《工业控制系统信息安全》专刊第二辑连载
——浅谈市政行业自动化与信息系统的内核安全

作者:中国市政工程西南设计研究总院有限公司第十设计研究院 刘卫民
  点击数:691  发布时间:2015-12-22 09:17


    1 市政水处理行业自动化与信息化现状

    市政水处理行业自动化的内容和范围就净水厂和污水处理厂而言,涵盖了:生产过程自动化系统、过程控制仪表及在线水质监测仪表、全厂闭路电视监控安防系统、门禁、考勤与巡更系统、全厂网络布线及信息化系统等。网络结构由现场总线发展到多层次复杂结构的光纤环网,并通过无线通讯延伸至移动设备(如:吸泥行车、行走式刮泥机等)和厂外远端控制站,水源地、取水泵站、加压泵站、管网监测点、污水排放口收集水质流量监测、污水管网监测、污水中途提升泵站等。闭路电视监控逐步发展到了智能网络数字系统,从部分关键点的设置发展到几乎无死角的全面监控,自动化技术的应用在市政水处理行业已经日渐成熟。

    市政行业还包括城市防涝系统、市政道路交通、城市地下综合管廊等,自动化的应用在这几个方面还刚刚起步。雨水收集、初级雨水处理、雨水排的利用、雨水泵站等设施的监控,市政道路的监控与智能化交通管理,地下综合管廊的各项参数的监测与监控,自动化技术可以发挥的潜力巨大。

    随着自动化的发展,信息化的应用也大范围地展开,其中重要的一个环节就是监控中心以及分布在各个部分的人机界面,SCADA监控中心是自动化与信息化的交接点,作为数据中心服务器成为连接自动化系统和信息化管理网络系统的桥梁。下面就服务器操作系统的内核安全防护的作用,做一个初步的探讨。

    2 目前的安全措施

    目前工业控制领域安全原则主要是“安全分区、网络专用、横向隔离、纵向认证”。

    (1)安全分区

    安全分区一般指基于计算机及网络技术的业务系统,划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对工业控制系统的影响程度将生产控制大区划分为控制区及非控制区。

    (2)网络专用

    网络专用一般指调度系统与生产控制大区相连接的专用网络。

    (3)横向隔离

    横向隔离是工业控制领域业务系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署横向单项安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施,实现逻辑隔离。

    (4)纵向认证

    纵向加密认证是工业控制领域业务系统安全防护体系的纵向防线。生产控制大区与调度控制数据网的纵向连接处应当设置纵向加密认证装置,实现双向身份认证、数据加密和访问控制。

    一个市政水处理项目自动化控制及信息化系统典型配置结构为:控制网采用光纤工业以太网,各个现场下挂PLC控制站,中控室接中央监控服务器,SCADA监控组态软件采用服务器客户端结构,监控服务器内装组态软件服务器版,采用双网卡,两个以太网端口分别与工业网和中控室交换机相连。操作显示终端内装组态软件客户端,与中控室交换机相连,同时中控室交换机还连接一台工业数据库服务器。中控室交换机通过一台硬件防火墙与办公管理网相连,企业管理的数据库服务器的关系数据库,同步工业历史数据库的数据,提供给信息化管理系统。防火墙设置为仅允许这两台服务器之间的有限数据交换,以实现工业数据与管理交换且满足安全隔离的要求。

    也就是工业网与中控室操作之间以一对冗余的服务器相连,中控室SCADA中心通过防火墙与管理网相连,三个区域之间就此相连且被安全隔离。有一些远程的控制站,例如:取水泵站、加压泵站、管网监测点、污水中途提升泵站等,可以采用公网Vlan以及在两端配置安全加密模块,防止外部的恶意侵入。

    以上安全防护措施一定程度上保障了工业领域业务系统的安全运行,但近年来发生的事故说明,在关键业务系统上的服务器,正在运行着低安全等级操作系统,成为安全事故发生的根源。中控室两台互为冗余的监控服务器,既是SCADA数据中心,又是工控网与监控中心与其他人际界面的桥梁,这两台服务器的安全程度,既能影响工控网内所有PLC控制站的安全运行,也关系到实时数据的上传,和生产调度监控指令的及时准确下达,服务器上操作系统的安全至关重要,目前未能引起行业内各个环节的重视。

