某火力發電公司廠級信息監控系統安全防護改造綜述

沈志剛

摘要 針對某火力發電公司廠級信息監控系統近年來推進的信息系統安全等級保護改造，進行了歸納整理，其中涉及的普遍性問題解決方案，在同類型企業中具有較高的推廣應用價值。

【關鍵詞】廠級信息監控系統 信息系統安全等級保護 安全防護改造

1 前言

某火力發電公司廠級信息監控系統（以下簡稱SIS系統）于2005年投運，采集全廠生產過程數據，對生產過程進行優化分析，并向電廠管理信息系統（以下簡稱MIS系統）提供過程數據和計算分析結果，以滿足公司對于生產過程的管理要求。自2015年以來，根據能源行業及地方政府下達的規范及文件，逐步推進信息系統安全等級保護改造，改造過程所涉及的問題在行業內普遍存在，其解決方案對于同類型企業及SIS系統開發具有極好的借鑒作用。

2 系統概述

某公司全廠SIS系統由西安熱工研究院有限公司設計建造，于2005年投產，硬件主要服務器為IBM X306和IBM X346，接口機為研華工控IPC-610，防火墻為思科PIX-515E，網絡隔離裝置為珠海鴻瑞正向。底層數據庫為北京印步公司eDNA產品，應用軟件系統為西安熱工研究院TPRI-SIS產品。信息安全等級保護測評定級二級。

3 風險分析

近年來等級保護推進工作中逐步歸納整理了以下內容，其中既有自查發現問題，也有外聘等級保護評估單位檢查發現問題，擇其精要，部分不具備普遍意義的，以及在SIS系統設計中的通識性內容則未收錄（如專用安全產品）。

3.1 物理安全

如表1所示。

3.2 網絡安全

如表2所示。

3.3 主機安全

如表3所示。

3.4 應用安全

見表4。

3.5 數據安全

見表5。

4 安全防護改造方案

4.1 方案綜述

在設計改造方案之前，首先定義發電廠SIS系統幾項特征，非控制、可短暫中斷、實時數據分析、發布信息共享。個別發電廠參與生產控制的SIS系統需執行更嚴格的等級保護措施，不在本文所述范圍。根據SIS系統特征，結合前文的風險分析，方案推進需遵循基礎設施改造在前、先硬件后軟件、數據完整遷移的原則。

4.2 機房改造

SIS系統機房必須獨立布置，加裝防盜報警系統、電子門禁系統以實現身份鑒別;機房敷設防靜電地板;配置具備溫濕度控制功能的單體空調，或結合中央空調改造實現溫濕度控制;SIS系統配置雙路自動切換電源，兩路電源應取自不同動力段，避免整段停電檢修影響SIS系統供電。

4.3 系統拓撲結構改造

早期設計的SIS系統大多不符合等級保護所要求的三層結構，在對硬件改造之前，需先優化系統拓撲結構，調整相應功能區，根據調整后的拓撲圖規劃硬件布置，添置關鍵設備。圖1、圖2為某公司規劃前后的SIS系統網絡拓撲圖，有以下幾點改造。

（1）邊界完整性：DCS生產區的工控防火墻在早期發電廠SIS系統均未布置，作為關鍵網絡設備應在SIS系統改造時統一配置;管理信息大區的MIS子交換機與MIS主交換機分屬不同的系統，之間應布置防火墻。

（2）結構安全：拆分計算站業務，實時生產數據計算站遷至安全區II，管理信息大區增加MIS數據計算站，取消值長站及打印機等位于安全區II的管理區設備。

（3）安全審計及監測：安全區II的核心交換機部署經專用安全產品認證的監測審計平臺。

（4）容災配置：二級防火墻、網絡單向隔離裝置及鏡像數據庫增加災備冗余設備，由于SIS系統可短暫中斷的特點，除鏡像數據庫之外，其余設備均設為冷備用。

4.4 硬件改造。

對SIS系統早期部署的老化服務器、交換機集中更新，補充系統結構缺少的設備，主要為邊界防護工業防火墻、監測審計平臺服務器。由于結構的變化，值長站等跨區管理主機取消，在不同安全分區內分別配置獨立的一體式共享機架，以實現對分區內設備的維護管理。

