1　市政水處理行業(yè)自動(dòng)化與信息化現狀

    市政水處理行業(yè)自動(dòng)化的內容和范圍就凈水廠(chǎng)和污水處理廠(chǎng)而言，涵蓋了：生產(chǎn)過(guò)程自動(dòng)化系統、過(guò)程控制儀表及在線(xiàn)水質(zhì)監測儀表、全廠(chǎng)閉路電視監控安防系統、門(mén)禁、考勤與巡更系統、全廠(chǎng)網(wǎng)絡(luò )布線(xiàn)及信息化系統等。網(wǎng)絡(luò )結構由現場(chǎng)總線(xiàn)發(fā)展到多層次復雜結構的光纖環(huán)網(wǎng)，并通過(guò)無(wú)線(xiàn)通訊延伸至移動(dòng)設備（如：吸泥行車(chē)、行走式刮泥機等）和廠(chǎng)外遠端控制站，水源地、取水泵站、加壓泵站、管網(wǎng)監測點(diǎn)、污水排放口收集水質(zhì)流量監測、污水管網(wǎng)監測、污水中途提升泵站等。閉路電視監控逐步發(fā)展到了智能網(wǎng)絡(luò )數字系統，從部分關(guān)鍵點(diǎn)的設置發(fā)展到幾乎無(wú)死角的全面監控，自動(dòng)化技術(shù)的應用在市政水處理行業(yè)已經(jīng)日漸成熟。

    市政行業(yè)還包括城市防澇系統、市政道路交通、城市地下綜合管廊等，自動(dòng)化的應用在這幾個(gè)方面還剛剛起步。雨水收集、初級雨水處理、雨水排的利用、雨水泵站等設施的監控，市政道路的監控與智能化交通管理，地下綜合管廊的各項參數的監測與監控，自動(dòng)化技術(shù)可以發(fā)揮的潛力巨大。

    隨著(zhù)自動(dòng)化的發(fā)展，信息化的應用也大范圍地展開(kāi)，其中重要的一個(gè)環(huán)節就是監控中心以及分布在各個(gè)部分的人機界面，SCADA監控中心是自動(dòng)化與信息化的交接點(diǎn)，作為數據中心服務(wù)器成為連接自動(dòng)化系統和信息化管理網(wǎng)絡(luò )系統的橋梁。下面就服務(wù)器操作系統的內核安全防護的作用，做一個(gè)初步的探討。

    2　目前的安全措施

    目前工業(yè)控制領(lǐng)域安全原則主要是“安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離、縱向認證”。

    （1）安全分區

    安全分區一般指基于計算機及網(wǎng)絡(luò )技術(shù)的業(yè)務(wù)系統，劃分為生產(chǎn)控制大區和管理信息大區，并根據業(yè)務(wù)系統的重要性和對工業(yè)控制系統的影響程度將生產(chǎn)控制大區劃分為控制區及非控制區。

    （2）網(wǎng)絡(luò )專(zhuān)用

    網(wǎng)絡(luò )專(zhuān)用一般指調度系統與生產(chǎn)控制大區相連接的專(zhuān)用網(wǎng)絡(luò )。

    （3）橫向隔離

    橫向隔離是工業(yè)控制領(lǐng)域業(yè)務(wù)系統安全防護體系的橫向防線(xiàn)。應當采用不同強度的安全設備隔離各安全區，在生產(chǎn)控制大區與管理信息大區之間必須部署橫向單項安全隔離裝置，隔離強度應當接近或達到物理隔離。生產(chǎn)控制大區內部的安全區之間應當采用具有訪(fǎng)問(wèn)控制功能的網(wǎng)絡(luò )設備、安全可靠的硬件防火墻或者相當功能的設施，實(shí)現邏輯隔離。

    （4）縱向認證

    縱向加密認證是工業(yè)控制領(lǐng)域業(yè)務(wù)系統安全防護體系的縱向防線(xiàn)。生產(chǎn)控制大區與調度控制數據網(wǎng)的縱向連接處應當設置縱向加密認證裝置，實(shí)現雙向身份認證、數據加密和訪(fǎng)問(wèn)控制。

