《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 水電廠LCU系統(tǒng)核心交換機(jī)安全基線檢查的研究

水電廠LCU系統(tǒng)核心交換機(jī)安全基線檢查的研究

2018-08-16

  1 引言

  水電廠現(xiàn)地控制單元(LCU)是直接與生產(chǎn)過程進(jìn)行信息交互的I/O處理系統(tǒng),,它的主要任務(wù)是進(jìn)行數(shù)據(jù)采集及處理,,對被控對象實(shí)施閉環(huán)反饋控制、順序控制和批量控制,。用戶可以根據(jù)不同的應(yīng)用需求,,選擇配置不同的LCU構(gòu)成現(xiàn)場控制站,水電廠LCU系統(tǒng)主要包括機(jī)組LCU,、弧門LCU,、公共系統(tǒng)LCU、開關(guān)站LCU等,,分別對被控對象的運(yùn)行工況進(jìn)行實(shí)時監(jiān)視和控制,,是水電站計算機(jī)監(jiān)控系統(tǒng)的底層控制部分。

  LCU系統(tǒng)核心交換機(jī)負(fù)責(zé)水電廠監(jiān)控系統(tǒng)內(nèi)部數(shù)據(jù)的交換處理,,是水電廠生產(chǎn)的重要組成部分,。水電廠LCU核心交換機(jī)一般采用工業(yè)交換機(jī),目前主流工業(yè)交換機(jī)品牌有德國赫斯曼(已被美國百通公司收購),、加拿大羅杰康(已被西門子收購),、德國西門子、美國子午線,、美國格雷特,、美國恩創(chuàng)等廠家,國產(chǎn)品牌有臺灣研華,、臺灣MOXA、北京東土,、武漢邁威等廠家,。LCU系統(tǒng)內(nèi)部數(shù)據(jù)傳輸建立在以交換機(jī)為核心的局域網(wǎng)絡(luò)之上,核心交換機(jī)的數(shù)據(jù)傳輸安全直接關(guān)系到水電廠安全生產(chǎn)的進(jìn)行,,由此可見,,對LCU系統(tǒng)核心交換機(jī)安全基線進(jìn)行深入研究,并建立一套安全基線標(biāo)準(zhǔn)尤為重要,。

  2 安全基線的概念

  安全基線(Secruity Baseline)是保持網(wǎng)絡(luò)系統(tǒng)在機(jī)密性,、完整性和可靠性需求上的最小安全控制,即該系統(tǒng)最基本需要滿足的安全要求,,構(gòu)造系統(tǒng)安全基線是系統(tǒng)安全工程的首要步驟 , 同時也是進(jìn)行安全評估,、發(fā)現(xiàn)和解決業(yè)務(wù)系統(tǒng)安全問題的先決條件。因此通過確保組織滿足安全基線的要求,,也就能確認(rèn)組織的正常運(yùn)行得到了最低程度的安全保證,,安全的重要性是不言而喻的。

  安全基線的概念自上世紀(jì)40年代在美國萌芽,逐步發(fā)展到今天,。目前我國制定的關(guān)于信息安全的相關(guān)法律法規(guī)不在少數(shù),,但依然存在一定的問題,比如:制定部門多,,內(nèi)容分散,,內(nèi)容可能相互抵觸等問題。我國的安全基線主要是等級保護(hù)(第一級到第五級)和分級保護(hù)(秘密,、機(jī)密和絕密),,具體落實(shí)和操作由GB/T和BMB打頭的相關(guān)標(biāo)準(zhǔn)來實(shí)現(xiàn)。等級保護(hù)的主要文件是:《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》和《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級定級指南》,,分級保護(hù)的文件主要是:BMB17《設(shè)計國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》和BMB20《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》,。

  2.1 安全基線模型的建立與優(yōu)化

  現(xiàn)在在大多數(shù)工業(yè)企業(yè)的業(yè)務(wù)系統(tǒng)中,LCU系統(tǒng)核心交換機(jī)在配置中存在眾多配置漏洞,,如:弱口令,、開放無用服務(wù)端口、未升級補(bǔ)丁等,,可以利用這些漏洞進(jìn)行攻擊活動,,因此這些配置漏洞有很大的安全隱患。

  安全基線模型以業(yè)務(wù)系統(tǒng)為核心,,分為業(yè)務(wù)系統(tǒng)層,、功能架構(gòu)層、系統(tǒng)實(shí)現(xiàn)層三層機(jī)構(gòu),,如圖1所示,。

11509702152125773.jpg

  圖1 安全基線層次模型

  第一層是業(yè)務(wù)系統(tǒng)層,這一層主要是根據(jù)不同業(yè)務(wù)系統(tǒng)的特性,,定義不同安全防護(hù)的要求,,是一個比較宏觀的要求。對應(yīng)基于LCU系統(tǒng)的風(fēng)險管理系統(tǒng),。

