1　引言

　　水電廠(chǎng)現(xiàn)地控制單元（LCU）是直接與生產(chǎn)過(guò)程進(jìn)行信息交互的I/O處理系統(tǒng),，它的主要任務(wù)是進(jìn)行數(shù)據(jù)采集及處理，對(duì)被控對(duì)象實(shí)施閉環(huán)反饋控制,、順序控制和批量控制,。用戶(hù)可以根據(jù)不同的應(yīng)用需求，選擇配置不同的LCU構(gòu)成現(xiàn)場(chǎng)控制站,，水電廠(chǎng)LCU系統(tǒng)主要包括機(jī)組LCU,、弧門(mén)LCU、公共系統(tǒng)LCU,、開(kāi)關(guān)站LCU等,，分別對(duì)被控對(duì)象的運(yùn)行工況進(jìn)行實(shí)時(shí)監(jiān)視和控制,，是水電站計(jì)算機(jī)監(jiān)控系統(tǒng)的底層控制部分。

　　LCU系統(tǒng)核心交換機(jī)負(fù)責(zé)水電廠(chǎng)監(jiān)控系統(tǒng)內(nèi)部數(shù)據(jù)的交換處理,，是水電廠(chǎng)生產(chǎn)的重要組成部分,。水電廠(chǎng)LCU核心交換機(jī)一般采用工業(yè)交換機(jī)，目前主流工業(yè)交換機(jī)品牌有德國(guó)赫斯曼（已被美國(guó)百通公司收購(gòu)）,、加拿大羅杰康（已被西門(mén)子收購(gòu)）,、德國(guó)西門(mén)子、美國(guó)子午線(xiàn),、美國(guó)格雷特,、美國(guó)恩創(chuàng)等廠(chǎng)家，國(guó)產(chǎn)品牌有臺(tái)灣研華,、臺(tái)灣MOXA、北京東土,、武漢邁威等廠(chǎng)家,。LCU系統(tǒng)內(nèi)部數(shù)據(jù)傳輸建立在以交換機(jī)為核心的局域網(wǎng)絡(luò)之上，核心交換機(jī)的數(shù)據(jù)傳輸安全直接關(guān)系到水電廠(chǎng)安全生產(chǎn)的進(jìn)行,，由此可見(jiàn),，對(duì)LCU系統(tǒng)核心交換機(jī)安全基線(xiàn)進(jìn)行深入研究，并建立一套安全基線(xiàn)標(biāo)準(zhǔn)尤為重要,。

　　2　安全基線(xiàn)的概念

　　安全基線(xiàn)（Secruity Baseline）是保持網(wǎng)絡(luò)系統(tǒng)在機(jī)密性,、完整性和可靠性需求上的最小安全控制，即該系統(tǒng)最基本需要滿(mǎn)足的安全要求,，構(gòu)造系統(tǒng)安全基線(xiàn)是系統(tǒng)安全工程的首要步驟 , 同時(shí)也是進(jìn)行安全評(píng)估,、發(fā)現(xiàn)和解決業(yè)務(wù)系統(tǒng)安全問(wèn)題的先決條件。因此通過(guò)確保組織滿(mǎn)足安全基線(xiàn)的要求,，也就能確認(rèn)組織的正常運(yùn)行得到了最低程度的安全保證,，安全的重要性是不言而喻的。

　　安全基線(xiàn)的概念自上世紀(jì)40年代在美國(guó)萌芽,，逐步發(fā)展到今天,。目前我國(guó)制定的關(guān)于信息安全的相關(guān)法律法規(guī)不在少數(shù)，但依然存在一定的問(wèn)題,，比如：制定部門(mén)多,，內(nèi)容分散，內(nèi)容可能相互抵觸等問(wèn)題,。我國(guó)的安全基線(xiàn)主要是等級(jí)保護(hù)（第一級(jí)到第五級(jí)）和分級(jí)保護(hù)（秘密,、機(jī)密和絕密），具體落實(shí)和操作由GB/T和BMB打頭的相關(guān)標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn),。等級(jí)保護(hù)的主要文件是：《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》,，分級(jí)保護(hù)的文件主要是：BMB17《設(shè)計(jì)國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和BMB20《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》,。

