網(wǎng)絡(luò)安全等級(jí)保護(hù)在大型水電站的實(shí)踐

鐘 健 ，倪雅琦

(1.中國(guó)電力工程顧問(wèn)集團(tuán)公司西南電力設(shè)計(jì)院有限公司，四川 成都 610021；2.國(guó)網(wǎng)四川省電力公司信息通信公司，四川 成都 610041)

0 引 言

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)在電力行業(yè)中的廣泛應(yīng)用，電力監(jiān)控系統(tǒng)逐漸由傳統(tǒng)生產(chǎn)控制設(shè)備范疇擴(kuò)大到整個(gè)信息系統(tǒng)和通信網(wǎng)絡(luò)，各系統(tǒng)之間的邊界隨著信息化逐漸模糊和融合，同時(shí)信息安全問(wèn)題也從管理信息系統(tǒng)延伸到了生產(chǎn)控制系統(tǒng)的各個(gè)環(huán)節(jié)。因此，需要理清在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)(以下簡(jiǎn)稱等保2.0)和國(guó)家發(fā)展和改革委員會(huì)頒布的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》等法律、標(biāo)準(zhǔn)要求下，如何組織實(shí)施電力行業(yè)網(wǎng)絡(luò)安全防護(hù)，為發(fā)電企業(yè)等提供一個(gè)具備動(dòng)態(tài)響應(yīng)、持續(xù)進(jìn)化的符合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和等保2.0標(biāo)準(zhǔn)的整網(wǎng)安全保障體系。

1 電力監(jiān)控系統(tǒng)安全防護(hù)與等保2.0的關(guān)系

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》 自2017年6月1日開(kāi)始施行。《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》自2019年12月1日開(kāi)始施行，它是依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》 建立的國(guó)家層面的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，針對(duì)通用計(jì)算機(jī)信息系統(tǒng)，提出了安全技術(shù)應(yīng)用、安全管理體系建設(shè)等方面普遍適用的規(guī)范要求[1]。

《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》是國(guó)家能源局制定的網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)，電力監(jiān)控系統(tǒng)安全防護(hù)關(guān)注的重點(diǎn)是與電力安全生產(chǎn)中用于監(jiān)視、測(cè)量、控制和調(diào)度電力生產(chǎn)及傳輸?shù)臉I(yè)務(wù)系統(tǒng)和通信網(wǎng)絡(luò)，并根據(jù)其對(duì)安全生產(chǎn)的重要性和業(yè)務(wù)特點(diǎn)，提出相關(guān)的安全防護(hù)措施和安全管理規(guī)范要求[2]。

電力監(jiān)控系統(tǒng)安全防護(hù)的防護(hù)強(qiáng)度應(yīng)滿足或超過(guò)等級(jí)信息系統(tǒng)安全等級(jí)保護(hù)的要求。由于電力監(jiān)控系統(tǒng)內(nèi)部隨著生產(chǎn)業(yè)務(wù)系統(tǒng)的升級(jí)也在不斷更新、擴(kuò)充、結(jié)合，安全要求也相應(yīng)產(chǎn)生改變，《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》其相關(guān)安全防護(hù)措施更加具有系統(tǒng)性、動(dòng)態(tài)性和可持續(xù)性。因此，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》是一個(gè)對(duì)信息網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系建設(shè)通用的規(guī)范要求，也是對(duì)信息網(wǎng)絡(luò)系統(tǒng)安全防護(hù)強(qiáng)度最基本的要求[3]；《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》則是根據(jù)電力行業(yè)信息網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，進(jìn)行了有針對(duì)性的細(xì)化和加強(qiáng)，網(wǎng)絡(luò)安全層級(jí)和界面清晰，操作性更強(qiáng)。

2 電力監(jiān)控系統(tǒng)安全防護(hù)總體要求

電力監(jiān)控系統(tǒng)安全防護(hù)的目的是防止電力監(jiān)控系統(tǒng)的崩潰、誤動(dòng)和數(shù)據(jù)被非法訪問(wèn)，并造成電力設(shè)備故障或電力安全事故。電力監(jiān)控系統(tǒng)安全防護(hù)的重點(diǎn)：一是防止來(lái)自系統(tǒng)外部非法訪問(wèn)獲取信息和惡意攻擊，特別是集團(tuán)式攻擊；二是防止內(nèi)部非法訪問(wèn)和違規(guī)操作[4-6]。

