淺談市政行業自動化與信息系統的內核安全

一、市政水處理行業自動化與信息化現狀

市政水處理行業自動化的內容和范圍就凈水廠和污水處理廠而言，涵蓋了：生產過程自動化系統、過程控制儀表及在線水質監測儀表、全廠閉路電視監控安防系統、門禁、考勤與巡更系統、全廠網絡布線及信息化系統等。網絡結構由現場總線發展到多層次復雜結構的光纖環網，并通過無線通訊延伸至移動設備(如：吸泥行車、行走式刮泥機等)和廠外遠端控制站，水源地、取水泵站、加壓泵站、管網監測點、污水排放口收集水質流量監測、污水管網監測、污水中途提升泵站等。閉路電視監控逐步發展到了智能網絡數字系統，從部分關鍵點的設置發展到幾乎無死角的全面監控，自動化技術的應用在市政水處理行業已經日漸成熟。

市政行業還包括城市防澇系統、市政道路交通、城市地下綜合管廊等，自動化的應用在這幾個方面還剛剛起步。雨水收集、初級雨水處理、雨水排的利用、雨水泵站等設施的監控，市政道路的監控與智能化交通管理，地下綜合管廊的各項參數的監測與監控，自動化技術可以發揮的潛力巨大。

隨著自動化的發展，信息化的應用也大范圍地展開，其中重要的一個環節就是監控中心以及分布在各個部分的人機界面，SCADA監控中心是自動化與信息化的交接點，作為數據中心服務器成為連接自動化系統和信息化管理網絡系統的橋梁。下面就服務器操作系統的內核安全防護的作用，做一個初步的探討。

二、目前的安全措施

目前工業控制領域安全原則主要是“安全分區、網絡專用、橫向隔離、縱向認證”。

( 1 ) 安全分區

安全分區一般指基于計算機及網絡技術的業務系統，劃分為生產控制大區和管理信息大區，并根據業務系統的重要性和對工業控制系統的影響程度將生產控制大區劃分為控制區及非控制區。

( 2 ) 網絡專用

網絡專用一般指調度系統與生產控制大區相連接的專用網絡。

( 3 ) 橫向隔離

橫向隔離是工業控制領域業務系統安全防護體系的橫向防線。應當采用不同強度的安全設備隔離各安全區，在生產控制大區與管理信息大區之間必須部署橫向單項安全隔離裝置，隔離強度應當接近或達到物理隔離。生產控制大區內部的安全區之間應當采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻或者相當功能的設施，實現邏輯隔離。

( 4 ) 縱向認證

縱向加密認證是工業控制領域業務系統安全防護體系的縱向防線。生產控制大區與調度控制數據網的縱向連接處應當設置縱向加密認證裝置，實現雙向身份認證、數據加密和訪問控制。

一個市政水處理項目自動化控制及信息化系統典型配置結構為：控制網采用光纖工業以太網，各個現場下掛PLC控制站，中控室接中央監控服務器，SCADA監控組態軟件采用服務器客戶端結構，監控服務器內裝組態軟件服務器版，采用雙網卡，兩個以太網端口分別與工業網和中控室交換機相連。操作顯示終端內裝組態軟件客戶端，與中控室交換機相連，同時中控室交換機還連接一臺工業數據庫服務器。中控室交換機通過一臺硬件防火墻與辦公管理網相連，企業管理的數據庫服務器的關系數據庫，同步工業歷史數據庫的數據，提供給信息化管理系統。防火墻設置為僅允許這兩臺服務器之間的有限數據交換，以實現工業數據與管理交換且滿足安全隔離的要求。

也就是工業網與中控室操作之間以一對冗余的服務器相連，中控室SCADA中心通過防火墻與管理網相連，三個區域之間就此相連且被安全隔離。有一些遠程的控制站，例如：取水泵站、加壓泵站、管網監測點、污水中途提升泵站等，可以采用公網Vlan以及在兩端配置安全加密模塊，防止外部的惡意侵入。

以上安全防護措施一定程度上保障了工業領域業務系統的安全運行，但近年來發生的事故說明，在關鍵業務系統上的服務器，正在運行著低安全等級操作系統，成為安全事故發生的根源。中控室兩臺互為冗余的監控服務器，既是SCADA數據中心，又是工控網與監控中心與其他人際界面的橋梁，這兩臺服務器的安全程度，既能影響工控網內所有PLC控制站的安全運行，也關系到實時數據的上傳，和生產調度監控指令的及時準確下達，服務器上操作系統的安全至關重要，目前未能引起行業內各個環節的重視。

三、操作系統的安全級別

那么何為低安全等級操作系統?按照美國TCSEC標準、國家GB20272-2006標準，目前使用的Windows、Linux、Unix操作系統都屬于C2級別或第二等級，不能滿足工業控制領域操作系統的安全要求。

TCSEC標準是計算機系統安全評估的第一個正式標準，具有劃時代的意義。該準則于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標準，后來延至民用領域。TCSEC將計算機系統的安全劃分為4個等級、7個級別：D、C1、C2、B1、B2、B3、A。

C2級別操作系統為什么不能滿足工業控制領域關鍵業務系統的需求?首先，了解一下C2級別操作系統的主要缺陷。

( 1 ) C2操作系統擁有不受任何限制的超級用戶，不論是非法獲得系統管理員權限，還是運維人員的越權和誤操作都是導致安全事故的最主要原因之一。

( 2 ) 不具備安全審計，安全審計日志可作為事前預警和事后取證，沒有安全審計機制的C2級別操作系統，即不能提前發現安全隱患，也難以在事故發生后找到責任人和事故原因。

