查看详情

大连某核电站等保建设项目

发表于2020-12-22 11:50:55

背景现状

在中广核现有KRS系统的网络通信/区域边界/计算环境/管理中心等的基础上实施增加/改造等手段,使KRS系统可满足等保三级的要求;对KRS中央站设备、机柜加固改造,使其满足等保三级物理环境要求;对KRS系统12个子站、气象站、中央站出入口配置电子门禁系统;对KRS系统12个子站、气象站、中央站出入口安装监控以防止人为对系统设备进行破坏的情况。

 

目前中广核KRS系统的网络拓扑如下:

 

建设原则

标准化和规范化

遵循国家等级保护相关技术规范的要求,从技术、管理、运维等方面对项目的整体建设和实施进行初步设计,充分体现标准化和规范化。

先进性和成熟性

信息化安全规划方案在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。采用国内先进实用的安全技术和安全产品,选择目前和未来一定时期内有代表性和先进性的成熟的安全技术,既保证当前系统的高安全可靠,又满足系统在很长生命周期内有持续的可维护和可扩展性。

安全性和一致性

安全规划方案建设是中广核KRS系统未来信息化建设项目重点建设内容之一,应严格遵循等级保护以及相关的政策、标准和规范的要求,使中广核KRS系统在网络、应用、数据信息等多层面获得有力的安全保障。

在现有信息化现状的基础上,通过初步架构设计满足项目建设的功能和性能、安全可靠性、灵活性、开放性等系统建设目标,保证系统从需求到设计,设计到建设实施,建设实施到运行管理的可追溯性、可验证性。

整体性和经济性

建设网络安全防护的强度取决于系统中最薄弱的环节,必须采取技术和管理相结合的、整体的安全防护措施。

在项目初步设计过程中,将充分利用现有资源,在可用性的前提条件下充分保证系统建设的经济性,提高投资效率,避免重复建设。

 

框架设计

以等级保护2.0安全框架为依据和参考,在满足国家法律法规和标准体系的前提下通过以“一个中心、三重防护、三个体系”为核心指导思想,构建集识别、防护、检测、响应于一体的全面的安全保障体系。体系化的进行安全方案设计,全面满足等级保护安全需求及单位网络安全战略目标。

具体参见下图:

 

建设后的网络拓扑

根据中广核KRS系统现有网络情况,对全网信息系统进行安全区域划分,分别是出口边界区、核心交换区、业务接入区、边界防护区和安全管理区。

其中业务接入区主要分配等保测评范围的应用系统,并通过VLAN技术根据功能划分不同VLAN(如KRS服务器一个VLAN,终端电脑一个VLAN),新增防火墙、主机审计系统、堡垒机、终端准入控制网关、日志审计系统、防病毒系统、集中管控平台、交换机设备。安全管理区主要为日常运维安全管理区域,主要部署安全设备及运维类系统软件等;根据等级保护要求,新增防火墙、主机审计系统、堡垒机、终端准入控制网关、日志审计系统、防病毒系统和集中管控平台。