水電廠監控系統信息安全防護優化研究

劉 寅，常玉紅，姜 濤，楊維永，朱世順

（1.國網電力科學研究院/南瑞集團公司，江蘇省南京市 210000；2.國網新源控股有限公司，北京市 100761；3.安徽響水澗抽水蓄能有限公司，安徽省蕪湖市 241083）

水電廠監控系統信息安全防護優化研究

劉 寅1，常玉紅2，姜 濤3，楊維永1，朱世順1

（1.國網電力科學研究院/南瑞集團公司，江蘇省南京市 210000；2.國網新源控股有限公司，北京市 100761；3.安徽響水澗抽水蓄能有限公司，安徽省蕪湖市 241083）

水電廠作為國家重要基礎設施，其監控系統信息安全防護重要性及戰略意義重大。本文闡述了水電廠監控系統特點與既有安全防護措施，結合國家及行業的最新要求分析其信息安全防護難點，提出了面向基礎設施與網絡結構、設備資產及系統應用、安全管控及事件處置的優化建議，為水電廠后續信息安全建設整改工作提供參考。

水電廠；監控系統；信息安全防護；工業控制系統

0 引言

2015年12月23日，烏克蘭發生了因網絡攻擊引發的大面積停電事故。經過國際統一定性為由黑客攻擊造成大面積停電的網絡安全事件，由此事件直接反映出當局在電力監控系統的網絡邊界防護薄弱、系統防護能力薄弱、安全監控手段缺乏、應急管理不到位等問題。近年來隨著工業化與信息化的不斷融合，主流大型水電廠通常已實現開放式、分布式的計算機監控系統結構，即通過光纖工業以太網方式承載數據通信。近年來國家及電力行業在安全政策、組織機制、產業發展發面采取了一系列舉措，但由于網絡安全基礎薄弱、人防與技防未同步、核心信息技術受制于人等問題，面臨網絡信息安全威脅仍然較為嚴峻。水電廠作為重要基礎設施，重要性高且具有一定的戰略意義，一旦遭受攻擊影響巨大，較為成為敵對勢力攻擊的目標。因此結合水電廠既有防護措施開展針對威脅性的優化設計研究勢在必行。

1 既有安全防護措施

電力二次系統安全防護工作自2002年起步以來，歷經十余年已逐步在廠網側形成了較為完善的防護體系，電力二次系統“安全分區、網絡專用、橫向隔離、縱向認證”的十六字方針安全防護策略初見成效。2014年，國家發展改革委令的形式發布了《電力監控系統安全防護規定》（國家發展改革委令 第14號），正式將電力二次系統更名為電力監控系統，明確進一步加強電力監控系統安全防護工作要求與責任體系。

國內水電廠監控系統經歷了引進消化、應用自主、部分國產三個階段后，目前已逐步規范其信息安全防護技術手段與管理措施，具體表現為：落實柵格狀電力監控系統動態安全防護體系，主要包括基礎設施安全、體系結構安全、系統本體安全、全面安全管理、應急備用措施五個方面。據筆者針對超過30個水電廠電力監控系統的情況摸排，未出現生產控制大區與管理信息大區不分、專線通道混合承載公用業務、專用隔離裝置與加密裝置部署位置錯誤等結構安全異常情況；部分單位已實現面向操作系統或應用層面的有效措施，進一步鞏固了本體安全；全部水電廠已將信息安全管理融入生產管理體系中并逐級落實安全分級責任制，人員、設備及系統的安全管控水平穩步提升。望眼全球目前國內水電廠監控系統安全防護體系具備一定的優勢，可有效抵御一定程度上的網絡攻擊。

2 水電廠監控系統安全防護難點

2.1 水電廠監控系統特點

現階段水電廠監控系統大多采用工業以太網架構實現其控制功能，采用現場總線技術實現PLC、現地控制單元、觸摸屏、上位機之間的通信，以實現其可擴展性。其中上位機部分水電廠與傳統火電差異較小，下位機部分主要通過PLC實現現地控制單元（現地LCU）的組態，現地LCU等承載數據采集、設備控制、人機接口等功能實現。按照目前主流的工業企業功能5層架構模型（見圖1），水電廠監控系統涉及現場設備層、現場控制層、過程控制層，生產管理層與企業資源層主要作用為維護記錄及優化生產過程。其中過程控制層與現場控制層（PLC、LCU）之間通過工業以太網連接，現場控制層與各現地控制設備通過現場總線或串口連接。相比較傳統火電、新能源電廠監控系統，除了諸如實時性、分布性、可擴展性等特征外，水電監控系統具備以下特點：

（1）機組單元多且統一控制。與大型火電單機隔離、獨立控制存在差異的是，水電廠現場控制層及過程控制層由多個水輪機發電單元構成，不同LCU現地控制單元之間不設置無物理或邏輯隔離，以便監控平臺的統一調控。

