網絡安全等級保護在大型水電站的實踐

鐘 健 ，倪雅琦

(1.中國電力工程顧問集團公司西南電力設計院有限公司，四川 成都 610021；2.國網四川省電力公司信息通信公司，四川 成都 610041)

0 引 言

隨著計算機技術和通信技術在電力行業中的廣泛應用，電力監控系統逐漸由傳統生產控制設備范疇擴大到整個信息系統和通信網絡，各系統之間的邊界隨著信息化逐漸模糊和融合，同時信息安全問題也從管理信息系統延伸到了生產控制系統的各個環節。因此，需要理清在《中華人民共和國網絡安全法》、《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)(以下簡稱等保2.0)和國家發展和改革委員會頒布的《電力監控系統安全防護規定》等法律、標準要求下，如何組織實施電力行業網絡安全防護，為發電企業等提供一個具備動態響應、持續進化的符合《中華人民共和國網絡安全法》和等保2.0標準的整網安全保障體系。

1 電力監控系統安全防護與等保2.0的關系

《中華人民共和國網絡安全法》 自2017年6月1日開始施行。《信息安全技術 網絡安全等級保護基本要求》自2019年12月1日開始施行，它是依據《中華人民共和國網絡安全法》 建立的國家層面的網絡安全標準體系，針對通用計算機信息系統，提出了安全技術應用、安全管理體系建設等方面普遍適用的規范要求[1]。

《電力監控系統安全防護規定》是國家能源局制定的網絡安全行業標準，電力監控系統安全防護關注的重點是與電力安全生產中用于監視、測量、控制和調度電力生產及傳輸的業務系統和通信網絡，并根據其對安全生產的重要性和業務特點，提出相關的安全防護措施和安全管理規范要求[2]。

電力監控系統安全防護的防護強度應滿足或超過等級信息系統安全等級保護的要求。由于電力監控系統內部隨著生產業務系統的升級也在不斷更新、擴充、結合，安全要求也相應產生改變，《電力監控系統安全防護規定》其相關安全防護措施更加具有系統性、動態性和可持續性。因此，《信息安全技術 網絡安全等級保護基本要求》是一個對信息網絡系統安全防護體系建設通用的規范要求，也是對信息網絡系統安全防護強度最基本的要求[3]；《電力監控系統安全防護規定》則是根據電力行業信息網絡系統的特點，進行了有針對性的細化和加強，網絡安全層級和界面清晰，操作性更強。

2 電力監控系統安全防護總體要求

電力監控系統安全防護的目的是防止電力監控系統的崩潰、誤動和數據被非法訪問，并造成電力設備故障或電力安全事故。電力監控系統安全防護的重點：一是防止來自系統外部非法訪問獲取信息和惡意攻擊，特別是集團式攻擊；二是防止內部非法訪問和違規操作[4-6]。

納入整改方案的電力監控系統安全防護分析的水電站核心電力監控系統包括:水電站計算機監控系統；相量測量裝置(PMU)；安全自動裝置系統；泄洪閘控制系統；船閘控制系統；消防火災報警系統；110 kV變電站監控系統；調功終端系統；電能量計量系統；故障信息處理系統；機組狀態監測系統；水調自動化系統(水情自動測報系統)市場報價終端；大壩安全監測系統；工業電視系統；生產管理信息系統；臨時接地線管理系統；辦公OA系統；MIS網。

整改思路主要為：

1)調度數據網作為生產控制大區業務系統與調度端實時信息的專用通信通道，是電力監控系統安全防護縱向邊界安全防護的一個著重點；電力監控系統與上級單位之間的縱向數據通信應作為縱向邊界安全防護的一個重點；各電力監控系統之間的橫向通信作為安全防護的另一個重點。

2)水電廠各系統之間通過硬接線傳輸信號因不存在網絡通信，應確認其為安全；而水電廠各系統之間的串行通信方式視其為安全。

3)閘門控制系統實際包括泄洪閘控制系統、船閘控制系統以及進水口快速門。由于進水口快速門通過I/O口與計算機監控系統LCU相連實現遠程控制，因此歸入計算機監控系統。閘門控制系統在所提方案中由泄洪閘控制系統和船閘控制系統替代。

