水電站監(jiān)控系統(tǒng)的二次安防策略探討

王芳平，陳超群

（三峽水力發(fā)電廠，湖北 宜昌 443133）

0 引言

伴隨著計算機(jī)技術(shù)的日益發(fā)展，現(xiàn)代的水電站監(jiān)控系統(tǒng)已向數(shù)字化、智能化方向發(fā)展，所覆蓋的信息終端也越來越多，這勢必會將更多的IT技術(shù)應(yīng)用到水電站監(jiān)控系統(tǒng)的控制中，如何加強(qiáng)水電站監(jiān)控系統(tǒng)的安全防護(hù)能力，形成有效發(fā)現(xiàn)風(fēng)險和控制風(fēng)險的技術(shù)手段，提升監(jiān)控系統(tǒng)安全保障水平成為當(dāng)務(wù)之急。

目前的水電站監(jiān)控系統(tǒng)在規(guī)劃設(shè)計、工程實施、系統(tǒng)改造、運行管理等過程都已嚴(yán)格執(zhí)行《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求，根據(jù)安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向加密4個總原則來確定電力監(jiān)控系統(tǒng)安全防護(hù)的范圍和目標(biāo)，并具體實施。本文以某巨型左岸電站二次安防部署為例，從總體防護(hù)和綜合防護(hù)兩個方面來探討水電站監(jiān)控系統(tǒng)的二次安防策略。

1 總體防護(hù)體系建設(shè)

某巨型左岸電站監(jiān)控系統(tǒng)根據(jù)系統(tǒng)業(yè)務(wù)的重要性分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，其中生產(chǎn)控制大區(qū)分為控制區(qū)（又稱安全I(xiàn)區(qū)）和非控制區(qū)（又稱安全Ⅱ區(qū)），監(jiān)控系統(tǒng)由廠級監(jiān)控層和現(xiàn)地控制層組成，控制網(wǎng)和信息網(wǎng)又分別由雙光纖星型網(wǎng)絡(luò)組成，控制網(wǎng)和信息網(wǎng)相互獨立運行，能夠確保數(shù)據(jù)傳輸?shù)姆€(wěn)定性，安全Ⅰ區(qū)、安全Ⅱ區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)之間通過部署加密裝置實現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制，保證了業(yè)務(wù)系統(tǒng)接入的可信性。

安全Ⅰ區(qū)與安全Ⅱ區(qū)之間部署了電力專用正向安全隔離裝置進(jìn)行單向隔離，安全Ⅰ區(qū)與安全Ⅲ區(qū)部署了電力專用正向安全隔離裝置進(jìn)行單向隔離，安全Ⅲ區(qū)與安全Ⅳ區(qū)部署了電力專用正向安全隔離裝置進(jìn)行單向隔離。網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)實現(xiàn)從網(wǎng)絡(luò)層檢測和阻斷惡意代碼，能夠高效攔截常見漏洞入侵、間諜軟件、病毒、木馬、釣魚網(wǎng)站、惡意URL 訪問等網(wǎng)絡(luò)威脅。

監(jiān)控系統(tǒng)網(wǎng)絡(luò)防護(hù)框架如圖1所示。

圖1 水電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)防護(hù)框架示意圖

電力調(diào)度數(shù)據(jù)網(wǎng)使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離，采用MPLS-VPN技術(shù)劃分兩個相互邏輯隔離的業(yè)務(wù)子網(wǎng)，即實時VPN和非實時VPN。實時VPN用于控制區(qū)業(yè)務(wù)系統(tǒng)的遠(yuǎn)程數(shù)據(jù)通信，非實時VPN用于非控制區(qū)業(yè)務(wù)系統(tǒng)的遠(yuǎn)程數(shù)據(jù)通信。站端的電力調(diào)度數(shù)據(jù)網(wǎng)有連通兩個方向的專用通道，并通過光纖專網(wǎng)連通梯調(diào)專用通道，采用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

當(dāng)下雖然使用Windows等操作系統(tǒng)仍是主流，但國產(chǎn)操作系統(tǒng)如凝思磐石、中標(biāo)麒麟等也日漸成熟，監(jiān)控系統(tǒng)服務(wù)器工作站使用國產(chǎn)操作系統(tǒng)，并對操作系統(tǒng)進(jìn)行相應(yīng)的安全加固，關(guān)閉不使用的功能，確保包括補(bǔ)丁、軟件包、安全設(shè)置在內(nèi)的配置安全可靠，可將計算機(jī)系統(tǒng)所承擔(dān)的安全風(fēng)險降到最低。

