对纵深防御的思考
理解网络安全领域的纵深防御策略
理解网络安全领域的纵深防御策略来源:嘶吼专业版网络安全领域的发展速度太快,隔一段时间就会有一些流行语和技术术语冒出来。
如果你有一段时间不关注该领域,则感觉已经跟不上时代了。
“纵深防御”(Defence-in-Depth, DiD)就是这样一个技术术语。
那么为什么会出现这个术语呢?简单地说,DiD要求将安全性应用于多个层,其工作原理是为每个层提供不同类型的保护,以便为提供阻止攻击的最佳手段。
这些层也可以防止不同的问题,全方位覆盖多个不同问题。
那么,我们如何使用该策略呢?简单地说,我们将不同的安全措施分组到不同的功能类别中并应用它们。
这与传统的物理安全的实现方式或分组方式没有太大区别。
纵深防御的思路事实上,任何负责任的安全专家都会告诉你,绝对没有办法100%保护你的IT网络免受所有可能的威胁。
你唯一能做的就是弄清楚你愿意承受多大程度的风险,然后采取措施来应对其余的风险。
这样说吧,安全防御行为其实就是一种平衡行为,找到安全性和可用性之间的平衡点,是一项困难的任务。
这种复杂性可以通过使用来自单个供应商的一套产品来管理,但也有其自身的缺点。
正如一篇文章所提到的观点:一方面,如果你能够从中央控制台获得一套安全产品,并且能够在一次成功的操作中报告这些产品,那就太好了。
但另一方面,采用单一供应商会有限制防御的风险。
最好的例子就是杀毒软件产品,不同的供应商可能能够识别大多数相同的病毒, 但处理的方法却大相径庭。
而且,有时这些不同的产品会与正常的操作行为发生冲突。
另一个考虑因素是,确实没有明确的规定要求你必须采取哪些措施来保护你的IT网络,因为具体的措施要施取决于你的组织规模、预算以及你尝试保护的数据的性质、你的组织可能会成为攻击目标的攻击类型以及你愿意接受的风险程度。
接下来,我将会讨论纵深防御的解决方案包括的不同层。
机构可能遇到的攻击者在网络世界里,一个机构可能遇到的攻击者大致可分为以下5类,每一类都有不同的攻击动机和能力:脚本小子以“黑客”自居并沾沾自喜的初学者。
网络安全纵深防御体系
网络安全纵深防御体系网络安全纵深防御体系是指在网络安全防护中采取一系列的多层次、多方位的防御措施,以应对不同类型的网络攻击和威胁。
其目的是通过多层次的防御策略,确保网络系统的安全性和可靠性,防止恶意攻击和数据泄露。
网络安全纵深防御体系主要包括以下几个层次的防御机制:1. 边界防御层:边界防火墙、入侵检测与防御系统(IDS/IPS)、反垃圾邮件系统等用于过滤外部网络流量,限制非授权访问和攻击的入侵。
2. 主机防御层:主机防火墙、主机入侵检测系统(HIDS)、反病毒软件、强化操作系统等用于保护服务器和终端设备,防止恶意程序和攻击利用漏洞入侵。
3. 应用防御层:网站防火墙、Web应用防火墙(WAF)、应用程序安全检测系统等用于检测和阻止Web应用程序的攻击,如SQL注入、跨站脚本攻击等。
4. 数据防御层:数据加密、数据备份与恢复、访问控制等用于保护敏感数据的机密性和完整性,防止数据泄露和篡改。
5. 内部防御层:内部网络安全监测系统、权限管理及审计系统等用于监测和防止内部人员的非法操作和恶意行为。
6. 应急响应层:安全事件管理系统、应急响应预案、安全培训与演练等用于及时发现、分析和响应安全事件,控制损失并追踪攻击源。
网络安全纵深防御体系的关键是各个层次的防御机制之间的协同工作与无缝衔接。
例如,主机防御层和边界防御层可以共享攻击信息、实施联动防御;应用防御层可以通过与主机防御层和数据防御层的结合,实现对Web应用安全的全面防护。
此外,网络安全纵深防御体系还需要持续进行监测和评估,及时发现和修复存在的安全漏洞和风险。
同时,人员培训和安全意识教育也是非常重要的组成部分,只有提高用户对网络安全的认知和警惕性,才能更好地应对各类网络攻击和威胁。
综上所述,网络安全纵深防御体系是一种综合性的网络安全防护体系,通过多层次、多方位的防御机制实现对网络系统的全面保护。
只有做好网络安全的纵深防御,才能确保网络的安全性和可靠性,保护重要数据和资产的安全。
什么是纵深防御安全的概念
什么是纵深防御安全的概念?