（2）自動化程度高，信息流量適中。與新能源電廠類似，水電廠輔機即油、水、氣系統結構相對簡單，且不涉及過多輔機控制，監控系統的信息明顯流量低于同等裝機容量火電，典型的工業現場總線即可滿足要求。

（3）PLC與LCU成熟應用，國產化水平低。根據現代水電廠的設計原理，現地控制單元LCU由PLC實現組態后接入工業以太網，結合人機界面共同工作完成監視功能，目前國產化水平較低，核心技術受制于人。

圖1 工業企業功能5層架構模型Fig.1 Industrial enterprise function 5 layer architecture model

2.2 現階段面臨威脅

當前，廠網雙側電力監控系統的控制功能直接滲透到電力生產的各個環節中，水電廠監控系統與調度自動化、繼電保護、安全自動裝置、廠站控制系統等構成高度融合、相互影響的整體，逐漸成為水電廠的神經中樞和大腦。而黑客蓄意攻擊手段不斷衍變，分布式拒絕服務（DDoS攻擊）、高級持續威脅（APT攻擊）、已知漏洞的定向應用等新型攻擊不斷涌現，面向水電廠監控系統的安全防護難度、管理難度大大增加，現有安全防護工作仍然存在薄弱環節。

2.2.1 基礎設施建設水平不一致

經過實地走訪發現，部分水電廠在機房物理建設方面缺乏投入，機房防竊、防火、防水、防破壞等物理安全防護措施存在不同層面的不合規項，且大部分無法有效進行機房基礎設施的統一監控管理。供電可靠性、電纜鋪設并未完全按照國家機房建設標準實施，不能滿足其可靠性要求。部分水電廠監控系統網絡通信層設備可靠性欠佳，如關鍵節點存在設備冷備、無法無縫切換或設備服役年限過長存在可靠性隱患等。

2.2.2 網絡通信防護不完善

根據國家能源局2015年的最新要求，水電廠監控系統安全防護架構中，生產控制大區的非實時部分與調度機構的縱向通信，需采用電力專用縱向加密裝置，部分電廠未及時完成改造工作；部分電廠廠商遠程維護過程中存在非法外聯的情況，即生產管理系統與因特網未經由符合國家及行業安全要求的方式互聯，存在通過外網對現場工控系統發動網絡攻擊的風險；防火墻訪問控制粒度控制不合理，開放多余數據通道；入侵檢測系統（IDS）暫未部署或入侵檢測策略設置不合理。

2.2.3 運維監控能力薄弱

水電廠通常重視系統可用性與數據完整性，未將信息安全作為運維重點工作。操作系統、網絡設備等資產安全策略未加固的問題比較突出，部分單位存在用戶口令管理和權限控制不嚴的問題，個別Windows平臺上位機網絡中發現存在病毒。大部分水電廠未搭建資產集中監控平臺，無法實現針對水電廠設備資產的集中狀態監控、日志歸并整合、告警展現及預警等功能，安全事件及故障應對仍以依賴廠家事后補救模式居多。

2.2.4 系統設計平臺缺陷

現階段水電廠監控系統多以成熟平臺為基礎進行二次開發，主流監控平臺大多使用C類安全操作（TCSEC即美國防部系統安全測評標準將WindowsUNIX均定義為C類操作系統），安全操作系統尚未實現普及應用。部分監控系統應用層數據采集功能設計不完善，如部分數據需通過自定義共享、FTP等非安全模式進行傳輸；部分平臺將業務松耦合部署，即多種業務共用同一設備。

2.2.5 安全管理短板缺項

部分水電廠安全管理存在不足，安全防護意識淡薄。目前水電廠監控系統的日常安全管控多數由設備管理部門承擔，人員配置、崗位職責不明確等因素直接導致專業人員技能不足、缺乏技術指導、管理規范性，與全方位安全管理與防護要求存在一定差距。同時，針對水電廠監控系統安全防護資金投入落實到位情況欠佳，對安全防護工作長期存在的薄弱環節和風險隱患熟視無睹，難以適應電力監控系統安全防護的新形勢和新要求。

3 水電廠監控系統安全防護優化設計

3.1 防護優化設計原則

結合水電廠監控系統特性、面臨網絡安全威脅及防護難點，已投運或在建的水電廠監控系統安全防護設計建議遵循以下兩點基本原則：

3.1.1 全面融入生產安全，體系優化動態完善

在國家、行業、企業現有的重點面向網絡邊界、資產設備、業務應用安全防護體系的基礎上，進一步將水電廠監控系統的安全防護工作融入水電廠安全生產管理體系，對全體人員、全部設備、全生命周期進行全方位的安全管理，同時將安全防護技術融入水電廠監控系統的采集、傳輸、控制等各個環節各業務模塊，融入電力監控系統的設計研發和運行維護；逐漸形成融合管理、技術、操作等維度化的安全管理體系，并隨著技術進步而不斷動態發展完善。