    一個(gè)市政水處理項目自動(dòng)化控制及信息化系統典型配置結構為：控制網(wǎng)采用光纖工業(yè)以太網(wǎng)，各個(gè)現場(chǎng)下掛PLC控制站，中控室接中央監控服務(wù)器，SCADA監控組態(tài)軟件采用服務(wù)器客戶(hù)端結構，監控服務(wù)器內裝組態(tài)軟件服務(wù)器版，采用雙網(wǎng)卡，兩個(gè)以太網(wǎng)端口分別與工業(yè)網(wǎng)和中控室交換機相連。操作顯示終端內裝組態(tài)軟件客戶(hù)端，與中控室交換機相連，同時(shí)中控室交換機還連接一臺工業(yè)數據庫服務(wù)器。中控室交換機通過(guò)一臺硬件防火墻與辦公管理網(wǎng)相連，企業(yè)管理的數據庫服務(wù)器的關(guān)系數據庫，同步工業(yè)歷史數據庫的數據，提供給信息化管理系統。防火墻設置為僅允許這兩臺服務(wù)器之間的有限數據交換，以實(shí)現工業(yè)數據與管理交換且滿(mǎn)足安全隔離的要求。

    也就是工業(yè)網(wǎng)與中控室操作之間以一對冗余的服務(wù)器相連，中控室SCADA中心通過(guò)防火墻與管理網(wǎng)相連，三個(gè)區域之間就此相連且被安全隔離。有一些遠程的控制站，例如：取水泵站、加壓泵站、管網(wǎng)監測點(diǎn)、污水中途提升泵站等，可以采用公網(wǎng)Vlan以及在兩端配置安全加密模塊，防止外部的惡意侵入。

    以上安全防護措施一定程度上保障了工業(yè)領(lǐng)域業(yè)務(wù)系統的安全運行，但近年來(lái)發(fā)生的事故說(shuō)明，在關(guān)鍵業(yè)務(wù)系統上的服務(wù)器，正在運行著(zhù)低安全等級操作系統，成為安全事故發(fā)生的根源。中控室兩臺互為冗余的監控服務(wù)器，既是SCADA數據中心，又是工控網(wǎng)與監控中心與其他人際界面的橋梁，這兩臺服務(wù)器的安全程度，既能影響工控網(wǎng)內所有PLC控制站的安全運行，也關(guān)系到實(shí)時(shí)數據的上傳，和生產(chǎn)調度監控指令的及時(shí)準確下達，服務(wù)器上操作系統的安全至關(guān)重要，目前未能引起行業(yè)內各個(gè)環(huán)節的重視。

    3　操作系統的安全級別

    那么何為低安全等級操作系統？ 按照美國TCSEC標準、國家GB20272-2006標準，目前使用的Windows、Linux、Unix操作系統都屬于C2級別或第二等級，不能滿(mǎn)足工業(yè)控制領(lǐng)域操作系統的安全要求。

    TCSEC標準是計算機系統安全評估的第一個(gè)正式標準，具有劃時(shí)代的意義。該準則于1970年由美國國防科學(xué)委員會(huì )提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標準，后來(lái)延至民用領(lǐng)域。TCSEC將計算機系統的安全劃分為4個(gè)等級、7個(gè)級別：D、C1、C2、B1、B2、B3、A。

    C2級別操作系統為什么不能滿(mǎn)足工業(yè)控制領(lǐng)域關(guān)鍵業(yè)務(wù)系統的需求？首先，了解一下C2級別操作系統的主要缺陷。

    （1）C2操作系統擁有不受任何限制的超級用戶(hù)，不論是非法獲得系統管理員權限，還是運維人員的越權和誤操作都是導致安全事故的最主要原因之一。

    （2）不具備安全審計，安全審計日志可作為事前預警和事后取證，沒(méi)有安全審計機制的C2級別操作系統，即不能提前發(fā)現安全隱患，也難以在事故發(fā)生后找到責任人和事故原因。

