工控系統(tǒng)移動(dòng)設(shè)備運(yùn)維安全管理平臺(tái)應(yīng)用

於國(guó)良

（蕭山發(fā)電廠，杭州 311251）

0 引言

工控網(wǎng)絡(luò)作為電廠生產(chǎn)系統(tǒng)的中樞系統(tǒng)，其安全穩(wěn)定運(yùn)行對(duì)電廠的安全生產(chǎn)起著決定性的作用，安全防護(hù)意義重大。國(guó)內(nèi)從2005年發(fā)布電監(jiān)會(huì)5號(hào)令開(kāi)始，提出“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向防護(hù)”十六字方針以來(lái)，電力監(jiān)控系統(tǒng)安全事件得到了一定的抑制。雖然2014年8月1日，國(guó)發(fā)改委令【第14號(hào)】下發(fā)了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》；2015年2月4日，國(guó)能安全出臺(tái)了〔2015〕36號(hào)國(guó)家能源局《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》及等保V2.0對(duì)電力監(jiān)控系統(tǒng)（工業(yè)控制系統(tǒng)）提出了相關(guān)要求，但隨著工業(yè)信息化設(shè)備越來(lái)越來(lái)通用化，傳統(tǒng)信息安全問(wèn)題已無(wú)法解決工控系統(tǒng)運(yùn)維存在的風(fēng)險(xiǎn)問(wèn)題，尤其是運(yùn)維人員信息安全意識(shí)一般，如果沒(méi)有相關(guān)設(shè)備和監(jiān)測(cè)平臺(tái)，將無(wú)法實(shí)現(xiàn)有效的安全監(jiān)管。

1 概述

在傳統(tǒng)信息安全產(chǎn)品領(lǐng)域，國(guó)內(nèi)外通過(guò)安全管理中心的SOC產(chǎn)品，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備等的安全運(yùn)維，但其無(wú)法適用于國(guó)內(nèi)電力行業(yè)網(wǎng)絡(luò)隔離的環(huán)境。本次科研項(xiàng)目根據(jù)實(shí)際工控系統(tǒng)工作需求，主要針對(duì)移動(dòng)設(shè)備接入方面的邊界問(wèn)題進(jìn)行分析。

1.1 移動(dòng)設(shè)備工控安全現(xiàn)狀

1.1.1 運(yùn)維筆記本

由于現(xiàn)場(chǎng)工控設(shè)備的需要，會(huì)有不同類型的運(yùn)維筆記本接入工控網(wǎng)絡(luò)或者接入工控設(shè)備進(jìn)行相應(yīng)的調(diào)試、維護(hù)工作。在傳統(tǒng)的工作模式中，無(wú)法對(duì)運(yùn)維筆記本的操作過(guò)程及網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行有效的安全監(jiān)管，存在工控網(wǎng)絡(luò)安全監(jiān)控短板。蕭山發(fā)電廠用到運(yùn)維筆記本的工控區(qū)域見(jiàn)表1。

表1 工控系統(tǒng)常用的運(yùn)維筆記本Table 1 Operation and maintenance notebooks commonly used in industrial control systems

1.1.2 移動(dòng)存儲(chǔ)設(shè)備

目前從工控系統(tǒng)完成數(shù)據(jù)拷貝，通過(guò)使用擺渡盤(pán)的方式可以實(shí)現(xiàn)安全的數(shù)據(jù)拷貝。但是由于工控系統(tǒng)升級(jí)的需要，存在將外部文件拷貝進(jìn)入工控系統(tǒng)的工作。數(shù)據(jù)拷貝進(jìn)入工控系統(tǒng)前，會(huì)執(zhí)行相應(yīng)的數(shù)據(jù)安全檢查流程，再進(jìn)行數(shù)據(jù)的寫(xiě)入工作。但是工控系統(tǒng)往往沒(méi)有安裝殺毒軟件，數(shù)據(jù)寫(xiě)入工控系統(tǒng)的這一過(guò)程缺少惡意代碼防范的安全措施。

1.2 存在問(wèn)題

1）運(yùn)維筆記本的操作過(guò)程及網(wǎng)絡(luò)數(shù)據(jù)流沒(méi)有實(shí)現(xiàn)安全監(jiān)管。

2）使用運(yùn)維筆記本的過(guò)程中，網(wǎng)絡(luò)端口處于全開(kāi)放的狀態(tài)，也沒(méi)有實(shí)現(xiàn)安全監(jiān)管。

