今日頭條
官方微信
官方抖音
資訊頻道1 市政水處理行業(yè)自動(dòng)化與信息化現(xiàn)狀
市政水處理行業(yè)自動(dòng)化的內(nèi)容和范圍就凈水廠和污水處理廠而言,涵蓋了:生產(chǎn)過程自動(dòng)化系統(tǒng)、過程控制儀表及在線水質(zhì)監(jiān)測(cè)儀表、全廠閉路電視監(jiān)控安防系統(tǒng)、門禁、考勤與巡更系統(tǒng)、全廠網(wǎng)絡(luò)布線及信息化系統(tǒng)等。網(wǎng)絡(luò)結(jié)構(gòu)由現(xiàn)場(chǎng)總線發(fā)展到多層次復(fù)雜結(jié)構(gòu)的光纖環(huán)網(wǎng),并通過無(wú)線通訊延伸至移動(dòng)設(shè)備(如:吸泥行車、行走式刮泥機(jī)等)和廠外遠(yuǎn)端控制站,水源地、取水泵站、加壓泵站、管網(wǎng)監(jiān)測(cè)點(diǎn)、污水排放口收集水質(zhì)流量監(jiān)測(cè)、污水管網(wǎng)監(jiān)測(cè)、污水中途提升泵站等。閉路電視監(jiān)控逐步發(fā)展到了智能網(wǎng)絡(luò)數(shù)字系統(tǒng),從部分關(guān)鍵點(diǎn)的設(shè)置發(fā)展到幾乎無(wú)死角的全面監(jiān)控,自動(dòng)化技術(shù)的應(yīng)用在市政水處理行業(yè)已經(jīng)日漸成熟。
市政行業(yè)還包括城市防澇系統(tǒng)、市政道路交通、城市地下綜合管廊等,自動(dòng)化的應(yīng)用在這幾個(gè)方面還剛剛起步。雨水收集、初級(jí)雨水處理、雨水排的利用、雨水泵站等設(shè)施的監(jiān)控,市政道路的監(jiān)控與智能化交通管理,地下綜合管廊的各項(xiàng)參數(shù)的監(jiān)測(cè)與監(jiān)控,自動(dòng)化技術(shù)可以發(fā)揮的潛力巨大。
隨著自動(dòng)化的發(fā)展,信息化的應(yīng)用也大范圍地展開,其中重要的一個(gè)環(huán)節(jié)就是監(jiān)控中心以及分布在各個(gè)部分的人機(jī)界面,SCADA監(jiān)控中心是自動(dòng)化與信息化的交接點(diǎn),作為數(shù)據(jù)中心服務(wù)器成為連接自動(dòng)化系統(tǒng)和信息化管理網(wǎng)絡(luò)系統(tǒng)的橋梁。下面就服務(wù)器操作系統(tǒng)的內(nèi)核安全防護(hù)的作用,做一個(gè)初步的探討。
2 目前的安全措施
目前工業(yè)控制領(lǐng)域安全原則主要是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。
(1)安全分區(qū)
安全分區(qū)一般指基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū),并根據(jù)業(yè)務(wù)系統(tǒng)的重要性和對(duì)工業(yè)控制系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)及非控制區(qū)。
(2)網(wǎng)絡(luò)專用
網(wǎng)絡(luò)專用一般指調(diào)度系統(tǒng)與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò)。
(3)橫向隔離
橫向隔離是工業(yè)控制領(lǐng)域業(yè)務(wù)系統(tǒng)安全防護(hù)體系的橫向防線。應(yīng)當(dāng)采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū),在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署橫向單項(xiàng)安全隔離裝置,隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻或者相當(dāng)功能的設(shè)施,實(shí)現(xiàn)邏輯隔離。
(4)縱向認(rèn)證
縱向加密認(rèn)證是工業(yè)控制領(lǐng)域業(yè)務(wù)系統(tǒng)安全防護(hù)體系的縱向防線。生產(chǎn)控制大區(qū)與調(diào)度控制數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置縱向加密認(rèn)證裝置,實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。
