高建偉，何曉亮，馬依文

（華東桐柏抽水蓄能發(fā)電有限責(zé)任公司，浙江天臺(tái)317200）

抽水蓄能電站工控系統(tǒng)安全防護(hù)探討

高建偉，何曉亮，馬依文

（華東桐柏抽水蓄能發(fā)電有限責(zé)任公司，浙江天臺(tái)317200）

當(dāng)前抽水蓄能電站機(jī)組啟停廣泛采用SCADA系統(tǒng)進(jìn)行控制，而抽水蓄能電站在電網(wǎng)中承擔(dān)日益繁重的調(diào)峰填谷的任務(wù)，抽蓄電站工控系統(tǒng)一旦出現(xiàn)風(fēng)險(xiǎn)而癱瘓，將影響電網(wǎng)的平穩(wěn)運(yùn)行。本文分析了抽水蓄能電站工控系統(tǒng)目前存在的安全威脅，并介紹了相應(yīng)的安全防護(hù)方案。該方案詳細(xì)介紹了如何在運(yùn)行的電力監(jiān)控系統(tǒng)中部署統(tǒng)一管理平臺(tái)、日志審計(jì)系統(tǒng)及入侵檢測裝置；以及如何實(shí)現(xiàn)對工控系統(tǒng)的實(shí)時(shí)監(jiān)測、監(jiān)控及告警。

工控系統(tǒng)；統(tǒng)一管理平臺(tái)；白名單；入侵檢測

1 引言

電力監(jiān)控系統(tǒng)是隨著現(xiàn)代大型發(fā)電廠機(jī)組自動(dòng)化的不斷提高和過程控制要求的日益復(fù)雜應(yīng)運(yùn)而生的綜合控制系統(tǒng)，它是計(jì)算機(jī)技術(shù)、系統(tǒng)控制技術(shù)、網(wǎng)絡(luò)通訊技術(shù)和多媒體技術(shù)相結(jié)合的產(chǎn)物，可提供窗口友好的人機(jī)界面和強(qiáng)大的通訊功能。是實(shí)現(xiàn)機(jī)組運(yùn)行過程控制、過程管理的現(xiàn)代化設(shè)備。

抽水蓄能電站在電網(wǎng)中承擔(dān)日益繁重的調(diào)峰填谷的任務(wù)，對電網(wǎng)的平穩(wěn)運(yùn)行有著重要的作用。隨著技術(shù)的發(fā)展，當(dāng)前抽水蓄能電站電力監(jiān)控系統(tǒng)廣泛采用SCADA系統(tǒng)進(jìn)行機(jī)組啟停的控制。做好電力監(jiān)控系統(tǒng)的安全防護(hù)，對抽水蓄能電站的正常運(yùn)行有著至關(guān)重要的作用。

2 桐柏工控系統(tǒng)存在的問題與加固措施

桐柏公司電力監(jiān)控系統(tǒng)，遵循“安全、可靠、先進(jìn)、開放、經(jīng)濟(jì)、實(shí)時(shí)、實(shí)用”的原則，按照“無人值班、少人值守”的原則進(jìn)行設(shè)計(jì)和配置，采用以計(jì)算機(jī)監(jiān)控為主，簡易常規(guī)控制為輔的監(jiān)控方式。系統(tǒng)結(jié)構(gòu)采用全智能、全開放、分層分布式模塊化可配置冗余結(jié)構(gòu)（數(shù)據(jù)庫及功能分布等），以“分層管理、集中控制”為原則保證系統(tǒng)的互操作性、可擴(kuò)展性和可移植性。整個(gè)系統(tǒng)共分兩層：電廠控制層和現(xiàn)地控制層，是一個(gè)完整的實(shí)時(shí)閉環(huán)控制系統(tǒng)。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合，抽水蓄能電站工控系統(tǒng)已經(jīng)廣泛的采用通用協(xié)議、通用硬件和軟件，以多種不同方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工控系統(tǒng)蔓延，工控系統(tǒng)信息安全問題日益突出。尤其是2010年震驚全球的“震網(wǎng)”病毒事件之后，相繼出現(xiàn)“毒區(qū)”、“火焰”等超級病毒，能源行業(yè)首當(dāng)其沖成為攻擊的目標(biāo)。抽水蓄能電站作為電網(wǎng)中重要的調(diào)峰填谷節(jié)點(diǎn)，其工控系統(tǒng)也將面臨越來越多的威脅。

2.1.力監(jiān)控系統(tǒng)的威脅分析

2.1.1.理安全

桐柏電站電力監(jiān)控系統(tǒng)機(jī)房由于建設(shè)時(shí)間較早，設(shè)計(jì)初期缺少相關(guān)管理?xiàng)l例參考，因此在物理位置的選擇、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)方面滿足《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》S2A3G3相應(yīng)測評項(xiàng)要求；但仍存在部分測評項(xiàng)不滿足要求，具體為：

（1）物理訪問控制

機(jī)房與監(jiān)控室隔離，重要區(qū)域（SCADA服務(wù)器與工作站之間）并未使用物理隔斷方式隔離。

（2）防盜竊和防破壞

目前系統(tǒng)機(jī)房可通過視頻、門禁感應(yīng)報(bào)警等技術(shù)手段實(shí)現(xiàn)防盜報(bào)警，但視頻存在監(jiān)控死角且未利用紅外光、電等技術(shù)手段防盜。

