今日頭條
官方微信
官方抖音
案例頻道★北京廣利核系統工程有限公司馬維,武方杰,郄永學
關鍵詞:核電站;DCS儀控系統;和睦衛士;保障體系
近些年來,世界各國出現多起工業控制領域信息安全問題,如2015年12月,烏克蘭電網遭受“BlackEnergy”惡意軟件攻擊,導致發電設備產生故障引發民眾恐慌[1];2016年德國Gundremmingen核電站IT系統檢出惡意程序被迫關閉。該種網絡信息安全不僅嚴重影響工業領域的正常運行,更為甚者嚴重威脅國家安全[2]。為加強網絡信息安全問題應用措施,我國相繼出臺文件以及信息安全標準,特別是針對核電企業,更需重點關注[3-4]。
以往核電站在網絡安全方面雖然存在控制手段,但是都是以單元為基準,無法形成有效的防御保障體系。為解決這一問題,筆者通過對核電站DCS儀控系統網絡結構進行研究分析,并結合核電站DCS儀控系統設備的安全設備等級,對和睦衛士控制系統硬件產品,如綜合管理平臺、監測審計平臺、工業防火墻、入侵檢測系統、單向隔離裝置及安全級網絡安全監測平臺;軟件產品,如主機衛士及安全級DCS信息安全診斷平臺等關鍵技術進行了研究設計。下面對和睦衛士控制系統進行詳細介紹。
1 總體設計
依據核電站設備等級設置相應的網絡安全產品設計,和睦衛士網絡安全產品總體部署框架圖如圖1所示。
圖1 核電站網絡安全產品總體部署框架圖
在設計過程中,核電站DCS儀控系統中的操作員站、工程師站、顯示裝置以及維護裝置等采用主機安全加固系統,不同級別設備之間的通訊需加裝工業防火墻,同級別的設備之間通訊需加裝入侵檢測系統,網關交換機等一些設備需加裝工業安全監測與審計系統。所有監控系統實時傳遞到安全管理中心,由安全管理中心進行動態實時監控,保障核電站網絡安全。
2 硬件設計
2.1 綜合管理平臺
綜合管理平臺是對工業網絡中的安全產品及安全事件進行集中管控的一體化產品。通過對生產控制網絡中的工業防火墻、監測審計平臺、主機衛士等安全產品進行集中管理,實現統一配置、安全監控、實施警告等,降低運維成本和提升事件響應效率。整個平臺能夠對安全日志進行審計,并實現安全日志關聯分析等等,有效地為操作員提高了網絡安全信息。綜合管理平臺架構圖如圖2所示。
圖2 綜合管理平臺架構圖
2.2 監測審計平臺
監控審計平臺主要部署在設備等級較低的系統中,主要實現網絡交換機及端口流量的監控審計。每臺交換機固定一個鏡像口,交換機各端口的流量被鏡像到鏡像口,每臺交換機的鏡像口接出到審計平臺。監測審計平臺邏輯架構圖如圖3所示。
圖3 監測審計平臺
2.3 工業防火墻
工業防火墻是針對核電工業控制網絡進行邊界防護的專用防火墻產品,用于保護核電工業控制系統網絡免受各類來自辦公網或其它內、外部區域的攻擊威脅。在核電站DCS儀控系統中,它主要應用于不同設備級別間的通訊。工業防火墻的架構圖如圖4所示。
圖4 工業防火墻產品架構圖
2.4 入侵檢測系統
入侵檢測系統能夠彌補防火墻的不足,可有效監視交換機上的所有實時傳輸數據,提供全面專業的入侵檢測能力,并通過協議狀態檢查和智能關聯分析,為工業用戶提供全面的信息展現和安全預警,為改善用戶網絡的風險控制環境提供決策依據,是整個核電站DCS儀控系統網絡安全體系中不可或缺的一部分。入侵檢測平臺產品架構圖如圖5所示。
圖5 入侵檢測平臺產品架構圖
2.5 單向隔離裝置
單向隔離裝置是電力專用網絡安全隔離裝置(正向型單比特版),用于生產控制大區到管理信息大區的單向數據傳遞。
單向隔離裝置部署在網絡的唯一出口處,通過內網接口和外網接口,可分別與內網和外網相連。內網和外網的數據交換必須通過隔離裝置,以便保護安全的內部網絡。單向隔離裝置結構圖如圖6所示。
圖6 單向隔離裝置結構圖
3 軟件設計
3.1 工控主機衛士
工控主機衛士是對操作員站、工程師站、服務器等工業現場主機進行可執行程序文件管理的安全軟件產品。該產品結構圖如圖7所示,采用“文件級”應用白名單機制,可以有效阻止病毒、木馬及“0-Day”漏洞的感染和被利用,實現工控主機從啟動、加載到持續運行過程的全生命周期安全保障。該產品包括單機版和集中管理版兩種形態,其中集中管理版可以對分布安裝的工控主機衛士執行統一的管理,包括軟件配置、策略制定與下發、日志管理等。
圖7 工控主機衛士產品結構圖
3.2 系統監控畫面
系統監控畫面設計如圖8所示,主要是針對網絡允許名單、訪問權限等進行設置,操作人員可根據實際情況針對外部設備以及單元接口進行權限管理,保障核電DCS系統的安全。
圖8 系統監控畫面設計
4 現場調試應用
網絡信息安全產品-和睦衛士網絡安全系統已應用在紅沿河核電站5號機DCS儀控系統中,每季度可定期對Technical Support Center以及Computer Room中部分設備以及功能進行模擬網絡入侵。
2021年模擬網絡入侵信息統計表如表1所示。
表1 2021年模擬網絡入侵信息統計表
2021年模擬網絡入侵信息統計圖如圖9所示。
圖9 模擬網絡入侵信息統計圖
在2021年進行的模擬網絡入侵過程中,一季度、三季度分別發送50、70故障數,和睦衛士網絡安全系統均實現100%攔截;二季度及四季度分別發送60、80故障數,和睦衛士網絡安全系統分別攔截58、79故障數,其余3個經過研究分析,確認為是系統誤報,已針對系統進行完善。
作者簡介:
馬 維(1978-),男,碩士,北京人,高級工程師,現就職于北京廣利核系統工程有限公司,主要從事核電DCS儀控系統的設計與驗證工作。武
方杰(1984-),男,本科,江蘇人,工程師,現就職于北京廣利核系統工程有限公司,主要從事核電DCS儀控系統的設計與驗證工作。
郄永學(1973-),男,碩士,河北人,高級工程師,現就職于北京廣利核系統工程有限公司,主要從事核電DCS儀控系統的設計與驗證工作。
參考文獻:
[1] 王鋅, 王治華, 韓勇, 等. 面向電力系統網絡安全的多層協同防御模型研究[J]. 計算機工程, 2021 : (12).
[2] 劉小虎. 基于攻防博弈的網絡防御決策方法研究綜述[J]. 網絡與信息安全學報, 2021 : (01).
[3] 曹怡. 通信安全與信息系統管理安全探討[J]. 行政事業資產與財務, 2021 : (08).
[4] 錢峰, 張潮. 以數據為核心開展網絡安全攻防演練防守[J]. 水利信息化, 2020 : (06).
摘自《自動化博覽》2023年6月刊
北京市公安局海淀分局備案號:11010802023656號