主動(dòng)免疫的水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案設(shè)計(jì)

謝秋華，楊廷勇，楊 云，張衛(wèi)君

（1.中國長江電力股份有限公司，湖北 宜昌 443000；2.北京中水科水電科技開發(fā)有限公司，北京 100038）

0 引言

電力行業(yè)安全事關(guān)國家安全，水電站電力監(jiān)控系統(tǒng)作為重要領(lǐng)域的工業(yè)控制系統(tǒng)電力監(jiān)控系統(tǒng)，其網(wǎng)絡(luò)信息安全受到各方面高度的關(guān)注。在具體防護(hù)工作的開展中，電力行業(yè)的監(jiān)督主體部門包括中央網(wǎng)信辦、工信部、發(fā)改委、能源局、公安部以及國家密碼管理局等，防護(hù)要求涵蓋了從法律到條例，從政府部門通知到國家、行業(yè)標(biāo)準(zhǔn)規(guī)范，為切實(shí)落實(shí)各個(gè)監(jiān)管部門的管理要求，本文以電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系三維立體防護(hù)模型為藍(lán)本，綜合考慮當(dāng)前水電站網(wǎng)絡(luò)安全風(fēng)險(xiǎn)實(shí)際情況、威脅環(huán)境、法律和監(jiān)管規(guī)定以及防護(hù)技術(shù)的發(fā)展，確定了適合水電站電力監(jiān)控系統(tǒng)的三維立體防護(hù)模型，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的“綜合防御”基礎(chǔ)上，提出了基于國產(chǎn)裝備、國密技術(shù)、可信計(jì)算的“主動(dòng)免疫，綜合防御，風(fēng)險(xiǎn)防范，災(zāi)難恢復(fù)”十六字方針，形成了主動(dòng)免疫的水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案。

1 水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全重難點(diǎn)

1.1 技術(shù)措施落地難

水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作要求多、細(xì)、嚴(yán)，但在具體執(zhí)行過程中多數(shù)企業(yè)存在技術(shù)措施落地難的問題，分析原因有2個(gè)方面：①對(duì)電力監(jiān)控系統(tǒng)各項(xiàng)安全防護(hù)監(jiān)管要求的認(rèn)知與理解不足。電力監(jiān)控系統(tǒng)安全防護(hù)，不同監(jiān)管部門有不同的管理重點(diǎn)與要求，從業(yè)人員缺乏對(duì)相關(guān)要求的正確認(rèn)識(shí)，以及落實(shí)監(jiān)管要求與電力監(jiān)控系統(tǒng)本身安全運(yùn)行之間“度”的把握。電力監(jiān)控系統(tǒng)安全防護(hù)相關(guān)規(guī)定是針對(duì)網(wǎng)絡(luò)安全工作中的薄弱環(huán)節(jié)提出防護(hù)要求，有些并未落實(shí)到具體的安全防護(hù)產(chǎn)品或技術(shù)，市場(chǎng)上林林總總的安全防護(hù)產(chǎn)品是否具備相關(guān)的防護(hù)能力、能否在不影響系統(tǒng)運(yùn)行安全的基礎(chǔ)上滿足防護(hù)的功能、是否成熟產(chǎn)品等，要求從業(yè)人員具備選擇、評(píng)估、判斷的能力。

②人員的專業(yè)技術(shù)能力欠缺。水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全工作早期從專業(yè)管理角度出發(fā)，人員均是自動(dòng)化相關(guān)專業(yè)，對(duì)電力監(jiān)控系統(tǒng)運(yùn)維、發(fā)改委的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》執(zhí)行的比較到位，但網(wǎng)絡(luò)安全防護(hù)工作同時(shí)涉及到信息系統(tǒng)等級(jí)保護(hù)相關(guān)內(nèi)容，人員普遍存在知識(shí)儲(chǔ)備不足。此外水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作一段時(shí)間一直處于“被動(dòng)上馬”的狀態(tài)：為滿足監(jiān)管部門要求購買一些安全防護(hù)裝備，這些設(shè)備猶如一個(gè)黑匣子，配置由產(chǎn)品供貨商說了算，技術(shù)人員不清楚配備的安全防護(hù)設(shè)備是否適當(dāng)和足夠，不清楚設(shè)備的功能與性能，更缺乏根據(jù)系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)變化實(shí)時(shí)調(diào)整網(wǎng)絡(luò)安全防護(hù)設(shè)置的能力。

