自1996年以来,国际原子能机构的国际实物保护咨询服务(IPPAS)一直在帮助各国寻找加强核材料和核设施保护的方法。(照片:国际原子能机构)
近三十年来,各国一直利用原子能机构的国际实物保护咨询服务(IPPAS)进行同行审查,以确保使用核材料和其他放射性材料的所有类型的设施得到实物保护,包括核电站和医院放射治疗单位。然而,由于技术的进步,数字系统现在已成为这些设施运营的核心。这导致了许多新的核安全挑战。
为了应对包括核设施在内的设施遭受网络攻击的实际威胁,2012 年,IPPAS 的范围中增加了用于实物保护的信息和计算机安全。此后,各国越来越多地要求将此模块作为 IPPAS 审查的一部分,以便支持他们应对网络安全威胁的工作。
作为 IAEA 核安全计划的核心组成部分,IPPAS 是一项咨询服务,根据相关国际文书和 IAEA 核安全指南审查一个国家的现有做法。它根据请求,通过提供有关执行国际法律文书的建议,协助各国加强其国家核安全制度、系统和措施。
IAEA 核安全司材料和设施核安全科科长希瑟·鲁尼 (Heather Looney) 表示:“IPPAS 首次执行任务二十七年后,该服务已经发展到能够应对现代挑战和需求。” “如果没有计算机安全措施,就无法确保对核材料和其他放射性材料的盗窃、破坏或未经授权使用的物理保护。通过邀请 IPPAS 代表团,各国可以从关于哪些方面可以改进以及如何改进的建议中受益,”她补充道。
IPPAS 采用模块化方法,提供五个模块,涵盖以下内容: 对核材料和核设施的核安全制度进行国家审查;审查核设施的安全系统和措施;对材料运输安全的审查;对放射性材料、相关设施和活动的安全进行审查;以及对信息和计算机安全的审查。自 1996 年第一次访问以来,迄今为止已总共执行了 97 次 IPPAS 任务,并且有 22 个国家要求将信息和计算机安全模块纳入 IPPAS 审查。
国家在信息和计算机安全评估中应该期待什么?
第一步,由国际核安全专家组成的 IPPAS 团队将研究如何制定和管理与信息和计算机安全计划相关的国家政策。然后,小组将通过比较该国现有的程序和做法与《核材料实物保护公约》及其 2005 年修正案规定的义务以及相关文件中提供的指导来审视立法和监管框架。原子能机构核安全系列出版物。通过这种方式,他们能够确定各国是否制定了必要的政策和程序,以确保关键核设施和放射性设施的计算机安全。
在设施层面,计算机安全审查将着眼于计算机安全管理、计算机安全程序、访问控制、防御性计算机安全架构以及计算机安全事件的检测和响应。该团队还可以评估交叉领域,例如风险管理、分级方法、核安保文化和人力资源管理。
日本分别于 2015 年和 2018 年主办了 IPPAS 访问团及其后续访问团。日本核管理机构核安全司国际核安全主任菅原博之表示:“对日本来说,审查计算机安全措施的现状并根据审查人员的建议推动其加强,是一次宝贵的经验。” (全国步枪协会)。“针对 IPPAS 的调查结果,我们决定加强计算机安全措施,并增加具有该领域专业知识的检查员数量。此外,NRA 将计算机安全威胁纳入其国家威胁评估,并要求被许可方采取强有力的计算机安全措施,并通过纳入针对网络攻击的对策来增强其计算机安全计划的内容。”
在法国,继 2018 年执行 IPPAS 任务后,计算机安全在国家核安全框架中的可见性得到了加强。能源转型、国防和安全部计算机安全项目负责人 Frédéric Boën 表示:“IPPAS 的使命需要各利益相关方的坚定承诺,为法国提供巩固其核安全制度并促进其实施的机会。”核安全办公室。“专门负责计算机安全的人员有所增加,并根据国际标准和国际原子能机构核安全指南制定了监管指南。”
IAEA 自 2016 年以来一直维护着 IPPAS 良好实践数据库,以便与国际核安全界分享此类任务的调查结果,从而增强 IAEA 向世界各国提供的援助的影响。卢尼说:“维护这个数据库并分享此类例子,可以将IPPAS任务的好处扩展到东道国以外的国际核安全界,并成倍增加原子能机构向其成员国提供的援助的影响。”
大多数国家级良好做法都与核安保管理有关,这为计算机安全和协调奠定了基础。此外,原子能机构成员国可以通过指定的联络点获取 40 项与国家和设施层面的计算机安全相关的良好做法。
原子能机构继续支持各国加强国家核安全制度;各国对 2023 年和 2024 年接受 IPPAS 任务的需求仍然很高。