白山發電廠電力二次系統安全防護改造

吳迪

白山發電廠電力二次系統安全防護改造

吳迪

（白山發電廠，吉林 吉林 132013）

按照信息安全等級保護規定對白山發電廠計算機監控系統進行安全防護改造，通過部署入侵檢測裝置、防火墻、防病毒設備等信息安全設備提升計算機監控系統信息安全防護水平。

信息安全；計算機監控系統；電力二次系統

1　基本概況

依據電監會第5號令《電力二次系統安全防護規定》和配套34號《電力二次系統安全防護總體方案》文件的基本原則，為確保白山發電廠計算機監控系統的安全穩定運行，結合白山發電廠的具體情況，對白山發電廠計算機監控系統安全防護進行規劃、實施，部署相關安全防護產品，制定相應的安全管理制度和措施。使白山發電廠計算機監控系統能夠達到全國先進電網的安全防護水平，起到抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊的作用，特別是能夠抵御集團式攻擊，防止由此導致一次系統事故或大面積停電事故，及二次系統的崩潰或癱瘓的目的而制定的。

本次改造涉及到白山發電廠吉林集控中心、白山站、紅石站的計算機監控系統設備。主要對邊界安全、防病毒、入侵檢測等方面進行了改造。

2　系統設計

2.1白山發電廠計算機監控系統安全防護的安全策略

1）分區防護、突出重點。根據白山發電廠電力二次系統業務的重要性和對一次系統的影響程度進行分區，將所有系統都置于相應的安全區內。

2）實施全網病毒防護。在整個生產控制大區和吉林集控中心自動化系統安全區II和安全區III各配置一套防病毒軟件系統，實行全網病毒監視。

3）加強網絡接口邊界的識別和保護。對白山發電廠二次系統中的網絡接口邊界（包括內部局域網和廣域網、Internet網、遠程撥號、無線網絡等）進行識別，斷開不必要的接口，并加強剩余接口的安全保護。在生產控制大區(I區)設置防病毒安全網關，防止在調試期間外來設備接入主交換機時帶入病毒，影響I區設備安全的情況。

4）制定完善的備份與恢復策略，保障系統及數據的安全。對白山發電廠二次安全防護項目中涉及的關鍵應用數據與應用系統進行備份，確保數據損壞、系統崩潰情況下快速恢復數據與系統的可用性；對關鍵主機設備、網絡的設備與部件進行相應的熱備份與冷備份，避免單點故障影響系統可靠性；在具備條件的前提下進行異地的數據與系統備份，提供系統級容災功能，保證在規模災難情況下，保持系統業務的連續性。

5）建立完善的監控、應急響應體系，保證及時地發現問題、處理問題。建立白山發電廠集控中心及下屬電站的二次系統安全事件監控、應急體系，用于保護、分析對在運行縱向加密裝置的系統資源的非法訪問和網絡攻擊，并配備必要的應急設施和資源，統一調度，形成對重大安全事件（遭到黑客、病毒攻擊和其他人為破壞等）快速響應的能力，最大限度地降低系統的風險。

6）規范安全管理，建立健全各種管理制度。規范化管理是白山發電廠二次系統安全的保障。以“三分技術，七分管理”為原則，建立白山發電廠二次安全防護項目中縱向加密裝置的規范化管理體系，落實責任制，明確各有關部門的工作職責，實行安全責任追究制度；建立健全各種安全管理制度，保證白山發電廠電力二次系統的安全運行；建立安全培訓機制，對所有人員進行信息安全基本知識、相關法律法規，以及實際使用安全產品的工作原理、安裝、使用、維護和故障處理等進行培訓，以強化安全意識，提高技術水平和管理水平。

2.2整體網絡結構

根據業務系統或功能模塊的實時性、使用者、功能、場所、各業務系統的相互關系、廣域網通信的方式以及受到攻擊之后所產生的影響，分別置于相應的安全區之中。

3　系統結構與要求

白山電廠計算機監控系統安全防護體系硬件配置主要包括防火墻、橫向隔離裝置、入侵檢測裝置以及管理機、撥號管理裝置、縱向加密裝置、防病毒安全網關等。此次改造是在原有計算機監控系統安全防護設備基礎上，進行的擴展改造。

