汪瑋，彭禮平，傅嘉輝 國網(wǎng)新源水電有限公司富春江水力發(fā)電廠(chǎng)

段振輝，晏培 中京天?？萍迹ū本┯邢薰?/p>

1　引言

水電廠(chǎng)現地控制單元（LCU）是直接與生產(chǎn)過(guò)程進(jìn)行信息交互的I/O處理系統，它的主要任務(wù)是進(jìn)行數據采集及處理，對被控對象實(shí)施閉環(huán)反饋控制、順序控制和批量控制。用戶(hù)可以根據不同的應用需求，選擇配置不同的LCU構成現場(chǎng)控制站，水電廠(chǎng)LCU系統主要包括機組LCU、弧門(mén)LCU、公共系統LCU、開(kāi)關(guān)站LCU等，分別對被控對象的運行工況進(jìn)行實(shí)時(shí)監視和控制，是水電站計算機監控系統的底層控制部分。

LCU系統核心交換機負責水電廠(chǎng)監控系統內部數據的交換處理，是水電廠(chǎng)生產(chǎn)的重要組成部分。水電廠(chǎng)LCU核心交換機一般采用工業(yè)交換機，目前主流工業(yè)交換機品牌有德國赫斯曼（已被美國百通公司收購）、加拿大羅杰康（已被西門(mén)子收購）、德國西門(mén)子、美國子午線(xiàn)、美國格雷特、美國恩創(chuàng )等廠(chǎng)家，國產(chǎn)品牌有臺灣研華、臺灣MOXA、北京東土、武漢邁威等廠(chǎng)家。LCU系統內部數據傳輸建立在以交換機為核心的局域網(wǎng)絡(luò )之上，核心交換機的數據傳輸安全直接關(guān)系到水電廠(chǎng)安全生產(chǎn)的進(jìn)行，由此可見(jiàn)，對LCU系統核心交換機安全基線(xiàn)進(jìn)行深入研究，并建立一套安全基線(xiàn)標準尤為重要。

2　安全基線(xiàn)的概念

安全基線(xiàn)（Secruity Baseline）是保持網(wǎng)絡(luò )系統在機密性、完整性和可靠性需求上的最小安全控制，即該系統最基本需要滿(mǎn)足的安全要求，構造系統安全基線(xiàn)是系統安全工程的首要步驟 , 同時(shí)也是進(jìn)行安全評估、發(fā)現和解決業(yè)務(wù)系統安全問(wèn)題的先決條件。因此通過(guò)確保組織滿(mǎn)足安全基線(xiàn)的要求，也就能確認組織的正常運行得到了最低程度的安全保證，安全的重要性是不言而喻的。

安全基線(xiàn)的概念自上世紀40年代在美國萌芽，逐步發(fā)展到今天。目前我國制定的關(guān)于信息安全的相關(guān)法律法規不在少數，但依然存在一定的問(wèn)題，比如：制定部門(mén)多，內容分散，內容可能相互抵觸等問(wèn)題。我國的安全基線(xiàn)主要是等級保護（第一級到第五級）和分級保護（秘密、機密和絕密），具體落實(shí)和操作由GB/T和BMB打頭的相關(guān)標準來(lái)實(shí)現。等級保護的主要文件是：《信息安全技術(shù)信息系統安全等級保護基本要求》和《信息安全技術(shù)信息系統安全保護等級定級指南》，分級保護的文件主要是：BMB17《設計國家秘密的信息系統分級保護技術(shù)要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。

2.1　安全基線(xiàn)模型的建立與優(yōu)化

現在在大多數工業(yè)企業(yè)的業(yè)務(wù)系統中，LCU系統核心交換機在配置中存在眾多配置漏洞，如：弱口令、開(kāi)放無(wú)用服務(wù)端口、未升級補丁等，可以利用這些漏洞進(jìn)行攻擊活動(dòng)，因此這些配置漏洞有很大的安全隱患。