3.1.2 充分考慮可用性、實用性、可擴展性

水電廠監控系統與一次系統閉環運行、高度融合，其安全可靠運行已成為電網安全的重要前提和保障，在技術防護設計或改造過程中，需要優先考慮其可用性，尤其是已投運電廠的整改過程中需要充分與監控系統原廠家進行系統狀況調研，檢驗其與現有平臺的兼容性、操作便捷性、應急冗余性等，確保不影響監控系統正常運行。同時，電力監控系統的安全性不應由技術的迅速發展和更新而有所減弱，這不但是要求選用當前業界先進可靠、功能全面的電力專用安全產品，而且更重視其良好的可擴展性，便于針對新的系統攻擊技術加強防護功能。

3.2 基礎設施與網絡結構優化重點

水電廠監控系統基礎設施安全優化重點主要包含有機房及現地工作站的生產場地環境、供電及通信可靠性。參照國家C類機房標準，研究新建機組機房等基礎設施選址合理性；重點考慮機房防竊、防火、防水、防破壞、門禁系統等物理安全防護措施與機房進出控制、鑒別和人員防尾隨等管理措施一致性管理；供電及通信可靠性需關注機房供電可靠性、UPS電源負載、強弱電隔離布設情況、設備使用壽命與故障多發期備品備件準備，通信設備應具備N-1安全運行要求，不同的冗余通信通道建議通過不同電纜溝道分設。

網絡結構則重點貫徹落實“安全分區、網絡專用、橫向隔離、縱向認證”的基本防護要求（詳見國家發展改革委14號令），生產控制大區非實時部分應采用縱向加密認證裝置替代防火墻，所有業務功能需要按照安全分區的原則部署；應定期對電力專用正反向、縱向裝置及區域間防火墻策略配置的合理性進行核查，杜絕明通現象發生。此外，需要杜絕終端非法外聯的情況，即命令禁止接入生產控制大區的計算機設備與互聯網相連混用。若部分電廠涉及必需的遠程撥號維護，撥號網關設備則必須經由并通過國家有關機構安全檢測認證，做好嚴格的監管審計且非使用狀態下應處于斷電關機狀態。

3.3 設備資產及系統應用優化重點

水電廠監控系統設備資產包含監控系統中的操作系統、數據庫、中間件等基礎軟件及服務器、工作站、現地控制單元、PLC、網絡設備等硬件設備。全部資產應建立完善的資產清單，羅列其明細功能，系統拓撲結構圖應按照實際情況描繪。系統基礎軟件應注意需開展專項安全策略加固工作，針對默認開啟的通非必須通用服務、口令策略強度、賬號權限、惡意代碼防范、審核粒度等進行集中的核查整改；硬件設備應封閉網絡設備和計算機設備的空閑網絡端口和其他無用端口，拆除或封閉不必要的移動存儲設備接口。新建水電廠在計算機、存儲設備、路由器、交換機等關鍵設備選型過程中，需注意設備是否存在安全隱患或惡意芯片；新建或已投運水電廠不得使用曾被公安部通報存在后門漏洞的PLC產品，已使用的需盡快聯系廠商完成整改工作。新建水電廠監控系統應用層安全設計應充分考慮全生命周期管控理念，即在系統規劃設計、研究開發、施工建設、安裝調試、系統改造、運行管理、退役報廢各階段充分考慮系統應用層面安全管控與治理，形成隱患消缺的閉環模式，并逐步擺脫對非國產、非安全操作系統或開發平臺的依賴。

3.4 安全管控及事件處置優化重點

參照水電廠的企業性質與特點，安全管控建議在不斷融入安全生產管理過程中，按照全體人員安全管理、全部設備安全管理兩方面開展。全體人員安全管理即適度加強電力監控系統安全防護人員的配備，明確崗位各崗位職責，加強對監控系統安全防護的管理、運行、維護、使用等全體人員的安全管理和培訓教育，重點加強對廠家維護及評估檢測等第三方人員的安全管理及防護措施。全部設備管理即面向監控系統的資產需建立設備臺賬，定期核查全部設備安全管理是否存在遺漏項；核查接入設備身份是否可信，涉網側設備證書是否符合管理要求，相關設備、介質等接入監控系統網絡時應制定接入技術方案、采取相應安全防護措施，并視具體情況經由電力監控系統安全管理部門的審核、批準。事件處置工作重點考慮應急演練與災備要求的常態化開展工作，即面向水電廠監控系統網絡與信息安全的應急預案是否編制并演練，安全應急制度及不同狀況下的應急預案是否健全；設備、人員、數據、系統等層面是否具備冗余備用配備，應急狀態下是否有效等。

