淺談設計基準威脅

2021-10-30 05:39楊安義鄒宇飛

核安全 2021年5期

楊安義，鄒宇飛

（1.生態(tài)環(huán)境部核與輻射安全中心，北京 100082；2.國核示范電站有限責任公司，山東榮成 264312）

1 設計基準威脅的概念

在國際原子能機構核安保叢書第13號《核材料和核設施實物保護的核安保建議》［1］一書中，將設計基準威脅定義為：“可能企圖進行擅自轉移或蓄意破壞的潛在內(nèi)部人員和（或）外部敵對分子具有的并已針對其進行了實物保護系統(tǒng)設計和評價的屬性和特征?！蓖瑫r指出，“國家應當基于威脅評定或設計基準威脅制定對使用中、貯存中和運輸期間的核材料的實物保護要求。”為此要求“適當?shù)膰耶斁謶斃酶鞣N可靠的情報來源以威脅評定和適當?shù)脑O計基準威脅的形式對威脅和相關能力作出界定?！?/p>

從以上定義可以看出，設計基準威脅是一個對潛在敵人意圖和能力的聲明，是一個對核材料核設施的“最壞情況下的可信威脅”。設計基準威脅為核設施安全運行、突發(fā)事件處置預案的編制和演練提供了具體敵情，是核材料核設施實物保護系統(tǒng)設計、升級、改造的重要依據(jù)。因此，設計基準威脅是國家核安保制度中的一個重要概念，其定義的合理科學與否直接關系到核技術的和平利用，關系到社會環(huán)境和人民生命財產(chǎn)的安全，關系到世界的和平與安全。

界定設計基準威脅不僅是技術問題，而且是一個政治和社會問題。由于國際關系和地緣政治的復雜性，設計基準威脅包含高度敏感信息，各國政府將其列為機密文件，只有與保護核設施實物安全密切相關的人員才能查閱。同時，出于信息公開透明和問責考慮，各國政府會公開一個非機密版本的設計基準威脅。

2 設計基準威脅的界定

界定設計基準威脅，是指對可能引發(fā)核材料偷盜或破壞的各種威脅要素進行歸類和分析，從而確定設計基準威脅的過程。整體而言，界定設計基準威脅可以分為收集威脅信息、整理分析威脅信息、編制設計基準威脅、應用設計基準威脅和維護更新設計基準威脅幾個步驟。在國際原子能機構核安保叢書第10-G號《國家核安保威脅評估，設計基礎威脅和代表性威脅聲明》［2］一文中，提出了一個界定設計基準威脅的流程，如圖1所示。

圖1 界定設計基準威脅流程Fig 1 Defines the Design BasisThreat process

第一步，定義角色和職責。根據(jù)國家法律和監(jiān)管框架，建立組織機構，確定國家、主管部門（包括監(jiān)管機構）以及營運單位在界定設計基準威脅過程中的角色和責任，如表1所示。

表1 角色定義和職責表Table 1 Defines roles and responsibilities

第二步，國家核安保威脅評估。由國家核安全監(jiān)管機構牽頭協(xié)調(diào)其他國家有關主管部門，收集整理所有潛在敵人情報和威脅信息，建立威脅信息共享機制和保密機制。信息來源包括但不限于國家情報組織報告、計算機和信息安全組織報告、政府相關文件報告、國際組織數(shù)據(jù)庫數(shù)據(jù)和報告、營運單位事件報告、歷史和國際上核安保事件、網(wǎng)絡攻擊事件以及其他關鍵基礎設施安全事件等。廣泛而全面的威脅信息收集對完成國家核安保威脅評估至關重要。

完成威脅信息收集后，核安全監(jiān)管機構應分析整理收集的信息，評估信息的可信度和與核安保的潛在相關性。確定潛在敵人發(fā)起威脅行動的可能性以及相關威脅的屬性和特點，編制形成國家核安保威脅清單。威脅清單描述了國家核安保的總體威脅環(huán)境和所有已知應予以考慮的可信威脅。