　　2.1　安全基線(xiàn)模型的建立與優(yōu)化

　　現(xiàn)在在大多數(shù)工業(yè)企業(yè)的業(yè)務(wù)系統(tǒng)中，LCU系統(tǒng)核心交換機(jī)在配置中存在眾多配置漏洞,，如：弱口令,、開(kāi)放無(wú)用服務(wù)端口、未升級(jí)補(bǔ)丁等,，可以利用這些漏洞進(jìn)行攻擊活動(dòng),，因此這些配置漏洞有很大的安全隱患。

　　安全基線(xiàn)模型以業(yè)務(wù)系統(tǒng)為核心,，分為業(yè)務(wù)系統(tǒng)層,、功能架構(gòu)層、系統(tǒng)實(shí)現(xiàn)層三層機(jī)構(gòu),，如圖1所示,。

　　圖1 安全基線(xiàn)層次模型

　　第一層是業(yè)務(wù)系統(tǒng)層，這一層主要是根據(jù)不同業(yè)務(wù)系統(tǒng)的特性,，定義不同安全防護(hù)的要求,，是一個(gè)比較宏觀(guān)的要求。對(duì)應(yīng)基于LCU系統(tǒng)的風(fēng)險(xiǎn)管理系統(tǒng),。

　　第二層是功能架構(gòu)層,，將業(yè)務(wù)系統(tǒng)分解為相對(duì)應(yīng)的操作系統(tǒng)、應(yīng)用系統(tǒng),、數(shù)據(jù)庫(kù),、防火墻、路由器,、交換機(jī)等不同的設(shè)備和系統(tǒng)類(lèi)型,，這些設(shè)備類(lèi)型針對(duì)LCU業(yè)務(wù)層定義的安全防護(hù)要求細(xì)化為此層不同模型應(yīng)該具備的要求。即在技術(shù)手段上實(shí)現(xiàn)脆弱性,、安全策略以及重要信息的監(jiān)控和審計(jì),。

　　第三層是系統(tǒng)實(shí)現(xiàn)層，將第二層模塊根據(jù)業(yè)務(wù)系統(tǒng)的特性進(jìn)一步分解,，找到基準(zhǔn)安全配置項(xiàng)和重要策略文件等,，即建立安全基線(xiàn)弱點(diǎn)配置庫(kù)。

　　建立一套安全基線(xiàn)檢查系統(tǒng)能對(duì)IT基礎(chǔ)設(shè)施的安全配置進(jìn)行高效,、快速核查,，并計(jì)算與安全基線(xiàn)的符合情況，作為一個(gè)輔助進(jìn)行系統(tǒng)準(zhǔn)入,、日常安全檢查的自動(dòng)化,、有效的系統(tǒng)，能極大減少人工進(jìn)行系統(tǒng)準(zhǔn)入、日常安全檢查的工作量,，避免了人為因素,，保證檢查結(jié)構(gòu)的公正性。

　　2.2　LCU核心交換機(jī)安全基線(xiàn)的種類(lèi)

　　LCU核心交換機(jī)安全基線(xiàn)的種類(lèi)可以從管理和技術(shù)上分為兩類(lèi),。

　　管理類(lèi)包括：賬號(hào)管理,、口令管理、認(rèn)證管理,、日志審計(jì)管理,、協(xié)議安全管理、日常行為管理,、端口安全管理等,。

　　技術(shù)類(lèi)包括：安全操作管理與配置、安全接入控制管理與配置,、操作系統(tǒng)管理與配置等,。

　　2.3　LCU核心交換機(jī)安全基線(xiàn)配置檢查

　　LCU系統(tǒng)核心交換機(jī)是組成水電廠(chǎng)監(jiān)控系統(tǒng)的基礎(chǔ)元素，因此在管理和運(yùn)行過(guò)程中完全有必要對(duì)其進(jìn)行安全基線(xiàn)審查,。當(dāng)制定出安全基線(xiàn),，我們就可以自查交換機(jī)配置參數(shù)是否符合要求，符合什么級(jí)別的等級(jí)保護(hù),。比如設(shè)備的加密密碼配置，從安全角度考慮：加密密碼配置越復(fù)雜越長(zhǎng)則越安全,；從使用角度考慮：每天可能多次輸入此復(fù)雜密碼是非常麻煩的事情,，因此實(shí)際制定安全基線(xiàn)的時(shí)候一定要符合實(shí)際情況。

