水電廠工控系統(tǒng)安全防護(hù)的設(shè)計(jì)與實(shí)現(xiàn)

吳 輝，向 歡，楊丹丹，陳 沖

（1.五凌電力有限公司三板溪水電廠，貴州 錦屏556700；2.中國(guó)水利水電第八工程局有限公司，湖南 長(zhǎng)沙410004）

伴隨“互聯(lián)網(wǎng)+”的來(lái)臨，電力行業(yè)與“互聯(lián)網(wǎng)+”深度融合是未來(lái)的發(fā)展趨勢(shì)，移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進(jìn)信息技術(shù)應(yīng)用到電廠的安全生產(chǎn)中，促進(jìn)電廠向智能化、數(shù)字化等方向發(fā)展。同時(shí)隨著電力自動(dòng)化生產(chǎn)技術(shù)的迅猛發(fā)展，工控系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議/規(guī)約，通用硬/軟件和網(wǎng)絡(luò)設(shè)備，工控系統(tǒng)在物理環(huán)境上的封閉性以及軟/硬件的專(zhuān)用性逐漸被打破，工控系統(tǒng)的智能化提高了生產(chǎn)效率和管理效率，同時(shí)也為惡意攻擊者創(chuàng)造了可乘之機(jī)。

工控系統(tǒng)作為電力行業(yè)生產(chǎn)的最重要控制系統(tǒng)，在高度對(duì)抗的安全環(huán)境下受到了前所未有的威脅，成為了眾多對(duì)象打擊和滲透的目標(biāo)，各種針對(duì)電力生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)的病毒、木馬等威脅事件層出不窮。面對(duì)攻擊技術(shù)與手段日益先進(jìn)、復(fù)雜、成熟的針對(duì)電力工控系統(tǒng)進(jìn)行攻擊的行為，電力工控系統(tǒng)所面臨的安全威脅也日益嚴(yán)峻。因此，如何保障水電廠工控系統(tǒng)安全，保障水電廠的安全生產(chǎn)，為水電廠設(shè)計(jì)安全、有效的工控系統(tǒng)安全防護(hù)方案，已成為一個(gè)日益突出的問(wèn)題。

1 水電廠工控系統(tǒng)安全現(xiàn)狀

水電廠工控系統(tǒng)由生產(chǎn)控制大區(qū)和管理信息大區(qū)組成，其中生產(chǎn)控制大區(qū)可以分為控制區(qū)（安全I(xiàn)區(qū)）和非控制區(qū)（安全I(xiàn)I區(qū)），控制區(qū)主要由計(jì)算機(jī)監(jiān)控系統(tǒng)上位機(jī)、機(jī)組LCU、公用LCU、開(kāi)關(guān)站LCU、閘門(mén)監(jiān)控系統(tǒng)、穩(wěn)控裝置、PMU等不同子系統(tǒng)組成，非控制區(qū)主要由電量計(jì)量、故障錄波、水情等系統(tǒng)組成。管理信息區(qū)由信息內(nèi)網(wǎng)和信息外網(wǎng)組成，信息內(nèi)網(wǎng)主要由門(mén)戶(hù)網(wǎng)站、辦公OA、生產(chǎn)管理系統(tǒng)等組成，信息外網(wǎng)為互聯(lián)網(wǎng)。

盡管水電廠工控系統(tǒng)已按照電力二次安全防護(hù)規(guī)定的要求，建立了“安全分區(qū)，網(wǎng)絡(luò)專(zhuān)用，橫向隔離，縱向認(rèn)證”的網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)生產(chǎn)控制大區(qū)和管理信息系統(tǒng)進(jìn)行了安全分區(qū)，管理信息系統(tǒng)、調(diào)度數(shù)據(jù)網(wǎng)等系統(tǒng)網(wǎng)絡(luò)專(zhuān)用，在安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)之間部署了防火墻，在與調(diào)度中心通信鏈路中部署了縱向加密認(rèn)證裝置，部分水電廠根據(jù)自身的需要，在網(wǎng)絡(luò)中還增加了其他網(wǎng)絡(luò)安全設(shè)備。然而水電廠工控系統(tǒng)依然面臨復(fù)雜的外部和內(nèi)部威脅，主要集中在以下幾個(gè)方面：