第三步，定義設計基準威脅。根據(jù)國家核安保威脅評估結果，以惡意行為能否導致核材料被非授權轉移和（或）造成不可接受的輻射性破壞為評判標準，綜合考慮國家相關政策和敵人的動機、能力和意圖，從國家核安保威脅清單中篩選出所有相關威脅，分析潛在敵人的屬性和特征，編制形成設計基準威脅。在設計基準威脅中，要明確每一個威脅作案目的、威脅類型和威脅要素，如表2所示。

表2 設計基準威脅內(nèi)容Table 2 Design Basis Threat content

第四步，在核安保監(jiān)管中使用設計基準威脅。核安全監(jiān)管機構依照國家法律法規(guī)及有關規(guī)定，可采用基于績效的方法或規(guī)定的方法開展設計基準威脅的監(jiān)管工作。采用基于績效的方法時，監(jiān)管機構向營運單位提供設計基準威脅和防范指定特征敵手的總要求，要求營運單位對設計基準威脅進行解讀并定義可信攻擊場景，依此設計和建立有效的實物保護系統(tǒng)。其實物保護計劃需得到監(jiān)管機構的批準。采用基于規(guī)定的方法則是由監(jiān)管機構提出規(guī)范性保護措施要求，營運單位遵守這些要求并接受監(jiān)管機構的監(jiān)督檢查。

第五步，維護國家核安保威脅、設計基準威脅的有效性。設計基準威脅應定期審查和評估，必要時進行修訂，以確保其有效性。如果威脅環(huán)境發(fā)生重大變化，或出現(xiàn)新的重大威脅，核安全監(jiān)管機構應與營運單位一起采取必要的措施來管理這些威脅。設計基準威脅更新后，需要對現(xiàn)有實物保護系統(tǒng)進行重新評估，必要時進行更新。

從以上過程可以看出，設計基準威脅隨著時間和形勢的變化而變化，設計和維護設計基準威脅的過程是一個基于風險管理的PDCA［計劃（Plan）-實施（Do）-檢查（Check）-處理（Ac?tion），PDCA］循環(huán)過程。

同時需要指出，設計基準威脅是國家核安保威脅清單的一個子集。在國家核安保威脅清單中，還存在一些威脅因素，僅僅依靠營運單位的能力和資源無法有效應對，此時需要在國家層面統(tǒng)籌作出合理反應和應對。因此，在分析國家核安保面臨威脅時，還需要明確設計基準內(nèi)威脅和設計基準外威脅（超設計基準威脅）之間的分界線，合理確定國家與營運單位之間的責任。確定這一分界線需要權衡成本、運營和其他多個因素的影響。

3 設計基準威脅的發(fā)展

設計基準威脅的概念最早在1974年由美國核管會提出。為保衛(wèi)核設施的物理安全，美國核管會要求每個核設施維護一系列的物理屏障和一支訓練有素的安全保衛(wèi)團隊。為確定安全保衛(wèi)力量能夠防御潛在攻擊的嚴重程度（如攻擊者的數(shù)量、訓練程度、武器和戰(zhàn)術運用等），美國核管會協(xié)同國家其他部門和情報單位確定了核設施的設計基準威脅。隨著時間發(fā)展，設計基準威脅的概念得到廣泛接受，逐漸成為世界各國核電安保體系建設中的一個重要概念［3］。

2001年“9·11”恐怖襲擊之后，核設施防御敵人恐怖襲擊和網(wǎng)絡攻擊的能力受到國際社會的普遍關注，針對核設施設計基準威脅的防護范圍和界定方法也開展了廣泛的討論［4-6］。人們批評核設施的設計基準威脅已經(jīng)遠遠落后，不能真實反映當前的威脅環(huán)境，無法有效抵御各種風險。還有一些批評人士認為，設計基準威脅的概念源自設計基準事故的理念，是一種基于主觀的確定論評價法。正如早期版本的核安全設計基準威脅一樣，過于強調(diào)防范最嚴重的威脅，而忽略了不太嚴重但可能性更大的威脅，這可能導致防御資源配置效率低下。

