基于核电应急控制的信息安全系统的制作方法

本发明属于核电技术领域，尤其涉及一种基于核电应急控制的信息安全系统。

背景技术：

核应急指挥系统是一个信息管理系统，供核电厂应急指挥人员进行核电应急控制。为了获取核电厂机组关键数据、气象和环境监测数据、核电厂关键区域视频数据等，核应急指挥系统需要与电厂多个系统进行物理连接，同时，为了保证核应急情况的指挥调度，核应急指挥系统还需要和核电厂外应急组织进行数据连接，如果核应急指挥系统遭受黑客及恶意代码的攻击或侵害，将有可能导致核电厂内部的数字化控制系统的正常运行，从而引起核电厂更大的事故，因此，有必要提高核应急指挥系统的信息安全防护。

目前，相关核电厂中，核应急指挥系统在内部系统通讯、外部系统通讯，以及自身系统防护方面均存在信息安全漏洞，无法满足对于电力二次系统的信息安全和网络安全要求。

有鉴于此，确有必要提供一种技术方案，以解决上述技术问题。

技术实现要素：

本发明的目的在于：提供了一种基于核电应急控制的信息安全系统，以解决现有技术中的核应急指挥系统存在信息安全漏洞，信息安全防护能力低的问题。

本发明实施例提供了一种基于核电应急控制的信息安全系统，包括：

外部网络隔离层，用于对外部核电应急网络进行信息安全防护；

应急控制平台，用于按照接入业务的功能划分安全分区，并构建核心交换机与所述安全分区之间的星型网络结构；

核电基础网络层，用于对内部业务系统进行信息安全防护。

作为本发明基于核电应急控制的信息安全系统的一种改进，所述外部网络隔离层包括：

信息安全隔离区，用于与所述外部核电应急网络进行隔离，以及所述外部核电应急网络和内部网络之间的数据交互；

外部路由器，用于连接所述信息安全隔离区和所述外部核电应急网络。

作为本发明基于核电应急控制的信息安全系统的一种改进，所述外部路由器还用于通过同步数字体系sdh专线连接所述外部核电应急网络中的每个应急中心。

作为本发明基于核电应急控制的信息安全系统的一种改进，所述信息安全隔离区包括：

防火墙，用于隔离所述外部核电应急网络；

外部服务器，用于进行所述内部网络和所述外部核电应急网络之间的数据交换；

外部交换机，用于连接所述防火墙和所述外部服务器。

作为本发明基于核电应急控制的信息安全系统的一种改进，所述应急控制平台包括核心层和接入层；

所述核心层，用于对所述接入层中不同子业务系统的区域数据之间进行逻辑隔离、访问控制和数据交互；

所述接入层，用于连接每个所述子业务系统和所述核心层，完成每个所述子业务系统和所述核心层之间的数据交互。

作为本发明基于核电应急控制的信息安全系统的一种改进，所述接入层包括外网隔离安全区、基础网络安全区、服务器安全区、辐射评价安全区、视频会议安全区、应急指挥安全区和后勤保卫安全区；

所述外网隔离安全区，用于完成与所述外部核电应急网络的外部数据服务器之间的连接和数据交互；

所述基础网络安全区，用于完成与所述内部业务系统的内部路由器之间的连接和数据交互；

所述服务器安全区，用于对数据服务器、应用服务器和通讯服务器的隔离；

所述辐射评价安全区，用于进行辐射后果评价计算；

所述视频会议安全区，用于完成视频会议功能；

所述应急指挥安全区，用于完成应急指挥功能；

所述技术支持安全区，用于完成技术支持功能；

所述后勤保卫安全区，用于完成后勤保卫功能。

作为本发明基于核电应急控制的信息安全系统的一种改进，所述核电基础网络层包括单向隔离装置，所述单向隔离装置包括发送接口机和隔离网闸，所述发送接口机将核电生产控制区域的机组数据通过所述隔离网闸单向发送到所述应急控制平台的接收接口机。

作为本发明基于核电应急控制的信息安全系统的一种改进，所述应急控制平台还用于对全传输途径的网络层服务器、邮件网关服务器、web网关服务器和邮件服务器进行病毒防护。

本发明基于核电应急控制的信息安全系统中，通过外部网络隔离层，实现对对外部核电应急网络的信息安全防护，通过核电基础网络层，对生产控制区采取隔离措施，完成对内部业务系统的信息安全防护，并通过应急控制平台，按照接入业务的功能划分安全分区，并构建核心交换机与各个安全分区之间的星型网络结构，以满足相应工程应用条件和法规标准要求，解决应急指挥系统自身的信息防护问题，从而提高整个核应急指挥系统的信息安全防护能力。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的基于核电应急控制的信息安全系统的结构示意图；

