主動免疫的水電站電力監控系統網絡安全防護方案設計

謝秋華，楊廷勇，楊 云，張衛君

（1.中國長江電力股份有限公司，湖北 宜昌 443000；2.北京中水科水電科技開發有限公司，北京 100038）

0 引言

電力行業安全事關國家安全，水電站電力監控系統作為重要領域的工業控制系統電力監控系統，其網絡信息安全受到各方面高度的關注。在具體防護工作的開展中，電力行業的監督主體部門包括中央網信辦、工信部、發改委、能源局、公安部以及國家密碼管理局等，防護要求涵蓋了從法律到條例，從政府部門通知到國家、行業標準規范，為切實落實各個監管部門的管理要求，本文以電力監控系統網絡安全防護體系三維立體防護模型為藍本，綜合考慮當前水電站網絡安全風險實際情況、威脅環境、法律和監管規定以及防護技術的發展，確定了適合水電站電力監控系統的三維立體防護模型，在電力監控系統網絡安全防護體系的“綜合防御”基礎上，提出了基于國產裝備、國密技術、可信計算的“主動免疫，綜合防御，風險防范，災難恢復”十六字方針，形成了主動免疫的水電站電力監控系統網絡安全防護方案。

1 水電站電力監控系統網絡安全重難點

1.1 技術措施落地難

水電站電力監控系統網絡安全防護工作要求多、細、嚴，但在具體執行過程中多數企業存在技術措施落地難的問題，分析原因有2個方面：①對電力監控系統各項安全防護監管要求的認知與理解不足。電力監控系統安全防護，不同監管部門有不同的管理重點與要求，從業人員缺乏對相關要求的正確認識，以及落實監管要求與電力監控系統本身安全運行之間“度”的把握。電力監控系統安全防護相關規定是針對網絡安全工作中的薄弱環節提出防護要求，有些并未落實到具體的安全防護產品或技術，市場上林林總總的安全防護產品是否具備相關的防護能力、能否在不影響系統運行安全的基礎上滿足防護的功能、是否成熟產品等，要求從業人員具備選擇、評估、判斷的能力。

②人員的專業技術能力欠缺。水電站電力監控系統網絡安全工作早期從專業管理角度出發，人員均是自動化相關專業，對電力監控系統運維、發改委的《電力監控系統安全防護規定》執行的比較到位，但網絡安全防護工作同時涉及到信息系統等級保護相關內容，人員普遍存在知識儲備不足。此外水電站電力監控系統網絡安全防護工作一段時間一直處于“被動上馬”的狀態：為滿足監管部門要求購買一些安全防護裝備，這些設備猶如一個黑匣子，配置由產品供貨商說了算，技術人員不清楚配備的安全防護設備是否適當和足夠，不清楚設備的功能與性能，更缺乏根據系統網絡安全狀態變化實時調整網絡安全防護設置的能力。

1.2 管理職能、應急備用待提升

水電站電力監控系統網絡安全防護相對于水電站生產管理屬于新興業務，在近20年網絡安全防護工作開展中，管理制度經歷了從無到有、從簡單到完善、從單純的設備維護職責到涵蓋資產管理、人員管理的發展歷程。相對網絡安全防護的技術措施，不同水電企業在管理制度的制定與執行方面差異性更大，具體表現在：在人員方面，發電企業是否設置網絡安全管理專職人員；設備維護部門“三權分立”的設置與執行情況；全員網絡安全防護意識的培養；電力監控系統人員管理是否除本單位安全防護人員，還涵蓋了設備的供貨商、開發商以及系統維護商等。在設備方面，是否建立清晰、明確的全系統設備資產清冊和拓撲圖；設備空閑端口、移動存儲介質與調試用電腦等的規范管理情況；新投運設備、退役設備管理盲區的排查；設備運行期間的密碼管理、病毒庫升級規范執行等等。

體現水電站電力監控系統安全與否的一個最重要的指標就是各系統在任何狀況下都能“可用”，電力監控系統在設計時，通常都考慮了冗余備用，這對電力監控系統來說是必要的，可以應對單設備故障；但從電力監控系統整體安全考慮，還需從邊界防護的“多道防線”以及極端情況下的災難恢復兩方面做考慮，從而使水電站電力監控系統可應對高級別的惡意攻擊，以及網絡安全事件發生時，電力監控系統整體安全處于可接受的水平。

