今日頭條
官方微信
官方抖音
資訊頻道汪瑋,彭禮平,傅嘉輝 國網(wǎng)新源水電有限公司富春江水力發(fā)電廠
段振輝,晏培 中京天裕科技(北京)有限公司
1 引言
水電廠現(xiàn)地控制單元(LCU)是直接與生產(chǎn)過程進行信息交互的I/O處理系統(tǒng),它的主要任務是進行數(shù)據(jù)采集及處理,對被控對象實施閉環(huán)反饋控制、順序控制和批量控制。用戶可以根據(jù)不同的應用需求,選擇配置不同的LCU構成現(xiàn)場控制站,水電廠LCU系統(tǒng)主要包括機組LCU、弧門LCU、公共系統(tǒng)LCU、開關站LCU等,分別對被控對象的運行工況進行實時監(jiān)視和控制,是水電站計算機監(jiān)控系統(tǒng)的底層控制部分。
LCU系統(tǒng)核心交換機負責水電廠監(jiān)控系統(tǒng)內(nèi)部數(shù)據(jù)的交換處理,是水電廠生產(chǎn)的重要組成部分。水電廠LCU核心交換機一般采用工業(yè)交換機,目前主流工業(yè)交換機品牌有德國赫斯曼(已被美國百通公司收購)、加拿大羅杰康(已被西門子收購)、德國西門子、美國子午線、美國格雷特、美國恩創(chuàng)等廠家,國產(chǎn)品牌有臺灣研華、臺灣MOXA、北京東土、武漢邁威等廠家。LCU系統(tǒng)內(nèi)部數(shù)據(jù)傳輸建立在以交換機為核心的局域網(wǎng)絡之上,核心交換機的數(shù)據(jù)傳輸安全直接關系到水電廠安全生產(chǎn)的進行,由此可見,對LCU系統(tǒng)核心交換機安全基線進行深入研究,并建立一套安全基線標準尤為重要。
2 安全基線的概念
安全基線(Secruity Baseline)是保持網(wǎng)絡系統(tǒng)在機密性、完整性和可靠性需求上的最小安全控制,即該系統(tǒng)最基本需要滿足的安全要求,構造系統(tǒng)安全基線是系統(tǒng)安全工程的首要步驟 , 同時也是進行安全評估、發(fā)現(xiàn)和解決業(yè)務系統(tǒng)安全問題的先決條件。因此通過確保組織滿足安全基線的要求,也就能確認組織的正常運行得到了最低程度的安全保證,安全的重要性是不言而喻的。
安全基線的概念自上世紀40年代在美國萌芽,逐步發(fā)展到今天。目前我國制定的關于信息安全的相關法律法規(guī)不在少數(shù),但依然存在一定的問題,比如:制定部門多,內(nèi)容分散,內(nèi)容可能相互抵觸等問題。我國的安全基線主要是等級保護(第一級到第五級)和分級保護(秘密、機密和絕密),具體落實和操作由GB/T和BMB打頭的相關標準來實現(xiàn)。等級保護的主要文件是:《信息安全技術信息系統(tǒng)安全等級保護基本要求》和《信息安全技術信息系統(tǒng)安全保護等級定級指南》,分級保護的文件主要是:BMB17《設計國家秘密的信息系統(tǒng)分級保護技術要求》和BMB20《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》。
2.1 安全基線模型的建立與優(yōu)化
現(xiàn)在在大多數(shù)工業(yè)企業(yè)的業(yè)務系統(tǒng)中,LCU系統(tǒng)核心交換機在配置中存在眾多配置漏洞,如:弱口令、開放無用服務端口、未升級補丁等,可以利用這些漏洞進行攻擊活動,因此這些配置漏洞有很大的安全隱患。
安全基線模型以業(yè)務系統(tǒng)為核心,分為業(yè)務系統(tǒng)層、功能架構層、系統(tǒng)實現(xiàn)層三層機構,如圖1所示。
圖1 安全基線層次模型
第一層是業(yè)務系統(tǒng)層,這一層主要是根據(jù)不同業(yè)務系統(tǒng)的特性,定義不同安全防護的要求,是一個比較宏觀的要求。對應基于LCU系統(tǒng)的風險管理系統(tǒng)。
第二層是功能架構層,將業(yè)務系統(tǒng)分解為相對應的操作系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)庫、防火墻、路由器、交換機等不同的設備和系統(tǒng)類型,這些設備類型針對LCU業(yè)務層定義的安全防護要求細化為此層不同模型應該具備的要求。即在技術手段上實現(xiàn)脆弱性、安全策略以及重要信息的監(jiān)控和審計。
