水電站二次系統(tǒng)網(wǎng)絡安全防護方案

張繼康

(國網(wǎng)陜西省電力公司安康水力發(fā)電公司，陜西 安康 725000)

水電站二次系統(tǒng)網(wǎng)絡安全防護方案

張繼康

(國網(wǎng)陜西省電力公司安康水力發(fā)電公司，陜西 安康 725000)

介紹了安康水電站二次系統(tǒng)網(wǎng)絡現(xiàn)狀，闡述了網(wǎng)絡安全防護的規(guī)劃、目標和解決方案，并在此基礎(chǔ)上提出了一些建議，以促進安康水電站二次系統(tǒng)網(wǎng)絡安全防護工作的實施與提升，保障水電站和陜西電網(wǎng)的安全穩(wěn)定運行。

水電站；二次系統(tǒng)；網(wǎng)絡安全防護；安全分區(qū)

0 引言

安康水電站位于漢江干流上游，下游距安康市城區(qū)18 km，是漢江上游陜西省境內(nèi)7級梯級水電站開發(fā)中的第4級水電站，也是7級梯級水電站中調(diào)節(jié)能力最強、裝機容量最大的水電站。

該水電站于1978年開工建設(shè)，機組于1992年全部并網(wǎng)發(fā)電。電站最大壩高128 m，壩長541.5 m，控制流域面積35 700 km2，水庫正常高水位330 m，水電站總庫容25.85×108m3。水電站總裝機800 MW，以3回330 kV出線與西安市和漢中市電網(wǎng)相連，7回110 kV出線與安康市電網(wǎng)連接，是陜西電網(wǎng)調(diào)峰、調(diào)頻和事故備用的主力電廠之一，肩負著安康市城區(qū)及下游城鎮(zhèn)防洪度汛的重任。

1 網(wǎng)絡安全防護方案的規(guī)劃及目標

1.1 總體規(guī)劃

安康水電站結(jié)合現(xiàn)有自動化系統(tǒng)現(xiàn)狀制定二次系統(tǒng)網(wǎng)絡安全防護方案。其總體規(guī)劃是：

(1) 在保證安康水電站網(wǎng)絡架構(gòu)原有業(yè)務功能的基礎(chǔ)上，增加4面服務器機柜、5臺服務器、1臺磁盤陣列以及通信光纜、網(wǎng)絡安全隔離與防護;

(2) 在堅固的安全網(wǎng)絡保護的基礎(chǔ)上，充分利用和挖掘網(wǎng)絡資源，增強企業(yè)局域網(wǎng)的信息處理和分析能力;

(3) 構(gòu)筑面向各信息子系統(tǒng)的綜合數(shù)據(jù)信息平臺，在硬件、軟件及數(shù)據(jù)庫方面提供各層的規(guī)范接口，保證目前已經(jīng)投運的各個子系統(tǒng)能安全可靠地接入平臺，確保子系統(tǒng)之間能共享信息資源。

1.2 防護目標

安康水電站二次系統(tǒng)安全防護的總目標是：

(1) 防止水電站監(jiān)控系統(tǒng)服務的核心業(yè)務(即電力生產(chǎn))中斷；

(2) 防止水電站監(jiān)控系統(tǒng)崩潰；

(3) 抵御外部人員對水電站監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，以及可能對相連的調(diào)度自動化系統(tǒng)造成的影響；

(4) 防止利用病毒/木馬等惡意程序，從水電站監(jiān)控系統(tǒng)局域網(wǎng)內(nèi)部發(fā)起的對電力生產(chǎn)及相連的調(diào)度自動化系統(tǒng)的惡意破壞和攻擊；

(5) 保護水電站監(jiān)控系統(tǒng)的實時和歷史數(shù)據(jù)，防止數(shù)據(jù)被非授權(quán)修改。

2 網(wǎng)絡安全防護現(xiàn)狀與防風險措施計劃

2.1 計算機監(jiān)控系統(tǒng)