3）網(wǎng)絡(luò)工控系統(tǒng)寫(xiě)入數(shù)據(jù)的過(guò)程，缺少惡意代碼防范的安全措施。

2 技術(shù)解決方案

基于等保V2.0工控安全管理中心及技術(shù)防護(hù)體系，實(shí)現(xiàn)便攜式設(shè)備（運(yùn)維筆記本）安全監(jiān)測(cè)管理。對(duì)運(yùn)維筆記本，特別是針對(duì)工控系統(tǒng)廠家運(yùn)維人員及儀控內(nèi)部運(yùn)維人員，在接入工控系統(tǒng)前，實(shí)現(xiàn)移動(dòng)設(shè)備（運(yùn)維筆記本）安全防護(hù)，如端口級(jí)防問(wèn)控制、筆記本非法外聯(lián)管控、強(qiáng)制病毒查殺。在接入工控系統(tǒng)后，及時(shí)上傳工控安全管理中心，分析安全運(yùn)維存在的風(fēng)險(xiǎn)，自動(dòng)上傳運(yùn)維相關(guān)人員及設(shè)備情況，實(shí)現(xiàn)事后追溯。

2.1 設(shè)計(jì)原則

1）使用便攜式設(shè)備對(duì)工控系統(tǒng)進(jìn)行運(yùn)維操作，保證對(duì)工控系統(tǒng)的運(yùn)維工作“零影響”。

2）使用便攜式設(shè)備對(duì)工控系統(tǒng)進(jìn)行運(yùn)維操作，實(shí)現(xiàn)人員審核與訪問(wèn)控制、 操作行為審計(jì)與監(jiān)控、網(wǎng)絡(luò)訪問(wèn)控制等功能。

3）根據(jù)網(wǎng)絡(luò)安全策略的要求，所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流都必須通過(guò)便攜式設(shè)備的安全策略和安全計(jì)劃的確認(rèn)與授權(quán)，實(shí)現(xiàn)對(duì)未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)傳遞進(jìn)行篩選和屏蔽，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全。

4）便攜式設(shè)備可以監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為，能夠及時(shí)中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。

5）實(shí)現(xiàn)統(tǒng)一的移動(dòng)介質(zhì)安全監(jiān)測(cè)管理，通過(guò)研究反向隔離裝置，定期升級(jí)安全運(yùn)維設(shè)備的病毒庫(kù)，實(shí)現(xiàn)安全惡意代碼防范。

6）為確保運(yùn)維安全管理平臺(tái)的安全性及可靠性，運(yùn)維安全管理平臺(tái)的網(wǎng)絡(luò)為獨(dú)立網(wǎng)絡(luò)。

7）為工控系統(tǒng)安全運(yùn)維與審計(jì)評(píng)測(cè)提供安全、易用的保護(hù)手段。

8）本項(xiàng)目的設(shè)計(jì)范圍廣泛，要求具體，要求達(dá)到符合“等保V2.0”工控安全管理的設(shè)計(jì)準(zhǔn)則。

2.2 功能設(shè)計(jì)

建立運(yùn)維安全管理平臺(tái)，對(duì)便攜式設(shè)備生產(chǎn)系統(tǒng)進(jìn)行運(yùn)維操作，完成人員審核與訪問(wèn)控制、操作行為審計(jì)與監(jiān)控、網(wǎng)絡(luò)訪問(wèn)控制。主要實(shí)現(xiàn)以下功能，詳見(jiàn)表2。

表2 運(yùn)維安全管理平臺(tái)功能Table 2 Operation and maintenance security management platform functions

2.3 運(yùn)維安全管理平臺(tái)的組成

見(jiàn)表3。

表3 運(yùn)維安全管理平臺(tái)組成Table 3 Composition of operation and maintenance security management platform

3 方案的實(shí)施

建立運(yùn)維安全管理平臺(tái)，采用防火墻隔離、運(yùn)維筆記本非法外聯(lián)、病毒查殺等技術(shù)，實(shí)現(xiàn)運(yùn)維筆記本安全管控。

3.1 網(wǎng)絡(luò)連接運(yùn)維筆記本的部署

網(wǎng)絡(luò)連接部署時(shí)，需要將裝置的網(wǎng)口 1 連接運(yùn)維筆記

本電腦，網(wǎng)口 2 連接被運(yùn)維設(shè)備網(wǎng)絡(luò)，再連接一條視頻線（VGA或者HDMI）到運(yùn)維筆記本電腦，如圖1所示。

