CN113949539A - 一种核电厂kns系统网络安全的保护方法及kns系统 - Google Patents
一种核电厂kns系统网络安全的保护方法及kns系统 Download PDFInfo
- Publication number
- CN113949539A CN113949539A CN202111139013.3A CN202111139013A CN113949539A CN 113949539 A CN113949539 A CN 113949539A CN 202111139013 A CN202111139013 A CN 202111139013A CN 113949539 A CN113949539 A CN 113949539A
- Authority
- CN
- China
- Prior art keywords
- kns
- server
- dcs
- data
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012550 audit Methods 0.000 claims abstract description 28
- 238000001514 detection method Methods 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 16
- 238000007726 management method Methods 0.000 claims abstract description 13
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 4
- 230000008439 repair process Effects 0.000 claims abstract description 4
- 230000005540 biological transmission Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000002955 isolation Methods 0.000 claims description 11
- 230000006399 behavior Effects 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 5
- 230000007123 defense Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 230000009545 invasion Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000003014 reinforcing effect Effects 0.000 description 4
- 230000002441 reversible effect Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000013439 planning Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本申请属于核电厂工业安全技术领域,提供了一种核电厂KNS系统网络安全的保护方法,该方法包括:控制DCS系统和KIT系统的数据流量分别单向传输至KNS系统;利用IDS系统对流入KNS系统的数据流量进行安全检测;利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对服务器进行审计和修复,服务器包括:实时服务器、Web服务器、防病毒服务器和接口服务器。本申请提供的方法,可以及时有效的发现KNS系统的服务器的异常情况并且及时进行修复,提高了KNS系统的安全防御能力。
Description
技术领域
本申请属于核电厂工业安全技术领域,尤其涉及一种核电厂KNS系统网络安全的保护方法及KNS系统。
背景技术
KNS系统主要负责采集国内某核电厂的KIT系统和DCS系统的实时生产数据,提供实时数据监视、历史数据查询及报表功能。由于,核电厂KNS系统在仪控系统分层结构中处于level3层级,并且需要向外部需要生产数据的系统提供实时/历史数据,因此KNS系统的安全性尤为重要。
在相关技术中,只是采用防火墙保护KNS系统,但是对于KNS系统被从办公网或者内部病毒渗透入侵无法进行检测,当KNS被从内部入侵时可能会进一步横向渗透向DCS系统进行攻击、控制甚至破坏。
发明内容
本申请实施例提供了一种核电厂KNS系统网络安全的保护方法及KNS系统,可以解决KNS系统从内部入侵病毒导致的网络安全问题,提升KNS系统的网络安全性能。
第一方面,提供了一种核电厂KNS系统网络安全的保护方法,该方法包括:控制DCS系统和KIT系统的数据流量分别单向传输至KNS系统;利用IDS系统对流入KNS系统的数据流量进行安全检测;利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对服务器进行审计和修复,所述服务器包括:实时服务器、Web服务器、防病毒服务器和接口服务器。
第一方面提供的方法,控制DCS系统和KIT系统的流量数据单向传输至KNS系统,避免反向数据流入DCS控制系统,降低从第三方系统入侵的风险,保障了DCS系统的网络安全。利用IDS对流入KNS系统的数据流量进行安全检测能够有效从流入KNS系统的源头发现并处理数据流量的病毒。利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对服务器进行审计和修复,可以及时有效的发现KNS系统的服务器的异常情况并且及时进行修复,提高了KNS系统的安全防御能力。
