電力監控系統網絡安全防護方案的研究與設計

國網湖北省電力有限公司信息通信公司 余明陽 査志勇 詹 偉 梁航函 吳 耿

近年來，隨著網絡安全問題的不斷涌現，國家對網絡安全越來越重視。水電廠電力監控系統的網絡安全問題也越來越多。本文從多個角度研究了水電廠電力監控系統的網絡安全問題，提出相關設計思路和解決方案，并進行系統的描述。

電力行業是我國重要的關鍵基礎設施，關乎國計民生，其中發電廠電力監控系統是最核心和重要的系統之一。在滿足“安全分區、網絡專用、橫向隔離、縱向認證”基本原則的基礎上，結合國家信息安全等級保護工作的相關要求，對電力監控系統的綜合安全防護建設工作仍需持續加強。

近年來，電力監控系統的外部環境發生了變化，系統網絡不再獨立封閉，更多的系統互聯。外部攻擊源從單點個體變化為規模化團體攻擊，攻擊從個體行為向團隊協作過渡，甚至國家級力量開始介入。攻擊技術在軟件即服務等新技術的加持下，惡意代碼獲得便捷、多元、快速，攻擊行為全天候，產生惡意代碼變種的速度空前加快。攻擊手段趨于定制化、個性化、復雜化，APT技術運用越來越多。工業自動化進一步發展，智慧電廠、泛在互聯如火如荼，廣泛的互聯互操作使生產網絡趨向復雜，風險點增多。

1 設計思路

水電廠電力監控系統網絡安全防護方案的主要設計思路：強化安全區域邊界訪問控制能力；提高網絡內、外入侵和惡意代碼防御能力；提高違規內聯、外聯檢測能力；提高系統內主機病毒防范能力；提高主機身份認證能力，采用雙因子認證機制；一鍵式安全加固，提高主機安全基線；關閉不必要的服務端口，提高入侵防范能力；利用訪問控制策略，保證業務配置文件不被篡改；提高日志審計能力，審計日志至少保存12個月；加強運維人員行為管理；建立統一安全管理中心，強化集中管控能力；技術手段輔助業主完成定期自檢。

風險評估分析是對電力監控系統網絡內各資產進行安全管理的先決條件，其目的在于識別和評估不同用戶所面臨的生產安全風險和網絡安全風險。工控系統資產梳理，分析價值；識別已有的安全防護措施；資產脆弱性及面臨的威脅分析；安全風險綜合分析。

2 方案介紹

2.1 強化安全區域邊界訪問控制能力

ACL+應用級白名單：配置ACL訪問控制規則，僅允許業務相關IP通過。工控協議深度解析，形成協議白名單，保證只有可信任的協議、指令才可以通過。針對具體指令的具體值域范圍進行保護。驗證工控協議的合規性，控制邏輯的合理性，控制協議功能碼、點值。

2.2 提高網絡內、外入侵和惡意代碼防御能力

實時監測基于白名單的工業流量、關鍵網絡節點基于流量的威脅以及對網絡威脅感知系統APT攻擊。

網絡威脅感知系統（APT）內置威脅情報檢測，APT情報檢測能力，內置IOC數據庫覆蓋主流的APT家族，覆蓋家族數量≥240個。采用基因圖譜模糊比對技術對流量中的文件進行靜態檢測通過結合圖像文理分析技術與惡意代碼變種檢測技術將可疑文件的二進制代碼映射為無法壓縮的灰階圖片，與已有的惡意代碼基因庫圖片進行相似度匹配，根據相似度判斷是否為威脅變種。

2.3 提高違規內聯、外聯檢測能力

交換機關閉不必要端口；進行IP/MAC綁定；工控主機衛士開啟非法外聯策略。

2.4 提高系統內主機病毒防范能力

傳統安全解決方案難以及時更新、打補丁；緩沖區溢出、0day漏洞利用等攻擊方式，傳統殺毒軟件存在短板；殺毒軟件或將業務軟件誤識為病毒而刪除。

切斷惡意代碼/病毒通過U盤擺渡到系統內部的途徑；啟動文件級白名單策略，防止惡意代碼/病毒/非法軟件執行。保證只有經過授權的可執行程序才可以執行，保證只有經過授權的U盤才允許使用。

