三門核電數(shù)字化儀控系統(tǒng)等級保護測評實施和分析

沈 航

（中國核電三門核電有限公司 維修處，浙江 臺州 317112）

0 引言

三門核電采用AP1000技術，數(shù)字化儀控系統(tǒng)（分散控制與信息系統(tǒng)）采用Ovation控制平臺。Ovation控制平臺由服務器、工作站、交換機等核心設備搭建組成。Ovation平臺與三門核電電廠信息系統(tǒng)，企業(yè)數(shù)據(jù)系統(tǒng)分別有數(shù)據(jù)交換。在網(wǎng)絡物理層通過單向網(wǎng)關，向企業(yè)數(shù)據(jù)系統(tǒng)提供畫面顯示和數(shù)據(jù)更新。通過防火墻和OPC協(xié)議，向三門核電電廠信息系統(tǒng)提供數(shù)據(jù)分析。與此同時，由于數(shù)據(jù)拷貝、人員進出、信息查看等一系列人機交換行為，也將導致數(shù)字化儀控系統(tǒng)與外界產(chǎn)生數(shù)據(jù)交互，并非完全獨立的系統(tǒng)。因此，等級保護測評對于確保數(shù)字化儀控安全穩(wěn)定運行有著極其重要意義。

表1 三門核電數(shù)字化儀控系統(tǒng)服務器和工作站列表Table 1 List of servers and workstations for Sanmen nuclear power digitization instrument control system

本文首先對Ovation控制平臺核心設備服務器、工作站、交換機進行介紹，然后對等級保護測評主要內(nèi)容逐一歸類分析，著重介紹主機安全和網(wǎng)絡安全兩大核心方向。最后結(jié)合等級保護測評結(jié)果，列出典型的安全問題，根據(jù)電廠實際情況，落實等級保護改進項，加固系統(tǒng)安全，保障三門核電數(shù)字化儀控系統(tǒng)整體信息安全。

1 Ovation控制平臺

1.1 服務器和工作站

三門核電一臺機組配備19臺服務器、2臺歷史站、2臺域控制器。其中一臺服務器專門用于網(wǎng)絡管理和病毒檢測，殺毒軟件為卡巴斯基病毒防護軟件。服務器硬件采用戴爾R710/720型號，軟件基于Windows 2008操作系統(tǒng)。一臺機組配備31臺工作站用于操縱員畫面監(jiān)測和設備控制。工作站硬件采用戴爾R5400/5500型號，軟件基于Windows 7操作系統(tǒng)。服務器和工作站安裝的Ovation版本為3.3.1[2]。三門核電數(shù)字化儀控系統(tǒng)服務器和工作站功能如表1所示。

1.2 交換機和網(wǎng)絡

AP1000 Ovation骨干網(wǎng)絡設備包括交換機、光纖媒體轉(zhuǎn)換器、光纖分配盤。通訊協(xié)議為TCP/IP，通訊速率為100Mbps以太網(wǎng)，通訊介質(zhì)為雙絞線+光纖。交換機采用思科C3750和C2960系列[3]。其中，C3750交換機搭建Ovation核心網(wǎng)絡，連接服務器、工作站、下游控制器，而C2960交換機主要服務于域內(nèi)工作站與第三方下游設備之間的數(shù)據(jù)互聯(lián)。

2 等級保護測評實施分析

2.1 服務器和工作站等級保護測評

主機站點安全測評通過訪談、配置檢查的方式來評估三門核電數(shù)字化儀控系統(tǒng)的主機安全。主要涉及對象為系統(tǒng)所包括的主要服務器的操作系統(tǒng)及核心應用軟件。測評種類可歸納為以下6大類。

1）身份鑒別：檢查主機的身份標識、鑒別和用戶登錄的配置情況。

2）訪問控制：檢查主機的訪問控制設置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設置情況。

3）安全審計：檢查主機的安全審計的配置情況，如覆蓋范圍、記錄的項目和內(nèi)容；檢查安全審計進程和記錄的保護情況。

4）入侵防范：檢查主機在運行過程中的入侵防范措施，如關閉不需要的端口和服務、最小化安裝、部署入侵防范產(chǎn)品等。

5）惡意代碼防范：檢查服務器的惡意代碼防范情況。

6）資源控制：檢查服務器對單個用戶的登錄方式、網(wǎng)絡地址范圍、會話數(shù)量等的限制情況。

三門核電服務器和工作站采用Windows操作系統(tǒng)，在測評內(nèi)容實施包括以下內(nèi)容：

◇ 查看口令策略：包括強制密碼歷史、密碼最長使用期限、密碼最短使用期限、密碼長度最小值、密碼必須符合復雜度要求。

◇ 查看鎖定策略：包括查看帳戶鎖定時間、帳戶鎖定閾值、重置帳戶鎖定計算器。

◇ 查看審核策略：包括查看審核策略更改、審核登錄事件、審核對象訪問、審核進程跟蹤、審核目錄訪問、審核特權(quán)使用、審核系統(tǒng)事件、審核帳戶登錄事件、審核帳戶管理。

◇ 查看用戶情況：指查看系統(tǒng)中設定的用戶信息。

◇ 查看默認共享：指查看系統(tǒng)中是否開啟默認共享。

◇ 查看系統(tǒng)開啟的服務：這部分內(nèi)容主要根據(jù)所安裝的軟件，查看系統(tǒng)中相關服務是否匹配，或是否存開啟了多余的系統(tǒng)服務。