1.2 管理職能、應(yīng)急備用待提升

水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)相對(duì)于水電站生產(chǎn)管理屬于新興業(yè)務(wù)，在近20年網(wǎng)絡(luò)安全防護(hù)工作開展中，管理制度經(jīng)歷了從無到有、從簡單到完善、從單純的設(shè)備維護(hù)職責(zé)到涵蓋資產(chǎn)管理、人員管理的發(fā)展歷程。相對(duì)網(wǎng)絡(luò)安全防護(hù)的技術(shù)措施，不同水電企業(yè)在管理制度的制定與執(zhí)行方面差異性更大，具體表現(xiàn)在：在人員方面，發(fā)電企業(yè)是否設(shè)置網(wǎng)絡(luò)安全管理專職人員；設(shè)備維護(hù)部門“三權(quán)分立”的設(shè)置與執(zhí)行情況；全員網(wǎng)絡(luò)安全防護(hù)意識(shí)的培養(yǎng)；電力監(jiān)控系統(tǒng)人員管理是否除本單位安全防護(hù)人員，還涵蓋了設(shè)備的供貨商、開發(fā)商以及系統(tǒng)維護(hù)商等。在設(shè)備方面，是否建立清晰、明確的全系統(tǒng)設(shè)備資產(chǎn)清冊(cè)和拓?fù)鋱D；設(shè)備空閑端口、移動(dòng)存儲(chǔ)介質(zhì)與調(diào)試用電腦等的規(guī)范管理情況；新投運(yùn)設(shè)備、退役設(shè)備管理盲區(qū)的排查；設(shè)備運(yùn)行期間的密碼管理、病毒庫升級(jí)規(guī)范執(zhí)行等等。

體現(xiàn)水電站電力監(jiān)控系統(tǒng)安全與否的一個(gè)最重要的指標(biāo)就是各系統(tǒng)在任何狀況下都能“可用”，電力監(jiān)控系統(tǒng)在設(shè)計(jì)時(shí)，通常都考慮了冗余備用，這對(duì)電力監(jiān)控系統(tǒng)來說是必要的，可以應(yīng)對(duì)單設(shè)備故障；但從電力監(jiān)控系統(tǒng)整體安全考慮，還需從邊界防護(hù)的“多道防線”以及極端情況下的災(zāi)難恢復(fù)兩方面做考慮，從而使水電站電力監(jiān)控系統(tǒng)可應(yīng)對(duì)高級(jí)別的惡意攻擊，以及網(wǎng)絡(luò)安全事件發(fā)生時(shí)，電力監(jiān)控系統(tǒng)整體安全處于可接受的水平。

2 水電站電力監(jiān)控系統(tǒng)安全防護(hù)方案主體內(nèi)容

2.1 水電站電力監(jiān)控系統(tǒng)安全防護(hù)方案框架

針對(duì)水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中存在的問題，本文提出了一套完整的可指導(dǎo)具體實(shí)施的設(shè)計(jì)方案。方案對(duì)當(dāng)前成熟的防護(hù)技術(shù)進(jìn)行詳細(xì)的規(guī)定，明確其采用的軟硬件實(shí)施方法，對(duì)先進(jìn)的網(wǎng)絡(luò)安全防護(hù)理念進(jìn)行了實(shí)踐和提煉。方案參考《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》（以下簡稱導(dǎo)則），確定水電站電力監(jiān)控系統(tǒng)安全防護(hù)框架由安全防護(hù)技術(shù)、應(yīng)急備用措施、全面安全管理等3個(gè)方面組成，詳細(xì)設(shè)計(jì)內(nèi)容見圖1。

圖1 水電站電力監(jiān)控系統(tǒng)安全防護(hù)框架

其中安全防護(hù)技術(shù)方面在導(dǎo)則“基礎(chǔ)安全、結(jié)構(gòu)安全、本體安全、安全免疫”四方面的基礎(chǔ)上，進(jìn)行了補(bǔ)充完善，形成以“基礎(chǔ)安全、結(jié)構(gòu)安全、本體安全、綜合防御、安全免疫”全方位的技防手段，“綜合防御”將目前網(wǎng)絡(luò)安全防護(hù)采取的訪問控制、入侵防范、惡意代碼防范、內(nèi)網(wǎng)監(jiān)測(cè)平臺(tái)、安全審計(jì)等技防措施進(jìn)行了歸類闡述；此外“安全免疫”也在導(dǎo)則中“版本管理、靜態(tài)免疫、動(dòng)態(tài)免疫”的基礎(chǔ)上增加了數(shù)字證書的應(yīng)用。

2.2 水電站電力監(jiān)控系統(tǒng)安全防護(hù)應(yīng)急管理

在應(yīng)急備用措施方面，方案在導(dǎo)則的基礎(chǔ)上結(jié)合水電站電力監(jiān)控系統(tǒng)類型、特點(diǎn)進(jìn)行了細(xì)化、優(yōu)化設(shè)計(jì)。從外到內(nèi)的橫向三道防線將外部公共因特網(wǎng)、管理辦公區(qū)的信息外網(wǎng)、管理辦公區(qū)的信息內(nèi)網(wǎng)、生產(chǎn)控制區(qū)進(jìn)行了嚴(yán)格防范；從下到上的三道防線將現(xiàn)地級(jí)控制設(shè)備、廠站級(jí)設(shè)備、梯調(diào)中心設(shè)備、國調(diào)中心設(shè)備從縱向?qū)嵤┌踩雷o(hù)。

冗余備用措施根據(jù)系統(tǒng)不同，備用方式不同。以水電站計(jì)算機(jī)監(jiān)控系統(tǒng)為例，現(xiàn)地層設(shè)備以“結(jié)構(gòu)冗余”為主，對(duì)影響LCU可靠性的每一個(gè)環(huán)節(jié)采取雙冗余配置，如PLC的CPU、I/O機(jī)箱電源、通信模塊、I/O模塊、機(jī)柜電源、總線等；對(duì)巨型水電站廠站層設(shè)備，兼顧“結(jié)構(gòu)冗余”、“功能分布”、“功能冗余”，采用多機(jī)多網(wǎng)冗余配置、同功能的設(shè)備冗余配置，極端情況下，功能還可轉(zhuǎn)移至其他設(shè)備；此外，對(duì)水電站計(jì)算機(jī)監(jiān)控系統(tǒng)還設(shè)置了系統(tǒng)失靈情況下的手動(dòng)操作機(jī)構(gòu)與回路，確保自動(dòng)控制失效時(shí)的應(yīng)急備用措施。

2.3 水電站電力監(jiān)控系統(tǒng)安全防護(hù)全面安全管理

在全面安全管理方面，方案沿用了導(dǎo)則關(guān)于“融入安全生產(chǎn)管理體系、全體人員管理、全部設(shè)備管理、全生命周期管理”的理念，具體設(shè)計(jì)時(shí)總結(jié)三峽電廠多年的防護(hù)管理經(jīng)驗(yàn)進(jìn)行了細(xì)化、優(yōu)化，各項(xiàng)管理措施均有可執(zhí)行的實(shí)施細(xì)則，并通過現(xiàn)場(chǎng)檢查、督導(dǎo)使各管理措施落地。

在“融入安全生產(chǎn)管理體系”方面，建立與常規(guī)安全生產(chǎn)相類似的組織體系、目標(biāo)責(zé)任體系、風(fēng)險(xiǎn)防控措施、考核實(shí)施細(xì)則，營造從上至下的“網(wǎng)絡(luò)安全防護(hù)意識(shí)”。

在“全體人員管理”方面，分人員安全分級(jí)管理、重點(diǎn)區(qū)域人員管理、外協(xié)單位人員管理以及離職人員管理，從制度與流程上保證所有人員都可控在控。

在“全部設(shè)備管理”方面，分系統(tǒng)建立完善的設(shè)備資產(chǎn)清冊(cè)，在此基礎(chǔ)上編制電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)拓?fù)鋱D、開展對(duì)主機(jī)與通信設(shè)備的安全加固，同時(shí)通過網(wǎng)絡(luò)安全檢查持續(xù)完善。

在“全生命周期管理”方面，設(shè)計(jì)階段重點(diǎn)把好設(shè)備選型關(guān)和系統(tǒng)結(jié)構(gòu)設(shè)計(jì)關(guān)，開發(fā)階段重點(diǎn)規(guī)避密碼明文存儲(chǔ)、固化存儲(chǔ)以及代碼中采用通用網(wǎng)絡(luò)服務(wù)等不符合網(wǎng)絡(luò)安全的編程習(xí)慣，系統(tǒng)上線前開展系統(tǒng)的等級(jí)保護(hù)與信息安全測(cè)評(píng)、漏洞分析與源代碼安全檢測(cè)，系統(tǒng)運(yùn)行階段運(yùn)維人員全面、規(guī)范地執(zhí)行各種技防措施、做好移動(dòng)介質(zhì)的管理，系統(tǒng)退役階段做好關(guān)鍵設(shè)備及敏感信息的報(bào)廢、銷毀管理。