一個(gè)市政水處理項(xiàng)目自動(dòng)化控制及信息化系統(tǒng)典型配置結(jié)構(gòu)為:控制網(wǎng)采用光纖工業(yè)以太網(wǎng),各個(gè)現(xiàn)場(chǎng)下掛PLC控制站,中控室接中央監(jiān)控服務(wù)器,SCADA監(jiān)控組態(tài)軟件采用服務(wù)器客戶端結(jié)構(gòu),監(jiān)控服務(wù)器內(nèi)裝組態(tài)軟件服務(wù)器版,采用雙網(wǎng)卡,兩個(gè)以太網(wǎng)端口分別與工業(yè)網(wǎng)和中控室交換機(jī)相連。操作顯示終端內(nèi)裝組態(tài)軟件客戶端,與中控室交換機(jī)相連,同時(shí)中控室交換機(jī)還連接一臺(tái)工業(yè)數(shù)據(jù)庫(kù)服務(wù)器。中控室交換機(jī)通過一臺(tái)硬件防火墻與辦公管理網(wǎng)相連,企業(yè)管理的數(shù)據(jù)庫(kù)服務(wù)器的關(guān)系數(shù)據(jù)庫(kù),同步工業(yè)歷史數(shù)據(jù)庫(kù)的數(shù)據(jù),提供給信息化管理系統(tǒng)。防火墻設(shè)置為僅允許這兩臺(tái)服務(wù)器之間的有限數(shù)據(jù)交換,以實(shí)現(xiàn)工業(yè)數(shù)據(jù)與管理交換且滿足安全隔離的要求。
也就是工業(yè)網(wǎng)與中控室操作之間以一對(duì)冗余的服務(wù)器相連,中控室SCADA中心通過防火墻與管理網(wǎng)相連,三個(gè)區(qū)域之間就此相連且被安全隔離。有一些遠(yuǎn)程的控制站,例如:取水泵站、加壓泵站、管網(wǎng)監(jiān)測(cè)點(diǎn)、污水中途提升泵站等,可以采用公網(wǎng)Vlan以及在兩端配置安全加密模塊,防止外部的惡意侵入。
以上安全防護(hù)措施一定程度上保障了工業(yè)領(lǐng)域業(yè)務(wù)系統(tǒng)的安全運(yùn)行,但近年來(lái)發(fā)生的事故說(shuō)明,在關(guān)鍵業(yè)務(wù)系統(tǒng)上的服務(wù)器,正在運(yùn)行著低安全等級(jí)操作系統(tǒng),成為安全事故發(fā)生的根源。中控室兩臺(tái)互為冗余的監(jiān)控服務(wù)器,既是SCADA數(shù)據(jù)中心,又是工控網(wǎng)與監(jiān)控中心與其他人際界面的橋梁,這兩臺(tái)服務(wù)器的安全程度,既能影響工控網(wǎng)內(nèi)所有PLC控制站的安全運(yùn)行,也關(guān)系到實(shí)時(shí)數(shù)據(jù)的上傳,和生產(chǎn)調(diào)度監(jiān)控指令的及時(shí)準(zhǔn)確下達(dá),服務(wù)器上操作系統(tǒng)的安全至關(guān)重要,目前未能引起行業(yè)內(nèi)各個(gè)環(huán)節(jié)的重視。
3 操作系統(tǒng)的安全級(jí)別
那么何為低安全等級(jí)操作系統(tǒng)?按照美國(guó)TCSEC標(biāo)準(zhǔn)、國(guó)家GB20272-2006標(biāo)準(zhǔn),目前使用的Windows、Linux、Unix操作系統(tǒng)都屬于C2級(jí)別或第二等級(jí),不能滿足工業(yè)控制領(lǐng)域操作系統(tǒng)的安全要求。
TCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn),具有劃時(shí)代的意義。該準(zhǔn)則于1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出,并于1985年12月由美國(guó)國(guó)防部公布。TCSEC最初只是軍用標(biāo)準(zhǔn),后來(lái)延至民用領(lǐng)域。TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別:D、C1、C2、B1、B2、B3、A。
C2級(jí)別操作系統(tǒng)為什么不能滿足工業(yè)控制領(lǐng)域關(guān)鍵業(yè)務(wù)系統(tǒng)的需求?首先,了解一下C2級(jí)別操作系統(tǒng)的主要缺陷。
(1)C2操作系統(tǒng)擁有不受任何限制的超級(jí)用戶,不論是非法獲得系統(tǒng)管理員權(quán)限,還是運(yùn)維人員的越權(quán)和誤操作都是導(dǎo)致安全事故的最主要原因之一。
