向家壩升船機網絡安全概述

葉子蜻

摘 要：本文從技術和管理兩個角度介紹了向家壩升船機網絡安全相關情況，以及向家壩升船機信息系統相關安全設備及管理制度等。

關鍵詞：升船機;網絡安全;技術;管理

中圖分類號：U642? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? 文章編號：1006—7973（2020）09-0053-03

近年來，隨著全球網絡信息系統攻擊事件爆炸式增加，對信息系統進行網絡攻擊的手段不斷升級，全球網絡安全形勢日益嚴重。隨著電力監控系統安全防護工作的推廣實施，電力系統的網絡安全事件卻極少發生，表明了電力系統安全防護體系作用極為有效，顯著提高了我國電力系統抵御網絡攻擊的能力，有效保障了電力系統的網絡安全。向家壩升船機作為向家壩電站全電站管理模式下的一個重要板塊，升船機信息系統的網絡安全建設完全參照了電力監控系統網絡安全建設標準執行。根據《電力行業信息系統安全等級保護基本要求》，主要分為技術和管理兩大類要求，本文主要圍繞技術和管理兩個方面，對向家壩升船機網絡安全進行概述。

1 網絡安全概述

網絡安全為信息系統在網絡環境下的安全運行提供支持。確保了網絡設備的安全運行和網絡數據傳輸的可用性、保密性和完整性等，提供了有效的網絡服務。網絡是保障生產控制類業務穩定運行的基礎設施，網絡安全事故會使得網絡傳輸的數據可用性、保密性和完整性遭受極大破壞，因為必須加以防護。網絡安全的重點工作之一是保障網絡邊界安全，結合《電力監控系統安全防護規定》中網絡安全分區、橫向隔離和縱向認證等具體要求，嚴格落實安全策略;另一個重點工作是對網絡內部各類安防設備、策略、機制、控制措施進行規范要求，從而抵御各種網絡攻擊行為。網絡安全主要關注的方面包括：網絡結構、網絡邊界以及網絡設備自身安全等，具體的控制點包括：網絡結構安全、入侵防范、惡意代碼防范、訪問控制、安全審計、邊界完整性檢查、網絡設備防護七個控制點。

2 網絡安全技術

2.1? 物理安全

根據《電力行業信息系統安全等級保護基本要求》，物理安全主要涉及的方面包括環境安全（防火、防水、防雷擊等）、設備和介質的防盜竊防破壞等方面。具體包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護十個控制點。對機房按照定級要求進行建設需滿足防火、防水和防潮、溫濕度控制、門禁等相關要求。對定級為三級系統的機房，如升船機監控系統機房，加裝有靜電地板、精密空調、水浸傳感器、UPS不間斷電源、光電報警裝置，設置門禁刷卡準入及進出機房的臺賬記錄等;對定級為二級系統的機房，如升船機通航調度系統、通航安全系統、火災報警系統等，給機房加裝靜電地板、精密空調、光電報警裝置，設置門禁刷卡準入及進出機房的臺賬記錄等。

2.2 防火墻

防火墻技術是一種計算機硬件和軟件的組合，在內外網建立起安全網關，通過訪問控制，可以有效阻止非法的信息傳遞。同時對進出網絡邊界的數據進行保護，防止惡意入侵、惡意代碼的傳播等，保障內部數據的網絡安全。升船機信息系統防火墻主要在不同分區與不同系統之間設置進行網絡隔離，如計算機監控系統、圖像監控系統與火災報警系統之間，通航安全系統和通航調度系統之間分別設置防火墻。采用的應用網關防火墻，它的邏輯位置在應用層協議上，技術上采用應用協議代理服務實施安全策略，對應用層提供訪問控制。

2.3 內外網隔離裝置

內外網隔離裝置又名安全網閘，通過多種控制功能的固態開關隔離兩個獨立主機系統的信息安全設備。由于主機系統之間通過網閘進行隔離，不存在物理連接、邏輯連接及信息協議傳輸和信息交換，而只有以數據文件形式進行的無協議擺渡。因此，網閘從邏輯上有效隔離、阻斷了對內部的網絡攻擊，使攻擊者無法直接攻擊內網，保障了主機系統的安全（見圖1）。在升船機信息系統中，主要采用內外網隔離裝置將升船機上層管理網與級間控制網進行隔離，確保信息系統安全。

2.4 運維審計系統

運維審計系統又名堡壘機，是一種針對系統用戶運維操作進行控制、審計的安全系統。它通過對用戶身份、賬號，以及資源的集中管理，建立“用戶—資源—賬號”對應關系，實現用戶對資源的統一授權，同時，對授權人員的運維操作進行記錄、分析，幫助操作事前規劃、事中監控、違規行為響應、事后報告、事故回放，加強操作行為監管，避免核心資產（服務器、安全設備、網絡設備等）損失，保障業務系統的正常運營。升船機運維審計系統布置在計算機監控系統和通航安全系統上。用旁路網絡可達的方式部署在主干網交換機上（見圖2），保證運維審計系統與各個管理資產網絡連通，在運維審計系統添加相應的資產配置資產的用戶名密碼，實現對相應資產運維人員的運維過程監管。

