ICS 27. 120. 20 F 83 备案号:59598-2017 NB 中华人民共和国能源行业标准 NB/T20428-2017 核电厂仪表和控制系统计算机安全防范 总体要求 Requirements for puter security of instrumentation and control systems in nuclearpowerplants 2017-04-01发布 2017-10-01实施 国家能源局 发布
NB/T 204282017 目次 前言 II 引言. III 1范围 2规范性引用文件 3术语和定义, 4缩略语.
5制定和管理核电厂I&C系统计算机安全防范计划 5.1总体要求 5.2计划的制定.. 5.3计划的实施 5.4计划的监控和审查 12 5.5计划的维护和改进 13 6I&C系统安全防范在生命周期过程的实施 14 6.1概述... 6.2需求活动 14 6.3计划活动 14 6.4设计活动 14 6.5实现活动 14 6.6确认活动 15 6.7安装及验收测试活动 15 6.8运行及维护活动 15 6.9变更管理 16 16 6.10退役活动 16 7安全防范管控 16 7.1概述 7.2安全防范专题 16 16 附录A(资料性附录) 关于安全防范等级的一般考虑 17 附录B(资料性附录) 攻击者资料与攻击场景 参考文献, 24
NB/T204282017 前言 本标准按照GB/T1.1-2009给出的规则起草.
本标准使用重新起草法修改采用IEC62645:2014《核电厂仪表和控制系统计算机安全防范总体要 求》.
本标准与IEC62645:2014相比,在结构上删除了IEC标准的前言和引言.
本标准与IEC62645:2014的技术性差异及其原因如下: 简化了第1章的内容,使其符合GB/T1.1-2009要求: 将第1章中标准的概述和框架结构等信息写入标准的引言中: 将IEC60880:2006替换为NB/T 20054-2011: 将IEC61226替换为GB/T15474-2010; 将IEC61513替换为NB/T20026-2014; 将IEC62138替换为NB/T20055-2011: 将IEC62556替换为NB/T20300-2014: 将ISO/1EC27000-2009替换为GB/T29246-2012: 将ISO/IEC27001-2005替换为GB/T22080-2008: 将ISO/IEC27002-2005替换为GB/T22081-2008: 将ISO/IEC27005-2015替换为GB/T31722-2015: 删除了附录B和附录C.
本标准由能源行业核电标准化技术委员会提出.
本标准由核工业标准化研究所归口.
本标准起草单位:北京广利核系统工程有限公司、上海交通大学.
本标准主要起草人:张智慧、谢逸钦、江国进、孙永滨、白涛、齐敏、石桂连、黄芳、刘春明、梁 中起、赵勇、吕秀红.
I1
NB/T204282017 引言 0.1概述 本标准为基于计算机和(或)HDL可编程器件的核电厂仪表和控制(I&C)系统计算机安全防范计 划的制定、管理和实施规定了要求并提供了指南.
本标准的主要目的是为防止、检测和应对采用数字化手段针对I&C系统的恶意行为(网络攻击)规 定适当的计划措施.
网络攻击包括由下述行为引起的核电站不安全情况、设备损坏或者电厂性能退化: --影响系统完整性的恶意修改: -对信息、数据或资源恶意干扰,影响所需I&C功能的正确执行: 一对信息、数据或资源恶意干扰,影响操作员显示或导致对I&C系统操作失效: 在可编程逻辑控制器(PLC)层面对硬件、固件或软件的恶意修改.
一有效的安全防范策略需要采用分级保护机制.
本标准对受计算机安全影响的资产,根据其对核 电厂整体安全、可用性和设备保护的重要性分配不同的安全防范等级.
本标准未考虑下列事项: 一意外故障、人为失误和自然事件等非恶意行为和事件.
尤其是对于应用程序和数据的管理非常 好的一些做法,包括与意外故障相关的备份、恢复等,即使不考虑I&C系统计算机安全防范 的需要,也宜贯彻执行,这些都没有包含在本标准范围内.