图2是本发明另一实施例提供的基于核电应急控制的信息安全系统的结构示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

请参阅图1，图1是本发明实施例提供的一种基于核电应急控制的信息安全系统的结构示意图，本发明实施例的信息安全系统应用在核应急指挥系统中。为了便于说明，仅示出了与本发明实施例相关的部分。图1示例的一种基于核电应急控制的信息安全系统10包括：外部网络隔离层11、应急控制平台12和核电基础网络层13。各功能模块详细说明如下：

(1)外部网络隔离层11

用于对外部核电应急网络进行信息安全防护。

具体地，为实现与外部核电应急网络的数据交换，在应急控制平台12与核电厂外部核电应急网络之间部署外部网络隔离层，通过外部网络隔离层实现内部数据与外部数据之间的安全交互，以及内外部之间在授权条件下的网络资源共享，避免非法访问，有效保护内部数据的信息安全，同时也防止外网的恶意攻击等信息安全危险。

其中，外部核电应急网络包括但不限于国家核应急指挥中心、省应急指挥中心，和集团应急指挥中心等应急中心。

(2)应急控制平台12

用于按照接入业务的功能划分安全分区，并构建核心交换机与安全分区之间的星型网络结构。

具体地，应急控制平台12按照核应急指挥系统中各个业务的具体功能划分安全分区，每个安全分区负责相对独立的业务，同时，应急控制平台12采用核心层和接入层两层网络，并使用千兆主干连接的星型网络结构。

(3)核电基础网络层13

用于对内部业务系统进行信息安全防护。

具体地，为了保证核应急指挥系统的正常运行，核应急指挥系统需要从核电厂各个内部业务系统中获取机组运行参数、环境监测参数、模拟机参数，以及辐射监测参数等数据，这些数据分布在核电厂各个内部业务系统中。

其中，内部业务系统包括但不限于核电站全数字化仪控系统(dcs)、模拟机系统，和实时信息监控系统(kns)等。

核电基础网络层13采用单向接收的方式，将获取到的各个业务系统中的数据通过单向通讯协议，单向传输到应急控制平台12，应急控制平台12无法向核电基础网络层13传输数据，从而有效防止病毒或黑客攻击核电厂内部的各个业务系统，极大提高了机组安全防范能力。

在本实施例中，通过外部网络隔离层，实现对对外部核电应急网络的信息安全防护，通过核电基础网络层，对生产控制区采取隔离措施，完成对内部业务系统的信息安全防护，并通过应急控制平台，按照接入业务的功能划分安全分区，并构建核心交换机与各个安全分区之间的星型网络结构，以满足相应工程应用条件和法规标准要求，解决应急指挥系统自身的信息防护问题，从而提高整个核应急指挥系统的信息安全防护能力。

请参阅图2，图2是本发明另一实施例提供的基于核电应急控制的信息安全系统的结构示意图，为了便于说明，仅示出了与本发明实施例相关的部分。在图2示例的信息安全系统中，外部网络隔离层11包括：信息安全隔离区111和外部路由器112。各功能模块详细说明如下：

(1)信息安全隔离区111

用于与外部核电应急网络进行隔离，以及外部核电应急网络和内部网络之间的数据交互。

具体地，信息安全隔离区111为外部核电应急网络和内部网路之间的隔离区(demilitarizedzone，dmz)，在该隔离区放置允许外部核电应急网络中的应急中心访问的服务器，该服务器中保存有允许外部核电应急网络中的应急中心访问的数据，以便外部核电应急网络中的应急中心通过该服务器实现和内部网络的数据交互，从而实现内外网分离，达到对内部数据的信息安全保护。

(2)外部路由器112

用于连接信息安全隔离区111和外部核电应急网络。

具体地，外部路由器112连接信息安全隔离区111和外部核电应急网络，以实现核应急指挥系统与外部核电应急网络中每个应急中心的路由可达。

进一步地，外部路由器112通过同步数字体系sdh专线连接外部核电应急网络中的每个应急中心。sdh专线具有独立的信道和固定的带宽，可有效降低外部威胁。

在本实施例中，通过信息安全隔离区与外部核电应急网络进行隔离，完成外部核电应急网络和内部网络之间的数据交互，从而实现内外网分离，达到对内部数据的信息安全保护，同时通过外部路由器实现核应急指挥系统与外部核电应急网络中每个应急中心的路由可达，并通过同步数字体系sdh专线连接外部核电应急网络中的每个应急中心，有效抵御外部网络的威胁和异常攻击，进一步保护内部数据的信息安全。