安全基線(xiàn)模型以業(yè)務(wù)系統為核心，分為業(yè)務(wù)系統層、功能架構層、系統實(shí)現層三層機構，如圖1所示。

圖1 安全基線(xiàn)層次模型

第一層是業(yè)務(wù)系統層，這一層主要是根據不同業(yè)務(wù)系統的特性，定義不同安全防護的要求，是一個(gè)比較宏觀(guān)的要求。對應基于LCU系統的風(fēng)險管理系統。

第二層是功能架構層，將業(yè)務(wù)系統分解為相對應的操作系統、應用系統、數據庫、防火墻、路由器、交換機等不同的設備和系統類(lèi)型，這些設備類(lèi)型針對LCU業(yè)務(wù)層定義的安全防護要求細化為此層不同模型應該具備的要求。即在技術(shù)手段上實(shí)現脆弱性、安全策略以及重要信息的監控和審計。

第三層是系統實(shí)現層，將第二層模塊根據業(yè)務(wù)系統的特性進(jìn)一步分解，找到基準安全配置項和重要策略文件等，即建立安全基線(xiàn)弱點(diǎn)配置庫。

建立一套安全基線(xiàn)檢查系統能對IT基礎設施的安全配置進(jìn)行高效、快速核查，并計算與安全基線(xiàn)的符合情況，作為一個(gè)輔助進(jìn)行系統準入、日常安全檢查的自動(dòng)化、有效的系統，能極大減少人工進(jìn)行系統準入、日常安全檢查的工作量，避免了人為因素，保證檢查結構的公正性。

2.2　LCU核心交換機安全基線(xiàn)的種類(lèi)

LCU核心交換機安全基線(xiàn)的種類(lèi)可以從管理和技術(shù)上分為兩類(lèi)。

管理類(lèi)包括：賬號管理、口令管理、認證管理、日志審計管理、協(xié)議安全管理、日常行為管理、端口安全管理等。

技術(shù)類(lèi)包括：安全操作管理與配置、安全接入控制管理與配置、操作系統管理與配置等。

2.3　LCU核心交換機安全基線(xiàn)配置檢查

LCU系統核心交換機是組成水電廠(chǎng)監控系統的基礎元素，因此在管理和運行過(guò)程中完全有必要對其進(jìn)行安全基線(xiàn)審查。當制定出安全基線(xiàn)，我們就可以自查交換機配置參數是否符合要求，符合什么級別的等級保護。比如設備的加密密碼配置，從安全角度考慮：加密密碼配置越復雜越長(cháng)則越安全；從使用角度考慮：每天可能多次輸入此復雜密碼是非常麻煩的事情，因此實(shí)際制定安全基線(xiàn)的時(shí)候一定要符合實(shí)際情況。

2.3.1　設備管理

（1）遠程管理服務(wù)

在交換機管理過(guò)程中，一定會(huì )出現對設備進(jìn)行遠程維護的情況，一般用戶(hù)會(huì )選擇telnet進(jìn)行遠程操作，但是telnet的致命缺陷是不加密，容易在網(wǎng)絡(luò )中被嗅探出用戶(hù)密碼和用戶(hù)名，給網(wǎng)絡(luò )設備帶來(lái)巨大的安全隱患。因此如果網(wǎng)絡(luò )設備支持，一定要對設備配置ssh等加密協(xié)議進(jìn)行遠程管理，禁用telnet服務(wù)管理交換機設備，提高設備管理安全性，最好是結合訪(fǎng)問(wèn)控制列表（ACL）進(jìn)行安全配置。

（2）管理 IP

網(wǎng)絡(luò )管理設備的管理IP應該結合ACL指定給某些人或某些網(wǎng)絡(luò )管理，基線(xiàn)審查強制按此要求設置。

（3）認證方式

對登錄設備的用戶(hù)啟用3A認證，至少應該配置登錄驗證為l o c a l本地認證。如果有認證服務(wù)器（Raidus） 等，應該與相關(guān)認證服務(wù)器聯(lián)動(dòng)，增強安全性，基線(xiàn)檢查需根據實(shí)際情況設置。

