是美国核管会根据联邦法规（the？Code？of？Federal？ Regulation）中对于计算机、通信系统和网络的保护需求，针对核设施而制定的计算机安保方面的导则。该导则主要从组织机构、技术、运行和管理等方面描述了针对信息网络的威胁、漏洞和攻击应采用的对策和防护措施。 　　1 RG5.71内容简介 　　1.1 通用要求 　　RG5.71要求核设施建立相应的网络安全计划以描述如何执行信息网络安全相关法律、法规的要求，使核设施关键数字计算机、通信系统和网络受到充分保护，避免这些系统、设备受到网络攻击。网络安全计划应包含：关键数字资产的识别、网络安全计划实施维护、网络安全的设计、深度防御策略（保护、检测、响应和恢复）、文档化的管理制度、安全意识培训、网络安全风险评估和管理、配置管理和文档管理等要素。 　　1.2 组织机构 　　RG5.71描述了应建立一个网络安全团队（CST），确定其角色、职责、授权和职能关系。主要包括： 　　1）网络安全程序主管人员，应为厂址高级管理层成员，并被赋予对网络安全程序全面责任和问责权，并能为网络安全程序的制定、执行和维护提供必要的资源。 　　2）网络安全程序负责人，主要负责以下方面。 　　（1）监督网络安全操作； 　　（2）归口联络网络安全所有事项； 　　（3）对网络安全相关事项进行监督和指导； 　　（4）需要时启动和协调网络安全事件响应小组职能； 　　（5）在网络安全事件和事故发生前后，负责与相关部门联络工作； 　　（6）批准和监督网络安全计划及有关程序制定、执行和维护； 　　（7）组织和实施网络安全意识教育、培训活动。 　　3）网络安全专家。 　　（1）保护关键数字资产（CDA）免受网络威胁； 　　（2）配置、操作和维护网络安全设备； 　　（3）掌握核设施网络操作系统总体架构、软硬件平台、操作系统等网络特性； 　　（4）开展数字系统的网络安全评估，对关键数字资产（CDA）进行网络安全审计、脆弱性?y评、网络扫描和渗透测试等； 　　（5）在关键数字资产（CDA）损坏后进行事故调查； 　　（6）维持和提高网络安全领域的专业技能和知识水平； 　　（7）作为应急响应机构的主要指导者和领导者。 　　除上述人员外，应成立相应的网络安全事件响应机构（CSIRT），包括：安保、操作、工程、应急准备和其他支持部门的相关人员。 　　1.3 技术控制 　　RG5.71描述了应在识别关键数字资产（CDA）的基础上，采取纵深防御保护策略，建立网络安全分区，控制数据流向，并在边界上采用防御措施等技术措施。同时，导则提出了一系列包括：访问控制、审计和问责、通信保护、识别和认证、系统加固、操作控制等综合防护的控制措施。 　　另外，导则还要求核设施应配置必要的评估工具，对现场系统进行漏洞扫描、渗透测试等薄弱性评估测试。 　　1.4 管理控制 　　RG5.71在管理控制方面针对系统服务和采购、持续监测和安全评估、策略和规程、变更控制、记录保留及处理等系统生命周期管理方面提出了相关的监管要求。 　　2 RG5.71导则的应用 　　RG5.71导则不