4)嚴格禁止生產控制系統/裝置的遠程撥號維護接口。

5)各業務系統內部的通信安全性應由生產廠家按照國家相關標準實施，在這里不再考慮。

根據上述思路，水電站電力監控系統安全防護邊界防護和系統內部防護要求如下：

1)通信安全需求

生產業務系統之間采用點對點串口通信應視為安全；生產業務系統設備之間網絡通信需根據各業務系統安全分區的不同情況采取相應的橫向隔離措施；生產業務系統/設備與調度端經調度數據網通信須采取縱向加密認證裝置進行隔離；MIS網與上級單位、調度端DMIS系統的網絡通信應采取相應的隔離措施；出差人員與MIS遠程撥號訪問須采取VPN等技術和管理手段防止重要數據被竊取，防止該通道成為病毒傳播和惡意攻擊跨越防火墻的途徑。通信網絡連接圖如圖1所示。

2)各電力監控系統安全需求

計算機監控系統內部應部署防病毒軟件，防止病毒傳播。系統主機和工作站的操作系統漏洞和應用系統漏洞存在被利用的風險，應及時封堵或升級，重要服務器和通信網關應進行主機加固。

水調自動化系統應具有病毒防護能力。

機組狀態監測系統應部署防病毒軟件，防止病毒傳播。系統Web服務器與本系統的通信應進行物理隔離，實現數據單向傳輸，同時應保證Web數據與機組狀態監測系統同步。

安全自動裝置遠方修改定值和控制的功能應屏蔽。故障信息處理系統Web服務應增加加密認證功能實現安全Web，否則應關閉。

圖1 通信網絡連接

市場報價系統作為電力市場運營系統的廠站側組件，必須專機專用，與辦公網絡進行物理隔離；并配置防病毒系統。

MIS網內重要服務器應采取有效的訪問控制和隔離手段，封堵系統漏洞，過濾惡意代碼病毒，阻擋網絡攻擊。各應用服務器應具有病毒防護能力。

移動設備是網絡內部病毒傳播的主要介質，應進行嚴格管理控制，采用比如安全U盤等措施。

各業務系統管理與操作人員、各終端使用人員的操作行為應得到有效監控，防護措施應能在一定程度上防止并可靠記錄操作行為和惡意違規操作。

3)全局安全需求

生產控制業務系統網絡應能實時、可靠地響應安全事故，進行事故追憶，并具有學習功能。

水電站應定期對電力監控系統進行安全性評價，具有全面合理的電力監控系統安全防護管理體系。

3 業務系統保護等級測評

按照《信息安全技術 信息系統安全等級保護實施指南》(GB/T 25058-2010)和《電力行業信息系統安全等級保護定級指導意見》確定水電站電力監控系統的安全保護等級。

電力監控系統的安全保護等級確定后，根據測評結果出具的信息安全等級保護測評報告，按照《信息安全技術 網絡安全等級保護基本要求》管理規范和技術標準，開展電力監控系統安全建設工作，達到電站安全防護體系合規合法的總體目標。

4 電力監控系統安全防護措施

電力監控系統安全防護的總體策略是：安全分區、網絡專用、橫向隔離、縱向認證[2]。

針對水電站電力監控系統安全防護總體需求，同時遵循系統性、實用與先進結合、風險代價相平衡等原則，提出建立實時、主動、動態、由邊界到核心的安全防護體系方案。

4.1 安全分區

防護方案所涵蓋的電力監控系統依據《信息安全技術 信息系統安全等級保護實施指南》(GB/T 25058-2010)和《電力行業信息系統安全等級保護定級指導意見》所確定的保護等級納入相應的安全分區中。本期水電站業務系統劃分為生產控制大區和管理信息大區兩個大區。生產控制大區由具有實時控制功能的安全區Ⅰ和具有非實時控制功能的安全區Ⅱ組成，業務系統安全分區見圖2所示。管理信息大區按照水電站業務管理需求劃分為安全區Ⅲ、安全區Ⅳ[7]。業務系統安全分區如圖3所示。