  第二層是功能架構(gòu)層,,將業(yè)務(wù)系統(tǒng)分解為相對應(yīng)的操作系統(tǒng)、應(yīng)用系統(tǒng),、數(shù)據(jù)庫,、防火墻、路由器,、交換機(jī)等不同的設(shè)備和系統(tǒng)類型,,這些設(shè)備類型針對LCU業(yè)務(wù)層定義的安全防護(hù)要求細(xì)化為此層不同模型應(yīng)該具備的要求。即在技術(shù)手段上實(shí)現(xiàn)脆弱性,、安全策略以及重要信息的監(jiān)控和審計,。

  第三層是系統(tǒng)實(shí)現(xiàn)層,,將第二層模塊根據(jù)業(yè)務(wù)系統(tǒng)的特性進(jìn)一步分解,找到基準(zhǔn)安全配置項(xiàng)和重要策略文件等,,即建立安全基線弱點(diǎn)配置庫,。

  建立一套安全基線檢查系統(tǒng)能對IT基礎(chǔ)設(shè)施的安全配置進(jìn)行高效、快速核查,,并計算與安全基線的符合情況,,作為一個輔助進(jìn)行系統(tǒng)準(zhǔn)入、日常安全檢查的自動化,、有效的系統(tǒng),,能極大減少人工進(jìn)行系統(tǒng)準(zhǔn)入、日常安全檢查的工作量,,避免了人為因素,,保證檢查結(jié)構(gòu)的公正性。

  2.2 LCU核心交換機(jī)安全基線的種類

  LCU核心交換機(jī)安全基線的種類可以從管理和技術(shù)上分為兩類,。

  管理類包括:賬號管理,、口令管理、認(rèn)證管理,、日志審計管理,、協(xié)議安全管理、日常行為管理,、端口安全管理等,。

  技術(shù)類包括:安全操作管理與配置、安全接入控制管理與配置,、操作系統(tǒng)管理與配置等,。

  2.3 LCU核心交換機(jī)安全基線配置檢查

  LCU系統(tǒng)核心交換機(jī)是組成水電廠監(jiān)控系統(tǒng)的基礎(chǔ)元素,因此在管理和運(yùn)行過程中完全有必要對其進(jìn)行安全基線審查,。當(dāng)制定出安全基線,,我們就可以自查交換機(jī)配置參數(shù)是否符合要求,符合什么級別的等級保護(hù),。比如設(shè)備的加密密碼配置,從安全角度考慮:加密密碼配置越復(fù)雜越長則越安全,;從使用角度考慮:每天可能多次輸入此復(fù)雜密碼是非常麻煩的事情,,因此實(shí)際制定安全基線的時候一定要符合實(shí)際情況。

  2.3.1 設(shè)備管理

 ?。?)遠(yuǎn)程管理服務(wù)

  在交換機(jī)管理過程中,,一定會出現(xiàn)對設(shè)備進(jìn)行遠(yuǎn)程維護(hù)的情況,一般用戶會選擇telnet進(jìn)行遠(yuǎn)程操作,,但是telnet的致命缺陷是不加密,,容易在網(wǎng)絡(luò)中被嗅探出用戶密碼和用戶名,,給網(wǎng)絡(luò)設(shè)備帶來巨大的安全隱患。因此如果網(wǎng)絡(luò)設(shè)備支持,,一定要對設(shè)備配置ssh等加密協(xié)議進(jìn)行遠(yuǎn)程管理,,禁用telnet服務(wù)管理交換機(jī)設(shè)備,提高設(shè)備管理安全性,,最好是結(jié)合訪問控制列表(ACL)進(jìn)行安全配置,。

  (2)管理 IP

  網(wǎng)絡(luò)管理設(shè)備的管理IP應(yīng)該結(jié)合ACL指定給某些人或某些網(wǎng)絡(luò)管理,,基線審查強(qiáng)制按此要求設(shè)置,。

  (3)認(rèn)證方式

  對登錄設(shè)備的用戶啟用3A認(rèn)證,,至少應(yīng)該配置登錄驗(yàn)證為l o c a l本地認(rèn)證,。如果有認(rèn)證服務(wù)器(Raidus) 等,應(yīng)該與相關(guān)認(rèn)證服務(wù)器聯(lián)動,,增強(qiáng)安全性,,基線檢查需根據(jù)實(shí)際情況設(shè)置。

 ?。?)認(rèn)證系統(tǒng)聯(lián)動

  如果有Raidus服務(wù)器,,對網(wǎng)絡(luò)設(shè)備通過相關(guān)參數(shù)配置,與認(rèn)證系統(tǒng)聯(lián)動,,滿足帳號,、口令和授權(quán)的強(qiáng)制要求,增加對管理等用戶的認(rèn)證,。

 ?。?)用戶賬號與口令安全

  交換機(jī)設(shè)備參數(shù)配置完畢,通??梢杂孟嚓P(guān)查看命令看到配置文本,,保障管理安全,應(yīng)對相關(guān)管理密碼進(jìn)行加密配置,,用戶登錄空閑超過規(guī)定時間應(yīng)強(qiáng)制下線,,基線審查強(qiáng)制按此要求設(shè)置。