可选的,控制DCS系统和KIT系统分别单向传输至KNS系统,包括:在DCS系统流向KNS系统的数据传输通道上设置正向隔离装置,以使得DCS系统的数据流量单向传输至KNS系统;在KIT系统流向KNS系统的数据传输通道上设置正向隔离装置,以使得KIT系统的数据流量单向传输至KNS系统。在该种实现方式中,通过设置正向隔离装置,保证数据流量的单向传输,从而避免了反向数据流量流向DCS控制系统,从而保证了DCS系统的网络安全。
可选的,KNS系统的中心机房包括核心交换机,利用IDS系统对流入所述中心机房的数据流量进行安全检测,包括:利用核心交换机获取DCS系统和KIT系统流入中心机房的数据流量。
可选的,利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对所述中心机房的服务器进行审计和修复,包括:利用日志审计系统,采集服务器的日志信息;根据服务器的日志信息进行审计并确定异常日志信息;根据异常日志信息对服务器进行修复。在该种实现方式中,利用日志审计系统采集日志信息,定期分析日志信息,及时发现并处理当前系统中可能存在的异常。
可选的,利用网络安全审计系统,获取服务器的数据库和网络行为;基于预设的审计特征库,确定服务器的异常数据库和异常网络行为。在该种实现方式中,利用网络安全审计系统对数据库,对用户的网络行为监管,实现事前规划预防、事中实时监控、违规行为响应、事后合规报告或者事故追踪溯源,保障了数据库、服务器以及网络设备的正常运行。
可选的,对中心机房的物理环境数据进行监测和控制,物理环境数据包括:温度、湿度、防静电指数和防雷击指数。
第二方面,提供了一种核电厂KNS系统网络安全的保护装置,该装置包括用于执行以上第一方面或者第一方面的任意一方面可能的实现方式中的各个步骤的单元。
第三方面,提供了一种核电厂KNS系统网络安全的保护装置,该装置包括至少一个处理器和存储器,该至少一个处理器用于执行以上第一方面或第一方面的任意可能的实现方式中的方法。
第四方面,提供了一种核电厂KNS系统网络安全的保护装置,该装置包括至少一个处理器和接口电路,该至少一个处理器用于执行以上第一方面或者第一方面中的任意一方面可能的实现方式中的方法。
第五方面,提供了一种核电厂KNS系统,该系统包括:IDS系统、日志审计系统、网络安全审计系统和脆弱性扫描与管理系统。该系统用于执行以上第一方面或者第一方面中的任意一方面可能的实现方式中的方法。
可选的,该系统还包括正向隔离装置。
第六方面,提供了一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序在被处理器执行时,用于执行第一方面或第一方面的任意可能的实现方式中的方法。
第七方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,当该计算机程序被执行时,用于执行第一方面或第一方面的任意可能的实现方式中的方法。
第八方面,提供了一种芯片或者集成电路,该芯片或者集成电路包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有该芯片或者集成电路的设备执行第一方面或第一方面的任意可能的实现方式中的方法。
可以理解的是,上述第二方面至第八方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
本申请实施例与现有技术相比存在的有益效果是:
本申请提供的核电厂KNS系统网络安全的保护方法,通过控制DCS系统和KIT系统的流量数据单向传输至KNS系统,避免反向数据流入DCS控制系统,降低从第三方系统入侵的风险,保障了DCS系统的网络安全。利用IDS对流入KNS系统的数据流量进行安全检测能够有效从流入KNS系统的源头发现并处理数据流量的病毒。利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对服务器进行审计和修复,可以及时有效的发现KNS系统的服务器的异常情况并且及时进行修复,提高了KNS系统的安全防御能力。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的核电厂电力监控系统的分区结构示意图;
图2是本申请实施例提供的核电厂KNS系统示意图;
图3是本申请实施例提供的一例核电厂KNS系统网络安全的保护方法的示意性流程图;
图4是本申请实施例提供的入侵检测系统的示意图;
图5是本申请实施例提供的一例核电厂电力监控系统的分区结构示意图;
图6是本申请实施例提供的对KNS系统服务器数据进行审计方法的示意性流程图;
图7是本申请实施例提供的日志审计系统示意图;
图8是本申请实施例提供的网络安全审计系统示意图;
图9是本申请实施例提供的脆弱性扫描与管理系统的示意图;
图10是本申请实施例提供的相关技术中的网络拓扑图;
图11是本申请实施例提供的网络拓扑图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
首先,在介绍本申请提供的方法和系统之前,需要对下文中即将提及的部分术语进行说明。当本申请提及术语“第一”或者“第二”等序数词时,除非根据上下文其确实表达顺序之意,否则应当理解为仅仅是起区分之用。
术语“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
除非另有说明,本文中“/”一般表示前后关联对象是一种“或”的关系,例如,A/B可以表示A或B。术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请的描述中,“多个”是指两个或两个以上。
图1示出了核电厂电力监控系统的分区结构示意图。从图1中可以看出,核电厂实时信息监控系统(Real-time Information Monitoring System,KNS)在仪控系统分层结构中处于level3层级,主要采集电厂集中数据处理系统
