鐘 洋，曹迎鋒，袁馨蕊

(中核控制系統(tǒng)工程有限公司，北京 100176)

0 引言

全廠分布式控制系統(tǒng)(distributed control system，DCS)是核電廠的神經(jīng)中樞，控制著數(shù)百個工藝系統(tǒng)和近萬個設(shè)備的運行。DCS的網(wǎng)絡(luò)安全關(guān)系到系統(tǒng)的可用性、完整性和保密性。以往的核電站項目在建設(shè)之初較少考慮網(wǎng)絡(luò)安全。近年來，新建核電站在DCS設(shè)計階段就提出了網(wǎng)絡(luò)安全技術(shù)要求，并設(shè)計了相應(yīng)的技術(shù)方案。GB/T 22239 《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》是網(wǎng)絡(luò)安全設(shè)計的重要依據(jù)之一。

2019年新修訂的GB/T 22239中的一項重要調(diào)整，就是將安全管理中心從管理層面提升到技術(shù)層面[1]。通過安全管理中心實現(xiàn)系統(tǒng)管理、審計管理、安全管理和集中管控，可將傳統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全的逐級縱深防御，升級為通過安全管理中心對安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境三個方面實現(xiàn)集中管控的動態(tài)整體防御。核電廠的網(wǎng)絡(luò)安全需針對上述“一個中心，三重防護”的安全合規(guī)進行方案設(shè)計。

本文提出了在DCS中增加網(wǎng)絡(luò)安全管理設(shè)備，用于實現(xiàn)網(wǎng)絡(luò)安全管理中心的功能?；趯υ撛O(shè)備的配置方案和安全收益的分析，本文提出了現(xiàn)有方案和網(wǎng)絡(luò)安全管理設(shè)備的改進方案。

1 網(wǎng)絡(luò)安全管理設(shè)備的部署

本文設(shè)計在DCS中部署網(wǎng)絡(luò)安全管理設(shè)備。網(wǎng)絡(luò)安全管理設(shè)備的部署如圖1所示。

圖1 網(wǎng)絡(luò)安全管理設(shè)備的部署

安全管理設(shè)備接入二層網(wǎng)絡(luò)的A網(wǎng)，可通過工程師站登錄管理頁面；同時，可通過信息安全網(wǎng)與入侵檢測、防火墻等安全設(shè)備的管理口連接，用于日志備份和實時報警。

網(wǎng)絡(luò)安全管理設(shè)備具有的網(wǎng)絡(luò)安全功能如下[2]。

①一體化的安全管控界面。設(shè)備整合了全部安全監(jiān)測信息，形成全網(wǎng)工控安全信息的集中展示，在發(fā)現(xiàn)威脅及攻擊時進行實時告警，并通過流程化事件處置手段支撐運維工作。

②工控安全監(jiān)督拓?fù)?。設(shè)備提供一個總體安全監(jiān)控平臺。通過該平臺，可集中展示整個DCS網(wǎng)絡(luò)的安全信息和攻擊威脅。為了直觀易用、提高監(jiān)控效率，該設(shè)備可以展現(xiàn)DCS網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，使用戶從全局視角了解整個DCS的信息控制安全。如果網(wǎng)絡(luò)中的某臺設(shè)備出現(xiàn)了安全告警或故障，將實時在拓?fù)浣Y(jié)構(gòu)圖的圖標(biāo)上閃爍告警，提醒監(jiān)控運維人員盡快處理。

③工控節(jié)點集中審計。通過二層網(wǎng)絡(luò)的A網(wǎng)，使用簡單網(wǎng)絡(luò)管理協(xié)議(simple network management protocol，SNMP)協(xié)議，對網(wǎng)絡(luò)設(shè)備(交換機)和二層節(jié)點(操作員站，服務(wù)器，工程師站等)運行狀況進行審計。該功能可監(jiān)控上述設(shè)備的基本屬性，以及性能與可用性指標(biāo)，包括名稱、IP、描述、節(jié)點狀態(tài)、運行時間、網(wǎng)絡(luò)接口信息、CPU利用率、內(nèi)存利用率、磁盤利用率、磁盤I/O、文件系統(tǒng)、安裝軟件、安裝服務(wù)、運行進程、網(wǎng)絡(luò)連接。