 ?。?)端口安全

  網(wǎng)絡(luò)設(shè)備的端口有管理端口Console口及其他應(yīng)用端口,,管理端口的配置(如AUX口)應(yīng)配置加密措施,并強(qiáng)制認(rèn)證,,關(guān)閉不需要使用的端口,。基線審查強(qiáng)制按此要求設(shè)置,。

  2.3.2 訪問控制

  應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,,啟用訪問控制功能,,應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級,。應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,,實(shí)現(xiàn)對應(yīng)用層HTTP、FTP,、TELNET,、SMTP、POP3及工業(yè)常用協(xié)議做到命令級的控制,。應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接,,應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù),重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙,,應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個用戶,。

  2.3.3 日志審計

  日志是記錄網(wǎng)絡(luò)設(shè)備運(yùn)行情況的數(shù)據(jù),,在出現(xiàn)安全事故的情況,管理員可以根據(jù)日志對事故進(jìn)行追蹤,。在交換機(jī)日志審計配置中,,應(yīng)對交換機(jī)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量,、用戶行為等進(jìn)行日志記錄,,審計記錄應(yīng)包括:事件的日期和時間、用戶,、事件類型,、事件是否成功及其他與審計相關(guān)的信息;應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,,并生成審計報表,,應(yīng)對審計記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除,、修改或覆蓋等,。因此在設(shè)備支持的情況一定要對日志數(shù)據(jù)進(jìn)行安全保護(hù),采用SNMP 協(xié)議傳輸?shù)饺罩痉?wù)器,,使用日志服務(wù)器對日志進(jìn)行存儲和保護(hù),。審計則是記錄重要的操作,在設(shè)備支持審計功能的情況也同樣要開啟此功能,。

  2.3.4 網(wǎng)絡(luò)架構(gòu)安全防護(hù)

  交換機(jī)設(shè)備使用中,,應(yīng)對設(shè)備配置參數(shù)進(jìn)行調(diào)整,,對可能造成信息泄露的配置應(yīng)進(jìn)行修改,,如:login banner,,該信息可能會透露系統(tǒng)的版本或IP而被黑客所利用。開啟NTP服務(wù),,提供標(biāo)準(zhǔn)統(tǒng)一的時鐘,。對啟用動態(tài) IGP(RIPV2、OSPF,、ISIS等)或EGP(BGP)協(xié)議時,,啟用路由協(xié)議認(rèn)證功能,如MD5加密,,確保交換機(jī)之間在交換路由信息的時候是安全的,。對常見病毒端口進(jìn)行封堵,重要的服務(wù)器進(jìn)行IP和MAC地址捆綁,?;€審查強(qiáng)制按此要求設(shè)置。

  2.3.5 服務(wù)優(yōu)化

  眾所周知,,網(wǎng)絡(luò)設(shè)備的服務(wù)開啟越多,,占用系統(tǒng)資源越多,對設(shè)備自身的穩(wěn)定性也造成影響,,為保證交換機(jī)工作運(yùn)行的穩(wěn)定和高效,,一定要停止不必要的服務(wù),如:源路由,、http,、https、CDP,、ARP-Proxy和FTP等,,當(dāng)網(wǎng)絡(luò)設(shè)備開啟了一些不必要的服務(wù),可能會因?yàn)檫@些服務(wù)本身的漏洞給設(shè)備帶來安全隱患,。

  2.3.6 備份與恢復(fù)

  為確保交換機(jī)本地數(shù)據(jù)備份與恢復(fù)功能運(yùn)行正常,,在進(jìn)行配置策略更改后完全備份一次,并保存原來版本配置策略,,備份介質(zhì)場外存放,,利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。若交換機(jī)網(wǎng)絡(luò)結(jié)構(gòu)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),,要確保避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障,,在工作現(xiàn)場,應(yīng)提供主要網(wǎng)絡(luò)設(shè)備,、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,、保證系統(tǒng)的高可用性。

  3 結(jié)語

  LCU工業(yè)以太網(wǎng)交換機(jī)作為水電廠的保護(hù),、自動化系統(tǒng)的核心設(shè)備,,其自身安全性與穩(wěn)定性決定水電廠的安全運(yùn)行,,一旦出現(xiàn)問題,很可能會造成全廠外供中斷等重大安全事故,。交換機(jī)安全基線需要受到進(jìn)一步重視,,安全基線在制定的時候一定要研制執(zhí)行國家相關(guān)標(biāo)準(zhǔn)和企業(yè)規(guī)章制度,參考國外相關(guān)最佳實(shí)踐,,確定好每一個核查項(xiàng),,這樣可以為水電廠運(yùn)維人員在檢查網(wǎng)絡(luò)設(shè)備的時候建立一個有效框架,實(shí)現(xiàn)設(shè)備運(yùn)檢全過程的合規(guī),。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:aet@chinaaet.com。