納入整改方案的電力監(jiān)控系統(tǒng)安全防護(hù)分析的水電站核心電力監(jiān)控系統(tǒng)包括:水電站計(jì)算機(jī)監(jiān)控系統(tǒng)；相量測(cè)量裝置(PMU)；安全自動(dòng)裝置系統(tǒng)；泄洪閘控制系統(tǒng)；船閘控制系統(tǒng)；消防火災(zāi)報(bào)警系統(tǒng)；110 kV變電站監(jiān)控系統(tǒng)；調(diào)功終端系統(tǒng)；電能量計(jì)量系統(tǒng)；故障信息處理系統(tǒng)；機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)；水調(diào)自動(dòng)化系統(tǒng)(水情自動(dòng)測(cè)報(bào)系統(tǒng))市場(chǎng)報(bào)價(jià)終端；大壩安全監(jiān)測(cè)系統(tǒng)；工業(yè)電視系統(tǒng)；生產(chǎn)管理信息系統(tǒng)；臨時(shí)接地線管理系統(tǒng)；辦公OA系統(tǒng)；MIS網(wǎng)。

整改思路主要為：

1)調(diào)度數(shù)據(jù)網(wǎng)作為生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)與調(diào)度端實(shí)時(shí)信息的專用通信通道，是電力監(jiān)控系統(tǒng)安全防護(hù)縱向邊界安全防護(hù)的一個(gè)著重點(diǎn)；電力監(jiān)控系統(tǒng)與上級(jí)單位之間的縱向數(shù)據(jù)通信應(yīng)作為縱向邊界安全防護(hù)的一個(gè)重點(diǎn)；各電力監(jiān)控系統(tǒng)之間的橫向通信作為安全防護(hù)的另一個(gè)重點(diǎn)。

2)水電廠各系統(tǒng)之間通過(guò)硬接線傳輸信號(hào)因不存在網(wǎng)絡(luò)通信，應(yīng)確認(rèn)其為安全；而水電廠各系統(tǒng)之間的串行通信方式視其為安全。

3)閘門(mén)控制系統(tǒng)實(shí)際包括泄洪閘控制系統(tǒng)、船閘控制系統(tǒng)以及進(jìn)水口快速門(mén)。由于進(jìn)水口快速門(mén)通過(guò)I/O口與計(jì)算機(jī)監(jiān)控系統(tǒng)LCU相連實(shí)現(xiàn)遠(yuǎn)程控制，因此歸入計(jì)算機(jī)監(jiān)控系統(tǒng)。閘門(mén)控制系統(tǒng)在所提方案中由泄洪閘控制系統(tǒng)和船閘控制系統(tǒng)替代。

4)嚴(yán)格禁止生產(chǎn)控制系統(tǒng)/裝置的遠(yuǎn)程撥號(hào)維護(hù)接口。

5)各業(yè)務(wù)系統(tǒng)內(nèi)部的通信安全性應(yīng)由生產(chǎn)廠家按照國(guó)家相關(guān)標(biāo)準(zhǔn)實(shí)施，在這里不再考慮。

根據(jù)上述思路，水電站電力監(jiān)控系統(tǒng)安全防護(hù)邊界防護(hù)和系統(tǒng)內(nèi)部防護(hù)要求如下：

1)通信安全需求

生產(chǎn)業(yè)務(wù)系統(tǒng)之間采用點(diǎn)對(duì)點(diǎn)串口通信應(yīng)視為安全；生產(chǎn)業(yè)務(wù)系統(tǒng)設(shè)備之間網(wǎng)絡(luò)通信需根據(jù)各業(yè)務(wù)系統(tǒng)安全分區(qū)的不同情況采取相應(yīng)的橫向隔離措施；生產(chǎn)業(yè)務(wù)系統(tǒng)/設(shè)備與調(diào)度端經(jīng)調(diào)度數(shù)據(jù)網(wǎng)通信須采取縱向加密認(rèn)證裝置進(jìn)行隔離；MIS網(wǎng)與上級(jí)單位、調(diào)度端DMIS系統(tǒng)的網(wǎng)絡(luò)通信應(yīng)采取相應(yīng)的隔離措施；出差人員與MIS遠(yuǎn)程撥號(hào)訪問(wèn)須采取VPN等技術(shù)和管理手段防止重要數(shù)據(jù)被竊取，防止該通道成為病毒傳播和惡意攻擊跨越防火墻的途徑。通信網(wǎng)絡(luò)連接圖如圖1所示。

