标准规范下载简介

NB／T 20428-2017 核电厂仪表和控制系统计算机安全防范总体要求.pdf简介：

NB/T 20428-2017《核电厂仪表和控制系统计算机安全防范总体要求》是中国核能行业的技术标准，它为核电厂的仪表和控制系统中的计算机安全防范工作提供了指导。该标准主要关注以下几个方面：

1. 安全性要求：该标准规定了核电厂计算机系统必须达到的安全等级，包括物理安全、网络安全、数据安全等，以防止未经授权的访问、破坏或盗窃数据。

2. 风险评估：要求对计算机系统的潜在安全威胁进行评估，包括内部操作风险、外部攻击风险、自然环境风险等，以便制定相应的防范措施。

3. 安全设计：对计算机系统的架构、网络配置、数据存储和处理等方面提出了安全设计规范，以保证系统的稳定性和安全性。

4. 安全控制措施：规定了包括访问控制、审计追踪、安全更新和应急响应等在内的多种安全控制措施。

5. 人员培训和管理：强调了对系统操作人员的安全意识培训和安全管理，以确保所有人员能够正确理解和执行安全规定。

6. 监控和改进：要求定期对计算机安全防范措施进行审查和更新，以适应不断变化的安全威胁。

总的来说，NB/T 20428-2017标准是核电厂在保证仪表和控制系统的高效运行的同时，确保其计算机系统的安全稳定，防止任何可能对核设施安全产生影响的事件发生。

NB／T 20428-2017 核电厂仪表和控制系统计算机安全防范总体要求.pdf部分内容预览：

在最终设计阶段，安全防范评估应确保完全覆盖了整个I&C架构

应按照所需遵循的标准针对I&C系统规定的安全防范要求开展验证和确认（V&V）测试。此外，测 试应对I&C安全防范设计（包括硬件架构、外部通信设备及未授权的通信通道配置）和系统完整性进行 验证。安全防范要求及配置项的确认应属于系统整体需求及设计配置项确认的一部分。每一项系统安全 防范措施都应进行确认，以确保所实现的系统不会增加安全防范漏洞风险，并且不会降低核安全功能的 可靠性。

DB34／ 2710-2016标准下载6.7安装及验收测试活动

针对规定的安全防范要求的安装及验收测试应与电厂特定的策略及程序以及电厂I&C系统安 计划（如果有的话）保持一致。在安装完成时，应在运行环境中对系统进行测试，以对I&C系统 范措施及其按照设计整合入系统的正确性进行验证和确认。

NB/T 204282017

6. 8. 1运行及维护时的变更控制

在运行及维护阶段，应定期开展安全防范措施审查。在进行任何系统修改或维护活动之前，应对受 影响的部件进行评估以确认所有的保护措施及设计要素仍将发挥作用。在这些修改或维护活动完成之 后，任何临时闭锁的安全防范保护措施和管制都应得到恢复，并对安全防范功能进行验证。基于计算机 的工具的安全防范要求见5.2.3.2.7。

6.8.2定期的风险及安全防范管控再评估

变更管理过程应遵循电厂规程、法规要求和（或）取证时的承诺（如果有的话） 符合性以及配置控制。因可能对安全防范措施产生影响，在任何变更实施之前，都应进行风险评估。应 对考虑的变更执行批准程序。 作为最低要求，在任何变更执行前，应基于风险评估考虑其对安全防范的影响并进行文档记录。对 于任何新的已确定风险的处理应通过分析论证以说明适当的措施已经就位或将以适当的方式实现。 由电厂人员或第三方进行的未授权的或无文档记录的网络配置或特性变更会使I&C系统计算机安 全防御模型的完整性失效。因此，应对设计及维护活动进行仔细控制以防止此类违规情况的发生。

I&C系统退役阶段应首先是电厂管理的职责。 一个持续有效的计划应包含生命周期的退役阶段。应制定程序以恰当处理I&C系统设备退役以及以 受控方式废置介质及其内含的软件，以避免敏感信息泄露。另外，如果需要的话，应针对为一个系统退 役而进行的预各活动，如在役系统与新系统的双机运行，制定安全防范措施。

