水電廠信息網絡安全防護策略探究

◆陳亞燕

水電廠信息網絡安全防護策略探究

◆陳亞燕

（廣東粵海樂昌峽水力發電有限公司 廣東 512200）

隨著信息網絡技術的快速發展，網絡安全受到了人們的高度重視，尤其是隨著信息化技術在水電廠信息管理和監控系統中的廣泛應用，計算機監控系統成了水電廠安全生產、監控運作的主要設備，更是信息網絡安全防控重點。但在水電廠信息監控系統運轉過程中，仍存在一些網絡安全問題，這給水電廠信息網絡系統埋下安全隱患。為了有效提高水電廠信息網絡安全性能，保障水電廠穩定運行是當前亟須考慮的問題之一。本文首先分析了水電廠監控信息系統中存在的問題，其次闡述了水電廠網絡安全防控的重要性，并提出相對應的防控措施，以期能有效提高水電廠網絡安全系統可靠性及應用水平，進一步確保水電廠的正常運轉。

水電廠；監控系統；信息網絡安全問題；安全防護措施

近幾年，隨著網絡信息化技術在各行各業的深入應用，信息安全問題開始出現，這使得各行業也加強了信息網絡安全防控力度。而水電廠作為發電系統的重要組成部分，其生產運行管理系統、MIS系統、操作管理系統等各個系統功能的運轉都離不開信息化技術，因此，為了保障水電廠正常運作，應提高對水電廠各個信息系統安全性的重視，以避免各個系統中存在信息安全風險，同時，通過采取相對應的安全防控措施，提升水電廠系統的安全性能與運行效率。

1 水電廠監控信息系統中主要存在的網絡安全問題

當前，水電廠的監控信息系統仍存在一些網絡安全問題亟須解決，為此，筆者根據當前水電廠監控信息系統的現狀，大概舉了幾個典型的網絡安全問題，具體如下：

1.1 防火墻

防火墻作為水電廠網絡安全最有效的保護手段之一，其主要是由軟件與硬件所組成，在水電廠監控信息系統（SIS）中，其防火墻主要是采用軟件設計，通過軟件來增強監控系統的安全性能，當SIS在監控水電廠電網調度信息時，防火墻便會處在一種比較被迫防衛的處境。此時，如果水電廠不能及時對軟件防火墻進行更新，那后期防火墻只能對一些常規的病毒起到作用，但對于一些攻擊性比較強的病毒完全沒有抵抗力，這時，防火墻受到病毒攻擊的影響處境更加艱難，無法繼續保護系統正常運行，造成系統上的資料丟失，這對水電廠的調度產生了極大的影響。

1.2 網絡連接

當前，水電廠與其他設備網絡連接，如：與MIS系統、生產運行管理系統、廠內智能控制設備、操作管理系統等進行連接時，由于其數據傳輸主要是選用單向的方式，無法向實時信息監控系統的服務器輸入數據，在與廠內其他智能控制設備進行連接時，如果沒有進行光電隔離，容易發生高壓或短路的情況；若與MIS系統網上連接時，由于MIS系統安全管理中存在很多不穩定因素，容易收到病毒、黑客的入侵，容易給SIS帶來極大的安全隱患；此時，如果水電廠SIS網絡連接過程中出現安全漏洞，系統非常容易受到黑客的入侵攻擊，從而造成SIS的連接存在網絡安全隱患，這一常見的網絡連接問題對水電廠的安全、正常運轉會產生極大的不良影響。

1.3 網絡通訊

水電廠SIS主要是由交換機與通信服務器相連接，水電廠SIS網絡通訊的等級要比管理和操作系統的等級還高，為此，盡管在SIS網絡通訊過程中做好了安全防護，但網絡通訊仍要按照單向傳輸方式進行，如果能從通訊的角度換到結構的角度去看待問題，那么，網絡通訊還是存在許多安全問題。比如：水電廠在SIS中，其通訊訪問過程不存在隱藏性，而是透明、公開的，它可以向任何一個編程進行訪問，而任何表明身份的計算機也可以對SIS的網絡通訊進行訪問，以取得水電廠監控網絡通訊信息，此時，缺少安全保護措施的網絡，很容易給網絡通訊數據交流埋下安全隱患。

2 水電廠加強網絡安全防護的重要性

根據上文存在的網絡安全問題可以看出，加強水電廠網絡安全防護顯得十分重要。但隨著信息技術在水電廠的深入應用，信息網絡安全危險隨之增加，尤其是系統安全漏洞，病毒入侵、黑客攻擊、軟件安全漏洞以及數據安全存在威脅等，以上這些常見網絡安全問題的存在，會影響到水電廠網絡系統的正常運行，降低水電廠自動化運行、操作效率，嚴重的還會造成水電廠系統癱瘓，這對水電廠的發展產生極大的不良影響，基于此，一定要提高水電廠網絡信息安全的重視程度。此外，水電廠是保障人們生活與我國經濟的重要樞紐，其各個系統的運行都離不開信息技術，為此，加強水電廠信息網絡系統的安全防御性能，有助于確保網絡信息系統的安全、穩定，從而提高水電廠自動化運行、生產操作效率，進而促進水電廠的健康發展。由此可見，網絡信息安全防控在水電廠中發揮了至關重要的作用。