2)各電力監(jiān)控系統(tǒng)安全需求

計(jì)算機(jī)監(jiān)控系統(tǒng)內(nèi)部應(yīng)部署防病毒軟件，防止病毒傳播。系統(tǒng)主機(jī)和工作站的操作系統(tǒng)漏洞和應(yīng)用系統(tǒng)漏洞存在被利用的風(fēng)險(xiǎn)，應(yīng)及時(shí)封堵或升級(jí)，重要服務(wù)器和通信網(wǎng)關(guān)應(yīng)進(jìn)行主機(jī)加固。

水調(diào)自動(dòng)化系統(tǒng)應(yīng)具有病毒防護(hù)能力。

機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)應(yīng)部署防病毒軟件，防止病毒傳播。系統(tǒng)Web服務(wù)器與本系統(tǒng)的通信應(yīng)進(jìn)行物理隔離，實(shí)現(xiàn)數(shù)據(jù)單向傳輸，同時(shí)應(yīng)保證Web數(shù)據(jù)與機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)同步。

安全自動(dòng)裝置遠(yuǎn)方修改定值和控制的功能應(yīng)屏蔽。故障信息處理系統(tǒng)Web服務(wù)應(yīng)增加加密認(rèn)證功能實(shí)現(xiàn)安全Web，否則應(yīng)關(guān)閉。

圖1 通信網(wǎng)絡(luò)連接

市場(chǎng)報(bào)價(jià)系統(tǒng)作為電力市場(chǎng)運(yùn)營(yíng)系統(tǒng)的廠站側(cè)組件，必須專機(jī)專用，與辦公網(wǎng)絡(luò)進(jìn)行物理隔離；并配置防病毒系統(tǒng)。

MIS網(wǎng)內(nèi)重要服務(wù)器應(yīng)采取有效的訪問(wèn)控制和隔離手段，封堵系統(tǒng)漏洞，過(guò)濾惡意代碼病毒，阻擋網(wǎng)絡(luò)攻擊。各應(yīng)用服務(wù)器應(yīng)具有病毒防護(hù)能力。

移動(dòng)設(shè)備是網(wǎng)絡(luò)內(nèi)部病毒傳播的主要介質(zhì)，應(yīng)進(jìn)行嚴(yán)格管理控制，采用比如安全U盤(pán)等措施。

各業(yè)務(wù)系統(tǒng)管理與操作人員、各終端使用人員的操作行為應(yīng)得到有效監(jiān)控，防護(hù)措施應(yīng)能在一定程度上防止并可靠記錄操作行為和惡意違規(guī)操作。

3)全局安全需求

生產(chǎn)控制業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)應(yīng)能實(shí)時(shí)、可靠地響應(yīng)安全事故，進(jìn)行事故追憶，并具有學(xué)習(xí)功能。

水電站應(yīng)定期對(duì)電力監(jiān)控系統(tǒng)進(jìn)行安全性評(píng)價(jià)，具有全面合理的電力監(jiān)控系統(tǒng)安全防護(hù)管理體系。

3 業(yè)務(wù)系統(tǒng)保護(hù)等級(jí)測(cè)評(píng)

按照《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058-2010)和《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指導(dǎo)意見(jiàn)》確定水電站電力監(jiān)控系統(tǒng)的安全保護(hù)等級(jí)。

電力監(jiān)控系統(tǒng)的安全保護(hù)等級(jí)確定后，根據(jù)測(cè)評(píng)結(jié)果出具的信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告，按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開(kāi)展電力監(jiān)控系統(tǒng)安全建設(shè)工作，達(dá)到電站安全防護(hù)體系合規(guī)合法的總體目標(biāo)。

4 電力監(jiān)控系統(tǒng)安全防護(hù)措施

電力監(jiān)控系統(tǒng)安全防護(hù)的總體策略是：安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證[2]。

