分享丨检修作业安全运维系统应用案例

随着信息技术和网络技术的迅猛发展，国家安全边界已经超越地理空间限制，延伸到了信息网络。“棱镜门”事件后，世界各国深刻认识到网络治理权关乎国家网络空间安全和利益，网络空间已经成为继陆、海、空、天之后的第五大国家主权空间。

工业控制系统广泛应用于我国电力、水利、污水处理、石油化工、冶金、汽车、航空航天等诸多现代工业，其中超过80%的涉及国计民生的关键基础设施（如电力、铁路、城市轨道交通、供排水、邮电通讯等）都依靠工业控制系统来实现自动化作业，随着国务院“中国制造2025”战略提出，中国工业控制领域正在发生重大的变革，两化深度融合是产业结构调整和升级转型的重要支撑，工业控制系统网络安全已经成为两化融合的重要组成部分，深刻地影响着工业控制系统及相关产业的发展，工业控制系统网络安全风险所带来的，不再仅仅是信息泄露、信息系统无法使用等“小”问题，而是会对现实世界造成直接的、实质性的影响，其安全性不仅关系到生产安全和经济发展，而且影响到社会稳定和国家安全。

电力是国家重要的基础设施之一，随着国家电网建设与使用，电力行业工控系统所面临的安全风险越来越突出，电力系统安全事关国家安全，影响国计民生。二十一世纪以来，国际上出现了“8.14美加大停电”、“11.4欧洲大停电、2015年乌克兰电网事件”等多起大停电事故，造成恶劣的影响与重大的经济损失。

为了抵御各种攻击对发电生产控制系统的破坏，国家出台多项政策，明确了电力二次系统安全防护的总体框架，细化了电力二次系统防护的总体原则，定义了通用和专用的安全防护技术，形成了电力二次系统安全防护纵深防护体系，指导全国电力系统信息安全体系化建设。目前，亟待解决分散的电力监控系统运维过程中的授权、恶意代码防护、安全通信防护、检修过程审计、非法外联防护等安全问题。

运维现状

目前，国家电网各省、市级电力监控系统已在网络安全层面采用了多种安全手段。在大的层面，包括安全分区、网络专用、横向隔离、纵向认证。在具体的安全措施上，设置综合防护要求，从等级保护角度，主机、网络设备、恶意代码防范、应用控制、审计、备份和容灾等多个层面进行全面的安全防护。

但是在现场检修运维层面存在着安全隐患，检修运维人员进入了工业现场（如变电站）后，未经网络上层层设防的安全设备就直接将笔记本电脑、移动存储设备等通过网口和USB口接入现场设备进行检修运维与操作。这种运维方式会产生一系列管控问题。例如：

1）检修运维过程中，由于缺少物理隔离和摆渡，不同网络交叉使用的移动存储介质和运维设备（如U盘，笔记本电脑）容易将恶意代码带入到工控系统，导致涉密数据和设备配置轻易地被泄露。

2）由于缺少安全审计和操作日志等手段监督，运维人员的误操作甚至恶意操作极易造成安全事故，而在事故发生之后却又难以溯源和追责。

3）上传非法的配置数据，也会引发相应的安全事故。

齐安科技研发了检修作业安全运维系统这款产品，检修作业安全运维系统基于网络安全需求并结合现场运维的业务要求进行研制，能够对运维过程进行安全有效地管控，解决了分散的电力监控系统运维过程中的授权、恶意代码防护、安全通信防护、检修过程审计、非法外联防护等安全问题，实现“事前有防范、事中有控制、事后有审计”，从而大大降低了电力监控系统现场检修运维的风险，保障设备资产稳定运行。

系统功能

恶意代码防范：由于被运维设备通常不具备恶意代码防护能力，检修作业安全运维系统集成了恶意代码查杀功能，可对运维时的文件传输过程进行恶意代码检查，防范恶意代码进入电力监控系统，同时对恶意代码文件进行隔离处理，并进行取证归档。