2 綜合防護(hù)措施應(yīng)用

2015年2月國家能源局下發(fā)《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》（國能安全[2015]36號），其中提出的安全防護(hù)的總體原則與之前的電力二次安全防護(hù)原則增加了“綜合防護(hù)”。“綜合防護(hù)”是對監(jiān)控系統(tǒng)從主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計、備用及容災(zāi)等多個層面進(jìn)行安全防范的過程，這些防護(hù)手段的實施是目前所有水電站都在探索中的工作。下面介紹某巨型左岸電站采用的一些綜合防護(hù)手段。

2.1 入侵檢測技術(shù)

未經(jīng)授權(quán)而通過非法手段進(jìn)入電力信息系統(tǒng)的行為叫系統(tǒng)入侵，系統(tǒng)入侵會導(dǎo)致系統(tǒng)一系列的安全風(fēng)險，因此引入入侵檢測技術(shù)是防止非法入侵的有效手段。

入侵檢測裝置（IDS）系統(tǒng)的兩大職責(zé)：實時監(jiān)測和安全審計。實時監(jiān)測是實時地監(jiān)視網(wǎng)絡(luò)中所有的數(shù)據(jù)報文以及系統(tǒng)中的訪問行為，將待處理事件與以往確定入侵事件的模式以及方式進(jìn)行對比，分析兩者之間的匹配程度，以確定是否屬于入侵行為，并實時處理來自內(nèi)部和外部的攻擊事件和越權(quán)訪問。這種檢測方式準(zhǔn)確率較高，而且應(yīng)用范圍廣泛，但是不能防范未出現(xiàn)過的新型入侵模式。安全審計是通過對IDS系統(tǒng)記錄的違反安全策略的用戶活動進(jìn)行統(tǒng)計分析，得出網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，并對重要事件進(jìn)行記錄，可對以往用戶的訪問記錄進(jìn)行統(tǒng)計排查，但是如果入侵者將入侵行為偽裝成正常操作行為，就可以逃避系統(tǒng)檢測。所以，需要在實際工作運用合理的檢測搭配方式。入侵檢測的動作原理如圖2所示。

圖2 入侵檢測動作原理

入侵檢測系統(tǒng)可以作為防火墻和訪問控制機(jī)制的合理補(bǔ)充，是防火墻之后的第二道安全閘門，在具體實施中，網(wǎng)絡(luò)邊界部署IDS對內(nèi)網(wǎng)核心網(wǎng)絡(luò)的運行狀態(tài)進(jìn)行監(jiān)視并對流經(jīng)核心交換機(jī)的報文進(jìn)行探測和分析，需要將入侵檢測裝置旁路接入核心交換機(jī)，并將交換機(jī)其余端口通過鏡像方式將流量映射到IDS接入的端口，以便入侵檢測裝置進(jìn)行監(jiān)測。為了符合安全分區(qū)的原則，不建議入侵檢測裝置跨區(qū)使用。

2.2 內(nèi)網(wǎng)監(jiān)視平臺

2017年《國家電網(wǎng)公司關(guān)于加快推進(jìn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺建設(shè)的通知》文件明確指出：“在變電站、并網(wǎng)電廠電力監(jiān)控系統(tǒng)的安全Ⅱ區(qū)（或Ⅰ區(qū)）部署網(wǎng)絡(luò)安全監(jiān)測裝置，實現(xiàn)對網(wǎng)絡(luò)安全事件的監(jiān)視與管理。”通過網(wǎng)絡(luò)安全監(jiān)測采集裝置（以下簡稱“監(jiān)測裝置”）采集電廠涉網(wǎng)部分主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、通用及專用安防設(shè)備的告警信息，實時監(jiān)測電廠內(nèi)部涉網(wǎng)主機(jī)的外設(shè)接入、網(wǎng)絡(luò)設(shè)備接入、人員登錄等安全事件。要求電廠電力監(jiān)控系統(tǒng)建設(shè)部署網(wǎng)絡(luò)安全監(jiān)測功能，實現(xiàn)本地網(wǎng)絡(luò)安全的監(jiān)視和管控。構(gòu)建覆蓋安全I(xiàn)區(qū)和安全Ⅱ區(qū)的網(wǎng)絡(luò)安全數(shù)據(jù)采集網(wǎng)，在不改變現(xiàn)有生產(chǎn)網(wǎng)絡(luò)的前提下，承載網(wǎng)絡(luò)安全監(jiān)視系統(tǒng)的運行和應(yīng)用，最大化減少網(wǎng)絡(luò)安全監(jiān)管業(yè)務(wù)對生產(chǎn)控制系統(tǒng)生產(chǎn)業(yè)務(wù)流量和網(wǎng)絡(luò)架構(gòu)的影響。

在具體實施中，采集裝置依據(jù)分區(qū)要求，需要分別在安全Ⅰ區(qū)和安全I(xiàn)I區(qū)部署，通過采集裝置多網(wǎng)口，分別實現(xiàn)向各級調(diào)度系統(tǒng)Ⅱ區(qū)內(nèi)網(wǎng)監(jiān)視平臺上報網(wǎng)絡(luò)安全事件。其部署的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖3所示。