2 水電站電力監控系統安全防護方案主體內容

2.1 水電站電力監控系統安全防護方案框架

針對水電站電力監控系統網絡安全防護中存在的問題，本文提出了一套完整的可指導具體實施的設計方案。方案對當前成熟的防護技術進行詳細的規定，明確其采用的軟硬件實施方法，對先進的網絡安全防護理念進行了實踐和提煉。方案參考《電力監控系統網絡安全防護導則》（以下簡稱導則），確定水電站電力監控系統安全防護框架由安全防護技術、應急備用措施、全面安全管理等3個方面組成，詳細設計內容見圖1。

圖1 水電站電力監控系統安全防護框架

其中安全防護技術方面在導則“基礎安全、結構安全、本體安全、安全免疫”四方面的基礎上，進行了補充完善，形成以“基礎安全、結構安全、本體安全、綜合防御、安全免疫”全方位的技防手段，“綜合防御”將目前網絡安全防護采取的訪問控制、入侵防范、惡意代碼防范、內網監測平臺、安全審計等技防措施進行了歸類闡述；此外“安全免疫”也在導則中“版本管理、靜態免疫、動態免疫”的基礎上增加了數字證書的應用。

2.2 水電站電力監控系統安全防護應急管理

在應急備用措施方面，方案在導則的基礎上結合水電站電力監控系統類型、特點進行了細化、優化設計。從外到內的橫向三道防線將外部公共因特網、管理辦公區的信息外網、管理辦公區的信息內網、生產控制區進行了嚴格防范；從下到上的三道防線將現地級控制設備、廠站級設備、梯調中心設備、國調中心設備從縱向實施安全防護。

冗余備用措施根據系統不同，備用方式不同。以水電站計算機監控系統為例，現地層設備以“結構冗余”為主，對影響LCU可靠性的每一個環節采取雙冗余配置，如PLC的CPU、I/O機箱電源、通信模塊、I/O模塊、機柜電源、總線等；對巨型水電站廠站層設備，兼顧“結構冗余”、“功能分布”、“功能冗余”，采用多機多網冗余配置、同功能的設備冗余配置，極端情況下，功能還可轉移至其他設備；此外，對水電站計算機監控系統還設置了系統失靈情況下的手動操作機構與回路，確保自動控制失效時的應急備用措施。

2.3 水電站電力監控系統安全防護全面安全管理

在全面安全管理方面，方案沿用了導則關于“融入安全生產管理體系、全體人員管理、全部設備管理、全生命周期管理”的理念，具體設計時總結三峽電廠多年的防護管理經驗進行了細化、優化，各項管理措施均有可執行的實施細則，并通過現場檢查、督導使各管理措施落地。

在“融入安全生產管理體系”方面，建立與常規安全生產相類似的組織體系、目標責任體系、風險防控措施、考核實施細則，營造從上至下的“網絡安全防護意識”。

在“全體人員管理”方面，分人員安全分級管理、重點區域人員管理、外協單位人員管理以及離職人員管理，從制度與流程上保證所有人員都可控在控。

在“全部設備管理”方面，分系統建立完善的設備資產清冊，在此基礎上編制電力監控系統網絡安全防護拓撲圖、開展對主機與通信設備的安全加固，同時通過網絡安全檢查持續完善。

在“全生命周期管理”方面，設計階段重點把好設備選型關和系統結構設計關，開發階段重點規避密碼明文存儲、固化存儲以及代碼中采用通用網絡服務等不符合網絡安全的編程習慣，系統上線前開展系統的等級保護與信息安全測評、漏洞分析與源代碼安全檢測，系統運行階段運維人員全面、規范地執行各種技防措施、做好移動介質的管理，系統退役階段做好關鍵設備及敏感信息的報廢、銷毀管理。

3 先進的網絡安全防護理念與技術

水電站電力監控系統網絡安全防護具體實施中，各項技術措施處于逐步完善中，本方案針對三峽電廠電力監控系統網絡安全具體實踐，總結提煉了一系列先進的安防理念的具體應用要求：

3.1 電磁屏蔽

相關標準中對電磁屏蔽的要求比較含糊，信息系統等級保護第三級要求中描述為：“應對關鍵設備和磁介質實施電磁屏蔽”，導則中僅要求“應對關鍵電力監控系統（四級）關鍵區域或關鍵設備實施電磁屏蔽。”，水電站電力監控系統中，計算機監控系統為三級系統，因此為指導現場實施，方案規定水電站計算機監控系統中與國調、梯調通信的相關服務器需進行電磁屏蔽，同時對電磁屏蔽柜的功能、配置提出了具體要求。