圖1 網(wǎng)絡(luò)運(yùn)維時(shí)設(shè)備部署結(jié)構(gòu)圖Fig.1 Device deployment structure diagram during network operation and maintenance

3.2 串口連接運(yùn)維筆記本的部署

串口連接部署時(shí)，需要將裝置的右串口通過(guò)串口線連接運(yùn)維筆記本電腦，左串口連接被運(yùn)維設(shè)備串口，再連接一條視頻線（VGA 或者 HDMI）到運(yùn)維筆記本電腦，如圖2所示。

圖2 串口運(yùn)維時(shí)設(shè)備部署結(jié)構(gòu)圖Fig.2 Device deployment structure diagram during serial port operation and maintenance

3.3 數(shù)據(jù)擺渡的設(shè)備部署

數(shù)據(jù)擺渡時(shí)有兩種方式：USB擺渡方式、網(wǎng)絡(luò)擺渡方式，如圖3所示。

圖3 數(shù)據(jù)擺渡時(shí)設(shè)備部署結(jié)構(gòu)圖Fig.3 Structure diagram of equipment deployment during data ferry

1）USB 擺渡方式

將便攜式運(yùn)維安全裝置用于數(shù)據(jù)擺渡的USB口，通過(guò)USB線連接至被運(yùn)維對(duì)象設(shè)備或者主機(jī)。

2）網(wǎng)絡(luò)擺渡方式

此時(shí)連接，同網(wǎng)絡(luò)連接運(yùn)維時(shí)的部署方式。

3.4 與運(yùn)維平臺(tái)連接的部署

便攜式運(yùn)維安全裝置和運(yùn)維平臺(tái)之間在需要數(shù)據(jù)同步時(shí)連接，日常運(yùn)維時(shí)為與平臺(tái)離線方式，如圖4所示。

圖4 與安全運(yùn)維管理平臺(tái)連接時(shí)產(chǎn)品部署結(jié)構(gòu)圖Fig.4 Product deployment structure diagram when connected to the security operation and maintenance management platform

圖5 便攜式運(yùn)維安全管理平臺(tái)使用流程圖Fig.5 The use flow chart of the portable operation and maintenance security management platform

圖6 與燃機(jī)飛行記錄儀實(shí)現(xiàn)通信Fig.6 Communication with gas turbine flight recorder

4 項(xiàng)目實(shí)施效果

4.1 安全運(yùn)維管理平臺(tái)使用流程

1）在安全運(yùn)維平臺(tái)上設(shè)置好運(yùn)維策略，然后下載到便攜式運(yùn)維安全裝置。

2）在運(yùn)維時(shí)，只需要將下載好策略的便攜式運(yùn)維安全裝置攜帶至工控現(xiàn)場(chǎng)運(yùn)維場(chǎng)所，進(jìn)行運(yùn)維。

3）運(yùn)維后，將便攜式運(yùn)維安全裝置帶回連接安全運(yùn)維平臺(tái)，將審計(jì)數(shù)據(jù)傳回平臺(tái)，完成運(yùn)維的閉環(huán)。

4.2 運(yùn)維筆記本的實(shí)際測(cè)試情況

1）運(yùn)維策略的使用

運(yùn)維策略主要是對(duì)便攜式運(yùn)維安全裝置能使用的運(yùn)維策略進(jìn)行提前預(yù)設(shè)，運(yùn)維策略包含內(nèi)容為運(yùn)維對(duì)象設(shè)備，以及具體運(yùn)維策略的IP和端口，不需要設(shè)置運(yùn)維對(duì)象，只需要設(shè)置策略端口即可。

本次對(duì)運(yùn)維筆記本的測(cè)試環(huán)境采用的運(yùn)維策略是屏蔽目前已知的高危端口的“黑名單模式”，具體測(cè)試方法步驟為：

第一步：屏蔽所有通信端口，使用運(yùn)維筆記本和燃機(jī)飛行記錄儀、ARGUS、PLC、VM600系統(tǒng)進(jìn)行數(shù)據(jù)通信，并使用相應(yīng)的應(yīng)用程序，檢查各應(yīng)用程序是否可以正常工作。

第二步：屏蔽目前已知的高危端口，使用運(yùn)維筆記本和燃機(jī)飛行記錄儀、ARGUS、PLC、VM600系統(tǒng)進(jìn)行數(shù)據(jù)通信，并使用相應(yīng)的應(yīng)用程序，檢查各應(yīng)用程序是否可以正常工作。