（1）主機(jī)安全風(fēng)險(xiǎn)。生產(chǎn)控制大區(qū)的服務(wù)器/網(wǎng)絡(luò)設(shè)備等存在弱口令，用戶(hù)權(quán)限設(shè)置不合理，存在默認(rèn)賬號(hào)，空閑端口未關(guān)閉，系統(tǒng)軟件、操作系統(tǒng)漏洞升級(jí)困難，缺少必要的應(yīng)用安全控制策略，對(duì)用戶(hù)登錄應(yīng)用系統(tǒng)，訪問(wèn)系統(tǒng)資源等操作進(jìn)行身份認(rèn)證、訪問(wèn)控制和安全審計(jì)。

（2）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。水電廠工控系統(tǒng)中安全I(xiàn)區(qū)與安全I(xiàn)I區(qū)之間部署的防火墻，缺乏對(duì)工業(yè)協(xié)議的支持和工業(yè)病毒的防護(hù)，水情系統(tǒng)服務(wù)器通過(guò)微波或GPRS等無(wú)線(xiàn)信號(hào)直接接收來(lái)自遙測(cè)站的數(shù)據(jù)，缺乏對(duì)接收數(shù)據(jù)進(jìn)行安全防護(hù)，安全I(xiàn)I區(qū)的非實(shí)時(shí)業(yè)務(wù)至調(diào)度中心數(shù)據(jù)網(wǎng)采用防火墻，未使用縱向認(rèn)證加密裝置。

（3）移動(dòng)存儲(chǔ)介質(zhì)使用風(fēng)險(xiǎn)。隨著移動(dòng)存儲(chǔ)介質(zhì)的廣泛應(yīng)用，運(yùn)維人員使用移動(dòng)存儲(chǔ)介質(zhì)方便的接入操作員站/工程師站等服務(wù)器上，主機(jī)中的工控?cái)?shù)據(jù)和配置文件存在外泄的可能，給工控?cái)?shù)據(jù)的完整性、保密性帶來(lái)嚴(yán)重威脅，同時(shí)給病毒木馬進(jìn)入工控系統(tǒng)提供有利的感染通道。

（4）病毒引入風(fēng)險(xiǎn)。病毒控制手段缺乏，病毒可通過(guò)移動(dòng)存儲(chǔ)設(shè)備、外來(lái)運(yùn)維的電腦，無(wú)線(xiàn)系統(tǒng)等進(jìn)入系統(tǒng)，水電廠工控系統(tǒng)中很多控制單元都是封閉的系統(tǒng)，無(wú)法通過(guò)病毒軟件進(jìn)行病毒清理，同時(shí)缺少病毒在工控網(wǎng)絡(luò)中傳播的控制手段，一旦感染病毒將傳播到整個(gè)工控系統(tǒng)網(wǎng)絡(luò)。

（5）應(yīng)用安全風(fēng)險(xiǎn)。水電廠工控系統(tǒng)普遍缺乏網(wǎng)絡(luò)準(zhǔn)入和控制機(jī)制，上位機(jī)與下位機(jī)通信缺乏身份鑒別和認(rèn)證機(jī)制，只要能夠從協(xié)議層面跟下位機(jī)建立連接，即可以對(duì)下位機(jī)進(jìn)行修改，普遍缺乏限制系統(tǒng)最高權(quán)限的限制，高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫(kù)和業(yè)務(wù)系統(tǒng)的命脈，任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄漏，同時(shí)也缺乏事后追查的有效工具，讓責(zé)任劃分和威脅追蹤變得更加困難。

2 系統(tǒng)總體設(shè)計(jì)原則

水電廠工控系統(tǒng)設(shè)計(jì)以滿(mǎn)足我國(guó)電力監(jiān)控系統(tǒng)安全防護(hù)總體原則為依據(jù)，同時(shí)考慮當(dāng)前國(guó)內(nèi)外工控安全防護(hù)技術(shù)的發(fā)展趨勢(shì)，結(jié)合水電廠工控系統(tǒng)測(cè)評(píng)和安全防護(hù)評(píng)估發(fā)現(xiàn)的風(fēng)險(xiǎn)點(diǎn)，提出構(gòu)建水電廠一體化縱深防御的安全防護(hù)方案，即安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證、綜合防護(hù)。

（1）安全分區(qū)是工控系統(tǒng)安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ)，結(jié)合工控系統(tǒng)的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)業(yè)務(wù)功能組、安全需求、物理位置等信息將整個(gè)工控系統(tǒng)網(wǎng)絡(luò)劃分成不同的安全區(qū)域，各安全區(qū)域之間可通過(guò)鏈?zhǔn)?、三角以及星型等方式建立連接，同時(shí)也需避免不同安全區(qū)的縱向交叉連接。