    3 操作系统的安全级别

    那么何为低安全等级操作系统? 按照美国TCSEC标准、国家GB20272-2006标准,目前使用的Windows、Linux、Unix操作系统都属于C2级别或第二等级,不能满足工业控制领域操作系统的安全要求。

    TCSEC标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC最初只是军用标准,后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别:D、C1、C2、B1、B2、B3、A。

    C2级别操作系统为什么不能满足工业控制领域关键业务系统的需求?首先,了解一下C2级别操作系统的主要缺陷。

    (1)C2操作系统拥有不受任何限制的超级用户,不论是非法获得系统管理员权限,还是运维人员的越权和误操作都是导致安全事故的最主要原因之一。

    (2)不具备安全审计,安全审计日志可作为事前预警和事后取证,没有安全审计机制的C2级别操作系统,即不能提前发现安全隐患,也难以在事故发生后找到责任人和事故原因。

    (3)C2级别操作系统不能防止已知和未知恶意代码的入侵,同时,对于非法接入的网络设备没有任何预警和抵御能力。

    4 操作系统的内核安全加固

    “安全分区、网络专用、横向隔离、纵向认证”的防护原则核心目的是保护关键业务系统的数据安全以及业务的稳定运行,然而如果不能解决C2级别操作系统的根源问题,其他任何安全措施就好比将城堡建在沙子上,根基出现问题,任何其他防范措施都不能解决根本问题。那么,对关键业务主机进行综合防护是目前工业领域安全防护的重点。综合防护是结合国家信息安全等级保护工作的相关要求,对工业控制领域关键业务系统从主机层面实现对操作系统安全等级提升、恶意代码防范、远程主机入侵防范、应用安全控制、安全审计等多个层面进行信息安全防护的过程。

    目前绝大部分的监控软件都是运行在一些主流的操作系统平台之上,而这些操作系统的安全级别较低,随着自动化与信息化在行业内所起的作用越来越显著且被更多的依赖,提升操作系统安全等级,避免事关民生的灾难性安全事故,便是我们目前的重要任务之一。

    操作系统安全等级提升是指采用专用软件强化操作系统的访问控制能力,提升后的操作系统应达到安全操作系统四级,此类专用软件应具备公安部四级安全操作系统测评认证。

    恶意代码防范应具备在操作系统内核层上实现对未知恶意代码攻击的抵御能力。其他情况防范措施还包括,应当及时更新特征代码,查看查杀记录;恶意代码更新文件的安装应当经过测试;应禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。

    远程主机入侵防范,生产控制大区服务器可以统一部署网络入侵检测系统,应当合理设置检测规则,检测发现隐藏于网络边界正常信息流中的非法连接及入侵行为,分析潜在威胁并进行安全审计。

    应用安全控制应当对用户登录、访问系统资源等操作进行身份鉴别及强制访问控制,防止核心命令远程恶意执行。

    安全审计生产控制大区的关键业务系统应当具备安全审计功能,能够对操作系统、数据库、业务应用的重要操作进行记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。

    在国内,电力系统已有较多的应用,市政水处理行业也会越来越多地面对这方面的安全需求,希望相关的部门和企业能够未雨绸缪。


作者简介

刘卫民,男,现任中国市政工程西南设计研究总院有限公司第十设计研究院总工程师。工业控制系统信息安全产业联盟委员,中国自动化学会会员,中国土木工程学会、水工业分会机电委员会委员,成都自动化研究会常务理事、专家咨询委员会副主任委员、《自动化信息》编委。1987年毕业于上海交通大学自动控制专业,工作后一直从事自动化专业工作,有设计、安装调试、软件开发、系统集成等工作经验,自动化专业技术方面在水处理行业内有一定的影响力。近年来,应邀在项目评审、学术交流、技术推广培训活动方面表现积极活跃。



热点新闻
推荐产品