第三層是系統(tǒng)實現(xiàn)層,將第二層模塊根據(jù)業(yè)務系統(tǒng)的特性進一步分解,找到基準安全配置項和重要策略文件等,即建立安全基線弱點配置庫。
建立一套安全基線檢查系統(tǒng)能對IT基礎設施的安全配置進行高效、快速核查,并計算與安全基線的符合情況,作為一個輔助進行系統(tǒng)準入、日常安全檢查的自動化、有效的系統(tǒng),能極大減少人工進行系統(tǒng)準入、日常安全檢查的工作量,避免了人為因素,保證檢查結構的公正性。
2.2 LCU核心交換機安全基線的種類
LCU核心交換機安全基線的種類可以從管理和技術上分為兩類。
管理類包括:賬號管理、口令管理、認證管理、日志審計管理、協(xié)議安全管理、日常行為管理、端口安全管理等。
技術類包括:安全操作管理與配置、安全接入控制管理與配置、操作系統(tǒng)管理與配置等。
2.3 LCU核心交換機安全基線配置檢查
LCU系統(tǒng)核心交換機是組成水電廠監(jiān)控系統(tǒng)的基礎元素,因此在管理和運行過程中完全有必要對其進行安全基線審查。當制定出安全基線,我們就可以自查交換機配置參數(shù)是否符合要求,符合什么級別的等級保護。比如設備的加密密碼配置,從安全角度考慮:加密密碼配置越復雜越長則越安全;從使用角度考慮:每天可能多次輸入此復雜密碼是非常麻煩的事情,因此實際制定安全基線的時候一定要符合實際情況。
2.3.1 設備管理
(1)遠程管理服務
在交換機管理過程中,一定會出現(xiàn)對設備進行遠程維護的情況,一般用戶會選擇telnet進行遠程操作,但是telnet的致命缺陷是不加密,容易在網(wǎng)絡中被嗅探出用戶密碼和用戶名,給網(wǎng)絡設備帶來巨大的安全隱患。因此如果網(wǎng)絡設備支持,一定要對設備配置ssh等加密協(xié)議進行遠程管理,禁用telnet服務管理交換機設備,提高設備管理安全性,最好是結合訪問控制列表(ACL)進行安全配置。
(2)管理 IP
網(wǎng)絡管理設備的管理IP應該結合ACL指定給某些人或某些網(wǎng)絡管理,基線審查強制按此要求設置。
(3)認證方式
對登錄設備的用戶啟用3A認證,至少應該配置登錄驗證為l o c a l本地認證。如果有認證服務器(Raidus) 等,應該與相關認證服務器聯(lián)動,增強安全性,基線檢查需根據(jù)實際情況設置。
(4)認證系統(tǒng)聯(lián)動
如果有Raidus服務器,對網(wǎng)絡設備通過相關參數(shù)配置,與認證系統(tǒng)聯(lián)動,滿足帳號、口令和授權的強制要求,增加對管理等用戶的認證。
(5)用戶賬號與口令安全
交換機設備參數(shù)配置完畢,通常可以用相關查看命令看到配置文本,保障管理安全,應對相關管理密碼進行加密配置,用戶登錄空閑超過規(guī)定時間應強制下線,基線審查強制按此要求設置。
(6)端口安全
網(wǎng)絡設備的端口有管理端口Console口及其他應用端口,管理端口的配置(如AUX口)應配置加密措施,并強制認證,關閉不需要使用的端口。基線審查強制按此要求設置。
2.3.2 訪問控制
應在網(wǎng)絡邊界部署訪問控制設備,啟用訪問控制功能,應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。應對進出網(wǎng)絡的信息內(nèi)容進行過濾,實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3及工業(yè)常用協(xié)議做到命令級的控制。應在會話處于非活躍一定時間或會話結束后終止網(wǎng)絡連接,應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù),重要網(wǎng)段應采取技術手段防止地址欺騙,應按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶。
2.3.3 日志審計
日志是記錄網(wǎng)絡設備運行情況的數(shù)據(jù),在出現(xiàn)安全事故的情況,管理員可以根據(jù)日志對事故進行追蹤。在交換機日志審計配置中,應對交換機設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄,審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表,應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。因此在設備支持的情況一定要對日志數(shù)據(jù)進行安全保護,采用SNMP 協(xié)議傳輸?shù)饺罩痉掌鳎褂萌罩痉掌鲗θ罩具M行存儲和保護。審計則是記錄重要的操作,在設備支持審計功能的情況也同樣要開啟此功能。