(2)不具備安全審計(jì),安全審計(jì)日志可作為事前預(yù)警和事后取證,沒有安全審計(jì)機(jī)制的C2級(jí)別操作系統(tǒng),即不能提前發(fā)現(xiàn)安全隱患,也難以在事故發(fā)生后找到責(zé)任人和事故原因。
(3)C2級(jí)別操作系統(tǒng)不能防止已知和未知惡意代碼的入侵,同時(shí),對(duì)于非法接入的網(wǎng)絡(luò)設(shè)備沒有任何預(yù)警和抵御能力。
4 操作系統(tǒng)的內(nèi)核安全加固
“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的防護(hù)原則核心目的是保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全以及業(yè)務(wù)的穩(wěn)定運(yùn)行,然而如果不能解決C2級(jí)別操作系統(tǒng)的根源問題,其他任何安全措施就好比將城堡建在沙子上,根基出現(xiàn)問題,任何其他防范措施都不能解決根本問題。那么,對(duì)關(guān)鍵業(yè)務(wù)主機(jī)進(jìn)行綜合防護(hù)是目前工業(yè)領(lǐng)域安全防護(hù)的重點(diǎn)。綜合防護(hù)是結(jié)合國(guó)家信息安全等級(jí)保護(hù)工作的相關(guān)要求,對(duì)工業(yè)控制領(lǐng)域關(guān)鍵業(yè)務(wù)系統(tǒng)從主機(jī)層面實(shí)現(xiàn)對(duì)操作系統(tǒng)安全等級(jí)提升、惡意代碼防范、遠(yuǎn)程主機(jī)入侵防范、應(yīng)用安全控制、安全審計(jì)等多個(gè)層面進(jìn)行信息安全防護(hù)的過程。
目前絕大部分的監(jiān)控軟件都是運(yùn)行在一些主流的操作系統(tǒng)平臺(tái)之上,而這些操作系統(tǒng)的安全級(jí)別較低,隨著自動(dòng)化與信息化在行業(yè)內(nèi)所起的作用越來(lái)越顯著且被更多的依賴,提升操作系統(tǒng)安全等級(jí),避免事關(guān)民生的災(zāi)難性安全事故,便是我們目前的重要任務(wù)之一。
操作系統(tǒng)安全等級(jí)提升是指采用專用軟件強(qiáng)化操作系統(tǒng)的訪問控制能力,提升后的操作系統(tǒng)應(yīng)達(dá)到安全操作系統(tǒng)四級(jí),此類專用軟件應(yīng)具備公安部四級(jí)安全操作系統(tǒng)測(cè)評(píng)認(rèn)證。
惡意代碼防范應(yīng)具備在操作系統(tǒng)內(nèi)核層上實(shí)現(xiàn)對(duì)未知惡意代碼攻擊的抵御能力。其他情況防范措施還包括,應(yīng)當(dāng)及時(shí)更新特征代碼,查看查殺記錄;惡意代碼更新文件的安裝應(yīng)當(dāng)經(jīng)過測(cè)試;應(yīng)禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套防惡意代碼管理服務(wù)器。
遠(yuǎn)程主機(jī)入侵防范,生產(chǎn)控制大區(qū)服務(wù)器可以統(tǒng)一部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),應(yīng)當(dāng)合理設(shè)置檢測(cè)規(guī)則,檢測(cè)發(fā)現(xiàn)隱藏于網(wǎng)絡(luò)邊界正常信息流中的非法連接及入侵行為,分析潛在威脅并進(jìn)行安全審計(jì)。
應(yīng)用安全控制應(yīng)當(dāng)對(duì)用戶登錄、訪問系統(tǒng)資源等操作進(jìn)行身份鑒別及強(qiáng)制訪問控制,防止核心命令遠(yuǎn)程惡意執(zhí)行。
安全審計(jì)生產(chǎn)控制大區(qū)的關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能,能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析,及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對(duì)于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為,應(yīng)該進(jìn)行嚴(yán)格的安全審計(jì)。
在國(guó)內(nèi),電力系統(tǒng)已有較多的應(yīng)用,市政水處理行業(yè)也會(huì)越來(lái)越多地面對(duì)這方面的安全需求,希望相關(guān)的部門和企業(yè)能夠未雨綢繆。