请继续参阅图2，在图2示例的信息安全系统中，信息安全隔离区111包括：防火墙1111、外部服务器1112和外部交换机1113。各功能模块详细说明如下：

(1)防火墙1111

用于隔离外部核电应急网络。

具体地，防火墙1111可以采用网络地址转换(networkaddresstranslation，nat)模式或者路由模式工作，其相应的安全策略包括但不限于包过滤、动态地址翻译，以及代理服务等。

通过防火墙的部署，将外部核电应急网络和核应急指挥系统的内部网络之间进行隔离，限制相互之间的非法访问，外部核电应急网络中的应急中心可以在授权情况下正常享有内部网络资源，防止核应急指挥系统的内部网络一点击破和全盘崩溃的局面，并且能够很好的防止蠕虫病毒的蔓延。

(2)外部服务器1112

用于进行内部网络的和外部核电应急网络之间的数据交换。

具体地，内部网络的内部数据与外部核电应急网络的外部数据之间的数据交换通过外部服务器1112进行，外部服务器1112中保存有允许外部核电应急网络的应急中心访问的数据，外部核电应急网络的应急中心通过外部服务器1112实现与内部网络的数据交互，从而实现内外网分离，达到对内部数据的信息安全保护。

(3)外部交换机1113

用于连接防火墙1111和外部服务器1112。

在本实施例中，通过防火墙实现外部核电应急网络和核应急指挥系统的内部网络之间的隔离，通过外部服务器实现内部网络的和外部核电应急网络之间的数据交换，达到内外网分离的目标，有效提高对内部数据的信息安全保护。

请继续参阅图2，在图2示例的信息安全系统中，应急控制平台12包括：核心层121和接入层122。各功能模块详细说明如下：

(1)核心层121

用于对接入层中不同子业务系统的区域数据之间进行逻辑隔离、访问控制和数据交互；

具体地，核心层121包括核心交换机，通过核心交换机实现对接入层中不同子业务系统的区域数据之间的逻辑隔离、访问控制和数据交互。

核心交换机接收各个子业务系统的区域数据交换请求，并根据各个子业务系统之间交互权限控制区域数据在各个子业务系统之间的传输。

其中，核心交换机具体可以是三层交换机，三层交换机将网络通信中的二层交换技术和三层路由技术结合在一起，并通过特定用途集成电路(applicationspecificintegratedcircuit，asic)技术达到线速交换，大幅提高了设备数据的包转发能力，通过各种显式或隐式的虚拟局域网(virtuallocalareanetwork，vlan)划分方法提供基于策略的安全访问准入机制，有效隔离网络中各网点之间的数据传输、控制用户的访问权限，有效抑制广播风暴的产生。

(2)接入层122

用于连接每个子业务系统和核心层121，完成每个子业务系统和核心层121之间的数据交互。

具体地，接入层122包含不同的子业务系统，每个子业务系统包含若干业务终端，每个子业务系统中的业务终端和核心层121的核心交换机之间可以通过二级交换机进行连接，通过二级交换机完成每个子业务系统和核心层121之间的数据交互。

进一步地，接入层122包括外网隔离安全区1221、基础网络安全区1222、服务器安全区1223、辐射评价安全区1224、视频会议安全区1225、应急指挥安全区1226、技术支持安全区1227和后勤保卫安全区1228。

为了保证网络系统的安全性，按照子业务系统系统和应急工作组的不同，在接入层122设置若干不同的安全区域，包括外网隔离安全区1221、基础网络安全区1222、服务器安全区1223、辐射评价安全区1224、视频会议安全区1225、应急指挥安全区1226、技术支持安全区1227和后勤保卫安全区1228，这些安全区域之间通过vlan、防火墙或其它安全措施进行逻辑隔离或访问控制，实现每个子业务系统的信息安全保护。