圖2 安全分區Ⅰ/Ⅱ

圖3 安全分區Ⅲ/Ⅳ

水電站計算機監控系統和機組狀態監測系統向MIS網提供的Web服務調整為獨立的系統，遷移至安全區Ⅲ運行。

根據水電站的各業務網絡連接情況，防護方案采用如圖4所示鏈式拓撲結構實現安全區互連。

圖4 鏈式結構

4.2 縱向通信防護

水電站縱向網絡通信包括：1)生產控制系統經調度數據網與調度端的通信；2)DIMS客戶端經電力數據通信網與調度端通信；3)MIS網絡經同集團公司通信。

第1項通信屬于生產控制業務，遠程通信采用縱向加密認證裝置進行隔離；通過加密隧道、加載在加密隧道上的訪問控制策略以及系統通信主機IP地址和端口的對應關系保證其傳輸數據的機密性、完整性。縱向加密認證裝置可配置雙機熱備，確保設備高可靠性。

第2、第3項通信屬于管理信息業務，采用國產硬件防火墻完成數據過濾和訪問控制。防火墻應基于網絡地址、通訊協議、通訊端口、用戶、信息傳輸方向、操作方式、通訊時間、服務類型等因素配置控制策略，并能快速重組分片報文抵御分片攻擊。

4.3 橫向隔離

安全區Ⅱ和安全區Ⅲ區內交換機之間采用正向物理隔離裝置實現數據以非網絡方式從安全區Ⅱ發送到安全區Ⅲ，保證傳輸層以上數據完全單向傳輸，且最多返回1個字節的TCP應答數據。為確保設備高可用性，要求隔離裝置采用雙機網絡熱備份連接方式。同時，為提供安全區Ⅱ中水調自動化等系統從安全區Ⅲ獲取數據的通道，須在安全區Ⅱ、Ⅲ區內交換機之間部署反向物理隔離裝置，使用數字認證、病毒查殺和有效性檢查等手段對純文本數據進行過濾后將其從安全區Ⅲ擺渡到安全區Ⅱ。物理隔離裝置的使用可極大提高生產控制大區的安全性，但同時也會造成FTP、SQL等應用層通信無法跨越隔離裝置。因此必須對計算機監控系統和機組狀態監測系統軟件進行調整，以確保其Web功能的正常運行。

安全區Ⅰ、Ⅱ之間和安全區Ⅲ、Ⅳ之間采用國產防火墻邏輯隔離，對跨區的訪問進行嚴格控制。

安全區Ⅳ采用國產防火墻與Internet隔離，配置完整的路由策略，對開放的協議、服務、端口、時段、用戶、數據流向、連接數等進行嚴格控制。

4.4 入侵檢測

生產控制大區統一部署一套分布式IDS，分別在安全區Ⅰ和安全區Ⅱ的區內交換機和調度數據網接入交換機鏡像端口配置探測引擎，實時主動偵測攻擊和非法操作。控制中心軟件安裝在安全區Ⅱ綜合管理服務器上，接收掃描引擎事件上報并向掃描引擎下發安全策略。特征庫的升級要求定期采用離線方式。

需要注意的是，目前商業化的入侵檢測系統多數采用基于異常的檢測方法，該檢測方法誤報率高，故不宜配置IDS與防火墻的聯動策略。

4.5 病毒防護

由于安全區Ⅰ、安全區Ⅱ內的業務系統網絡相對獨立，不便于統一防病毒系統的形式，根據系統規模采用單機或網絡方式的防病毒系統。

管理信息大區的應用基本上都建立在MIS網上，采用網絡方式的防病毒系統。

病毒庫由負責人定期采用離線方式升級。對UNIX或LINUX服務器和工作站以及嵌入式系統暫不考慮病毒防護。

4.6 漏洞掃描

漏洞掃描是一種主動的防范措施。漏洞掃描與防火墻、入侵檢測系統互相配合，能夠有效提高網絡的安全性。通過對網絡、主機和數據庫的掃描，及時發現安全漏洞，評估網絡風險；并根據掃描結果采取安裝升級包、補丁包，修改各種網絡隔離設備和數據庫的訪問控制策略等手段，避免非授權個人利用系統安全漏洞進行攻擊或者非法訪問。

