国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★北京廣利核系統(tǒng)工程有限公司馬維，武方杰，郄永學(xué)

關(guān)鍵詞：核電站；DCS儀控系統(tǒng)；和睦衛(wèi)士；保障體系

近些年來，世界各國出現(xiàn)多起工業(yè)控制領(lǐng)域信息安全問題，如2015年12月，烏克蘭電網(wǎng)遭受“BlackEnergy”惡意軟件攻擊，導(dǎo)致發(fā)電設(shè)備產(chǎn)生故障引發(fā)民眾恐慌^[1]；2016年德國Gundremmingen核電站IT系統(tǒng)檢出惡意程序被迫關(guān)閉。該種網(wǎng)絡(luò)信息安全不僅嚴(yán)重影響工業(yè)領(lǐng)域的正常運(yùn)行，更為甚者嚴(yán)重威脅國家安全^[2]。為加強(qiáng)網(wǎng)絡(luò)信息安全問題應(yīng)用措施，我國相繼出臺文件以及信息安全標(biāo)準(zhǔn)，特別是針對核電企業(yè)，更需重點(diǎn)關(guān)注^[3-4]。

以往核電站在網(wǎng)絡(luò)安全方面雖然存在控制手段，但是都是以單元為基準(zhǔn)，無法形成有效的防御保障體系。為解決這一問題，筆者通過對核電站DCS儀控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行研究分析，并結(jié)合核電站DCS儀控系統(tǒng)設(shè)備的安全設(shè)備等級，對和睦衛(wèi)士控制系統(tǒng)硬件產(chǎn)品，如綜合管理平臺、監(jiān)測審計(jì)平臺、工業(yè)防火墻、入侵檢測系統(tǒng)、單向隔離裝置及安全級網(wǎng)絡(luò)安全監(jiān)測平臺；軟件產(chǎn)品，如主機(jī)衛(wèi)士及安全級DCS信息安全診斷平臺等關(guān)鍵技術(shù)進(jìn)行了研究設(shè)計(jì)。下面對和睦衛(wèi)士控制系統(tǒng)進(jìn)行詳細(xì)介紹。

1　總體設(shè)計(jì)

依據(jù)核電站設(shè)備等級設(shè)置相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品設(shè)計(jì)，和睦衛(wèi)士網(wǎng)絡(luò)安全產(chǎn)品總體部署框架圖如圖1所示。

圖1  核電站網(wǎng)絡(luò)安全產(chǎn)品總體部署框架圖

在設(shè)計(jì)過程中，核電站DCS儀控系統(tǒng)中的操作員站、工程師站、顯示裝置以及維護(hù)裝置等采用主機(jī)安全加固系統(tǒng)，不同級別設(shè)備之間的通訊需加裝工業(yè)防火墻，同級別的設(shè)備之間通訊需加裝入侵檢測系統(tǒng)，網(wǎng)關(guān)交換機(jī)等一些設(shè)備需加裝工業(yè)安全監(jiān)測與審計(jì)系統(tǒng)。所有監(jiān)控系統(tǒng)實(shí)時傳遞到安全管理中心，由安全管理中心進(jìn)行動態(tài)實(shí)時監(jiān)控，保障核電站網(wǎng)絡(luò)安全。

2  硬件設(shè)計(jì)

2.1　綜合管理平臺

綜合管理平臺是對工業(yè)網(wǎng)絡(luò)中的安全產(chǎn)品及安全事件進(jìn)行集中管控的一體化產(chǎn)品。通過對生產(chǎn)控制網(wǎng)絡(luò)中的工業(yè)防火墻、監(jiān)測審計(jì)平臺、主機(jī)衛(wèi)士等安全產(chǎn)品進(jìn)行集中管理，實(shí)現(xiàn)統(tǒng)一配置、安全監(jiān)控、實(shí)施警告等，降低運(yùn)維成本和提升事件響應(yīng)效率。整個平臺能夠?qū)Π踩罩具M(jìn)行審計(jì)，并實(shí)現(xiàn)安全日志關(guān)聯(lián)分析等等，有效地為操作員提高了網(wǎng)絡(luò)安全信息。綜合管理平臺架構(gòu)圖如圖2所示。