本章提供了在核电广I&C环境下，在按照 安全防范管控的一些具体考虑。本章的内容按照GB/T22081一2008和GB/T22080一2008附录A所涵 盖的十一个安全防范专题进行组织。 注：GB/T22081一2008使用术语"安全防范类别”（securitycategories）。在本标准的框架内，首选术语"安全防范专 "（securitythematicarea）以避免与"安全类别（safetycategories）发生混淆。

7.2. 1安全防范策略

要求的前提下，为核电厂管理层提供针对I&C系统安全防范的指导及支持

NB/T204282017

电厂管理层应通过发布、实施及管理一个全厂安全防范策略，设定一个明确的、与法规要求及整体 安全防范要求（包括公司安全防范策略、实物保护以及网络安全防范）一致的策略方向。

7.2.2组织安全防范

组织安全防范的目的是对设施内I&C系统的安全防范进行管理。 应建立一个管理框架，以便在I&C系统生命周期的所有阶段启动并控制I&C系统安全防范计划的实 施。此框架应考虑不同的I&C系统及其相关专家们在知识基础、威胁问题以及运行考虑方面的差异。如 果组织能够提供支持的话，应为现场的安全防范专业人员提供支持。 应确定并建立与外部安全防范专业人员及团队（包括监管部门）的联系及技术交流。与这些资源进 行交互合作应是安全防范管理过程的一个组成部分

资产管理的目的是实现并保持适当的资产保护，以确保核电厂的安全运行及性能，并满足相关的法 律及法规要求。 全部资产应进行登记，并且有一个对其负责任的所有者。 应明确符合适当管控要求的维护及运行责任。尽管在合适的情况下适当的管控措施可由所有者委派 他人实施，但所有者应对资产的适当保护及其功能负责。所有者应对保持资产与法规要求的一致性负责， 并确保资产和相应的管控措施得以按照系统安全防范计划恰当地确定、评估及维护。所有者应负责对资 产的风险部件和薄弱环节的整体水平进行恰当的评估（在第5章所详述），并确保对资产采取了适当且 有效的保护措施。所有者还应负责确保新的和突发的威胁不会影响资产按规定运行并达到系统风险评估 所要求的程度。

7.2.4人力资源安全防范

人力资源安全防范的目的是确保员工、合同商以及获授权的第三方知晓其职责，能适于并合格地承 担为其所考虑的和（或）分配的职能，并降低设施遭到盗窃、伪冒、误用或是有意破坏的风险。 安全防范职责应在聘用之前，在工作岗位说明和劳动条款、条件中进行规定。应利用持续的培训、 宣传以及教育计划以降低潜在的计算机安全风险。应建立正式的安全防范违规处置程序。 对所有职位、合同商以及授权第三方的候选人都应进行充分的筛查，特别是对（但不限于）敏感的 职位更应如此。聘用手续应遵循适用的法律和法规，并尽可能利用相关机构或与之合作进行背景调查。 在聘用之前，员工、合同商以及获授权第三方应签订协议，声明同意其安全防范角色及职责。 应采用持续进行的人员可信程序识别潜在的问题。 在对员工、合同商以及授权第三方重新委派或终止聘用时，应向其简述需要继续执行的安全防范要 求并获得其书面同意。一旦员工或第三方合同商聘用终止或重新委派时，其对设备、设施和资源的访问 权限应被终止，所有设备应立即归还并终止设备的访问权限。 重新委派应与终止旧聘任并开始一个新职位聘任按同样方式处理。可以例外的是在经过背景审查 新的委派所要求的访问等级是相同的或是更低级别的。

实物保护不属本标准的范围。尽管如此，应认识到I&C系统计算机安全防范的基本方面及基础有赖 于遵循法律及法规要求实施的实物安全防范及实物保护

7.2.6通信及运行管理

通信及运行管理的目的是确保设施正确地并在安全防范状态下运行

NB/T204282017

应规定I&C系统在遭受攻击的情况 下设施的管理和运行职责及程序，包括建立适当的运行规程。核 电厂的安全及可靠运行需要该设施具体的、准确的运行规程，而这些都应与计算机安全防范要求相结合。

