水电厂LCU系统核心交换机安全基线检查的研究
2018-08-16
1 引言
水电厂现地控制单元(LCU)是直接与生产过程进行信息交互的I/O处理系统,它的主要任务是进行数据采集及处理,对被控对象实施闭环反馈控制、顺序控制和批量控制。用户可以根据不同的应用需求,选择配置不同的LCU构成现场控制站,水电厂LCU系统主要包括机组LCU、弧门LCU、公共系统LCU、开关站LCU等,分别对被控对象的运行工况进行实时监视和控制,是水电站计算机监控系统的底层控制部分。
LCU系统核心交换机负责水电厂监控系统内部数据的交换处理,是水电厂生产的重要组成部分。水电厂LCU核心交换机一般采用工业交换机,目前主流工业交换机品牌有德国赫斯曼(已被美国百通公司收购)、加拿大罗杰康(已被西门子收购)、德国西门子、美国子午线、美国格雷特、美国恩创等厂家,国产品牌有台湾研华、台湾MOXA、北京东土、武汉迈威等厂家。LCU系统内部数据传输建立在以交换机为核心的局域网络之上,核心交换机的数据传输安全直接关系到水电厂安全生产的进行,由此可见,对LCU系统核心交换机安全基线进行深入研究,并建立一套安全基线标准尤为重要。
2 安全基线的概念
安全基线(Secruity Baseline)是保持网络系统在机密性、完整性和可靠性需求上的最小安全控制,即该系统最基本需要满足的安全要求,构造系统安全基线是系统安全工程的首要步骤 , 同时也是进行安全评估、发现和解决业务系统安全问题的先决条件。因此通过确保组织满足安全基线的要求,也就能确认组织的正常运行得到了最低程度的安全保证,安全的重要性是不言而喻的。
安全基线的概念自上世纪40年代在美国萌芽,逐步发展到今天。目前我国制定的关于信息安全的相关法律法规不在少数,但依然存在一定的问题,比如:制定部门多,内容分散,内容可能相互抵触等问题。我国的安全基线主要是等级保护(第一级到第五级)和分级保护(秘密、机密和绝密),具体落实和操作由GB/T和BMB打头的相关标准来实现。等级保护的主要文件是:《信息安全技术信息系统安全等级保护基本要求》和《信息安全技术信息系统安全保护等级定级指南》,分级保护的文件主要是:BMB17《设计国家秘密的信息系统分级保护技术要求》和BMB20《涉及国家秘密的信息系统分级保护管理规范》。
2.1 安全基线模型的建立与优化
现在在大多数工业企业的业务系统中,LCU系统核心交换机在配置中存在众多配置漏洞,如:弱口令、开放无用服务端口、未升级补丁等,可以利用这些漏洞进行攻击活动,因此这些配置漏洞有很大的安全隐患。
安全基线模型以业务系统为核心,分为业务系统层、功能架构层、系统实现层三层机构,如图1所示。
图1 安全基线层次模型
第一层是业务系统层,这一层主要是根据不同业务系统的特性,定义不同安全防护的要求,是一个比较宏观的要求。对应基于LCU系统的风险管理系统。
第二层是功能架构层,将业务系统分解为相对应的操作系统、应用系统、数据库、防火墙、路由器、交换机等不同的设备和系统类型,这些设备类型针对LCU业务层定义的安全防护要求细化为此层不同模型应该具备的要求。即在技术手段上实现脆弱性、安全策略以及重要信息的监控和审计。
第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,找到基准安全配置项和重要策略文件等,即建立安全基线弱点配置库。
建立一套安全基线检查系统能对IT基础设施的安全配置进行高效、快速核查,并计算与安全基线的符合情况,作为一个辅助进行系统准入、日常安全检查的自动化、有效的系统,能极大减少人工进行系统准入、日常安全检查的工作量,避免了人为因素,保证检查结构的公正性。
2.2 LCU核心交换机安全基线的种类
LCU核心交换机安全基线的种类可以从管理和技术上分为两类。
管理类包括:账号管理、口令管理、认证管理、日志审计管理、协议安全管理、日常行为管理、端口安全管理等。
技术类包括:安全操作管理与配置、安全接入控制管理与配置、操作系统管理与配置等。
2.3 LCU核心交换机安全基线配置检查
LCU系统核心交换机是组成水电厂监控系统的基础元素,因此在管理和运行过程中完全有必要对其进行安全基线审查。当制定出安全基线,我们就可以自查交换机配置参数是否符合要求,符合什么级别的等级保护。比如设备的加密密码配置,从安全角度考虑:加密密码配置越复杂越长则越安全;从使用角度考虑:每天可能多次输入此复杂密码是非常麻烦的事情,因此实际制定安全基线的时候一定要符合实际情况。
2.3.1 设备管理
(1)远程管理服务