圖2  綜合管理平臺架構(gòu)圖

2.2　監(jiān)測審計(jì)平臺

監(jiān)控審計(jì)平臺主要部署在設(shè)備等級較低的系統(tǒng)中，主要實(shí)現(xiàn)網(wǎng)絡(luò)交換機(jī)及端口流量的監(jiān)控審計(jì)。每臺交換機(jī)固定一個鏡像口，交換機(jī)各端口的流量被鏡像到鏡像口，每臺交換機(jī)的鏡像口接出到審計(jì)平臺。監(jiān)測審計(jì)平臺邏輯架構(gòu)圖如圖3所示。

圖3  監(jiān)測審計(jì)平臺

2.3　工業(yè)防火墻

工業(yè)防火墻是針對核電工業(yè)控制網(wǎng)絡(luò)進(jìn)行邊界防護(hù)的專用防火墻產(chǎn)品，用于保護(hù)核電工業(yè)控制系統(tǒng)網(wǎng)絡(luò)免受各類來自辦公網(wǎng)或其它內(nèi)、外部區(qū)域的攻擊威脅。在核電站DCS儀控系統(tǒng)中，它主要應(yīng)用于不同設(shè)備級別間的通訊。工業(yè)防火墻的架構(gòu)圖如圖4所示。

圖4  工業(yè)防火墻產(chǎn)品架構(gòu)圖

2.4　入侵檢測系統(tǒng)

入侵檢測系統(tǒng)能夠彌補(bǔ)防火墻的不足，可有效監(jiān)視交換機(jī)上的所有實(shí)時傳輸數(shù)據(jù)，提供全面專業(yè)的入侵檢測能力，并通過協(xié)議狀態(tài)檢查和智能關(guān)聯(lián)分析，為工業(yè)用戶提供全面的信息展現(xiàn)和安全預(yù)警，為改善用戶網(wǎng)絡(luò)的風(fēng)險(xiǎn)控制環(huán)境提供決策依據(jù)，是整個核電站DCS儀控系統(tǒng)網(wǎng)絡(luò)安全體系中不可或缺的一部分。入侵檢測平臺產(chǎn)品架構(gòu)圖如圖5所示。

圖5  入侵檢測平臺產(chǎn)品架構(gòu)圖

2.5　單向隔離裝置

單向隔離裝置是電力專用網(wǎng)絡(luò)安全隔離裝置（正向型單比特版），用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的單向數(shù)據(jù)傳遞。

單向隔離裝置部署在網(wǎng)絡(luò)的唯一出口處，通過內(nèi)網(wǎng)接口和外網(wǎng)接口，可分別與內(nèi)網(wǎng)和外網(wǎng)相連。內(nèi)網(wǎng)和外網(wǎng)的數(shù)據(jù)交換必須通過隔離裝置，以便保護(hù)安全的內(nèi)部網(wǎng)絡(luò)。單向隔離裝置結(jié)構(gòu)圖如圖6所示。

圖6  單向隔離裝置結(jié)構(gòu)圖

3　軟件設(shè)計(jì)

3.1　工控主機(jī)衛(wèi)士

工控主機(jī)衛(wèi)士是對操作員站、工程師站、服務(wù)器等工業(yè)現(xiàn)場主機(jī)進(jìn)行可執(zhí)行程序文件管理的安全軟件產(chǎn)品。該產(chǎn)品結(jié)構(gòu)圖如圖7所示，采用“文件級”應(yīng)用白名單機(jī)制，可以有效阻止病毒、木馬及“0-Day”漏洞的感染和被利用，實(shí)現(xiàn)工控主機(jī)從啟動、加載到持續(xù)運(yùn)行過程的全生命周期安全保障。該產(chǎn)品包括單機(jī)版和集中管理版兩種形態(tài)，其中集中管理版可以對分布安裝的工控主機(jī)衛(wèi)士執(zhí)行統(tǒng)一的管理，包括軟件配置、策略制定與下發(fā)、日志管理等。

