華光潭水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護建設研究

傅水祥

（浙江浙能華光潭水力發(fā)電有限公司，浙江 杭州 310000）

0 引言

傳統(tǒng)電力企業(yè)建設及電力生產(chǎn)系統(tǒng)最初設計大多以實時生產(chǎn)為主，隨著計算機信息網(wǎng)絡技術的高速發(fā)展，使得工控系統(tǒng)亦得到快速發(fā)展，尤其是電力系統(tǒng)數(shù)字化、智能化程度越來越高，但網(wǎng)絡信息安全事件不斷發(fā)生，如何有效防范網(wǎng)絡安全攻擊、提升電力監(jiān)控系統(tǒng)安全防護能力已逐漸成為電力行業(yè)重點深入研究的課題[1]，習總書記針對網(wǎng)絡信息安全等方面工作講話時，多次提出要求加強網(wǎng)絡安全預警監(jiān)測，感知網(wǎng)絡安全態(tài)勢，實現(xiàn)全方位感知和有效防護[2]。本文以華光潭水電廠為例，重點對安全防護方案的總體設計、態(tài)勢感知平臺部署等方面進行研究建設，提升電廠網(wǎng)絡安全防護能力。

1 概況

華光潭水電廠生產(chǎn)控制區(qū)部署有計算機監(jiān)控系統(tǒng)，其通過廠外通信服務器經(jīng)電力調(diào)制解調(diào)器與地方調(diào)度通信（CDT 規(guī)約），同時通過串口通信形式將數(shù)據(jù)傳送給水情測報系統(tǒng)和機組狀態(tài)監(jiān)測系統(tǒng)，無直接數(shù)據(jù)網(wǎng)絡形式連接；非控制區(qū)部署的電量系統(tǒng)、機組狀態(tài)監(jiān)測系統(tǒng)則是通過南瑞隔離裝置實現(xiàn)數(shù)據(jù)單向傳輸，將Ⅱ區(qū)采集數(shù)據(jù)發(fā)送至管理區(qū)WEB服務器。總體上，華光潭水電廠安全I 區(qū)計算機監(jiān)控系統(tǒng)一直以來與調(diào)度網(wǎng)、Ⅱ區(qū)系統(tǒng)均無直接數(shù)據(jù)網(wǎng)絡形式連接，Ⅱ區(qū)部分系統(tǒng)作為獨立系統(tǒng)運行，因此未在Ⅰ區(qū)、Ⅱ區(qū)布置防火墻、IDS、核心交換機等。為實現(xiàn)集團公司及可再生能源分公司信息化建設對生產(chǎn)數(shù)據(jù)的采集要求，以國家電力監(jiān)控各項規(guī)范及標準為依據(jù)，結(jié)合電廠計算機監(jiān)控系統(tǒng)改造實施，對整體防護進行總體設計、升級建設、強化部署，實現(xiàn)網(wǎng)絡安全防護全面覆蓋。

2 安全防護建設總體思路和架構(gòu)設計

華光潭水電廠電力監(jiān)控系統(tǒng)安全防護建設總體思路：按照國家能源局《電力監(jiān)控系統(tǒng)安全防護總體方案》（（國能安全）[2015]36 號文件）要求進行規(guī)劃設計，在滿足橫向隔離和縱向認證詳細要求的同時，實現(xiàn)生產(chǎn)控制大區(qū)的安全審計和管控、管理信息大區(qū)的安全隔離和防護。在電廠的邊界，采取各項技術手段，將眾多的安全威脅屏蔽在電力監(jiān)控系統(tǒng)的邊界之外；部署態(tài)勢感知系統(tǒng)，監(jiān)測感知生產(chǎn)工控系統(tǒng)實時動態(tài)，以便第一時間發(fā)現(xiàn)異常行為并及時告警；對各類服務器、工作站等設備部署統(tǒng)一防病毒軟件進行查殺，確保能夠穩(wěn)定、可靠運行，為整個水電廠的電力監(jiān)控系統(tǒng)營造安全可控的運行環(huán)境。

安全運行檢測：在 I/II 區(qū)部署入侵檢測設備 IDS進行風險實時監(jiān)測，部署態(tài)勢感知平臺對各類數(shù)據(jù)流量，包括給主機、安全設備等安全日志進行實時檢測分析。