2005年美國《能源政策法案》頒布，法案明確要求加強核設施安全監(jiān)管力度，并提出新形勢下修訂設計基準威脅時需要考慮的12個因素，具體如表3所示，其中包括各種恐怖威脅評估、重大爆炸裝置和各類現(xiàn)代化武器的潛在使用和核設施必須能夠抵御的潛在攻擊的最大嚴重程度等。

表3 設計基準威脅影響因素Table 3 Influencing factors of Design Basis Threat

2007年，美國核管會完成設計基準威脅最終修訂，并將其關于設計基準威脅的基本要求固化在聯(lián)邦法規(guī)10 CFR 73.1《實物保護的目的和范圍》中。設計基準威脅最終規(guī)則將假想敵人的破壞能力擴大為訓練精良的一個或多個團隊從多個入口點實施武裝攻擊，同時，將網(wǎng)絡攻擊也納入設計基準威脅中。

2009年，美國核管會在聯(lián)邦法規(guī)10 CFR 50.150《飛行器影響評估》中發(fā)布針對飛機撞擊的最終規(guī)則，要求所有2009年7月13日后新建核設施都應進行大型商用飛機撞擊影響評估。要求申請人確定并將這些設計特征和功能能力納入設計中，以保證在發(fā)生大型商用飛機墜毀爆炸或火災造成核電站大面積損失的情況下，反應堆堆芯冷卻、安全殼完整和乏燃料存儲池仍然保持安全。

為進一步防范網(wǎng)絡攻擊威脅，美國核管會于2009年3月發(fā)布了聯(lián)邦法規(guī)10 CFR 73.54《數(shù)字計算機和通信系統(tǒng)與網(wǎng)絡的保護》，并于2010年發(fā)布RG 5.71《核設施網(wǎng)絡安全大綱》，要求各營運核設施必須提交網(wǎng)絡安全大綱并定期審查，為執(zhí)行核安全、實物保護和應急響應功能的數(shù)字計算機和通信系統(tǒng)提供足夠的保護，免受設計基準威脅的攻擊。

國際原子能機構作為一個致力于核科學技術安全、可靠及和平利用的國際組織，高度重視核材料和核設施的安全保衛(wèi)問題，為防止、偵查和懲處針對核材料的國際犯罪行為，國際原子能機構于1980年發(fā)起《核材料實物保護公約》簽署工作，要求國際社會共同合作，共同維護核材料的安全，其修訂案于2005年生效，是民用核材料實物保護領域中唯一的國際法文書。同時，為進一步發(fā)揮其在國際核安保領域的國際核心協(xié)調(diào)作用，國際原子能機構編制出版了“核安保系列”叢書，內(nèi)容涉及了核材料、核設施以及其他放射性物質的盜竊破壞和非法轉移，以及進行預防、探測和響應的相關問題，指導各成員國切實有效地開展實物保護工作。其最新的關于設計基準威脅的實施導則《國家核安保威脅評估，設計基礎威脅和代表性威脅聲明》（NSS 10-G v1）于2021年5月出版。

目前，世界各主要有核國家都通過立法的方式將設計基準威脅作為核設施實物保護系統(tǒng)設計和評估的前提和基礎。從已公開資料來看，武裝恐怖襲擊、飛機撞擊和網(wǎng)絡攻擊都已納入設計基準威脅的可信威脅評估范圍。

4 我國現(xiàn)狀

我國作為一個負責任的核技術利用大國，在維護和加強國際核安保體系、防止核擴散、保護核材料和核設施安全、防范核恐怖主義方面，一貫堅持積極的立場，支持國際原子能機構在核安保領域發(fā)揮核心作用，積極參與并推進《核材料實物保護公約》的生效與落實。我國于2008年10月28日由十一屆全國人大會常委會第五次會議批準了《核材料實物保護公約》修正案，從而成為第二個遞交《公約》修正案批準書的核武器國家［7］。

