吉牛水電站二次系統安全防護系統建設

張志輝，白 維，李 政

（四川革什扎水電開發有限責任公司，四川 丹巴 626300）

1 概 述

吉牛水電站位于四川省甘孜州丹巴縣境內，裝有2臺單機容量為120 MW的沖擊式水輪發電機組，擁有亞洲最長的22.38 km引水隧洞，以發電為主，是藏區重要的水電站之一。

隨著科學技術的發展，逐漸形成了以物聯網技術、網絡通信技術、PLC技術以及計算機技術相融合的水電站自動監視和控制系統[1]。水電站在享受著信息科學技術的發展帶來的自動化程度不斷提高的同時，也承受著網絡安全風險隱患。例如，2019年委內瑞拉遭遇將近9個小時的全國大規模停電，2019年烏克蘭全國50%區域電網自動斷電事件以及21世紀初期我國西南某大型水電站遭遇病毒攻擊造成全廠停電等。按照《電力監控系統安全防護規定》（中華人民共和國國家發展和改革委員會令第14號）[2]、《電力監控系統安全防護總體方案》（國能安全〔2015〕36號）[3]的要求，為防范吉牛水電站電力二次系統受到惡意攻擊而引發安全事故，保障吉牛水電站的設備的安全穩定運行，吉牛水電站于2018年6月完成了該電站的二次系統安全防護建設工作。

2 電力二次系統安全防護分析

2.1 總體要求

堅持以“安全第一、預防為主、管理和技術并重、綜合防范”為方針，以“安全分區、網絡專用、橫向隔離、縱向認證”為原則。

2.2 兩個特點

系統性和動態性。

2.2.1 系統性

就水電站而言，二次系統由站內基于計算機及網絡技術的各業務單元組成。各業務單元的安全要求程度不一致，并且通過不同的網絡通信技術建立關聯。通過網絡分層分區模式，實現站內的信息組織和管理。所以，吉牛水電站的二次安防在設計階段不但滿足大渡河集控和四川省調的相關網絡安全要求，還要做到網絡結構清晰、明了、合理，形成對內對外、區域局部相結合的二次安防防護體系。所以，眾多因素決定了二次安防是一個系統性工程。

2.2.2 動態性

現代網絡通信技術的不斷發展和系統自身內涵外延的變化兩個方面，決定了電力二次安防系統的動態性。在新的網絡攻擊手段、計算機病毒以及惡意代碼層出不窮的情況下，一成不變的安全防護措施和方案已經不能應對日益變化的網絡攻擊，安全防護應該變被動為主動。隨著智慧電廠的不斷發展，電站內部設備也在不斷擴建、改造和更換，這就決定了電力二次防護是需要不斷適應、不斷更新和不斷完善的動態工程。

2.3 基本原則

二次安防的基本原則是“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”。

安全分區。按照水電站各業務系統對水電站生產的重要作用和影響程度，可將電力二次系統分為控制大區和信息大區。控制大區可分為控制區（安全I區）和非控制區（安全II區）。

網絡專用。水電站的電力調度數據網應當在專用通道上使用獨立的網絡設備組網，控制區業務通過實時子網、非控制區業務通過實時子網傳遞至調度系統。實時子網和非實時子網之間完全邏輯隔離，網絡通道專網專用。

橫向隔離。橫向隔離是水電站二次安防護體系的橫向防線。控制大區的安全I區和安全II區之間應布置具有訪問功能的防火墻，控制大區和信息大區應布置單向隔離裝置，所選擇的防火墻和單向隔離設備需通過國家制定檢測。

縱向認證。縱向加密是水電站二次安防護體系的縱向防線。水電站安全I區和安全II區的業務與調度系統之間應布置具備雙向身份認證、數據加密和訪問控制的加密裝置，所選用的裝置必須滿足國家有關部門的檢測要求。

綜合防護。綜合防護需要從主機加固、防惡意代碼和病毒、安全審計、漏洞掃描、入侵檢測以及管理制度等各方面對水電站系統進行防護。

3 吉牛水電站二次系統安全防護方案

3.1 設計原則

按照水電站二次安防的總體要求、系統特點和基本原則，結合吉牛水電站網絡設備的配置現狀，確定設計原則如下[4]：計算機監控系統應作為防護核心；不能將電力調度數據網作為一個單獨的系統考慮，應把其當做調度自動化的通信通道；所有業務系統必須正確分區，根據分區情況對業務采用相應的安全防護措施；站內各系統與調度及集控中心的縱向通信設備接口、配置策略為重點；對站內所有主機進行加固，重要服務器加裝專用加固軟件；部署防惡意代碼系統、漏洞掃描系統、安全審計系統以及入侵檢測系統，并進行統一管理。

