於國良

（蕭山發(fā)電廠，杭州 311251）

0 引言

工控網(wǎng)絡(luò)作為電廠生產(chǎn)系統(tǒng)的中樞系統(tǒng)，其安全穩(wěn)定運行對電廠的安全生產(chǎn)起著決定性的作用，安全防護意義重大。國內(nèi)從2005年發(fā)布電監(jiān)會5號令開始，提出“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向防護”十六字方針以來，電力監(jiān)控系統(tǒng)安全事件得到了一定的抑制。雖然2014年8月1日，國發(fā)改委令【第14號】下發(fā)了《電力監(jiān)控系統(tǒng)安全防護規(guī)定》；2015年2月4日，國能安全出臺了〔2015〕36號國家能源局《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》及等保V2.0對電力監(jiān)控系統(tǒng)（工業(yè)控制系統(tǒng)）提出了相關(guān)要求，但隨著工業(yè)信息化設(shè)備越來越來通用化，傳統(tǒng)信息安全問題已無法解決工控系統(tǒng)運維存在的風險問題，尤其是運維人員信息安全意識一般，如果沒有相關(guān)設(shè)備和監(jiān)測平臺，將無法實現(xiàn)有效的安全監(jiān)管。

1 概述

在傳統(tǒng)信息安全產(chǎn)品領(lǐng)域，國內(nèi)外通過安全管理中心的SOC產(chǎn)品，實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備等的安全運維，但其無法適用于國內(nèi)電力行業(yè)網(wǎng)絡(luò)隔離的環(huán)境。本次科研項目根據(jù)實際工控系統(tǒng)工作需求，主要針對移動設(shè)備接入方面的邊界問題進行分析。

1.1 移動設(shè)備工控安全現(xiàn)狀

1.1.1 運維筆記本

由于現(xiàn)場工控設(shè)備的需要，會有不同類型的運維筆記本接入工控網(wǎng)絡(luò)或者接入工控設(shè)備進行相應(yīng)的調(diào)試、維護工作。在傳統(tǒng)的工作模式中，無法對運維筆記本的操作過程及網(wǎng)絡(luò)數(shù)據(jù)流進行有效的安全監(jiān)管，存在工控網(wǎng)絡(luò)安全監(jiān)控短板。蕭山發(fā)電廠用到運維筆記本的工控區(qū)域見表1。

表1 工控系統(tǒng)常用的運維筆記本Table 1 Operation and maintenance notebooks commonly used in industrial control systems

1.1.2 移動存儲設(shè)備

目前從工控系統(tǒng)完成數(shù)據(jù)拷貝，通過使用擺渡盤的方式可以實現(xiàn)安全的數(shù)據(jù)拷貝。但是由于工控系統(tǒng)升級的需要，存在將外部文件拷貝進入工控系統(tǒng)的工作。數(shù)據(jù)拷貝進入工控系統(tǒng)前，會執(zhí)行相應(yīng)的數(shù)據(jù)安全檢查流程，再進行數(shù)據(jù)的寫入工作。但是工控系統(tǒng)往往沒有安裝殺毒軟件，數(shù)據(jù)寫入工控系統(tǒng)的這一過程缺少惡意代碼防范的安全措施。

1.2 存在問題

1）運維筆記本的操作過程及網(wǎng)絡(luò)數(shù)據(jù)流沒有實現(xiàn)安全監(jiān)管。

2）使用運維筆記本的過程中，網(wǎng)絡(luò)端口處于全開放的狀態(tài)，也沒有實現(xiàn)安全監(jiān)管。

3）網(wǎng)絡(luò)工控系統(tǒng)寫入數(shù)據(jù)的過程，缺少惡意代碼防范的安全措施。

2 技術(shù)解決方案

基于等保V2.0工控安全管理中心及技術(shù)防護體系，實現(xiàn)便攜式設(shè)備（運維筆記本）安全監(jiān)測管理。對運維筆記本，特別是針對工控系統(tǒng)廠家運維人員及儀控內(nèi)部運維人員，在接入工控系統(tǒng)前，實現(xiàn)移動設(shè)備（運維筆記本）安全防護，如端口級防問控制、筆記本非法外聯(lián)管控、強制病毒查殺。在接入工控系統(tǒng)后，及時上傳工控安全管理中心，分析安全運維存在的風險，自動上傳運維相關(guān)人員及設(shè)備情況，實現(xiàn)事后追溯。

2.1 設(shè)計原則

1）使用便攜式設(shè)備對工控系統(tǒng)進行運維操作，保證對工控系統(tǒng)的運維工作“零影響”。

2）使用便攜式設(shè)備對工控系統(tǒng)進行運維操作，實現(xiàn)人員審核與訪問控制、 操作行為審計與監(jiān)控、網(wǎng)絡(luò)訪問控制等功能。

