1　引言

　　水電廠現(xiàn)地控制單元（LCU）是直接與生產(chǎn)過程進行信息交互的I/O處理系統(tǒng)，它的主要任務(wù)是進行數(shù)據(jù)采集及處理，對被控對象實施閉環(huán)反饋控制、順序控制和批量控制。用戶可以根據(jù)不同的應(yīng)用需求，選擇配置不同的LCU構(gòu)成現(xiàn)場控制站，水電廠LCU系統(tǒng)主要包括機組LCU、弧門LCU、公共系統(tǒng)LCU、開關(guān)站LCU等，分別對被控對象的運行工況進行實時監(jiān)視和控制，是水電站計算機監(jiān)控系統(tǒng)的底層控制部分。

　　LCU系統(tǒng)核心交換機負責水電廠監(jiān)控系統(tǒng)內(nèi)部數(shù)據(jù)的交換處理，是水電廠生產(chǎn)的重要組成部分。水電廠LCU核心交換機一般采用工業(yè)交換機，目前主流工業(yè)交換機品牌有德國赫斯曼（已被美國百通公司收購）、加拿大羅杰康（已被西門子收購）、德國西門子、美國子午線、美國格雷特、美國恩創(chuàng)等廠家，國產(chǎn)品牌有臺灣研華、臺灣MOXA、北京東土、武漢邁威等廠家。LCU系統(tǒng)內(nèi)部數(shù)據(jù)傳輸建立在以交換機為核心的局域網(wǎng)絡(luò)之上，核心交換機的數(shù)據(jù)傳輸安全直接關(guān)系到水電廠安全生產(chǎn)的進行，由此可見，對LCU系統(tǒng)核心交換機安全基線進行深入研究，并建立一套安全基線標準尤為重要。

　　2　安全基線的概念

　　安全基線（Secruity Baseline）是保持網(wǎng)絡(luò)系統(tǒng)在機密性、完整性和可靠性需求上的最小安全控制，即該系統(tǒng)最基本需要滿足的安全要求，構(gòu)造系統(tǒng)安全基線是系統(tǒng)安全工程的首要步驟 , 同時也是進行安全評估、發(fā)現(xiàn)和解決業(yè)務(wù)系統(tǒng)安全問題的先決條件。因此通過確保組織滿足安全基線的要求，也就能確認組織的正常運行得到了最低程度的安全保證，安全的重要性是不言而喻的。

　　安全基線的概念自上世紀40年代在美國萌芽，逐步發(fā)展到今天。目前我國制定的關(guān)于信息安全的相關(guān)法律法規(guī)不在少數(shù)，但依然存在一定的問題，比如：制定部門多，內(nèi)容分散，內(nèi)容可能相互抵觸等問題。我國的安全基線主要是等級保護（第一級到第五級）和分級保護（秘密、機密和絕密），具體落實和操作由GB/T和BMB打頭的相關(guān)標準來實現(xiàn)。等級保護的主要文件是：《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》和《信息安全技術(shù)信息系統(tǒng)安全保護等級定級指南》，分級保護的文件主要是：BMB17《設(shè)計國家秘密的信息系統(tǒng)分級保護技術(shù)要求》和BMB20《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》。

　　2.1　安全基線模型的建立與優(yōu)化

　　現(xiàn)在在大多數(shù)工業(yè)企業(yè)的業(yè)務(wù)系統(tǒng)中，LCU系統(tǒng)核心交換機在配置中存在眾多配置漏洞，如：弱口令、開放無用服務(wù)端口、未升級補丁等，可以利用這些漏洞進行攻擊活動，因此這些配置漏洞有很大的安全隱患。

　　安全基線模型以業(yè)務(wù)系統(tǒng)為核心，分為業(yè)務(wù)系統(tǒng)層、功能架構(gòu)層、系統(tǒng)實現(xiàn)層三層機構(gòu)，如圖1所示。