3.2 防護方案的實施

以吉牛水電站電力二次安防系統建設為例，闡述吉牛水電站二次安防系統的設計方案。

3.2.1 安全分區

安全分區是整個二次安防的基礎工程，對吉牛水電站應用系統按照表1進行安全區劃分。（1）安全I區為（控制區），包括水電站監控系統、消防系統、壓頻解列裝置、PMU、繼電保護系統、調速器系統以及勵磁系統。安全I區是電力二次系統的核心，安全防護的重點。（2）安全Ⅱ區（非控制區），包括電能量采集子站、繼電保護信息管理子站、OMS系統以及水情測報系統。（3）安全Ⅲ區（信息大區）包括庫壩監測系統、機組狀態監測系統、ONCALL系統工業電視與門禁系統。（4）安全Ⅳ區（管理信息區），包括MIS系統、安全風險管控系統以及生產管理系統。為了加強安全控制區的邊界防護，安全I區布置了一套IDS系統，入侵檢測系統探頭與調度網實時交換機1、2和集控中心交換機1、2連接，依照一定的安全策略，通過軟硬件對電站I區自動化設備與上級調度部門和集控中心之間的縱向通信進行監視，對各種攻擊企圖、攻擊行為或者攻擊結果進行監視；安全Ⅱ區同樣布置了一套IDS系統，入侵檢測系統探頭與調度網非實時交換機1、2連接，對電站Ⅱ區設備與上級調度部門之間的縱向通信進行監視。

表1 吉牛水電站安全分區規劃表

3.2.2 網絡專用

電力調度數據網是吉牛水電站安全控制大區和調度端的專用通信網絡。電站安全I區和安全Ⅱ區的業務分別通過實時子網和非實時子網送達調度。對電力調度數據網絡設備進行安全配置，如關閉路由器和交換機consloe口并設置密碼、超時自動退出、關閉telnet服務、采用安全增強的SNMPv2及以上版本的網管協議等。

3.2.3 橫線隔離

對于生產控制區，安全I區與安全Ⅱ區之前的隔離，在計算機監控系統與水情系統之前布置了一臺防火墻，通過橫向邏輯隔離阻止來自區域之間的越權訪問、入侵攻擊等，將危險源控制在有限范圍內。對于生產控制大區與管理信息大區的隔離，水情系統通過反向橫向隔離裝置從安全區Ⅲ相關系統獲取水文、氣象信息，并對信息進行嚴格簽名認證和檢查過濾，進而保護安全級別要求更高的控制大區的安全。需要注意，必須采購經國家指定部門檢測認證的、隔離強度接近或達到物理隔離的防火墻和隔離裝置。

3.2.4 縱向認證

吉牛水電站生產控制大區業務系統所連接的廣域網為電力調度與大渡河集控中心端。為保證交換信息的保密性、完整性和可用性，在電力調度數據網接入系統的實時和非實時VPN交換機和接入路由器之間布置了國家指定部門檢測認證的電力專用縱向加密認證裝置，在大渡河集控中心數據網接入系統實時VPN交換機端布置了國家指定部門檢測認證的電力專用縱向加密認證裝置。縱向加密裝置支持SM2算法，配置了相應的安全策略，禁用了高風險的網絡服務，實現雙向身份認證、數據加密和訪問控制。支持系統告警，支持完備的安全事件告警機制。當發生非法入侵、裝置異常、通信中斷或丟失應用數據時，可通過加密認證設備專用的告警串口或網絡輸出報警信息，日志格式遵循Syslog標準。

3.2.5 綜合防護

為了防止計算機受到非法訪問和惡意攻擊，對不合法命令進行命令阻斷。電站對系統所有主機進行加固配置，對電站核心服務器安裝了專業的主機加固軟件進行防護。在安全區I和安全Ⅱ分別部署金山防病毒和惡意代碼防護系統，在管理信息大區部署集團公司統一規劃的署防病毒和惡意代碼系統。同時，定期對惡意代碼病毒庫、木馬庫、防病毒策略進行離線更新，定期檢查防惡意代碼系統日志，及時隔離未知病毒。為保證實時、動態應對不安全事件，對不安全事件進行監測，增強對生產大區網絡行為的監察、控制和審計能力，在安全區I和安全Ⅱ分別部署網絡人侵檢測系統。此外，設計上禁止IDS與防火墻聯動，以防止IDS誤報影響生產大區網絡的正常運行。為了對生產大區網絡運行日志、操作系統運行日志、業務應用系統運行日志以及安防設備運行日志等進行集中收集、自動分析、及時發現各種違規行為以及病毒和黑客的攻擊行為，在安全區I和安全Ⅱ分別部署了一套安全審計系統。在安全區I和安全Ⅱ分別部署了一套漏洞掃描系統，目的是通過定期掃描發現生產大區網絡和主機的安全漏洞，并根據提供的安全解決建議，對生產大區網絡進行安全配置。

3.2.6 網絡安全管理策略

據統計，96%以上的網絡、計算機受到的攻擊和病毒侵害都是由于管理不善造成的。吉牛水電站作為藏區重要的電站，需建立完善的網絡信息安全管理制度，成立專門的信息化安全小組，嚴格按照對不安全事件和個人進行追究和考核。建議完備的網絡和信息安全應急預案，并定期開展演練、評估和修訂，目的是在突發緊急狀況時指導電站進行處置突發應急事件。加強用戶權限管理和存儲介質的管理，定期開展風險評估和等級保護測評，及時了解整個網路的安全狀況。

4 結 論

水電站在享受網絡技術的發展帶來的便利時承受著網絡安全多元化的威脅，所以水電站安全防護技術需要不斷升級改進，不斷提升管理水平，建立更加可靠、完備、全覆蓋的二次安防體系，變被動防護為主動防護，確保電站安全穩定運行。