在交换机管理过程中,一定会出现对设备进行远程维护的情况,一般用户会选择telnet进行远程操作,但是telnet的致命缺陷是不加密,容易在网络中被嗅探出用户密码和用户名,给网络设备带来巨大的安全隐患。因此如果网络设备支持,一定要对设备配置ssh等加密协议进行远程管理,禁用telnet服务管理交换机设备,提高设备管理安全性,最好是结合访问控制列表(ACL)进行安全配置。
(2)管理 IP
网络管理设备的管理IP应该结合ACL指定给某些人或某些网络管理,基线审查强制按此要求设置。
(3)认证方式
对登录设备的用户启用3A认证,至少应该配置登录验证为l o c a l本地认证。如果有认证服务器(Raidus) 等,应该与相关认证服务器联动,增强安全性,基线检查需根据实际情况设置。
(4)认证系统联动
如果有Raidus服务器,对网络设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求,增加对管理等用户的认证。
(5)用户账号与口令安全
交换机设备参数配置完毕,通常可以用相关查看命令看到配置文本,保障管理安全,应对相关管理密码进行加密配置,用户登录空闲超过规定时间应强制下线,基线审查强制按此要求设置。
(6)端口安全
网络设备的端口有管理端口Console口及其他应用端口,管理端口的配置(如AUX口)应配置加密措施,并强制认证,关闭不需要使用的端口。基线审查强制按此要求设置。
2.3.2 访问控制
应在网络边界部署访问控制设备,启用访问控制功能,应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3及工业常用协议做到命令级的控制。应在会话处于非活跃一定时间或会话结束后终止网络连接,应限制网络最大流量数及网络连接数,重要网段应采取技术手段防止地址欺骗,应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
2.3.3 日志审计
日志是记录网络设备运行情况的数据,在出现安全事故的情况,管理员可以根据日志对事故进行追踪。在交换机日志审计配置中,应对交换机设备运行状况、网络流量、用户行为等进行日志记录,审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;应能够根据记录数据进行分析,并生成审计报表,应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。因此在设备支持的情况一定要对日志数据进行安全保护,采用SNMP 协议传输到日志服务器,使用日志服务器对日志进行存储和保护。审计则是记录重要的操作,在设备支持审计功能的情况也同样要开启此功能。
2.3.4 网络架构安全防护
交换机设备使用中,应对设备配置参数进行调整,对可能造成信息泄露的配置应进行修改,如:login banner,该信息可能会透露系统的版本或IP而被黑客所利用。开启NTP服务,提供标准统一的时钟。对启用动态 IGP(RIPV2、OSPF、ISIS等)或EGP(BGP)协议时,启用路由协议认证功能,如MD5加密,确保交换机之间在交换路由信息的时候是安全的。对常见病毒端口进行封堵,重要的服务器进行IP和MAC地址捆绑。基线审查强制按此要求设置。
2.3.5 服务优化
众所周知,网络设备的服务开启越多,占用系统资源越多,对设备自身的稳定性也造成影响,为保证交换机工作运行的稳定和高效,一定要停止不必要的服务,如:源路由、http、https、CDP、ARP-Proxy和FTP等,当网络设备开启了一些不必要的服务,可能会因为这些服务本身的漏洞给设备带来安全隐患。
2.3.6 备份与恢复
为确保交换机本地数据备份与恢复功能运行正常,在进行配置策略更改后完全备份一次,并保存原来版本配置策略,备份介质场外存放,利用通信网络将关键数据定时批量传送至备用场地。若交换机网络结构采用冗余技术设计网络拓扑结构,要确保避免关键节点存在单点故障,在工作现场,应提供主要网络设备、通信线路和数据处理系统的硬件冗余、保证系统的高可用性。
3 结语
LCU工业以太网交换机作为水电厂的保护、自动化系统的核心设备,其自身安全性与稳定性决定水电厂的安全运行,一旦出现问题,很可能会造成全厂外供中断等重大安全事故。交换机安全基线需要受到进一步重视,安全基线在制定的时候一定要研制执行国家相关标准和企业规章制度,参考国外相关最佳实践,确定好每一个核查项,这样可以为水电厂运维人员在检查网络设备的时候建立一个有效框架,实现设备运检全过程的合规。