電廠監控系統網絡安全防護分析

鐘麗波,周 洋,李 然，馬 煜，劉大泉

(國網沈陽供電公司，遼寧 沈陽 110003)

電廠作為電力系統的重要環節，依托分散控制系統、廠級監控系統以及眾多工控系統的協調控制，有序配合保證電力可靠供應，其安全穩定運行一直受到廣泛關注。綜合分析近幾年全球范圍內針對電力監控系統發起的網絡攻擊[1]，表現出的趨勢是攻擊手段層出不窮，影響范圍不斷增大，利用網絡攻擊電力監控系統、破壞電網安全運行已成為不容忽視的重大威脅。在此背景下，保證電廠監控系統的安全成為保證電力供應安全的關鍵。

1 電廠監控系統概述

1.1 監控系統現狀

伴隨能源綜合消納和有序用電需求不斷提升，除傳統的火電、核電之外，風電、光伏及各種新能源電廠陸續接入電網運行，電力監控系統數據監視和應用范圍逐步擴大[2]。在數字化、智能化全面普及的背景下，各類電廠監控系統與其他工控系統、節點之間的交互通信變得日益頻繁，接入設備多、邊界分布廣是目前電力監控系統的發展趨勢。各電廠內部為提高數據采集應用水平，部署了復雜的計算機網絡系統，系統之間的關聯密切，數據共享需求迫切，伴生的是電力監控系統網絡安全防護難度的不斷提高的問題。

1.2 監控系統安全防護技術體系

當前，各電廠依據類型、容量及地理位置等因素選擇不同的數據交互方式，在國家相關法律、法規、標準的框架之下采取必要的防護措施建立起網絡安全防護體系，以保證數據傳輸和網絡通信的安全。

a.基礎安全防護

按照“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護原則[3]，電廠將不同的業務系統劃分不同安全區，在外部公共因特網、管理信息大區、生產控制大區的控制區及非控制區等橫向邊界，以及電廠監控系統與所屬調度機構之間的縱向邊界，部署相應安全措施[4]，建立橫向、縱向安全防線，形成核心控制區安全防護強度的累積效應。

b.內網安全監視

電廠側通過在生產控制大區逐步推廣內網安全監視功能，實時監測廠內監控系統的計算機、網絡及安全防護設備運行狀態，及時發現非法外聯、外部入侵等安全事件并進行告警[5]。通過部署網絡安全監測裝置，將生產控制大區主機設備、網絡設備、安全防護設備納入監測范圍，及時發現人為異常登錄、設備接入及危險操作等信息，以防范黑客及惡意代碼的攻擊和破壞。

c.防御手段建設

傳統的防御手段習慣在網絡邊界部署防火墻，對進出網絡的行為進行內容過濾和訪問控制，也有通過入侵檢測裝置和防火墻聯動的防護策略，但由于防火墻防護能力制約，加上“瞬時攻擊”特點，使得上述2種手段在實際應用中的效果不顯著。相對有效的做法是在網絡邊界串接入侵防御裝置，對某些被明確判斷為攻擊行為，會對網絡、數據造成危害的惡意行為進行檢測和防御，阻斷深層入侵威脅。

d.網絡安全態勢感知

網絡安全態勢感知系統由主站系統和采集裝置組成。主站系統部署在各級調控中心，是具備網絡安全實時監視、日志審計、預測分析等功能的應用系統，采集終端部署在電廠監控系統局域網絡內部，對電廠側網絡安全數據進行采集、分析、處理，并與主站系統通信[6-8]。基于網絡環境動態整體洞悉安全風險，以安全大數據為基礎全面提升對安全威脅的識別、分析、處置能力。

e.安全免疫技術

在電廠監控系統生產控制大區內部逐步推廣應用以密碼硬件為核心的可信計算技術，是實現安全免疫的重要途徑。通過在電廠側安全Ⅰ區的服務器、主機安裝可信軟件基模塊，提供可信度量機制，用于實現計算環境和網絡環境安全免疫，免疫未知惡意代碼，防范有組織、高級別的惡意攻擊[9]，通過靜態免疫和動態免疫結合的方式，保證電力監控系統業務的安全運行。

f.廠級監控管理信息系統安全防護

電廠廠級監控管理信息系統對電廠內部機組DCS以及外圍PLC控制系統的運行進行優化控制管理，有效連接電廠中辦公系統與生產控制系統，這一特性使其安全防護策略選擇成為制約電廠內部監控管理效果的重要因素[10]。為保證生產控制系統安全，在廠級監控管理信息系統與辦公系統之間部署防護隔離器等裝置，保證數據單向傳輸，維護廠級監控系統安全。