（2）網(wǎng)絡(luò)專(zhuān)用是工控系統(tǒng)安全防護(hù)體系的物理網(wǎng)絡(luò)基礎(chǔ)，工控系統(tǒng)網(wǎng)絡(luò)應(yīng)使用物理獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離，管理信息網(wǎng)應(yīng)使用邏輯獨(dú)立的虛擬專(zhuān)用網(wǎng)絡(luò)。

（3）橫向隔離是工控系統(tǒng)安全防護(hù)體系的橫向防線(xiàn)，在安全分區(qū)的基礎(chǔ)上，水電廠內(nèi)部不同安全區(qū)域之間采用不同強(qiáng)度的橫向隔離措施。

（4）縱向認(rèn)證是工控系統(tǒng)安全防護(hù)體系的縱向防線(xiàn)，水電廠在安全分區(qū)的基礎(chǔ)上，與調(diào)度中心通信的縱向數(shù)據(jù)網(wǎng)絡(luò)，應(yīng)采用認(rèn)證、加密、訪問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)遠(yuǎn)程安全傳輸和縱向數(shù)據(jù)網(wǎng)邊界的安全防護(hù)。

（5）綜合防護(hù)是指通過(guò)長(zhǎng)期技術(shù)與管理措施做到工控系統(tǒng)的安全運(yùn)營(yíng)，包括定期滲透測(cè)試、設(shè)備加固、軟硬件安全可控、白名單策略控制、安全滲透、評(píng)估與測(cè)試和管理持續(xù)化等幾個(gè)方面。

2.1 安全分區(qū)

水電廠的工控系統(tǒng)由實(shí)時(shí)業(yè)務(wù)區(qū)、非實(shí)時(shí)業(yè)務(wù)區(qū)、信息管理業(yè)務(wù)區(qū)和獨(dú)立系統(tǒng)組成。實(shí)時(shí)業(yè)務(wù)區(qū)和非實(shí)時(shí)業(yè)務(wù)區(qū)的信息系統(tǒng)通過(guò)電力調(diào)度數(shù)據(jù)網(wǎng)與上級(jí)調(diào)度進(jìn)行連接，生產(chǎn)控制大區(qū)和管理信息大區(qū)之間沒(méi)有連接。

2.2 橫向隔離

橫向隔離是電力監(jiān)控系統(tǒng)安全防護(hù)體系的橫向防線(xiàn)。應(yīng)當(dāng)采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)，以實(shí)現(xiàn)對(duì)重點(diǎn)安全區(qū)域的嚴(yán)格網(wǎng)絡(luò)隔離和訪問(wèn)控制，保障電力二次安全防護(hù)體系的整體安全性。水電廠橫向隔離主要包含以下幾個(gè)方面：

（1）生產(chǎn)控制大區(qū)與管理信息大區(qū)之間。通常水電廠的兩大網(wǎng)絡(luò)之間沒(méi)有直接的物理連接，可不加防護(hù)裝置，如以后相連則必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離。

（2）控制區(qū)（安全I(xiàn)區(qū)）與非控制區(qū)（安全I(xiàn)I區(qū)）之間。安全I(xiàn)區(qū)是整個(gè)工控系統(tǒng)的防護(hù)重點(diǎn)，盡管水電廠安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)之間通常已經(jīng)部署了傳統(tǒng)防火墻，但難以對(duì)IEC104規(guī)約進(jìn)行精確防護(hù)，需要進(jìn)行升級(jí)并部署工業(yè)防火墻，實(shí)現(xiàn)對(duì)工業(yè)協(xié)議數(shù)據(jù)深度過(guò)濾，防范各種非法操作和數(shù)據(jù)，保障工控系統(tǒng)安全。

（3）監(jiān)控區(qū)和現(xiàn)場(chǎng)控制區(qū)之間。由于PLC控制器的安全防護(hù)級(jí)別要高于上位機(jī)的安全防護(hù)，因此在集中監(jiān)控區(qū)上位機(jī)和現(xiàn)地控制區(qū)下位機(jī)之間部署智能保護(hù)裝置，允許上位機(jī)通過(guò)特定的工控協(xié)議與下位機(jī)進(jìn)行交互，同時(shí)對(duì)上下位機(jī)之間傳輸?shù)膱?bào)文內(nèi)容做深度檢查，識(shí)別正常的操作行為并生成白名單，發(fā)現(xiàn)其用戶(hù)節(jié)點(diǎn)的行為不符合白名單中的行為特征，對(duì)此行為進(jìn)行阻斷或告警。