安康水電站計算機監(jiān)控系統(tǒng)防護現(xiàn)狀與計劃增加的防風險措施如表1所示。

2.2 水庫調(diào)度自動化系統(tǒng)(水情測報系統(tǒng))

安康水電站水庫調(diào)度自動化系統(tǒng)已形成一個綜合性的數(shù)據(jù)庫，所涉及的功能模塊在多個安全區(qū)均有分布，和水庫調(diào)度自動化系統(tǒng)交換數(shù)據(jù)的系統(tǒng)有：監(jiān)控自動化系統(tǒng)(安全1區(qū))、電量計費系統(tǒng)(安全2區(qū))、西北網(wǎng)調(diào)自動化系統(tǒng)(安全3區(qū))、藺河口水調(diào)自動化系統(tǒng)(安全3區(qū))、安康市防汛辦(安全3區(qū))、安康電廠后方通信科(安全3區(qū))、MIS(Management Information System，管理信息系統(tǒng))系統(tǒng)(安全3區(qū))等。

由于安康水電站水庫調(diào)度自動化系統(tǒng)規(guī)模迅速擴大，其初期的整體設(shè)計理念，已無法滿足目前網(wǎng)絡的整體安全要求，所以在網(wǎng)絡安全防范方面只能盡量分模塊進行安全保護。

水庫調(diào)度自動化系統(tǒng)的網(wǎng)絡安全防護現(xiàn)狀與計劃增加的防風險措施如表2所示。

3 網(wǎng)絡安全防護方案

3.1 二次系統(tǒng)安全防護總體方案

本方案根據(jù)安康水電站網(wǎng)絡現(xiàn)狀以及二次安全防護總體方案——水電站防護方案要求，結(jié)合網(wǎng)絡及業(yè)務需求，對各應用系統(tǒng)進行了合理的安全分區(qū)，安康水電站二次系統(tǒng)安全防護方案如圖1所示。方案分為以下幾個部分。

(1) 生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的橫向隔離。位于控制區(qū)(安全1區(qū))的機組監(jiān)控系統(tǒng)與MIS系統(tǒng)通過1臺單比特正向隔離裝置互聯(lián)，也可冗余配置2臺裝置，互為備用，實現(xiàn)安全1區(qū)與管理信息大區(qū)之間的安全隔離。由于不存在反向業(yè)務，所以2區(qū)之間無需部署反向隔離裝置。

(2) 正、反向隔離。位于非控制區(qū)(安全2區(qū))的水調(diào)自動化系統(tǒng)、電量計費系統(tǒng)、內(nèi)網(wǎng)數(shù)據(jù)中心與管理信息大區(qū)系統(tǒng)的外網(wǎng)數(shù)據(jù)中心、MIS系統(tǒng)之間通過1臺(或2臺，冗余配置)正向隔離裝置和1臺反向隔離裝置(或2臺，冗余配置)，其中因為內(nèi)、外網(wǎng)數(shù)據(jù)中心需要數(shù)據(jù)雙向互傳文件，故在此部署反向隔離裝置。

表1 計算機監(jiān)控系統(tǒng)防護現(xiàn)狀與計劃增加的防風險措施

表2 水庫調(diào)度自動化系統(tǒng)網(wǎng)絡安全防護現(xiàn)狀與計劃增加的防風險措施

本方案中所有隔離裝置為了配合應用應答，從物理層實現(xiàn)外網(wǎng)到內(nèi)網(wǎng)1 bit。因此所有應用系統(tǒng)的外網(wǎng)服務器程序只能返回1 bit的應答給內(nèi)網(wǎng)客戶端程序，同時規(guī)定11 bit的內(nèi)容只能有2種狀態(tài)：0和1，分別用1 byte 0和255表示。應用程序只允許TCP(Transmission Control Protocol，傳輸控制協(xié)議)和UDP(Open System Interconnection，開放式系統(tǒng)互聯(lián))應用，推薦使用UDP。要求安全1區(qū)各應用系統(tǒng)及MIS系統(tǒng)通信服務程序由相關(guān)開發(fā)廠商進行相應的改動。

