於国良

（萧山发电厂，杭州 311251）

0 引言

工控网络作为电厂生产系统的中枢系统，其安全稳定运行对电厂的安全生产起着决定性的作用，安全防护意义重大。国内从2005年发布电监会5号令开始，提出“安全分区、网络专用、横向隔离、纵向防护”十六字方针以来，电力监控系统安全事件得到了一定的抑制。虽然2014年8月1日，国发改委令【第14号】下发了《电力监控系统安全防护规定》；2015年2月4日，国能安全出台了〔2015〕36号国家能源局《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》及等保V2.0对电力监控系统（工业控制系统）提出了相关要求，但随着工业信息化设备越来越来通用化，传统信息安全问题已无法解决工控系统运维存在的风险问题，尤其是运维人员信息安全意识一般，如果没有相关设备和监测平台，将无法实现有效的安全监管。

1 概述

在传统信息安全产品领域，国内外通过安全管理中心的SOC产品，实现对网络设备、安全设备、主机设备等的安全运维，但其无法适用于国内电力行业网络隔离的环境。本次科研项目根据实际工控系统工作需求，主要针对移动设备接入方面的边界问题进行分析。

1.1 移动设备工控安全现状

1.1.1 运维笔记本

由于现场工控设备的需要，会有不同类型的运维笔记本接入工控网络或者接入工控设备进行相应的调试、维护工作。在传统的工作模式中，无法对运维笔记本的操作过程及网络数据流进行有效的安全监管，存在工控网络安全监控短板。萧山发电厂用到运维笔记本的工控区域见表1。

表1 工控系统常用的运维笔记本Table 1 Operation and maintenance notebooks commonly used in industrial control systems

1.1.2 移动存储设备

目前从工控系统完成数据拷贝，通过使用摆渡盘的方式可以实现安全的数据拷贝。但是由于工控系统升级的需要，存在将外部文件拷贝进入工控系统的工作。数据拷贝进入工控系统前，会执行相应的数据安全检查流程，再进行数据的写入工作。但是工控系统往往没有安装杀毒软件，数据写入工控系统的这一过程缺少恶意代码防范的安全措施。

1.2 存在问题

1）运维笔记本的操作过程及网络数据流没有实现安全监管。

2）使用运维笔记本的过程中，网络端口处于全开放的状态，也没有实现安全监管。

3）网络工控系统写入数据的过程，缺少恶意代码防范的安全措施。

2 技术解决方案

基于等保V2.0工控安全管理中心及技术防护体系，实现便携式设备（运维笔记本）安全监测管理。对运维笔记本，特别是针对工控系统厂家运维人员及仪控内部运维人员，在接入工控系统前，实现移动设备（运维笔记本）安全防护，如端口级防问控制、笔记本非法外联管控、强制病毒查杀。在接入工控系统后，及时上传工控安全管理中心，分析安全运维存在的风险，自动上传运维相关人员及设备情况，实现事后追溯。

2.1 设计原则

1）使用便携式设备对工控系统进行运维操作，保证对工控系统的运维工作“零影响”。

2）使用便携式设备对工控系统进行运维操作，实现人员审核与访问控制、 操作行为审计与监控、网络访问控制等功能。

3）根据网络安全策略的要求，所有进出内部网络的数据流都必须通过便携式设备的安全策略和安全计划的确认与授权，实现对未经授权的访问和数据传递进行筛选和屏蔽，保护网络数据的安全。

4）便携式设备可以监视网络或网络设备的网络资料传输行为，能够及时中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

5）实现统一的移动介质安全监测管理，通过研究反向隔离装置，定期升级安全运维设备的病毒库，实现安全恶意代码防范。

6）为确保运维安全管理平台的安全性及可靠性，运维安全管理平台的网络为独立网络。

7）为工控系统安全运维与审计评测提供安全、易用的保护手段。

8）本项目的设计范围广泛，要求具体，要求达到符合“等保V2.0”工控安全管理的设计准则。

2.2 功能设计

建立运维安全管理平台，对便携式设备生产系统进行运维操作，完成人员审核与访问控制、操作行为审计与监控、网络访问控制。主要实现以下功能，详见表2。

表2 运维安全管理平台功能Table 2 Operation and maintenance security management platform functions

2.3 运维安全管理平台的组成

见表3。

表3 运维安全管理平台组成Table 3 Composition of operation and maintenance security management platform

3 方案的实施

建立运维安全管理平台，采用防火墙隔离、运维笔记本非法外联、病毒查杀等技术，实现运维笔记本安全管控。

3.1 网络连接运维笔记本的部署

网络连接部署时，需要将装置的网口 1 连接运维笔记

本电脑，网口 2 连接被运维设备网络，再连接一条视频线（VGA或者HDMI）到运维笔记本电脑，如图1所示。

图1 网络运维时设备部署结构图Fig.1 Device deployment structure diagram during network operation and maintenance

3.2 串口连接运维笔记本的部署

串口连接部署时，需要将装置的右串口通过串口线连接运维笔记本电脑，左串口连接被运维设备串口，再连接一条视频线（VGA 或者 HDMI）到运维笔记本电脑，如图2所示。