（4）第三方邊界安全防護(hù)。在非控制區(qū)第三方邊界部署安全隔離裝置，保障數(shù)據(jù)傳輸安全。在水電廠非控制區(qū)中，水情系統(tǒng)通過(guò)無(wú)線(xiàn)信號(hào)收集來(lái)自遙測(cè)站的水情數(shù)據(jù)用于水情分析，采集的數(shù)據(jù)經(jīng)水電廠的水情服務(wù)器接收處理后，送往上級(jí)調(diào)度部門(mén)，應(yīng)采取電力系統(tǒng)專(zhuān)用隔離裝置進(jìn)行保護(hù)。

2.3 縱向認(rèn)證

采用認(rèn)證、加密、訪問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。因此在水電廠生產(chǎn)控制大區(qū)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處部署電力專(zhuān)用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制，同時(shí)具有安全過(guò)濾功能，實(shí)現(xiàn)對(duì)數(shù)據(jù)通信應(yīng)用層協(xié)議及報(bào)文的處理功能。

2.4 綜合防護(hù)

為保障水電廠工控系統(tǒng)安全，除了遵循“十六字方針”外，還應(yīng)考慮綜合防護(hù)方面的需求，如實(shí)現(xiàn)入侵檢測(cè)裝置、主機(jī)與網(wǎng)絡(luò)設(shè)備加固、應(yīng)用安全控制、安全審計(jì)、專(zhuān)用安全產(chǎn)品管理、備用與容災(zāi)、惡意代碼防護(hù)、設(shè)備選型及漏洞整改等以及其他安全需求。

（1）安全審計(jì)。發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，并對(duì)威脅進(jìn)行分析，是保護(hù)工控系統(tǒng)網(wǎng)絡(luò)安全的首要任務(wù)，工控安全監(jiān)測(cè)審計(jì)以旁路鏡像交換機(jī)數(shù)據(jù)端口的方式，對(duì)水電廠工控系統(tǒng)網(wǎng)絡(luò)各層級(jí)可能存在的威脅和內(nèi)部人員的操作行為實(shí)時(shí)在線(xiàn)監(jiān)測(cè)和分析。通過(guò)在水電廠安全I(xiàn)區(qū)的監(jiān)控系統(tǒng)核心交換機(jī)、調(diào)度數(shù)據(jù)網(wǎng)實(shí)時(shí)業(yè)務(wù)交換機(jī)、安全I(xiàn)I區(qū)的非實(shí)時(shí)業(yè)務(wù)交換機(jī)處部署工控安全監(jiān)測(cè)審計(jì)設(shè)備，從生產(chǎn)控制網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)、安全形式評(píng)價(jià)、安全事件審計(jì)、安全接入等方面建立工控系統(tǒng)網(wǎng)絡(luò)安全保障體系，以便實(shí)時(shí)檢測(cè)工控網(wǎng)絡(luò)流量中的惡意代碼或利用漏洞攻擊的行為，分析潛在威脅并進(jìn)行安全預(yù)警，同時(shí)，可審計(jì)經(jīng)過(guò)現(xiàn)地控制系統(tǒng)匯聚交換機(jī)的操作指令，及時(shí)發(fā)現(xiàn)違規(guī)操作行為，便于事后追溯和分析。

（2）入侵檢測(cè)。入侵檢測(cè)系統(tǒng)可以對(duì)工控系統(tǒng)可能面臨的攻擊行為進(jìn)行有效檢測(cè)，并通過(guò)事前告警、事中防護(hù)、事后取證3個(gè)角度，實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門(mén)木馬等惡意流量，及時(shí)捕獲網(wǎng)絡(luò)異常行為，分析潛在威脅，保護(hù)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。該系統(tǒng)旁路部署在安全I(xiàn)區(qū)，安全I(xiàn)I區(qū)，管理信息大區(qū)的核心交換機(jī)上。

