本申請屬于核電廠工業安全技術領域，提供了一種核電廠KNS系統網絡安全的保護方法，該方法包括：控制DCS系統和KIT系統的數據流量分別單向傳輸至KNS系統；利用IDS系統對流入KNS系統的數據流量進行安全檢測；利用日志審計系統、網絡安全審計系統和脆弱性掃描與管理系統分別對服務器進行審計和修復，服務器包括：實時服務器、Web服務器、防病毒服務器和接口服務器。本申請提供的方法，可以及時有效的發現KNS系統的服務器的異常情況并且及時進行修復，提高了KNS系統的安全防御能力。

技術領域

本申請屬于核電廠工業安全技術領域，尤其涉及一種核電廠KNS系統網絡安全的保護方法及KNS系統。

背景技術

KNS系統主要負責采集國內某核電廠的KIT系統和DCS系統的實時生產數據，提供實時數據監視、歷史數據查詢及報表功能。由于，核電廠KNS系統在儀控系統分層結構中處于level3層級，并且需要向外部需要生產數據的系統提供實時/歷史數據，因此KNS系統的安全性尤為重要。

在相關技術中，只是采用防火墻保護KNS系統，但是對于KNS系統被從辦公網或者內部病毒滲透入侵無法進行檢測，當KNS被從內部入侵時可能會進一步橫向滲透向DCS系統進行攻擊、控制甚至破壞。

發明內容

本申請實施例提供了一種核電廠KNS系統網絡安全的保護方法及KNS系統，可以解決KNS系統從內部入侵病毒導致的網絡安全問題，提升KNS系統的網絡安全性能。

第一方面，提供了一種核電廠KNS系統網絡安全的保護方法，該方法包括：控制DCS系統和KIT系統的數據流量分別單向傳輸至KNS系統；利用IDS系統對流入KNS系統的數據流量進行安全檢測；利用日志審計系統、網絡安全審計系統和脆弱性掃描與管理系統分別對服務器進行審計和修復，所述服務器包括：實時服務器、Web服務器、防病毒服務器和接口服務器。

第一方面提供的方法，控制DCS系統和KIT系統的流量數據單向傳輸至KNS系統，避免反向數據流入DCS控制系統，降低從第三方系統入侵的風險，保障了DCS系統的網絡安全。利用IDS對流入KNS系統的數據流量進行安全檢測能夠有效從流入KNS系統的源頭發現并處理數據流量的病毒。利用日志審計系統、網絡安全審計系統和脆弱性掃描與管理系統分別對服務器進行審計和修復，可以及時有效的發現KNS系統的服務器的異常情況并且及時進行修復，提高了KNS系統的安全防御能力。

可選的，控制DCS系統和KIT系統分別單向傳輸至KNS系統，包括：在DCS系統流向KNS系統的數據傳輸通道上設置正向隔離裝置，以使得DCS系統的數據流量單向傳輸至KNS系統；在KIT系統流向KNS系統的數據傳輸通道上設置正向隔離裝置，以使得KIT系統的數據流量單向傳輸至KNS系統。在該種實現方式中，通過設置正向隔離裝置，保證數據流量的單向傳輸，從而避免了反向數據流量流向DCS控制系統，從而保證了DCS系統的網絡安全。

可選的，KNS系統的中心機房包括核心交換機，利用IDS系統對流入所述中心機房的數據流量進行安全檢測，包括：利用核心交換機獲取DCS系統和KIT系統流入中心機房的數據流量。

可選的，利用日志審計系統、網絡安全審計系統和脆弱性掃描與管理系統分別對所述中心機房的服務器進行審計和修復，包括：利用日志審計系統，采集服務器的日志信息；根據服務器的日志信息進行審計并確定異常日志信息；根據異常日志信息對服務器進行修復。在該種實現方式中，利用日志審計系統采集日志信息，定期分析日志信息，及時發現并處理當前系統中可能存在的異常。

可選的，利用網絡安全審計系統，獲取服務器的數據庫和網絡行為；基于預設的審計特征庫，確定服務器的異常數據庫和異常網絡行為。在該種實現方式中，利用網絡安全審計系統對數據庫，對用戶的網絡行為監管，實現事前規劃預防、事中實時監控、違規行為響應、事后合規報告或者事故追蹤溯源，保障了數據庫、服務器以及網絡設備的正常運行。