網絡安全管理設備在核電廠DCS中的應用

鐘 洋，曹迎鋒，袁馨蕊

(中核控制系統工程有限公司，北京 100176)

0 引言

全廠分布式控制系統(distributed control system，DCS)是核電廠的神經中樞，控制著數百個工藝系統和近萬個設備的運行。DCS的網絡安全關系到系統的可用性、完整性和保密性。以往的核電站項目在建設之初較少考慮網絡安全。近年來，新建核電站在DCS設計階段就提出了網絡安全技術要求，并設計了相應的技術方案。GB/T 22239 《信息安全技術網絡安全等級保護基本要求》是網絡安全設計的重要依據之一。

2019年新修訂的GB/T 22239中的一項重要調整，就是將安全管理中心從管理層面提升到技術層面[1]。通過安全管理中心實現系統管理、審計管理、安全管理和集中管控，可將傳統的物理安全、網絡安全、主機安全、應用安全和數據安全的逐級縱深防御，升級為通過安全管理中心對安全通信網絡、安全區域邊界、安全計算環境三個方面實現集中管控的動態整體防御。核電廠的網絡安全需針對上述“一個中心，三重防護”的安全合規進行方案設計。

本文提出了在DCS中增加網絡安全管理設備，用于實現網絡安全管理中心的功能?；趯υ撛O備的配置方案和安全收益的分析，本文提出了現有方案和網絡安全管理設備的改進方案。

1 網絡安全管理設備的部署

本文設計在DCS中部署網絡安全管理設備。網絡安全管理設備的部署如圖1所示。

圖1 網絡安全管理設備的部署

安全管理設備接入二層網絡的A網，可通過工程師站登錄管理頁面；同時，可通過信息安全網與入侵檢測、防火墻等安全設備的管理口連接，用于日志備份和實時報警。

網絡安全管理設備具有的網絡安全功能如下[2]。

①一體化的安全管控界面。設備整合了全部安全監測信息，形成全網工控安全信息的集中展示，在發現威脅及攻擊時進行實時告警，并通過流程化事件處置手段支撐運維工作。

②工控安全監督拓撲。設備提供一個總體安全監控平臺。通過該平臺，可集中展示整個DCS網絡的安全信息和攻擊威脅。為了直觀易用、提高監控效率，該設備可以展現DCS網絡的物理拓撲結構，使用戶從全局視角了解整個DCS的信息控制安全。如果網絡中的某臺設備出現了安全告警或故障，將實時在拓撲結構圖的圖標上閃爍告警，提醒監控運維人員盡快處理。

③工控節點集中審計。通過二層網絡的A網，使用簡單網絡管理協議(simple network management protocol，SNMP)協議，對網絡設備(交換機)和二層節點(操作員站，服務器，工程師站等)運行狀況進行審計。該功能可監控上述設備的基本屬性，以及性能與可用性指標，包括名稱、IP、描述、節點狀態、運行時間、網絡接口信息、CPU利用率、內存利用率、磁盤利用率、磁盤I/O、文件系統、安裝軟件、安裝服務、運行進程、網絡連接。

④審計記錄功能。該功能通過網絡安全網，實現防火墻、入侵檢測設備等的實時報警顯示和日志存檔。

⑤時鐘同步功能。該功能支持作為網絡時間協議(network time protocol，NTP)時鐘客戶端，通過二層網絡的A網連接指定時鐘服務器；支持作為NTP時鐘服務器，通過信息安全網為網絡安全設備提供時鐘源。

⑥支持瀏覽器/服務器(browser/server，B/S)架構(加密的HTTPS服務)。操作員可通過瀏覽器，從工程師站上連接到集中管理系統進行實時報警的監視。

網絡安全管理設備的性能要求如下。

①日志采集能力不小于10 000條/s。

②1億條數據搜索完成用時不大于2 s。

③配置至少2個千兆網口。

④支持至少50臺信息安全設備(包括防火墻，入侵檢測設備)同時顯示實時報警信息。

⑤存儲空間滿足報警日志保存至少6個月時間。

網絡安全管理設備的部署不會對DCS的可用性、可靠性及響應時間等性能產生不可接受的影響，部署后，DCS的相關技術指標不會超出DCS總體技術要求的范圍。由于網絡安全管理設備旁路部署于DCS網絡，其故障不會影響DCS的正常運行。

2 方案的合規性分析

對比GB/T 22239第四級安全要求(以下簡稱等保4級)中安全管理中心的要求，從系統管理、審計管理、安全管理和集中管控4個方面，對加固后的DCS進行合規性分析。

(1)在系統管理方面，DCS應滿足以下等保四級的要求。

①應對系統管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統管理操作，并對這些操作進行審計。

②應通過系統管理員對系統的資源和運行進行配置、控制和管理，包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等[3-7]。