4.5 軟件改造

4.5.1 數據庫改造

數據庫在原有軟件版本基礎上進行升級，主要解決運行中不穩定、歷史服務進程易宕機，并改善原數據庫日志策略過于簡單的缺陷，避免遺漏重要異常事件。

4.5.2 操作系統改造

SIS系統所有主機均使用Windows操作系統，作為非安全操作系統，需做全面加固改造，安裝漏洞補丁，修改本地安全策略。

4.5.3 防惡意代碼改造

SIS系統作為邊界防護完整，未直接連接互聯網的內部局域網業務系統，防惡意代碼改造主要手段為安裝白名單軟件，并按等級保護要求定期更新病毒特征庫。

4.5.4 應用軟件改造

SIS應用軟件改造由原系統集成商進行二次開發，主要增強局域網內web用戶身份鑒別，對系統內信息執行分級策略，高密信息進行加密驗證，加裝數據庫在線不停機備份系統。

5 改造難點分析

5.1 基礎設施規劃

需在原機房機位因地制宜，在不擴充占地的前提下，滿足雙路電源擴充、強電弱電分槽、增強機柜散熱以及按安全區分柜的要求，同時每個分區需配備獨立的一體式共享機架，在考察其他單位機房時發現大部分廠級SIS系統機柜還在使用普通民用電源插座，在此應配備防雷擊防浪涌的工業PDU服務器電源，整個施工完成后應形成完備的電源線纜竣工圖、網絡布線竣工圖、系統網絡拓撲圖、機柜設備布置圖，在線纜的兩端均有打印標識，這一點在配合相關部門檢查時可做到一目了然，擺脫系統邊界不清晰等嫌疑。

5.2 設備更新選型

在滿足電源冗余、專用安全產品認證等基礎要求外，防火墻等關鍵網絡節點設備要求提供針對工業協議的深度過濾，實現對Modbus、OPC等主流工業協議和規約的高細粒度的過濾，針對工業網絡協議的內容和數據進行細致的合規性檢查。這方面在以往的SIS系統設計中有所忽略，在有關部門進行網絡邊界設備配置策略檢查中發現，SIS系統為實現與工業DCS系統的數據傳輸，在網絡邊界防火墻均未啟用訪問控制功能，未能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度僅為網段級，究其根本還是在于設備選型時未考慮工業網絡的傳輸協議類型。

5.3 兼容性問題

在SIS系統改造過程中尤為突出。數據傳輸應用主干三大部分之間（DCS系統軟件、SIS系統數據庫軟件、SIS系統應用軟件），由于分屬不同公司，在各自開發安全補丁后，通訊協議變化造成了數據傳輸的中斷;服務器主機加固補了對于整個數據傳輸鏈路的影響，主要體現在135、139、445等端口關閉后，各主機的遠程訪問服務以及文件共享服務均被禁止，對于原先設有值長站以及網絡打印機的SIS系統，這些設備將失去作用;防惡意代碼軟件與數據庫軟件不兼容，數據庫軟件相關進程被識別為惡意代碼而關閉。以上這些兼容性問題有些可以通過調整系統功能配置來解決，但大部分仍需要軟件開發單位協調后進行二次開發。

6 應用情況及經驗總結

經歷近三年的改造，某公司SIS系統在保證業務系統平穩運行的同時，先后多次接受省、市公安系統及能源監管辦的評估檢測以及模擬攻擊試驗，進步極為顯著，已達到信息安全等級保護二級系統樣板水平。

回顧幾年來的改造過程，受限于條文規范發布時序，先期規劃不足，存在一些二次改造的方面，例如升級數據庫時未同期配置防惡意代碼軟件。綜合來說，信息安全等級保護工作與網絡信息技術發展密切相關，無法一勞永逸，尤其是在軟件方面，加強與開發方的聯動，保證補丁更新的時效方能確保無虞。

參考文獻

[1]《電力行業網絡與信息安全管理辦法》（國能安全[2014]317號）.

[2]《電力行業信息安全等級保護管理辦法》（國能安全[2014]318號）.

[3]《電力行業信息系統安全等級保護基本要求》（電監信息[2012] 62號）.

[4]《電力監控系統安全防護規定》（發改委第14號令）.

[5]《電力監控系統安全防護總體方案》等安全防護方案和評估規范（國能安全[2015]36號）.