針對(duì)水電站電力監(jiān)控系統(tǒng)安全防護(hù)總體需求，同時(shí)遵循系統(tǒng)性、實(shí)用與先進(jìn)結(jié)合、風(fēng)險(xiǎn)代價(jià)相平衡等原則，提出建立實(shí)時(shí)、主動(dòng)、動(dòng)態(tài)、由邊界到核心的安全防護(hù)體系方案。

4.1 安全分區(qū)

防護(hù)方案所涵蓋的電力監(jiān)控系統(tǒng)依據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058-2010)和《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指導(dǎo)意見(jiàn)》所確定的保護(hù)等級(jí)納入相應(yīng)的安全分區(qū)中。本期水電站業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個(gè)大區(qū)。生產(chǎn)控制大區(qū)由具有實(shí)時(shí)控制功能的安全區(qū)Ⅰ和具有非實(shí)時(shí)控制功能的安全區(qū)Ⅱ組成，業(yè)務(wù)系統(tǒng)安全分區(qū)見(jiàn)圖2所示。管理信息大區(qū)按照水電站業(yè)務(wù)管理需求劃分為安全區(qū)Ⅲ、安全區(qū)Ⅳ[7]。業(yè)務(wù)系統(tǒng)安全分區(qū)如圖3所示。

圖2 安全分區(qū)Ⅰ/Ⅱ

圖3 安全分區(qū)Ⅲ/Ⅳ

水電站計(jì)算機(jī)監(jiān)控系統(tǒng)和機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)向MIS網(wǎng)提供的Web服務(wù)調(diào)整為獨(dú)立的系統(tǒng)，遷移至安全區(qū)Ⅲ運(yùn)行。

根據(jù)水電站的各業(yè)務(wù)網(wǎng)絡(luò)連接情況，防護(hù)方案采用如圖4所示鏈?zhǔn)酵負(fù)浣Y(jié)構(gòu)實(shí)現(xiàn)安全區(qū)互連。

圖4 鏈?zhǔn)浇Y(jié)構(gòu)

4.2 縱向通信防護(hù)

水電站縱向網(wǎng)絡(luò)通信包括：1)生產(chǎn)控制系統(tǒng)經(jīng)調(diào)度數(shù)據(jù)網(wǎng)與調(diào)度端的通信；2)DIMS客戶端經(jīng)電力數(shù)據(jù)通信網(wǎng)與調(diào)度端通信；3)MIS網(wǎng)絡(luò)經(jīng)同集團(tuán)公司通信。

第1項(xiàng)通信屬于生產(chǎn)控制業(yè)務(wù)，遠(yuǎn)程通信采用縱向加密認(rèn)證裝置進(jìn)行隔離；通過(guò)加密隧道、加載在加密隧道上的訪問(wèn)控制策略以及系統(tǒng)通信主機(jī)IP地址和端口的對(duì)應(yīng)關(guān)系保證其傳輸數(shù)據(jù)的機(jī)密性、完整性。縱向加密認(rèn)證裝置可配置雙機(jī)熱備，確保設(shè)備高可靠性。

第2、第3項(xiàng)通信屬于管理信息業(yè)務(wù)，采用國(guó)產(chǎn)硬件防火墻完成數(shù)據(jù)過(guò)濾和訪問(wèn)控制。防火墻應(yīng)基于網(wǎng)絡(luò)地址、通訊協(xié)議、通訊端口、用戶、信息傳輸方向、操作方式、通訊時(shí)間、服務(wù)類型等因素配置控制策略，并能快速重組分片報(bào)文抵御分片攻擊。