作者簡(jiǎn)介
劉衛(wèi)民,男,現(xiàn)任中國(guó)市政工程西南設(shè)計(jì)研究總院有限公司第十設(shè)計(jì)研究院總工程師。工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟委員,中國(guó)自動(dòng)化學(xué)會(huì)會(huì)員,中國(guó)土木工程學(xué)會(huì)、水工業(yè)分會(huì)機(jī)電委員會(huì)委員,成都自動(dòng)化研究會(huì)常務(wù)理事、專家咨詢委員會(huì)副主任委員、《自動(dòng)化信息》編委。1987年畢業(yè)于上海交通大學(xué)自動(dòng)控制專業(yè),工作后一直從事自動(dòng)化專業(yè)工作,有設(shè)計(jì)、安裝調(diào)試、軟件開發(fā)、系統(tǒng)集成等工作經(jīng)驗(yàn),自動(dòng)化專業(yè)技術(shù)方面在水處理行業(yè)內(nèi)有一定的影響力。近年來(lái),應(yīng)邀在項(xiàng)目評(píng)審、學(xué)術(shù)交流、技術(shù)推廣培訓(xùn)活動(dòng)方面表現(xiàn)積極活躍。
附錄 部分安全事故實(shí)例
(1)二灘事故,2000年10月13日,二灘電廠由于控制系統(tǒng)死機(jī)造成甩出電力89萬(wàn)千瓦,造成川渝電網(wǎng)大范圍的停電事故。(出自《電網(wǎng)典型事故分析》第四章第一節(jié),出版社:中國(guó)電力出版社)
(2)2003年12月30日承擔(dān)三峽電力外送的三個(gè)(相距上千公里的)換流站的控制系統(tǒng)事故。(出自電監(jiān)會(huì)(2012)12號(hào)文件)
(3)伊朗核電廠“震網(wǎng)”病毒事故,2010年6月,伊朗布什爾核電廠遭到“Stuxnet”(震網(wǎng))病毒的攻擊。該病毒利用Windows操作系統(tǒng)漏洞,透過USB傳播,專門攻擊西門子公司設(shè)計(jì)制造的供水、發(fā)電等基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)。經(jīng)過大量數(shù)據(jù)的分析研究發(fā)現(xiàn),“震網(wǎng)”蠕蟲病毒能夠?qū)ふ夷繕?biāo)設(shè)施的控制系統(tǒng),并且只有在指定配置的工業(yè)控制系統(tǒng)中才會(huì)被激活,從而控制被攻擊核電設(shè)施的冷卻系統(tǒng)或渦輪機(jī)的運(yùn)作。最嚴(yán)重的情況,病毒能控制關(guān)鍵過程并開啟一連串執(zhí)行程序,可使設(shè)施失控,最終導(dǎo)致整個(gè)系統(tǒng)自我毀滅。(出自2010年9月中央電視臺(tái)的新聞報(bào)道)
(4)2008年黑客攻擊南美洲電網(wǎng)勒索政府。(出自2008年國(guó)際互聯(lián)網(wǎng)報(bào)道)
(5)某市電力調(diào)度,安全區(qū)I通信服務(wù)器由于廠家(KD公司)開發(fā)的軟件系統(tǒng)出現(xiàn)緩沖區(qū)溢出漏洞,造成核心服務(wù)器宕機(jī)(重啟等現(xiàn)象),并且無(wú)法與南網(wǎng)公司進(jìn)行數(shù)據(jù)通訊,造成特大事故。(出自2010年國(guó)家電網(wǎng)-智能電網(wǎng)信息安全防護(hù)體系研究一文)
(6)2000年3月澳大利亞馬盧奇污水處理廠事故,一個(gè)工程師在應(yīng)聘澳大利亞的一家污水處理廠被多次拒絕后,遠(yuǎn)程侵入該廠的污水處理控制系統(tǒng),惡意造成污水處理泵站的故障,致使超過1000立方米的污水被直接排入河流,造成嚴(yán)重的環(huán)境災(zāi)難。(出自2000年搜狐網(wǎng)報(bào)道)
(7)2006年美國(guó)哈里斯堡污水處理廠事故,黑客從Internet攻破了美國(guó)哈里斯堡的一家污水處理廠的安全措施,在其系統(tǒng)內(nèi)植入了能夠影響污水操作的惡意程序。(出自2006年網(wǎng)易新聞報(bào)道)
(8)2007年,攻擊者入侵加拿大的一個(gè)水利SCADA控制系統(tǒng),通過安裝惡意軟件破壞了用于控制從Sacrmento河調(diào)水的控制計(jì)算機(jī)。(出自2013年中國(guó)政務(wù)信息化網(wǎng)-信息化建設(shè)雜志)
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)