3.1防病毒安全網關設計方案

防病毒網關是對病毒等惡意軟件進行防御的硬件網絡防護設備，可以協助I區系統防護各類病毒和惡意軟件，對其進行隔離和清除。在系統中設計五臺防病毒網關，分別部署于I區白山、紅石廠區和樺甸、吉林集控4個維護地點，布置在監控內網交換機和外部維護通道之間，即當使用撥號認證方式登錄網絡時，布置在撥號裝置和內網交換機之間；當使用現場維護終端維護時，布置在維護終端和內網交換機之間。網關內側提供兩個不同網段的地址，對兩個監控內網均能實現訪問，外側接撥號認證裝置或者現場維護終端，實現通道的防病毒過濾。

防病毒安全網關技術要求：

每秒用戶連接數：>100

最大用戶數：500

接口數：不少于4個10/100/1000MBase-TX

防病毒數據吞吐量：>200Mb/s

數據包轉發延遲：<1ms

滿負荷數據包丟棄率：0

每秒新建連接數：>20000

最大并發連接數：>50萬

MTBF：>5萬h

具有全面的網絡應用內容識別過濾技術，對HTTP、HTTPS、FTP、SMTP、POP3等進行實時的雙向掃描過濾，檢測并攔截進出網絡的各種病毒、木馬、蠕蟲、間諜軟件、網絡釣魚、灰色軟件、后門程序、惡意應用攻擊等網絡威脅。

3.2網絡入侵檢測裝置設計方案

白山發電廠二次系統整體結構較復雜，分為4個地點，3個大區，需要對不同的區域進行監聽，探測引擎安裝于大型網絡的各個物理子網中，分布式監控網絡的各個部分，1臺管理器可管理多臺服務器，達到分布安裝，全網監控，集中管理。因此白山發電廠二次安全防護項目中IDS設備采用分布式檢測方式，對于安全I區4個地點，分別在每個地點的機房交換機機柜內增加1臺入侵檢測裝置，在雙網的交換機配置廣播口，監測各網絡節點的所有報文動態。

吉林市集控中心安全II/III區的網絡連接方式，2臺入侵檢測引擎監聽口分別部署在吉林市集控中心智能化統一平臺安全II/III區的核心交換機上的廣播口，監控安全II/III區的所有報文動態，檢測引擎將捕獲的報文信息發送到IDS管理工作站。管理口連接IDS管理工作站，IDS管理工作站連接到各個安全區內核交換機上。

根據吉林市集控中心智能化統一平臺雙網接入的特點，安全II區IDS監聽引擎和IDS管理機雙網接入；安全III區IDS監聽引擎和IDS管理機雙網接入。

考慮到吉林集控中心內的綜合網管系統的應用實際，IDS管理工作站可將篩選的報文信息通過syslog的方式發送到綜合網管系統，再由綜合網管系統定制呈現。

技術要求如下：

1）入侵檢測引擎

平均無故障運行時間：>20000h

系統恢復時間：<1min

最大PPS：千兆引擎≥100萬

新建TCP連接：千兆引擎≥10萬/s

維持最大連接數：千兆引擎≥100萬

可檢測事件數量不小于2000

并發TCP會話數量≥100000

最大并發TCP會話數量≥200000

處理能力≥200Mb

2）入侵檢測管理工作站

可以檢測并阻斷蠕蟲、網絡病毒、間諜軟件與木馬等危害程序；

支持實時的3～7層的網絡流量分析功能，用戶可自定義統計指定網絡范圍或指定協議的數據流量；

能夠實現會話的記錄和重組，對包括HTTP、SMTP、FTP、Telnet、POP3等多種會話進行記錄及回放；

控制臺界面良好，方便實現遠程管理；

對重大安全漏洞在廠商沒有提供解決方案前提供臨時解決方案。

網絡攻擊檢測功能：

具備網絡設備攻擊、安全掃描、蠕蟲病毒、安全審計、可疑行為、網絡娛樂、安全漏洞、欺騙劫持、網絡通訊、脆弱口令、窮舉探測、間諜軟件、流量事件、分布事件及CGI訪問功能。

3）事件庫

事件庫規模：不少于2000種；

事件自定義：可自定義網絡特征匹配事件和行為關聯事件；

可進行事件分類查詢、提供對事件和解決方案的詳細描述；

能進行至少每周1次事件庫升級，如果遇到突發事件和安全警報，應能進行緊急升級。

4）協議分析功能

協議解碼種類：至少含40種，如ARP、AUTH、BT、CHARGEN、DNS、ECHO、ETHER、FINGER、FTP、HTTP、ICMP、IGMP、IMAP、IP、IRC、MSNP、MSPROXY、MSRPC、NETBIOS-SSN、NFS、NNTP、NTALK、PCT、PMAP、POP3、Q931、RIP、RLOGIN、RTSP、SMTP、SNMP、SUNRPC、TCP、TCQ、TDS、TELNET、TFTP、TNS、UDP、WHOIS等。