為落實核材料實物保護工作。國務院先后發(fā)布了《中華人民共和國核材料管制條例》和《中華人民共和國核材料管制條例實施細則》等法律法規(guī)，形成了由國家核安全局、國家國防科技工業(yè)局和中國人民解放軍總裝備部組成的多方協(xié)調(diào)管理機制，促進了我國核材料實物保護工作的有效開展。日本福島核事故后，我國核能領域相關法律法規(guī)發(fā)展迅速。《中華人民共和國核安全法》已經(jīng)頒布實施，《中華人民共和國原子能法（征求意見稿）》正在進行征求意見。近年來，國家核安全局、國家國防科技工業(yè)局和國家能源局先后制定了多項實物保護相關技術標準，有力地促進了我國實物保護相關工作的落實。詳見表4。

表4 實物保護相關標準Table 4 Physical protection related standards

續(xù)表

同時，也應該看到，進入新時期以來，我國在核材料和核設施實物保護方面，相關法律法規(guī)和標準建設工作已經(jīng)滯后，已經(jīng)很難適應新的形勢要求。需要進一步完善法律法規(guī)標準建設，明確責任分工，加強溝通協(xié)調(diào)，落實各項核安保措施，以切實提高安保能力。如針對設計基準威脅的界定和維護，2007年總裝備部編制和發(fā)布了《軍用核材料實物保護設計基準威脅導則》，對我國軍用核材料設計基準威脅的界定和維護作出了規(guī)范。但在民用核材料設計基準威脅的界定和維護方面，國防科工局《中華人民共和國核安保條例（征求意見稿）》第九條中出提出了“國務院核工業(yè)行業(yè)主管部門會同國務院公安、國家安全部門，根據(jù)國家安全形勢、結合核材料與核設施的安保類別，在評估潛在威脅的基礎上，制定國家設計基準威脅，并適時更新”的要求，但目前該條例尚未正式頒布施行。國家核安全局在核安全導則HAD 501/021-2018《核設施實物保護》第2.1節(jié)中也明確提出“核設施的設計基準威脅在報呈國家主管部門確認后，方可作為設計和評估實物保護系統(tǒng)的依據(jù)?！钡珜θ绾未_認核設施的設計基準威脅并沒有明確規(guī)范，客觀上也影響了核設施實物保護系統(tǒng)建設的針對性和有效性［8-9］。

針對核設施的網(wǎng)絡攻擊和商用飛機撞擊問題，國家核安全局已制定了《核動力廠網(wǎng)絡安全技術政策（試行）》并于2021年4月1日起正式實施。目前正在編制《核動力廠防御商用飛機惡意撞擊安全技術政策（征求意見稿）》。下一步還需要進一步強化相關技術政策的落實和配套技術標準的建設。以進一步提高我國核實施的安全水平。

5 結論與建議

（1）設計基準威脅是對潛在內(nèi)部和（或）外部敵人屬性和特征的基本概括。設計基準威脅設計是否合理直接關系到核材料核設施的安全。設計基準威脅既隨著時間和技術的進步而發(fā)生變化，也隨著國際國內(nèi)形勢發(fā)展的變化而變化。從近幾年的情形來看，防范恐怖分子武裝暴力襲擊、飛機撞擊和網(wǎng)絡攻擊等問題成為國際社會研究的熱點和重點。

（2）虛擬空間的網(wǎng)絡攻擊開創(chuàng)了對核材料核設施攻擊的新手段、新方式。這種攻擊可作用于針對核安全（包括儀器和控制系統(tǒng)）、核材料衡算和控制、核安?；驊表憫òㄍㄐ藕途瘓笙到y(tǒng)）的所有計算機系統(tǒng)和網(wǎng)絡，對傳統(tǒng)的核安全、核安保防護體系帶來重大沖擊。這種網(wǎng)絡攻擊威脅與其他傳統(tǒng)設計基準威脅結合使用形成的混合攻擊，可能造成更大破壞力和危害。目前業(yè)界針對網(wǎng)絡攻擊的研究還有待深入，建立和維護有效的網(wǎng)絡安全體系面臨嚴峻的挑戰(zhàn)。