水電廠信息網(wǎng)絡(luò)安全防護策略探究

◆陳亞燕

水電廠信息網(wǎng)絡(luò)安全防護策略探究

◆陳亞燕

（廣東粵海樂昌峽水力發(fā)電有限公司 廣東 512200）

隨著信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全受到了人們的高度重視，尤其是隨著信息化技術(shù)在水電廠信息管理和監(jiān)控系統(tǒng)中的廣泛應(yīng)用，計算機監(jiān)控系統(tǒng)成了水電廠安全生產(chǎn)、監(jiān)控運作的主要設(shè)備，更是信息網(wǎng)絡(luò)安全防控重點。但在水電廠信息監(jiān)控系統(tǒng)運轉(zhuǎn)過程中，仍存在一些網(wǎng)絡(luò)安全問題，這給水電廠信息網(wǎng)絡(luò)系統(tǒng)埋下安全隱患。為了有效提高水電廠信息網(wǎng)絡(luò)安全性能，保障水電廠穩(wěn)定運行是當前亟須考慮的問題之一。本文首先分析了水電廠監(jiān)控信息系統(tǒng)中存在的問題，其次闡述了水電廠網(wǎng)絡(luò)安全防控的重要性，并提出相對應(yīng)的防控措施，以期能有效提高水電廠網(wǎng)絡(luò)安全系統(tǒng)可靠性及應(yīng)用水平，進一步確保水電廠的正常運轉(zhuǎn)。

水電廠；監(jiān)控系統(tǒng)；信息網(wǎng)絡(luò)安全問題；安全防護措施

近幾年，隨著網(wǎng)絡(luò)信息化技術(shù)在各行各業(yè)的深入應(yīng)用，信息安全問題開始出現(xiàn)，這使得各行業(yè)也加強了信息網(wǎng)絡(luò)安全防控力度。而水電廠作為發(fā)電系統(tǒng)的重要組成部分，其生產(chǎn)運行管理系統(tǒng)、MIS系統(tǒng)、操作管理系統(tǒng)等各個系統(tǒng)功能的運轉(zhuǎn)都離不開信息化技術(shù)，因此，為了保障水電廠正常運作，應(yīng)提高對水電廠各個信息系統(tǒng)安全性的重視，以避免各個系統(tǒng)中存在信息安全風險，同時，通過采取相對應(yīng)的安全防控措施，提升水電廠系統(tǒng)的安全性能與運行效率。

1 水電廠監(jiān)控信息系統(tǒng)中主要存在的網(wǎng)絡(luò)安全問題

當前，水電廠的監(jiān)控信息系統(tǒng)仍存在一些網(wǎng)絡(luò)安全問題亟須解決，為此，筆者根據(jù)當前水電廠監(jiān)控信息系統(tǒng)的現(xiàn)狀，大概舉了幾個典型的網(wǎng)絡(luò)安全問題，具體如下：

1.1 防火墻

防火墻作為水電廠網(wǎng)絡(luò)安全最有效的保護手段之一，其主要是由軟件與硬件所組成，在水電廠監(jiān)控信息系統(tǒng)（SIS）中，其防火墻主要是采用軟件設(shè)計，通過軟件來增強監(jiān)控系統(tǒng)的安全性能，當SIS在監(jiān)控水電廠電網(wǎng)調(diào)度信息時，防火墻便會處在一種比較被迫防衛(wèi)的處境。此時，如果水電廠不能及時對軟件防火墻進行更新，那后期防火墻只能對一些常規(guī)的病毒起到作用，但對于一些攻擊性比較強的病毒完全沒有抵抗力，這時，防火墻受到病毒攻擊的影響處境更加艱難，無法繼續(xù)保護系統(tǒng)正常運行，造成系統(tǒng)上的資料丟失，這對水電廠的調(diào)度產(chǎn)生了極大的影響。