“纵深防御”是指一个多层次体系,如果其中一个安全措施的层次出了故障,另一个层次可以提供防护来阻止重大事故的发生,或者至少能够明显减轻其造成的后果。
在一座商业核反应堆中,至少有4至5层安全防护层。
第一层是燃料本身。
核燃料被设计得坚固而不会破裂。
例如,大多数商业燃料是用氧化铀制成的。
这种材料可以防止高放射性裂变产物的释放。
第二层通常是铀或钚燃料周围的包壳材料。
包壳材料常常由锆或某些合金制成,这些材料有助于阻止裂变产物的释放。
第三层是反应堆压力容器,通常由抗开裂或脆化的厚层钢板组成。
“脆化”的意思是容器在高能中子的长期轰击下变脆。
这一现象往往会限制核电厂的寿命,因为只有一个反应堆压力容器,必须保持它完好无损以避免冷却剂流失而造成重大事故。
科学家和工程师正在研究如何延长反应堆压力容器的寿命。
有一种机制叫“退火”,那是用热量或热能来去除脆性区域。
在美国,由于目前反应堆群体已使用了相对较长的时间,因此人们对延长这些反应堆容器的使用寿命表现出了相当浓厚的兴趣,以便查明是否会有许多反应堆能够连续运行长达80年。
目前,大部分反应堆的使用寿命只能延长到60年。
第四层是安全壳结构,那通常是用厚厚的钢筋混凝土建造的。
这个结构被设计成密闭的,以防止放射性气体释放到环境中去。
在某些新建的核电厂中可能还会有另一个保护层:第二安全壳。
还值得一提的是应急堆芯冷却系统,这是一个有助于防止堆芯熔化的保护层。
大纵深战役理论
大纵深战役理论是苏军20世纪30年代创立并有着深远影响的军事理论,在世界军事科学宝库中无疑占有重要的地位。
但是由于历史形成的原因,对苏军大纵深战役理论的阐述只散见于苏联时期的军事著作和军事期刊中。
2006年,本文作者应解放军出版社之约,把散见于书刊之中的重要著作和文章集中翻译、汇编成《大纵深战役理论》一书,作为外国著名军事理论丛书之一,向中国读者特别是军队读者介绍这一著名理论。
本文主要就这一理论的形成、发展及其内涵、实质、作用与影响等作了深入透彻的分析研究。
一、什么是大纵深战役大纵深战役理论是关于准备与实施大纵深战役的理论。
它是在大纵深战斗理论基础上发展起来的。
研究大纵深战役必然会先接触大纵深战斗,因此,许多文章的作者常常把二者结合起来说。
由于大纵深战役理论本身涵盖了大纵深战斗理论,人们许多时候便只提前者。
研究大纵深战役理论首先要弄清什么是大纵深战役(战斗)。
关于这点,H.B.奥加尔科夫元帅在《苏联军事百科全书》中讲得很清楚:“大纵深战役(战斗),是战役军团(兵团、部队)的作战样一式。
其实质是以杀伤兵器同时压制敌防御全纵深,在选定方向突破其战术地幅,尔后将发展胜利梯队(坦克、摩托化步兵、骑兵)投入交战,并为尽快达成预定目的机降空降兵,迅速将战术胜利发展为战役胜利。
”在这里,括号内的词用来解释大纵深战斗的概念(其他意义相同)。
这实际上是对M.H.图哈切夫斯基、B.K.特里安达菲洛夫、A.и.叶戈罗夫等军事领导人和专家、学者的论述进行综合后得出的官方结论。
根据具有权威性的论述,大纵深战役(战斗)的本质特征可概括为以下三点:1.对敌人防御配置实施全纵深突击。
全纵深突击是大纵深战斗和战役的精髓。
其要点是摈弃线式作战,在全纵深同时消灭、压制、牵制、合围和全歼敌主要集团。
早在1928~1929年间,图哈切夫斯基在向伏罗希洛夫呈送的一个报告中就强调要依靠新的物质技术基础,“摈弃过去那种单个夺取敌战斗队形每一个基点的、极其消耗体力的艰难作战样式,在同时压制敌配置全纵深的情况下,转而采取新的、更加有效的战斗样式和方法”。
构建基层央行纵深防御信息安全体系结构的思考
金 融纵横 2 0 1 3. 0 3