（4）認證系統聯(lián)動(dòng)

如果有Raidus服務(wù)器，對網(wǎng)絡(luò )設備通過(guò)相關(guān)參數配置，與認證系統聯(lián)動(dòng)，滿(mǎn)足帳號、口令和授權的強制要求，增加對管理等用戶(hù)的認證。

（5）用戶(hù)賬號與口令安全

交換機設備參數配置完畢，通?？梢杂孟嚓P(guān)查看命令看到配置文本，保障管理安全，應對相關(guān)管理密碼進(jìn)行加密配置，用戶(hù)登錄空閑超過(guò)規定時(shí)間應強制下線(xiàn)，基線(xiàn)審查強制按此要求設置。

（6）端口安全

網(wǎng)絡(luò )設備的端口有管理端口Console口及其他應用端口，管理端口的配置（如AUX口）應配置加密措施，并強制認證，關(guān)閉不需要使用的端口?；€(xiàn)審查強制按此要求設置。

2.3.2　訪(fǎng)問(wèn)控制

應在網(wǎng)絡(luò )邊界部署訪(fǎng)問(wèn)控制設備，啟用訪(fǎng)問(wèn)控制功能，應能根據會(huì )話(huà)狀態(tài)信息為數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力，控制粒度為端口級。應對進(jìn)出網(wǎng)絡(luò )的信息內容進(jìn)行過(guò)濾，實(shí)現對應用層HTTP、FTP、TELNET、SMTP、POP3及工業(yè)常用協(xié)議做到命令級的控制。應在會(huì )話(huà)處于非活躍一定時(shí)間或會(huì )話(huà)結束后終止網(wǎng)絡(luò )連接，應限制網(wǎng)絡(luò )最大流量數及網(wǎng)絡(luò )連接數，重要網(wǎng)段應采取技術(shù)手段防止地址欺騙，應按用戶(hù)和系統之間的允許訪(fǎng)問(wèn)規則，決定允許或拒絕用戶(hù)對受控系統進(jìn)行資源訪(fǎng)問(wèn)，控制粒度為單個(gè)用戶(hù)。

2.3.3　日志審計

日志是記錄網(wǎng)絡(luò )設備運行情況的數據，在出現安全事故的情況，管理員可以根據日志對事故進(jìn)行追蹤。在交換機日志審計配置中，應對交換機設備運行狀況、網(wǎng)絡(luò )流量、用戶(hù)行為等進(jìn)行日志記錄，審計記錄應包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計相關(guān)的信息；應能夠根據記錄數據進(jìn)行分析，并生成審計報表，應對審計記錄進(jìn)行保護，避免受到未預期的刪除、修改或覆蓋等。因此在設備支持的情況一定要對日志數據進(jìn)行安全保護，采用SNMP 協(xié)議傳輸到日志服務(wù)器，使用日志服務(wù)器對日志進(jìn)行存儲和保護。審計則是記錄重要的操作，在設備支持審計功能的情況也同樣要開(kāi)啟此功能。

2.3.4　網(wǎng)絡(luò )架構安全防護

交換機設備使用中，應對設備配置參數進(jìn)行調整，對可能造成信息泄露的配置應進(jìn)行修改，如：login banner，該信息可能會(huì )透露系統的版本或IP而被黑客所利用。開(kāi)啟NTP服務(wù)，提供標準統一的時(shí)鐘。對啟用動(dòng)態(tài) IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）協(xié)議時(shí)，啟用路由協(xié)議認證功能，如MD5加密，確保交換機之間在交換路由信息的時(shí)候是安全的。對常見(jiàn)病毒端口進(jìn)行封堵，重要的服務(wù)器進(jìn)行IP和MAC地址捆綁?；€(xiàn)審查強制按此要求設置。

