華光潭水電廠電力監控系統網絡安全防護建設研究

傅水祥

（浙江浙能華光潭水力發電有限公司，浙江 杭州 310000）

0 引言

傳統電力企業建設及電力生產系統最初設計大多以實時生產為主，隨著計算機信息網絡技術的高速發展，使得工控系統亦得到快速發展，尤其是電力系統數字化、智能化程度越來越高，但網絡信息安全事件不斷發生，如何有效防范網絡安全攻擊、提升電力監控系統安全防護能力已逐漸成為電力行業重點深入研究的課題[1]，習總書記針對網絡信息安全等方面工作講話時，多次提出要求加強網絡安全預警監測，感知網絡安全態勢，實現全方位感知和有效防護[2]。本文以華光潭水電廠為例，重點對安全防護方案的總體設計、態勢感知平臺部署等方面進行研究建設，提升電廠網絡安全防護能力。

1 概況

華光潭水電廠生產控制區部署有計算機監控系統，其通過廠外通信服務器經電力調制解調器與地方調度通信（CDT 規約），同時通過串口通信形式將數據傳送給水情測報系統和機組狀態監測系統，無直接數據網絡形式連接；非控制區部署的電量系統、機組狀態監測系統則是通過南瑞隔離裝置實現數據單向傳輸，將Ⅱ區采集數據發送至管理區WEB服務器。總體上，華光潭水電廠安全I 區計算機監控系統一直以來與調度網、Ⅱ區系統均無直接數據網絡形式連接，Ⅱ區部分系統作為獨立系統運行，因此未在Ⅰ區、Ⅱ區布置防火墻、IDS、核心交換機等。為實現集團公司及可再生能源分公司信息化建設對生產數據的采集要求，以國家電力監控各項規范及標準為依據，結合電廠計算機監控系統改造實施，對整體防護進行總體設計、升級建設、強化部署，實現網絡安全防護全面覆蓋。

2 安全防護建設總體思路和架構設計

華光潭水電廠電力監控系統安全防護建設總體思路：按照國家能源局《電力監控系統安全防護總體方案》（（國能安全）[2015]36 號文件）要求進行規劃設計，在滿足橫向隔離和縱向認證詳細要求的同時，實現生產控制大區的安全審計和管控、管理信息大區的安全隔離和防護。在電廠的邊界，采取各項技術手段，將眾多的安全威脅屏蔽在電力監控系統的邊界之外；部署態勢感知系統，監測感知生產工控系統實時動態，以便第一時間發現異常行為并及時告警；對各類服務器、工作站等設備部署統一防病毒軟件進行查殺，確保能夠穩定、可靠運行，為整個水電廠的電力監控系統營造安全可控的運行環境。

安全運行檢測：在 I/II 區部署入侵檢測設備 IDS進行風險實時監測，部署態勢感知平臺對各類數據流量，包括給主機、安全設備等安全日志進行實時檢測分析。

行為安全審計：部署運維安全審計系統（堡壘機），統一身份認證，規范運維訪問的統一入口，對運維人員和服務器、網絡設備、安全設備等的操作行為進行監控和記錄，可提供精準的責任認定和時間追溯，確保用戶的行為符合安全管理規范；在管理信息區部署上網行為管理系統，強化上網行為的管控。

主機安全防護：管理信息大區終端權全面部署防病毒軟件，通過統一服務器進行在線實時升級病毒庫；對生產大區主機強化惡意代碼防護，對工控系統操作員站、工程師站等主機外接設備進行管控，封閉未使用的 USB 接口等。

安全防護總體架構設計如圖1 所示，主要安全防護設備如表1 所示。

圖1 華光潭梯級水電站電力監控系統安全防護架構

華光潭水電廠安全Ⅰ區與上級集控中心之間冗余雙通道部署，包括雙套縱向加密裝置、雙套連接交換機、雙通信機及雙數據網關機；安全Ⅰ區保持串口通信方式通過廠外通信服務器經電力調制解調器以101 規約與調度通信[3]；安全Ⅰ區冗余部署雙套核心交換機、入侵檢測設備IDS，安全Ⅰ區與安全Ⅱ區之間部署防火墻。

安全Ⅱ區與上級集控中心之間冗余部署雙套縱向加密裝置，對業務數據進行加密，提高數據傳輸的安全性和可靠性；安全II 區冗余部署雙套核心交換機、入侵檢測設備IDS、日志審計裝置，安全Ⅱ區與管理信息大區之間部署橫向隔離裝置（正向）。

管理信息區以落實互聯網邊界安全與上級管理公司的廣域網安全為主，與上級管理公司廣域網之間冗余部署兩套路由器、防火墻和核心交換機，在外網邊界則設置防火墻、入侵防御設備等信息安全設備，同時在各終端設備上統一部署防病毒軟件等。