办 公 网进 行 了电磁 泄漏 防护 改 造 。在 技 术 防
( 二) 技 术防护 能力不 能满 足个性 化需求 基层 央行 目前 使 用 的安 全 防护 产 品 和 系 统 基本 为上 级行 统一 部 署 , 在 构 建 了统 一 的安
护方 面 , 统一 建 立 了 入侵 检 测 系 统 、 防病 毒 系
全 隐患 。其 次 , 在对 已有 系统 的应 用安 全 整改 方面 , 由于 更改 在用 系统 的配 置存 在很 大 的风 险, 并且 各 地 系统 存 在 差 异性 , 总 行无 法下 发
二、 基层央 行信 息 安全 体 系发 展 中存在 的
近年 来 , 国际 上 围绕信 息 的获 取 、 使 用 和
控 制 的 斗争 愈 演愈 烈 ,新 的信 息安 全 威 胁 与
( 银科技[ 2 0 1 1 ] 2 1 2号 ) 等 一 系列 管理 办 法 , 以
及《 中 国人 民银 行信 息 系 统 建设 安 全 指 引 ( 试
风 险层 出不 穷 ,人 民银 行 的信 息安 全 保 障 体
重要 业 务系 统安 全 、稳 定 运 行 起 到 了重 要 作
用。
普 遍缺 少 足够 的可信 任性 , 难 以提 供 应用 层所
需 的足够 的安全 机制 , 而 基层 央行 在 系统 开发 和建设 时往 往 由于 能力 限制 , 不 能综 合采 用有
效 的产 品或 技术 对其 进行 防护 , 使 系统 埋 下安
和建议 。
一
人 民银行 信 息 和指 导 下 , 十 多 年来 , 基 层 央行 已逐 步构 筑 了 自己 的信 息 安全 保 障 体 系 。在 组织 机构 建设 方 面 , 成立 信息 安 全管 理 领 导小 组 , 配 备 专职 计 算 机 安全 管 理 员 , 建
中国积极防御战略思想的当代意义
谈到以上问题,可能很多人会义愤填膺甚至对中国政府的处置态度深感不满,认为很多问题其实凭武力就可以解决,而政府除了“强烈谴责”和“深表遗憾”外无所作为。殊不知,为了保证自身的利益,中国所采取的积极防御战略其实包含了如下几项原则:
一是后发制人。中国军事战略自卫防御性的最核心内容,就是战略上的后发制人。这也与中国爱好和平的文化传统和近代饱受列强侵略的历史遭遇密切相关。中国一贯主张用非军事手段解决争端、慎重对待战争和战略上后发制人。邓小平明确强调:我们的战略始终是防御性的,就是将来现代化了也还是战略防御。因此,不论环境、利益和实力如何变化,中国的军事战略始终是防御性的,在军事上严守自卫立场,决不先发制人,决不对外侵略扩张和争夺霸权。当然,后发制人不是软弱无能,而是“人不犯我,我不犯人,人若犯我,我必犯人”。
南海问题是我国安全利益的重要掣肘因素。围绕南海水域、岛屿的主权争夺愈演愈烈,并日益复杂化和国际化的态势。伴随着美国重返亚太的战略,越南、菲律宾、马来西亚、印度尼西亚等国又开始积极活跃起来,其中以菲律宾的表现最为突出,从目前仍未解决的黄岩岛对峙事件可以看出,以美国为靠山的南海各国致力将南海问题国际化,使中国失去主动权。
美重返亚太有意制约中国。反观中国周边的热点问题,都无法排除一个重要的因素,那就是美国。在中国东部,美国凭借美日韩联盟对中国进行军事威胁。在中国东南,构成了以菲律宾、马来西亚等国为主的军事防御路线。在中国西南,实施了联印制华政策。此外,还与我国周边国家联合军演以威慑中国。这不仅损害了中国与周边国家的睦邻友好关系,而且极大地威胁到了中国的国家安全。
网络安全纵深防御
网络安全纵深防御网络安全纵深防御是一种综合利用各种技术手段,通过多层次、多维度的保护策略,从不同的角度对网络进行防御的方法。