    （3）C2級別操作系統不能防止已知和未知惡意代碼的入侵，同時(shí)，對于非法接入的網(wǎng)絡(luò )設備沒(méi)有任何預警和抵御能力。

    4　操作系統的內核安全加固

    “安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離、縱向認證”的防護原則核心目的是保護關(guān)鍵業(yè)務(wù)系統的數據安全以及業(yè)務(wù)的穩定運行，然而如果不能解決C2級別操作系統的根源問(wèn)題，其他任何安全措施就好比將城堡建在沙子上，根基出現問(wèn)題，任何其他防范措施都不能解決根本問(wèn)題。那么，對關(guān)鍵業(yè)務(wù)主機進(jìn)行綜合防護是目前工業(yè)領(lǐng)域安全防護的重點(diǎn)。綜合防護是結合國家信息安全等級保護工作的相關(guān)要求，對工業(yè)控制領(lǐng)域關(guān)鍵業(yè)務(wù)系統從主機層面實(shí)現對操作系統安全等級提升、惡意代碼防范、遠程主機入侵防范、應用安全控制、安全審計等多個(gè)層面進(jìn)行信息安全防護的過(guò)程。

    目前絕大部分的監控軟件都是運行在一些主流的操作系統平臺之上，而這些操作系統的安全級別較低，隨著(zhù)自動(dòng)化與信息化在行業(yè)內所起的作用越來(lái)越顯著(zhù)且被更多的依賴(lài)，提升操作系統安全等級，避免事關(guān)民生的災難性安全事故，便是我們目前的重要任務(wù)之一。

    操作系統安全等級提升是指采用專(zhuān)用軟件強化操作系統的訪(fǎng)問(wèn)控制能力，提升后的操作系統應達到安全操作系統四級，此類(lèi)專(zhuān)用軟件應具備公安部四級安全操作系統測評認證。

    惡意代碼防范應具備在操作系統內核層上實(shí)現對未知惡意代碼攻擊的抵御能力。其他情況防范措施還包括，應當及時(shí)更新特征代碼，查看查殺記錄；惡意代碼更新文件的安裝應當經(jīng)過(guò)測試；應禁止生產(chǎn)控制大區與管理信息大區共用一套防惡意代碼管理服務(wù)器。

    遠程主機入侵防范，生產(chǎn)控制大區服務(wù)器可以統一部署網(wǎng)絡(luò )入侵檢測系統，應當合理設置檢測規則，檢測發(fā)現隱藏于網(wǎng)絡(luò )邊界正常信息流中的非法連接及入侵行為，分析潛在威脅并進(jìn)行安全審計。

    應用安全控制應當對用戶(hù)登錄、訪(fǎng)問(wèn)系統資源等操作進(jìn)行身份鑒別及強制訪(fǎng)問(wèn)控制，防止核心命令遠程惡意執行。

    安全審計生產(chǎn)控制大區的關(guān)鍵業(yè)務(wù)系統應當具備安全審計功能，能夠對操作系統、數據庫、業(yè)務(wù)應用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶(hù)登錄到本地系統中的操作行為，應該進(jìn)行嚴格的安全審計。

    在國內，電力系統已有較多的應用，市政水處理行業(yè)也會(huì )越來(lái)越多地面對這方面的安全需求，希望相關(guān)的部門(mén)和企業(yè)能夠未雨綢繆。


作者簡(jiǎn)介

劉衛民，男，現任中國市政工程西南設計研究總院有限公司第十設計研究院總工程師。工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟委員，中國自動(dòng)化學(xué)會(huì )會(huì )員，中國土木工程學(xué)會(huì )、水工業(yè)分會(huì )機電委員會(huì )委員，成都自動(dòng)化研究會(huì )常務(wù)理事、專(zhuān)家咨詢(xún)委員會(huì )副主任委員、《自動(dòng)化信息》編委。1987年畢業(yè)于上海交通大學(xué)自動(dòng)控制專(zhuān)業(yè)，工作后一直從事自動(dòng)化專(zhuān)業(yè)工作，有設計、安裝調試、軟件開(kāi)發(fā)、系統集成等工作經(jīng)驗，自動(dòng)化專(zhuān)業(yè)技術(shù)方面在水處理行業(yè)內有一定的影響力。近年來(lái)，應邀在項目評審、學(xué)術(shù)交流、技術(shù)推廣培訓活動(dòng)方面表現積極活躍。