三门核电数字化仪控系统等级保护测评实施和分析

沈 航

（中国核电三门核电有限公司 维修处，浙江 台州 317112）

0 引言

三门核电采用AP1000技术，数字化仪控系统（分散控制与信息系统）采用Ovation控制平台。Ovation控制平台由服务器、工作站、交换机等核心设备搭建组成。Ovation平台与三门核电电厂信息系统，企业数据系统分别有数据交换。在网络物理层通过单向网关，向企业数据系统提供画面显示和数据更新。通过防火墙和OPC协议，向三门核电电厂信息系统提供数据分析。与此同时，由于数据拷贝、人员进出、信息查看等一系列人机交换行为，也将导致数字化仪控系统与外界产生数据交互，并非完全独立的系统。因此，等级保护测评对于确保数字化仪控安全稳定运行有着极其重要意义。

表1 三门核电数字化仪控系统服务器和工作站列表Table 1 List of servers and workstations for Sanmen nuclear power digitization instrument control system

本文首先对Ovation控制平台核心设备服务器、工作站、交换机进行介绍，然后对等级保护测评主要内容逐一归类分析，着重介绍主机安全和网络安全两大核心方向。最后结合等级保护测评结果，列出典型的安全问题，根据电厂实际情况，落实等级保护改进项，加固系统安全，保障三门核电数字化仪控系统整体信息安全。

1 Ovation控制平台

1.1 服务器和工作站

三门核电一台机组配备19台服务器、2台历史站、2台域控制器。其中一台服务器专门用于网络管理和病毒检测，杀毒软件为卡巴斯基病毒防护软件。服务器硬件采用戴尔R710/720型号，软件基于Windows 2008操作系统。一台机组配备31台工作站用于操纵员画面监测和设备控制。工作站硬件采用戴尔R5400/5500型号，软件基于Windows 7操作系统。服务器和工作站安装的Ovation版本为3.3.1[2]。三门核电数字化仪控系统服务器和工作站功能如表1所示。

1.2 交换机和网络

AP1000 Ovation骨干网络设备包括交换机、光纤媒体转换器、光纤分配盘。通讯协议为TCP/IP，通讯速率为100Mbps以太网，通讯介质为双绞线+光纤。交换机采用思科C3750和C2960系列[3]。其中，C3750交换机搭建Ovation核心网络，连接服务器、工作站、下游控制器，而C2960交换机主要服务于域内工作站与第三方下游设备之间的数据互联。

2 等级保护测评实施分析

2.1 服务器和工作站等级保护测评

主机站点安全测评通过访谈、配置检查的方式来评估三门核电数字化仪控系统的主机安全。主要涉及对象为系统所包括的主要服务器的操作系统及核心应用软件。测评种类可归纳为以下6大类。