2 網絡安全存在的突出問題

電廠側在《電力監控系統安全防護規定》和《電力監控系統安全防護總體方案》的框架下，積極采取各類主動、被動防御措施，應對愈加嚴峻的網絡安全形勢。綜合分析電廠側安全防護管理現狀，仍然存在若干制約整體安全防護水平的突出問題。

a.設備本體安全水平不高

部分早期投運的電廠在本體安全方面問題突出。一是生產控制大區主機未采用安全加固的操作系統，或系統、數據庫存在高危漏洞未及時進行補丁更新；二是關鍵主機設備、網絡設備等空閑的物理端口未關閉，系統存在違規服務及端口開放情況；三是生產控制大區關鍵設備軟、硬件版本落后，升級改造不及時，無法納入實時監測范圍，難以適應網絡安全形勢的動態變化。

b.安全防護體系建設不足

一是電廠與所屬集團、設備廠商等遠程監視中心進行數據傳輸時，未設立專用的轉發服務器，缺少必要的安全防護措施；二是生產控制大區內部除安全接入區外違規使用無安全防護措施的無線通信設備；三是傳輸邊界安全防護缺失，如風(光)功率預測等服務器非法連接外部網絡，管理信息大區與調度機構之間直連等；四是新能源場站就地采集終端與站控系統之間的通信未進行有效防護。

c.網絡安全風險管控不嚴

部分電廠未建立明確的管理機構、制度，未配備專職網絡安全管理人員，導致網絡安全責任泛化，在設備運行維護、防護體系建設、入網安全管控、作業現場風險防范等方面管理不到位，防護水平參差不齊。部分電廠未配置專用調試設備和存儲介質，未定期開展等級保護測評及安全評估，在設備運行維護、隱患排查治理和全過程安全管理等方面難以滿足網絡安全防護要求。

3 網絡安全典型案例分析

在梳理電廠監控系統網絡安全存在的突出問題基礎上，本文例舉各地網絡安全管理平臺監測到的幾個告警信息，作為典型案例進行針對性分析。

a.私自接入外設

案例1：某風電場Ⅰ區風機監控工作站接入設備類型“無線網卡”，設備名稱“MT7601U”，設備廠商“MTK”。經查為運行值班人員從工作站拷貝數據時，誤將360隨身WiFi當做安全U盤接入工作站，觸發監測裝置告警。

案例2：某220 kV電廠Ⅱ區后臺監控工作站接入設備類型“手機”，設備名稱“K20 Pro”，設備廠商“MI”。經查為廠商調試人員將手機接入工作站進行充電，觸發監測裝置告警。

案例分析：產生違規接入手機/無線網卡的行為，最根本的原因是部分電廠管理人員和外部作業人員對于網絡安全要求貫徹落實不到位，網絡安全意識淡薄，對自身行為可能產生的危害性認識不足，同時也暴露出作業現場安全風險管控不足的突出問題。

b.設備超期服役

案例1：某電廠Ⅰ區從隨機地址(* .* .53.18)向隨機地址(* .* .202.6)發起ICMP異常訪問，被縱向加密裝置攔截告警。經查該電廠縱向加密裝置由于超期運行及版本問題，偶發性出現數據包解密異常，導致產生隨機地址訪問。

案例2：某風電場Ⅰ區主機先后發生nobody、gdm、root等20個用戶的刪除與新增可疑操作。經查為主機探針Agent版本過低存在兼容性問題，幾率性發生讀取文件失敗，造成Agent誤判斷用戶已被刪除，當探針下次檢測到該文件時，程序對比前次檢測結果，從而觸發新增用戶的告警。

案例分析：設備超期服役狀態下，因電源、網卡、芯片等硬件老化問題，會導致安防設備主要功能失效或異常。部分縱向加密認證裝置固件版本較低，易發生數據解析異常等情況，部分廠商的Agent版本功能存在缺陷，偶發性上報無效告警信息，干擾運行管理。

c.管理缺位

案例1：某電廠Ⅱ區電能計量工作站地址相繼發生對天津電信地址(* .* .222.133)的53端口、廣東深圳電信地址(* .* .234.102)的443端口、北京電信地址(* .* .231.8)的80端口異常訪問，被站內縱向加密認證裝置攔截。經查為廠商人員在排查站內網絡問題時，擅自將個人筆記本(Windows系統)更換為電能計量工作站IP地址后接入站內交換機進行調試，因該筆記本同時運行有微信、360等軟件導致向多個互聯網地址發起訪問行為。

案例2：某光伏電站Ⅱ區功率預測申報工作站向站內私網防火墻地址(* .* .151.76)的80端口發起異常訪問，被站內縱向加密裝置攔截。經查為運維人員計劃使用功率預測工作站訪問站內防火墻查看內部配置，誤使用相鄰放置的功率預測申報工作站進行查看，且該主機存在至調度數據網網關的缺省路由，導致數據包被縱向加密裝置攔截。

案例分析：部分電廠缺乏相對專業的網絡安全運維力量，設備配置和維護工作基本依賴廠商或非專業人員，調試設備安裝有殺毒軟件、輸入法等第三方軟件，且默認開啟了自動更新，這些都會導致在日常運行中發起違規訪問行為并觸發告警。

d.安全加固不到位

案例1：某66 kV風電場Ⅱ區故障錄波裝置向廣播地址(* .* .* .255)的137端口發起異常訪問，被站內縱向加密裝置攔截。經查為故障錄波裝置加固不到位，未關閉NETBIOS服務導致告警。

案例2：某66 kV光伏電站內部設備(* .* .0.1)的67端口通過UDP協議非法訪問(* .* .255.255)的68端口，被網絡安全監測裝置監測告警。經查(* .* .0.1)為該站站控層交換機連接的防火墻網口默認IP地址，投入運行后該默認地址未取消，通過UDP協議發起廣播服務。

案例分析：在設備安裝調試或檢修過程中，未嚴格按照要求關閉FTP、DNS、DHCP、NETBIOS等操作系統默認且與具體業務無關的服務，或者網絡設備、安防設備普遍存在缺省路由、默認地址等情況，極易遺留安全隱患。

4 網絡安全防護對策

a．提高設備本體安全水平

推進電廠生產控制大區老舊主機、網絡設備、安全防護設備升級改造，在軟硬件自主可控的框架下提高關鍵設備運行水平。升級改造完成前，組織對現有主機設備進行安全加固，定期進行漏洞補丁、病毒庫、特征庫離線更新，推進網絡設備配置核查，規范權限及口令管理，制定嚴密的設備運行維護制度以保障設備安全運行。

b．完善安全防護體系建設

按照“安全分區、網絡專用、橫向隔離、縱向認證”的總體原則健全電廠網絡安全防護體系，厘清網絡結構，優化防護設備策略，強化邊界防護能力，通過網絡安全監測裝置等手段擴大監測范圍，提高網絡安全事件實時監測能力，部署微型縱向加密認證裝置，強化新能源場站戶外終端就地物理防護，根據網絡安全發展趨勢和設備運行狀態，及時更新完善安全防護體系。

c．加強作業現場風險管控

電廠內部應嚴格履行作業審批、監護制度，執行接入/檢修工作流程，涉及站內監控系統、生產控制大區設備等作業，在“三措”中明確電力監控設備誤碰、誤接入風險，將違規外聯作為重要危險點進行管控，加強調試設備和移動存儲介質管理，嚴格管控外部作業人員施工范圍和作業權限，外部人員入場作業需經安全培訓合格，并簽訂技術維護保密協議和網絡安全承諾書。

d.建立網絡安全基線防護

電廠側通過建立電力監控系統網絡安全運行需求的基線，形成以其為基準進行檢測和度量的風險管控手段，為設備入網、系統驗收、日常維護及安全檢查等工作提供可參照的統一標準。定期分析電力監控系統實際現狀和面臨的風險來源，結合網絡安全基線的標準和要求，按需調整對應的安全策略，協調不同設備的防護能力，綜合構成統一的安全基線。

5 結語

隨著電力系統數據交互規模不斷擴大，電力監控系統網絡末端風險呈現“點多面廣”的分布趨勢，國家信息安全漏洞共享平臺披露的針對工控系統的安全漏洞數量日益增多，各電廠需對當前嚴峻的網絡安全形勢保持敏感度，結合網絡安全形勢的動態變化，采取有效的安全防護技術措施和管理策略，消除安全防護管理工作中的短板，保障監控系統和數據傳輸的安全。