三門核電數(shù)字化儀控系統(tǒng)等級保護(hù)測評實(shí)施和分析

沈 航

（中國核電三門核電有限公司 維修處，浙江 臺(tái)州 317112）

0 引言

三門核電采用AP1000技術(shù)，數(shù)字化儀控系統(tǒng)（分散控制與信息系統(tǒng)）采用Ovation控制平臺(tái)。Ovation控制平臺(tái)由服務(wù)器、工作站、交換機(jī)等核心設(shè)備搭建組成。Ovation平臺(tái)與三門核電電廠信息系統(tǒng)，企業(yè)數(shù)據(jù)系統(tǒng)分別有數(shù)據(jù)交換。在網(wǎng)絡(luò)物理層通過單向網(wǎng)關(guān)，向企業(yè)數(shù)據(jù)系統(tǒng)提供畫面顯示和數(shù)據(jù)更新。通過防火墻和OPC協(xié)議，向三門核電電廠信息系統(tǒng)提供數(shù)據(jù)分析。與此同時(shí)，由于數(shù)據(jù)拷貝、人員進(jìn)出、信息查看等一系列人機(jī)交換行為，也將導(dǎo)致數(shù)字化儀控系統(tǒng)與外界產(chǎn)生數(shù)據(jù)交互，并非完全獨(dú)立的系統(tǒng)。因此，等級保護(hù)測評對于確保數(shù)字化儀控安全穩(wěn)定運(yùn)行有著極其重要意義。

表1 三門核電數(shù)字化儀控系統(tǒng)服務(wù)器和工作站列表Table 1 List of servers and workstations for Sanmen nuclear power digitization instrument control system

本文首先對Ovation控制平臺(tái)核心設(shè)備服務(wù)器、工作站、交換機(jī)進(jìn)行介紹，然后對等級保護(hù)測評主要內(nèi)容逐一歸類分析，著重介紹主機(jī)安全和網(wǎng)絡(luò)安全兩大核心方向。最后結(jié)合等級保護(hù)測評結(jié)果，列出典型的安全問題，根據(jù)電廠實(shí)際情況，落實(shí)等級保護(hù)改進(jìn)項(xiàng)，加固系統(tǒng)安全，保障三門核電數(shù)字化儀控系統(tǒng)整體信息安全。

1 Ovation控制平臺(tái)

1.1 服務(wù)器和工作站

三門核電一臺(tái)機(jī)組配備19臺(tái)服務(wù)器、2臺(tái)歷史站、2臺(tái)域控制器。其中一臺(tái)服務(wù)器專門用于網(wǎng)絡(luò)管理和病毒檢測，殺毒軟件為卡巴斯基病毒防護(hù)軟件。服務(wù)器硬件采用戴爾R710/720型號，軟件基于Windows 2008操作系統(tǒng)。一臺(tái)機(jī)組配備31臺(tái)工作站用于操縱員畫面監(jiān)測和設(shè)備控制。工作站硬件采用戴爾R5400/5500型號，軟件基于Windows 7操作系統(tǒng)。服務(wù)器和工作站安裝的Ovation版本為3.3.1[2]。三門核電數(shù)字化儀控系統(tǒng)服務(wù)器和工作站功能如表1所示。

1.2 交換機(jī)和網(wǎng)絡(luò)

AP1000 Ovation骨干網(wǎng)絡(luò)設(shè)備包括交換機(jī)、光纖媒體轉(zhuǎn)換器、光纖分配盤。通訊協(xié)議為TCP/IP，通訊速率為100Mbps以太網(wǎng)，通訊介質(zhì)為雙絞線+光纖。交換機(jī)采用思科C3750和C2960系列[3]。其中，C3750交換機(jī)搭建Ovation核心網(wǎng)絡(luò)，連接服務(wù)器、工作站、下游控制器，而C2960交換機(jī)主要服務(wù)于域內(nèi)工作站與第三方下游設(shè)備之間的數(shù)據(jù)互聯(lián)。

2 等級保護(hù)測評實(shí)施分析

2.1 服務(wù)器和工作站等級保護(hù)測評

主機(jī)站點(diǎn)安全測評通過訪談、配置檢查的方式來評估三門核電數(shù)字化儀控系統(tǒng)的主機(jī)安全。主要涉及對象為系統(tǒng)所包括的主要服務(wù)器的操作系統(tǒng)及核心應(yīng)用軟件。測評種類可歸納為以下6大類。