　　2.3.1　設(shè)備管理

　?。?）遠(yuǎn)程管理服務(wù)

　　在交換機(jī)管理過(guò)程中,，一定會(huì)出現(xiàn)對(duì)設(shè)備進(jìn)行遠(yuǎn)程維護(hù)的情況，一般用戶(hù)會(huì)選擇telnet進(jìn)行遠(yuǎn)程操作,，但是telnet的致命缺陷是不加密,，容易在網(wǎng)絡(luò)中被嗅探出用戶(hù)密碼和用戶(hù)名，給網(wǎng)絡(luò)設(shè)備帶來(lái)巨大的安全隱患,。因此如果網(wǎng)絡(luò)設(shè)備支持,，一定要對(duì)設(shè)備配置ssh等加密協(xié)議進(jìn)行遠(yuǎn)程管理，禁用telnet服務(wù)管理交換機(jī)設(shè)備,，提高設(shè)備管理安全性,，最好是結(jié)合訪(fǎng)問(wèn)控制列表（ACL）進(jìn)行安全配置。

　?。?）管理 IP

　　網(wǎng)絡(luò)管理設(shè)備的管理IP應(yīng)該結(jié)合ACL指定給某些人或某些網(wǎng)絡(luò)管理,，基線(xiàn)審查強(qiáng)制按此要求設(shè)置。

　　（3）認(rèn)證方式

　　對(duì)登錄設(shè)備的用戶(hù)啟用3A認(rèn)證,，至少應(yīng)該配置登錄驗(yàn)證為l o c a l本地認(rèn)證,。如果有認(rèn)證服務(wù)器（Raidus） 等，應(yīng)該與相關(guān)認(rèn)證服務(wù)器聯(lián)動(dòng),，增強(qiáng)安全性,，基線(xiàn)檢查需根據(jù)實(shí)際情況設(shè)置。

　?。?）認(rèn)證系統(tǒng)聯(lián)動(dòng)

　　如果有Raidus服務(wù)器,，對(duì)網(wǎng)絡(luò)設(shè)備通過(guò)相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動(dòng),，滿(mǎn)足帳號(hào),、口令和授權(quán)的強(qiáng)制要求，增加對(duì)管理等用戶(hù)的認(rèn)證,。

　?。?）用戶(hù)賬號(hào)與口令安全

　　交換機(jī)設(shè)備參數(shù)配置完畢，通?？梢杂孟嚓P(guān)查看命令看到配置文本,，保障管理安全，應(yīng)對(duì)相關(guān)管理密碼進(jìn)行加密配置,，用戶(hù)登錄空閑超過(guò)規(guī)定時(shí)間應(yīng)強(qiáng)制下線(xiàn),，基線(xiàn)審查強(qiáng)制按此要求設(shè)置。

　?。?）端口安全

　　網(wǎng)絡(luò)設(shè)備的端口有管理端口Console口及其他應(yīng)用端口,，管理端口的配置（如AUX口）應(yīng)配置加密措施，并強(qiáng)制認(rèn)證,，關(guān)閉不需要使用的端口,。基線(xiàn)審查強(qiáng)制按此要求設(shè)置,。

　　2.3.2　訪(fǎng)問(wèn)控制

　　應(yīng)在網(wǎng)絡(luò)邊界部署訪(fǎng)問(wèn)控制設(shè)備,，啟用訪(fǎng)問(wèn)控制功能，應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力,，控制粒度為端口級(jí),。應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾,，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP,、FTP、TELNET、SMTP,、POP3及工業(yè)常用協(xié)議做到命令級(jí)的控制,。應(yīng)在會(huì)話(huà)處于非活躍一定時(shí)間或會(huì)話(huà)結(jié)束后終止網(wǎng)絡(luò)連接，應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù),，重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙,，應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪(fǎng)問(wèn)規(guī)則，決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪(fǎng)問(wèn),，控制粒度為單個(gè)用戶(hù)。

　　2.3.3　日志審計(jì)