(Centralized Date Processing,KIT)系统、岭澳一期KIT系统、岭澳二期分散控制系统(Distributed Control System,DCS)的实时生产数据,提供实时数据监视、历史数据查询及报表功能。还负责采集传输机组上网发电量、发电天数,为应急指挥系统提供数据;并且,向集团或者其他机构需要生产数据的系统提供实时/历史数据。KNS通过光纤网络连接了DCS/KIT生产控制网、办公网各个网络区域。在连接DCS、KIT、生产管理网和办公室各个网络区域中存在一条网络的威胁路径,即若KNS被从办公网或从内部渗透入侵,可能会进一步横向渗透对DCS系统进行攻击、控制甚至破坏。因此,保证KNS系统的安全可靠尤其重要。
目前,KNS系统存在以下几个方面的安全问题需要得到解决:一、攻击防护问题,三电站的KNS系统设计、运行已经超过10年,在规划设计建设期间未充分考虑安全功能,无法对防范日益呈现的多样化、新型化、复杂化的安全攻击;二、“黑匣子”问题,基地KNS系统主干网络采用了思科交换机,实时数据库采用美国OSI公司的PI数据库,这些系统核心的软硬件存在“黑匣子”问题,出于对系统稳定性的考虑,无法进行网络安全加固实施;三、安全整改问题,等级保护测评问题的整改,在KNS系统上业务影响风险评估困难,需要有经过严格测试之后才能应用于现场,已发现风险问题无法快速整改解决。
在相关技术中,只能依靠传统的账户密码,边界防火墙等措施保障KNS系统安全,无法对已经入侵的威胁进行检测,导致KNS系统的网络安全不能得到有效保障。因此,亟需一种KNS系统的安全保护方法,提高KNS系统的网络安全。
有鉴于此,本申请通过在对KNS系统的中心机房内部部署入侵检测系统,利用入侵检测系统对中心机房的核心交换机上采集到的流量进行网络异常分析,并且在中心机房中部署日志审计系统、网络安全审计系统以及脆弱性扫描于管理系统,定期对KNS系统的服务器、安全设备的日志、网络进行审计和修复,从而提高了KNS系统的安全性。
下面结合具体的例子来说明本申请提供的KNS系统保护方法适用的KNS系统。
图2示出了本申请实施例提供的一例核电厂KNS系统示意图。如图2所示,该KNS系统200包括中心机房210,中心机房210中包括入侵检测系统2101、日志审计系统2102、网络安全审计系统2103、脆弱性扫描与管理系统2104。
应理解,三个电厂中的每个电厂都安装有区域汇聚交换机,每个电厂的厂房中都安装有接入交换机,使用接入交换机获取每个电厂的厂房中的流量,使用区域汇聚交换机获取每个电厂的流量。中心机房210中的核心交换机2101用于获取从三个区域汇聚交换机汇总的主干流量。
可选的,可以用核心交换机上的镜像端口获取主干数据流量。
需要说明的是,核心交换机的数量可以为1个或者两个,当然,还可以为多个,对此,本申请实施例不做限定。
该入侵检测系统2102用户对主干数据流量进行分析、检测。
上述对本申请实施例提供的KNS系统做了具体介绍。
下面,结合图1和图2所示的核电厂KNS系统网络安全的保护方法做具体介绍。图3示出了本申请提供的一例核电厂KNS系统网络安全的保护方法的示意性流程图。如图3所示的,该方法包括:S310至S340。
S310、对中心机房的物理环境数据进行监测和控制。
在本申请实施例中,可以通过完善中心机房基础设备以及改善中心机房的环境来保证KNS系统的中心机房的物理环境安全。
应理解,该物理环境可以通过物理环境数据来反映。
还应理解,该物理环境数据包括:温度、湿度、防静电指数和防雷击指数。
在一个实施例中,可以安装防静电地板、防雷击设备以使得防静电指数、防雷击指数达到国家标准。以及,安装门禁系统实现出入控制,以及摄像头等设备实现防盗报警,追溯功能。
在另一个实施例中,还可以对中心机房的温度和湿度进行合理控制,定期对中心机房的漏水进行检测,以使得温度指数和湿度指数达到国家标准。
通过步骤S310可以保证KNS系统的外部物理环境相对安全。
S320、利用IDS系统对流入KNS系统的数据流量进行安全检测。
在本申请实施例中,为了保证KNS系统的安全性,需要对来自DCS系统和KIT系统的主干数据流量进行分析,以便对网络异常行为进行检测。
需要说明的是,主干数据流量是指从DCS系统、KIT系统经过光纤网络直接进入KNS系统的流量。
在一个实施例中,利用部署在中心机房的入侵检测系统可以对来自DCS系统和KIT系统的主干数据流量进行异常分析,形成数据报表。
具体地,通过中心机房的核心交换机的镜像端口获取主干数据流量。然后,利用中心机房中部署的入侵检测系统对主干数据流量进行分析。
可选的,作为一种可能的实现方式,利用预设的定义规则对获取到的主干数据流量进行分析。
需要说明的是,该预设的定义规则是根据实际的业务系统以及安全需求配制的,因此该预设的定义规则可以根据具体情况设定,本申请实施例不做限定。
具体地,将获取的主干流量和入侵检测系统的特征相匹配,当主干流量满足预设的定义规则条件时,都被视为异常。
示例性的,图4示出了本申请实施例提供的入侵检测系统的示意图。从图4可以看出对主干数据流量进行分析后得到病毒样本、恶意样本、疑似样本以及非恶意样本的样本分布情况。
步骤S320可以通过定期分析流量数据,实现对通信网络安全的检测,从而能够有效发现并几时处理病毒、蠕虫、木马、DDOS、扫描、SQL注入和缓冲区溢出等网络异常行为。
S330、控制DCS系统和KIT系统的数据流量分别单向传输至KNS系统。
从图1所示的核电厂仪控系统的分区结构可以看出一区和二区的数据流向三区、四区。
由于一区属于控制区、二区属于非控制区、三区和四区属于管理大区,因此从一区流向后面区域的数据为相对较为安全数据。因此,为了保证二区、三区和四区的数据不会流向控制区,需要控制生成工艺数据的单向传输。
