浅谈设计基准威胁

杨安义，邹宇飞

（1.生态环境部核与辐射安全中心，北京 100082；2.国核示范电站有限责任公司，山东荣成 264312）

1 设计基准威胁的概念

在国际原子能机构核安保丛书第13号《核材料和核设施实物保护的核安保建议》［1］一书中，将设计基准威胁定义为：“可能企图进行擅自转移或蓄意破坏的潜在内部人员和（或）外部敌对分子具有的并已针对其进行了实物保护系统设计和评价的属性和特征。”同时指出，“国家应当基于威胁评定或设计基准威胁制定对使用中、贮存中和运输期间的核材料的实物保护要求。”为此要求“适当的国家当局应当利用各种可靠的情报来源以威胁评定和适当的设计基准威胁的形式对威胁和相关能力作出界定。”

从以上定义可以看出，设计基准威胁是一个对潜在敌人意图和能力的声明，是一个对核材料核设施的“最坏情况下的可信威胁”。设计基准威胁为核设施安全运行、突发事件处置预案的编制和演练提供了具体敌情，是核材料核设施实物保护系统设计、升级、改造的重要依据。因此，设计基准威胁是国家核安保制度中的一个重要概念，其定义的合理科学与否直接关系到核技术的和平利用，关系到社会环境和人民生命财产的安全，关系到世界的和平与安全。

界定设计基准威胁不仅是技术问题，而且是一个政治和社会问题。由于国际关系和地缘政治的复杂性，设计基准威胁包含高度敏感信息，各国政府将其列为机密文件，只有与保护核设施实物安全密切相关的人员才能查阅。同时，出于信息公开透明和问责考虑，各国政府会公开一个非机密版本的设计基准威胁。

2 设计基准威胁的界定

界定设计基准威胁，是指对可能引发核材料偷盗或破坏的各种威胁要素进行归类和分析，从而确定设计基准威胁的过程。整体而言，界定设计基准威胁可以分为收集威胁信息、整理分析威胁信息、编制设计基准威胁、应用设计基准威胁和维护更新设计基准威胁几个步骤。在国际原子能机构核安保丛书第10-G号《国家核安保威胁评估，设计基础威胁和代表性威胁声明》［2］一文中，提出了一个界定设计基准威胁的流程，如图1所示。

图1 界定设计基准威胁流程Fig 1 Defines the Design BasisThreat process

第一步，定义角色和职责。根据国家法律和监管框架，建立组织机构，确定国家、主管部门（包括监管机构）以及营运单位在界定设计基准威胁过程中的角色和责任，如表1所示。

表1 角色定义和职责表Table 1 Defines roles and responsibilities

第二步，国家核安保威胁评估。由国家核安全监管机构牵头协调其他国家有关主管部门，收集整理所有潜在敌人情报和威胁信息，建立威胁信息共享机制和保密机制。信息来源包括但不限于国家情报组织报告、计算机和信息安全组织报告、政府相关文件报告、国际组织数据库数据和报告、营运单位事件报告、历史和国际上核安保事件、网络攻击事件以及其他关键基础设施安全事件等。广泛而全面的威胁信息收集对完成国家核安保威胁评估至关重要。

完成威胁信息收集后，核安全监管机构应分析整理收集的信息，评估信息的可信度和与核安保的潜在相关性。确定潜在敌人发起威胁行动的可能性以及相关威胁的属性和特点，编制形成国家核安保威胁清单。威胁清单描述了国家核安保的总体威胁环境和所有已知应予以考虑的可信威胁。

第三步，定义设计基准威胁。根据国家核安保威胁评估结果，以恶意行为能否导致核材料被非授权转移和（或）造成不可接受的辐射性破坏为评判标准，综合考虑国家相关政策和敌人的动机、能力和意图，从国家核安保威胁清单中筛选出所有相关威胁，分析潜在敌人的属性和特征，编制形成设计基准威胁。在设计基准威胁中，要明确每一个威胁作案目的、威胁类型和威胁要素，如表2所示。

表2 设计基准威胁内容Table 2 Design Basis Threat content

第四步，在核安保监管中使用设计基准威胁。核安全监管机构依照国家法律法规及有关规定，可采用基于绩效的方法或规定的方法开展设计基准威胁的监管工作。采用基于绩效的方法时，监管机构向营运单位提供设计基准威胁和防范指定特征敌手的总要求，要求营运单位对设计基准威胁进行解读并定义可信攻击场景，依此设计和建立有效的实物保护系统。其实物保护计划需得到监管机构的批准。采用基于规定的方法则是由监管机构提出规范性保护措施要求，营运单位遵守这些要求并接受监管机构的监督检查。

