電力監控系統安全防護與監測預警平臺建設

艾遠高，謝秋華，黃家志，楊 云

（長江電力股份有限公司三峽水力發電廠，湖北 宜昌 443133）

0 引言

電力系統作為重要基礎設施領域，已被不少國家視為“網絡戰”首選攻擊目標，近些年國內外報出的電力系統遭到網絡攻擊事件頻出，如烏克蘭電網攻擊事件、以色列電力供應系統遭重大網絡攻擊事件、委內瑞拉大停電事件等等，電力監控系統的網絡安全形勢異常嚴峻。國家對網絡安全的要求日益提高，《網絡安全法》要求：“應采取監測和記錄網絡運行狀態及網絡安全事件的技術措施”的要求;同時，國家發改委2014第14號令《電力監控系統安全防護規定》和國家能源局2015第36號文等文件也對網絡安全防護做了明確的規定。

2002年以來，電力行業按照“安全分區、網絡專用、橫向隔離、縱向認證”的邊界防護策略和監控系統安全可控的基本原則，建立了柵格狀的電力監控系統安全防護體系，實現網絡安全的動態管控，始終維持安防體系的強健性，阻斷各種形式的網絡攻擊行為，將電力監控系統安全防護體系由靜態布防提升為動態管控。

三峽工程兼具防洪、航運、發電、生態補水等綜合效益，三峽電站作為電網重要電源節點，其電力監控系統安全防護倍受各級主管部門高度關注。“等保2.0”[1]系列國家標準于2019年正式發布，對工控系統安全防護提出了更高要求。在此背景下三峽左岸電站計算機監控系統啟動升級改造，新監控系統安全防護設計的思路是依靠科學的技術手段和管理方式，實現網絡風險的預知、預防和預控，實現外部網絡威脅和內部網絡不安全行為的在線管控。

1 平臺技術路線

1.1 國產安全可信

安全可信[2]，其核心思想是在計算運算的同時進行安全防護，計算全程可測可控，不被干擾，使計算結果與預期一樣，是一種運算和防護并存的主動免疫的新計算模式。

水電站監控系統建立基于自主可控軟硬件、國產密碼技術、可信計算的主動免疫網絡安全防御平臺：即監控系統安全平臺在硬件層面部署可信密碼模塊，在軟件層面部署可信軟件基，通過國產非對稱以及摘要SM2算法[3]，從操作系統引導開始對系統軟件、應用軟件進行鑒別，實現程序運行“白名單”機制，防止未知或非法修改程序。相比可信2.0，可信3.0[4]構建了一個邏輯上獨立的可信計算子系統作為可信節點，并通過可信連接將可信節點連接起來，通過可信節點間的可信協作形成完整的可信體系，通過可信節點對系統實施主動監控，為應用提供可信支撐。

監控系統網絡安全平臺禁止未持有合法數字證書簽名的可執行代碼啟動運行，通過部署可信環境、水電站數字證書、強制訪問控制等安全可信技術，能夠充分防范緩沖器溢出、代碼注入、病毒、木馬和非授權訪問等安全威脅，滿足用戶的各類高安全要求，保障計算機監控系統安全Ⅰ區處于安全可信環境，取代以“封堵查殺”為主的傳統信息安全防護體系，由被動防御轉為主動防御，安全可控，安全免疫。

1.2 網絡安全監測

按照“設備自身感知、監測裝置就地采集、平臺統一管控”的原則，部署網絡安全監測[5]設備并形成集中的感知監視系統:

（1）實時監測計算機、網絡及安全設備運行狀態、網絡流量、用戶行為等內容及時發現、報告并處理網絡攻擊或異常行為：

（2）實時監視系統內所有信息資產的資源及運行狀態，動態感知評估和整個系統的健康狀況；

（3）搜集電力監控系統網絡安全信息數據，進行智能學習、自主訓練，從整體上綜合評估系統風險，預知系統威脅，自動生成網絡安全應急防御方案；

（4）協調控制所有網絡安全防護設備，按照防御方案動態免疫各種狀況下的網絡威脅。

系統集成監控系統設備UNIX、Windows等系列版本操作系統的主機安全監測工具（Agent），將采集的網絡安全信息直接發送至監測裝置，進而對設備安全事件涉及的時間、區域、人員、設備、告警類型、告警信息等各個維度的安全數據進行多維分析。

