1　引言

　　水電廠現地控制單元（LCU）是直接與生產過程進行信息交互的I/O處理系統，它的主要任務是進行數據采集及處理，對被控對象實施閉環反饋控制、順序控制和批量控制。用戶可以根據不同的應用需求，選擇配置不同的LCU構成現場控制站，水電廠LCU系統主要包括機組LCU、弧門LCU、公共系統LCU、開關站LCU等，分別對被控對象的運行工況進行實時監視和控制，是水電站計算機監控系統的底層控制部分。

　　LCU系統核心交換機負責水電廠監控系統內部數據的交換處理，是水電廠生產的重要組成部分。水電廠LCU核心交換機一般采用工業交換機，目前主流工業交換機品牌有德國赫斯曼（已被美國百通公司收購）、加拿大羅杰康（已被西門子收購）、德國西門子、美國子午線、美國格雷特、美國恩創等廠家，國產品牌有臺灣研華、臺灣MOXA、北京東土、武漢邁威等廠家。LCU系統內部數據傳輸建立在以交換機為核心的局域網絡之上，核心交換機的數據傳輸安全直接關系到水電廠安全生產的進行，由此可見，對LCU系統核心交換機安全基線進行深入研究，并建立一套安全基線標準尤為重要。

　　2　安全基線的概念

　　安全基線（Secruity Baseline）是保持網絡系統在機密性、完整性和可靠性需求上的最小安全控制，即該系統最基本需要滿足的安全要求，構造系統安全基線是系統安全工程的首要步驟 , 同時也是進行安全評估、發現和解決業務系統安全問題的先決條件。因此通過確保組織滿足安全基線的要求，也就能確認組織的正常運行得到了最低程度的安全保證，安全的重要性是不言而喻的。

　　安全基線的概念自上世紀40年代在美國萌芽，逐步發展到今天。目前我國制定的關于信息安全的相關法律法規不在少數，但依然存在一定的問題，比如：制定部門多，內容分散，內容可能相互抵觸等問題。我國的安全基線主要是等級保護（第一級到第五級）和分級保護（秘密、機密和絕密），具體落實和操作由GB/T和BMB打頭的相關標準來實現。等級保護的主要文件是：《信息安全技術信息系統安全等級保護基本要求》和《信息安全技術信息系統安全保護等級定級指南》，分級保護的文件主要是：BMB17《設計國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。

　　2.1　安全基線模型的建立與優化

　　現在在大多數工業企業的業務系統中，LCU系統核心交換機在配置中存在眾多配置漏洞，如：弱口令、開放無用服務端口、未升級補丁等，可以利用這些漏洞進行攻擊活動，因此這些配置漏洞有很大的安全隱患。

　　安全基線模型以業務系統為核心，分為業務系統層、功能架構層、系統實現層三層機構，如圖1所示。

　　圖1 安全基線層次模型

　　第一層是業務系統層，這一層主要是根據不同業務系統的特性，定義不同安全防護的要求，是一個比較宏觀的要求。對應基于LCU系統的風險管理系統。

　　第二層是功能架構層，將業務系統分解為相對應的操作系統、應用系統、數據庫、防火墻、路由器、交換機等不同的設備和系統類型，這些設備類型針對LCU業務層定義的安全防護要求細化為此層不同模型應該具備的要求。即在技術手段上實現脆弱性、安全策略以及重要信息的監控和審計。

　　第三層是系統實現層，將第二層模塊根據業務系統的特性進一步分解，找到基準安全配置項和重要策略文件等，即建立安全基線弱點配置庫。

　　建立一套安全基線檢查系統能對IT基礎設施的安全配置進行高效、快速核查，并計算與安全基線的符合情況，作為一個輔助進行系統準入、日常安全檢查的自動化、有效的系統，能極大減少人工進行系統準入、日常安全檢查的工作量，避免了人為因素，保證檢查結構的公正性。

　　2.2　LCU核心交換機安全基線的種類

　　LCU核心交換機安全基線的種類可以從管理和技術上分為兩類。

　　管理類包括：賬號管理、口令管理、認證管理、日志審計管理、協議安全管理、日常行為管理、端口安全管理等。

　　技術類包括：安全操作管理與配置、安全接入控制管理與配置、操作系統管理與配置等。

　　2.3　LCU核心交換機安全基線配置檢查

　　LCU系統核心交換機是組成水電廠監控系統的基礎元素，因此在管理和運行過程中完全有必要對其進行安全基線審查。當制定出安全基線，我們就可以自查交換機配置參數是否符合要求，符合什么級別的等級保護。比如設備的加密密碼配置，從安全角度考慮：加密密碼配置越復雜越長則越安全；從使用角度考慮：每天可能多次輸入此復雜密碼是非常麻煩的事情，因此實際制定安全基線的時候一定要符合實際情況。

