[发明专利]一种核电厂KNS系统网络安全的保护方法及KNS系统

说明书

本申请属于核电厂工业安全技术领域，提供了一种核电厂KNS系统网络安全的保护方法，该方法包括：控制DCS系统和KIT系统的数据流量分别单向传输至KNS系统；利用IDS系统对流入KNS系统的数据流量进行安全检测；利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对服务器进行审计和修复，服务器包括：实时服务器、Web服务器、防病毒服务器和接口服务器。本申请提供的方法，可以及时有效的发现KNS系统的服务器的异常情况并且及时进行修复，提高了KNS系统的安全防御能力。

技术领域

本申请属于核电厂工业安全技术领域，尤其涉及一种核电厂KNS系统网络安全的保护方法及KNS系统。

背景技术

KNS系统主要负责采集国内某核电厂的KIT系统和DCS系统的实时生产数据，提供实时数据监视、历史数据查询及报表功能。由于，核电厂KNS系统在仪控系统分层结构中处于level3层级，并且需要向外部需要生产数据的系统提供实时/历史数据，因此KNS系统的安全性尤为重要。

在相关技术中，只是采用防火墙保护KNS系统，但是对于KNS系统被从办公网或者内部病毒渗透入侵无法进行检测，当KNS被从内部入侵时可能会进一步横向渗透向DCS系统进行攻击、控制甚至破坏。

发明内容

本申请实施例提供了一种核电厂KNS系统网络安全的保护方法及KNS系统，可以解决KNS系统从内部入侵病毒导致的网络安全问题，提升KNS系统的网络安全性能。

第一方面，提供了一种核电厂KNS系统网络安全的保护方法，该方法包括：控制DCS系统和KIT系统的数据流量分别单向传输至KNS系统；利用IDS系统对流入KNS系统的数据流量进行安全检测；利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对服务器进行审计和修复，所述服务器包括：实时服务器、Web服务器、防病毒服务器和接口服务器。

第一方面提供的方法，控制DCS系统和KIT系统的流量数据单向传输至KNS系统，避免反向数据流入DCS控制系统，降低从第三方系统入侵的风险，保障了DCS系统的网络安全。利用IDS对流入KNS系统的数据流量进行安全检测能够有效从流入KNS系统的源头发现并处理数据流量的病毒。利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对服务器进行审计和修复，可以及时有效的发现KNS系统的服务器的异常情况并且及时进行修复，提高了KNS系统的安全防御能力。

可选的，控制DCS系统和KIT系统分别单向传输至KNS系统，包括：在DCS系统流向KNS系统的数据传输通道上设置正向隔离装置，以使得DCS系统的数据流量单向传输至KNS系统；在KIT系统流向KNS系统的数据传输通道上设置正向隔离装置，以使得KIT系统的数据流量单向传输至KNS系统。在该种实现方式中，通过设置正向隔离装置，保证数据流量的单向传输，从而避免了反向数据流量流向DCS控制系统，从而保证了DCS系统的网络安全。

可选的，KNS系统的中心机房包括核心交换机，利用IDS系统对流入所述中心机房的数据流量进行安全检测，包括：利用核心交换机获取DCS系统和KIT系统流入中心机房的数据流量。

可选的，利用日志审计系统、网络安全审计系统和脆弱性扫描与管理系统分别对所述中心机房的服务器进行审计和修复，包括：利用日志审计系统，采集服务器的日志信息；根据服务器的日志信息进行审计并确定异常日志信息；根据异常日志信息对服务器进行修复。在该种实现方式中，利用日志审计系统采集日志信息，定期分析日志信息，及时发现并处理当前系统中可能存在的异常。

可选的，利用网络安全审计系统，获取服务器的数据库和网络行为；基于预设的审计特征库，确定服务器的异常数据库和异常网络行为。在该种实现方式中，利用网络安全审计系统对数据库，对用户的网络行为监管，实现事前规划预防、事中实时监控、违规行为响应、事后合规报告或者事故追踪溯源，保障了数据库、服务器以及网络设备的正常运行。