3.2 國產設備及軟件

本體安全的四部分包括“生產系統無惡意軟件、操作系統無惡意后門、整機主板無惡意芯片、主要芯片無惡意指令”，根據水電站電力監控系統應用現狀，應用軟件國產化總體情況良好，操作系統和基礎軟件，工業用的計算機與網絡設備仍以國外產品為主，因此導則中要求是相關軟硬件設備“應通過國家有關機構的安全檢測認證”，但為實現真正的本體安全，方案根據三峽電廠現有試點情況，提出應有計劃地推進電力監控系統服務器、工作站，控制網及信息網交換機等硬件設備國產化，操作系統、數據庫等軟件產品國產化，目前國內主流的浪潮、曙光等服務器，麒麟、凝思等操作系統都是通過國家安全四級檢測認證的設備，其安全性可以真正做到“自主可控”。

3.3 內網安全監視與審計平臺建設

方案在導則“基礎安全、結構安全、本體安全、安全免疫”四方面的技術措施上增加了“綜合防御”環節，其中訪問控制、入侵監測、惡意代碼防范屬于成熟技術的應用，內網安全監視和審計平臺是針對電力監控系統網絡安全防護“實時監視、集中審計”要求而開發的新型防護手段。具體做法是從發電廠到公司建設一個統一的平臺，該平臺同時實現統一調度體系內網絡安全信息的共享。平臺可實時監視系統內所有信息資產的資源及運行狀態，動態感知評估和整個系統的健康狀況；集中收集系統中所有設備的運行日志，實現全維度、跨設備、細粒度關聯分析。內網安全監視與審計平臺實現發電企業網絡安全防護狀態的集中、實時監視，操作系統、數據庫、應用軟件的集中審計，及時發現網絡安全事件和潛在隱患。

3.4 可信安全免疫

《網絡安全法》、《電力監控系統總體方案要求》以及導則中均有對可信安全免疫的描述，但由于相關技術與產品并不成熟，相關標準并無強制要求，而是要求“逐步采用”、“逐步推廣”。三峽電站在兩年的試點實踐中，形成了國產密碼與可信計算技術在水電站計算機監控系統應用的“可信安全免疫”方案，從根本上改變了傳統的“以邊界防護為主的網絡安全防護體系”，形成攻擊者進不去、非授權者重要信息拿不到、系統重要信息改不了、攻擊行為賴不掉的主動免疫的網絡安全防護體系。

方案中采用國產密碼技術的可信密碼模塊以板卡形式安裝于服務器的主板上，服務器中安裝可信軟件基。BIOS和可信密碼模塊共同構成系統的物理信任根，從系統引導開始逐級建立可信鏈，信任傳遞至可信軟件基后，由可信軟件基完成對操作系統、應用軟件的靜態度量，可信軟件基同時在應用層面上對設備、程序、人員進行可信度量。

4 結語

水電站電力監控系統網絡安全防護方案，一方面是需要將當前已有的成熟手段包括技術與管理措施做細、做實，已有的技術措施提煉出明確的軟、硬件防護要求；管理手段應涵蓋設備的全生命周期和運維的全體人員管理，并通過監督檢查確保執行到位；應急備用措施從事前預防到事后處理，防范網絡安全事件的發生并在發生網絡安全事件的情況下將影響控制到最小。另一方面是要根據水電站電力監控系統現狀、網絡安全防護新理念與技術，在電力監控系統中全面采用國產服務器、國產操作系統、國產軟件，實現系統重構可信主機、基礎可信網絡環境的建設；在操作系統、應用系統層級，部署可信計算平臺和可信安全管理平臺，實現可信計算環境的建設；研發水電站數字證書系統，為水電站監控系統中的用戶、關鍵網絡設備、服務器、業務程序等發放數字證書，實現高強度的身份認證、安全的數據傳輸和可靠的行為審計；部署內網監視平臺用于監視機房內所有業務服務器、網絡安全設備的資源及運行狀態，動態感知評估和整個監控系統的健康狀況，最終建設成為主動安全免疫的水電站電力監控系統。