2.3.5　服務(wù)優(yōu)化

眾所周知，網(wǎng)絡(luò )設備的服務(wù)開(kāi)啟越多，占用系統資源越多，對設備自身的穩定性也造成影響，為保證交換機工作運行的穩定和高效，一定要停止不必要的服務(wù)，如：源路由、http、https、CDP、ARP-Proxy和FTP等，當網(wǎng)絡(luò )設備開(kāi)啟了一些不必要的服務(wù)，可能會(huì )因為這些服務(wù)本身的漏洞給設備帶來(lái)安全隱患。

2.3.6　備份與恢復

為確保交換機本地數據備份與恢復功能運行正常，在進(jìn)行配置策略更改后完全備份一次，并保存原來(lái)版本配置策略，備份介質(zhì)場(chǎng)外存放，利用通信網(wǎng)絡(luò )將關(guān)鍵數據定時(shí)批量傳送至備用場(chǎng)地。若交換機網(wǎng)絡(luò )結構采用冗余技術(shù)設計網(wǎng)絡(luò )拓撲結構，要確保避免關(guān)鍵節點(diǎn)存在單點(diǎn)故障，在工作現場(chǎng)，應提供主要網(wǎng)絡(luò )設備、通信線(xiàn)路和數據處理系統的硬件冗余、保證系統的高可用性。

3　結語(yǔ)

LCU工業(yè)以太網(wǎng)交換機作為水電廠(chǎng)的保護、自動(dòng)化系統的核心設備，其自身安全性與穩定性決定水電廠(chǎng)的安全運行，一旦出現問(wèn)題，很可能會(huì )造成全廠(chǎng)外供中斷等重大安全事故。交換機安全基線(xiàn)需要受到進(jìn)一步重視，安全基線(xiàn)在制定的時(shí)候一定要研制執行國家相關(guān)標準和企業(yè)規章制度，參考國外相關(guān)最佳實(shí)踐，確定好每一個(gè)核查項，這樣可以為水電廠(chǎng)運維人員在檢查網(wǎng)絡(luò )設備的時(shí)候建立一個(gè)有效框架，實(shí)現設備運檢全過(guò)程的合規。

作者簡(jiǎn)介

汪瑋（1962-），男，浙江淳安人，本科，工程師，現就職于國網(wǎng)新源水電有限公司富春江水力發(fā)電廠(chǎng)，主要研究方向為水電廠(chǎng)自動(dòng)化。

參考文獻：

[1] 公安部. 信息安全等級保護管理辦法[S]. 2007.

[2] 電監會(huì ). 電力工控信息安全專(zhuān)項監管工作方案[Z]. 2013年50號文.

[3] 國家發(fā)改委.電力監控系統安全防護規定[Z]. 2014.14號令.

[4] 李鴻培, 忽朝儉, 王曉鵬. 工業(yè)控制系統的安全研究與實(shí)踐[J]. 保密科學(xué)技術(shù), 2014(4) : 17 - 23.

[5] 夏春明. 工業(yè)控制系統信息安全現狀與發(fā)展趨勢[J]. 信息安全與技術(shù), 2012,02.

[6] 李嵐. 水電廠(chǎng)計算機監控系統設計和實(shí)現[D]. 太原理工大學(xué), 2011,05.

[7] 劉曉波. 水電廠(chǎng)LCU若干設計原則及其發(fā)展趨勢探討[J]. 水電站機電技術(shù), 2004, 06.

[8] 桂永宏. 業(yè)務(wù)系統安全基線(xiàn)的研究及應用[J]. 計算機安全, 2011, 10.

[9] 喻強. 電力工業(yè)以太網(wǎng)交換機安全淺析[R]. 中國通信學(xué)會(huì )信息通信網(wǎng)絡(luò )技術(shù)委員會(huì )年會(huì ), 2013.

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