7. 2. 7 访问控制

访问控制的目的是控制针对核电厂I&C系统的信息及运行的逻辑访问。 安全防范等级（见5.2.3.1.3的规定）应作为所需要的访问控制等级的的基准。访问控制既应考虑为 信息传播和授权所规定的策略，也应考虑运行时的访问限制。 访问控制不应阻止操纵员或其他合法用户所要采取的安全或控制动作，或使其功能退化。

T／CECA-G 0011-2016 照明系统应用效果及节能效果评价7.2.8I&C系统采购、研发及维护

在I&C系统采购、研发及维护过程中实施安全防范的目的是确保系统按照与它们的安全防 汇手级 应的满足安全防范要求的适当方式进行研发及维护。 系统从需求阶段开始就应考虑网络安全防范要素并进行设计。 设计及研发人员应建立满足安全防范要求的研发方法并进行验证，该方法应在整个系统研发生命周 期中贯彻执行。 所有参与系统研发的分包商和其他支持单位及人员应遵循与主要研发人员同样的要求。尤其是， &C系统的设计者和（或）供应商应表明其具有一个有效的安全防范策略，并依照本地的安全策略及程 序应用于每一个研发场所。 在安全防范状态下进行系统研发要求应作为合同条款写入所有的采购文件中。 硬件采购工作应具有适用的程序以确保用于系统研发及运行的设备满足计算机安全要求，而非在已 经受损的状态下提供使用。 应制定维护规程并使之生效，以确保所有必要的以及推荐性的适当安全防范升级在合理的情况下尽 可能迅速地得到实施从而保持系统的安全防范水平。应持续对已经公布的漏洞（如，由控制系统供应商 或是计算机应急响应机构所发布的）进行监控，如果使用中的I&C系统受到已知漏洞的影响，还应采取 适当的措施。 在进行各种打补丁和（或）升级工作之前，应对系统的功能进行验证以确保这些补丁或升级不会影 响到系统的核安全功能。 在研发、运行和维护期间提出的对于建议及需求的分级方法，都应基于其所分配的安全防范等级（如 5.2.3所要求）。 系统设计者应确保所有应由供应商的产品及服务所提供的安全防范管控措施都在采购文件中进行 了充分的说明。供应商应提供满足这些安全防范管控措施的证据，包括功能、可测试性、必要的升级程 序、配置管理策略和（或）程序、变更控制策略和（或）程序等等。对于安全防范措施的任何例外都应 经由系统设计者进行评估，并经适当的论证后，或是在系统设计文件中采取补偿措施后方能接受。

7.2.10运行连续性管理

NB/T204282017

符合性的目的是避免违反任何法律、法令、法规或合同义务，以及任何安全防范要求。 核电厂I&C系统的设计、运行、使用和管理要遵循法令、法规或合同义务要求。应从核电厂或组织 机构的法律法规专家（或其他有资质的人员）处获取关于法律和法规的符合性建议。 对隐私权及知识产权的保护应至少达到适用法律所要求的程度。

NB/I204282017

S501-1～2 单层、双层井盖及踏步（2015年合订本）[室外设施]A.1关于三个安全防范等级的考虑

专家们认为在GB/T15474中采用三个安全类别对于所有安全功能的分类是必要以及足够的。与此类 以，本标准中采用三个安全防范等级对于所有I&C系统的安全防范措施的分级也是必要以及足够的。尽 管这样简化了两种分级方案间的联系，但是在（核）安全分类与安全防范分级之间并不是一一对应的关 系。 注：本标准仅考虑I&C系统，而不对其他类型系统的安全防范等级作任何的假设。从核电厂全局角度来看，非I&C 系统可能会分配到其他的和（或）不同的安全防范等级，从而出现多于三种安全防范等级的分级方法。 事实上，在本标准中，不论是电厂安全（因显而易见的原因），还是电厂可用性（因能源对国家是 极其重要的），都作为安全防范的基本目标并构成安全防范等级分配的基准。

A.1.2安全分类作为安全防范等级分配的输入