下面将从网络安全纵深防御的概念、原则、策略和有效性等方面进行阐述。
网络安全纵深防御的概念:网络安全纵深防御是指在建立网络安全防护体系时,通过建立多个层次的安全防护策略,采取多种安全技术手段,实现对网络的全面保护和防御。
网络安全纵深防御的原则:网络安全纵深防御的原则主要有多层次原则、多层次备份原则、多层次监控原则和多层次应急响应原则。
多层次原则是指建立多个层次的安全防护策略,如网络边界防火墙、入侵检测系统、网络访问控制等;多层次备份原则是指建立多个层次的数据备份策略,确保数据的安全可靠;多层次监控原则是指建立多个层次的监控系统,实时监控网络的运行状态,及时发现异常行为;多层次应急响应原则是指建立多个层次的应急响应机制,快速响应网络安全事件,减少损失。
网络安全纵深防御的策略:网络安全纵深防御的策略主要包括网络边界防护、网络入侵检测与防范、网络访问控制、数据加密与备份、安全监控与日志分析、安全策略与培训等。
网络边界防护主要通过建立防火墙、入侵防御系统等技术手段,防止外部恶意攻击进入内部网络;网络入侵检测与防范主要通过利用入侵检测系统和入侵防御系统等技术手段,实时监测和防御网络入侵行为;网络访问控制主要通过建立访问控制策略,限制用户对网络资源的访问权限;数据加密与备份主要采用对重要数据进行加密,防止数据泄露和丢失,并进行定期备份以防止数据灾难;安全监控与日志分析主要利用安全监控系统和日志分析工具,实时监测网络运行状态和分析安全事件;安全策略与培训主要通过制定网络安全策略和开展网络安全培训,增强员工的网络安全意识和技能。
网络安全纵深防御的有效性:网络安全纵深防御能够从不同层次、不同方面对网络进行全面的保护和防御,使得攻击者很难一次性攻破所有的安全防护层面。
通过建立多层次的安全策略和采取多种安全技术手段,能够及早发现和防御网络攻击,并减少攻击对网络的影响。
网络安全纵深防御体系
网络安全纵深防御体系网络安全纵深防御体系是一种多层次、多策略的网络安全防护体系,其目的是通过逐层设置安全防护措施,提高网络安全的可靠性。
以下是一种网络安全纵深防御体系的基本框架,分为四个层次:物理层、网络层、主机层和应用层。
在物理层,主要是通过物理设备、设施等手段保护网络资源的物理安全。
例如,设置监控摄像头、门禁系统等,保护机房和服务器等重要设备;利用防火墙、入侵检测和防御系统等技术手段,保护网络传输链路的安全性和可靠性。
在网络层,主要是通过网络设备和网络协议等手段维护网络的安全。
例如,设置网络防火墙,控制和过滤网络流量,防止未经授权的访问;运用虚拟专用网络(VPN)技术,保护远程访问和数据传输过程中的安全性;采用网络隔离技术,将内外部网络进行隔离,限制攻击者在网络内部的活动。
在主机层,主要是通过操作系统、软件和安全策略等手段保护主机的安全。
例如,及时更新操作系统和应用程序的安全补丁,修补已知漏洞;禁止或限制非法用户的远程访问;设置访问控制、密码策略、安全审计等安全策略,确保主机的安全运行。
在应用层,主要是通过加密技术、访问控制和安全验证等手段保护应用程序和数据的安全。
例如,采用加密通信协议,保护数据在传输过程中的安全性;设置访问控制机制,限制用户的访问权限,防止未授权的操作;运用强认证和身份验证技术,确保用户的身份和权限的合法性。
此外,网络安全纵深防御体系还需要包括日志记录和事件响应等关键环节。
通过对网络活动的日志记录和分析,可以及时发现异常行为和入侵事件,并采取相应的响应措施;建立应急响应机制和演练计划,确保在网络安全事件发生时能够及时、有效地应对。
总的来说,网络安全纵深防御体系是一种多方位、多层次的网络安全防护策略,通过逐层设置安全措施,提高网络安全的可靠性。