1.2 網(wǎng)絡(luò)連接

當前，水電廠與其他設(shè)備網(wǎng)絡(luò)連接，如：與MIS系統(tǒng)、生產(chǎn)運行管理系統(tǒng)、廠內(nèi)智能控制設(shè)備、操作管理系統(tǒng)等進行連接時，由于其數(shù)據(jù)傳輸主要是選用單向的方式，無法向?qū)崟r信息監(jiān)控系統(tǒng)的服務(wù)器輸入數(shù)據(jù)，在與廠內(nèi)其他智能控制設(shè)備進行連接時，如果沒有進行光電隔離，容易發(fā)生高壓或短路的情況；若與MIS系統(tǒng)網(wǎng)上連接時，由于MIS系統(tǒng)安全管理中存在很多不穩(wěn)定因素，容易收到病毒、黑客的入侵，容易給SIS帶來極大的安全隱患；此時，如果水電廠SIS網(wǎng)絡(luò)連接過程中出現(xiàn)安全漏洞，系統(tǒng)非常容易受到黑客的入侵攻擊，從而造成SIS的連接存在網(wǎng)絡(luò)安全隱患，這一常見的網(wǎng)絡(luò)連接問題對水電廠的安全、正常運轉(zhuǎn)會產(chǎn)生極大的不良影響。

1.3 網(wǎng)絡(luò)通訊

水電廠SIS主要是由交換機與通信服務(wù)器相連接，水電廠SIS網(wǎng)絡(luò)通訊的等級要比管理和操作系統(tǒng)的等級還高，為此，盡管在SIS網(wǎng)絡(luò)通訊過程中做好了安全防護，但網(wǎng)絡(luò)通訊仍要按照單向傳輸方式進行，如果能從通訊的角度換到結(jié)構(gòu)的角度去看待問題，那么，網(wǎng)絡(luò)通訊還是存在許多安全問題。比如：水電廠在SIS中，其通訊訪問過程不存在隱藏性，而是透明、公開的，它可以向任何一個編程進行訪問，而任何表明身份的計算機也可以對SIS的網(wǎng)絡(luò)通訊進行訪問，以取得水電廠監(jiān)控網(wǎng)絡(luò)通訊信息，此時，缺少安全保護措施的網(wǎng)絡(luò)，很容易給網(wǎng)絡(luò)通訊數(shù)據(jù)交流埋下安全隱患。

2 水電廠加強網(wǎng)絡(luò)安全防護的重要性

根據(jù)上文存在的網(wǎng)絡(luò)安全問題可以看出，加強水電廠網(wǎng)絡(luò)安全防護顯得十分重要。但隨著信息技術(shù)在水電廠的深入應(yīng)用，信息網(wǎng)絡(luò)安全危險隨之增加，尤其是系統(tǒng)安全漏洞，病毒入侵、黑客攻擊、軟件安全漏洞以及數(shù)據(jù)安全存在威脅等，以上這些常見網(wǎng)絡(luò)安全問題的存在，會影響到水電廠網(wǎng)絡(luò)系統(tǒng)的正常運行，降低水電廠自動化運行、操作效率，嚴重的還會造成水電廠系統(tǒng)癱瘓，這對水電廠的發(fā)展產(chǎn)生極大的不良影響，基于此，一定要提高水電廠網(wǎng)絡(luò)信息安全的重視程度。此外，水電廠是保障人們生活與我國經(jīng)濟的重要樞紐，其各個系統(tǒng)的運行都離不開信息技術(shù)，為此，加強水電廠信息網(wǎng)絡(luò)系統(tǒng)的安全防御性能，有助于確保網(wǎng)絡(luò)信息系統(tǒng)的安全、穩(wěn)定，從而提高水電廠自動化運行、生產(chǎn)操作效率，進而促進水電廠的健康發(fā)展。由此可見，網(wǎng)絡(luò)信息安全防控在水電廠中發(fā)揮了至關(guān)重要的作用。