3）根據(jù)網(wǎng)絡(luò)安全策略的要求，所有進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流都必須通過便攜式設(shè)備的安全策略和安全計劃的確認與授權(quán)，實現(xiàn)對未經(jīng)授權(quán)的訪問和數(shù)據(jù)傳遞進行篩選和屏蔽，保護網(wǎng)絡(luò)數(shù)據(jù)的安全。

4）便攜式設(shè)備可以監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為，能夠及時中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。

5）實現(xiàn)統(tǒng)一的移動介質(zhì)安全監(jiān)測管理，通過研究反向隔離裝置，定期升級安全運維設(shè)備的病毒庫，實現(xiàn)安全惡意代碼防范。

6）為確保運維安全管理平臺的安全性及可靠性，運維安全管理平臺的網(wǎng)絡(luò)為獨立網(wǎng)絡(luò)。

7）為工控系統(tǒng)安全運維與審計評測提供安全、易用的保護手段。

8）本項目的設(shè)計范圍廣泛，要求具體，要求達到符合“等保V2.0”工控安全管理的設(shè)計準則。

2.2 功能設(shè)計

建立運維安全管理平臺，對便攜式設(shè)備生產(chǎn)系統(tǒng)進行運維操作，完成人員審核與訪問控制、操作行為審計與監(jiān)控、網(wǎng)絡(luò)訪問控制。主要實現(xiàn)以下功能，詳見表2。

表2 運維安全管理平臺功能Table 2 Operation and maintenance security management platform functions

2.3 運維安全管理平臺的組成

見表3。

表3 運維安全管理平臺組成Table 3 Composition of operation and maintenance security management platform

3 方案的實施

建立運維安全管理平臺，采用防火墻隔離、運維筆記本非法外聯(lián)、病毒查殺等技術(shù)，實現(xiàn)運維筆記本安全管控。

3.1 網(wǎng)絡(luò)連接運維筆記本的部署

網(wǎng)絡(luò)連接部署時，需要將裝置的網(wǎng)口 1 連接運維筆記

本電腦，網(wǎng)口 2 連接被運維設(shè)備網(wǎng)絡(luò)，再連接一條視頻線（VGA或者HDMI）到運維筆記本電腦，如圖1所示。

圖1 網(wǎng)絡(luò)運維時設(shè)備部署結(jié)構(gòu)圖Fig.1 Device deployment structure diagram during network operation and maintenance

3.2 串口連接運維筆記本的部署

串口連接部署時，需要將裝置的右串口通過串口線連接運維筆記本電腦，左串口連接被運維設(shè)備串口，再連接一條視頻線（VGA 或者 HDMI）到運維筆記本電腦，如圖2所示。

圖2 串口運維時設(shè)備部署結(jié)構(gòu)圖Fig.2 Device deployment structure diagram during serial port operation and maintenance

3.3 數(shù)據(jù)擺渡的設(shè)備部署

數(shù)據(jù)擺渡時有兩種方式：USB擺渡方式、網(wǎng)絡(luò)擺渡方式，如圖3所示。

圖3 數(shù)據(jù)擺渡時設(shè)備部署結(jié)構(gòu)圖Fig.3 Structure diagram of equipment deployment during data ferry

1）USB 擺渡方式

將便攜式運維安全裝置用于數(shù)據(jù)擺渡的USB口，通過USB線連接至被運維對象設(shè)備或者主機。

2）網(wǎng)絡(luò)擺渡方式

此時連接，同網(wǎng)絡(luò)連接運維時的部署方式。

3.4 與運維平臺連接的部署

便攜式運維安全裝置和運維平臺之間在需要數(shù)據(jù)同步時連接，日常運維時為與平臺離線方式，如圖4所示。

圖4 與安全運維管理平臺連接時產(chǎn)品部署結(jié)構(gòu)圖Fig.4 Product deployment structure diagram when connected to the security operation and maintenance management platform

圖5 便攜式運維安全管理平臺使用流程圖Fig.5 The use flow chart of the portable operation and maintenance security management platform

圖6 與燃機飛行記錄儀實現(xiàn)通信Fig.6 Communication with gas turbine flight recorder

4 項目實施效果

4.1 安全運維管理平臺使用流程

1）在安全運維平臺上設(shè)置好運維策略，然后下載到便攜式運維安全裝置。

2）在運維時，只需要將下載好策略的便攜式運維安全裝置攜帶至工控現(xiàn)場運維場所，進行運維。

3）運維后，將便攜式運維安全裝置帶回連接安全運維平臺，將審計數(shù)據(jù)傳回平臺，完成運維的閉環(huán)。

4.2 運維筆記本的實際測試情況

1）運維策略的使用

運維策略主要是對便攜式運維安全裝置能使用的運維策略進行提前預(yù)設(shè)，運維策略包含內(nèi)容為運維對象設(shè)備，以及具體運維策略的IP和端口，不需要設(shè)置運維對象，只需要設(shè)置策略端口即可。