4.7 安全審計

縱向加密認證裝置、橫向物理隔離裝置、防火墻、入侵檢測、防病毒系統、主機、工作站等電力監控系統安全防護設備以及調度數據網接入設備本身都會產生自身運行狀況和系統安全的日志。生產控制大區應建立安全審計管理平臺，方便運行維護人員集中管理日志信息，借助相應工具分析、判斷、預防和及時響應處理系統的安全事件， 完成全面的日志分析、告警和綜合安全管理[2]。

安全審計管理平臺部署在安全區Ⅱ和管理信息大區的MIS網內，通過SNMP協議或SYSLOG等方式獲取安全設備(如縱向加密認證裝置、橫向物理隔離裝置、防火墻、IDS 、防病毒系統等)、調度數據網接入設備的安全事件信息，對網絡安全事件信息進行集中分析過濾、處理、保存。通過合理的事件配置為管理人員提供及時、可靠的告警，實現全網的實時安全檢測，清晰的記錄可為安全審計提供有力的支持，統一標準化的管理功能可有效的整合生產控制大區的安全防護體系，銜接安全技術和安全管理，從全局高度維護網絡的安全性。

4.8 主機加固

防火墻、IDS等網絡安全產品解決了當前網絡系統的一些問題，但由于這些安全產品大多獨立于應用系統之外，并不能完全防護外部的入侵行為，也不能防止內部用戶的破壞行為。而且通過滲透攻擊，黑客最終將獲得服務器系統管理員的權限，基于網絡的安全產品將不再起作用。

水電站重要的主機(如：監控主服務器、重要的工作站/操作員站、通信服務器)運行的是實時系統的重要數據和業務進程，對可靠性要求更高。一旦出現了事故，事后無法追查、判斷責任，無法迅速找到解決方案。因此主機加固做為核心防護是一項必須的措施，要保證重要的業務不停頓，重要的數據不被更改、刪除、非法拷貝。除加強操作系統補丁管理、安全配置外，在核心系統上部署主機加固防護產品，對計算機監控系統、110 kV變電站監控系統、船閘控制系統、泄洪閘控制系統、水調自動化、生產管理信息系統的服務器、操作員站和通信服務器等進行安全配置和主機加固。

4.9 MIS網安全監控

水電站MIS網與Internet連接，且涉及的業務量大，終端多，用戶類型相對復雜。雖然MIS網重要性不及生產控制系統，但由于內部存在相當數量的企業級保密數據且網絡化的管理和辦公方式日益深入，維護其安全將是電廠生產管理工作正常運行的重要保障。

管理信息大區應配置一套內網安全管理系統，實現嚴格可靠的網絡管理，形成健康有序的網絡環境，避免內部安全隱患造成邊界防護的失效。

內網安全管理系統不間斷監測服務器和網絡設備的運行狀況，采集相關運行日志，實現網絡資源狀態的集中監管；對重點業務系統進行精細化的監管；將網絡設備、關鍵服務器及業務整合，發生故障時，及時告知故障點及故障可能波及的范圍，盡可能減少故障修復時間和關鍵數據的損失；能夠對內部網絡操作進行監控和管理；具備遠程監測和報警功能；并提供詳細的網絡性能和網絡行為報告。

4.10 網絡安全設置

在維護網絡安全的同時，安全設備以及組網設備自身應由專人執行嚴格的安全設置，采取建立強健的身份認證、合理分配管理權限、限制不安全應用協議、關閉默認設置、信息加密等措施確保網絡及安全設備的安全可靠。