外网隔离安全区1221，用于完成与外部核电应急网络的外部数据服务器之间的连接和数据交互；

基础网络安全区1222，用于完成与内部业务系统的内部路由器之间的连接和数据交互；

服务器安全区1223，用于对数据服务器、应用服务器和通讯服务器的隔离；

辐射评价安全区1224，用于进行辐射后果评价计算；

视频会议安全区1225，用于完成视频会议功能；

应急指挥安全区1226，用于完成应急指挥功能；

技术支持安全区1227，用于完成技术支持功能；

后勤保卫安全区1228，用于完成后勤保卫功能。

在本实施例中，通过核心层对接入层中不同子业务系统的区域数据之间进行逻辑隔离、访问控制和数据交互，并通过接入层连接每个子业务系统和核心层，完成每个子业务系统和核心层之间的数据交互，实现了采用核心层和接入层两层网络，并使用千兆主干连接的星型网络结构。，同时按照子业务系统系统和应急工作组的不同，在接入层设置的8个不同的安全区域，能够有效保护各个子业务系统的数据安全。

请继续参阅图2，在图2示例的信息安全系统中，核电基础网络层13包括单向隔离装置131，单向隔离装置131包括发送接口机1311和隔离网闸1312，发送接口机1311将核电生产控制区域的机组数据通过隔离网闸1312单向发送到应急控制平台12的接收接口机120。

具体地，单向隔离装置131实现了线路的物理隔离。单向隔离装置131内置高性能嵌入式计算机芯片，底板上各有2个10m/100m以太网口来连接隔离的网络，设有告警信息输出端口，硬件看门口监视系统状态，保证单向隔离装置131的稳定可靠运行。

核电基础网络层13的单向隔离装置131确保核电生产控制区域中各个子业务系统和应急控制平台12之间的通讯协议只支持单向通讯协议，即各个子业务系统可以将机组数据发送到应急控制平台12，但外部网络无法通过应急控制平台12向各个子业务系统发送数据和控制指令，从而防止了病毒或黑客从核应急指挥系统进攻核电机组，极大提高了核电机组的安全防范能力。

单向隔离装置131包括发送接口机1311和隔离网闸1312，通讯接口中设置了发送和接收接口机，发送接口机1311部署数据发送程序，负责将机组数据穿越隔离网闸1312发送给应急控制平台12的接收接口机120，应急控制平台12的接收接口机120部署数据接收程序，负责接收机组数据。

进一步的，发送接口机1311和接收接口机120均配置有缓存服务，该缓存服务可以在网络故障期间，暂存机组数据，这样既能避免通讯链路故障、数据库故障、网闸故障引起的数据丢失，也保证了系统间的安全隔离要求。

在本实施例中，通过单向隔离装置实现对核电生产控制区域的单向隔离，防止了病毒或黑客从核应急指挥系统进攻核电机组，极大提高了核电机组的安全防范能力，同时，设置发送接口机和接收接口机，既能避免通讯链路故障、数据库故障、网闸故障引起的数据丢失，也能保证系统间的安全隔离要求。

进一步地，在一个实施例中，应急控制平台12还用于对全传输途径的网络层服务器、邮件网关服务器、web网关服务器和邮件服务器进行病毒防护。

具体地，为保证核应急指挥系统的安全设计，在应急控制平台12采用一套网络防病毒软件构建病毒防护体系，在各个服务器和客户端均安装该网络防病毒软件，实现对全传输途径的的网络层服务器、邮件网关服务器、web网关服务器和邮件服务器进行病毒防护。该杀毒软件专门提供病毒防杀软件的病毒特征更新信息，对外部网络发现的最新病毒提出告警，并与外部网络的病毒服务器进行信息的交换。

本实施例中，应急控制平台12分别针对病毒传播途径的网络层防护、邮件网关防护、web网关防护、邮件服务器防护，针对病毒驻留场所的存储服务器防护、应用服务器防护和客户机防护，实现病毒的全面防范，将病毒的生存空间压到最小，将病毒的扩散和危害降到最低。

进一步地，应急控制平台12实现跨广域网的多级控制与管理，集中分发漏洞检测码、阻止策略、病毒代码、扫描引擎、清除工具，并自动生成日志报表，从而能够帮助管理员快速定位传染源和发现未部署防毒系统的漏洞节点，大大减少了人力投入，同时保证了防毒系统策略的一致性。

进一步地，应急控制平台12还集成了行为智能分析、防火墙、入侵检测系统(intrusiondetectionsystems，ids)、入侵防御系统(intrusionpreventionsystem，ips)、流量监控、漏洞评估、反间谍软件、反“网络钓鱼”、统一资源定位符(uniformresourcelocator，url)过滤、反垃圾邮件、内容过滤等安全技术，实现综合性的安全防护。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的装置/计算机设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/计算机设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。