3 信息安全態勢感知平臺建設

態勢感知具備網絡空間安全持續監控能力，能夠全面感知網絡安全威脅態勢、洞悉網絡及應用運行健康狀態，能夠及時發現各種攻擊威脅與異常，特別是針對性攻擊；通過全流量分析技術可以對威脅相關的影響范圍、攻擊路徑、目的、手段進行快速判別來實現完整的網絡攻擊溯源取證，從而支撐有效的安全決策和響應，幫助安全人員采取針對性處置措施；能夠建立安全預警機制，全面掌握攻擊者技術手段、攻擊目的等信息情報，完善風險控制、應急響應和防御體系，全面提升整體安全防護水平。

華光潭水電廠的態勢感知平臺部署建設以主要以覆蓋全廠非涉網測的生產及管理相關業務系統為原則，采用獨立組網的方式，進行數據采集和單向傳輸，安全信息流量日志采集主要采用兩種模式，一種是采集流量數據（采集交換機需支持鏡像配置），另外一種則是采集各主機、安全及網絡通信設備的日志。流量采集主要針對數據交互的原始流量，采集接入以核心交換機或者根交換機為對象，通過交換機配置鏡像方式實現；主機日志則是通過安裝Agent采集主機事件日志進行行為安全審計，安全及網絡設備的日志經授權管理密碼從而采集設備日志監測其行為和告警。主要組網架構情況如圖1 中所示，主要設備配置見表2。

表2 態勢感知平臺主要設備配置情況

3.1 詳細采集情況設計

安全Ⅰ區重點采集核心交換機的syslog 日志與鏡像流量，對核心交換機配置鏡像功能與syslog 日志功能后，使用網線完成物理連接，并將數據傳輸至安全I 區流量日志分析系統。

安全Ⅰ區流量日志分析系統采集到數據后，系統將數據經興唐單向隔離傳輸到安全區交換機，分別將syslog 日志與鏡像流量發送至工控統一安全管理平臺（主、備雙機）進行數據分析，備平臺分析鏡像流量后，將分析結果發送至主平臺。

安全Ⅱ區重點采集核心交換機的鏡像流量，對Ⅱ區核心交換機配置鏡像功能后，通過網線與分析系統完成物理連接，并將數據傳輸至安全Ⅱ區流量日志分析系統。系統采集到數據后，系統將數據經興唐單向隔離傳輸到到安全區交換機，將鏡像流量發送至工控統一安全管理平臺（主、備雙機）進行數據分析，備平臺分析鏡像流量后，將分析結果發送至主平臺。

管理區重點采集辦公信息核心交換機的syslog日志與鏡像流量，配置鏡像功能與syslog 日志功能后，通過網線與安全III 區流量日志分析系統完成物理連接，并將數據傳輸至管理區流量日志分析系統。系統采集到數據后，系統將數據經興唐單向隔離傳輸到安全區交換機，分別將syslog 日志與鏡像流量發送至工控統一安全管理平臺（主、備雙機）進行數據分析，備平臺分析鏡像流量后，將分析結果發送至主平臺。

主平臺依次經過VPN 安全網關、防火墻、VPDN將數據發送至中能云平臺。

3.2 采集鏈路調試方案

檢查態勢感知統一管理平臺中是否都有Ⅰ、Ⅱ、Ⅲ區安全流量日志分析系統發送過來的數據，如果沒有以此按Ⅲ、Ⅱ、Ⅰ區的順序檢查各個設備配置情況，步驟如下：

（1）斷開I、Ⅱ區設備，只連接Ⅲ區安全流量日志分析系統，檢查其日數據發送地址及IP 地址配置情況，檢查Ⅲ區交換機配置情況，確認沒有IP 地址沖突；

（2）斷開Ⅰ區設備，只連接Ⅱ、Ⅲ區安全流量日志分析系統，檢查Ⅱ區安全流量日志分析系統日數據發送地址及IP 地址配置情況，檢查Ⅱ區交換機配置情況，確認沒有IP 地址沖突；

（3） 檢查Ⅰ區安全流量日志分析系統日數據發送地址及IP 地址配置情況，檢查Ⅰ區交換機配置情況，確認沒有IP 地址沖突。

4 結束語

綜上所述，華光潭水電廠按照國家電力監控系統16 字方針為基本原則進行整體構架設計建設[4]，同時在此基礎上探索建設信息安全態勢感知平臺，推動信息網絡安全從“靜態布控、邊界監視”向“實時管控、縱深防御”轉變。下一步電廠將持續深化安全防護建設，從管理上建立電廠電力監控系統安全防護管理體系，明確各級職責，制定防護方案、開展應急演練，借助第三方安全檢測機構定期開展等保定級測評及安全評估工作，全面提升了電廠電力監控系統安全防護整體能力；后續將考慮實現電廠管理區內外網隔離，從技術措施上進一步完善電廠網絡安全防護。