可选的,作为一种可能的实现方式,可以在DCS系统流向KNS系统的数据传输通道上设置正向隔离装置,以使得DCS系统的数据流量单向传输至KNS系统,并且在KIT系统流向KNS系统的数据传输通道上设置正向隔离装置,以使得KIT系统的数据流量单向传输至KNS系统。
需要说明的是,正向隔离装置中的正向是与数据流量的流向一致的方向,即,从DCS系统流向KNS系统的方向为正向,从KIT系统流向KNS系统的方向为正向。
还需要说明的是,该数据传输通道可以位于DCS系统和KNS系统中间,也可以位于KNS系统的边界处。对此,本申请实施例不做限定。
示例性的,如图5示出了本申请实施例提供的一例核电厂电力监控系统的分区结构示意图,从图5中可以看出在DCS系统流向KNS系统的数据传输通道上设有正向隔离装置,可以使得DCS系统的数据流量单向传输至KNS系统,并且在KIT系统流向KNS系统的数据传输通道上设有正向隔离装置,可以使得KIT系统的数据流量单向传输至KNS系统。
可选的,作为另一种可能的实现方式,可以在KNS系统中设置数据流量发送功能,当KNS系统检测到数据流量将发送至DCS系统中或者KIT系统中时,则对该数据流量进行拦截,从而避免了KNS系统中的流量返向流至DCS系统或者KIT系统中。
可选的,作为又一种可能的实现方式,还可以在DCS系统或者KIT系统中设置数据流量接收功能,当DCS系统或者KIT系统检测到数据流量来自KNS系统中时,则对该数据流量进行拦截,从而避免了DCS系统或者KIT系统接收到来自KNS系统中的流量。
步骤S330中通过DCS系统或者KIT系统和KNS系统的单向数据传输降低了第三方系统入侵的风险,保障了DCS系统的网络安全。
S340、利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对所述中心机房的服务器进行审计和修复。
一般情况下,为了保证KNS系统中的业务功能顺利运转,KNS系统的中心机房中部署有实时服务器、Web服务器、防病毒服务器以及接口服务器。
在本申请实施例中,为了保证KNS系统的安全性,需要对上述各个服务器的数据进行审计,根据审计结果对系统中的异常情况进行分析处理。
作为一种可能的实现方式,图6示出了本申请实施例提供的对KNS系统服务器数据进行审计方法的示意性流程图。如图6所示的,该方法包括S610-S630。
S610、对服务器的日志信息进行集中日志审计。
在本申请实施例中,通过中心机房部署的日志审计系统,实时采集安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息进行集中日志审计。
可选的,可以将日志信息进行一定时间的保存,方便后续对网络信息的追溯。示例性的,可以留存6个月。
示例性的,图7示出了本申请实施例提供的日志审计系统示意图,从图7中可以看出通过日志审计系统检测的事件总数、当前告警等级以及最近30分钟告警状态等信息。
步骤S610可以通过定期分析日志信息,及时发现并且处理当前系统可能存在的异常情况。并且对日志信息进行保存有利于后续进行追溯。
S620、对服务器的数据库和网络行为进行审计。
在本申请实施例中,通过中心机房部署的网络安全审计系统对服务器中的数据库和网络行为进行审计,实现对用户的网络行为的监管。
示例性的,图8示出了本申请实施例提供的网络安全审计系统示意图。从图8中可以看出主机信息、数据库引擎状态以及系统资源中的CPU使用率、内存使用率以及硬盘使用率等信息。
在步骤S620中,通过对数据库和网络行为的审计可以实现事前规划预防、时钟实时监控、违规行为响应、事后合规报告、事故追踪溯源,保障核心资产,比如数据库、服务器和网络设备的正常运行。
S630、对KNS系统定期进行安全漏洞扫描和加固。
在本申请实施例中,通过中心机房部署的脆弱性扫描与管理系统,对KNS系统定期进行安全漏洞扫描和加固。
示例性的,图9示出了本申请实施例提供的脆弱性扫描与管理系统的示意图,从图9中可以看出漏洞分布统计情况等信息。
在步骤S630中,通过定期KNS系统进行安全漏洞扫描与加固、安全基线检查与加固能够及时发现系统存在的脆弱性,并且可以加固和修复系统存在的脆弱性,及时地发现安全脆弱性问题并且及时处理,防止黑客利用安全漏洞进行入侵攻击,提高系统地安全防御能力。
图10示出了相关技术中的网络拓扑图,图11示出了本申请实施例提供的网络拓扑图。
本申请实施例提供的核电厂KNS系统网络安全的保护方法,通过控制DCS系统和KIT系统的流量数据单向传输至KNS系统,避免反向数据流入DCS控制系统,降低从第三方系统入侵的风险,保障了DCS系统的网络安全。利用IDS对流入KNS系统的数据流量进行安全检测能够有效从流入KNS系统的源头发现并处理数据流量的病毒。利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对服务器进行审计和修复,可以及时有效的发现KNS系统的服务器的异常情况并且及时进行修复,提高了KNS系统的安全防御能力。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘(solid state drive,SSD)。
本申请实施例还提供了一种计算机可读介质,用于存储计算机程序代码,该计算机程序包括用于执行上述方法中本申请实施例的核电厂KNS系统网络安全的保护的方法的指令。该可读介质可以是只读存储器(read-only memory,ROM)或随机存取存储器(randomaccess memory,RAM),本申请实施例对此不做限制。
本申请还提供了一种计算机程序产品,该计算机程序产品包括指令,当该指令被执行时,该系统分别执行对应于上述方法中的操作。
本申请实施例还提供了一种系统芯片,该系统芯片包括:处理单元和通信单元,该处理单元,例如可以是处理器,该通信单元例如可以是输入/输出接口、管脚或电路等。该处理单元可执行计算机指令,以使该芯片执行上述本申请实施例提供的任一种核电厂KNS系统网络安全的保护的方法。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种核电厂KNS系统网络安全的保护方法,其特征在于,所述方法包括:
