智能化水電站網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)研究

王 一

(北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，北京 100000)

0 前 言

隨著智能電網(wǎng)的發(fā)展，傳統(tǒng)的第二代水電站監(jiān)控系統(tǒng)由于定期檢修成本高、效率低、難度大，突發(fā)非停事故仍不可預(yù)測(cè)和預(yù)防，系統(tǒng)大、多級(jí)通信故障風(fēng)險(xiǎn)高，升級(jí)改造擴(kuò)展設(shè)備效率低、不靈活等特點(diǎn)，已經(jīng)無(wú)法滿足智能電網(wǎng)的需求，因此以工業(yè)4.0和工業(yè)互聯(lián)網(wǎng)發(fā)展方向?yàn)槟繕?biāo)的智能水電站解決方案被提出，同時(shí)國(guó)家能源局也發(fā)布了DL/T 1547—2016《智能水電廠技術(shù)導(dǎo)則》。智能水電站與傳統(tǒng)水電站的分層分級(jí)架構(gòu)最明顯的區(qū)別是：將單元層分成了監(jiān)控層(集中)和輔控層(分布式)。智能化水電站三層兩網(wǎng)的核心是：將監(jiān)控層和輔控層合并為單元層(全部采用分布式)，升級(jí)為智能測(cè)控單元[1]。因此網(wǎng)絡(luò)安全防護(hù)的要求也發(fā)生了變化，需要監(jiān)視安全防護(hù)設(shè)備實(shí)時(shí)狀態(tài)，根據(jù)聯(lián)動(dòng)策略自動(dòng)觸發(fā)安全防護(hù)設(shè)備聯(lián)動(dòng)操作，為運(yùn)行人員快速事件處理和關(guān)聯(lián)設(shè)備操作提供支持。

1 智能水電站安全需求

智能水電站具備多元化的通信方式，對(duì)象設(shè)備多用IEC61850，集控和IT云端用OPC-UA，儀表用IEC104、ModbusTCP等，水電站從PLC變種到PAC，現(xiàn)在再?gòu)腜AC變種到智能IED、小型智能IO，將單元層分成了監(jiān)控層(集中)和輔控層(分布式)，將監(jiān)控層和輔控層合并為單元層(全部采用分布式)，升級(jí)為智能測(cè)控單元，通過(guò)OT系統(tǒng)和IT系統(tǒng)的融合，采用人工智能和與機(jī)器學(xué)習(xí)等能力，實(shí)現(xiàn)一個(gè)平臺(tái)的開(kāi)放自動(dòng)化的特點(diǎn)。

針對(duì)上述特點(diǎn)，智能水電站的安全防護(hù)需求如下：

(1)單元層設(shè)備全部采用分布式部署，傳統(tǒng)的串接防護(hù)方式無(wú)法在該架構(gòu)下進(jìn)行部署，因此需要采用旁路監(jiān)測(cè)及策略聯(lián)動(dòng)觸發(fā)防御的方式進(jìn)行安全防護(hù)；

(2)OT系統(tǒng)和IT系統(tǒng)融合，安全防護(hù)需要同時(shí)考慮OT系統(tǒng)及IT系統(tǒng)的防護(hù)[2]；

(3)由于IT系統(tǒng)采用了云計(jì)算技術(shù)，因此需同步考慮云安全的防護(hù)；

(4)應(yīng)符合《電力二次系統(tǒng)安全防護(hù)規(guī)定》要求；

(5)應(yīng)符合《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求。

2 智能水電站安全防護(hù)設(shè)計(jì)

2.1 三層兩網(wǎng)智能水電站區(qū)域劃分設(shè)計(jì)

依據(jù)國(guó)家能源局〔2021〕36號(hào)文中相關(guān)規(guī)定[1]，對(duì)水電站生產(chǎn)網(wǎng)絡(luò)進(jìn)行安全域劃分，目的旨在切割風(fēng)險(xiǎn)，即任意一點(diǎn)遭受攻擊或網(wǎng)絡(luò)風(fēng)暴不會(huì)對(duì)其他生產(chǎn)過(guò)程產(chǎn)生影響，同時(shí)方便管理策略的執(zhí)行。

安全域劃分應(yīng)遵守以下原則：

(1)基于業(yè)務(wù)類(lèi)型進(jìn)行安全域劃分，保證業(yè)務(wù)的可靠性、連續(xù)性；

(2)充分認(rèn)知業(yè)務(wù)對(duì)象，嚴(yán)謹(jǐn)定位業(yè)務(wù)范圍；

(3)結(jié)合業(yè)務(wù)自身特性，準(zhǔn)確識(shí)別業(yè)務(wù)數(shù)據(jù)流；

(4)充分識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)，明確業(yè)務(wù)防護(hù)需求。