④審計記錄功能。該功能通過網(wǎng)絡(luò)安全網(wǎng)，實現(xiàn)防火墻、入侵檢測設(shè)備等的實時報警顯示和日志存檔。

⑤時鐘同步功能。該功能支持作為網(wǎng)絡(luò)時間協(xié)議(network time protocol，NTP)時鐘客戶端，通過二層網(wǎng)絡(luò)的A網(wǎng)連接指定時鐘服務(wù)器；支持作為NTP時鐘服務(wù)器，通過信息安全網(wǎng)為網(wǎng)絡(luò)安全設(shè)備提供時鐘源。

⑥支持瀏覽器/服務(wù)器(browser/server，B/S)架構(gòu)(加密的HTTPS服務(wù))。操作員可通過瀏覽器，從工程師站上連接到集中管理系統(tǒng)進行實時報警的監(jiān)視。

網(wǎng)絡(luò)安全管理設(shè)備的性能要求如下。

①日志采集能力不小于10 000條/s。

②1億條數(shù)據(jù)搜索完成用時不大于2 s。

③配置至少2個千兆網(wǎng)口。

④支持至少50臺信息安全設(shè)備(包括防火墻，入侵檢測設(shè)備)同時顯示實時報警信息。

⑤存儲空間滿足報警日志保存至少6個月時間。

網(wǎng)絡(luò)安全管理設(shè)備的部署不會對DCS的可用性、可靠性及響應(yīng)時間等性能產(chǎn)生不可接受的影響，部署后，DCS的相關(guān)技術(shù)指標(biāo)不會超出DCS總體技術(shù)要求的范圍。由于網(wǎng)絡(luò)安全管理設(shè)備旁路部署于DCS網(wǎng)絡(luò)，其故障不會影響DCS的正常運行。

2 方案的合規(guī)性分析

對比GB/T 22239第四級安全要求(以下簡稱等保4級)中安全管理中心的要求，從系統(tǒng)管理、審計管理、安全管理和集中管控4個方面，對加固后的DCS進行合規(guī)性分析。

(1)在系統(tǒng)管理方面，DCS應(yīng)滿足以下等保四級的要求。

①應(yīng)對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。

②應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等[3-7]。

針對系統(tǒng)管理要求，DCS通過工程師站配置、管理各站點，具有離線組態(tài)、在線下裝、調(diào)試、數(shù)據(jù)備份與恢復(fù)等功能。工程師站通過用戶名和密碼進行身份鑒別。

(2)在審計管理方面，DCS應(yīng)滿足以下等保四級的要求。

①應(yīng)對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計。

②應(yīng)通過審計管理員對審計記錄應(yīng)進行分析，并根據(jù)分析結(jié)果進行處理，包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。

針對審計管理要求，DCS通過操作員站審計登錄、交接班等用戶操作，也可以審計工藝設(shè)備、儀控設(shè)備、工況等狀態(tài)信息。

(3)在安全管理方面，DCS應(yīng)滿足以下等保四級的要求。

①應(yīng)對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并對這些操作進行審計。

②應(yīng)通過安全管理員對系統(tǒng)中的安全策略進行配置，包括：安全參數(shù)的設(shè)置；主體、客體的統(tǒng)一安全標(biāo)記；對主體進行授權(quán)；配置可信驗證策略等。

針對安全管理要求，通過登錄網(wǎng)絡(luò)安全管理設(shè)備，對安全設(shè)備的安全策略進行配置，包括：安全參數(shù)的設(shè)置；對主體、客體進行統(tǒng)一安全標(biāo)記；對主體進行授權(quán)；配置可信驗證策略等。

(4)在集中管控方面，DCS應(yīng)滿足以下等保四級的要求。

①應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控。

②應(yīng)建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理。

③應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測。

④應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求。

⑤應(yīng)對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理。

⑥應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。

⑦應(yīng)確保系統(tǒng)范圍內(nèi)的時間由唯一確定的時鐘產(chǎn)生，以保證各種數(shù)據(jù)的管理和分析在時間上的一致性。

針對集中管控要求，通過網(wǎng)絡(luò)安全管理設(shè)備和信息安全網(wǎng)：對DCS網(wǎng)絡(luò)中的安全設(shè)備和組件進行管理；對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機和服務(wù)器等的運行狀況進行集中監(jiān)測；對分散在各個安全設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析；對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警；對安全策略、惡意代碼、補丁升級等進行管理。通過DCS時鐘服務(wù)器，保證各種數(shù)據(jù)的管理和分析在時間上的一致性。