3.3防病毒軟件設計方案

根據吉林集控中心的實際情況，建議在白山、紅石、吉林集控中心內建立整體的網絡防病毒體系。該范圍涵蓋了I區、II區和III區的windows系統主機設備，并在吉林集控中心的I、II、III區分別配有3臺專門的防病毒管理計算機進行維護和管理。

分別在吉林集控中心的I、II、III區內的智能化統一平臺內接入防病毒服務器，防病毒服務器上運行病毒監控管理中心及病毒庫中心，所有吉林市集控中心及下屬電廠的windows系統上安裝殺毒軟件客戶端，殺毒軟件客戶端的病毒庫更新源指向防病毒服務器。

安全I區防病毒服務器連接在I區監控系統主交換機內;安全II區防病毒服務器連接安全II區智能化統一平臺交換機上；安全III區防病毒服務器連接安全III區智能化統一平臺交換機上。結合白山發電廠的實際情況，可將防病毒服務器和IDS管理機工作站合二為一。

3.3.1殺毒軟件

1）先進的查殺病毒技術

選擇的反病毒廠家具有先進的反病毒技術，選擇的產品能夠查殺當前已知的病毒，并且能夠有效攔截和查殺未知病毒。

2）廠商開發、服務的本地化

反病毒廠家在中國具有自己的研發基地和完善的服務網。能快速響應國內的計算機病毒事件和技術支持服務。

3）安裝、操作、管理簡單

防病毒具有多種遠程安裝方式，滿足在復雜局域網中方便、快速布置防病毒客戶端。

4）能夠實現病毒防護的實時性

能夠對病毒可能傳播的途徑（網絡、光驅、軟驅、內存、）進行實時監控，阻止病毒通過這些途徑傳播。

5）可以掃描網絡中的系統漏洞

可以在網絡中掃描每個系統的漏洞、未打的補丁，并且幫助有漏洞的系統安裝補丁程序，更有效的保護整個網絡系統。

6）具備對網絡內服務器、工作站等所有計算機的防病毒能力

反病毒產品具有對全系列的操作平臺的監控產品，實現網絡內的層層布防。

7）在廣域網范圍內可具有跨路由、防火墻等的全網集中與分級防病毒管理能力

反病毒產品具有支持大型復雜網絡的多級管理功能，實現網絡內的多級管理，實現統一集中管理，內部責任明確。

8）具備可實施遠程自動分發、自動產品版本及防病毒引擎文件升級等遠程控制功能

產品具有全網統一升級功能，實現內部所有防病毒產品的統一升級、自動更新病毒代碼和反病毒引擎，保證網內所有防病毒產品具有最新、一致的防病毒能力。

3.3.2技術要求

1）所有硬件系統均需符合下述標準

通用規范：GB/T9813-2000；

電磁學規范：FCCClassB或CISPR22ClassB；

安全規范：ULListed（美國）或EN60950（國際）；

質量標準：ISO9000認證。

2）硬件系統環境要求

溫度：0～40℃；

濕度:20%～85%；

電源：220V（±10%）交流50Hz（±2%）單相電源，額定電流最高16A和32A。

3）硬件系統配置要求

英特爾CPU，主頻不低于2.10GHz；

內存不低于2GB；

硬盤容量不低于320GB；

一個1000M網絡接口；

Windows200332位操作系統；

顯卡顯存不小于1GB；

6芯電池，連續運行時間不小于4h。

4　結論

通過對白山發電廠計算機監控系統安全防護改造，增強了監控系統安全防護手段，解決了以往對程序更新、數據復制等會發生的病毒威脅。在系統邊界原有隔離裝置的基礎上增加了入侵檢測裝置，增加了邊界防御手段。

[1]張海華.基于可信計算和主動防御的等級保護在電廠的應用[J].信息安全與通信保密，2013（12）.

[2]唐斐.信息安全等級保護標準在電力行業的應用[C]//2012年電力通信管理暨智能電網通信技術論壇論文集，2012.

TP393

B

1672-5387（2016）08-0060-04

10.13599/j.cnki.11-5130.2016.08.018

2016-06-29

吳迪（1979-），男，工程師，從事水電站計算機監控系統及自動化系統維護管理工作。