本次對運維筆記本的測試環(huán)境采用的運維策略是屏蔽目前已知的高危端口的“黑名單模式”，具體測試方法步驟為：

第一步：屏蔽所有通信端口，使用運維筆記本和燃機飛行記錄儀、ARGUS、PLC、VM600系統(tǒng)進行數(shù)據(jù)通信，并使用相應(yīng)的應(yīng)用程序，檢查各應(yīng)用程序是否可以正常工作。

第二步：屏蔽目前已知的高危端口，使用運維筆記本和燃機飛行記錄儀、ARGUS、PLC、VM600系統(tǒng)進行數(shù)據(jù)通信，并使用相應(yīng)的應(yīng)用程序，檢查各應(yīng)用程序是否可以正常工作。

第三步：開放所有通信端口，使用運維筆記本和燃機飛行記錄儀、ARGUS、PLC、VM600系統(tǒng)進行數(shù)據(jù)通信，并使用相應(yīng)的應(yīng)用程序，通過便攜式運維安全裝置的日志，查詢應(yīng)用程序使用的通信端口，并根據(jù)實際使用的通信端口情況，制定該程序的安全策略。

2）實際測試情況

① 屏蔽所有通信端口

便攜式運維安全裝置使用屏蔽所有通信端口的情況下，運維筆記本通過便攜式運維安全裝置和燃機飛行記錄儀、ARGUS、PLC、VM600系統(tǒng)無法進行數(shù)據(jù)通信。

② 使用“黑名單模式”

◇ 燃機飛行記錄儀通信情況

便攜式運維安全裝置使用“黑名單模式”的情況下，運維筆記本通過便攜式運維安全裝置和燃機飛行記錄儀可以正常通信，程序功能可以正常使用。

圖7 與ARGUS系統(tǒng)實現(xiàn)通信Fig.7 Realize communication with ARGUS system

圖8 與PLC系統(tǒng)實現(xiàn)通信Fig.8 Realize communication with PLC system

圖9 反向數(shù)據(jù)病毒檢查Fig.9 Reverse data virus check

◇ ARGUS系統(tǒng)通信情況

便攜式運維安全裝置使用“黑名單模式”的情況下，運維筆記本通過便攜式運維安全裝置和ARGUS系統(tǒng)可以正常通信，程序功能可以正常使用。

◇ PLC系統(tǒng)

便攜式運維安全裝置使用“黑名單模式”的情況下，運維筆記本通過便攜式運維安全裝置和PLC系統(tǒng)可以正常通信，程序功能可以正常使用。

◇ VM600系統(tǒng)

便攜式運維安全裝置使用“黑名單模式”的情況下，運維筆記本通過便攜式運維安全裝置和VM600系統(tǒng)可以正常通信，程序功能可以正常使用。

4.3 數(shù)據(jù)反向?qū)懭牍δ軠y試

執(zhí)行數(shù)據(jù)拷入時，會對拷入的數(shù)據(jù)進行病毒查殺，如果沒有檢測到可疑文件，則可以點擊彈出提示的確定，繼續(xù)拷入。如果檢測到可疑文件，則會在此出現(xiàn)一個可疑文件列表，如果確定文件是可信任的，則可以選擇相應(yīng)的可疑文件，點擊添加信任，則在處理時，該文件不會被處理。如果列表中的所有文件都可信任，則也可以點擊全部信任。如果要取消信任，也有取消信任和全部取消信任按鈕。

5 結(jié)論

研發(fā)的移動設(shè)備運維安全管理平臺，可以有效地對運維筆記本的操作過程及網(wǎng)絡(luò)數(shù)據(jù)流實現(xiàn)監(jiān)管、訪問控制、操作記錄審計等功能，同時采取合理的安全防護手段使數(shù)據(jù)可以安全、可靠地寫入工控系統(tǒng)，既保證工控系統(tǒng)的安全穩(wěn)定運行，又能落實和執(zhí)行《電力監(jiān)控系統(tǒng)安全防護規(guī)定》。

項目完成后，解決了工控系統(tǒng)中對于運維筆記本安全管理的這一盲點，提高了數(shù)據(jù)寫入工控系統(tǒng)的可靠性，消除了移動設(shè)備影響工控系統(tǒng)安全運行的安全風險隱患。企業(yè)對工控系統(tǒng)中使用移動設(shè)備也實現(xiàn)了掌控，提升企業(yè)的安全管理形象。