工控系統移動設備運維安全管理平臺應用

於國良

（蕭山發電廠，杭州 311251）

0 引言

工控網絡作為電廠生產系統的中樞系統，其安全穩定運行對電廠的安全生產起著決定性的作用，安全防護意義重大。國內從2005年發布電監會5號令開始，提出“安全分區、網絡專用、橫向隔離、縱向防護”十六字方針以來，電力監控系統安全事件得到了一定的抑制。雖然2014年8月1日，國發改委令【第14號】下發了《電力監控系統安全防護規定》；2015年2月4日，國能安全出臺了〔2015〕36號國家能源局《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》及等保V2.0對電力監控系統（工業控制系統）提出了相關要求，但隨著工業信息化設備越來越來通用化，傳統信息安全問題已無法解決工控系統運維存在的風險問題，尤其是運維人員信息安全意識一般，如果沒有相關設備和監測平臺，將無法實現有效的安全監管。

1 概述

在傳統信息安全產品領域，國內外通過安全管理中心的SOC產品，實現對網絡設備、安全設備、主機設備等的安全運維，但其無法適用于國內電力行業網絡隔離的環境。本次科研項目根據實際工控系統工作需求，主要針對移動設備接入方面的邊界問題進行分析。

1.1 移動設備工控安全現狀

1.1.1 運維筆記本

由于現場工控設備的需要，會有不同類型的運維筆記本接入工控網絡或者接入工控設備進行相應的調試、維護工作。在傳統的工作模式中，無法對運維筆記本的操作過程及網絡數據流進行有效的安全監管，存在工控網絡安全監控短板。蕭山發電廠用到運維筆記本的工控區域見表1。

表1 工控系統常用的運維筆記本Table 1 Operation and maintenance notebooks commonly used in industrial control systems

1.1.2 移動存儲設備

目前從工控系統完成數據拷貝，通過使用擺渡盤的方式可以實現安全的數據拷貝。但是由于工控系統升級的需要，存在將外部文件拷貝進入工控系統的工作。數據拷貝進入工控系統前，會執行相應的數據安全檢查流程，再進行數據的寫入工作。但是工控系統往往沒有安裝殺毒軟件，數據寫入工控系統的這一過程缺少惡意代碼防范的安全措施。

1.2 存在問題

1）運維筆記本的操作過程及網絡數據流沒有實現安全監管。

2）使用運維筆記本的過程中，網絡端口處于全開放的狀態，也沒有實現安全監管。

3）網絡工控系統寫入數據的過程，缺少惡意代碼防范的安全措施。

2 技術解決方案

基于等保V2.0工控安全管理中心及技術防護體系，實現便攜式設備（運維筆記本）安全監測管理。對運維筆記本，特別是針對工控系統廠家運維人員及儀控內部運維人員，在接入工控系統前，實現移動設備（運維筆記本）安全防護，如端口級防問控制、筆記本非法外聯管控、強制病毒查殺。在接入工控系統后，及時上傳工控安全管理中心，分析安全運維存在的風險，自動上傳運維相關人員及設備情況，實現事后追溯。

2.1 設計原則

1）使用便攜式設備對工控系統進行運維操作，保證對工控系統的運維工作“零影響”。

2）使用便攜式設備對工控系統進行運維操作，實現人員審核與訪問控制、 操作行為審計與監控、網絡訪問控制等功能。

3）根據網絡安全策略的要求，所有進出內部網絡的數據流都必須通過便攜式設備的安全策略和安全計劃的確認與授權，實現對未經授權的訪問和數據傳遞進行篩選和屏蔽，保護網絡數據的安全。

4）便攜式設備可以監視網絡或網絡設備的網絡資料傳輸行為，能夠及時中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

5）實現統一的移動介質安全監測管理，通過研究反向隔離裝置，定期升級安全運維設備的病毒庫，實現安全惡意代碼防范。

6）為確保運維安全管理平臺的安全性及可靠性，運維安全管理平臺的網絡為獨立網絡。

7）為工控系統安全運維與審計評測提供安全、易用的保護手段。

8）本項目的設計范圍廣泛，要求具體，要求達到符合“等保V2.0”工控安全管理的設計準則。

2.2 功能設計

建立運維安全管理平臺，對便攜式設備生產系統進行運維操作，完成人員審核與訪問控制、操作行為審計與監控、網絡訪問控制。主要實現以下功能，詳見表2。

表2 運維安全管理平臺功能Table 2 Operation and maintenance security management platform functions

2.3 運維安全管理平臺的組成

見表3。

表3 運維安全管理平臺組成Table 3 Composition of operation and maintenance security management platform

3 方案的實施

建立運維安全管理平臺，采用防火墻隔離、運維筆記本非法外聯、病毒查殺等技術，實現運維筆記本安全管控。

3.1 網絡連接運維筆記本的部署

網絡連接部署時，需要將裝置的網口 1 連接運維筆記

本電腦，網口 2 連接被運維設備網絡，再連接一條視頻線（VGA或者HDMI）到運維筆記本電腦，如圖1所示。

圖1 網絡運維時設備部署結構圖Fig.1 Device deployment structure diagram during network operation and maintenance

3.2 串口連接運維筆記本的部署

串口連接部署時，需要將裝置的右串口通過串口線連接運維筆記本電腦，左串口連接被運維設備串口，再連接一條視頻線（VGA 或者 HDMI）到運維筆記本電腦，如圖2所示。