圖3 內(nèi)網(wǎng)監(jiān)視平臺網(wǎng)絡(luò)部署示意圖

安全Ⅰ區(qū)的采集裝置通過正向隔離裝置后將采集信息發(fā)送至安全Ⅱ區(qū)采集裝置，由安全Ⅱ區(qū)監(jiān)測裝置進(jìn)行告警日志匯總，安全Ⅱ區(qū)涉網(wǎng)部分監(jiān)測裝置將相關(guān)日志告警信息通過調(diào)度數(shù)據(jù)網(wǎng)上報上級調(diào)度機(jī)構(gòu)，安全Ⅱ區(qū)非涉網(wǎng)部分監(jiān)測裝置將相關(guān)日志告警信息通過集體網(wǎng)絡(luò)上報梯調(diào)安全Ⅱ區(qū)網(wǎng)絡(luò)安全管理平臺。

安全Ⅰ區(qū)涉網(wǎng)采集裝置只采集直接接入調(diào)度數(shù)據(jù)網(wǎng)的設(shè)備，包括調(diào)度通信網(wǎng)關(guān)機(jī)、PMU等涉網(wǎng)實時業(yè)務(wù)，安全I(xiàn)區(qū)非涉網(wǎng)采集裝置采集包括監(jiān)控系統(tǒng)核心服務(wù)器、交換機(jī)、入侵檢測、隔離裝置等所有電廠監(jiān)控系統(tǒng)中非涉網(wǎng)的設(shè)備。安全Ⅱ區(qū)涉網(wǎng)業(yè)務(wù)包括故障錄波、關(guān)口計量裝置等，非涉網(wǎng)業(yè)務(wù)包括暖通、抄表系統(tǒng)等。

2.3 可信計算技術(shù)

當(dāng)今,雖然電力部門實現(xiàn)了電力通信網(wǎng)絡(luò)的隔離,構(gòu)建了保證電力系統(tǒng)網(wǎng)絡(luò)安全的三道防線，但是由于電力系統(tǒng)的重要性和網(wǎng)絡(luò)攻擊的復(fù)雜性,在隔離條件下依然對電力系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊也是可能的。隨著國際安全形勢日益嚴(yán)峻，大量新型攻擊方式快速涌現(xiàn)，使得以查殺為核心的被動防御缺失了效率，為應(yīng)對更為復(fù)雜的信息安全威脅，更為高效地主動防御體系開始在二次安防中得到運用。

可信計算其核心思想是計算機(jī)運算的同時進(jìn)行安全防護(hù)，計算全程可測可控，不會被打擾，是一種運算和防護(hù)并行結(jié)構(gòu)、主動免疫的新計算模式。其基本原理是：在平臺上電開始，從信任根到硬件平臺、操作系統(tǒng)、應(yīng)用程序，構(gòu)建完整的信任鏈，一級認(rèn)證一級，一級信任一級，并且能夠通過可信報告功能將這種信任關(guān)系通過網(wǎng)絡(luò)連接延伸到整個信息系統(tǒng)，應(yīng)用可信計算技術(shù)，未獲認(rèn)證的程序?qū)⒉荒鼙粓?zhí)行，從而保證了系統(tǒng)的自身安全。

可信計算平臺由可信策略管理端和可信計算安全模塊客戶端組成。客戶端在管理端注冊后，管理端能夠?qū)σ炎缘目蛻舳颂峁┌踩呗缘亩ㄖ啤⒓械倪\維管理、系統(tǒng)資源監(jiān)控、審計信息統(tǒng)一收集等功能，其中集中的運維管理模式可大大提高運維人員的工作效率、提高客戶端的集中監(jiān)控能力，保障整體業(yè)務(wù)系統(tǒng)環(huán)境的安全可信。可信平臺組成架構(gòu)如圖4所示。

圖4 可信平臺組成架構(gòu)

3 結(jié)語

總體上，電力監(jiān)控系統(tǒng)在電力行業(yè)中承擔(dān)的控制、通信、交換、計算等任務(wù)越來越重，其安全性足以影響電廠安全生產(chǎn)，其工作涉及電廠的運行、檢修和信息化等多個部門，是跨專業(yè)的系統(tǒng)工作。加強(qiáng)和規(guī)范管理是確保水電站監(jiān)控系統(tǒng)安全的重要措施，建立健全安全防護(hù)體系，首先需要有完善的安全管理制度，并能落實到人，明確各級專業(yè)人員的安全職責(zé)；其次才是安全防護(hù)軟硬件配置到位不留漏洞。只有實現(xiàn)對電力監(jiān)控系統(tǒng)充分可靠的安全防護(hù)，才能有效保障電力生產(chǎn)安全穩(wěn)定運行。