◇ 查看端口使用情況：查看相關端口開放是否有異常。

◇ 查看遠程管理方式：檢查管理員以何種方式進行遠程控制。

◇ 查看補丁升級機制：檢查Windows的最新補丁是否已更新。

◇ 查看屏幕保護時間：查看屏幕保護是否開啟，開啟多長時間。

◇ 查看USB設備使用情況：以管理員身份檢查本機使用過的USB設備情況。

2.2 交換機和網(wǎng)絡等級保護測評

三門核電數(shù)字化儀控系統(tǒng)網(wǎng)絡測評從網(wǎng)絡結(jié)構(gòu)安全、網(wǎng)絡設備防護等內(nèi)容評項實施，主要包括以下幾類：

結(jié)構(gòu)安全：檢查網(wǎng)絡拓撲情況，測評分析核心交換機、路由器網(wǎng)絡架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。

訪問控制：檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露安全漏洞情況，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力。

安全審計：檢查核心交換機、路由器等網(wǎng)絡互聯(lián)設備的安全審計情況，測評分析信息系統(tǒng)審計配置和審計記錄保護情況。

邊界完整性檢查：接入邊界完整性檢查設備進行測試，測評分析信息系統(tǒng)私自聯(lián)接外部網(wǎng)絡的行為。

入侵防范：測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。

惡意代碼防范：測評分析信息系統(tǒng)網(wǎng)絡邊界和核心網(wǎng)段對病毒等惡意代碼的防護情況。

網(wǎng)絡設備防護：檢查交換機、路由器等網(wǎng)絡互聯(lián)設備以及防火墻等網(wǎng)絡安全設備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等，考察網(wǎng)絡設備自身的安全防范情況。

三門核電網(wǎng)絡核心設備采用思科交換機，在測評內(nèi)容實施包括以下內(nèi)容：

1）查看訪問控制列表，查看交換機CPU、內(nèi)存。

2）檢查日志服務設置。

3）檢查版本信息。

4）查看交換機時間。

5）本地用戶認證。

6）口令查看。

7）登錄失敗查看。

8）查看用戶及級別。

9）查看SNMP 服務配置。10）查看空閑端口。

11）查看路由表。

12）查看器Vlan劃分情況。

13）查看系統(tǒng)服務。

3 三門核電數(shù)字化儀控系統(tǒng)等級保護測評改進分析

3.1 服務器和工作站等級保護測評改進分析

通過對108臺服務器和工作站等級保護測評，存在的典型問題包括：

1）域外服務器和工作站未配置口令策略。

2）域外服務器和工作站未配置審計策略。

3）日志文件保存在本機，無法避免受到未預期的刪除、修改或覆蓋。

4）未對日志進行分析和生成審計報表。

5）補丁由廠商測試兼容性之后統(tǒng)一安裝，但未及時更新。

6）卡巴斯基病毒庫未及時更新。

對于域內(nèi)主機而言，由于域策略的配置，口令和審計策略均已配置，而對于域外主機，在設計上未配置口令和審計策略，已按測評結(jié)果落實修改。對于主機日志文件，已制定策略，定期導出服務器和工作站日志并保存。日志的分析和審計報表功能由于暫無合適的第三方軟件，暫未實施。對于Windows補丁更新，考慮到Ovation平臺運行軟件與補丁的兼容性，一般補丁更新會由廠商測試合格后更新，無法實時在線同步，暫不考慮更新補丁?？ò退够《編煲崖?lián)系廠商及時完成更新。

3.2 交換機和網(wǎng)絡等級保護測評改進分析

通過對26臺核心交換機等級保護測評，存在的典型問題包括：

1）設備系統(tǒng)時間錯誤。

2）審計記錄保存在本地。

3）交換機口令不滿足復雜度要求，口令未加密存儲，密碼未定期修改。

4）網(wǎng)絡設備登錄失敗3次退出登錄不鎖定。

5）未實現(xiàn)設備特權(quán)用戶的權(quán)限分離。

對于部分交換機，由于在設計上未能實現(xiàn)和GPS時鐘系統(tǒng)同步，設備系統(tǒng)時間錯誤，由于這類交換機對時間精度未有特定要求，解決方案為本機手動修改時間。交換機審計記錄保存在日志文件中，已制定預防性維護策略，定期導出和備份交換機日志。交換機口令已制定定期維護策略，定期修改已確保滿足加密復雜度要求，并開啟加密存儲。網(wǎng)絡設備登陸超限制次數(shù)不鎖定問題，已配置登陸次數(shù)限制，以及解鎖時間。設備特權(quán)用戶權(quán)限分離，主要針對不同用戶賦予不同的權(quán)限，如部分用戶只能查看無法修改配置，與超級用戶權(quán)限區(qū)分，而當前的配置為所有用戶權(quán)限相同。因此，需實施用戶的權(quán)限分離。

4 結(jié)束語

等級保護測評的實施，在技術和管理層面增強了三門核電數(shù)字化儀控系統(tǒng)的安全防護能力。本文著重介紹主機安全、網(wǎng)絡安全的測評工作，并列舉典型問題和處理措施，供同行業(yè)人士借鑒參考。隨著等級保護測評不斷規(guī)范化、制度化，必將進一步提升數(shù)字化儀控系統(tǒng)的安全防護要求，確保電力生產(chǎn)控制系統(tǒng)長期安全穩(wěn)定運行。