如果没有在核电行业或电力行业工作过或者没有做过核电行业或电力行业项目的人,对核安全文化应该是比较陌生的,为了让大家能够更好的理解什么是核安全文化,我们需要先简单了解一下核安全文化包括哪些主要内容。
最近在做核电的项目,其中包括为客户设计信息安全保障体系架构,而核电行业本身在安全方面的要求就已经达到了非常高的水平,其在工业和生产安全管理体系和要求方面已经非常成熟,可以说信息安全在整体的核安全内容中还只是非常小的一部分。所以借此机会将核电行业的安全文化如何与企业信息安全的安全建设相结合做个初步的探讨,一方面帮助我们了解核电行业在信息安全方面的需求和特点,另一方也有助于我们在非常重视安全的核电企业将信息安全做的更有特色。
如果没有在核电行业或电力行业工作过或者没有做过核电行业或电力行业项目的人,对核安全文化应该是比较陌生的,为了让大家能够更好的理解什么是核安全文化,我们需要先简单了解一下核安全文化包括哪些主要内容。
1. 核安全文化的主要内容
1.1 核安全文化的起源
核电站的“安全文化”是国际核能界在三里岛和切尔诺贝利事故后,结合“企业文化”的管理思想,提出的这一新的安全管理思想和原则,它是传统的纵深防御原则的扩充,也是安全管理思想的一次重大变革。大亚湾核电站从运行初期安全管理制度就是建立在“纵深防御”和“程序管理”的安全管理思想上的。即认为设备、人和管理都是可能出现失效的,为把这种失效的可能性减为最小,除提高设备质量、人员素质和改进管理外,还必须采取一系列的防范措施,即预防、监督和在万一出现失效时必要的响应对策。
1.2 核安全文化的特点
核安全文化强调四个“凡事”:“凡事有章可循,凡事有人负责,凡事有据可查,凡事有人监督”(也被称作核电制造的灵魂)。这四个“凡事”与谷安天下帮助客户建立信息安全保障体系架构的思想也存在一定的相似之处。下面对四个“凡事”的内容简单描述一下。
1)凡事有章可循,就是说我们所做的工作、所要求的内容和建立的管理制度要落实到明确规定和文件,形成实实在在的制度文件,在我们开展各项工作、执行各类操作的时候都能够找到相关的文件进行指导。
2)凡事有人负责,就是说我们要在现有业务部门结构的基础上建立起安全管理的组织结构和组织人员,不仅如此,还需要对包括安全部门和安全的岗位在内的各个部门和岗位建立明确安全职责,确保每项工作都能够找到明确的负责人。
3)凡事有据可查,就是说我们所做的各项工作和操作都需要形成记录,这些记录应当详细的记录我们的工作时间、工作内容和工作结果等信息,确保工作情况被详细记录,这些信息保存起来可以为之后开展的检查工作提供输入。
4)凡事有人监督,就是说我们要建立起完善的监督、检查和审计机制,制定明确的监督人员、岗位,制定详细的监督、检查和审计内容,通过开展监督、检查和审计,确保建立的安全管理制度、组织以及所实施的各项保护被有效和正确的执行。
可以看出来,无论是核安全建设还是信息安全建设,这四个“凡事”的内容都是不可缺少的关键要素。
1.3 核安全文化的落实
核电站通过安全文化的渗透和员工基础素质的系统提升,将纵深安全管理的各项制度与文化有机地结合起来,核安全文化建设通过培训等各种措施将核安全意识落实到员工的日常工作中去,通过不断的实践改进,把理念变为习惯, 真正做到“人人都是一道屏障”。
核安全技术保护是保障核电站安全运行的重要手段,当前核电行业采用的四道屏障:第一道屏障——燃料芯块、第二道屏障——燃料包壳、第三道屏障——压力边界、第四道屏障——安全壳。这些屏障就是通过技术手段对反应堆进行安全保护。这种保障方式与信息安全领域的纵深防御的思想也有相同之处,通过四道屏障不同的手段和技术,实现多层保护。
核电运维方面的工作也需要高度的安全保障,对于程序遵守充分体现了“预防为主”的思想。原WANO主席在离别主席生涯时说过一句话:核电站只有在自动停堆、棒没落下的时候着急,其它没有着急的事情。这句话对核电安全文化的启发很大:在做事情之前停一停、想一想,把要做的事情写下来,按流程批准后再实施,风险就能得到有效的控制,安全运维也就有了保障。
核事故应急(简称“核应急”)也是核电发展工作中的重要组成部分,核应急工作包括核应急准备和核应急响应,是保证核电站正常运行必不可少的环节。
2. 核安全文化与信息安全相结合
通过上面的介绍大家对核安全文化已经有了初步的了解,那么核安全如何与信息安全相结合就是接下来将要介绍的内容。
在继续往下阅读之前需要清楚的一个问题就是我在这里提到的帮助核电企业制定信息安全管理和信息安全保障都是不包括二次系统部分内容的,主要是由于电力二次系统本身不在电力企业的IT部门管理,是由专门的生产部分负责,同时由于二次系统本身安全性要求非常高,一般外部公司很难接触到。
2.1 核点企业发展信息安全的需求
核电企业是以提供清洁能源为主要业务的,核电企业自成立以来,始终坚持“安全第一,质量第一,追求卓越”的方针。随着核电业务的发展,信息技术在企业内部的不断推广和普及,业务对信息系统的依赖程度越来越高,信息系统能否安全、稳定的运行将直接影响核电业务的开展,因此,网络与信息安全已经成为保障核安全有机的组成部分,并且其重要程度将随着信息技术的普及和发展变得更加重要。
2.2 核安全文化与纵深防御的思想的结合
核安全文化中倡导的“纵深防御”原则在信息安全领域很早就被提出过。例如,在信息安全领域美国国家安全局制定的IATF中最早已经提出了纵深防御,也称作“深度防护(Defense-in-Depth)”的策略。IATF强调人、技术、操作这三个核心原则,关注四个信息安全保障领域:保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。通过下图可以比较清晰的了解IATF的理论建立模型。
因此我们在为核电企业设计信息安全保障体系架构时也是结合了“纵深防御”的安全保护理念,结合了四个“凡事”的工作思想,通过“三道防线”与“体系文件与安全组织”的建立,有效的实现了“纵深防御”和“程序管理”的安全管理思想在信息安全保障管理方面的应用。而我们在架构设计中的“三道防线”设计思想也与核电行业对反应堆的“四道安全保护屏障”的保护方式相一致。
建立完善的信息安全保障架构不仅是核电企业为保障信息技术安全的需求,同时也是符合核电行业的核安全需求的,随着信息安全在企业中的重要性越来越高,在建立信息安全保障体系的同时,也要将信息安全的文化融入的员工的日常工作中,只有这样才能够让企业的信息安全保障体系真正的发挥作用。
[1] [2] 下一页