美國核電站網路安全發展歷程

科技 08-07

美國核電站網路安全發展歷程

關注E安全關注網路安全一手資訊

E安全8月7日訊近期，美國核電站遭遇網路攻擊。美國核監管委員會（Nuclear Regulatory Commission，NRC）和核行業不止對這一消息做出了反應，同時還在關注網路威脅。9.11恐怖襲擊發生後，NRC在監管要求中加入核工業的網路安全保護措施。迄今為止媒體報道的黑客行動似乎涉及的是核電站的非關鍵系統。

相比15年前，如今人們能更好地保護自身免受網路攻擊，但卻無法完全避免遭遇越來越頻繁及複雜的網路入侵。

美國核電站網路安全歷史

NRC很久以前就已制定了規則，要求核電站所有者採取措施保護設施免遭入侵者和/或內部人員破壞。

美國核電站網路安全發展歷程

2001年，9.11恐怖襲擊之後，NRC發布了一系列命令，要求升級安全要求。

2002發布的命令包括旨在解決網路安全漏洞的措施。

2003年4月，NRC發布命令要求核電站所有者確定將防禦的網路攻擊特徵。

這些命令對核電站所有者提出了網路安全監管要求。為了幫助核電站所有者更好地理解如何達到NRC的預期要求，NRC發布的監管要求如下：

2004年10月：NUREG/CR-6847 「美國核電站網路安全自我評估方法」；

2010年1月: 監管指南5.71「核設施網路安全計劃」；

2012年6月：NUREG/CR-7117,「安全網路設計」；

2014年11月：NUREG/CR-7141「NRC核電反應堆網路安全監管框架」。

此外，核能源研究所制定了NEI-08-09「核電反應堆網路安全計劃」。

第一步: NANA需要的新縮略詞

NANA是核電行業在網路安全法規中邁出的關鍵一步。NANA的全稱為「Need A New Acronym」。核工業及其監管者需在公眾場合談論，但公眾最好不要太懂這些專業縮略詞，因此縮略詞是公開討論的基本要素。許多NRC全職員工搜尋新的縮略詞，但這種工作產生了關鍵數字資產（Critical Digital Assets，CDA）。創建縮略詞是最佳選擇，即使有人解開了縮略詞代表的完整單詞，但單詞並不會透露太多其中的含義。

在NCDA、CAA和NCAA之中發現CDA

有了縮略詞武裝，下一步是從非關鍵數字資產（NCDA）、關鍵模擬資產（CAA）和非關鍵模擬資產（NCAA）中區分關鍵數字資產，這種做法分三步進行：

步驟一：清點核電站的數字資產

NRC將核電站的數字資產分為下圖6個分類中：

安防系統包括控制核電站內關鍵領域訪問權的計算機，檢測非授權訪問的感測器，以及監控限制區的攝像頭。

業務系統包括允許工作人員訪問PDF版本的程序、手冊以及工程報告的計算機。

緊急預備系統包括向站外官員通知核電站條件的數字設備。

數字採集系統包括監控核電站參數的感測器，以及將信息傳遞至儀錶、控制室指示器以及核電站過程式控制制計算機的設備。

安全系統可能包括檢測高溫和煙霧，以及自動啟動滅火系統的設備。

控制系統包括管理主渦輪運行或調節蒸汽發生器（壓水反應堆）或反應堆壓力容器（沸水反應堆）給水流量率的過程式控制制器。