1）身份鑒別：檢查主機(jī)的身份標(biāo)識、鑒別和用戶登錄的配置情況。

2）訪問控制：檢查主機(jī)的訪問控制設(shè)置情況，包括安全策略覆蓋、控制粒度以及權(quán)限設(shè)置情況。

3）安全審計(jì)：檢查主機(jī)的安全審計(jì)的配置情況，如覆蓋范圍、記錄的項(xiàng)目和內(nèi)容；檢查安全審計(jì)進(jìn)程和記錄的保護(hù)情況。

4）入侵防范：檢查主機(jī)在運(yùn)行過程中的入侵防范措施，如關(guān)閉不需要的端口和服務(wù)、最小化安裝、部署入侵防范產(chǎn)品等。

5）惡意代碼防范：檢查服務(wù)器的惡意代碼防范情況。

6）資源控制：檢查服務(wù)器對單個(gè)用戶的登錄方式、網(wǎng)絡(luò)地址范圍、會(huì)話數(shù)量等的限制情況。

三門核電服務(wù)器和工作站采用Windows操作系統(tǒng)，在測評內(nèi)容實(shí)施包括以下內(nèi)容：

◇ 查看口令策略：包括強(qiáng)制密碼歷史、密碼最長使用期限、密碼最短使用期限、密碼長度最小值、密碼必須符合復(fù)雜度要求。

◇ 查看鎖定策略：包括查看帳戶鎖定時(shí)間、帳戶鎖定閾值、重置帳戶鎖定計(jì)算器。

◇ 查看審核策略：包括查看審核策略更改、審核登錄事件、審核對象訪問、審核進(jìn)程跟蹤、審核目錄訪問、審核特權(quán)使用、審核系統(tǒng)事件、審核帳戶登錄事件、審核帳戶管理。

◇ 查看用戶情況：指查看系統(tǒng)中設(shè)定的用戶信息。

◇ 查看默認(rèn)共享：指查看系統(tǒng)中是否開啟默認(rèn)共享。

◇ 查看系統(tǒng)開啟的服務(wù)：這部分內(nèi)容主要根據(jù)所安裝的軟件，查看系統(tǒng)中相關(guān)服務(wù)是否匹配，或是否存開啟了多余的系統(tǒng)服務(wù)。

◇ 查看端口使用情況：查看相關(guān)端口開放是否有異常。

◇ 查看遠(yuǎn)程管理方式：檢查管理員以何種方式進(jìn)行遠(yuǎn)程控制。

◇ 查看補(bǔ)丁升級機(jī)制：檢查Windows的最新補(bǔ)丁是否已更新。

◇ 查看屏幕保護(hù)時(shí)間：查看屏幕保護(hù)是否開啟，開啟多長時(shí)間。

◇ 查看USB設(shè)備使用情況：以管理員身份檢查本機(jī)使用過的USB設(shè)備情況。

2.2 交換機(jī)和網(wǎng)絡(luò)等級保護(hù)測評

三門核電數(shù)字化儀控系統(tǒng)網(wǎng)絡(luò)測評從網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)設(shè)備防護(hù)等內(nèi)容評項(xiàng)實(shí)施，主要包括以下幾類：

結(jié)構(gòu)安全：檢查網(wǎng)絡(luò)拓?fù)淝闆r，測評分析核心交換機(jī)、路由器網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。

訪問控制：檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備，測試系統(tǒng)對外暴露安全漏洞情況，測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力。

安全審計(jì)：檢查核心交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計(jì)情況，測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)情況。

邊界完整性檢查：接入邊界完整性檢查設(shè)備進(jìn)行測試，測評分析信息系統(tǒng)私自聯(lián)接外部網(wǎng)絡(luò)的行為。

入侵防范：測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。

惡意代碼防范：測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護(hù)情況。

網(wǎng)絡(luò)設(shè)備防護(hù)：檢查交換機(jī)、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備，查看它們的安全配置情況，包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時(shí)等，考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況。