3 水電廠網絡安全防控的幾點措施

結合上文水電廠SIS對信息網絡安全的需要，下文對水電廠提出了三個方面的防控措施，以期能有效提高SIS在水電廠的安全性。具體如下：

3.1 硬件防護

為了保障水電廠SIS系統的安全運轉，水電廠SIS在設置硬件防控措施時，都會設置硬件隔離防護，以確保SIS的安全運轉。比如：水電廠SIS在連接廠內其他智能控制設備時，一般會在兩個系統之間采用光電隔離，這樣，兩個系統之間除了有數據交換外，再無任何網絡上的聯系；在與MIS系統連接時，一般會采用通訊服務或路由器進行隔離，并安裝單向傳輸裝置，使MIS系統只能單向與通訊服務器聯系，以此規范硬件中信息流，控制MIS系統對水電廠SIS的訪問，進一步阻擋非法信息的入侵（如圖1）所示；此外，水電廠的內網與外網之間也加裝物理隔離設備，當內網向外網發送數據時，其數據需通過內部網關機上的通信進程，再通過單向物理隔離設備將數據轉到外網，“外網”關機通信進程在收到內網傳送過來的數據后，再將其寫入外網公共數據區，而“外網”向內網傳輸數據的方式一樣，但其方向相反（如圖2）所示。通過對以上硬件進行防控，能有效保護水電廠數據傳輸的安全，避免數據傳輸過程中存在的安全隱患。

3.2 IDS入侵防護

IDS入侵監測系統，其主要是監視網絡系統的運作狀況，檢測網絡是否受到非法入侵攻擊，并進行阻止，以保護信息網絡系統結構的安全、完整。當前，水電廠SIS除了不斷更新防火墻之外，還增加了IDS入侵防護檢測系統，該入侵檢測系統不僅能測出網絡中存在的病毒信息，還能根據病毒入侵信息進行等級分析，并及時做出響應，然后設置相對應的防護策略。如：水電廠SIS受到黑客攻擊時，IDS檢測到黑客入侵攻擊行為時，傳感器便會向安全管理控制平臺發出警報，并將黑客入侵的詳細內容通知安全管理員，同時，控制路由器斷開非法對話，以此保障SIS網絡的安全。由此可見，IDS入侵檢測系統作為維護網絡安全的重要防控技術，其能在確保網絡安全的前提下，對水電廠的網絡運行狀態進行檢測，從而實現對水電廠內的網絡進行實時保護。

圖1 與MIS的連接方式

圖2 內外網數據傳輸圖

圖3 入侵檢測/響應流程圖

3.3 態勢感知系統防護

目前，水電廠通過在安全“I區”部署一套電力監控系統網絡安全態勢感知廠站終端，該終端主要是通過SNMP、SNMP trap、Syslog等技術，在I區進行縱向加密裝置、橫向防火墻、互聯交換機的信息采集；在橫向防火墻使用NAT技術將I區廠站裝置IP映射成II區IP，然后通過SNMP、SNMP trap、Syslog等技術，實現II區的縱向加密裝置、工作站的信息采集。在交換機上對網絡流量的鏡像，網絡安全態勢感知廠站終端具備以太網接口和流量獲取端口。I區裝置分別接入控制區交換機，非控制區交換機實現設備配置/日志信息以及設備流量信息的獲取。“I區”網絡安全態勢感知廠站終端采集到的數據將通過II區調度數據網IP，向廣東中調II區的主站平臺服務器上送數據。廠站裝置還可以通過ICMP、snmp、鏡像三種來源來自動獲取站內的資產信息，包括資產的IP地址、軟件版本、內核信息等數據并形成拓撲結構，還可以通過手工錄入、主動錄入來手動添加資產。鏡像來源還可以發現站內的數據通信（TCP、UDP協議）告警并上報主站。從而實現對水電廠各電力監控系統網絡安全的數據采集、“范式化”處理、數據建模和關聯分析，以便及時發現非法跨區互聯、網絡非法接入、非法移動介質接入等各類網絡安全風險以及非法訪問事件，以達到網絡安全風險在線識別（如圖4所示）。這對促進水電廠電力監控系統全方位、全天候的網絡安全監測，以及電廠電力監控系統網絡安全的閉環管理具有十分重要的意義。通過全面提高電廠電力監控系統網絡安全防護的整體水平，提升電廠網絡風險預警和病毒處理能力，達到電力監控系統網絡安全風險可發現、可控制、可溯源的目的。

圖4 網絡安全態勢感知系統體系結構圖

4 總結

根據上文所述可以看出，水電廠網絡的安全穩定關乎水電廠的正常生產運轉，為此，需要提高對網絡安全防控工作的重視程度，通過硬件隔離、IDS入侵檢測，態勢感知系統等安全防護來強化水電廠網絡病毒防御系統，提高水電廠信息網絡安全管理水平及病毒防控能力，切切實實的保障水電廠各個系統的正常運轉，由此可見，做好網絡信息安全防控工作對水電廠智能控制設備的正常運轉十分重要。

[1]羅光濤.水電廠監控信息系統網絡安全防控研究[J].信息與安全技術，2015（07）.

[2]黃開泰.水電廠信息網絡安全防護的探究[J].科教導刊（電子版），2018（17）.

[3]季金付.發電廠廠級監控信息系統的網絡安全防護[J].安徽電力，2013（04）.