　　圖1 安全基線層次模型

　　第一層是業(yè)務(wù)系統(tǒng)層，這一層主要是根據(jù)不同業(yè)務(wù)系統(tǒng)的特性，定義不同安全防護的要求，是一個比較宏觀的要求。對應(yīng)基于LCU系統(tǒng)的風險管理系統(tǒng)。

　　第二層是功能架構(gòu)層，將業(yè)務(wù)系統(tǒng)分解為相對應(yīng)的操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、防火墻、路由器、交換機等不同的設(shè)備和系統(tǒng)類型，這些設(shè)備類型針對LCU業(yè)務(wù)層定義的安全防護要求細化為此層不同模型應(yīng)該具備的要求。即在技術(shù)手段上實現(xiàn)脆弱性、安全策略以及重要信息的監(jiān)控和審計。

　　第三層是系統(tǒng)實現(xiàn)層，將第二層模塊根據(jù)業(yè)務(wù)系統(tǒng)的特性進一步分解，找到基準安全配置項和重要策略文件等，即建立安全基線弱點配置庫。

　　建立一套安全基線檢查系統(tǒng)能對IT基礎(chǔ)設(shè)施的安全配置進行高效、快速核查，并計算與安全基線的符合情況，作為一個輔助進行系統(tǒng)準入、日常安全檢查的自動化、有效的系統(tǒng)，能極大減少人工進行系統(tǒng)準入、日常安全檢查的工作量，避免了人為因素，保證檢查結(jié)構(gòu)的公正性。

　　2.2　LCU核心交換機安全基線的種類

　　LCU核心交換機安全基線的種類可以從管理和技術(shù)上分為兩類。

　　管理類包括：賬號管理、口令管理、認證管理、日志審計管理、協(xié)議安全管理、日常行為管理、端口安全管理等。

　　技術(shù)類包括：安全操作管理與配置、安全接入控制管理與配置、操作系統(tǒng)管理與配置等。

　　2.3　LCU核心交換機安全基線配置檢查

　　LCU系統(tǒng)核心交換機是組成水電廠監(jiān)控系統(tǒng)的基礎(chǔ)元素，因此在管理和運行過程中完全有必要對其進行安全基線審查。當制定出安全基線，我們就可以自查交換機配置參數(shù)是否符合要求，符合什么級別的等級保護。比如設(shè)備的加密密碼配置，從安全角度考慮：加密密碼配置越復(fù)雜越長則越安全；從使用角度考慮：每天可能多次輸入此復(fù)雜密碼是非常麻煩的事情，因此實際制定安全基線的時候一定要符合實際情況。

　　2.3.1　設(shè)備管理

　　（1）遠程管理服務(wù)

　　在交換機管理過程中，一定會出現(xiàn)對設(shè)備進行遠程維護的情況，一般用戶會選擇telnet進行遠程操作，但是telnet的致命缺陷是不加密，容易在網(wǎng)絡(luò)中被嗅探出用戶密碼和用戶名，給網(wǎng)絡(luò)設(shè)備帶來巨大的安全隱患。因此如果網(wǎng)絡(luò)設(shè)備支持，一定要對設(shè)備配置ssh等加密協(xié)議進行遠程管理，禁用telnet服務(wù)管理交換機設(shè)備，提高設(shè)備管理安全性，最好是結(jié)合訪問控制列表（ACL）進行安全配置。

　?。?）管理 IP

　　網(wǎng)絡(luò)管理設(shè)備的管理IP應(yīng)該結(jié)合ACL指定給某些人或某些網(wǎng)絡(luò)管理，基線審查強制按此要求設(shè)置。

　?。?）認證方式

　　對登錄設(shè)備的用戶啟用3A認證，至少應(yīng)該配置登錄驗證為l o c a l本地認證。如果有認證服務(wù)器（Raidus） 等，應(yīng)該與相關(guān)認證服務(wù)器聯(lián)動，增強安全性，基線檢查需根據(jù)實際情況設(shè)置。

　?。?）認證系統(tǒng)聯(lián)動

　　如果有Raidus服務(wù)器，對網(wǎng)絡(luò)設(shè)備通過相關(guān)參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求，增加對管理等用戶的認證。