第三步：開(kāi)放所有通信端口，使用運(yùn)維筆記本和燃機(jī)飛行記錄儀、ARGUS、PLC、VM600系統(tǒng)進(jìn)行數(shù)據(jù)通信，并使用相應(yīng)的應(yīng)用程序，通過(guò)便攜式運(yùn)維安全裝置的日志，查詢應(yīng)用程序使用的通信端口，并根據(jù)實(shí)際使用的通信端口情況，制定該程序的安全策略。

2）實(shí)際測(cè)試情況

① 屏蔽所有通信端口

便攜式運(yùn)維安全裝置使用屏蔽所有通信端口的情況下，運(yùn)維筆記本通過(guò)便攜式運(yùn)維安全裝置和燃機(jī)飛行記錄儀、ARGUS、PLC、VM600系統(tǒng)無(wú)法進(jìn)行數(shù)據(jù)通信。

② 使用“黑名單模式”

◇ 燃機(jī)飛行記錄儀通信情況

便攜式運(yùn)維安全裝置使用“黑名單模式”的情況下，運(yùn)維筆記本通過(guò)便攜式運(yùn)維安全裝置和燃機(jī)飛行記錄儀可以正常通信，程序功能可以正常使用。

圖7 與ARGUS系統(tǒng)實(shí)現(xiàn)通信Fig.7 Realize communication with ARGUS system

圖8 與PLC系統(tǒng)實(shí)現(xiàn)通信Fig.8 Realize communication with PLC system

圖9 反向數(shù)據(jù)病毒檢查Fig.9 Reverse data virus check

◇ ARGUS系統(tǒng)通信情況

便攜式運(yùn)維安全裝置使用“黑名單模式”的情況下，運(yùn)維筆記本通過(guò)便攜式運(yùn)維安全裝置和ARGUS系統(tǒng)可以正常通信，程序功能可以正常使用。

◇ PLC系統(tǒng)

便攜式運(yùn)維安全裝置使用“黑名單模式”的情況下，運(yùn)維筆記本通過(guò)便攜式運(yùn)維安全裝置和PLC系統(tǒng)可以正常通信，程序功能可以正常使用。

◇ VM600系統(tǒng)

便攜式運(yùn)維安全裝置使用“黑名單模式”的情況下，運(yùn)維筆記本通過(guò)便攜式運(yùn)維安全裝置和VM600系統(tǒng)可以正常通信，程序功能可以正常使用。

4.3 數(shù)據(jù)反向?qū)懭牍δ軠y(cè)試

執(zhí)行數(shù)據(jù)拷入時(shí)，會(huì)對(duì)拷入的數(shù)據(jù)進(jìn)行病毒查殺，如果沒(méi)有檢測(cè)到可疑文件，則可以點(diǎn)擊彈出提示的確定，繼續(xù)拷入。如果檢測(cè)到可疑文件，則會(huì)在此出現(xiàn)一個(gè)可疑文件列表，如果確定文件是可信任的，則可以選擇相應(yīng)的可疑文件，點(diǎn)擊添加信任，則在處理時(shí)，該文件不會(huì)被處理。如果列表中的所有文件都可信任，則也可以點(diǎn)擊全部信任。如果要取消信任，也有取消信任和全部取消信任按鈕。

5 結(jié)論

研發(fā)的移動(dòng)設(shè)備運(yùn)維安全管理平臺(tái)，可以有效地對(duì)運(yùn)維筆記本的操作過(guò)程及網(wǎng)絡(luò)數(shù)據(jù)流實(shí)現(xiàn)監(jiān)管、訪問(wèn)控制、操作記錄審計(jì)等功能，同時(shí)采取合理的安全防護(hù)手段使數(shù)據(jù)可以安全、可靠地寫(xiě)入工控系統(tǒng)，既保證工控系統(tǒng)的安全穩(wěn)定運(yùn)行，又能落實(shí)和執(zhí)行《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》。

項(xiàng)目完成后，解決了工控系統(tǒng)中對(duì)于運(yùn)維筆記本安全管理的這一盲點(diǎn)，提高了數(shù)據(jù)寫(xiě)入工控系統(tǒng)的可靠性，消除了移動(dòng)設(shè)備影響工控系統(tǒng)安全運(yùn)行的安全風(fēng)險(xiǎn)隱患。企業(yè)對(duì)工控系統(tǒng)中使用移動(dòng)設(shè)備也實(shí)現(xiàn)了掌控，提升企業(yè)的安全管理形象。