4.3 橫向隔離

安全區(qū)Ⅱ和安全區(qū)Ⅲ區(qū)內(nèi)交換機(jī)之間采用正向物理隔離裝置實(shí)現(xiàn)數(shù)據(jù)以非網(wǎng)絡(luò)方式從安全區(qū)Ⅱ發(fā)送到安全區(qū)Ⅲ，保證傳輸層以上數(shù)據(jù)完全單向傳輸，且最多返回1個(gè)字節(jié)的TCP應(yīng)答數(shù)據(jù)。為確保設(shè)備高可用性，要求隔離裝置采用雙機(jī)網(wǎng)絡(luò)熱備份連接方式。同時(shí)，為提供安全區(qū)Ⅱ中水調(diào)自動(dòng)化等系統(tǒng)從安全區(qū)Ⅲ獲取數(shù)據(jù)的通道，須在安全區(qū)Ⅱ、Ⅲ區(qū)內(nèi)交換機(jī)之間部署反向物理隔離裝置，使用數(shù)字認(rèn)證、病毒查殺和有效性檢查等手段對(duì)純文本數(shù)據(jù)進(jìn)行過(guò)濾后將其從安全區(qū)Ⅲ擺渡到安全區(qū)Ⅱ。物理隔離裝置的使用可極大提高生產(chǎn)控制大區(qū)的安全性，但同時(shí)也會(huì)造成FTP、SQL等應(yīng)用層通信無(wú)法跨越隔離裝置。因此必須對(duì)計(jì)算機(jī)監(jiān)控系統(tǒng)和機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)軟件進(jìn)行調(diào)整，以確保其Web功能的正常運(yùn)行。

安全區(qū)Ⅰ、Ⅱ之間和安全區(qū)Ⅲ、Ⅳ之間采用國(guó)產(chǎn)防火墻邏輯隔離，對(duì)跨區(qū)的訪問(wèn)進(jìn)行嚴(yán)格控制。

安全區(qū)Ⅳ采用國(guó)產(chǎn)防火墻與Internet隔離，配置完整的路由策略，對(duì)開(kāi)放的協(xié)議、服務(wù)、端口、時(shí)段、用戶、數(shù)據(jù)流向、連接數(shù)等進(jìn)行嚴(yán)格控制。

4.4 入侵檢測(cè)

生產(chǎn)控制大區(qū)統(tǒng)一部署一套分布式IDS，分別在安全區(qū)Ⅰ和安全區(qū)Ⅱ的區(qū)內(nèi)交換機(jī)和調(diào)度數(shù)據(jù)網(wǎng)接入交換機(jī)鏡像端口配置探測(cè)引擎，實(shí)時(shí)主動(dòng)偵測(cè)攻擊和非法操作。控制中心軟件安裝在安全區(qū)Ⅱ綜合管理服務(wù)器上，接收掃描引擎事件上報(bào)并向掃描引擎下發(fā)安全策略。特征庫(kù)的升級(jí)要求定期采用離線方式。

需要注意的是，目前商業(yè)化的入侵檢測(cè)系統(tǒng)多數(shù)采用基于異常的檢測(cè)方法，該檢測(cè)方法誤報(bào)率高，故不宜配置IDS與防火墻的聯(lián)動(dòng)策略。

4.5 病毒防護(hù)

由于安全區(qū)Ⅰ、安全區(qū)Ⅱ內(nèi)的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)相對(duì)獨(dú)立，不便于統(tǒng)一防病毒系統(tǒng)的形式，根據(jù)系統(tǒng)規(guī)模采用單機(jī)或網(wǎng)絡(luò)方式的防病毒系統(tǒng)。

管理信息大區(qū)的應(yīng)用基本上都建立在MIS網(wǎng)上，采用網(wǎng)絡(luò)方式的防病毒系統(tǒng)。

病毒庫(kù)由負(fù)責(zé)人定期采用離線方式升級(jí)。對(duì)UNIX或LINUX服務(wù)器和工作站以及嵌入式系統(tǒng)暫不考慮病毒防護(hù)。

4.6 漏洞掃描

漏洞掃描是一種主動(dòng)的防范措施。漏洞掃描與防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過(guò)對(duì)網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫(kù)的掃描，及時(shí)發(fā)現(xiàn)安全漏洞，評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)；并根據(jù)掃描結(jié)果采取安裝升級(jí)包、補(bǔ)丁包，修改各種網(wǎng)絡(luò)隔離設(shè)備和數(shù)據(jù)庫(kù)的訪問(wèn)控制策略等手段，避免非授權(quán)個(gè)人利用系統(tǒng)安全漏洞進(jìn)行攻擊或者非法訪問(wèn)。

4.7 安全審計(jì)