　?。?）用戶賬號與口令安全

　　交換機設(shè)備參數(shù)配置完畢，通?？梢杂孟嚓P(guān)查看命令看到配置文本，保障管理安全，應(yīng)對相關(guān)管理密碼進行加密配置，用戶登錄空閑超過規(guī)定時間應(yīng)強制下線，基線審查強制按此要求設(shè)置。

　?。?）端口安全

　　網(wǎng)絡(luò)設(shè)備的端口有管理端口Console口及其他應(yīng)用端口，管理端口的配置（如AUX口）應(yīng)配置加密措施，并強制認證，關(guān)閉不需要使用的端口?；€審查強制按此要求設(shè)置。

　　2.3.2　訪問控制

　　應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能，應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3及工業(yè)常用協(xié)議做到命令級的控制。應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接，應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)，重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙，應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶。

　　2.3.3　日志審計

　　日志是記錄網(wǎng)絡(luò)設(shè)備運行情況的數(shù)據(jù)，在出現(xiàn)安全事故的情況，管理員可以根據(jù)日志對事故進行追蹤。在交換機日志審計配置中，應(yīng)對交換機設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄，審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表，應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。因此在設(shè)備支持的情況一定要對日志數(shù)據(jù)進行安全保護，采用SNMP 協(xié)議傳輸?shù)饺罩痉?wù)器，使用日志服務(wù)器對日志進行存儲和保護。審計則是記錄重要的操作，在設(shè)備支持審計功能的情況也同樣要開啟此功能。

　　2.3.4　網(wǎng)絡(luò)架構(gòu)安全防護

　　交換機設(shè)備使用中，應(yīng)對設(shè)備配置參數(shù)進行調(diào)整，對可能造成信息泄露的配置應(yīng)進行修改，如：login banner，該信息可能會透露系統(tǒng)的版本或IP而被黑客所利用。開啟NTP服務(wù)，提供標準統(tǒng)一的時鐘。對啟用動態(tài) IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）協(xié)議時，啟用路由協(xié)議認證功能，如MD5加密，確保交換機之間在交換路由信息的時候是安全的。對常見病毒端口進行封堵，重要的服務(wù)器進行IP和MAC地址捆綁?；€審查強制按此要求設(shè)置。

　　2.3.5　服務(wù)優(yōu)化

　　眾所周知，網(wǎng)絡(luò)設(shè)備的服務(wù)開啟越多，占用系統(tǒng)資源越多，對設(shè)備自身的穩(wěn)定性也造成影響，為保證交換機工作運行的穩(wěn)定和高效，一定要停止不必要的服務(wù)，如：源路由、http、https、CDP、ARP-Proxy和FTP等，當網(wǎng)絡(luò)設(shè)備開啟了一些不必要的服務(wù)，可能會因為這些服務(wù)本身的漏洞給設(shè)備帶來安全隱患。

　　2.3.6　備份與恢復(fù)

　　為確保交換機本地數(shù)據(jù)備份與恢復(fù)功能運行正常，在進行配置策略更改后完全備份一次，并保存原來版本配置策略，備份介質(zhì)場外存放，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。若交換機網(wǎng)絡(luò)結(jié)構(gòu)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，要確保避免關(guān)鍵節(jié)點存在單點故障，在工作現(xiàn)場，應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余、保證系統(tǒng)的高可用性。

　　3　結(jié)語

　　LCU工業(yè)以太網(wǎng)交換機作為水電廠的保護、自動化系統(tǒng)的核心設(shè)備，其自身安全性與穩(wěn)定性決定水電廠的安全運行，一旦出現(xiàn)問題，很可能會造成全廠外供中斷等重大安全事故。交換機安全基線需要受到進一步重視，安全基線在制定的時候一定要研制執(zhí)行國家相關(guān)標準和企業(yè)規(guī)章制度，參考國外相關(guān)最佳實踐，確定好每一個核查項，這樣可以為水電廠運維人員在檢查網(wǎng)絡(luò)設(shè)備的時候建立一個有效框架，實現(xiàn)設(shè)備運檢全過程的合規(guī)。