控制DCS系统和KIT系统的数据流量分别单向传输至所述KNS系统;
利用IDS系统对流入所述KNS系统的数据流量进行安全检测;
利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对中心机房的服务器进行审计和修复,所述服务器包括:实时服务器、Web服务器、防病毒服务器和接口服务器。
2.根据权利要求1所述的方法,其特征在于,所述控制DCS系统和KIT系统分别单向传输至所述KNS系统,包括:
在所述DCS系统流向所述KNS系统的数据传输通道上设置正向隔离装置,以使得所述DCS系统的数据流量单向传输至所述KNS系统;
在所述KIT系统流向所述KNS系统的数据传输通道上设置正向隔离装置,以使得所述KIT系统的数据流量单向传输至所述KNS系统。
3.根据权利要求2所述的方法,其特征在于,所述KNS系统的中心机房包括核心交换机,所述利用IDS系统对流入所述中心机房的数据流量进行安全检测,包括:
利用所述核心交换机获取所述DCS系统和所述KIT系统流入所述中心机房的数据流量。
4.根据权利要求3所述的方法,其特征在于,所述利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对所述中心机房的服务器进行审计和修复,包括:
利用所述日志审计系统,采集所述服务器的日志信息;
根据所述服务器的日志信息进行审计并确定异常日志信息;
根据所述异常日志信息对所述服务器进行修复。
5.根据权利要求4中所述的方法,其特征在于,所述方法还包括:
利用所述网络安全审计系统,获取所述服务器的数据库和网络行为;
基于预设的审计特征库,确定所述服务器的异常数据库和异常网络行为。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述中心机房的物理环境数据进行监测和控制,所述物理环境数据包括:温度、湿度、防静电指数和防雷击指数。
7.一种KNS系统,其特征在于,所述KNS系统包括:IDS系统、日志审计系统、网络安全审计系统和脆弱性扫描与管理系统,所述系统用于执行所述权利要求1-6所述的方法。
8.根据权利要求7所述的系统,其特征在于所述系统还包括:正向隔离装置。
9.一种计算机可读存储介质,所述计算机存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的方法。
10.一种芯片,其特征在于,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片的设备执行如权利要求1至6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111139013.3A CN113949539A (zh) | 2021-09-27 | 2021-09-27 | 一种核电厂kns系统网络安全的保护方法及kns系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111139013.3A CN113949539A (zh) | 2021-09-27 | 2021-09-27 | 一种核电厂kns系统网络安全的保护方法及kns系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113949539A true CN113949539A (zh) | 2022-01-18 |
Family
ID=79329447
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111139013.3A Pending CN113949539A (zh) | 2021-09-27 | 2021-09-27 | 一种核电厂kns系统网络安全的保护方法及kns系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113949539A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023202042A1 (zh) * | 2022-04-19 | 2023-10-26 | 中国核电工程有限公司 | 一种工业控制系统的安全防御体系及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060236127A1 (en) * | 2005-04-01 | 2006-10-19 | Kurien Thekkthalackal V | Local secure service partitions for operating system security |
US20150256558A1 (en) * | 2014-03-07 | 2015-09-10 | Shenzhen Microprofit Electronics Co., Ltd | Safety device, server and server information safety method |
CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN109739203A (zh) * | 2019-02-25 | 2019-05-10 | 南京世界村云数据产业集团有限公司 | 一种工业网络边界防护系统 |
CN113225313A (zh) * | 2021-03-26 | 2021-08-06 | 大唐三门峡发电有限责任公司 | 一种用于dcs系统的信息安全防护系统 |
-
2021