5 建立安全管理機制

“技術是基礎，日常管理是根本”，健全的管理是人與技術設備協調統一的保證。所提方案對水電站電力監控系統安全管理提出了以下幾個方面的建議：1)建立完善的安全管理組織機構和責任制度；2)設備、應用及服務的接入管理；3)建立日常運行的安全管理制度；4)工程實施過程中的安全管理；5)建立快速的安全事件響應機制；6)建立分級的安全評估制度。

前3個方面對安全管理組織安排、安全職責劃分、系統接入管理、人員管理、資源管理、保密工作、訪問控制、系統維護、安全審計、應急備份、安全培訓等提出了全面的建議，是安全管理工作的基礎，更詳細的內容可參考《信息系統安全管理要求》(GB/T 20269-2006)、《信息安全實用管理規則》(GB/T 19716-2005)等標準，作為安全管理機制基本思路和建設框架的參考，通過實際的執行、調整應盡早形成初步可行的電力監控系統安全防護管理規范。

6 安全評估

電力監控系統安全防護是一個長期動態的過程，方案設計僅是處在安全防護的初級階段，在安全防護的基礎框架上，定期的安全評估可促使新問題的發現和及時修正，在不斷的循環中完善防護體系。

提出建立分級的安全評估制度，水電站作為基層單位首先必須配合上級的安全工作，定期進行全面安全評估，同時需建立可行的自評估辦法，利用自評估逐步規范和加強安全管理，促進安全意識、機制的建立。同時自評估項目和標準也應不斷完善和提高。

7 待進一步探討的問題

所提水電站電力監控系統安全防護方案僅處于安全防護體系生命周期的初步建設階段。從效率、安全等角度看，該方案尚存在以下需進一步研究和解決的問題：

1)所提方案關注的主要是邊界防護和核心防護兩方面的安全需求。《信息安全技術 網絡安全等級保護基本要求》已經將信息網絡擴展到工業控制網絡，其中安全計算環境關系到工控系統的主機應用安全、數據存儲保護，是網絡安全等級保護中三重防護重要組成部分。這將是下一步水電站電力監控系統安全防護的重點內容[4]。

2)漏洞掃描、安全審計、入侵檢測系統等安全防護設備提供了詳細的資料輔助安全策略制定。但由于電廠安全防護負責人員大多只是電力專業背景，在缺乏專門訓練的情況下，面對龐大的分析數據要堅持長期跟蹤變化并實時做出應急反有一定的困難。可以考慮建設網絡安全態勢感知體系，實現對主機設備、網絡設備、安防設備等的實時告警與運行狀態在線監測，從靜態布防到實時管控轉變[5]，達到以下目標：①外部侵入有效阻斷。對外部侵入行為能夠實時監視，及時阻斷危害鏈路，保證電力監控系統不受入侵事件影響。②外力干擾有效隔離。對于外部產生緊急威脅事件，能夠通過有效手段對涉及主機或設備進行有效隔離，保證威脅事件不會擴散傳播。③內部違規及時發現。對于內部的越權訪問和惡意操作，可及時發現并預警。

3)區域電力數字證書系統的缺乏使得要在電廠等基層單位實現統一的身份認證機制和普及加密通信還需時日。

8 結 語

水電站電力監控系統安全防護實施方案如圖5所示。方案嚴格地執行了相關文件的規定，符合電力監控系統安全防護和信息安全的原則性要求。盡管如此，上述問題仍應該在今后的生產管理中繼續得到高度關注和進一步研究，根據技術的發展、環境因素的改變對方案做出合理的調整，以保證跟上安全形勢的變化；為水電站提供一個具備動態響應、持續進化的符合《中華人民共和國網絡安全法》和《信息安全技術 網絡安全等級保護基本要求》的整網安全保障體系。

圖5 電力監控系統安全防護實施方案

滿足文件要求不是最終目的，安全工作要努力實現的是人員安全意識的提高、安全機制的建立和事故保障體系的完善，最終形成滲入生產管理各個細節的安全體系，而不僅僅是浮于文字的規定。