水電站安全區(qū)域劃分遵照生產(chǎn)網(wǎng)絡(luò)架構(gòu)，原則上不同生產(chǎn)區(qū)域間禁止非授權(quán)訪問(wèn)。具體安全區(qū)域劃分如圖1所示。

圖1 智能水電站區(qū)域劃分邏輯拓?fù)涫疽?/p>

水電站生產(chǎn)網(wǎng)絡(luò)包括生產(chǎn)控制大區(qū)安全Ⅰ區(qū)(控制區(qū))、安全Ⅱ區(qū)(非控制區(qū))、管理信息大區(qū)等不同的網(wǎng)絡(luò)區(qū)域[3]。

安全Ⅰ區(qū)：即生產(chǎn)控制區(qū)，該區(qū)是電力系統(tǒng)中最為關(guān)鍵的部分，包括調(diào)速裝置、勵(lì)磁裝置、機(jī)組保護(hù) LCU、開(kāi)關(guān)站 LCU、存儲(chǔ)工作站等生產(chǎn)控制設(shè)備。

安全Ⅱ區(qū)：即生產(chǎn)非控制區(qū)，包括電能量采集裝置、水情自動(dòng)測(cè)報(bào)系統(tǒng)、故障錄波信息管理終端等業(yè)務(wù)系統(tǒng)。

管理信息大區(qū)：包括雷電監(jiān)測(cè)系統(tǒng)、氣象信息系統(tǒng)、大壩自動(dòng)監(jiān)測(cè)系統(tǒng)、管理信息系統(tǒng)(MIS)等業(yè)務(wù)系統(tǒng)。

2.2 各區(qū)域安全監(jiān)測(cè)及防護(hù)設(shè)計(jì)

2.2.1 生產(chǎn)大區(qū)設(shè)計(jì)

(1)常規(guī)水電站安全防護(hù)手段分析

在常規(guī)水電站中監(jiān)控及輔控設(shè)備，通常以星形或者環(huán)網(wǎng)的方式進(jìn)行自組網(wǎng)后再分別連接廠站層網(wǎng)和過(guò)程層網(wǎng)，如圖2所示。

安全防護(hù)手段以安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證的安全防護(hù)為主，主要采用工控防火墻部署于生產(chǎn)控制網(wǎng)絡(luò)內(nèi)部各生產(chǎn)區(qū)域邊界處，通過(guò)基于工業(yè)協(xié)議的識(shí)別對(duì)訪問(wèn)行為進(jìn)行訪問(wèn)控制，如圖3所示。

圖2 常規(guī)水電站監(jiān)控系統(tǒng)示意

圖3 常規(guī)水電站安全防護(hù)示意

(2)智能化水電站安全防護(hù)設(shè)計(jì)

在智能化水電站中最大的變化在單元層。智能化水電站已經(jīng)實(shí)現(xiàn)了去中心化及扁平化，各設(shè)備之間通過(guò)廠站層網(wǎng)和過(guò)程層網(wǎng)之間進(jìn)行通信，各設(shè)備不再集中或者串行部署，而采用分布式部署的方式，如圖4所示。

圖4 智能化水電站示意

在分布式部署模式下工控防火墻已經(jīng)無(wú)法對(duì)單元層設(shè)備進(jìn)行防護(hù)，因此需要轉(zhuǎn)換安全防護(hù)思路，從區(qū)域邊界訪問(wèn)控制變?yōu)榉植际奖O(jiān)測(cè)、聯(lián)動(dòng)訪問(wèn)控制，從而實(shí)現(xiàn)安全防護(hù)的目的。

在廠站層網(wǎng)和過(guò)程層網(wǎng)的網(wǎng)絡(luò)交換節(jié)點(diǎn)部署工控安全監(jiān)測(cè)設(shè)備，監(jiān)測(cè)生產(chǎn)控制區(qū)的所有交換流量，工控安全監(jiān)測(cè)設(shè)備采用攻擊規(guī)則檢測(cè)+業(yè)務(wù)白名單兩種方式，對(duì)工業(yè)控制網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包進(jìn)行相應(yīng)的行為匹配，及時(shí)發(fā)現(xiàn)來(lái)自生產(chǎn)網(wǎng)內(nèi)外部攻擊威脅。一旦確定安全威脅，工控安全監(jiān)測(cè)設(shè)備立即與生產(chǎn)控制區(qū)邊界工控防火墻聯(lián)動(dòng)，及時(shí)對(duì)安全威脅進(jìn)行處置。同時(shí)生產(chǎn)控制區(qū)邊界工控防火墻借助網(wǎng)絡(luò)白名單功能對(duì)通信報(bào)文進(jìn)行過(guò)濾，在區(qū)域邊界進(jìn)行隔離，防范來(lái)自外來(lái)區(qū)域的安全風(fēng)險(xiǎn)。