2.5 提高主機身份認證能力，采用雙因子認證機制

采用靜態密碼+UKEY，關鍵服務器采用雙因子認證。

2.6 一鍵式安全加固，提高主機安全基線

內置42條安全基線規則，一鍵式配置，降低手動加固成。根據不同加固等級，一鍵加固。

2.7 關閉不必要的服務端口，提高入侵防范能力

內置防火墻功能，關閉不必要端口；一鍵式配置，降低手動加固成本。

2.8 利用訪問控制策略，保證業務配置文件不被篡改

自主訪問控制，基于標記的強制訪問控制。

2.9 提高日志審計能力，審計日志至少保存12個月

范式化多種類設備（主機、網絡、安全）日志，快速準確的識別安全事件，發現違規行為。

2.10 加強運維人員行為管理

運維人員身份授權、運維人員操作授權、運維人員行為審計。安全運維管理系統進行統一賬戶管理。

2.11 建立統一安全管理中心，強化集中管控能力

安全產品統一管理，安全管理加密傳輸，高度可視化，雙機熱備，高度可靠。

2.12 技術手段輔助業主完成定期自檢

先進行漏洞掃描并生成相關報告，給出指導意見。

3 主要特點

3.1 廠級統一安全運營中心

資產可視，自動識別工控網的設備類型、設備廠商、設備型號，自動識別網絡拓撲，提供全方位的資產可視化體驗。

威脅可視，智能分析海量安全設備日志，通過人工智能的知識圖譜技術，將資產配置弱點、漏洞、威脅事件關聯分析，自動發現攻擊路徑。

合規評估，結合等級保護合規自評和自動化的合規評估技術，將合規評估量化分析，提供企業集團量化的健康指數。

3.2 安全管理制度完善

完善生產網安全制度與標準體系，滿足等級保護的基本要求、測評要求，規范網絡安全管理，保障網絡安全工作的順利開展；建立企業自身的工控網絡安全制度與標準，需要企業業務主管部門、安全管理部門與我司共同配合完成，在滿足國家等級保護相關要求基礎上，能夠與企業自身生產特點相融合。

一級文件：電力監控系統的工控網絡安全管理方針，能夠反映最高管理者對工控網絡安全管理下達的工作意圖等，能為所有下級文件的編寫提供方向。二級文件：各類屬于電力監控系統工控網絡安全管理的規范性制度、標準、辦法、策略文件、配置規范等。三級文件：各種體系運行所需的規范文檔模板。

內置豐富的攻擊特征庫，結合硬件加速信息包捕捉技術來探測包括PLC等控制設備的拒絕服務攻擊漏洞、緩沖區溢出攻擊漏洞等典型工控漏洞的攻擊行為，并及時告警。采用TCP/IP數據重組、目標和應用程序識別、完整的應用層有限狀態追蹤、應用層協議分析、先進的事件關聯分析技術以及多項反IDS逃避技術，提供業界超低的誤報率和漏報率。能夠為用戶提供豐富的動態圖形報表，以及數十種分析報表模版和向導式的用戶自定義報表功能。采用旁路部署方式，不會對網絡造成任何影響。

安全區域邊界：在生產控制大區計算機監控系統地上環網與地下環網各就地控制單元（LCU）之間部署工業防火墻，實現區域間的邏輯隔離和網絡威脅防護，保證電力監控系統區域邊界安全。

安全通信網絡：在生產控制大區網絡關鍵節點部署工控安全監控與審計系統和網絡威脅感知系統，對網絡中的實時流量進行監測，及時發現網絡攻擊、異常操作等行為，特別是新型網絡攻擊行為，并告警通知安全管理員。

安全計算環境：在電力監控系統中工程師站、操作員站、服務器和接口機上安裝工控主機衛士軟件，開啟程序白名單、外設管控、安全基線及訪問控制等功能，實現阻攔病毒、木馬等惡意程序的運行、主機安全加固和移動介質管控等安全需求。

安全管理中心：在在生產控制大區部署統一安全管理平臺和安全運維管理系統，實現安全設備進行集中管控，并對日志數據、告警數據等進行集中分析，同時對不同權限賬戶進行身份鑒別及權限管理，保證電力監控系統管理安全；同時配置工控漏洞掃描系統，定期對電力監控系統進行漏掃掃描，及時發現電力監控系統中的網絡安全漏洞。

結論：本文研究了水電廠電力監控系統網絡安全防護的相關內容，并制定了對應的方案。該水電廠電力監控系統網絡安全防護方案提高了工控主機病毒和惡意代碼防范能力，增強工控主機安全性；有效檢測工控網絡中的異常操作行為并加以阻止，避免造成重大安全生產事故、人員傷亡和社會影響。實時檢測工控網絡中的惡意攻擊、誤操作、違規行為、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播，幫助客戶及時采取應對措施，避免發生安全事故；詳實記錄網絡通信流量，為安全事故調查取證提供技術支撐。