4 結束語

隨著信息化在工業控制領域的不斷深入與融合，電力監控系統安全防護將很快上升成為國家戰略實現的重要抓手。主觀上放眼整個電力行業發展形態與潛在威脅，水電廠監控系統的安全防護將不斷面臨新的挑戰，從客觀角度也會迫使其安全防護必須在傳統技術方法的基礎上，結合國家行業要求，不斷深化與創新以解決新的安全問題。未來的信息安全態勢瞬息萬變，水電廠還需進一步開展安全防護優化設計與落地工作，從人防、技防兩方面入手，切實提高公司網絡與信息安全管理能力、控制能力、防御能力，保障水電廠機組乃至整個電網的安全穩定運行。

[1]陳雪鴻，葉世超，石聰聰.淺談工業控制系統信息安全等級保護定級工作[J].自動化博覽，2015，（5）：66-70.CHEN Xuehong SHI Chao ye，SHI Congcong.Grading and Industrial Control System Information Security Rank Protection Work [J].Automation of expo，2015，（5）：66-70.

[2]唐鵬程，簡析潘口水電站電力二次系統的安全防護[J].電子世界，2014，（5）：58-58.TANG Pengcheng.Introduces a Pan Mouth Hydropower Secondary System Security Protection [J].Journal of Electronic World，2014，（5）：58-58.

[3]何佳.二次安全防護系統在滇東電廠的應用研究[D].北京：華北電力大學，2014.

[4]陳英婕.水電站計算機監控系統的研究[D].天津：河北工業大學，2007.

[5]倉義東，劉振龍.基于嵌套模型的多級集控監控系統設計[J].水電與抽水蓄能，2015，1（1）：65-70.CANG Yidong，LIU Zhenlong.The Design of Multistage Control System Based on the Nested Model[J].Hydropower and Pumped Storage，2015，1（1）：65-70.

[6]姜海軍，王惠民，單鵬珠，杜晨輝，喻洋洋.抽水蓄能電站計算機監控系統自主化歷程與成就[J].水電與抽水蓄能，2016，2（1）：63-66.JIANG Haijun，WANG Huimin，SHAN Pengzhu，DU Chenhui，YU Yangyang.The Domestic Process and Achievement of the Computer Control Technology of Pumped Storage Power Station[J].Hydropower and Pumped Storage，2016，2（1）：63-66.

[7]黃麗琴，汪瑋，孫杰.一次調頻功能在監控系統的實現[J].水電與抽水蓄能，2015，1（2）：5-9.HUANG Liqin，WANG Wei，SUN Jie.The Realization of Primary Frequency Modulation Function in the Computer Supervisio and Control System[J].Hydropower and Pumped Storage，2015，1（2）：5-9.

Optimization Research for Information Security Protection of Hydropower Plant Supervisory System

LIU Yin1，CHANG Yuhong2，JIANG Tao3，YANG Weiyong1，ZHU Shishun1
（1.State Grid Electric Power Research Institute/Nari Group Corporation，Nanjing 210000，China；2.State Grid XinYuan Company LTD，Beijing 100761，China； 3.Xiangshuijian Pumped Storage Power Station，WuHu 241083，China）

Hydropower plant as an important national infrastructure，its information security protection of supervisory system is importance and strategic significance.This paper expounds the characteristics of Hydropower plant supervisory system and the existing security measures，and analyzed the information security difficulties with the latest requirements of state and electric power industry，puts forward suggestions to optimize the disposal for infrastructure and network structure，assets and system application，security control and event process，to provide a reference for the construction of Hydropower plant further improvement on information security protection.

hydropower plant；supervisory system ；information security protection

TV-9 文獻標識碼：A 學科代碼：570.6010 DOI：10.3969/j.issn.2096-093X.2016.06.006

2016-08-05

劉 寅（1986—），男，工程師，主要研究方向：電力系統網絡與信息安全技術。E-mail：liuyin@sgepri.sgcc.com.cn

常玉紅（1972—）男，高級工程師，主要研究方向：水電廠生產管理。E-mail：yuhong-chang@sgxy.sgcc.com.cn

姜 濤（1987—），男，工程師，主要研究方向：水電廠電氣二次專業技術、電力系統網絡與信息安全技術。E-mail：tao-jiang.xsj@sgxy.sgcc.com.cn

楊維永（1978—），男，高級工程師，主要研究方向：電力系統網絡與信息安全技術。E-mail：yangweiyong@sgepri.sgcc.com.cn

朱世順（1977—），男，高級工程師，主要研究方向：電力系統網絡與信息安全技術。E-mail：zhushishun@sgepri.sgcc.com.cn