（3）主機(jī)加固。水電廠主機(jī)加固主要是對(duì)計(jì)算機(jī)監(jiān)控系統(tǒng)、水情系統(tǒng)、閘門(mén)監(jiān)控系統(tǒng)等操作員站、工程師站以及數(shù)據(jù)服務(wù)器進(jìn)行防護(hù)，通過(guò)在工作站上安裝主機(jī)加固軟件，以白名單的技術(shù)方式監(jiān)控工控主機(jī)的進(jìn)程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB端口狀態(tài)，全方位地保護(hù)主機(jī)的資源使用。根據(jù)白名單的配置，主機(jī)防護(hù)軟件會(huì)禁止非法進(jìn)程的運(yùn)行，禁止非法網(wǎng)絡(luò)端口的打開(kāi)與服務(wù)，禁止非法USB設(shè)備的接入，從而切斷病毒和木馬的傳播與破壞路徑，保證各控制系統(tǒng)指令安全、正確執(zhí)行，各生產(chǎn)系統(tǒng)安全穩(wěn)定運(yùn)行。

（4）移動(dòng)介質(zhì)防護(hù)。移動(dòng)介質(zhì)防護(hù)主要對(duì)水電廠工控系統(tǒng)工程師站、操作員站、數(shù)據(jù)服務(wù)器、水情上位機(jī)等USB接口進(jìn)行防護(hù)，通過(guò)在工作站上安裝部署USB保護(hù)裝置，利用文件過(guò)濾技術(shù)，根據(jù)用戶(hù)系統(tǒng)特點(diǎn)及相應(yīng)配置，過(guò)濾所有可疑文件，切斷病毒傳播途徑；通過(guò)對(duì)U盤(pán)的認(rèn)證、權(quán)限設(shè)置以及行為記錄，從而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)U盤(pán)的行為管理，可全面防護(hù)USB病毒及攻擊，徹底消除了USB使用中的安全威脅；可有效攔截死亡藍(lán)屏攻擊、BadUSB攻擊、LNK攻擊等USB高級(jí)攻擊；通過(guò)單向拷貝技術(shù)，防止數(shù)據(jù)泄漏事故。該設(shè)備安裝之后，必須使用專(zhuān)業(yè)的鑰匙才能打開(kāi)，如果強(qiáng)制拔出，將會(huì)導(dǎo)致USB口損壞，從而無(wú)法使用。

（5）安全預(yù)警。工控安全預(yù)警平臺(tái)主要是實(shí)時(shí)監(jiān)測(cè)水電廠工控系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)及安全設(shè)備運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)非法外聯(lián)、外部入侵等安全事件并告警，收集廠站側(cè)原有網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及上位機(jī)監(jiān)控軟件的日志信息。通過(guò)監(jiān)測(cè)工控系統(tǒng)網(wǎng)絡(luò)的通信流量與安全事件，從整體視角進(jìn)行安全事件分析、安全攻擊溯源、安全事件根因挖掘等，為工控系統(tǒng)網(wǎng)絡(luò)當(dāng)前的狀態(tài)以及未來(lái)可能受到的攻擊做出態(tài)勢(shì)評(píng)估與預(yù)測(cè)，為專(zhuān)業(yè)人員提供可靠、有效的決策依據(jù)，最大程度上降低工控系統(tǒng)可能遭受的風(fēng)險(xiǎn)和損失。

3 結(jié)論

本文以國(guó)務(wù)院14號(hào)令和國(guó)家能源局“36號(hào)文”為依據(jù)，以水電廠工控系統(tǒng)網(wǎng)絡(luò)為基礎(chǔ)，設(shè)計(jì)實(shí)施的工控系統(tǒng)安全防護(hù)方案，創(chuàng)新性地采用基于白名單的主機(jī)加固軟件，應(yīng)用軟硬件結(jié)合的認(rèn)證策略，USB保護(hù)設(shè)備，安全監(jiān)測(cè)審計(jì)等，解決了水電行業(yè)工控系統(tǒng)中普遍存在的上位機(jī)未進(jìn)行加固，USB接口未關(guān)閉，網(wǎng)絡(luò)邊界缺乏防護(hù)等問(wèn)題，實(shí)現(xiàn)工控系統(tǒng)集中監(jiān)控管理，減少現(xiàn)有水電廠工控系統(tǒng)安全風(fēng)險(xiǎn)點(diǎn)，降低水電廠遭受網(wǎng)絡(luò)攻擊的可能性，多維度、全方位的提升水電廠安全防護(hù)能力，為水電行業(yè)工控系統(tǒng)安全防護(hù)機(jī)制積累寶貴經(jīng)驗(yàn)，具有廣泛的推廣應(yīng)用前景。