违规外联控制：安全专用密盾将实时监测运维电脑的网络连接状态，一旦发现存在WiFi、蓝牙和双网卡等外联行为时，则立即对其进行阻断，同时产生告警并记录，保障运维过程中的网络安全。

高风险指令阻断：检修作业安全运维系统可对SSH、Telnet协议和串口通信过程中传输的高风险指令进行阻断和告警，并支持DL/T 634.5101、Q/GDW 273、DL/T 634.5104、DL/T 860、Modbus等协议的实时解析，对通信报文中的控制类指令进行阻断和告警，防止运维人员误操作和恶意操作导致安全事件的发生。

攻击行为阻断：检修作业安全运维系统作为进入变电站检修运维工作的“门闸”，将实时监测运维电脑的运行状态，有效地阻止运维电脑发起的恶意端口扫描、高危端口攻击、ARP攻击、DOS攻击等行为。

二次授权：检修作业安全运维系统支持恶意代码隔离和放行二次授权、高危风险指令阻断和放行二次授权、控制指令阻断和放行二次授权、高危端口关闭和开启二次授权等。

视频取证：在正常开启检修链路后，检修作业全过程的行为操作将被实时记录，可在检修作业安全运维系统中对检修视频进行回放，并对存在违规行为记录的视频片段关联异常行为标签，形成告警事件，方便问题追溯及定位。

检修日志：系统对检修运维作业全过程传输文件、通信流量、事件信息、告警信息等内容进行完整记录，并将记录文件分类进行归档保存，方便事后进行问题追溯。同时还支持按照事件开始和结束的时间范围以及事件名称进行相关查询，并可将查询结果导出。

多种运维模式：电力监控系统现场设备种类繁多，每种设备所需要的运维接口也各不相同。检修作业安全运行系统针对不同运维场景需求，可满足网络接口、串行接口、USB接口和KVM等运维模式。

检修任务管理：系统的业务流程基于检修任务进行设计和管理，用户可依据实际需求，灵活的配置每次任务的执行时间、人员和访问规则等，基于任务生成的审计信息记录了当前任务执行过程中所有操作行为，便于审计员在事后进行溯源、取证和定责。

三权分立：检修作业安全运维系统采用三权分立的用户管理方式，系统管理员、工作负责人和审计员。从授权认证角度，采用密盾授权、二次授权、管理员授权等多种授权方式来保障整个检修运维作业过程的身份有效认证。检修作业安全运维系统包括3个登录界面：管理员登录界面、工作负责人界面和审计员界面。

授权管理：系统具备安全策略部署功能，用户可为每次任务配置不同的安全运维策略，可基于检修设备IP地址、端口、传输协议等访问控制规则，授予检修人员相应操作权限，规范其操作行为，从而有效地提高现场检修作业的安全性。

产品部署

检修作业安全运维系统支持网络接口、串行接口、USB接口和KVM四种运维模式。运维人员在现场作业时可根据运维需求选择不同的接入模式，将安全运维网关部署在运维工具和被运维对象之间，按照操作步骤打通检修链路即可开始运维作业。

1、网络接口运维模式

在变电站运维过程中，使用网络接口运维模式主要有远动装置、后台监控主机、防火墙、保护装置、测控、故障录波等，运维电脑接线如下所示：

使用步骤：

第一步：工作负责人新建任务（默认会勾选网络运维模式）。

第二步：用网线将检修作业安全运维系统LAN1口与运维电脑网口连接，将LAN2口与被运维对象网口连接。

第三步：运维电脑上插入USB KEY并启动，配置运维电脑IP，等待数字认证通过后，针对运维电脑进行外联和外设检查。

第四步：运维人员可以在运维电脑上进行运维操作。例如通过FTP方式进行文件传输，查看是否有恶意代码告警或者检测运维网络中是否有高风险指令。

通过在变电站运维中使用检修作业安全运维系统可以有效的阻断运维笔记本外联的情况，网络接口模式下使用CRT、SSH、SFTP、SCP工具时，有效的进行高危指令二次授权、恶意代码检查、高危端口二次确认；避免了运维现场误操作和恶意代码的感染，减少事故发生，同时做到账号管理记录、身份认证记录、文件传输记录、图像记录、通讯报文记录、授权行为记录、高危行为阻断记录。

