网络安全将纳入核电安全管理体系，核电、网络安全企业该如何应对？

2018年5月22日，国家发展改革委、国家能源局、生态环境部、国防科工局联合发布了《关于进一步加强核电运行安全管理的指导意见》（以下简称“指导意见”）。《指导意见》的发布为今后核电网络安全建设产理清了的思路。

核电网络安全

“坚持安全第一”是我国核电行业生产长久以来坚持的原则，且在多部与核电生产相关的法律法规中都有体现。本次发布的《指导意见》明确指出“将网络安全纳入核电安全管理体系，加强能力建设，保障核电厂网络安全”，将网络安全在核电行业提升到了前所未有的高度，网络安全事关全核电员工。

《指导意见》的网络安全相关内容解读

《指导意见》总体目标：“核电企业安全管理体系更加完善，安全生产责任制全面落实，安全管理水平持续提升。政府安全管理能力不断提高，核电行业安全管理、核安全监管、核应急响应、核安保能力进一步增强。核电安全得到更加充分、全面、有效的保障”。围绕总体目标，《指导意见》提出了“加强核安全文化建设、加强核电厂网络安全管理、加强核应急与核安保管理”等九个方面的建设内容。本文仅对核电网络安全相关内容进行解读：

网络安全融入核电生产安全：《指导意见》明确提出将网络安全纳入核电安全管理体系。网络安全成为核电生产安全的一部分。

核电企业主要负责人领衔网络安全：《指导意见》提出落实全员安全生产责任制，管业务必须管安全、管生产经营必须管安全，这里安全包括了网络安全，核电企业主要负责人成为网络安全主要负责人。 

网络安全事件与全体员工切身利益进行关联：《指导意见》提出核电集团对核电厂进行考核时，指标权重上应统筹生产性和安全性指标。研究建立以安全绩效为引导的动态薪酬管理制度，将安全履责情况作为干部选拔、任用的考察内容，实行安全生产绩效与履职评定、职务晋升、奖励惩处挂钩制度。安全性指标也包括网络安全相关指标。网安全事件将直接影响员工升迁、收入、履职评定、绩效考评等切身利益，核电网络安全不在与自己无关。

全面提升核电工控网络安全防护能力：《指导意见》提出开展网络安全能力建设、建立健全电力监控系统安全防护管理制度，对网络威胁进行评估和风险分析，合理配置网络安全监控工具，建立核电厂防范网络攻击、数据操纵或篡改的能力，定期开展网络安全检查。指明核电企业要及时开展核电工控系统安全评估、建设、监控、检查等相关工作，全面提升核电工控网络安全防护能力。

核电网络安全实行等级保护制度：《指导意见》要求核电企业做好网络等级保护测评，完成等保定级、备案，并定期进行等级测评。指明核电网络安全建设以网络安全等级保护为基础，并加强核电系统工控安全防护能力。

加强核电网络安全应急响应及演练：《指导意见》提出建立网络安全事件应急响应预案并定期进行演练。 并提出核电厂应以真实检验响应力量保卫能力为目的，开展实兵对抗演练，切实提升实战能力。开展多情景下的模拟对抗演练，检验并提升核安保（包括网络安保）事件处置预案的科学性、合理性。推进核安保实兵对抗演练与模拟对抗演练制度化、规范化。这意味着核电网络安全应急响应及演练要规范化、常态化。

加强核电行业网络安全协作机制和人才队伍建设：《指导意见》明确提出支持行业组织开展网络安全相关人员的技术培训，建立网络安全保护规范和协作机制，开展核电厂网络安全同行评估。

强化政府监管：《指导意见》提出加强企业内部安全监督和政府安全管理，把各项安全工作抓实抓好。同时明确能源局、核安全局、国防科工局要从不同方面进行核电安全监督、检查工作，这里的安全监督检查工作也包括对核电网络安全的监督检查。

核电企业如何应对

《指导意见》对核电网络安全地位提升，核电企业可以从以下几个方面入手，应对《指导意见》关于网络安全的相关要求：

1.完善核电安全生产管理体系，将网络安全纳入其中，并在绩效考核、职称评定、干部选拔等方面加入网络安全相关指标；

2.对本企业网络系统（包括工控系统、信息系统）进行全面安全检查、评估，摸清企业网络系统真实家底；

3.核电企业网络系统实施网络安全等级保护制度，积极开展系统进行定级、备案、建设、测评、整改等工作；

4.以《信息安全等级保护基本要求》为基础，结合国能安全[2015]36号文，从技术、管理等方面进行核电工控网络安全建设，全面提升核电企业工控网络安全防护能力；

5.建立核电企业网络安全应急响应及演练长效机制，定期实施演练，提升核电企业网络安全事件处置能力；

6.基于核电业务特点，定期开展核电工控系统网络安全攻防演习、渗透测试等网络安全实兵演练，提升核电企业工控系统网络安全整体能力；

7.与国内网络安全企业建立长期合作机制，借助网络安全企业的技术能力提升本企业网络安全防护能力。

网络安全企业如何应对

《指导意见》的发布，对于网络安全企业来说，是个极大的利好消息。网络安全企业可以以此为契机，从以下几个方面为核电企业网络安全提供技术支撑：

1.为核电企业提供网络安全检查（包括合规性检查、风险评估等），大数据分析、漏洞挖掘、渗透测试等安全服务；

2.帮助核电企业进行网络安全顶层规划、设计，为核电企业网络安全整体解决方案（包括信息安全、工控安全），支持核电企业进行网络安全防护能力建设；

3.为核电企业提供威胁情报信息、威胁态势感知能力建设；

4.协助核电企业进行网络安全等级保护建设工作，为核电企业系统定级、备案、建设、测评、整改等工作提供全方位服务咨询；

5.为核电企业网络安全应急演练、红蓝对抗、渗透测试等提供全方位支持服务；

6.配合监管部门，对核电企业网络安全监督、检查提供技术支持。

核电企业网络系统作为国家关键信息基础实施重要组成部分，其网络安全的防护能力具有举足轻重的作用，特别是核电工控系统网络的安全防护能力更是迫在眉睫。然而仅靠核电企业自身无法实现核电网络安全防能力的全面提升，需要核电企业、监管机构、网络安全企业三方合作，方能实现包括核电工控系统在内的网络安全防护能力的全面提升。

作者：360企业安全集团安全服务行业专家 刘太洪

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。