3 先進(jìn)的網(wǎng)絡(luò)安全防護(hù)理念與技術(shù)

水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)具體實(shí)施中，各項(xiàng)技術(shù)措施處于逐步完善中，本方案針對(duì)三峽電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全具體實(shí)踐，總結(jié)提煉了一系列先進(jìn)的安防理念的具體應(yīng)用要求：

3.1 電磁屏蔽

相關(guān)標(biāo)準(zhǔn)中對(duì)電磁屏蔽的要求比較含糊，信息系統(tǒng)等級(jí)保護(hù)第三級(jí)要求中描述為：“應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽”，導(dǎo)則中僅要求“應(yīng)對(duì)關(guān)鍵電力監(jiān)控系統(tǒng)（四級(jí)）關(guān)鍵區(qū)域或關(guān)鍵設(shè)備實(shí)施電磁屏蔽?！?，水電站電力監(jiān)控系統(tǒng)中，計(jì)算機(jī)監(jiān)控系統(tǒng)為三級(jí)系統(tǒng)，因此為指導(dǎo)現(xiàn)場(chǎng)實(shí)施，方案規(guī)定水電站計(jì)算機(jī)監(jiān)控系統(tǒng)中與國調(diào)、梯調(diào)通信的相關(guān)服務(wù)器需進(jìn)行電磁屏蔽，同時(shí)對(duì)電磁屏蔽柜的功能、配置提出了具體要求。

3.2 國產(chǎn)設(shè)備及軟件

本體安全的四部分包括“生產(chǎn)系統(tǒng)無惡意軟件、操作系統(tǒng)無惡意后門、整機(jī)主板無惡意芯片、主要芯片無惡意指令”，根據(jù)水電站電力監(jiān)控系統(tǒng)應(yīng)用現(xiàn)狀，應(yīng)用軟件國產(chǎn)化總體情況良好，操作系統(tǒng)和基礎(chǔ)軟件，工業(yè)用的計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備仍以國外產(chǎn)品為主，因此導(dǎo)則中要求是相關(guān)軟硬件設(shè)備“應(yīng)通過國家有關(guān)機(jī)構(gòu)的安全檢測(cè)認(rèn)證”，但為實(shí)現(xiàn)真正的本體安全，方案根據(jù)三峽電廠現(xiàn)有試點(diǎn)情況，提出應(yīng)有計(jì)劃地推進(jìn)電力監(jiān)控系統(tǒng)服務(wù)器、工作站，控制網(wǎng)及信息網(wǎng)交換機(jī)等硬件設(shè)備國產(chǎn)化，操作系統(tǒng)、數(shù)據(jù)庫等軟件產(chǎn)品國產(chǎn)化，目前國內(nèi)主流的浪潮、曙光等服務(wù)器，麒麟、凝思等操作系統(tǒng)都是通過國家安全四級(jí)檢測(cè)認(rèn)證的設(shè)備，其安全性可以真正做到“自主可控”。

3.3 內(nèi)網(wǎng)安全監(jiān)視與審計(jì)平臺(tái)建設(shè)

方案在導(dǎo)則“基礎(chǔ)安全、結(jié)構(gòu)安全、本體安全、安全免疫”四方面的技術(shù)措施上增加了“綜合防御”環(huán)節(jié)，其中訪問控制、入侵監(jiān)測(cè)、惡意代碼防范屬于成熟技術(shù)的應(yīng)用，內(nèi)網(wǎng)安全監(jiān)視和審計(jì)平臺(tái)是針對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)“實(shí)時(shí)監(jiān)視、集中審計(jì)”要求而開發(fā)的新型防護(hù)手段。具體做法是從發(fā)電廠到公司建設(shè)一個(gè)統(tǒng)一的平臺(tái)，該平臺(tái)同時(shí)實(shí)現(xiàn)統(tǒng)一調(diào)度體系內(nèi)網(wǎng)絡(luò)安全信息的共享。平臺(tái)可實(shí)時(shí)監(jiān)視系統(tǒng)內(nèi)所有信息資產(chǎn)的資源及運(yùn)行狀態(tài)，動(dòng)態(tài)感知評(píng)估和整個(gè)系統(tǒng)的健康狀況；集中收集系統(tǒng)中所有設(shè)備的運(yùn)行日志，實(shí)現(xiàn)全維度、跨設(shè)備、細(xì)粒度關(guān)聯(lián)分析。內(nèi)網(wǎng)安全監(jiān)視與審計(jì)平臺(tái)實(shí)現(xiàn)發(fā)電企業(yè)網(wǎng)絡(luò)安全防護(hù)狀態(tài)的集中、實(shí)時(shí)監(jiān)視，操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件的集中審計(jì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件和潛在隱患。