(3) 生產(chǎn)控制大區(qū)內(nèi)部控制區(qū)(安全1區(qū))與非控制大區(qū)(安全2區(qū))之間安全防護。根據(jù)二次安全防護方案要求，安全1，2區(qū)之間應采用防火墻進行邏輯隔離，用于監(jiān)控系統(tǒng)與內(nèi)網(wǎng)數(shù)據(jù)中心的數(shù)據(jù)交互。

(4) 管理信息大區(qū)與外網(wǎng)(因特網(wǎng))互聯(lián)。管理信息大區(qū)與外網(wǎng)互聯(lián)通過1臺防火墻進行安全防護，建議根據(jù)交換機的接口狀況采用千兆防火墻。

(5) 縱向加密認證裝置部署。根據(jù)二次系統(tǒng)安全防護方案“縱向認證”的要求，在已有的調(diào)度數(shù)據(jù)網(wǎng)絡路由器和交換機(安全1，2區(qū)核心交換機)之間分別部署1臺(共2臺)縱向加密認證裝置。通過對數(shù)據(jù)加密隧道的建立和訪問控制策略的配置，保證廣域縱向數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

(6) 生產(chǎn)控制大區(qū)和管理信息大區(qū)入侵檢測系統(tǒng)部署。根據(jù)需求，對照二次系統(tǒng)安全防護方案規(guī)定，生產(chǎn)控制大區(qū)和管理信息大區(qū)不可以共用1套系統(tǒng)。因此，本方案中在生產(chǎn)控制大區(qū)部署1套IDS(Intrusion Detection Systems，入侵檢測系統(tǒng))，將IDS裝置和管理服務器部署在安全2區(qū)，探頭分別部署在安全1，2區(qū)交換機的網(wǎng)絡邊界，監(jiān)測來自內(nèi)網(wǎng)的攻擊和流量異常等情況。在管理信息大區(qū)部署1套IDS系統(tǒng)，部署在管理信息大區(qū)核心交換機上，主要監(jiān)測來自外網(wǎng)和MIS系統(tǒng)網(wǎng)絡邊界的攻擊和數(shù)據(jù)流量異常情況。

圖1中的虛線部分為設(shè)備的雙機冗余配置，為可選項。采用冗余配置將更有利于系統(tǒng)安全、穩(wěn)定地運行。

圖1方案實際上符合二次系統(tǒng)安全防護方案中三角鏈接模式，即組成安全1，2區(qū)之間通過防火墻互聯(lián)，安全1區(qū)與管理信息大區(qū)通過橫向隔離裝置互聯(lián)，完成數(shù)據(jù)的正向傳輸；安全2區(qū)與管理信息大區(qū)通過橫向隔離裝置互聯(lián)，完成數(shù)據(jù)的正、反相傳輸。

3.2 水庫調(diào)度自動化系統(tǒng)防護方案

由于安康水電站水庫調(diào)度自動化系統(tǒng)目前為獨立系統(tǒng)，通過防火墻與當?shù)胤姥床糠只ヂ?lián)，不符合二次系統(tǒng)安全防護規(guī)定。

隨著水調(diào)自動化系統(tǒng)的建立，安康水電站水庫調(diào)度自動化系統(tǒng)將通過調(diào)度數(shù)據(jù)網(wǎng)絡與省調(diào)互聯(lián)，因此不能直接將其與防汛系統(tǒng)通過公網(wǎng)互聯(lián)，必須經(jīng)過隔離裝置進行隔離后再互聯(lián)。對于該系統(tǒng)的防護有2種方案可供選擇。

(1) 方案1。將水庫調(diào)度自動化系統(tǒng)置于安全2區(qū)，通過正向隔離裝置將數(shù)據(jù)倒至位于管理信息大區(qū)MIS系統(tǒng)的Web服務器，再通過防火墻與外網(wǎng)互聯(lián)，以滿足安防要求。