三門核電網(wǎng)絡(luò)核心設(shè)備采用思科交換機(jī)，在測評內(nèi)容實(shí)施包括以下內(nèi)容：

1）查看訪問控制列表，查看交換機(jī)CPU、內(nèi)存。

2）檢查日志服務(wù)設(shè)置。

3）檢查版本信息。

4）查看交換機(jī)時(shí)間。

5）本地用戶認(rèn)證。

6）口令查看。

7）登錄失敗查看。

8）查看用戶及級別。

9）查看SNMP 服務(wù)配置。10）查看空閑端口。

11）查看路由表。

12）查看器Vlan劃分情況。

13）查看系統(tǒng)服務(wù)。

3 三門核電數(shù)字化儀控系統(tǒng)等級保護(hù)測評改進(jìn)分析

3.1 服務(wù)器和工作站等級保護(hù)測評改進(jìn)分析

通過對108臺(tái)服務(wù)器和工作站等級保護(hù)測評，存在的典型問題包括：

1）域外服務(wù)器和工作站未配置口令策略。

2）域外服務(wù)器和工作站未配置審計(jì)策略。

3）日志文件保存在本機(jī)，無法避免受到未預(yù)期的刪除、修改或覆蓋。

4）未對日志進(jìn)行分析和生成審計(jì)報(bào)表。

5）補(bǔ)丁由廠商測試兼容性之后統(tǒng)一安裝，但未及時(shí)更新。

6）卡巴斯基病毒庫未及時(shí)更新。

對于域內(nèi)主機(jī)而言，由于域策略的配置，口令和審計(jì)策略均已配置，而對于域外主機(jī)，在設(shè)計(jì)上未配置口令和審計(jì)策略，已按測評結(jié)果落實(shí)修改。對于主機(jī)日志文件，已制定策略，定期導(dǎo)出服務(wù)器和工作站日志并保存。日志的分析和審計(jì)報(bào)表功能由于暫無合適的第三方軟件，暫未實(shí)施。對于Windows補(bǔ)丁更新，考慮到Ovation平臺(tái)運(yùn)行軟件與補(bǔ)丁的兼容性，一般補(bǔ)丁更新會(huì)由廠商測試合格后更新，無法實(shí)時(shí)在線同步，暫不考慮更新補(bǔ)丁。卡巴斯基病毒庫已聯(lián)系廠商及時(shí)完成更新。

3.2 交換機(jī)和網(wǎng)絡(luò)等級保護(hù)測評改進(jìn)分析

通過對26臺(tái)核心交換機(jī)等級保護(hù)測評，存在的典型問題包括：

1）設(shè)備系統(tǒng)時(shí)間錯(cuò)誤。

2）審計(jì)記錄保存在本地。

3）交換機(jī)口令不滿足復(fù)雜度要求，口令未加密存儲(chǔ)，密碼未定期修改。

4）網(wǎng)絡(luò)設(shè)備登錄失敗3次退出登錄不鎖定。

5）未實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。

對于部分交換機(jī)，由于在設(shè)計(jì)上未能實(shí)現(xiàn)和GPS時(shí)鐘系統(tǒng)同步，設(shè)備系統(tǒng)時(shí)間錯(cuò)誤，由于這類交換機(jī)對時(shí)間精度未有特定要求，解決方案為本機(jī)手動(dòng)修改時(shí)間。交換機(jī)審計(jì)記錄保存在日志文件中，已制定預(yù)防性維護(hù)策略，定期導(dǎo)出和備份交換機(jī)日志。交換機(jī)口令已制定定期維護(hù)策略，定期修改已確保滿足加密復(fù)雜度要求，并開啟加密存儲(chǔ)。網(wǎng)絡(luò)設(shè)備登陸超限制次數(shù)不鎖定問題，已配置登陸次數(shù)限制，以及解鎖時(shí)間。設(shè)備特權(quán)用戶權(quán)限分離，主要針對不同用戶賦予不同的權(quán)限，如部分用戶只能查看無法修改配置，與超級用戶權(quán)限區(qū)分，而當(dāng)前的配置為所有用戶權(quán)限相同。因此，需實(shí)施用戶的權(quán)限分離。

4 結(jié)束語

等級保護(hù)測評的實(shí)施，在技術(shù)和管理層面增強(qiáng)了三門核電數(shù)字化儀控系統(tǒng)的安全防護(hù)能力。本文著重介紹主機(jī)安全、網(wǎng)絡(luò)安全的測評工作，并列舉典型問題和處理措施，供同行業(yè)人士借鑒參考。隨著等級保護(hù)測評不斷規(guī)范化、制度化，必將進(jìn)一步提升數(shù)字化儀控系統(tǒng)的安全防護(hù)要求，確保電力生產(chǎn)控制系統(tǒng)長期安全穩(wěn)定運(yùn)行。