第五步，维护国家核安保威胁、设计基准威胁的有效性。设计基准威胁应定期审查和评估，必要时进行修订，以确保其有效性。如果威胁环境发生重大变化，或出现新的重大威胁，核安全监管机构应与营运单位一起采取必要的措施来管理这些威胁。设计基准威胁更新后，需要对现有实物保护系统进行重新评估，必要时进行更新。

从以上过程可以看出，设计基准威胁随着时间和形势的变化而变化，设计和维护设计基准威胁的过程是一个基于风险管理的PDCA［计划（Plan）-实施（Do）-检查（Check）-处理（Ac⁃tion），PDCA］循环过程。

同时需要指出，设计基准威胁是国家核安保威胁清单的一个子集。在国家核安保威胁清单中，还存在一些威胁因素，仅仅依靠营运单位的能力和资源无法有效应对，此时需要在国家层面统筹作出合理反应和应对。因此，在分析国家核安保面临威胁时，还需要明确设计基准内威胁和设计基准外威胁（超设计基准威胁）之间的分界线，合理确定国家与营运单位之间的责任。确定这一分界线需要权衡成本、运营和其他多个因素的影响。

3 设计基准威胁的发展

设计基准威胁的概念最早在1974年由美国核管会提出。为保卫核设施的物理安全，美国核管会要求每个核设施维护一系列的物理屏障和一支训练有素的安全保卫团队。为确定安全保卫力量能够防御潜在攻击的严重程度（如攻击者的数量、训练程度、武器和战术运用等），美国核管会协同国家其他部门和情报单位确定了核设施的设计基准威胁。随着时间发展，设计基准威胁的概念得到广泛接受，逐渐成为世界各国核电安保体系建设中的一个重要概念［3］。

2001年“9·11”恐怖袭击之后，核设施防御敌人恐怖袭击和网络攻击的能力受到国际社会的普遍关注，针对核设施设计基准威胁的防护范围和界定方法也开展了广泛的讨论［4-6］。人们批评核设施的设计基准威胁已经远远落后，不能真实反映当前的威胁环境，无法有效抵御各种风险。还有一些批评人士认为，设计基准威胁的概念源自设计基准事故的理念，是一种基于主观的确定论评价法。正如早期版本的核安全设计基准威胁一样，过于强调防范最严重的威胁，而忽略了不太严重但可能性更大的威胁，这可能导致防御资源配置效率低下。

2005年美国《能源政策法案》颁布，法案明确要求加强核设施安全监管力度，并提出新形势下修订设计基准威胁时需要考虑的12个因素，具体如表3所示，其中包括各种恐怖威胁评估、重大爆炸装置和各类现代化武器的潜在使用和核设施必须能够抵御的潜在攻击的最大严重程度等。

表3 设计基准威胁影响因素Table 3 Influencing factors of Design Basis Threat

2007年，美国核管会完成设计基准威胁最终修订，并将其关于设计基准威胁的基本要求固化在联邦法规10 CFR 73.1《实物保护的目的和范围》中。设计基准威胁最终规则将假想敌人的破坏能力扩大为训练精良的一个或多个团队从多个入口点实施武装攻击，同时，将网络攻击也纳入设计基准威胁中。

2009年，美国核管会在联邦法规10 CFR 50.150《飞行器影响评估》中发布针对飞机撞击的最终规则，要求所有2009年7月13日后新建核设施都应进行大型商用飞机撞击影响评估。要求申请人确定并将这些设计特征和功能能力纳入设计中，以保证在发生大型商用飞机坠毁爆炸或火灾造成核电站大面积损失的情况下，反应堆堆芯冷却、安全壳完整和乏燃料存储池仍然保持安全。

为进一步防范网络攻击威胁，美国核管会于2009年3月发布了联邦法规10 CFR 73.54《数字计算机和通信系统与网络的保护》，并于2010年发布RG 5.71《核设施网络安全大纲》，要求各营运核设施必须提交网络安全大纲并定期审查，为执行核安全、实物保护和应急响应功能的数字计算机和通信系统提供足够的保护，免受设计基准威胁的攻击。

国际原子能机构作为一个致力于核科学技术安全、可靠及和平利用的国际组织，高度重视核材料和核设施的安全保卫问题，为防止、侦查和惩处针对核材料的国际犯罪行为，国际原子能机构于1980年发起《核材料实物保护公约》签署工作，要求国际社会共同合作，共同维护核材料的安全，其修订案于2005年生效，是民用核材料实物保护领域中唯一的国际法文书。同时，为进一步发挥其在国际核安保领域的国际核心协调作用，国际原子能机构编制出版了“核安保系列”丛书，内容涉及了核材料、核设施以及其他放射性物质的盗窃破坏和非法转移，以及进行预防、探测和响应的相关问题，指导各成员国切实有效地开展实物保护工作。其最新的关于设计基准威胁的实施导则《国家核安保威胁评估，设计基础威胁和代表性威胁声明》（NSS 10-G v1）于2021年5月出版。