- 2021-09-27 CN CN202111139013.3A patent/CN113949539A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060236127A1 (en) * | 2005-04-01 | 2006-10-19 | Kurien Thekkthalackal V | Local secure service partitions for operating system security |
US20150256558A1 (en) * | 2014-03-07 | 2015-09-10 | Shenzhen Microprofit Electronics Co., Ltd | Safety device, server and server information safety method |
CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN109739203A (zh) * | 2019-02-25 | 2019-05-10 | 南京世界村云数据产业集团有限公司 | 一种工业网络边界防护系统 |
CN113225313A (zh) * | 2021-03-26 | 2021-08-06 | 大唐三门峡发电有限责任公司 | 一种用于dcs系统的信息安全防护系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023202042A1 (zh) * | 2022-04-19 | 2023-10-26 | 中国核电工程有限公司 | 一种工业控制系统的安全防御体系及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100838799B1 (ko) | 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법 | |
EP1708114B1 (en) | Aggregating the knowledge base of computer systems to proactively protect a computer from malware | |
CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
US9369484B1 (en) | Dynamic security hardening of security critical functions | |
US20170142133A1 (en) | Ineffective network equipment identification | |
CN106209826A (zh) | 一种网络安全设备监测的安全事件分析方法 | |
US20050182950A1 (en) | Network security system and method | |
US20130150985A1 (en) | Abnormality Detection for Isolating a Control System | |
AU2016333461B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
CN106716953A (zh) | 控制系统中的网络安全风险的动态量化 | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
KR20210030361A (ko) | 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법 | |
Yadav et al. | Assessment of SCADA system vulnerabilities | |
CN110049015B (zh) | 网络安全态势感知系统 | |
CN113949539A (zh) | 一种核电厂kns系统网络安全的保护方法及kns系统 | |
Schütte et al. | Model-based security event management | |
KR20210109292A (ko) | 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템 | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
KR102444922B1 (ko) | 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치 | |
König et al. | Cascading Threats in Critical Infrastructures with Control Systems. | |
Rakas et al. | Intrusion detection systems in smart grid | |
Zhang et al. | Research on security protection method of industrial control boundary network | |
Maynard et al. | Using Application Layer Metrics to Detect Advanced SCADA Attacks. | |
Kai et al. | Development of qualification of security status suitable for cloud computing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |