地區(qū)電力監(jiān)控系統(tǒng)安全技術(shù)及其應(yīng)用

吳程楠，李 曼，田 茜

(國網(wǎng)上海市電力公司松江供電公司，上海 201600)

電力是國民經(jīng)濟和人民生活的重要基礎(chǔ)設(shè)施，其電力監(jiān)控系統(tǒng)以及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全是電力系統(tǒng)安全穩(wěn)定運行及社會可靠供電的重要保證，直接影響我國其他行業(yè)的發(fā)展以及社會安穩(wěn)。

近幾年來，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全威脅日益突出，網(wǎng)絡(luò)安全問題相繼引發(fā)了烏克蘭大面積停電事件、美國東部互聯(lián)網(wǎng)服務(wù)癱瘓以及勒索病毒全球爆發(fā)等事件。我國不斷提高對網(wǎng)絡(luò)安全的要求，《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，采取監(jiān)測，記錄網(wǎng)絡(luò)運行狀態(tài)，網(wǎng)絡(luò)安全事件的技術(shù)措施，對網(wǎng)絡(luò)安全監(jiān)測提出了明確要求。與此同時，國家發(fā)展改革委頒布的《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(2014年第14號令)和國家能源局發(fā)布的《關(guān)于電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》(國能安全【2015】36號)等文件也對網(wǎng)絡(luò)安全防護做了明確的規(guī)定[1]。電力監(jiān)控系統(tǒng)在電力生產(chǎn)中起著至關(guān)重要作用，可以實時監(jiān)控電力系統(tǒng)運行情況，然而電力監(jiān)控系統(tǒng)存在著潛在安全風(fēng)險，必須做好網(wǎng)絡(luò)安全防護工作，提高電力監(jiān)控系統(tǒng)運行可靠性，促進整個電力系統(tǒng)運行穩(wěn)定性和安全性。

針對地區(qū)電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)安全問題，本文剖析潛在的威脅及系統(tǒng)不足之處，并提出關(guān)于系統(tǒng)全方位安全運維及防護的建議，希望對電力監(jiān)控系統(tǒng)有參考價值。電力監(jiān)控系統(tǒng)的運行基于計算機及網(wǎng)絡(luò)技術(shù)，在實踐過程中因自身不足而存在潛在的網(wǎng)絡(luò)安全威脅，因此重視全系統(tǒng)的安全防護，全方位剖析可能引起電力監(jiān)控系統(tǒng)運行風(fēng)險的因素，然后制定可行性強的安全防護措施，防止惡意代碼及非法攻擊的入侵，為電力生產(chǎn)創(chuàng)造一個清朗有序的網(wǎng)絡(luò)運行環(huán)境，電力監(jiān)控系統(tǒng)的經(jīng)濟價值就能凸顯出來。

本文將著眼于地區(qū)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運行需求，分析探討電力監(jiān)控系統(tǒng)運行涉及的主機以及相關(guān)的網(wǎng)絡(luò)安全設(shè)備隱患情況，并結(jié)合當今先進網(wǎng)絡(luò)安全技術(shù)，從制度和技術(shù)的角度探討如何對電力監(jiān)控系統(tǒng)及相關(guān)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備進行安全防護加固，從而達成一個安全可行的電力監(jiān)控系統(tǒng)安全防護體系。

1 電力監(jiān)控系統(tǒng)面臨的風(fēng)險分析

電力監(jiān)控系統(tǒng)是用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過程的，基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等。國家發(fā)展改革委頒布的《電力監(jiān)控系統(tǒng)安全防護規(guī)定》明確要求：“電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)”[1]。

因此保障電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全就是保證電力系統(tǒng)安全穩(wěn)定運行的基礎(chǔ)。作為電力監(jiān)控系統(tǒng)基礎(chǔ)支持的調(diào)度數(shù)據(jù)網(wǎng)涉及眾多網(wǎng)絡(luò)設(shè)備，其安全隱患情況既可能存在于網(wǎng)絡(luò)設(shè)備自身或者網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計不合理，也可能來自網(wǎng)絡(luò)系統(tǒng)管理不當或者濫用；而其中的安全威脅既可能來自電力系統(tǒng)內(nèi)部管理或者安全機制不足以及安全工具本身的局限性所決定，也可能來自外部惡意組織對系統(tǒng)完整性破壞、拒絕服務(wù)、網(wǎng)絡(luò)濫用等。

從技術(shù)細節(jié)來講，目前常見的安全問題主要有：

(1)人員意識風(fēng)險

網(wǎng)絡(luò)安全理念是實現(xiàn)電力監(jiān)控系統(tǒng)安全生產(chǎn)的靈魂，只有將安全理念根植于職工的腦海之中，才能保證電力監(jiān)控系統(tǒng)安全運行及安全生產(chǎn)。在電力監(jiān)控系統(tǒng)運維與管理中發(fā)現(xiàn)有些部門職工沒有樹立網(wǎng)絡(luò)安全意識，忽略網(wǎng)絡(luò)安全理念并在日常工作中缺乏安全措施，比如賬號口令過于簡單或?qū)⒆约旱馁~號隨意轉(zhuǎn)借并保存在網(wǎng)絡(luò)上等，口令泄露具有極大的安全風(fēng)險，人員網(wǎng)絡(luò)安全意識有待提高。

(2)非授權(quán)接入系統(tǒng)或越權(quán)訪問

越權(quán)訪問包括水平越權(quán)和垂直越權(quán)，用戶使用客戶端后沒有及時清理歷史訪問記錄導(dǎo)致用戶ID信息泄露；當系統(tǒng)的權(quán)限菜單等信息控制在客戶端或者瀏覽器，則很容易通過模擬參數(shù)獲取更大的系統(tǒng)權(quán)限。

(3)信息泄密或數(shù)據(jù)惡意性破壞

在互聯(lián)網(wǎng)+時代，幾乎每個人都逃不過垃圾短信或者釣魚詐騙，有時敏感的業(yè)務(wù)系統(tǒng)數(shù)據(jù)在有意或無意中被泄漏出去甚至遺失，通常包括：信息傳輸過程遭受被動攻擊導(dǎo)致數(shù)據(jù)丟失或泄漏，或者攻擊者通過偽裝，冒名頂替接收者致使信息丟失或泄漏；或者公司外來人員以反編譯，抓包和破解等非法手段竊得對業(yè)務(wù)數(shù)據(jù)的使用權(quán)并修改、刪除重要信息；業(yè)務(wù)系統(tǒng)設(shè)計時設(shè)立后門或隱藏非法外聯(lián)通道等。

(4)誤操作及安全配置錯誤

在對電力監(jiān)控系統(tǒng)作安全配置時隨意性操作，忽略系統(tǒng)參數(shù)整體性以及生產(chǎn)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜性導(dǎo)致安全配置問題；同時由于承載電力調(diào)度實時控制業(yè)務(wù)、在線生產(chǎn)業(yè)務(wù)的電力調(diào)度數(shù)據(jù)網(wǎng)是一個技術(shù)先進且極其復(fù)雜的網(wǎng)絡(luò)，系統(tǒng)功能設(shè)計的實現(xiàn)是一個動態(tài)的不斷完善的過程，較易出現(xiàn)設(shè)備配置錯誤，而這些錯誤可能暫時性不易察覺，需要等到某種觸發(fā)條件才會暴露出來，甚至引發(fā)災(zāi)難性后果。

(5)網(wǎng)絡(luò)設(shè)備和系統(tǒng)軟件本身存在漏洞或者未關(guān)閉多余非必須服務(wù)

由于電力監(jiān)控系統(tǒng)涉及設(shè)備多且電力調(diào)度數(shù)據(jù)網(wǎng)技術(shù)復(fù)雜，存在一些固有的缺陷和漏洞。此外某些設(shè)備自身安全性不夠或者安全加固不到位，非必須的服務(wù)仍舊處于運行當中，甚至業(yè)務(wù)系統(tǒng)在設(shè)計初時也存在一些漏洞和缺陷，一旦暴露在外將對系統(tǒng)穩(wěn)定運行造成重大安全威脅。

(6)網(wǎng)絡(luò)病毒和木馬

現(xiàn)行網(wǎng)絡(luò)協(xié)議存在諸多缺陷，有太多不安全因素，包括病毒和木馬，電力調(diào)度數(shù)據(jù)網(wǎng)也在所難免。病毒和木馬進入調(diào)度數(shù)據(jù)網(wǎng)會嚴重影響網(wǎng)絡(luò)交換速度和業(yè)務(wù)數(shù)據(jù)安全，并且可能導(dǎo)致生產(chǎn)網(wǎng)絡(luò)癱瘓，進而影響電力調(diào)度業(yè)務(wù)正常開展。

2 設(shè)計電力監(jiān)控系統(tǒng)全方位安全防護體系

2.1 安全管理制度及措施

針對某地區(qū)電力監(jiān)控系統(tǒng)可能存在的各種網(wǎng)絡(luò)安全威脅，對原有網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)分析，并分析電力監(jiān)控系統(tǒng)安全需求，構(gòu)建了一套適合地區(qū)電力監(jiān)控系統(tǒng)的安全防護體系，實現(xiàn)對電力監(jiān)控系統(tǒng)的全方位安全管理。主要涉及物理安全、安全的管理制度、網(wǎng)絡(luò)運維安全和系統(tǒng)應(yīng)用安全4個方面。其中以安全的管理制度貫為基礎(chǔ)，建立切實有效的網(wǎng)絡(luò)安全保障制度，并采取有力的措施保證制度的執(zhí)行。建立安全的管理制度促使各網(wǎng)絡(luò)使用單位和部門建立相應(yīng)的信息安全管理辦法，加強部門內(nèi)外溝通與管理，建立系統(tǒng)事后審計和溯源體系，提高人員整體信息安全意識。

2.2 網(wǎng)絡(luò)安全防范

網(wǎng)絡(luò)系統(tǒng)的安全防護措施包括電力監(jiān)控系統(tǒng)物理安全、劃分虛擬局域網(wǎng)和安全分區(qū)、安全訪問控制、惡意代碼防范、電力專用安全設(shè)備、審計系統(tǒng)以及加固等[2-4]。

(1)電力監(jiān)控系統(tǒng)物理安全

整個電力調(diào)度系統(tǒng)安全的基礎(chǔ)建立在電力監(jiān)控系統(tǒng)各種運行設(shè)備的安全。實現(xiàn)物理安全管理措施應(yīng)遵循國標GB50173—93《電子計算機機房設(shè)計規(guī)范》、GB2887—89《計算站場地技術(shù)條件》和GB9361—88《計算站場地安全要求》等安全規(guī)范，設(shè)計并建設(shè)安全可靠的調(diào)度自動化機房環(huán)境，充分做好設(shè)備的防盜、防毀、電磁干擾、線路截獲以及靜電接地；

(2)電力監(jiān)控系統(tǒng)賬戶安全管理

通過電力監(jiān)控系統(tǒng)的用戶管理機制實現(xiàn)三權(quán)分立，切實做好賬號權(quán)限管理，剔除超級管理員用戶，確保設(shè)備操作配置與管理安全。針對電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)與安全設(shè)備可單獨設(shè)置允許訪問的管理地址進行限制，禁用默認管理員賬戶，刪除無用的賬戶名，賬號口令使用強口令并設(shè)置登錄失敗處理等；

(3)安全的配置及定期備份

定期對電力監(jiān)控系統(tǒng)中的主機、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備巡檢，重要數(shù)據(jù)及系統(tǒng)配置定期備份，并驗證配置文件的正確性及可用性。實行用戶訪問申請制度，確保電力監(jiān)控系統(tǒng)訪問及更改有跡可循，避免誤操作導(dǎo)致的系統(tǒng)崩潰。

(4)虛擬局域網(wǎng)設(shè)置及系統(tǒng)安全分區(qū)訪問

通過對虛擬局域網(wǎng)劃分和對電力監(jiān)控系統(tǒng)安全分區(qū)，將電力監(jiān)控系統(tǒng)分隔若干子網(wǎng)段，子網(wǎng)間通信須通過防火墻或者硬件防火墻實現(xiàn)邏輯隔離，并按照業(yè)務(wù)系統(tǒng)功能要求，劃分不同安全分區(qū)，從而滿足《電力監(jiān)控系統(tǒng)安全防護規(guī)定》的相關(guān)防護要求，控制區(qū)和非控制區(qū)之間采用硬件防火墻進行邏輯隔離以達到安全分區(qū)的目的。

(5)安全訪問控制和惡意代碼防范

實行電力監(jiān)控系統(tǒng)安全訪問控制重點在于訪問控制列表有效的規(guī)則設(shè)定以達到敏感信息的安全訪問。訪問通道應(yīng)禁止明文傳輸，如禁用TELNET協(xié)議訪問方式，采用SSH強加密訪問，對于關(guān)鍵設(shè)備限定本地串口登錄，這樣可犧牲操作便捷性以達到安全訪問的要求。網(wǎng)絡(luò)設(shè)備如交換機、路由器應(yīng)考慮對SNMP協(xié)議進行訪問控制，禁止非法用戶通過SNMP訪問設(shè)備，設(shè)置受信任的網(wǎng)絡(luò)地址范圍。主機安裝惡意代碼軟件，實時查殺病毒并采用專人負責(zé)，定期維護的更新策略，嚴禁在線更新病毒庫。

(6)執(zhí)行電力監(jiān)控系統(tǒng)功能服務(wù)最小化

根據(jù)電力監(jiān)控系統(tǒng)業(yè)務(wù)需求最小化關(guān)停甚至卸載操作系統(tǒng)非必須的服務(wù)，操作系統(tǒng)安裝采用最小化安裝，僅部署供系統(tǒng)正常運轉(zhuǎn)的服務(wù)，操作系統(tǒng)不應(yīng)存在與業(yè)務(wù)系統(tǒng)無關(guān)的服務(wù)開啟。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)設(shè)備只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)定明細路由并刪除默認路由、網(wǎng)絡(luò)邊界OSPF應(yīng)關(guān)閉路由功能;設(shè)備日志應(yīng)接入網(wǎng)絡(luò)安全管理平臺進行集中監(jiān)控；系統(tǒng)中與業(yè)務(wù)無關(guān)的服務(wù)(例如SMTP/POP3、FTP、Telnet、NetBIOS服務(wù)等)應(yīng)關(guān)停；地調(diào)PE路由器動態(tài)路由協(xié)議(如OSPF)啟用MD5認證；此外在路由器以及交換機上應(yīng)該關(guān)閉不使用的接口，物理上限制非法機器接入電力監(jiān)控系統(tǒng)。

(7)電力專用安全防護設(shè)備

支撐電力監(jiān)控系統(tǒng)的電力調(diào)度數(shù)據(jù)網(wǎng)采用專用網(wǎng)絡(luò)建設(shè)，網(wǎng)絡(luò)邊界防護極其重要，也容易成為各種網(wǎng)絡(luò)攻擊的突破口。在電力調(diào)度數(shù)據(jù)網(wǎng)縱向網(wǎng)絡(luò)邊界上，應(yīng)在網(wǎng)絡(luò)出口部署電力專用縱向加密認證裝置或硬件防火墻，并嚴格限定安全設(shè)備訪問策略，阻擋大部分外部非法訪問、病毒入侵以及惡意代碼攻擊。將縱向加密認證裝置和硬件防火墻的日志接入網(wǎng)絡(luò)安全管理平臺，可發(fā)現(xiàn)網(wǎng)絡(luò)非法訪問、異常流量以及惡意攻擊等威脅。在電力監(jiān)控系統(tǒng)橫向邊界上，根據(jù)業(yè)務(wù)需求可采用不同隔離強度的網(wǎng)絡(luò)安全設(shè)備，有效地保護各安全區(qū)中的業(yè)務(wù)系統(tǒng)。生產(chǎn)控制大區(qū)與管理信息大區(qū)之間則采用電力專用橫向單向隔離裝置使得電力生產(chǎn)網(wǎng)絡(luò)與管理信息網(wǎng)絡(luò)物理隔離，并嚴格限制數(shù)據(jù)流的方向；管理信息大區(qū)內(nèi)部信息系統(tǒng)數(shù)據(jù)交互采用硬件防火墻隔離。縱向加密認證裝置接入網(wǎng)絡(luò)安全管理平臺后，采集設(shè)備的運行狀態(tài)以及隧道運行情況，以及基于隧道之上的安全策略信息進行監(jiān)視，縱向加密認證可部署在網(wǎng)絡(luò)出口處，從而發(fā)現(xiàn)網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)內(nèi)部的異?，F(xiàn)象并及時報警，告知網(wǎng)絡(luò)安全人員前來處理。

(8)啟用設(shè)備審計策略

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全無小事，既然需要重視生產(chǎn)網(wǎng)絡(luò)的事前防范能力，也必須做實網(wǎng)絡(luò)安全事件事后跟蹤、溯源方面的工作。通過對用戶上網(wǎng)端口、時間、操作行為等訪問的記錄，全面提供用戶操作行為的追溯能力，為網(wǎng)絡(luò)安全事件后期的事故分析提供原始資料，這就需要做好日志服務(wù)開啟并做好安全配置和審計工作。利用設(shè)備日志記錄重要的設(shè)備信息，并傳送網(wǎng)絡(luò)安全管理平臺集中分析可以迅速進行故障定位。