( 3 ) C2級別操作系統不能防止已知和未知惡意代碼的入侵，同時，對于非法接入的網絡設備沒有任何預警和抵御能力。

四、操作系統的內核安全加固

“安全分區、網絡專用、橫向隔離、縱向認證”的防護原則核心目的是保護關鍵業務系統的數據安全以及業務的穩定運行，然而如果不能解決C2級別操作系統的根源問題，其他任何安全措施就好比將城堡建在沙子上，根基出現問題，任何其他防范措施都不能解決根本問題。那么，對關鍵業務主機進行綜合防護是目前工業領域安全防護的重點。綜合防護是結合國家信息安全等級保護工作的相關要求，對工業控制領域關鍵業務系統從主機層面實現對操作系統安全等級提升、惡意代碼防范、遠程主機入侵防范、應用安全控制、安全審計等多個層面進行信息安全防護的過程。

目前絕大部分的監控軟件都是運行在一些主流的操作系統平臺之上，而這些操作系統的安全級別較低，隨著自動化與信息化在行業內所起的作用越來越顯著且被更多的依賴，提升操作系統安全等級，避免事關民生的災難性安全事故，便是我們目前的重要任務之一。

操作系統安全等級提升是指采用專用軟件強化操作系統的訪問控制能力，提升后的操作系統應達到安全操作系統四級，此類專用軟件應具備公安部四級安全操作系統測評認證。

惡意代碼防范應具備在操作系統內核層上實現對未知惡意代碼攻擊的抵御能力。其他情況防范措施還包括，應當及時更新特征代碼，查看查殺記錄;惡意代碼更新文件的安裝應當經過測試;應禁止生產控制大區與管理信息大區共用一套防惡意代碼管理服務器。

遠程主機入侵防范，生產控制大區服務器可以統一部署網絡入侵檢測系統，應當合理設置檢測規則，檢測發現隱藏于網絡邊界正常信息流中的非法連接及入侵行為，分析潛在威脅并進行安全審計。

應用安全控制應當對用戶登錄、訪問系統資源等操作進行身份鑒別及強制訪問控制，防止核心命令遠程惡意執行。

安全審計生產控制大區的關鍵業務系統應當具備安全審計功能，能夠對操作系統、數據庫、業務應用的重要操作進行記錄、分析，及時發現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統中的操作行為，應該進行嚴格的安全審計。

在國內，電力系統已有較多的應用，市政水處理行業也會越來越多地面對這方面的安全需求，希望相關的部門和企業能夠未雨綢繆。

附錄

部分安全事故實例

( 1 ) 二灘事故，2000年10月13日，二灘電廠由于控制系統死機造成甩出電力89萬千瓦，造成川渝電網大范圍的停電事故。(出自《電網典型事故分析》第四章第一節，出版社：中國電力出版社)

( 2 ) 2003年12月30日承擔三峽電力外送的三個(相距上千公里的)換流站的控制系統事故。(出自電監會(2012)12號文件)

( 3 ) 伊朗核電廠“震網”病毒事故，2010年6月，伊朗布什爾核電廠遭到“Stuxnet”(震網)病毒的攻擊。該病毒利用Windows操作系統漏洞，透過USB傳播，專門攻擊西門子公司設計制造的供水、發電等基礎設施的工業控制系統。經過大量數據的分析研究發現，“震網”蠕蟲病毒能夠尋找目標設施的控制系統，并且只有在指定配置的工業控制系統中才會被激活，從而控制被攻擊核電設施的冷卻系統或渦輪機的運作。最嚴重的情況，病毒能控制關鍵過程并開啟一連串執行程序，可使設施失控，最終導致整個系統自我毀滅。(出自2010年9月中央電視臺的新聞報道)

( 4 ) 2008年黑客攻擊南美洲電網勒索政府。(出自2008年國際互聯網報道)

( 5 ) 某市電力調度，安全區I通信服務器由于廠家(KD公司)開發的軟件系統出現緩沖區溢出漏洞，造成核心服務器宕機(重啟等現象)，并且無法與南網公司進行數據通訊，造成特大事故。(出自2010年國家電網-智能電網信息安全防護體系研究一文)

( 6 ) 2000年3月澳大利亞馬盧奇污水處理廠事故，一個工程師在應聘澳大利亞的一家污水處理廠被多次拒絕后，遠程侵入該廠的污水處理控制系統，惡意造成污水處理泵站的故障，致使超過1000立方米的污水被直接排入河流，造成嚴重的環境災難。(出自2000年搜狐網報道)

( 7 ) 2006年美國哈里斯堡污水處理廠事故，黑客從Internet攻破了美國哈里斯堡的一家污水處理廠的安全措施，在其系統內植入了能夠影響污水操作的惡意程序。(出自2006年網易新聞報道)

( 8 ) 2007年，攻擊者入侵加拿大的一個水利SCADA控制系統，通過安裝惡意軟件破壞了用于控制從Sacrmento河調水的控制計算機。(出自2013年中國政務信息化網-信息化建設雜志)

摘自《工業控制系統信息安全專刊(第二輯)》

原文來源：工業安全產業聯盟