2、串行接口运维模式

在变电站运维过程中，使用串行接口运维模式主要有网络设备（交换机、路由器）、安防设备（纵向加密、横向隔离），运维电脑接线如下所示：

使用步骤：

第一步：工作负责人新建任务选择串口运维模式。

第二步：用网线将检修作业安全运维系统LAN1口与运维电脑网口连接，再将运串口线连接至检修作业安全运维系统COM1，最后将COM2连接至被运维设备。 

第三步：运维电脑上插入USB KEY并启动，等待数字认证通过后，针对运维电脑进行外联和外设检查。

第四步：运维人员可以在运维电脑上进行运维操作。

检修作业安全运维系统支持字符指令的解析，识别高风险操作指令，例如Modbus、Q/GDW 273协议、DL/T 634.5104、DL/T 860等。对高风险指令可以立即发现，并通知工作负责人二次授权，避免误操作。

3、USB接口运维模式

变电站运维过程中，使用USB接口运维模式主要是后台监控主机数据备份、数据库备份，接线如下所示：

使用步骤：

第一步：工作负责人新建任务选择USB运维模式。

第二步：用USB将检修作业安全运维系统USB3口与U盘连接，再将USB线连接运维设备。

第三步：U盘中的文件拷入交换区进行恶意代码检查，检查完成后开启映射。

通过USB映射功能，检修作业安全运维系统通过USB线串接在移动存储介质与被运维对象之间，实现对移动存储介质的安全读写操作。运维人员将U盘中的文件拷入运维电脑时，检修作业安全运维系统对拷贝的文件进行恶意代码查杀，如果发现文件感染恶意代码，由工作负责人二次确认，极大的减少被运维主机感染恶意代码。

4、KVM运维模式

变电站运维过程中，使用KVM运维模式主要是数据运维，接线如下所示：

使用步骤：

第一步将鼠标连接检修作业安全运维系统USB1口。

第二步将键盘连接检修作业安全运维系统USB2口。

第三步将显示器连接检修作业安全运维系统HDMI OUT口。

第四步检修作业安全运维系统HDMI IN和USB5口连接被运维对象。

检修作业安全运维系统支持通过视频线、USB线连接被运维对象，获取并显示被运维对象桌面信息，支持通过检修作业安全运维系统触摸屏或外接显示器、键鼠等外设实现图形化、命令行等运维操作。

客户评价

齐安科技的检修作业安全运维系统操作简单，有效地对恶意代码文件、高风险指令、高危端口进行监测报警；自身无需安装第三方调试软件，功能兼容性强，既实时监测调试笔记本操作行为，也对主机类运维终端进行有效管控。不影响设备正常运行，不改变运维人员操作习惯而进行安全运维；较其他同类产品而言，可有效的提升了现场运维的安全性。

检修作业安全运维系统从运维人员身份认证、运维作业行为审计、运维接入设备安全防护和事后取证多个角度解决了现场运维的认证困难、审计困难、追溯困难等问题，通过网关提供的多重安全防护手段，从而提升了检修运维作业的安全级别，降低安全事件发生的风险。

应用成效

通过检修作业安全运维系统的应用有效管控调试过程中操作行为，如违规外联监测及自动阻断，高危指令检测及管控、恶意代码查杀、高危端口检测及管控、高危行为阻断，并且对调试过程进行全程记录，如行为记录账号管理记录、指纹认证登陆、授权行为记录等，为后续故障分析、告警分析等提供溯源依据。

目前“国家电网”已全面推进检修作业安全运维系统应用，主要针对外来人员使用的调试笔记本。在应用过程中通过定期反馈汇报、不定期查看运维记录，已明确应用检修作业安全运维系统可以加强变电站监控系统运维安全管控效果，有效防范违规外联、非法操作等安全风险，提升现场作业人员、调试工具及调试行为管控力度，有效的化被动防御为主动布防“技防”措施。