縱向加密認(rèn)證裝置、橫向物理隔離裝置、防火墻、入侵檢測(cè)、防病毒系統(tǒng)、主機(jī)、工作站等電力監(jiān)控系統(tǒng)安全防護(hù)設(shè)備以及調(diào)度數(shù)據(jù)網(wǎng)接入設(shè)備本身都會(huì)產(chǎn)生自身運(yùn)行狀況和系統(tǒng)安全的日志。生產(chǎn)控制大區(qū)應(yīng)建立安全審計(jì)管理平臺(tái)，方便運(yùn)行維護(hù)人員集中管理日志信息，借助相應(yīng)工具分析、判斷、預(yù)防和及時(shí)響應(yīng)處理系統(tǒng)的安全事件， 完成全面的日志分析、告警和綜合安全管理[2]。

安全審計(jì)管理平臺(tái)部署在安全區(qū)Ⅱ和管理信息大區(qū)的MIS網(wǎng)內(nèi)，通過(guò)SNMP協(xié)議或SYSLOG等方式獲取安全設(shè)備(如縱向加密認(rèn)證裝置、橫向物理隔離裝置、防火墻、IDS 、防病毒系統(tǒng)等)、調(diào)度數(shù)據(jù)網(wǎng)接入設(shè)備的安全事件信息，對(duì)網(wǎng)絡(luò)安全事件信息進(jìn)行集中分析過(guò)濾、處理、保存。通過(guò)合理的事件配置為管理人員提供及時(shí)、可靠的告警，實(shí)現(xiàn)全網(wǎng)的實(shí)時(shí)安全檢測(cè)，清晰的記錄可為安全審計(jì)提供有力的支持，統(tǒng)一標(biāo)準(zhǔn)化的管理功能可有效的整合生產(chǎn)控制大區(qū)的安全防護(hù)體系，銜接安全技術(shù)和安全管理，從全局高度維護(hù)網(wǎng)絡(luò)的安全性。

4.8 主機(jī)加固

防火墻、IDS等網(wǎng)絡(luò)安全產(chǎn)品解決了當(dāng)前網(wǎng)絡(luò)系統(tǒng)的一些問(wèn)題，但由于這些安全產(chǎn)品大多獨(dú)立于應(yīng)用系統(tǒng)之外，并不能完全防護(hù)外部的入侵行為，也不能防止內(nèi)部用戶的破壞行為。而且通過(guò)滲透攻擊，黑客最終將獲得服務(wù)器系統(tǒng)管理員的權(quán)限，基于網(wǎng)絡(luò)的安全產(chǎn)品將不再起作用。

水電站重要的主機(jī)(如：監(jiān)控主服務(wù)器、重要的工作站/操作員站、通信服務(wù)器)運(yùn)行的是實(shí)時(shí)系統(tǒng)的重要數(shù)據(jù)和業(yè)務(wù)進(jìn)程，對(duì)可靠性要求更高。一旦出現(xiàn)了事故，事后無(wú)法追查、判斷責(zé)任，無(wú)法迅速找到解決方案。因此主機(jī)加固做為核心防護(hù)是一項(xiàng)必須的措施，要保證重要的業(yè)務(wù)不停頓，重要的數(shù)據(jù)不被更改、刪除、非法拷貝。除加強(qiáng)操作系統(tǒng)補(bǔ)丁管理、安全配置外，在核心系統(tǒng)上部署主機(jī)加固防護(hù)產(chǎn)品，對(duì)計(jì)算機(jī)監(jiān)控系統(tǒng)、110 kV變電站監(jiān)控系統(tǒng)、船閘控制系統(tǒng)、泄洪閘控制系統(tǒng)、水調(diào)自動(dòng)化、生產(chǎn)管理信息系統(tǒng)的服務(wù)器、操作員站和通信服務(wù)器等進(jìn)行安全配置和主機(jī)加固。

4.9 MIS網(wǎng)安全監(jiān)控

水電站MIS網(wǎng)與Internet連接，且涉及的業(yè)務(wù)量大，終端多，用戶類型相對(duì)復(fù)雜。雖然MIS網(wǎng)重要性不及生產(chǎn)控制系統(tǒng)，但由于內(nèi)部存在相當(dāng)數(shù)量的企業(yè)級(jí)保密數(shù)據(jù)且網(wǎng)絡(luò)化的管理和辦公方式日益深入，維護(hù)其安全將是電廠生產(chǎn)管理工作正常運(yùn)行的重要保障。