2.3.4 網(wǎng)絡架構安全防護
交換機設備使用中,應對設備配置參數(shù)進行調(diào)整,對可能造成信息泄露的配置應進行修改,如:login banner,該信息可能會透露系統(tǒng)的版本或IP而被黑客所利用。開啟NTP服務,提供標準統(tǒng)一的時鐘。對啟用動態(tài) IGP(RIPV2、OSPF、ISIS等)或EGP(BGP)協(xié)議時,啟用路由協(xié)議認證功能,如MD5加密,確保交換機之間在交換路由信息的時候是安全的。對常見病毒端口進行封堵,重要的服務器進行IP和MAC地址捆綁。基線審查強制按此要求設置。
2.3.5 服務優(yōu)化
眾所周知,網(wǎng)絡設備的服務開啟越多,占用系統(tǒng)資源越多,對設備自身的穩(wěn)定性也造成影響,為保證交換機工作運行的穩(wěn)定和高效,一定要停止不必要的服務,如:源路由、http、https、CDP、ARP-Proxy和FTP等,當網(wǎng)絡設備開啟了一些不必要的服務,可能會因為這些服務本身的漏洞給設備帶來安全隱患。
2.3.6 備份與恢復
為確保交換機本地數(shù)據(jù)備份與恢復功能運行正常,在進行配置策略更改后完全備份一次,并保存原來版本配置策略,備份介質(zhì)場外存放,利用通信網(wǎng)絡將關鍵數(shù)據(jù)定時批量傳送至備用場地。若交換機網(wǎng)絡結構采用冗余技術設計網(wǎng)絡拓撲結構,要確保避免關鍵節(jié)點存在單點故障,在工作現(xiàn)場,應提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余、保證系統(tǒng)的高可用性。
3 結語
LCU工業(yè)以太網(wǎng)交換機作為水電廠的保護、自動化系統(tǒng)的核心設備,其自身安全性與穩(wěn)定性決定水電廠的安全運行,一旦出現(xiàn)問題,很可能會造成全廠外供中斷等重大安全事故。交換機安全基線需要受到進一步重視,安全基線在制定的時候一定要研制執(zhí)行國家相關標準和企業(yè)規(guī)章制度,參考國外相關最佳實踐,確定好每一個核查項,這樣可以為水電廠運維人員在檢查網(wǎng)絡設備的時候建立一個有效框架,實現(xiàn)設備運檢全過程的合規(guī)。
作者簡介
汪瑋(1962-),男,浙江淳安人,本科,工程師,現(xiàn)就職于國網(wǎng)新源水電有限公司富春江水力發(fā)電廠,主要研究方向為水電廠自動化。
參考文獻:
[1] 公安部. 信息安全等級保護管理辦法[S]. 2007.
[2] 電監(jiān)會. 電力工控信息安全專項監(jiān)管工作方案[Z]. 2013年50號文.
[3] 國家發(fā)改委.電力監(jiān)控系統(tǒng)安全防護規(guī)定[Z]. 2014.14號令.
[4] 李鴻培, 忽朝儉, 王曉鵬. 工業(yè)控制系統(tǒng)的安全研究與實踐[J]. 保密科學技術, 2014(4) : 17 - 23.
[5] 夏春明. 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀與發(fā)展趨勢[J]. 信息安全與技術, 2012,02.
[6] 李嵐. 水電廠計算機監(jiān)控系統(tǒng)設計和實現(xiàn)[D]. 太原理工大學, 2011,05.
[7] 劉曉波. 水電廠LCU若干設計原則及其發(fā)展趨勢探討[J]. 水電站機電技術, 2004, 06.
[8] 桂永宏. 業(yè)務系統(tǒng)安全基線的研究及應用[J]. 計算機安全, 2011, 10.
[9] 喻強. 電力工業(yè)以太網(wǎng)交換機安全淺析[R]. 中國通信學會信息通信網(wǎng)絡技術委員會年會, 2013.
摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯
北京市公安局海淀分局備案號:11010802023656號