網絡安全監測系統對電站電力監控系統網絡安全數據采集、范式化處理、數據建模和關聯分析及預警，及時發現如非法跨區互聯、網絡非法接入、非法移動介質接入等各類網絡安全風險以及非法訪問事件，實現對電力監控系統全方位、全天候的網絡安全監測：通過對主機設備、網絡設備、數據庫、安防設備等的實時告警與運行狀態在線監測，實現網絡安全實施監視告警、分析定位、追蹤處置、審計溯源和協同管控功能的集成，達到從靜態布防到實時管控轉變的目的。

2 平臺實施過程

2.1 整體方案設計

安全防護與網絡安全監測預警平臺方案設計主要綜合考慮目前的水電站網絡安全風險實際情況、威脅環境、法律和監管規定以及防護技術的發展，結合水電站監控系統安全防護實際要求進行制定。設計的主要思路以“主動免疫，綜合防御，風險防范，災難恢復”十六字方針為核心思想，以全面安全管理為基礎、安全防護技術為支撐、應急備用措施為保障，充分利用“人防、技防、物防”全方位、無死角地建設整個防護方案體系，保障水電站電力監控系統完全免疫已知或未知的網絡安全威脅，保障水電站業務系統正常穩定運行。

2.2 安全可信實施

安全可信是整個平臺安全的基礎，其實施主要內容有：

（1）關鍵設備國產化。監控系統廠站服務器、工作站、網絡設備等采用國產設備，系統網絡在結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等方面滿足國家、行業信息系統安全防護要求。

（2）主要軟件國產化。包括操作系統、數據庫及集成應用軟件均國產化，平臺采用國產四級安全凝思安全操作系統(可信軟硬件僅在凝思OS運行性能正常，數據采集、指令下達等功能正常)，系統主機及操作系統采用基于國產密碼技術SM2的USBKey或指紋Key用戶認證，滿足雙因子認證要求；數據庫采用國產達夢數據庫，應用軟件有完全自主知識產權，安全可控。

（3）可信計算環境部署。可信計算軟硬件在國產環境的監控系統下部署測試，驗證其可行性、功能性及安全性，如下圖1 所示：可信密碼模塊是可信計算的信任根，同時也作為密碼的運算引擎和存儲敏感數據，可信密碼模塊的核心功能包括度量設備的完整性，建立設備的免疫力[6]，為設備身份提供唯一性的標識。所有可信加解密包括密鑰應單獨保存在可信密碼模塊上，避免因保存于服務器上被利用；可信管理端是可信計算平臺策略管理和審計中心，用于對可信環境進行統一配置和管理；同時，管理端也是可信環境與水電站數字證書系統對接的樞紐，負責應用數字證書技術至可信環境中。

圖1 可信計算環境部署

2.3 網絡安全監測

網絡安全監測及分析平臺在監控系統安全Ⅰ、Ⅱ區部署采集裝置，采集電站計算機監控系統中的安全防護設備（防病毒軟件、IDS、防火墻、橫向隔離裝置、縱向加密裝置等）、主機設備和網絡設備的運行信息、操作信息(包括系統操作信息、運行信息，包括外設設備使用情況、CPU使用率、內存使用率信息，及用戶的登錄、退出、登錄失敗和操作行為等信息)以及告警信息(包括文件權限變更、用戶權限變更、外設設備接入、用戶危險操作等信息、非法MAC 接入、不符合安全策略的訪問、攻擊告警、CPU利用率超過閾值、內存使用率超過閾值)，以及歷史數據庫主機磁盤使用情況、表空間的使用情況、數據庫操作記錄、數據庫用戶的變更、用戶登錄失敗、數據庫連接情況、數據庫并發連接數、數據庫運行時長、數據庫運行狀態等信息；安全事件包括數據庫用戶連續多次登錄失敗、數據庫計劃任務執行失敗、數據庫鎖表異常等信息等，并將采集到的安全監視信息匯總至安全Ⅱ區的安全監視工作站。

監測采集部署。為確保監控系統運行正常不受干擾，將監控系統涉網業務網絡設備及非涉網業務網絡設備分開進行采集感知及分析，左岸電站安全Ⅰ、Ⅱ區分別部署2臺采集裝置：Ⅰ區2臺采集裝置通過正向物理隔離裝置接入Ⅱ區交換機，Ⅰ區采集的安全監視數據通過隔離裝置匯集到安全Ⅱ區，與2臺Ⅱ區采集裝置采集的安全監視數據一并傳送至梯調中心安全Ⅱ區的網絡安全監視平臺，由梯調網絡安全監視平臺進行集中的存儲、監視、分析、告警與審計。電站部署網絡安全監視工作站進行生產系統的監視、審計、預警，同時包括安全監視數據的查詢與分析。