　　2.3.1　設備管理

　?。?）遠程管理服務

　　在交換機管理過程中，一定會出現對設備進行遠程維護的情況，一般用戶會選擇telnet進行遠程操作，但是telnet的致命缺陷是不加密，容易在網絡中被嗅探出用戶密碼和用戶名，給網絡設備帶來巨大的安全隱患。因此如果網絡設備支持，一定要對設備配置ssh等加密協議進行遠程管理，禁用telnet服務管理交換機設備，提高設備管理安全性，最好是結合訪問控制列表（ACL）進行安全配置。

　?。?）管理 IP

　　網絡管理設備的管理IP應該結合ACL指定給某些人或某些網絡管理，基線審查強制按此要求設置。

　?。?）認證方式

　　對登錄設備的用戶啟用3A認證，至少應該配置登錄驗證為l o c a l本地認證。如果有認證服務器（Raidus） 等，應該與相關認證服務器聯動，增強安全性，基線檢查需根據實際情況設置。

　?。?）認證系統聯動

　　如果有Raidus服務器，對網絡設備通過相關參數配置，與認證系統聯動，滿足帳號、口令和授權的強制要求，增加對管理等用戶的認證。

　?。?）用戶賬號與口令安全

　　交換機設備參數配置完畢，通常可以用相關查看命令看到配置文本，保障管理安全，應對相關管理密碼進行加密配置，用戶登錄空閑超過規定時間應強制下線，基線審查強制按此要求設置。

　?。?）端口安全

　　網絡設備的端口有管理端口Console口及其他應用端口，管理端口的配置（如AUX口）應配置加密措施，并強制認證，關閉不需要使用的端口?；€審查強制按此要求設置。

　　2.3.2　訪問控制

　　應在網絡邊界部署訪問控制設備，啟用訪問控制功能，應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3及工業常用協議做到命令級的控制。應在會話處于非活躍一定時間或會話結束后終止網絡連接，應限制網絡最大流量數及網絡連接數，重要網段應采取技術手段防止地址欺騙，應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶。

　　2.3.3　日志審計

　　日志是記錄網絡設備運行情況的數據，在出現安全事故的情況，管理員可以根據日志對事故進行追蹤。在交換機日志審計配置中，應對交換機設備運行狀況、網絡流量、用戶行為等進行日志記錄，審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應能夠根據記錄數據進行分析，并生成審計報表，應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。因此在設備支持的情況一定要對日志數據進行安全保護，采用SNMP 協議傳輸到日志服務器，使用日志服務器對日志進行存儲和保護。審計則是記錄重要的操作，在設備支持審計功能的情況也同樣要開啟此功能。

　　2.3.4　網絡架構安全防護

　　交換機設備使用中，應對設備配置參數進行調整，對可能造成信息泄露的配置應進行修改，如：login banner，該信息可能會透露系統的版本或IP而被黑客所利用。開啟NTP服務，提供標準統一的時鐘。對啟用動態 IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）協議時，啟用路由協議認證功能，如MD5加密，確保交換機之間在交換路由信息的時候是安全的。對常見病毒端口進行封堵，重要的服務器進行IP和MAC地址捆綁?；€審查強制按此要求設置。

　　2.3.5　服務優化

　　眾所周知，網絡設備的服務開啟越多，占用系統資源越多，對設備自身的穩定性也造成影響，為保證交換機工作運行的穩定和高效，一定要停止不必要的服務，如：源路由、http、https、CDP、ARP-Proxy和FTP等，當網絡設備開啟了一些不必要的服務，可能會因為這些服務本身的漏洞給設備帶來安全隱患。

　　2.3.6　備份與恢復

　　為確保交換機本地數據備份與恢復功能運行正常，在進行配置策略更改后完全備份一次，并保存原來版本配置策略，備份介質場外存放，利用通信網絡將關鍵數據定時批量傳送至備用場地。若交換機網絡結構采用冗余技術設計網絡拓撲結構，要確保避免關鍵節點存在單點故障，在工作現場，應提供主要網絡設備、通信線路和數據處理系統的硬件冗余、保證系統的高可用性。

　　3　結語

　　LCU工業以太網交換機作為水電廠的保護、自動化系統的核心設備，其自身安全性與穩定性決定水電廠的安全運行，一旦出現問題，很可能會造成全廠外供中斷等重大安全事故。交換機安全基線需要受到進一步重視，安全基線在制定的時候一定要研制執行國家相關標準和企業規章制度，參考國外相關最佳實踐，確定好每一個核查項，這樣可以為水電廠運維人員在檢查網絡設備的時候建立一個有效框架，實現設備運檢全過程的合規。