行為安全審計：部署運維安全審計系統(tǒng)（堡壘機），統(tǒng)一身份認證，規(guī)范運維訪問的統(tǒng)一入口，對運維人員和服務器、網(wǎng)絡設備、安全設備等的操作行為進行監(jiān)控和記錄，可提供精準的責任認定和時間追溯，確保用戶的行為符合安全管理規(guī)范；在管理信息區(qū)部署上網(wǎng)行為管理系統(tǒng)，強化上網(wǎng)行為的管控。

主機安全防護：管理信息大區(qū)終端權全面部署防病毒軟件，通過統(tǒng)一服務器進行在線實時升級病毒庫；對生產(chǎn)大區(qū)主機強化惡意代碼防護，對工控系統(tǒng)操作員站、工程師站等主機外接設備進行管控，封閉未使用的 USB 接口等。

安全防護總體架構(gòu)設計如圖1 所示，主要安全防護設備如表1 所示。

圖1 華光潭梯級水電站電力監(jiān)控系統(tǒng)安全防護架構(gòu)

華光潭水電廠安全Ⅰ區(qū)與上級集控中心之間冗余雙通道部署，包括雙套縱向加密裝置、雙套連接交換機、雙通信機及雙數(shù)據(jù)網(wǎng)關機；安全Ⅰ區(qū)保持串口通信方式通過廠外通信服務器經(jīng)電力調(diào)制解調(diào)器以101 規(guī)約與調(diào)度通信[3]；安全Ⅰ區(qū)冗余部署雙套核心交換機、入侵檢測設備IDS，安全Ⅰ區(qū)與安全Ⅱ區(qū)之間部署防火墻。

安全Ⅱ區(qū)與上級集控中心之間冗余部署雙套縱向加密裝置，對業(yè)務數(shù)據(jù)進行加密，提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?；安全II 區(qū)冗余部署雙套核心交換機、入侵檢測設備IDS、日志審計裝置，安全Ⅱ區(qū)與管理信息大區(qū)之間部署橫向隔離裝置（正向）。

管理信息區(qū)以落實互聯(lián)網(wǎng)邊界安全與上級管理公司的廣域網(wǎng)安全為主，與上級管理公司廣域網(wǎng)之間冗余部署兩套路由器、防火墻和核心交換機，在外網(wǎng)邊界則設置防火墻、入侵防御設備等信息安全設備，同時在各終端設備上統(tǒng)一部署防病毒軟件等。

3 信息安全態(tài)勢感知平臺建設

態(tài)勢感知具備網(wǎng)絡空間安全持續(xù)監(jiān)控能力，能夠全面感知網(wǎng)絡安全威脅態(tài)勢、洞悉網(wǎng)絡及應用運行健康狀態(tài)，能夠及時發(fā)現(xiàn)各種攻擊威脅與異常，特別是針對性攻擊；通過全流量分析技術可以對威脅相關的影響范圍、攻擊路徑、目的、手段進行快速判別來實現(xiàn)完整的網(wǎng)絡攻擊溯源取證，從而支撐有效的安全決策和響應，幫助安全人員采取針對性處置措施；能夠建立安全預警機制，全面掌握攻擊者技術手段、攻擊目的等信息情報，完善風險控制、應急響應和防御體系，全面提升整體安全防護水平。

華光潭水電廠的態(tài)勢感知平臺部署建設以主要以覆蓋全廠非涉網(wǎng)測的生產(chǎn)及管理相關業(yè)務系統(tǒng)為原則，采用獨立組網(wǎng)的方式，進行數(shù)據(jù)采集和單向傳輸，安全信息流量日志采集主要采用兩種模式，一種是采集流量數(shù)據(jù)（采集交換機需支持鏡像配置），另外一種則是采集各主機、安全及網(wǎng)絡通信設備的日志。流量采集主要針對數(shù)據(jù)交互的原始流量，采集接入以核心交換機或者根交換機為對象，通過交換機配置鏡像方式實現(xiàn)；主機日志則是通過安裝Agent采集主機事件日志進行行為安全審計，安全及網(wǎng)絡設備的日志經(jīng)授權管理密碼從而采集設備日志監(jiān)測其行為和告警。主要組網(wǎng)架構(gòu)情況如圖1 中所示，主要設備配置見表2。

表2 態(tài)勢感知平臺主要設備配置情況

3.1 詳細采集情況設計

安全Ⅰ區(qū)重點采集核心交換機的syslog 日志與鏡像流量，對核心交換機配置鏡像功能與syslog 日志功能后，使用網(wǎng)線完成物理連接，并將數(shù)據(jù)傳輸至安全I 區(qū)流量日志分析系統(tǒng)。

