0 引言

　　作為核能發(fā)電的主要場地，核電廠的安全至關重要，應牢牢把握和深入貫徹落實習近平總書記關于核電行業(yè)“安全發(fā)展、創(chuàng)新發(fā)展”的重要指示，在提升核工業(yè)核心競爭力的同時，守住核安全，在外部環(huán)境、設備設施、人員管理等諸多方面嚴格把關，建立健全技術和管理體系，保障核電廠的網(wǎng)絡安全準入建設，促進核能的可持續(xù)發(fā)展。

　　然而，隨著新型信息技術的引入，核電廠網(wǎng)絡安全受到了一定的沖擊，比如核電儀控系統(tǒng)在向智能化、數(shù)字化方向發(fā)展的過程中，安全風險系數(shù)隨之增大[1]，并且在核電網(wǎng)絡安全設備、軟件、人員等的準入管理方面也存在諸多問題，這就給核電廠帶來更大的安全隱患，因此應當明確問題所在，并針對問題做好應對措施。在設備正式投入使用之前，需要經(jīng)過多個環(huán)節(jié)，其中值得重點關注的是一些關鍵節(jié)點存在的安全問題。首先，采購是必不可少且十分重要的一步，它對于設備的質(zhì)量、后續(xù)進程能否順利推進具有決定性作用；其次，在選定采購的設備后，需要對其質(zhì)量、功能、性能等進行測試，確保有安全合格證明才能進入下一步；第三，設備的運行涉及使用前接入、使用中運維設備接入等方面，無論是哪種接入，若存在安全隱患，都會對運行環(huán)境造成直接影響；最后，從采購到正式運行，必有人員的全程參與，因此人員的安全意識必須要提高。為此，下面從采購、測試、設備接入和人員四方面簡要列舉可能存在的問題：

　　(1)采購。采購是產(chǎn)品入廠前必備的關鍵步驟，而這其中也通常具備一些問題：招標時對內(nèi)容的控制度不夠，對招標企業(yè)的篩選和甄別不詳細[2]，驗收時產(chǎn)品質(zhì)量不過關，交付時間無法保證，造成工程進度緩慢甚至停滯的狀態(tài)[3]，這些都會影響整個供應鏈的運行，勢必對設備的最終質(zhì)量造成影響。此外，采購流程的不完善、監(jiān)管不力、供應商證明材料的真實性確認等，都是采購過程中可能會出現(xiàn)的問題。

　　(2)測試。測試開始前，需要進行測試申請，同時檢查物理環(huán)境、軟硬件環(huán)境、測試大綱等必需文件、人員及其信息等進行檢查，如若疏漏或檢查不徹底，就會影響測試進度和結(jié)果，增加潛在的安全風險[4]。

　　(3)設備接入。首先對于設備接入而言，可能存在的問題包括：接入時需交付的文件或內(nèi)容不全，接入驗收團隊的組成不全面，接入程序不完善，在接入過程中發(fā)現(xiàn)的問題未得到及時處置等，若不妥善處理這些問題，就會直接威脅到核設施的安全。其次在對設備進行運維時，往往會接入運維設備，特別是對于專業(yè)性較強的核電系統(tǒng)，一般由廠家進行操作，一些安全病毒便會隨著運維設備接入及操作過程中的不注意而進入系統(tǒng)中，比如設備接入不規(guī)范、接入系統(tǒng)前未對電腦進行惡意代碼查殺、非法外聯(lián)、未經(jīng)授權(quán)進行操作等，都會帶來較大的安全風險。

　　(4)人員。人員是必不可少的因素，會參與到供應鏈的每個層面，對于人員方面而言，常存在的問題有：采購時對技術參數(shù)等內(nèi)容要求不仔細，測試時對執(zhí)行項的遺漏[5]，接入時對文件清單檢查不認真，不按照制度履行工作職責，技術經(jīng)驗不足，安全意識淡薄等。此外，在外來人員訪問時，未對外來人員及其攜帶物品進行細致的檢查，未經(jīng)授權(quán)隨意進行操作等，都會給予黑客進行攻擊的機會。

　　對于這些核安全問題，國內(nèi)外紛紛出臺多項法律法規(guī)、政策標準來進行約束和管理[6-8]，例如，美國基于NIST系列標準中的NIST SP800-82和NIST SP800-53，制定了RG5.71和RG1.152，這是專屬于核電網(wǎng)絡的標準，RG5.71提出了針對核設施的管理方案，RG1.152則對數(shù)字系統(tǒng)生命周期的各個階段進行了說明；反應堆核儀器分技術委員會也發(fā)布了IEC系列標準，如IEC62645、IEC62859、IEC63096，分別對核電系統(tǒng)的計算機安全程序管理和防范、核安全和網(wǎng)絡安全間的關系、核電儀控系統(tǒng)網(wǎng)絡安全控制提出相應的要求。我國也頒布了多個文件，如《中華人民共和國網(wǎng)絡安全法》《關鍵信息基礎設施保護條例》，2018年四部委提出針對核電行業(yè)的《關于進一步加強核電運行安全管理的指導意見》，2020年核安全局發(fā)布的《核動力廠網(wǎng)絡安全技術政策》等，但是并沒有針對核電廠工控網(wǎng)絡安全的相關標準，故還需進一步完善政策體系。

　　本文結(jié)合《GB/T 22239-2019 信息安全技術 網(wǎng)絡安全等級保護基本要求》[9]標準中關于準入方面的要求，重點針對核電廠網(wǎng)絡安全設備產(chǎn)品的采購、測試、上線前接入、運維設備、外來人員等過程的準入問題進行探究，并在實際場景中提出可行的解決方案。

本文詳細內(nèi)容請下載：http://www.jysgc.com/resource/share/2000005208

作者信息：

李  實1，王紹杰2，萬佳蓉2，衣  然2

(1.大亞灣核電運營管理有限責任公司，廣東 深圳518000；2.華北計算機系統(tǒng)工程研究所，北京100083)