3 水電廠網(wǎng)絡(luò)安全防控的幾點措施

結(jié)合上文水電廠SIS對信息網(wǎng)絡(luò)安全的需要，下文對水電廠提出了三個方面的防控措施，以期能有效提高SIS在水電廠的安全性。具體如下：

3.1 硬件防護

為了保障水電廠SIS系統(tǒng)的安全運轉(zhuǎn)，水電廠SIS在設(shè)置硬件防控措施時，都會設(shè)置硬件隔離防護，以確保SIS的安全運轉(zhuǎn)。比如：水電廠SIS在連接廠內(nèi)其他智能控制設(shè)備時，一般會在兩個系統(tǒng)之間采用光電隔離，這樣，兩個系統(tǒng)之間除了有數(shù)據(jù)交換外，再無任何網(wǎng)絡(luò)上的聯(lián)系；在與MIS系統(tǒng)連接時，一般會采用通訊服務(wù)或路由器進行隔離，并安裝單向傳輸裝置，使MIS系統(tǒng)只能單向與通訊服務(wù)器聯(lián)系，以此規(guī)范硬件中信息流，控制MIS系統(tǒng)對水電廠SIS的訪問，進一步阻擋非法信息的入侵（如圖1）所示；此外，水電廠的內(nèi)網(wǎng)與外網(wǎng)之間也加裝物理隔離設(shè)備，當內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)時，其數(shù)據(jù)需通過內(nèi)部網(wǎng)關(guān)機上的通信進程，再通過單向物理隔離設(shè)備將數(shù)據(jù)轉(zhuǎn)到外網(wǎng)，“外網(wǎng)”關(guān)機通信進程在收到內(nèi)網(wǎng)傳送過來的數(shù)據(jù)后，再將其寫入外網(wǎng)公共數(shù)據(jù)區(qū)，而“外網(wǎng)”向內(nèi)網(wǎng)傳輸數(shù)據(jù)的方式一樣，但其方向相反（如圖2）所示。通過對以上硬件進行防控，能有效保護水電廠數(shù)據(jù)傳輸?shù)陌踩?，避免?shù)據(jù)傳輸過程中存在的安全隱患。

3.2 IDS入侵防護

IDS入侵監(jiān)測系統(tǒng)，其主要是監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運作狀況，檢測網(wǎng)絡(luò)是否受到非法入侵攻擊，并進行阻止，以保護信息網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的安全、完整。當前，水電廠SIS除了不斷更新防火墻之外，還增加了IDS入侵防護檢測系統(tǒng)，該入侵檢測系統(tǒng)不僅能測出網(wǎng)絡(luò)中存在的病毒信息，還能根據(jù)病毒入侵信息進行等級分析，并及時做出響應(yīng)，然后設(shè)置相對應(yīng)的防護策略。如：水電廠SIS受到黑客攻擊時，IDS檢測到黑客入侵攻擊行為時，傳感器便會向安全管理控制平臺發(fā)出警報，并將黑客入侵的詳細內(nèi)容通知安全管理員，同時，控制路由器斷開非法對話，以此保障SIS網(wǎng)絡(luò)的安全。由此可見，IDS入侵檢測系統(tǒng)作為維護網(wǎng)絡(luò)安全的重要防控技術(shù)，其能在確保網(wǎng)絡(luò)安全的前提下，對水電廠的網(wǎng)絡(luò)運行狀態(tài)進行檢測，從而實現(xiàn)對水電廠內(nèi)的網(wǎng)絡(luò)進行實時保護。

