水電集控電力監控系統安全防護研究

左 進，孫永凱

（1.國電恩施水電開發有限公司，湖北 恩施 445000；2.北京中水科水電科技開發有限公司，北京 100038）

近年來，水力發電建設工程快速發展，以智能電網為建設核心的電力智能設備大量鋪設，電力監控系統給電力設備接入和實時監控提供了平臺，監控系統也向著結構更加復雜、接入設備點更多以及多系統聯動控制的方向發展，因此，給系統的安全防御帶來巨大困難。2010年伊朗鈾濃縮系統被震網病毒侵入，精確攻擊了千臺鈾離心機[1]。2015年底，BlackEnergy病毒侵入烏克蘭多座變電站，造成烏克蘭大面積停電事故[2]。由此，電力監控系統作為二次設備的大腦中樞，直接影響電力生產、運營和管理的安全水平。

電力監控系統的安全風險來源分析，主要聚焦于二次設備因素、信息系統因素、人為因素3個方面[3]。文章探討了水電站集群電力監控系統，利用技術手段著力于上述3個方面進行安全加固，在《電力二次系統安全防護總體方案》（電監會[2006]34號令）提出安全分區的基礎上，以電力監控系統安全區為安全加固對象，進行縱深防護技術設計，即基于安全分區管理的分層加固與縱深防護系統。水電集群電力監控系統滿足安全分區、網絡專用、橫向隔離、縱向認證的原則，有效地保障電力監控系統和電力調度數據網絡的安全。

1 基于安全分區防護設計思想

1.1 安全分區

依據《電力監控系統安全防護規定》，電力監控系統按照控制大區和管理信息大區進行區域劃分。控制大區內安全Ⅰ區為實時控制區，其安全級別最高，安全Ⅱ區為非實時控制區，主要實現水調自動化各類應用和流域經濟運行計算。管理信息大區即安全Ⅲ/Ⅳ區，承擔信息發布匯總與決策任務。

橫向隔離對安全區跨區域通信進行安全防護，橫向隔離分為邏輯隔離與物理隔離[4]。防火墻對流過的數據流實行允許、拒絕、重定向的方法達到邏輯隔離效果，保障安全Ⅰ區與安全Ⅱ區數據安全傳輸。物理隔離為數據流只能進行單向傳輸，可阻斷黑客對數據鏈路的攻擊，達到分區安全可靠的目的。

1.2 分層加固與縱深設備安全防護

水電集群電力系統監控系統有若干個分布式子系統接入系統基礎平臺，并且系統基礎平臺需與上級調度系統進行縱向通信聯系，因此，本設計將廠站監控子系統、系統基礎調度平臺和上級調度平臺，自下而上的各環節設備、通信協議、數據維護等安全防護要素封裝成一體化縱向防護系統。系統基礎平臺縱向防護示意見圖1所示。

分層加固，則利用縱向封裝的安全防護要素為對象，依據《電力行業信息系統安全等級保護基本要求》,構建形成電力監控系統層次化的等級保護體系，由物理部署與結構安全、網絡通信安全、本機環境安全、應用服務安全和數據安全5層組成。本設計將安全加固技術嵌入至監控系統開發全過程中，使系統安全防護與系統服務成為整體，通過開發的配置軟件即可對系統防護能力和防護策略進行動態實時調整。

圖1 系統基礎平臺縱向防護示意圖

2 分層加固與縱深防護系統技術實現

安全防護系統的構建思想是實行多層加固、多設備點縱深防御策略。將系統的硬件設備、通信網絡、數據流等所有被保護的對象統稱為防護要素，將防護要素按照其屬性分成5層，各層掛載并管理對應的防護要素，并利用對象樹的方法直觀體現出來。各層防護技術架構示意見圖2所示。

圖2 各層防護技術架構示意圖

2.1 物理部署與系統結構安全加固

物理硬件部署層，其包含對邊界防護、縱向加密、橫向隔離和外設接口管理4方面進行安全加固。邊界防護確定明確的物理分類邊界，對安全分區的設備有明確的區分，對網絡鏈路拓撲以及對應服務器設備有明確的標注和安全防護守則。縱向加密設備加固，使用相關部門認證的電力專用縱向加密設備，實現身份雙向認證、數據加密和訪問控制功能，對向上層調度傳輸數據提供安全加固能力。橫向隔離滿足跨安全區傳輸的防護要求，設立病毒過濾網關以及黑白名單規則。外設接口管理嚴防系統隨意接入U盤等移動設備，系統通過驅動檢測外設接口生成運行日志并事件報警。

2.2 網絡通信安全加固

網絡通信安全部署層，其包含雙網（A網、B網）冗余部署與自動切換、IP劃分與入侵檢測、數據通信與傳輸3個方面。雙網結構不僅可提升系統通信的可靠性，而且在某節點遭遇攻擊時，可啟用備用網絡維持正常的生產控制秩序。IP劃分做到分段明確、不重不漏、長期固定的原則，避免因IP規劃產生安全隱患，建立三權分立賬戶，提升密碼復雜程度，設置登錄失效時間，配置NTP服務同步時鐘。防護系統提供了完整的跨安全分區數據同步機制，既滿足了網絡安全防護的要求，又實現了系統級的數據跨區同步功能。數據通信與傳輸加固，通過使用電力通信專網以及VPN加密協議等，在傳輸前對數據采用高強度的3DES、AES、Blowfish等算法進行數據加密。數據加密和數字雙認證技術相結合確保數據傳輸安全。