圖7  工控主機(jī)衛(wèi)士產(chǎn)品結(jié)構(gòu)圖

3.2　系統(tǒng)監(jiān)控畫面

系統(tǒng)監(jiān)控畫面設(shè)計(jì)如圖8所示，主要是針對網(wǎng)絡(luò)允許名單、訪問權(quán)限等進(jìn)行設(shè)置，操作人員可根據(jù)實(shí)際情況針對外部設(shè)備以及單元接口進(jìn)行權(quán)限管理，保障核電DCS系統(tǒng)的安全。

圖8  系統(tǒng)監(jiān)控畫面設(shè)計(jì)

4　現(xiàn)場調(diào)試應(yīng)用

網(wǎng)絡(luò)信息安全產(chǎn)品-和睦衛(wèi)士網(wǎng)絡(luò)安全系統(tǒng)已應(yīng)用在紅沿河核電站5號機(jī)DCS儀控系統(tǒng)中，每季度可定期對Technical Support Center以及Computer Room中部分設(shè)備以及功能進(jìn)行模擬網(wǎng)絡(luò)入侵。

2021年模擬網(wǎng)絡(luò)入侵信息統(tǒng)計(jì)表如表1所示。

表1  2021年模擬網(wǎng)絡(luò)入侵信息統(tǒng)計(jì)表

2021年模擬網(wǎng)絡(luò)入侵信息統(tǒng)計(jì)圖如圖9所示。

圖9  模擬網(wǎng)絡(luò)入侵信息統(tǒng)計(jì)圖

在2021年進(jìn)行的模擬網(wǎng)絡(luò)入侵過程中，一季度、三季度分別發(fā)送50、70故障數(shù)，和睦衛(wèi)士網(wǎng)絡(luò)安全系統(tǒng)均實(shí)現(xiàn)100%攔截；二季度及四季度分別發(fā)送60、80故障數(shù)，和睦衛(wèi)士網(wǎng)絡(luò)安全系統(tǒng)分別攔截58、79故障數(shù)，其余3個經(jīng)過研究分析，確認(rèn)為是系統(tǒng)誤報(bào)，已針對系統(tǒng)進(jìn)行完善。

作者簡介：

馬　維（1978-），男，碩士，北京人，高級工程師，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核電DCS儀控系統(tǒng)的設(shè)計(jì)與驗(yàn)證工作。武

方杰（1984-），男，本科，江蘇人，工程師，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核電DCS儀控系統(tǒng)的設(shè)計(jì)與驗(yàn)證工作。

郄永學(xué)（1973-），男，碩士，河北人，高級工程師，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核電DCS儀控系統(tǒng)的設(shè)計(jì)與驗(yàn)證工作。

參考文獻(xiàn)：

[1] 王鋅, 王治華, 韓勇, 等. 面向電力系統(tǒng)網(wǎng)絡(luò)安全的多層協(xié)同防御模型研究[J]. 計(jì)算機(jī)工程, 2021 : (12).

[2] 劉小虎. 基于攻防博弈的網(wǎng)絡(luò)防御決策方法研究綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021 : (01).

[3] 曹怡. 通信安全與信息系統(tǒng)管理安全探討[J]. 行政事業(yè)資產(chǎn)與財(cái)務(wù), 2021 : (08).

[4] 錢峰, 張潮. 以數(shù)據(jù)為核心開展網(wǎng)絡(luò)安全攻防演練防守[J]. 水利信息化, 2020 : (06).

摘自《自動化博覽》2023年6月刊