圖2 典型網絡安全監測系統分布圖

2.4 綜合防護及分析

監控系統劃分為生產控制大區和管理大區，其中生產控制大區又可分為生產控制區和非生產控制區，各區間設置有隔離裝置及其他相應的安全措施，實現各分區間的智能聯動和協同防御；各分區均能獨立完成網絡安全事件的實時監測與快速響應；一旦發生安全事件，能通過斷開分區之間的網絡連接實現快速處置。同時，系統縱向上構建電站系統與調度級系統之間（I區、Ⅱ區網絡專用）的縱向認證管控，如圖3 所示：采取分區專網專用、加密認證通信等安全措施，加密認證中采用基于國產密碼算法的密鑰；存在網絡安全隱患或發生安全事件時，通過斷開縱向鏈路通信實現快速處置。

圖3 監控系統綜合防護示意圖

平臺使用綜合分析手段，對設備安全監視與告警數據進行不同維度分析與挖掘，提供主機設備/網絡設備/數據庫/安全設備等多視角、多層次的分析結果，并對事件分析進行安全審計，評估風險等預警：系統具備各類主機及多數據庫類型如ORACLE、MySQL、達夢等數據庫的安全監測工具；同時，集成了防病毒的管理功能并提供防病毒客戶端引擎；安全分析高度靈活，滿足用戶各類維度安全分析需求，將安全事件涉及的時間、區域、人員、設備、告警類型、告警信息等各個維度的安全數據進一步細化抽取，用戶可通過自定義開展各個維度的分析，能及時進行網絡安全預警及定位。

同時，進行基于可信的監控系統網絡安全等級防護2.0測評與評估，加強全面安全管理制度、機構、人員、系統建設、系統運維及應急預案的管理，提高系統整體安全防護能力，對各類風險進行有效處置和管理，實現電站電力監控系統網絡安全的動態、閉環管理，提高監控系統安全防護與網絡安全整體安全水平。

3 應用案例

三峽左岸電站計算機監控系統安全Ⅰ區服務器和主機均配置由全球能源互聯網研究院有限公司提供的可信軟件基及可信加密卡，保障計算機監控系統安全Ⅰ區處于安全可信環境，取代以“封堵查殺”為主的傳統信息安全防護體系，由被動防御轉為主動防御，如圖4所示。

圖4 電力監控系統安全防護與網絡安全監測預警平臺示意圖

該計算機監控系統基于等保2.0的要求，采用了國產安全操作系統、基于國產密碼的數字證書認證，部署了防病毒軟件及入侵檢測、正向隔離裝置、縱向加密認證裝置等安防設備。對所有可執行程序采用白名單管理機制，僅允許通過可信計算安全模塊驗證審核通過的程序運行，同時按照預設的配置策略對程序的關鍵模塊和進程的資源訪問進行控制，實現對已知/未知惡意代碼的主動防御，降低可執行程序被破壞被篡改的風險，保障可執行程序安全穩定運行。

通過部署網絡安全監控平臺，使以前需要人工逐臺設備查看分析日志和報警信息，辨識可能存在的異常和風險，轉變為由安全監測平臺自動采集匯聚系統內各設備的安全信息，進行專業的分析處理，從而確保電力監控系統安全穩定運行。

同時，電站建立了由安全防護技術、應急備用措施、全面安全管理組成的綜合防護體系。特別是對應用于生產計算機設備的調試筆記本、移動介質進行嚴格管理，對密碼修改、補丁升級等定期工作進行了規定，并嚴格閉環落實。針對重大網絡安全風險制訂了應急預案并定期演練。本系統改造完成并投產后，高分通過了權威測評機構等保三級測評。

4 結語

三峽左岸電站計算機監控系統安全防護措施及網絡安全監測預警平臺對業務系統的正常穩定運行起到了保障作用，是不可或缺的安全支撐。可信計算使系統針對已知/未知風險具備自主免疫能力，網絡安全監測預警平臺使網絡安全管理從“靜態布防、邊界監視”向“實時管控、縱深防御”轉變，這些新技術顯著增加了電力監控系統網絡安全可靠性，監控系統綜合防護措施得到了權威測評機構的認可。

通過三峽左岸電機計算機監控系統的成功實踐證明，國產可信計算平臺可以很好地支撐國產操作系統和國產大型計算機監控系統，網絡安全監測預警平臺的部署也達到了預期效果。