核设施网络安全运维和管理类控制（试行）.docVIP

国原发〔2020〕3号附件 核安保导则HABD-004/03 核设施网络安全运维和管理类控制 （试行） 国家原子能机构2020年9月7日批准发布 国家原子能机构 北京 2020 核设施网络安全运维和管理类控制 （试行） 本导则由国家原子能机构负责解释 目 录 TOC \o 1-2 \h \u 1. 引言 1 1.1 目的 1 1.2 依据 1 1.3 范围 1 2. 介质保护 2 2.1 介质保护方针和规程 2 2.2 介质访问控制 2 2.3 介质标签/标识 3 2.4 介质存储 3 2.5 介质运输 3 2.6 介质的清除和销毁 3 3. 人员安全 4 3.1 人员安全方针和规程 4 3.2 人员的离职或换岗 4 4. 系统和信息完整性 5 4.1 系统和信息完整性方针和规程 5 4.2 脆弱性修复 5 4.3 恶意代码防护 6 4.4 监视工具和技术 7 核设施营运单位应： 7 4.5 网络安全警报及公告 9 4.6 网络安全功能验证 10 4.7 软件和信息的完整性 11 4.8 信息输入限制 11 4.9 错误处理 12 4.10 信息输出处理和保存 12 4.11 预期失效响应 12 5. 维护 13 5.1 系统维护方针和规程 13 5.2 维护工具 13 5.3 执行维护和测试活动人员 14 6. 物理和环境保护 15 6.1 物理和环境保护方针及规程 15 6.2 第三方/被陪同访问 15 6.3 物理和环境保护 15 6.4 物理访问认证 16 6.5 物理访问控制 16 6.6 传输媒介的访问控制 17 6.7 显示媒介的访问控制 17 6.8 监视物理访问 17 6.9 访客控制和记录 17 7. 防御策略 18 8. 纵深防御 18 9. 事故响应 22 9.1 事故响应方针和规程 23 9.2 事故响应培训 24 9.3 事故响应测试和综合演习 25 9.4 事故处理 25 9.5 事故监控 28 9.6 事故报告 28 9.7 事故响应支持 28 9.8事故响应计划 29 10. 应急计划和备份与恢复 29 10.1 应急计划方针和规程 29 10.2 应急计划 30 10.3 应急计划测试 31 10.4 应急计划培训 32 10.5 备份的备用存储场址和地点 32 10.6 关键系统备份: 33 10.7 恢复与重建 34 11.1 网络安全意识和培训 34 11.2 意识培训: 34 11.3 技术培训 36 11.4 专业网络安全培训 37 11.5 跨职能的网络安全团队 38 11.6 态势感知 39 11.7 反馈 39 11.8 网络安全培训记录 39 11.9 与网络安全机构和组织的联络 39 11.10 角色和职责 39 12. 配置管理 39 12.1 配置管理 39 12.2 配置管理方针和规程 40 12.3 基线配置 40 12.4 配置变更控制 41 12.5 变更和环境对网络安全的影响分析 42 12.6 变更的访问限制 42 12.7 配置设置 43 12.8 最小功能 44 12.9 部件库存 44 13. 系统和服务采购 45 13.1 系统及服务采购方针和规程 45 13.2 供应链保护 45 13.3 诚信 46 13.4 网络安全能力整合 46 13.5 开发商网络安全测试 47 13.6 核设施营运单位测试 50 14. 威胁评估和风险管理 52 14.1 威胁和脆弱性管理 52 14.2 风险缓解 53 14.3 整改行动计划 54 15. 术语 54 PAGE 2 核设施网络安全运维和管理类控制 1. 引言 1.1 目的 本导则对核设施营运单位制定、运行和维护《网络安全等级保护实施计划》（下称“网络安全实施计划”）, 采取必要的运维和管理控制提供指导, 使得能够实现核设施网络安全等级保护的总体目标，确保关键系统免受设计基准威胁所规定的网络攻击危害而造成下述后果: 1) 对数据和软件完整性或机密性产生不利影响； 2) 拒绝访问系统、服务或数据产生的不利影响； 3) 对系统、网络和相关设备运行的不利影响。