注:尽管其他标准中的安全防范计划可能覆盖这些方面的内容(例如:GB/T29246-2012系列,IEC62443系 列),但本标准仅集中关注针对&C系统的数字手段恶意行为(网络攻击)的保护.
这样可以使得它与 其他覆盖了偶然故障、非蓄意人为失误、白然事件等行为的核电标准及规范具有最大的一致性和最小的 重叠性.
现场实物保护、房间门禁控制和现场安保监控系统.
这些问题尽管在本标准中没有涉及,但是它们仍然 应被核电厂操作规程和程序所遵守.
注:本标准范围未考虑这些事项,并不否认计算机安全防范明显依赖于实物环境的安全保护(例如,实物保 护、电源、采暖/通风/空调系统等)、 由于核电厂I&C系统的特殊性,包括核电厂固有的监督管理和安全要求等.GB/T22080-2008和GB/T 22081-2008类标准并不直接适用于核电厂1&C系统的计算机安全保护.
但本标准是基于GB/T22080-2008 和GB/T22081-2008中适用的高层次原则和主要的概念面制定的,并在其基础上进行了修改和完善以适 应于核电环境.
针对核电厂I&C系统的网络安全标准的特殊之处包括: 核电厂I&C系统需要遵守相关的核安全标准: 网络攻击会对核电厂设备、核电厂可靠运行或核电厂安全带来巨大有害影响,井且可能会对周边人 群、核电厂人员和环境造成重大影响: 网络攻击的目标通常是设备和工艺过程,但也可能包括I&C系统.
I&C系统也有可能被用作攻击 途径: 由于网络攻击导致的核电厂I&C系统不可用,有可能将核电厂置于不可接受的不安全状态,并增 加发生核事故的可能性: 网络攻击的结果可能使得关键性设备,如汽轮发电机组或主变压器损坏或退化,因面可能产生昂贵 III
NB/T204282017 的修理费用并导致核电厂长期不可运行: 核电厂需要在高的安全水平下运行,并且需要能够对紧急情况作出迅速、实时的响应,为此,操纵 员要能够对输入和可用数据作出快速反应,这依赖于信息的可用性.
相比于其他的工业设施,对核设施进行网络攻击导致的可能损害、造成的潜在影响要大得多.
因此, 尽管现有的和将来的工业网络安全保护标准能够为核电厂提供一些有用的信息和程序,但是制定一个专 用的针对于核电厂的网络安全标准仍然是十分必要的.
0.2框架结构 第5章描述了计划层的安全防范的生命周期.
它的方法与GB/T22080一2008中所描述的规划-实施- 第6章描述了系统层的安全防范的生命周期: 第7章描述了控制层的安全防范专题.
它的结构与GB/T22081-2008(GB/T22080-2008.附录A) 的组织方式相一致.
NB/T20026一2014规定了整个I&C系统架构安全生命周期,以及单个系统安全生命周期的概念.
作 为整体框架的一部分,NB/T20026-2014要求制定一个总体安全防范计划,对程序性的和技术性的措施 做出规定,以保护I&C系统免遭危及重要安全功能的数字攻击.
总体安全防范计划的条款对支持A类、 B类或C类功能(按GB/T15474一2010的定义)的系统要求有所不同,并包括对电子和物理访问控制的 规定、本标准中按照NB/T20026一2014中的要求,对总体安全防范计划提供了更为详细的需求.
NB/T20054-2011和NB/T20300-2014中提供了支持A类功能系统的软件的安全防范附加要求; NB/T20055一2011中提供了支持B类和C类功能系统的软件的安全防范附加要求.
本标准还包括了那些不在NB/T20026-2014、NB/T20054-2011、NB/T 20055-2011和 NB/T20300一2014范围之内,但是对核电厂设备、可用性和性能有潜在影响的I&C系统的安全防范要求.
AI