这种体系需要不断地进行漏洞扫描和安全评估,及时更新和升级安全设备和系统,以应对不断变化的网络威胁和安全风险。
同时,也需要不断加强员工的安全意识和培训,提高他们的网络安全素养,共同维护网络的安全稳定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对纵深防御的思考范育茂朱宏(环境保护部西南核与辐射安全监督站,成都,610041)摘要:日本福岛核事故是世界核电运行史上首个由于极端自然灾害导致多个反应堆堆芯损坏的严重事故,将对全球核能发展产生深刻的影响。
本文对作为核安全基本原则的纵深防御进行了梳理和讨论,概述了纵深防御的涵义及其发展,描述了其实施过程;在分析福岛核事故暴露出的问题和带来的挑战之基础上,对后福岛时代的纵深防御体系给出了几点初步思考。
关键词:福岛核事故纵深防御核安全设计基准1 引言2011年3月11日,日本东北地区发生里氏9.0级特大地震,加上随之而来的巨大海啸,导致福岛第一核电站(Fukushima Dai-ichi Nuclear Power Station)发生严重事故,成为世界核电五十多年运行历史上首个由于极端外部自然事件导致多个反应堆堆芯损坏的核电站。
福岛核事故反映出当前人类社会对极端自然灾害的认识还存在局限性,直接挑战了核能界对核事故风险的传统认识,人们不能再以福岛核事故前的思维来对待核安全问题了。
福岛核事故,正在促使各国重新审视现有的核安全监管框架,反思对核安全的本质认识,加紧研究很多过去未曾考虑或忽视的核安全议题,如一址多堆核电机组的相互影响、极端外部事件叠加导致的多机组严重事故预防与缓解、实体屏障发生共模失效的概率及应对措施等。
在此背景下,有必要对纵深防御(Defense-In-Depth)这一核安全的基本原则和根本理念进行重新梳理和讨论,总结经验、吸取教训,以“亡羊补牢”,真正确保后福岛时代的核安全“万无一失”。
本文即是对此议题的初步思考。
2 纵深防御2.1 涵义及其发展纵深防御是上世纪50年代逐步发展起来的一种核安全策略。
对于纵深防御的概念,迄今为止还没有一个权威的官方定义,但全世界核能界对之的理解和应用基本一致,都视之为核安全的基本原则,核心理念是依次设置一系列多层次的保护,以保持反应性控制、堆芯冷却和放射性包容三项基本安全功能,进而确保工作人员、公众和环境安全。
它贯彻于安全有关的全部活动,包括与组织、人员行为或设计有关的方面,以保证这些活动均置于重叠措施的防御之下,即使有一种故障发生,它将由适当的措施探测、补偿或纠正[1]。
因此,可以说,应用纵深防御原则之根本目的是为了补偿由于认识不足而在人类活动中产生的不确定性[2]。
在今天,纵深防御不仅仅是一个安全概念,也是一种原则、一种方法,更是一种理念、一种体系[3]。
众所周知,从技术层面度量风险的大小或程度时,风险等于事故后果乘以事故的发生概率。
因此,要降低核能发展可能带来的风险,就需要采取尽可能的措施降低事故发生概率和(或)事故后果。
前者就是我们通常所说的事故预防范畴,后者则属于后果缓解范畴。
1967年,美国原子能委员会(U.S. AEC)的一个内部研究报告首先提出了核反应堆纵深防御的三个基本层次:事故预防、保护和缓解,并强调应把安全投入和措施主要集中于事故预防上;随后,美国核管理委员会(U.S. NRC)将之调整为事故预防、缓解和应急准备三个防御层次[4]。
随着上世纪两起严重核事故的发生,人类对核事故的认识和研究逐步加深,相应的安全措施日渐成熟,便形成了今天的纵深防御体系:四道实体屏障和五个连续的防御层次。