　　日志是記錄網(wǎng)絡(luò)設(shè)備運(yùn)行情況的數(shù)據(jù),，在出現(xiàn)安全事故的情況,，管理員可以根據(jù)日志對(duì)事故進(jìn)行追蹤,。在交換機(jī)日志審計(jì)配置中,，應(yīng)對(duì)交換機(jī)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量,、用戶(hù)行為等進(jìn)行日志記錄，審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間,、用戶(hù),、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息,；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,，并生成審計(jì)報(bào)表，應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除,、修改或覆蓋等。因此在設(shè)備支持的情況一定要對(duì)日志數(shù)據(jù)進(jìn)行安全保護(hù),，采用SNMP 協(xié)議傳輸?shù)饺罩痉?wù)器，使用日志服務(wù)器對(duì)日志進(jìn)行存儲(chǔ)和保護(hù),。審計(jì)則是記錄重要的操作，在設(shè)備支持審計(jì)功能的情況也同樣要開(kāi)啟此功能,。

　　2.3.4　網(wǎng)絡(luò)架構(gòu)安全防護(hù)

　　交換機(jī)設(shè)備使用中,，應(yīng)對(duì)設(shè)備配置參數(shù)進(jìn)行調(diào)整,，對(duì)可能造成信息泄露的配置應(yīng)進(jìn)行修改,，如：login banner，該信息可能會(huì)透露系統(tǒng)的版本或IP而被黑客所利用,。開(kāi)啟NTP服務(wù),，提供標(biāo)準(zhǔn)統(tǒng)一的時(shí)鐘,。對(duì)啟用動(dòng)態(tài) IGP（RIPV2,、OSPF,、ISIS等）或EGP（BGP）協(xié)議時(shí),，啟用路由協(xié)議認(rèn)證功能,，如MD5加密,，確保交換機(jī)之間在交換路由信息的時(shí)候是安全的。對(duì)常見(jiàn)病毒端口進(jìn)行封堵,，重要的服務(wù)器進(jìn)行IP和MAC地址捆綁?；€(xiàn)審查強(qiáng)制按此要求設(shè)置,。

　　2.3.5　服務(wù)優(yōu)化

　　眾所周知，網(wǎng)絡(luò)設(shè)備的服務(wù)開(kāi)啟越多,，占用系統(tǒng)資源越多,，對(duì)設(shè)備自身的穩(wěn)定性也造成影響,，為保證交換機(jī)工作運(yùn)行的穩(wěn)定和高效，一定要停止不必要的服務(wù),，如：源路由,、http,、https,、CDP,、ARP-Proxy和FTP等,，當(dāng)網(wǎng)絡(luò)設(shè)備開(kāi)啟了一些不必要的服務(wù)，可能會(huì)因?yàn)檫@些服務(wù)本身的漏洞給設(shè)備帶來(lái)安全隱患,。

　　2.3.6　備份與恢復(fù)

　　為確保交換機(jī)本地?cái)?shù)據(jù)備份與恢復(fù)功能運(yùn)行正常，在進(jìn)行配置策略更改后完全備份一次,，并保存原來(lái)版本配置策略,，備份介質(zhì)場(chǎng)外存放，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地,。若交換機(jī)網(wǎng)絡(luò)結(jié)構(gòu)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),，要確保避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障,，在工作現(xiàn)場(chǎng)，應(yīng)提供主要網(wǎng)絡(luò)設(shè)備,、通信線(xiàn)路和數(shù)據(jù)處理系統(tǒng)的硬件冗余、保證系統(tǒng)的高可用性,。

　　3　結(jié)語(yǔ)

　　LCU工業(yè)以太網(wǎng)交換機(jī)作為水電廠(chǎng)的保護(hù),、自動(dòng)化系統(tǒng)的核心設(shè)備，其自身安全性與穩(wěn)定性決定水電廠(chǎng)的安全運(yùn)行,，一旦出現(xiàn)問(wèn)題，很可能會(huì)造成全廠(chǎng)外供中斷等重大安全事故,。交換機(jī)安全基線(xiàn)需要受到進(jìn)一步重視,，安全基線(xiàn)在制定的時(shí)候一定要研制執(zhí)行國(guó)家相關(guān)標(biāo)準(zhǔn)和企業(yè)規(guī)章制度，參考國(guó)外相關(guān)最佳實(shí)踐,，確定好每一個(gè)核查項(xiàng)，這樣可以為水電廠(chǎng)運(yùn)維人員在檢查網(wǎng)絡(luò)設(shè)備的時(shí)候建立一個(gè)有效框架,，實(shí)現(xiàn)設(shè)備運(yùn)檢全過(guò)程的合規(guī)。