針對系統管理要求，DCS通過工程師站配置、管理各站點，具有離線組態、在線下裝、調試、數據備份與恢復等功能。工程師站通過用戶名和密碼進行身份鑒別。

(2)在審計管理方面，DCS應滿足以下等保四級的要求。

①應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計。

②應通過審計管理員對審計記錄應進行分析，并根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。

針對審計管理要求，DCS通過操作員站審計登錄、交接班等用戶操作，也可以審計工藝設備、儀控設備、工況等狀態信息。

(3)在安全管理方面，DCS應滿足以下等保四級的要求。

①應對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并對這些操作進行審計。

②應通過安全管理員對系統中的安全策略進行配置，包括：安全參數的設置；主體、客體的統一安全標記；對主體進行授權；配置可信驗證策略等。

針對安全管理要求，通過登錄網絡安全管理設備，對安全設備的安全策略進行配置，包括：安全參數的設置；對主體、客體進行統一安全標記；對主體進行授權；配置可信驗證策略等。

(4)在集中管控方面，DCS應滿足以下等保四級的要求。

①應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控。

②應建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理。

③應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。

④應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規要求。

⑤應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。

⑥應能對網絡中發生的各類安全事件進行識別、報警和分析。

⑦應確保系統范圍內的時間由唯一確定的時鐘產生，以保證各種數據的管理和分析在時間上的一致性。

針對集中管控要求，通過網絡安全管理設備和信息安全網：對DCS網絡中的安全設備和組件進行管理；對網絡鏈路、安全設備、網絡設備、主機和服務器等的運行狀況進行集中監測；對分散在各個安全設備上的審計數據進行收集匯總和集中分析；對網絡中發生的各類安全事件進行識別、報警；對安全策略、惡意代碼、補丁升級等進行管理。通過DCS時鐘服務器，保證各種數據的管理和分析在時間上的一致性。

3 方案和設備的改進

由于行業的規定和DCS的特殊要求，可以對設計方案和安全管理設備作以下改進。

①開發不同品牌網絡安全設備之間的通信接口。以單向隔離裝置和主機防護軟件為例，電力行業要求單向隔離裝置必須經過國家指定部門檢測認證，而大部分網絡安全設備品牌不具備該資質，導致單向隔離裝置與安全管理設備品牌不同。由于DCS兼容性的要求，主機防護大多采用DCS平臺供應商提供的軟件，導致主機防護軟件與安全管理設備品牌不同。對此，可通過二次開發，實現安全管理設備與上述不同品牌設備之間審計數據的收集匯總、集中分析、實時報警等功能。

②在現有核電站項目的設計中劃分出特定的管理區域進行集中管控。目前，在核電廠正常運行期間，安全管理員將通過工程師站登錄安全管理設備的管理界面，執行網絡安全管理中心的功能。對此，可在信息安全網上增加操作節點主機，并開辟專用的信息安全管理區域，用于網絡安全設備的管控和安全事件的報警。

③開發網絡設備與安全管理設備的通信接口。核電項目中使用的交換機往往提供自帶的網絡管理軟件，可以診斷整個網絡的總體運行情況、自動識別網絡設備、實時顯示設備運行狀態、自動分析網絡故障、自動記錄用戶操作日志和系統運行日志。交換機與安全管理設備品牌不同，可通過二次開發，實現安全管理設備對上述審計數據的收集匯總、集中分析、實時報警等功能。

④開發安全管理設備冗余網絡的切換機制。DCS采用冗余的網絡結構，配置A網、B網2組交換機，操作員站、工程師站、服務器等所有連接至冗余網絡的節點均有2個相互獨立的網絡接口，分別連接不同交換機。2條網絡同時工作，無主從之分。冗余網絡的切換由各個節點的通信機制根據通信數據的質量和有效狀態進行選擇，無需網絡切換與網間仲裁?，F有的安全管理設備只能連接A網。對此，可通過二次開發實現網絡冗余功能。

⑤開發安全管理設備與DCS二層人機畫面接口?？赏ㄟ^二次開發，實現安全管理設備上的實時報警。通過DCS發出聲光報警，可提示操作員進行及時處理。

4 結論

本文提出了在DCS網絡中增加網絡安全管理設備，以實現網絡安全管理中心功能的方案。通過合規性分析，該方案在安全管理中心方面基本可以滿足等保四級的要求。同時，本文也提出了現有方案和網絡安全設備的改進方案，可開發與不同品牌網絡安全設備、網絡設備、DCS之間的通信接口，增加與DCS相適應的冗余網絡切換機制，滿足核電廠DCS網絡安全的設計要求。