就典型的水冷反应堆而言,四道实体屏障分别是燃料基体、燃料包壳、反应堆冷却剂系统压力边界和安全壳。
五个连续的防御层次见下表所示:表1 纵深防御的层次[5]为使纵深防御得以有效实施,各个防御层次都包含如下的基本前提:适当的保守性、质量保证和安全文化。
在表示每个防御层次的可靠性要求时,虽然没有通用的定量指标,但第一层次无疑应视作重点[1]。
实践中,一般应用冗余性、多样性和独立性原则来确保各防御层次的可靠性。
2.2 实施过程从表1可知,纵深防御的每个层次都有其特定的目标,包括实体屏障的保护和实现这种保护的方式。
要确保各防御层次目标的实现,就需要执行和维持三项基本安全功能及导出(或辅助)的安全功能。
因此,为应对给基本安全功能带来的可能挑战(由某些机理、过程或条件所引起),需要在给定的防御层次上采取纵深防御的规定(或措施),包括固有安全特征、安全裕量、(非)能动系统、程序、操纵员动作、组织措施和安全文化等,如下图所示[6]。
图1 为达成安全目标所应采取的防御措施3 问题与挑战如三里岛和切尔诺贝利核事故一样,福岛核事故再次清晰地验证了纵深防御的至关重要性,同时也暴露了现存的纵深防御体系存在的漏洞和不足,即对确保核安全所起到的必要而远不充分的作用。
依据纵深防御原则,只有当连续且互相独立的各级保护全部失灵后才会出现损害;从目前掌握的情况分析,福岛第一核电站的各层(级)保护并没有实现真正的相互独立,它们都被同一串事件影响甚至损坏,属于典型的共模失效。
在福岛核事故中,由于地震及随后的海啸导致核电站出现(长时间的)全厂断电(SBO)事故,堆芯冷却和最终热阱丧失,使得堆芯余热无法及时导出,进而对各道实体屏障的放射性包容功能构成重大威胁。
正是由于全厂断电这一共因使得各层保护屏障出现漏洞,最后导致燃料元件部分熔化、放射性物质主动或被动释放到环境中。
由此,为防范核事故或降低事故后果,全过程运用纵深防御理念远不够,更重要的是要始终确保各个防御层次的可靠性(主要表现为完整性和有效性)。
更重要的是,福岛核事故揭示了我们对纵深防御的认识尚不够全面,过分注重事故预防,而对严重事故(尤其是极端外部事件导致的超设计基准事故)的后果缓解研究不够,导致一旦发生严重事故时,常常措手不及、应对不力。
换句话说,在贯彻和实施纵深防御原则过程中,要始终注意和强调“安全措施的均衡性”,后果缓解(包括应急)功能和事故预防同等重要,每一道防线都不可或缺且须同等“坚固”,并作为“最后一道防线”来认识与落实[7]。
4 几点思考前车之鉴,后事之师。
福岛核事故之后,要使公众真正接受核能的发展应用和恢复对核安全的充分信心,需要全球核能界在现有基础上实施较大的安全改进和作出持续的努力。
笔者以为,后福岛时代的纵深防御可能会面临和呈现以下变化和特征:4.1 公众能接受的核安全和核安全目标从辐射的角度看,福岛核事故并没有导致急性的辐射死亡,预期也不会给公众造成重要的延迟辐射健康效应[8];但造成的政治、社会和经济方面的后果(如大面积的土地污染、事故后大量居民的重新安置、巨额的经济损失等)却相当严重,尤其是一起严重核事故将造成公众普遍减弱甚至丧失对核电发展的信心。
因此,由于核事故所具有的影响的全球性、后果的难于恢复性、公众的极度敏感性等特点,可以预见在将来如福岛这样的核事故(即使是由极端自然灾害所致)公众是不能接受的。
在后福岛时代,对公众而言什么是安全的核电站?如果在增强的纵深防御体系的有效作用下,核电站在正常运行或事故情况下,都不会向环境释放过量的放射性物质;即使在发生极端事件(包括堆芯损毁)时,我们有充分的把握保护民众的健康,并使环境受到的影响是有限、暂时、可恢复的,则此时的核安全可以说是有充分保障的,也是公众能接受的。