(9)啟用主機防火墻netfilter/iptables

明確允許訪問的源地址，端口及數(shù)據(jù)流向，通過系統(tǒng)防火墻iptables限定電力監(jiān)控主機訪問源，限定源地址訪問甚至屏蔽非法端口訪問等達到對監(jiān)控主機的保護。

(10)網(wǎng)絡(luò)安全管理平臺全方位管控

網(wǎng)絡(luò)安全管理平臺通過接入網(wǎng)絡(luò)設(shè)備和安全主機，實時采集各類安全防護設(shè)備的運行狀態(tài)、安全告警和系統(tǒng)日志信息，集中監(jiān)控電力監(jiān)控系統(tǒng)各種網(wǎng)絡(luò)安全事件并進行綜合告警并提供安全事件處置輔助決策等功能。

2.3 系統(tǒng)業(yè)務(wù)及應(yīng)用安全接入

電力監(jiān)控系統(tǒng)接入變電站或者開關(guān)站遠程終端的授權(quán)訪問控制應(yīng)考慮安全的方式：如物理地址MAC綁定認證、基于角色授權(quán)的訪問控制技術(shù)和調(diào)度數(shù)字證書安全標簽。其中物理地址MAC綁定認證是簡單且行之有效的方式，它是在廠站調(diào)度數(shù)據(jù)網(wǎng)接入交換機上配置端口與主機物理地址MAC綁定關(guān)系，僅授權(quán)綁定的物理地址通過指定的交換機端口接入調(diào)度數(shù)據(jù)網(wǎng)。

基于角色授權(quán)的訪問控制技術(shù)是通過對授權(quán)的角色所進行的訪問控制，可采用集中管理的方式以決定主客體之間的信息交互控制方式。角色的訪問控制技術(shù)應(yīng)用在安全模塊的權(quán)限控制功能中，依靠已建立的電力調(diào)度證書系統(tǒng)建立統(tǒng)一的身份角色管理制度，使權(quán)限和角色相關(guān)聯(lián)，用戶通過成為適當角色成員而得到這些角色的權(quán)限，通過本地電力調(diào)度證書系統(tǒng)簽發(fā)服務(wù)訪問者和服務(wù)提供者的標簽，形成安全標簽，從事實現(xiàn)跨網(wǎng)絡(luò)的安全認證。安全標簽在安全模塊中主要實現(xiàn)遠程認證功能，D5000系統(tǒng)應(yīng)用根據(jù)自身的安全需求對強制訪問控制模型進行了優(yōu)化，形成了適用于電力系統(tǒng)的專用模型，依靠已經(jīng)建立的電力調(diào)度數(shù)字證書，對電力監(jiān)控系統(tǒng)中的所有應(yīng)用(服務(wù)請求者)和服務(wù)(服務(wù)提供者)分配安全標識，形成安全標簽。安全標簽通過上讀/下寫的訪問控制規(guī)則限定訪問者與資源提供特定的訪問控制。

3 結(jié)語

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全是一個系統(tǒng)性的、整體性的問題，系統(tǒng)中任何一個漏洞或威脅都有可能造成全網(wǎng)安全問題，必須遵循電力行業(yè)安全防護原則和要求，切實做好分層分區(qū)，突出重點、強化邊界網(wǎng)絡(luò)安全防護。通過系統(tǒng)性的安全加固、指定行之有效的網(wǎng)絡(luò)安全管理方法，落實工作人員安全意識等措施，提高電力監(jiān)控系統(tǒng)運行安全性與穩(wěn)定性。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的建設(shè)與應(yīng)用在給調(diào)度應(yīng)用帶來高效率的同時，也必然存在著各種安全風(fēng)險和威脅。

上海某地區(qū)電力監(jiān)控系統(tǒng)按照安全性、實用性和經(jīng)濟性相統(tǒng)一的原則進行系統(tǒng)安全設(shè)計和網(wǎng)絡(luò)設(shè)計，使電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)具有高安全性、高可靠性、高性能和規(guī)范化的特點，為各類調(diào)度業(yè)務(wù)信息系統(tǒng)提供安全保證。

結(jié)合近幾年的電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)管理經(jīng)驗，本文提出了保證電力監(jiān)控系統(tǒng)及電力調(diào)度數(shù)據(jù)網(wǎng)安全高效運行的一些措施和建議，以期為提高電網(wǎng)整體調(diào)度自動化水平、建設(shè)數(shù)字化孿生電網(wǎng)和信息化企業(yè)、加快推進調(diào)度信息資源夯實技術(shù)基礎(chǔ)。