1）身份鉴别：检查主机的身份标识、鉴别和用户登录的配置情况。

2）访问控制：检查主机的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况。

3）安全审计：检查主机的安全审计的配置情况，如覆盖范围、记录的项目和内容；检查安全审计进程和记录的保护情况。

4）入侵防范：检查主机在运行过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。

5）恶意代码防范：检查服务器的恶意代码防范情况。

6）资源控制：检查服务器对单个用户的登录方式、网络地址范围、会话数量等的限制情况。

三门核电服务器和工作站采用Windows操作系统，在测评内容实施包括以下内容：

◇ 查看口令策略：包括强制密码历史、密码最长使用期限、密码最短使用期限、密码长度最小值、密码必须符合复杂度要求。

◇ 查看锁定策略：包括查看帐户锁定时间、帐户锁定阈值、重置帐户锁定计算器。

◇ 查看审核策略：包括查看审核策略更改、审核登录事件、审核对象访问、审核进程跟踪、审核目录访问、审核特权使用、审核系统事件、审核帐户登录事件、审核帐户管理。

◇ 查看用户情况：指查看系统中设定的用户信息。

◇ 查看默认共享：指查看系统中是否开启默认共享。

◇ 查看系统开启的服务：这部分内容主要根据所安装的软件，查看系统中相关服务是否匹配，或是否存开启了多余的系统服务。

◇ 查看端口使用情况：查看相关端口开放是否有异常。

◇ 查看远程管理方式：检查管理员以何种方式进行远程控制。

◇ 查看补丁升级机制：检查Windows的最新补丁是否已更新。

◇ 查看屏幕保护时间：查看屏幕保护是否开启，开启多长时间。

◇ 查看USB设备使用情况：以管理员身份检查本机使用过的USB设备情况。

2.2 交换机和网络等级保护测评

三门核电数字化仪控系统网络测评从网络结构安全、网络设备防护等内容评项实施，主要包括以下几类：

结构安全：检查网络拓扑情况，测评分析核心交换机、路由器网络架构与网段划分、隔离等情况的合理性和有效性。

访问控制：检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。

安全审计：检查核心交换机、路由器等网络互联设备的安全审计情况，测评分析信息系统审计配置和审计记录保护情况。

边界完整性检查：接入边界完整性检查设备进行测试，测评分析信息系统私自联接外部网络的行为。

入侵防范：测评分析信息系统对攻击行为的识别和处理情况。

恶意代码防范：测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。

网络设备防护：检查交换机、路由器等网络互联设备以及防火墙等网络安全设备，查看它们的安全配置情况，包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等，考察网络设备自身的安全防范情况。

三门核电网络核心设备采用思科交换机，在测评内容实施包括以下内容：

1）查看访问控制列表，查看交换机CPU、内存。

2）检查日志服务设置。

3）检查版本信息。

4）查看交换机时间。

5）本地用户认证。

6）口令查看。

7）登录失败查看。

8）查看用户及级别。

9）查看SNMP 服务配置。10）查看空闲端口。

11）查看路由表。

12）查看器Vlan划分情况。

13）查看系统服务。

3 三门核电数字化仪控系统等级保护测评改进分析

3.1 服务器和工作站等级保护测评改进分析

通过对108台服务器和工作站等级保护测评，存在的典型问题包括：

1）域外服务器和工作站未配置口令策略。

2）域外服务器和工作站未配置审计策略。

3）日志文件保存在本机，无法避免受到未预期的删除、修改或覆盖。

4）未对日志进行分析和生成审计报表。

5）补丁由厂商测试兼容性之后统一安装，但未及时更新。

6）卡巴斯基病毒库未及时更新。

对于域内主机而言，由于域策略的配置，口令和审计策略均已配置，而对于域外主机，在设计上未配置口令和审计策略，已按测评结果落实修改。对于主机日志文件，已制定策略，定期导出服务器和工作站日志并保存。日志的分析和审计报表功能由于暂无合适的第三方软件，暂未实施。对于Windows补丁更新，考虑到Ovation平台运行软件与补丁的兼容性，一般补丁更新会由厂商测试合格后更新，无法实时在线同步，暂不考虑更新补丁。卡巴斯基病毒库已联系厂商及时完成更新。

3.2 交换机和网络等级保护测评改进分析

通过对26台核心交换机等级保护测评，存在的典型问题包括：

1）设备系统时间错误。

2）审计记录保存在本地。

3）交换机口令不满足复杂度要求，口令未加密存储，密码未定期修改。

4）网络设备登录失败3次退出登录不锁定。

5）未实现设备特权用户的权限分离。

对于部分交换机，由于在设计上未能实现和GPS时钟系统同步，设备系统时间错误，由于这类交换机对时间精度未有特定要求，解决方案为本机手动修改时间。交换机审计记录保存在日志文件中，已制定预防性维护策略，定期导出和备份交换机日志。交换机口令已制定定期维护策略，定期修改已确保满足加密复杂度要求，并开启加密存储。网络设备登陆超限制次数不锁定问题，已配置登陆次数限制，以及解锁时间。设备特权用户权限分离，主要针对不同用户赋予不同的权限，如部分用户只能查看无法修改配置，与超级用户权限区分，而当前的配置为所有用户权限相同。因此，需实施用户的权限分离。

4 结束语

等级保护测评的实施，在技术和管理层面增强了三门核电数字化仪控系统的安全防护能力。本文着重介绍主机安全、网络安全的测评工作，并列举典型问题和处理措施，供同行业人士借鉴参考。随着等级保护测评不断规范化、制度化，必将进一步提升数字化仪控系统的安全防护要求，确保电力生产控制系统长期安全稳定运行。