圖1 與MIS的連接方式

圖2 內(nèi)外網(wǎng)數(shù)據(jù)傳輸圖

圖3 入侵檢測/響應(yīng)流程圖

3.3 態(tài)勢感知系統(tǒng)防護

目前，水電廠通過在安全“I區(qū)”部署一套電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知廠站終端，該終端主要是通過SNMP、SNMP trap、Syslog等技術(shù)，在I區(qū)進行縱向加密裝置、橫向防火墻、互聯(lián)交換機的信息采集；在橫向防火墻使用NAT技術(shù)將I區(qū)廠站裝置IP映射成II區(qū)IP，然后通過SNMP、SNMP trap、Syslog等技術(shù)，實現(xiàn)II區(qū)的縱向加密裝置、工作站的信息采集。在交換機上對網(wǎng)絡(luò)流量的鏡像，網(wǎng)絡(luò)安全態(tài)勢感知廠站終端具備以太網(wǎng)接口和流量獲取端口。I區(qū)裝置分別接入控制區(qū)交換機，非控制區(qū)交換機實現(xiàn)設(shè)備配置/日志信息以及設(shè)備流量信息的獲取?！癐區(qū)”網(wǎng)絡(luò)安全態(tài)勢感知廠站終端采集到的數(shù)據(jù)將通過II區(qū)調(diào)度數(shù)據(jù)網(wǎng)IP，向廣東中調(diào)II區(qū)的主站平臺服務(wù)器上送數(shù)據(jù)。廠站裝置還可以通過ICMP、snmp、鏡像三種來源來自動獲取站內(nèi)的資產(chǎn)信息，包括資產(chǎn)的IP地址、軟件版本、內(nèi)核信息等數(shù)據(jù)并形成拓撲結(jié)構(gòu)，還可以通過手工錄入、主動錄入來手動添加資產(chǎn)。鏡像來源還可以發(fā)現(xiàn)站內(nèi)的數(shù)據(jù)通信（TCP、UDP協(xié)議）告警并上報主站。從而實現(xiàn)對水電廠各電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的數(shù)據(jù)采集、“范式化”處理、數(shù)據(jù)建模和關(guān)聯(lián)分析，以便及時發(fā)現(xiàn)非法跨區(qū)互聯(lián)、網(wǎng)絡(luò)非法接入、非法移動介質(zhì)接入等各類網(wǎng)絡(luò)安全風險以及非法訪問事件，以達到網(wǎng)絡(luò)安全風險在線識別（如圖4所示）。這對促進水電廠電力監(jiān)控系統(tǒng)全方位、全天候的網(wǎng)絡(luò)安全監(jiān)測，以及電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的閉環(huán)管理具有十分重要的意義。通過全面提高電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護的整體水平，提升電廠網(wǎng)絡(luò)風險預(yù)警和病毒處理能力，達到電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全風險可發(fā)現(xiàn)、可控制、可溯源的目的。

圖4 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)體系結(jié)構(gòu)圖

4 總結(jié)

根據(jù)上文所述可以看出，水電廠網(wǎng)絡(luò)的安全穩(wěn)定關(guān)乎水電廠的正常生產(chǎn)運轉(zhuǎn)，為此，需要提高對網(wǎng)絡(luò)安全防控工作的重視程度，通過硬件隔離、IDS入侵檢測，態(tài)勢感知系統(tǒng)等安全防護來強化水電廠網(wǎng)絡(luò)病毒防御系統(tǒng)，提高水電廠信息網(wǎng)絡(luò)安全管理水平及病毒防控能力，切切實實的保障水電廠各個系統(tǒng)的正常運轉(zhuǎn)，由此可見，做好網(wǎng)絡(luò)信息安全防控工作對水電廠智能控制設(shè)備的正常運轉(zhuǎn)十分重要。

[1]羅光濤.水電廠監(jiān)控信息系統(tǒng)網(wǎng)絡(luò)安全防控研究[J].信息與安全技術(shù)，2015（07）.

[2]黃開泰.水電廠信息網(wǎng)絡(luò)安全防護的探究[J].科教導刊（電子版），2018（17）.

[3]季金付.發(fā)電廠廠級監(jiān)控信息系統(tǒng)的網(wǎng)絡(luò)安全防護[J].安徽電力，2013（04）.