管理信息大區(qū)應(yīng)配置一套內(nèi)網(wǎng)安全管理系統(tǒng)，實(shí)現(xiàn)嚴(yán)格可靠的網(wǎng)絡(luò)管理，形成健康有序的網(wǎng)絡(luò)環(huán)境，避免內(nèi)部安全隱患造成邊界防護(hù)的失效。

內(nèi)網(wǎng)安全管理系統(tǒng)不間斷監(jiān)測(cè)服務(wù)器和網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，采集相關(guān)運(yùn)行日志，實(shí)現(xiàn)網(wǎng)絡(luò)資源狀態(tài)的集中監(jiān)管；對(duì)重點(diǎn)業(yè)務(wù)系統(tǒng)進(jìn)行精細(xì)化的監(jiān)管；將網(wǎng)絡(luò)設(shè)備、關(guān)鍵服務(wù)器及業(yè)務(wù)整合，發(fā)生故障時(shí)，及時(shí)告知故障點(diǎn)及故障可能波及的范圍，盡可能減少故障修復(fù)時(shí)間和關(guān)鍵數(shù)據(jù)的損失；能夠?qū)?nèi)部網(wǎng)絡(luò)操作進(jìn)行監(jiān)控和管理；具備遠(yuǎn)程監(jiān)測(cè)和報(bào)警功能；并提供詳細(xì)的網(wǎng)絡(luò)性能和網(wǎng)絡(luò)行為報(bào)告。

4.10 網(wǎng)絡(luò)安全設(shè)置

在維護(hù)網(wǎng)絡(luò)安全的同時(shí)，安全設(shè)備以及組網(wǎng)設(shè)備自身應(yīng)由專人執(zhí)行嚴(yán)格的安全設(shè)置，采取建立強(qiáng)健的身份認(rèn)證、合理分配管理權(quán)限、限制不安全應(yīng)用協(xié)議、關(guān)閉默認(rèn)設(shè)置、信息加密等措施確保網(wǎng)絡(luò)及安全設(shè)備的安全可靠。

5 建立安全管理機(jī)制

“技術(shù)是基礎(chǔ)，日常管理是根本”，健全的管理是人與技術(shù)設(shè)備協(xié)調(diào)統(tǒng)一的保證。所提方案對(duì)水電站電力監(jiān)控系統(tǒng)安全管理提出了以下幾個(gè)方面的建議：1)建立完善的安全管理組織機(jī)構(gòu)和責(zé)任制度；2)設(shè)備、應(yīng)用及服務(wù)的接入管理；3)建立日常運(yùn)行的安全管理制度；4)工程實(shí)施過(guò)程中的安全管理；5)建立快速的安全事件響應(yīng)機(jī)制；6)建立分級(jí)的安全評(píng)估制度。

前3個(gè)方面對(duì)安全管理組織安排、安全職責(zé)劃分、系統(tǒng)接入管理、人員管理、資源管理、保密工作、訪問(wèn)控制、系統(tǒng)維護(hù)、安全審計(jì)、應(yīng)急備份、安全培訓(xùn)等提出了全面的建議，是安全管理工作的基礎(chǔ)，更詳細(xì)的內(nèi)容可參考《信息系統(tǒng)安全管理要求》(GB/T 20269-2006)、《信息安全實(shí)用管理規(guī)則》(GB/T 19716-2005)等標(biāo)準(zhǔn)，作為安全管理機(jī)制基本思路和建設(shè)框架的參考，通過(guò)實(shí)際的執(zhí)行、調(diào)整應(yīng)盡早形成初步可行的電力監(jiān)控系統(tǒng)安全防護(hù)管理規(guī)范。

6 安全評(píng)估

電力監(jiān)控系統(tǒng)安全防護(hù)是一個(gè)長(zhǎng)期動(dòng)態(tài)的過(guò)程，方案設(shè)計(jì)僅是處在安全防護(hù)的初級(jí)階段，在安全防護(hù)的基礎(chǔ)框架上，定期的安全評(píng)估可促使新問(wèn)題的發(fā)現(xiàn)和及時(shí)修正，在不斷的循環(huán)中完善防護(hù)體系。