2.3 本機環境安全加固

2.3.1 Windows操作系統主機加固

本機操作系統從賬戶密碼策略與認證授權加固、網絡與服務加固、日志審計加固、IP協議加固4個方面進行安全防護。賬戶密碼加固為規范工作賬戶管理，并將非工作登錄賬戶刪除，提升登錄密碼的復雜度并定期更換密碼，采用靜態口令認證技術，更改賬戶鎖定閾值大小，同時建立不同賬戶的控制權限和相關訪問權限。網絡服務加固即開啟系統防火墻，關閉不必要的端口，加固服務與通信安全。日志審計加固，配置應用日志、系統日志、安全日志屬性中的日志大小，并啟用審核策略。IP協議加固啟用SYN攻擊保護。

2.3.2 Linux操作系統主機加固

Linux操作系統從賬戶與密碼、權限管理、網絡與服務、終端管理4個方面加固。賬戶與密碼設置生存周期、提升密碼復雜度和身份鑒別失敗鎖定設置。權限管理對系統的文件權限進行嚴格設置，并將umask設置為027。服務設置禁止Root用戶遠程登錄，禁用Telnet協議配置SSH協議，關閉不必要的服務和端口。終端管理設置操作超時鎖定、終端接入方式和允許登錄的網絡地址范圍等。

2.4 應用服務安全加固

應用服務安全加固從應用服務與權限管理方面進行技術設計與實現。智能一體化平臺遵循面向服務的軟件體系架構（SOA），采用分布式的服務組件模式，用戶直接使用與業務有關的各服務集合稱為應用服務[5]。為保證應用服務的安全，系統應用服務管理按對稱冗余方式配置，具有自動切換和負載均衡功能。設計服務監控查閱機制，能夠查詢已注冊服務的基本信息和運行信息，并且服務監控可監視、管理服務的運行狀態，如對冗余配置的服務進行切換管理，對服務請求進行統計，對服務進行重啟、同步等。同時，對重要的服務進程進行一級守護，對數據庫、Web系統的訪問等重要應用服務提供了不同級別的權限管理，系統內部的服務調用和消息通信均提供加密和認證機制。

除服務功能管理設計外，為防止內部人員留有規定以外的開放接口、通道，服務的開發程序審查、人員管理和程序封裝也進行安全加固措施。在消息傳輸方面加固，消息總線利用Protobuf序列化協議進行結構化數據的封包/解包和數據加密處理，提升數據之間的安全性。在服務數據支持方面加固，各類應用服務劃分權限用戶，并在進行數據交換時進行合法用戶請求驗證和業務權限驗證，杜絕自動觸發式寫數據和非控制區域寫數據。資源控制方面加固，對數據庫訪問的API接口進行嚴格審查和統一規范，對重要資源文件進行二次加密保護。

權限管理平臺設計，權限管理平臺管理是對應用服務調用、配置、執行、銷毀的權限規范，同時也是對調度主機順序的配置，負責系統各類資源的權限分配管理工作。權限管理系統結構示意見圖3所示。權限管理功能提供用戶管理和角色管理等功能，通過用戶與角色的實例化對應實現多層級、多粒度的權限控制；采用用戶-角色-責任區設計機制進行權限控制。每個用戶具有一種或多種角色，每個角色具有一種或多種操作權限，不同的操作類別需要用戶具有相應的操作權限。每個用戶關聯一個或多個控制責任區，每個責任區包含一個或多個對象（設備），用戶只能控制所關聯的控制區域內的對象（設備）。

圖3 權限管理系統結構示意圖

支持雙重權限與責任區模式。除了在系統配置界面設置用戶與主機的永久權限與責任區，還需要在OIX人機操作界面設置用戶與主機的臨時權限與責任區，臨時權限與責任區只能是永久權限與責任區的子集，默認為空。通過用戶操作權限、用戶控制責任區、主機控制責任區、雙重權限與責任區模式、操作許可模式、操作閉鎖等一系列安全措施，確保了可靠的控制操作與數據訪問。

2.5 數據安全加固

數據災備方案設計，系統使用的是達夢數據庫并選擇主備模式，確保大容量數據存儲具備自主故障恢復的能力。數據備份功能，是從數據庫文件中拷貝有效的數據頁保存到備份集中，并將歸檔日志也保存到備份集中，當系統出現異常時，該備份集和歸檔日志可以用于恢復原數據庫。安全管理方面采用了用戶標識與鑒別、自主與強制訪問控制、通信與存儲加密、審計等方式加強對數據庫訪問的控制和數據安全防護。

3 防護系統的應用

恩施水電集群跨流域遠程控制一體化平臺建設項目中，對基于安全分區管理的分層加固與縱深防護系統進行技術開發應用，采用北京中水科水電科技開發有限公司研發的iP9000智能一體化監控平臺系統，對安全Ⅰ區、安全Ⅱ區和管理信息大區進行一體化管理，分布式全冗余的系統結構確保了系統的安全性和可靠性。

4 總結

文中針對恩施水電集群跨流域遠程控制智能一體化平臺安全防護需求，提出分層加固與縱深防御的系統防護模型，并分別從物理部署與系統結構安全加固、網絡通信安全加固、本機環境安全加固、應用服務安全加固和數據安全加固方面，對系統模型的設計結構和技術路線進行探討，從多層加固、多設備點縱深防御策略的開發思想出發，達到恩施水電安全防護系統的預期效果。