图2 串口运维时设备部署结构图Fig.2 Device deployment structure diagram during serial port operation and maintenance

3.3 数据摆渡的设备部署

数据摆渡时有两种方式：USB摆渡方式、网络摆渡方式，如图3所示。

图3 数据摆渡时设备部署结构图Fig.3 Structure diagram of equipment deployment during data ferry

1）USB 摆渡方式

将便携式运维安全装置用于数据摆渡的USB口，通过USB线连接至被运维对象设备或者主机。

2）网络摆渡方式

此时连接，同网络连接运维时的部署方式。

3.4 与运维平台连接的部署

便携式运维安全装置和运维平台之间在需要数据同步时连接，日常运维时为与平台离线方式，如图4所示。

图4 与安全运维管理平台连接时产品部署结构图Fig.4 Product deployment structure diagram when connected to the security operation and maintenance management platform

图5 便携式运维安全管理平台使用流程图Fig.5 The use flow chart of the portable operation and maintenance security management platform

图6 与燃机飞行记录仪实现通信Fig.6 Communication with gas turbine flight recorder

4 项目实施效果

4.1 安全运维管理平台使用流程

1）在安全运维平台上设置好运维策略，然后下载到便携式运维安全装置。

2）在运维时，只需要将下载好策略的便携式运维安全装置携带至工控现场运维场所，进行运维。

3）运维后，将便携式运维安全装置带回连接安全运维平台，将审计数据传回平台，完成运维的闭环。

4.2 运维笔记本的实际测试情况

1）运维策略的使用

运维策略主要是对便携式运维安全装置能使用的运维策略进行提前预设，运维策略包含内容为运维对象设备，以及具体运维策略的IP和端口，不需要设置运维对象，只需要设置策略端口即可。

本次对运维笔记本的测试环境采用的运维策略是屏蔽目前已知的高危端口的“黑名单模式”，具体测试方法步骤为：

第一步：屏蔽所有通信端口，使用运维笔记本和燃机飞行记录仪、ARGUS、PLC、VM600系统进行数据通信，并使用相应的应用程序，检查各应用程序是否可以正常工作。

第二步：屏蔽目前已知的高危端口，使用运维笔记本和燃机飞行记录仪、ARGUS、PLC、VM600系统进行数据通信，并使用相应的应用程序，检查各应用程序是否可以正常工作。

第三步：开放所有通信端口，使用运维笔记本和燃机飞行记录仪、ARGUS、PLC、VM600系统进行数据通信，并使用相应的应用程序，通过便携式运维安全装置的日志，查询应用程序使用的通信端口，并根据实际使用的通信端口情况，制定该程序的安全策略。

2）实际测试情况

① 屏蔽所有通信端口

便携式运维安全装置使用屏蔽所有通信端口的情况下，运维笔记本通过便携式运维安全装置和燃机飞行记录仪、ARGUS、PLC、VM600系统无法进行数据通信。

② 使用“黑名单模式”

◇ 燃机飞行记录仪通信情况

便携式运维安全装置使用“黑名单模式”的情况下，运维笔记本通过便携式运维安全装置和燃机飞行记录仪可以正常通信，程序功能可以正常使用。

图7 与ARGUS系统实现通信Fig.7 Realize communication with ARGUS system

图8 与PLC系统实现通信Fig.8 Realize communication with PLC system

图9 反向数据病毒检查Fig.9 Reverse data virus check

◇ ARGUS系统通信情况

便携式运维安全装置使用“黑名单模式”的情况下，运维笔记本通过便携式运维安全装置和ARGUS系统可以正常通信，程序功能可以正常使用。

◇ PLC系统

便携式运维安全装置使用“黑名单模式”的情况下，运维笔记本通过便携式运维安全装置和PLC系统可以正常通信，程序功能可以正常使用。

◇ VM600系统

便携式运维安全装置使用“黑名单模式”的情况下，运维笔记本通过便携式运维安全装置和VM600系统可以正常通信，程序功能可以正常使用。

4.3 数据反向写入功能测试

执行数据拷入时，会对拷入的数据进行病毒查杀，如果没有检测到可疑文件，则可以点击弹出提示的确定，继续拷入。如果检测到可疑文件，则会在此出现一个可疑文件列表，如果确定文件是可信任的，则可以选择相应的可疑文件，点击添加信任，则在处理时，该文件不会被处理。如果列表中的所有文件都可信任，则也可以点击全部信任。如果要取消信任，也有取消信任和全部取消信任按钮。

5 结论

研发的移动设备运维安全管理平台，可以有效地对运维笔记本的操作过程及网络数据流实现监管、访问控制、操作记录审计等功能，同时采取合理的安全防护手段使数据可以安全、可靠地写入工控系统，既保证工控系统的安全稳定运行，又能落实和执行《电力监控系统安全防护规定》。

项目完成后，解决了工控系统中对于运维笔记本安全管理的这一盲点，提高了数据写入工控系统的可靠性，消除了移动设备影响工控系统安全运行的安全风险隐患。企业对工控系统中使用移动设备也实现了掌控，提升企业的安全管理形象。