(2) 方案2。安康水電站水庫調(diào)度自動化系統(tǒng)統(tǒng)防護方案2如圖2所示。

圖2 安康水電站水庫調(diào)度自動化系統(tǒng)防護方案2示意

方案2與方案1的區(qū)別在于，方案2在水庫調(diào)度自動化系統(tǒng)單獨增加了1臺正向隔離裝置，將Web服務器直接與隔離裝置互聯(lián)，不將其與管理信息大區(qū)的MIS網(wǎng)交換機互聯(lián)，通過原有防火墻與外網(wǎng)防汛系統(tǒng)互聯(lián)。

3.3 入侵檢測系統(tǒng)部署方案

在生產(chǎn)控制大區(qū)和管理信息大區(qū)各部署1套IDS系統(tǒng)，每套系統(tǒng)包括1臺入侵檢測裝置和1臺管理服務器，管理服務器用于數(shù)據(jù)的存儲和作為管理軟件的平臺。

安全1，2區(qū)入侵檢測原理如圖3所示，其中安全1，2區(qū)共用1套系統(tǒng)，將IDS裝置和管理服務器部署在安全2區(qū)，即將IDS裝置和管理服務器接入安全2區(qū)核心交換機，其地址均為安全2區(qū)地址段地址。將裝置探頭分別部署在安全1，2區(qū)交換機的網(wǎng)絡邊界，通過交換機的鏡像功能，監(jiān)測來自內(nèi)網(wǎng)的攻擊和流量異常等情況。要求有探頭部署時交換機應為3層交換，且具有鏡像功能。

本次工程配置的IDS共有3個網(wǎng)口，其中1個網(wǎng)口用于管理用，需要配置地址，該網(wǎng)口通過電力廣域網(wǎng)調(diào)度中心IDS日志查看服務器在1個VLAN(Vitrual Local Area Netuout，虛擬局域網(wǎng))，IDS設(shè)備的管理軟件就裝在當?shù)胤掌魃希黄溆?個網(wǎng)口就接在1，2區(qū)交換機上，在混雜模式下，無需配置地址。在2臺交換機上配置鏡像功能，把需要監(jiān)視的端口或數(shù)據(jù)流傳遞到IDS設(shè)備上。

圖3 1，2區(qū)入侵檢測原理示意

3.4 其他建議

(1) 由于管理信息大區(qū)的病毒防護和可能受到的攻擊更為突出，建議在管理信息大區(qū)部署IPS(Instrusion Prevention System，入侵防御系統(tǒng))，其與IDS最大的區(qū)別在于具有阻斷功能。好的IPS系統(tǒng)集成了入侵防御與檢測、病毒過濾、帶寬管理等多項功能，可實時阻斷網(wǎng)絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件及攻擊和惡意行為。

(2) 由于管理信息大區(qū)對外網(wǎng)的數(shù)據(jù)流量較大，建議采用千兆防火墻(應根據(jù)管理信息大區(qū)的核心交換機是否具有千兆接口確定)，以提高網(wǎng)絡速率和可靠性。

1 董玉香，田家英．電力二次系統(tǒng)安全防護探討[J]．電子世界，2014，36(22)：82-83.

2 郭積才，曹金元．智能變電站二次系統(tǒng)安全性探討[J]．電力安全技術(shù)，2014，16(3)：19-21.

3 國家質(zhì)量技術(shù)監(jiān)督局．GB 17859—1999計算機信息系統(tǒng)安全保護等級劃分準則[S]．北京：中國標準出版社，1999. 4 劉常勇，劉 雙．三門核電站二次系統(tǒng)安全防護方案[J].中國核電，2015，8(3)：266-270.

2016-12-18。

張繼康(1984—)，男，工程師，主要從事電力系統(tǒng)自動化設(shè)備維護檢修和技術(shù)改造工作，email：qwer970@126.com。