圖2 串口運維時設備部署結構圖Fig.2 Device deployment structure diagram during serial port operation and maintenance

3.3 數據擺渡的設備部署

數據擺渡時有兩種方式：USB擺渡方式、網絡擺渡方式，如圖3所示。

圖3 數據擺渡時設備部署結構圖Fig.3 Structure diagram of equipment deployment during data ferry

1）USB 擺渡方式

將便攜式運維安全裝置用于數據擺渡的USB口，通過USB線連接至被運維對象設備或者主機。

2）網絡擺渡方式

此時連接，同網絡連接運維時的部署方式。

3.4 與運維平臺連接的部署

便攜式運維安全裝置和運維平臺之間在需要數據同步時連接，日常運維時為與平臺離線方式，如圖4所示。

圖4 與安全運維管理平臺連接時產品部署結構圖Fig.4 Product deployment structure diagram when connected to the security operation and maintenance management platform

圖5 便攜式運維安全管理平臺使用流程圖Fig.5 The use flow chart of the portable operation and maintenance security management platform

圖6 與燃機飛行記錄儀實現通信Fig.6 Communication with gas turbine flight recorder

4 項目實施效果

4.1 安全運維管理平臺使用流程

1）在安全運維平臺上設置好運維策略，然后下載到便攜式運維安全裝置。

2）在運維時，只需要將下載好策略的便攜式運維安全裝置攜帶至工控現場運維場所，進行運維。

3）運維后，將便攜式運維安全裝置帶回連接安全運維平臺，將審計數據傳回平臺，完成運維的閉環。

4.2 運維筆記本的實際測試情況

1）運維策略的使用

運維策略主要是對便攜式運維安全裝置能使用的運維策略進行提前預設，運維策略包含內容為運維對象設備，以及具體運維策略的IP和端口，不需要設置運維對象，只需要設置策略端口即可。

本次對運維筆記本的測試環境采用的運維策略是屏蔽目前已知的高危端口的“黑名單模式”，具體測試方法步驟為：

第一步：屏蔽所有通信端口，使用運維筆記本和燃機飛行記錄儀、ARGUS、PLC、VM600系統進行數據通信，并使用相應的應用程序，檢查各應用程序是否可以正常工作。

第二步：屏蔽目前已知的高危端口，使用運維筆記本和燃機飛行記錄儀、ARGUS、PLC、VM600系統進行數據通信，并使用相應的應用程序，檢查各應用程序是否可以正常工作。

第三步：開放所有通信端口，使用運維筆記本和燃機飛行記錄儀、ARGUS、PLC、VM600系統進行數據通信，并使用相應的應用程序，通過便攜式運維安全裝置的日志，查詢應用程序使用的通信端口，并根據實際使用的通信端口情況，制定該程序的安全策略。

2）實際測試情況

① 屏蔽所有通信端口

便攜式運維安全裝置使用屏蔽所有通信端口的情況下，運維筆記本通過便攜式運維安全裝置和燃機飛行記錄儀、ARGUS、PLC、VM600系統無法進行數據通信。

② 使用“黑名單模式”

◇ 燃機飛行記錄儀通信情況

便攜式運維安全裝置使用“黑名單模式”的情況下，運維筆記本通過便攜式運維安全裝置和燃機飛行記錄儀可以正常通信，程序功能可以正常使用。

圖7 與ARGUS系統實現通信Fig.7 Realize communication with ARGUS system

圖8 與PLC系統實現通信Fig.8 Realize communication with PLC system

圖9 反向數據病毒檢查Fig.9 Reverse data virus check

◇ ARGUS系統通信情況

便攜式運維安全裝置使用“黑名單模式”的情況下，運維筆記本通過便攜式運維安全裝置和ARGUS系統可以正常通信，程序功能可以正常使用。

◇ PLC系統

便攜式運維安全裝置使用“黑名單模式”的情況下，運維筆記本通過便攜式運維安全裝置和PLC系統可以正常通信，程序功能可以正常使用。

◇ VM600系統

便攜式運維安全裝置使用“黑名單模式”的情況下，運維筆記本通過便攜式運維安全裝置和VM600系統可以正常通信，程序功能可以正常使用。

4.3 數據反向寫入功能測試

執行數據拷入時，會對拷入的數據進行病毒查殺，如果沒有檢測到可疑文件，則可以點擊彈出提示的確定，繼續拷入。如果檢測到可疑文件，則會在此出現一個可疑文件列表，如果確定文件是可信任的，則可以選擇相應的可疑文件，點擊添加信任，則在處理時，該文件不會被處理。如果列表中的所有文件都可信任，則也可以點擊全部信任。如果要取消信任，也有取消信任和全部取消信任按鈕。

5 結論

研發的移動設備運維安全管理平臺，可以有效地對運維筆記本的操作過程及網絡數據流實現監管、訪問控制、操作記錄審計等功能，同時采取合理的安全防護手段使數據可以安全、可靠地寫入工控系統，既保證工控系統的安全穩定運行，又能落實和執行《電力監控系統安全防護規定》。

項目完成后，解決了工控系統中對于運維筆記本安全管理的這一盲點，提高了數據寫入工控系統的可靠性，消除了移動設備影響工控系統安全運行的安全風險隱患。企業對工控系統中使用移動設備也實現了掌控，提升企業的安全管理形象。