3 方案和設(shè)備的改進

由于行業(yè)的規(guī)定和DCS的特殊要求，可以對設(shè)計方案和安全管理設(shè)備作以下改進。

①開發(fā)不同品牌網(wǎng)絡(luò)安全設(shè)備之間的通信接口。以單向隔離裝置和主機防護軟件為例，電力行業(yè)要求單向隔離裝置必須經(jīng)過國家指定部門檢測認(rèn)證，而大部分網(wǎng)絡(luò)安全設(shè)備品牌不具備該資質(zhì)，導(dǎo)致單向隔離裝置與安全管理設(shè)備品牌不同。由于DCS兼容性的要求，主機防護大多采用DCS平臺供應(yīng)商提供的軟件，導(dǎo)致主機防護軟件與安全管理設(shè)備品牌不同。對此，可通過二次開發(fā)，實現(xiàn)安全管理設(shè)備與上述不同品牌設(shè)備之間審計數(shù)據(jù)的收集匯總、集中分析、實時報警等功能。

②在現(xiàn)有核電站項目的設(shè)計中劃分出特定的管理區(qū)域進行集中管控。目前，在核電廠正常運行期間，安全管理員將通過工程師站登錄安全管理設(shè)備的管理界面，執(zhí)行網(wǎng)絡(luò)安全管理中心的功能。對此，可在信息安全網(wǎng)上增加操作節(jié)點主機，并開辟專用的信息安全管理區(qū)域，用于網(wǎng)絡(luò)安全設(shè)備的管控和安全事件的報警。

③開發(fā)網(wǎng)絡(luò)設(shè)備與安全管理設(shè)備的通信接口。核電項目中使用的交換機往往提供自帶的網(wǎng)絡(luò)管理軟件，可以診斷整個網(wǎng)絡(luò)的總體運行情況、自動識別網(wǎng)絡(luò)設(shè)備、實時顯示設(shè)備運行狀態(tài)、自動分析網(wǎng)絡(luò)故障、自動記錄用戶操作日志和系統(tǒng)運行日志。交換機與安全管理設(shè)備品牌不同，可通過二次開發(fā)，實現(xiàn)安全管理設(shè)備對上述審計數(shù)據(jù)的收集匯總、集中分析、實時報警等功能。

④開發(fā)安全管理設(shè)備冗余網(wǎng)絡(luò)的切換機制。DCS采用冗余的網(wǎng)絡(luò)結(jié)構(gòu)，配置A網(wǎng)、B網(wǎng)2組交換機，操作員站、工程師站、服務(wù)器等所有連接至冗余網(wǎng)絡(luò)的節(jié)點均有2個相互獨立的網(wǎng)絡(luò)接口，分別連接不同交換機。2條網(wǎng)絡(luò)同時工作，無主從之分。冗余網(wǎng)絡(luò)的切換由各個節(jié)點的通信機制根據(jù)通信數(shù)據(jù)的質(zhì)量和有效狀態(tài)進行選擇，無需網(wǎng)絡(luò)切換與網(wǎng)間仲裁?，F(xiàn)有的安全管理設(shè)備只能連接A網(wǎng)。對此，可通過二次開發(fā)實現(xiàn)網(wǎng)絡(luò)冗余功能。

⑤開發(fā)安全管理設(shè)備與DCS二層人機畫面接口。可通過二次開發(fā)，實現(xiàn)安全管理設(shè)備上的實時報警。通過DCS發(fā)出聲光報警，可提示操作員進行及時處理。

4 結(jié)論

本文提出了在DCS網(wǎng)絡(luò)中增加網(wǎng)絡(luò)安全管理設(shè)備，以實現(xiàn)網(wǎng)絡(luò)安全管理中心功能的方案。通過合規(guī)性分析，該方案在安全管理中心方面基本可以滿足等保四級的要求。同時，本文也提出了現(xiàn)有方案和網(wǎng)絡(luò)安全設(shè)備的改進方案，可開發(fā)與不同品牌網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、DCS之間的通信接口，增加與DCS相適應(yīng)的冗余網(wǎng)絡(luò)切換機制，滿足核電廠DCS網(wǎng)絡(luò)安全的設(shè)計要求。