3.4 可信安全免疫

《網(wǎng)絡(luò)安全法》、《電力監(jiān)控系統(tǒng)總體方案要求》以及導(dǎo)則中均有對(duì)可信安全免疫的描述，但由于相關(guān)技術(shù)與產(chǎn)品并不成熟，相關(guān)標(biāo)準(zhǔn)并無強(qiáng)制要求，而是要求“逐步采用”、“逐步推廣”。三峽電站在兩年的試點(diǎn)實(shí)踐中，形成了國產(chǎn)密碼與可信計(jì)算技術(shù)在水電站計(jì)算機(jī)監(jiān)控系統(tǒng)應(yīng)用的“可信安全免疫”方案，從根本上改變了傳統(tǒng)的“以邊界防護(hù)為主的網(wǎng)絡(luò)安全防護(hù)體系”，形成攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、系統(tǒng)重要信息改不了、攻擊行為賴不掉的主動(dòng)免疫的網(wǎng)絡(luò)安全防護(hù)體系。

方案中采用國產(chǎn)密碼技術(shù)的可信密碼模塊以板卡形式安裝于服務(wù)器的主板上，服務(wù)器中安裝可信軟件基。BIOS和可信密碼模塊共同構(gòu)成系統(tǒng)的物理信任根，從系統(tǒng)引導(dǎo)開始逐級(jí)建立可信鏈，信任傳遞至可信軟件基后，由可信軟件基完成對(duì)操作系統(tǒng)、應(yīng)用軟件的靜態(tài)度量，可信軟件基同時(shí)在應(yīng)用層面上對(duì)設(shè)備、程序、人員進(jìn)行可信度量。

4 結(jié)語

水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案，一方面是需要將當(dāng)前已有的成熟手段包括技術(shù)與管理措施做細(xì)、做實(shí)，已有的技術(shù)措施提煉出明確的軟、硬件防護(hù)要求；管理手段應(yīng)涵蓋設(shè)備的全生命周期和運(yùn)維的全體人員管理，并通過監(jiān)督檢查確保執(zhí)行到位；應(yīng)急備用措施從事前預(yù)防到事后處理，防范網(wǎng)絡(luò)安全事件的發(fā)生并在發(fā)生網(wǎng)絡(luò)安全事件的情況下將影響控制到最小。另一方面是要根據(jù)水電站電力監(jiān)控系統(tǒng)現(xiàn)狀、網(wǎng)絡(luò)安全防護(hù)新理念與技術(shù)，在電力監(jiān)控系統(tǒng)中全面采用國產(chǎn)服務(wù)器、國產(chǎn)操作系統(tǒng)、國產(chǎn)軟件，實(shí)現(xiàn)系統(tǒng)重構(gòu)可信主機(jī)、基礎(chǔ)可信網(wǎng)絡(luò)環(huán)境的建設(shè)；在操作系統(tǒng)、應(yīng)用系統(tǒng)層級(jí)，部署可信計(jì)算平臺(tái)和可信安全管理平臺(tái)，實(shí)現(xiàn)可信計(jì)算環(huán)境的建設(shè)；研發(fā)水電站數(shù)字證書系統(tǒng)，為水電站監(jiān)控系統(tǒng)中的用戶、關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器、業(yè)務(wù)程序等發(fā)放數(shù)字證書，實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸和可靠的行為審計(jì)；部署內(nèi)網(wǎng)監(jiān)視平臺(tái)用于監(jiān)視機(jī)房內(nèi)所有業(yè)務(wù)服務(wù)器、網(wǎng)絡(luò)安全設(shè)備的資源及運(yùn)行狀態(tài)，動(dòng)態(tài)感知評(píng)估和整個(gè)監(jiān)控系統(tǒng)的健康狀況，最終建設(shè)成為主動(dòng)安全免疫的水電站電力監(jiān)控系統(tǒng)。