在未来,保护公众健康和安全免受辐射伤害仍然是核安全的首要任务,同时也应防止或最小化事故情况下放射性物质大量释放所带来的社会-政治-经济后果和环境方面的影响[9]。
为此,可能需要变革现有的核安全框架体系,而作为实现安全目标的具体过程和措施,纵深防御亦将面临重大调整和加强。
4.2 设计基准的扩展50多年以来,纵深防御对保证核安全的重要作用已被大量实践所证实,仍将继续得到贯彻[10]。
在后福岛时代,纵深防御在各国核安全监管框架中的基础地位不会动摇,并得到巩固,充分性和可靠性将增强,尤其是设计基准的适用范围将扩展。
过去,设计基准已成为核安全管理理论中的一个中心要素,现役的核反应堆均是依照设计基准方法被设计、许可和运行。
设计基准的概念等同于足够的保护,而超设计基准则属于安全的进一步提升,属于过分或额外的保护范畴[11]。
可以预见,现在属于超设计基准事故范畴的一些事故在将来可能会被调整进入设计基准事故范畴,以进一步加强纵深防御体系中的事故预防功能。
事实上,如未能紧急停堆的预期瞬变(ATWS)和全厂断电(SBO)事故,在1980年代以前被NRC排除在设计基准外,后来(由于核安全研究的发现)均被调整入设计基准事故(DBA)的范畴[9],并在美国联邦法规(10 CFR 50.62和10 CFR 50.63)中有明确的要求。
另外,为吸取福岛核事故的教训(如共模失效和多重事故叠加的影响),NRC正在酝酿对核电厂的通用设计准则(General Design Criteria)进行修订,建立一个更“坚固”的设计基准以增强在运和在建核电站的安全。
4.3 缓解措施的增强几十年来,人们在降低事故发生概率(即事故预防)方面取得了长足的进步,但在事故后果的缓解方面还存在较大的不足[12]。
福岛核事故一方面让我们对现有核电机组的设计安全裕量抱有信心(在超设计基准条件下仍有一定的抵御能力),另一方面也提醒我们应高度重视来自极端外部事件(如地震、洪水)所带来的严峻挑战和潜在的严重后果(机组出现共模失效甚至导致多机组事故)。
借助于概率安全评价(PSA)技术,人们对事故(尤其严重事故)的发生概率和后果有更深入的认识,但至今仍难于准确预测极端自然灾害的发生概率和严重性。
因此,要完全防止堆芯熔化和放射性物质大量释放,仅仅依赖于传统的设计基准策略并不充分,需要给予事故后果缓解措施(包括应急)同等的重视,并力求在事故预防和后果缓解功能之间达成更恰当的平衡。
但是,极端自然灾害及其次生灾害的叠加,或者恐怖袭击与人为破坏,往往具有很大的不确定性;如何采取有效的技术策略处置这些初因事件诱发产生的严重事故,是福岛核事故给全球核能界带来的现实挑战。
据研究,所有内外部事件引发的严重事故,其技术方面的后果,都可以由“全厂断电”或“失去热阱”来包络,因此现有严重事故对策中,有关处置全厂断电和失去热阱的一切手段都是继续有效的[7]。
一方面,NRC认为福岛核事故验证了美国自9/11恐怖袭击事件后为应对超设计基准事件(如火灾或爆炸)而采取的B.5.b缓解策略(2009年被写入联邦法规10 CFR 50.54(hh)(2))的潜在重要性和有效性,故继续运营和审批核电项目不会对公众健康和安全造成立即不可接受之风险[11];另一方面,NRC在福岛核事故一周年之际发布监管指令,要求立即修改许可证中关于应对超设计基准外部事件缓解策略的要求,并认可核能研究所(NEI)发布的实施导则(Diverse and Flexible CopingStrategies(FLEX) Implementation Guide)可作为营运单位落实上述要求的具体参考[13]。