目前，世界各主要有核国家都通过立法的方式将设计基准威胁作为核设施实物保护系统设计和评估的前提和基础。从已公开资料来看，武装恐怖袭击、飞机撞击和网络攻击都已纳入设计基准威胁的可信威胁评估范围。

4 我国现状

我国作为一个负责任的核技术利用大国，在维护和加强国际核安保体系、防止核扩散、保护核材料和核设施安全、防范核恐怖主义方面，一贯坚持积极的立场，支持国际原子能机构在核安保领域发挥核心作用，积极参与并推进《核材料实物保护公约》的生效与落实。我国于2008年10月28日由十一届全国人大会常委会第五次会议批准了《核材料实物保护公约》修正案，从而成为第二个递交《公约》修正案批准书的核武器国家［7］。

为落实核材料实物保护工作。国务院先后发布了《中华人民共和国核材料管制条例》和《中华人民共和国核材料管制条例实施细则》等法律法规，形成了由国家核安全局、国家国防科技工业局和中国人民解放军总装备部组成的多方协调管理机制，促进了我国核材料实物保护工作的有效开展。日本福岛核事故后，我国核能领域相关法律法规发展迅速。《中华人民共和国核安全法》已经颁布实施，《中华人民共和国原子能法（征求意见稿）》正在进行征求意见。近年来，国家核安全局、国家国防科技工业局和国家能源局先后制定了多项实物保护相关技术标准，有力地促进了我国实物保护相关工作的落实。详见表4。

表4 实物保护相关标准Table 4 Physical protection related standards

续表

同时，也应该看到，进入新时期以来，我国在核材料和核设施实物保护方面，相关法律法规和标准建设工作已经滞后，已经很难适应新的形势要求。需要进一步完善法律法规标准建设，明确责任分工，加强沟通协调，落实各项核安保措施，以切实提高安保能力。如针对设计基准威胁的界定和维护，2007年总装备部编制和发布了《军用核材料实物保护设计基准威胁导则》，对我国军用核材料设计基准威胁的界定和维护作出了规范。但在民用核材料设计基准威胁的界定和维护方面，国防科工局《中华人民共和国核安保条例（征求意见稿）》第九条中出提出了“国务院核工业行业主管部门会同国务院公安、国家安全部门，根据国家安全形势、结合核材料与核设施的安保类别，在评估潜在威胁的基础上，制定国家设计基准威胁，并适时更新”的要求，但目前该条例尚未正式颁布施行。国家核安全局在核安全导则HAD 501/021-2018《核设施实物保护》第2.1节中也明确提出“核设施的设计基准威胁在报呈国家主管部门确认后，方可作为设计和评估实物保护系统的依据。”但对如何确认核设施的设计基准威胁并没有明确规范，客观上也影响了核设施实物保护系统建设的针对性和有效性［8-9］。

针对核设施的网络攻击和商用飞机撞击问题，国家核安全局已制定了《核动力厂网络安全技术政策（试行）》并于2021年4月1日起正式实施。目前正在编制《核动力厂防御商用飞机恶意撞击安全技术政策（征求意见稿）》。下一步还需要进一步强化相关技术政策的落实和配套技术标准的建设。以进一步提高我国核实施的安全水平。

5 结论与建议

（1）设计基准威胁是对潜在内部和（或）外部敌人属性和特征的基本概括。设计基准威胁设计是否合理直接关系到核材料核设施的安全。设计基准威胁既随着时间和技术的进步而发生变化，也随着国际国内形势发展的变化而变化。从近几年的情形来看，防范恐怖分子武装暴力袭击、飞机撞击和网络攻击等问题成为国际社会研究的热点和重点。

（2）虚拟空间的网络攻击开创了对核材料核设施攻击的新手段、新方式。这种攻击可作用于针对核安全（包括仪器和控制系统）、核材料衡算和控制、核安保或应急响应（包括通信和警报系统）的所有计算机系统和网络，对传统的核安全、核安保防护体系带来重大冲击。这种网络攻击威胁与其他传统设计基准威胁结合使用形成的混合攻击，可能造成更大破坏力和危害。目前业界针对网络攻击的研究还有待深入，建立和维护有效的网络安全体系面临严峻的挑战。

（3）随着我国核电建设快速发展，核材料和核设施实物保护形势不容乐观［10-11］，亟需从法律层面明确职责分工，强化设计基准威胁分析研究，促进资源的合理分配和实物保护制度有效落实，切实增强核安保威胁防护能力。