提出建立分級(jí)的安全評(píng)估制度，水電站作為基層單位首先必須配合上級(jí)的安全工作，定期進(jìn)行全面安全評(píng)估，同時(shí)需建立可行的自評(píng)估辦法，利用自評(píng)估逐步規(guī)范和加強(qiáng)安全管理，促進(jìn)安全意識(shí)、機(jī)制的建立。同時(shí)自評(píng)估項(xiàng)目和標(biāo)準(zhǔn)也應(yīng)不斷完善和提高。

7 待進(jìn)一步探討的問(wèn)題

所提水電站電力監(jiān)控系統(tǒng)安全防護(hù)方案僅處于安全防護(hù)體系生命周期的初步建設(shè)階段。從效率、安全等角度看，該方案尚存在以下需進(jìn)一步研究和解決的問(wèn)題：

1)所提方案關(guān)注的主要是邊界防護(hù)和核心防護(hù)兩方面的安全需求。《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》已經(jīng)將信息網(wǎng)絡(luò)擴(kuò)展到工業(yè)控制網(wǎng)絡(luò)，其中安全計(jì)算環(huán)境關(guān)系到工控系統(tǒng)的主機(jī)應(yīng)用安全、數(shù)據(jù)存儲(chǔ)保護(hù)，是網(wǎng)絡(luò)安全等級(jí)保護(hù)中三重防護(hù)重要組成部分。這將是下一步水電站電力監(jiān)控系統(tǒng)安全防護(hù)的重點(diǎn)內(nèi)容[4]。

2)漏洞掃描、安全審計(jì)、入侵檢測(cè)系統(tǒng)等安全防護(hù)設(shè)備提供了詳細(xì)的資料輔助安全策略制定。但由于電廠安全防護(hù)負(fù)責(zé)人員大多只是電力專業(yè)背景，在缺乏專門(mén)訓(xùn)練的情況下，面對(duì)龐大的分析數(shù)據(jù)要堅(jiān)持長(zhǎng)期跟蹤變化并實(shí)時(shí)做出應(yīng)急反有一定的困難。可以考慮建設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系，實(shí)現(xiàn)對(duì)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等的實(shí)時(shí)告警與運(yùn)行狀態(tài)在線監(jiān)測(cè)，從靜態(tài)布防到實(shí)時(shí)管控轉(zhuǎn)變[5]，達(dá)到以下目標(biāo)：①外部侵入有效阻斷。對(duì)外部侵入行為能夠?qū)崟r(shí)監(jiān)視，及時(shí)阻斷危害鏈路，保證電力監(jiān)控系統(tǒng)不受入侵事件影響。②外力干擾有效隔離。對(duì)于外部產(chǎn)生緊急威脅事件，能夠通過(guò)有效手段對(duì)涉及主機(jī)或設(shè)備進(jìn)行有效隔離，保證威脅事件不會(huì)擴(kuò)散傳播。③內(nèi)部違規(guī)及時(shí)發(fā)現(xiàn)。對(duì)于內(nèi)部的越權(quán)訪問(wèn)和惡意操作，可及時(shí)發(fā)現(xiàn)并預(yù)警。

3)區(qū)域電力數(shù)字證書(shū)系統(tǒng)的缺乏使得要在電廠等基層單位實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證機(jī)制和普及加密通信還需時(shí)日。

8 結(jié) 語(yǔ)

水電站電力監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案如圖5所示。方案嚴(yán)格地執(zhí)行了相關(guān)文件的規(guī)定，符合電力監(jiān)控系統(tǒng)安全防護(hù)和信息安全的原則性要求。盡管如此，上述問(wèn)題仍應(yīng)該在今后的生產(chǎn)管理中繼續(xù)得到高度關(guān)注和進(jìn)一步研究，根據(jù)技術(shù)的發(fā)展、環(huán)境因素的改變對(duì)方案做出合理的調(diào)整，以保證跟上安全形勢(shì)的變化；為水電站提供一個(gè)具備動(dòng)態(tài)響應(yīng)、持續(xù)進(jìn)化的符合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的整網(wǎng)安全保障體系。

圖5 電力監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案

滿足文件要求不是最終目的，安全工作要努力實(shí)現(xiàn)的是人員安全意識(shí)的提高、安全機(jī)制的建立和事故保障體系的完善，最終形成滲入生產(chǎn)管理各個(gè)細(xì)節(jié)的安全體系，而不僅僅是浮于文字的規(guī)定。