2.5 安全審計系統

安全審計系統又名日志審計系統，通過實時采集網絡中用戶資源（安全設備、主機、網絡設備等）、操作系統以及各種系統產生的日志信息，并將這些信息匯總到日志審計中心，進行集中備份、存儲、審計、告警、響應，獲取全網安全運行態勢，實現設備的全生命周期日志管理（見圖3）。升船機日志審計系統布置在計算機監控系統和通航安全系統上，采用B/S架構，對各項資產進行syslog配置，獲取安全設備（如防火墻、入侵檢測系統、隔離裝置等）、調度數據網設備的安全事件信息，對網絡安全事件信息進行集中分析、過濾、處理、保存，為設備的日志審計提供保障。

2.6 入侵檢測系統

入侵檢測系統又名IDS系統，可以根據采集被監測的系統中相關信息數據流，比對攻擊類型數據庫，找出入侵攻擊的存在。升船機入侵檢測系統主要布置在計算機監控系統和通航安全系統上，實現對升船機計算機監控系統和通航安全系統的入侵風險檢測。以監控系統為例：入侵檢測系統的探測引擎為一個獨立的監聽端口，入侵檢測系統控制中心安裝在一臺安全服務器上。在核心交換機上對入侵檢測系統業務口端口做流量鏡像，將核心交換機上其他接口的流量鏡像到入侵檢測系統的端口，由于入侵檢測系統屬于旁路部署，不會造成網絡阻斷，所以入侵檢測系統在保證現有系統網絡安全的前提下不會對現有生產網絡產生影響（見圖4）。

2.7? 終端安全防護軟件

向家壩升船機信息系統安裝的終端安全防護軟件又名內網安全風險管理與審計系統，所有策略集中放在升船機安全服務器上，開放了配置用戶的界面，管理員從Web登錄到安全服務器，進行策略配置，報表查詢（見圖5）。其客戶端位于監控系統兩臺操作員站上，執行策略的檢查、從安全服務器上讀取規則、向安全服務器發送報表等，當用戶不滿足策略條件時，向用戶提示相關信息，實現對操作員站平臺管理、桌面管理、準入管理、桌面運維等功能。

2.8? 主機加固策略

根據中國長江電力股份有限公司《Windows主機加固規范操作手冊》，需對Windows操作系統做安全配置，符合GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》和GB/T 20272-2006《信息安全技術操作系統安全技術要求》這兩個規范性文件要求。其中包含：補丁管理、賬號密碼策略、認證授權、日志審計、網絡服務、可移動存儲訪問策略、IP協議安全、網絡病毒管理、端口服務管理等策略，對生產控制大區和管理信息大區的Windows主機進行主機加固，增強主機安全防護等級。

3 網絡安全管理

3.1 制度建設

為了“樹立正確的網絡安全觀、加快構建關鍵信息基礎設施安全保障體系”，向家壩電廠升船機部借鑒了2013年以來國家、行業、公司及電網對水電站工控網絡安全的制度要求，結合現場生產實際情況，編制了《升船機部網絡安全管理制度匯編》。將網絡安全建設制度化、規范化。內容涵蓋了《向家壩升船機機房日常維護工作規范》、《向家壩升船機便攜式計算機和移動介質管理制度》、《升船機部計算機病毒防治管理辦法》、《向家壩升船機部計算機軟件管理制度》、《向家壩升船機部賬戶及密碼管理制度》、《向家壩升船機機房消防安全管理制度》和網絡安全保密要求、網絡安全考核等方面的規定，將升船機網絡安全管理制度化。梳理出針對網絡安全保障的定期工作，如：定期修改信息系統密碼 、定期進行病毒查殺、定期進行數據備份等，按照規定時間建立相應的電子臺賬或紙質記錄。

3.2 應急預案

制定網絡安全事件應急預案和應急處置方案，對可能發生的網絡安全事故進行事故預想，并定期演練。升船機部編制了《向家壩電廠升船機監控系統網絡安防事故現場處置方案》、《向家壩電廠升船機通航安全系統網絡安防事故現場處置方案》、《向家壩電廠升船機通航調度系統網絡安防事故現場處置方案》三個應急處置方案和《升船機部防特權賬戶濫用的應急處置流程》一個應急預案。規定了升船機發生網絡安全事故時的報警、應急措施啟動、現場處置、事故控制和人員救護等方面應急處置措施以及注意事項。在現場處置方案中，根據網絡安全事故的發生原因、性質和機理，將網絡安全事故主要分為攻擊類事件、故障類事件、災害類事件三類進行事故預想。就可能出現的故障分為了網絡設備異常、硬件故障、軟件故障三類制定相應的應急措施、物資準備和組織職責。

4 結語

向家壩升船機信息系統網絡安全建設按照目前的網絡安全定級標準已經建設完成，這只是目前網絡安全工作一個新的開始。后續繼續做好整個信息系統的網絡安全維護工作，嚴格按照制定出的管理制度實施是保障向家壩升船機信息系統網絡安全的重要手段。

參考文獻：

[1]國家能源局. 《電力行業信息系統安全等級保護基本要求》釋義[M]. 北京： 電子工業出版社，2014. 15-17.

[2]發改委[2014]14號， 《電力監控系統安全防護規定》 [S].

[3]電監信息[2012]62號， 《電力行業信息系統安全等級保護基本要求》[S].