安全Ⅰ區(qū)流量日志分析系統(tǒng)采集到數(shù)據(jù)后，系統(tǒng)將數(shù)據(jù)經(jīng)興唐單向隔離傳輸?shù)桨踩珔^(qū)交換機，分別將syslog 日志與鏡像流量發(fā)送至工控統(tǒng)一安全管理平臺（主、備雙機）進行數(shù)據(jù)分析，備平臺分析鏡像流量后，將分析結(jié)果發(fā)送至主平臺。

安全Ⅱ區(qū)重點采集核心交換機的鏡像流量，對Ⅱ區(qū)核心交換機配置鏡像功能后，通過網(wǎng)線與分析系統(tǒng)完成物理連接，并將數(shù)據(jù)傳輸至安全Ⅱ區(qū)流量日志分析系統(tǒng)。系統(tǒng)采集到數(shù)據(jù)后，系統(tǒng)將數(shù)據(jù)經(jīng)興唐單向隔離傳輸?shù)降桨踩珔^(qū)交換機，將鏡像流量發(fā)送至工控統(tǒng)一安全管理平臺（主、備雙機）進行數(shù)據(jù)分析，備平臺分析鏡像流量后，將分析結(jié)果發(fā)送至主平臺。

管理區(qū)重點采集辦公信息核心交換機的syslog日志與鏡像流量，配置鏡像功能與syslog 日志功能后，通過網(wǎng)線與安全III 區(qū)流量日志分析系統(tǒng)完成物理連接，并將數(shù)據(jù)傳輸至管理區(qū)流量日志分析系統(tǒng)。系統(tǒng)采集到數(shù)據(jù)后，系統(tǒng)將數(shù)據(jù)經(jīng)興唐單向隔離傳輸?shù)桨踩珔^(qū)交換機，分別將syslog 日志與鏡像流量發(fā)送至工控統(tǒng)一安全管理平臺（主、備雙機）進行數(shù)據(jù)分析，備平臺分析鏡像流量后，將分析結(jié)果發(fā)送至主平臺。

主平臺依次經(jīng)過VPN 安全網(wǎng)關、防火墻、VPDN將數(shù)據(jù)發(fā)送至中能云平臺。

3.2 采集鏈路調(diào)試方案

檢查態(tài)勢感知統(tǒng)一管理平臺中是否都有Ⅰ、Ⅱ、Ⅲ區(qū)安全流量日志分析系統(tǒng)發(fā)送過來的數(shù)據(jù)，如果沒有以此按Ⅲ、Ⅱ、Ⅰ區(qū)的順序檢查各個設備配置情況，步驟如下：

（1）斷開I、Ⅱ區(qū)設備，只連接Ⅲ區(qū)安全流量日志分析系統(tǒng)，檢查其日數(shù)據(jù)發(fā)送地址及IP 地址配置情況，檢查Ⅲ區(qū)交換機配置情況，確認沒有IP 地址沖突；

（2）斷開Ⅰ區(qū)設備，只連接Ⅱ、Ⅲ區(qū)安全流量日志分析系統(tǒng)，檢查Ⅱ區(qū)安全流量日志分析系統(tǒng)日數(shù)據(jù)發(fā)送地址及IP 地址配置情況，檢查Ⅱ區(qū)交換機配置情況，確認沒有IP 地址沖突；

（3） 檢查Ⅰ區(qū)安全流量日志分析系統(tǒng)日數(shù)據(jù)發(fā)送地址及IP 地址配置情況，檢查Ⅰ區(qū)交換機配置情況，確認沒有IP 地址沖突。

4 結(jié)束語

綜上所述，華光潭水電廠按照國家電力監(jiān)控系統(tǒng)16 字方針為基本原則進行整體構(gòu)架設計建設[4]，同時在此基礎上探索建設信息安全態(tài)勢感知平臺，推動信息網(wǎng)絡安全從“靜態(tài)布控、邊界監(jiān)視”向“實時管控、縱深防御”轉(zhuǎn)變。下一步電廠將持續(xù)深化安全防護建設，從管理上建立電廠電力監(jiān)控系統(tǒng)安全防護管理體系，明確各級職責，制定防護方案、開展應急演練，借助第三方安全檢測機構(gòu)定期開展等保定級測評及安全評估工作，全面提升了電廠電力監(jiān)控系統(tǒng)安全防護整體能力；后續(xù)將考慮實現(xiàn)電廠管理區(qū)內(nèi)外網(wǎng)隔離，從技術措施上進一步完善電廠網(wǎng)絡安全防護。