同時(shí)，在IDMZ區(qū)部署工控漏掃承擔(dān)對(duì)生產(chǎn)網(wǎng)中非運(yùn)行狀態(tài)以及未上線前主機(jī)、應(yīng)用以及控制器的脆弱性掃描，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)脆弱性的識(shí)別。掃描結(jié)果通過(guò) SYSLOG 或 SNMP 將日志上傳至工控大數(shù)據(jù)態(tài)勢(shì)感知系統(tǒng)。部署工控大數(shù)據(jù)態(tài)勢(shì)感知系統(tǒng)，工控大數(shù)據(jù)態(tài)勢(shì)感知系統(tǒng)是安全態(tài)勢(shì)分析體系的重要組成部分，承擔(dān)態(tài)勢(shì)感知分析存儲(chǔ)以及展示部分，通過(guò)安全大數(shù)據(jù)建模分析，幫助安全技術(shù)人員及管理人員看清現(xiàn)在遭受的網(wǎng)絡(luò)威脅，并對(duì)防護(hù)策略進(jìn)行評(píng)估，通過(guò)對(duì)業(yè)務(wù)的全流量監(jiān)控，可在檢測(cè)攻擊，還原被攻擊場(chǎng)景，對(duì)攻擊流量成分、攻擊時(shí)間等進(jìn)行詳細(xì)描述，對(duì)業(yè)務(wù)影響進(jìn)行有效評(píng)估。

部署工控主機(jī)衛(wèi)士系統(tǒng)，工控主機(jī)衛(wèi)士系統(tǒng)管理端部署于運(yùn)維管理區(qū)域，客戶(hù)端部署于生產(chǎn)網(wǎng)上位機(jī)、服務(wù)器、采集終端等PC，通過(guò)對(duì)終端運(yùn)行進(jìn)程、服務(wù)等以白名單方式進(jìn)行識(shí)別，策略范圍外進(jìn)程、服務(wù)禁用。在服務(wù)器上對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行授權(quán)，非授權(quán)介質(zhì)從驅(qū)動(dòng)層面禁用。

2.2.2 管理信息大區(qū)設(shè)計(jì)

在智能化水電站的設(shè)計(jì)中，管理信息大區(qū)與常規(guī)水電站沒(méi)有太大的變化，因此安全防護(hù)手段亦無(wú)太大變化。根據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求統(tǒng)一部署防火墻、IDS、惡意代碼防護(hù)系統(tǒng)及桌面終端控制系統(tǒng)等通用安全防護(hù)設(shè)施，如圖5所示。

圖5 智能化水電站安全防護(hù)系統(tǒng)示意

在管理信息大區(qū)邊界部署下一代防火墻，同時(shí)在下一代防火墻上開(kāi)啟防病毒、入侵防御、應(yīng)用識(shí)別功能模塊，實(shí)現(xiàn)區(qū)域邊界的病毒防護(hù)、入侵防護(hù)及檢測(cè)和應(yīng)用控制功能。

部署EDR及終端管控系統(tǒng)，EDR及終端管控系統(tǒng)管理端部署于運(yùn)維管理區(qū)域，客戶(hù)端部署于PC終端上，實(shí)現(xiàn)對(duì)終端運(yùn)行進(jìn)程、服務(wù)等以白名單方式進(jìn)行識(shí)別，策略范圍外進(jìn)程、服務(wù)禁用，病毒檢測(cè)及防護(hù)等功能。客戶(hù)端部署于服務(wù)器上對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行授權(quán)，非授權(quán)介質(zhì)從驅(qū)動(dòng)層面禁用，病毒檢測(cè)及防護(hù)等功能。

在管理信息大區(qū)與生產(chǎn)控制大區(qū)邊界部署兩套電力專(zhuān)用橫向單向隔離裝置，生產(chǎn)控制區(qū)域與電力調(diào)度系統(tǒng)之間部署電力專(zhuān)用縱向加密認(rèn)證裝置，實(shí)現(xiàn)區(qū)域邊界安全隔離。

3 結(jié) 論

本文研究結(jié)果表明，通過(guò)構(gòu)建智能化水電站信息安全防護(hù)體系，可以帶來(lái)以下經(jīng)濟(jì)和社會(huì)效益：

(1)滿足網(wǎng)絡(luò)安全法、等級(jí)保護(hù)2.0等政策法規(guī)要求，從政策合規(guī)性層面保障企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全；

(2)在保證智能化水電站安全、穩(wěn)定運(yùn)行的同時(shí)，提升企業(yè)工業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性和安全性；

(3)保障生產(chǎn)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)私密性，避免企業(yè)相關(guān)信息、關(guān)鍵參數(shù)、隱私信息泄漏。