（3）防火

1）機(jī)房、操作間墻壁、地板、天花板等均采用了具有耐火等級的建筑材料，但窗簾不滿足防火要求。

2）系統(tǒng)關(guān)鍵設(shè)備未與其他設(shè)備之間有明顯區(qū)域。

（4）防水和防潮

地板下未安裝水敏感的檢測元件，不能夠?qū)C(jī)房空調(diào)周圍進(jìn)行防水檢測和報(bào)警。

（5）溫濕度控制

機(jī)房使用普通空調(diào)，能保證溫度在正常范圍，室內(nèi)濕度低容易產(chǎn)生靜電。

2.1.2.機(jī)安全

SCADA主機(jī)在身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范方面、資源控制方面均存在部分測評項(xiàng)不滿足《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》S2A3G3相應(yīng)要求，具體為：

（1）身份鑒別

遠(yuǎn)程連接未強(qiáng)制使用加密措施。

（2）訪問控制

1）操作系統(tǒng)未關(guān)閉不需要的端口（135、445），未關(guān)閉文件共享。未開啟本地防火墻對資源進(jìn)行控制。

2）操作系統(tǒng)未重命名administrator賬戶。

（3）安全審計(jì)

1）未開啟操作系統(tǒng)審計(jì)功能。

2）無綜合審計(jì)系統(tǒng)，無法生成審計(jì)報(bào)表。

（4）入侵防范

操作系統(tǒng)存在多余組件和應(yīng)用程序，補(bǔ)丁更新不及時(shí)。

（5）惡意代碼防范

未安裝殺毒軟件。

（6）資源控制

防火墻已關(guān)閉，未限制管理登錄地址。

數(shù)據(jù)庫CAE主機(jī)在身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制方面均存在部分測評項(xiàng)不滿足《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》S2A3G3相應(yīng)要求，具體為：

（1）身份鑒別

1）數(shù)據(jù)庫密碼為8位以上，由數(shù)字、字母和符號組成，但未設(shè)置密碼復(fù)雜度校驗(yàn)。

2）未配置登錄失敗處理功能。

（2）訪問控制

操作系統(tǒng)未關(guān)閉不需要的端口（135、445），未關(guān)閉文件共享。未開啟本地防火墻對資源進(jìn)行控制。

（3）安全審計(jì)

1）審計(jì)記錄無法保證不被修改覆蓋。

2）未部署第三方審計(jì)系統(tǒng)，不能對記錄數(shù)據(jù)進(jìn)行自動(dòng)分析和生成審計(jì)報(bào)表。

（4）入侵防范

操作系統(tǒng)存在多余組件和應(yīng)用程序，補(bǔ)丁更新不及時(shí)。

（5）惡意代碼防范

未安裝殺毒軟件。

（6）資源控制

數(shù)據(jù)庫未設(shè)置終端登錄超時(shí)。

2.1.3.絡(luò)安全

I區(qū)交換機(jī)基本滿足《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》S2A3G3相應(yīng)要求；但仍存在部分測評項(xiàng)不滿足要求，具體為：

（1）訪問控制

在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)接口處未限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。

（2）安全審計(jì)

1）生產(chǎn)控制大區(qū)未部署集中審計(jì)設(shè)備，設(shè)備不支持生成審計(jì)報(bào)表功能。

2）日志本地存放，存在不可預(yù)期的覆蓋和掉電丟失的可能。

（3）網(wǎng)絡(luò)設(shè)備防護(hù)

1）未對網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理地址進(jìn)行限制。

2）未部署兩種或兩種以上組合鑒別技術(shù)。

3）設(shè)備標(biāo)識(shí)唯一，用戶標(biāo)識(shí)唯一,未禁止多個(gè)人員共用一個(gè)賬號。

4）交換機(jī)的口令長度大于8位，由字母、數(shù)字和符號組成，滿足口令復(fù)雜度要求，并密文存儲(chǔ)；但口令未定期更換。

5）交換機(jī)使用http遠(yuǎn)程管理交換機(jī)，http為明文傳輸協(xié)議，不能防止鑒別的信息在傳輸過程中被偷聽。

6）未關(guān)閉不需要的網(wǎng)絡(luò)端口和服務(wù)，snmp團(tuán)體名稱為Public未修改。

（4）惡意代碼防范

網(wǎng)絡(luò)邊界無惡意代碼檢測系統(tǒng)。

I/II區(qū)防火墻基本滿足《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》S2A3G3相應(yīng)要求；但仍存在部分測評項(xiàng)不滿足要求，具體為：

（1）訪問控制

在網(wǎng)絡(luò)出口和核心網(wǎng)絡(luò)接口處未限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。

（2）安全審計(jì)

1）生產(chǎn)控制大區(qū)未部署集中審計(jì)設(shè)備，設(shè)備不支持生成審計(jì)報(bào)表功能。

2）日志本地存放，存在不可預(yù)期的覆蓋和掉電丟失的可能。

（3）網(wǎng)絡(luò)設(shè)備防護(hù)

1）未對網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理地址進(jìn)行限制。

2）未部署兩種或兩種以上組合鑒別技術(shù)。

3）設(shè)備標(biāo)識(shí)唯一，用戶標(biāo)識(shí)唯一,未禁止多個(gè)人員共用一個(gè)賬號。

4）防火墻的口令長度等于8位，console用戶名和密碼出廠默認(rèn)值，由字母組成，未滿足口令復(fù)雜度要求且未定期更改。

5）未關(guān)閉不需要的網(wǎng)絡(luò)端口和服務(wù)。

（4）惡意代碼防范

網(wǎng)絡(luò)邊界無惡意代碼檢測系統(tǒng)。

2.1.4.用安全

桐柏電站電力監(jiān)控系統(tǒng)在安全審計(jì)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)方面均滿足《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》S2A3G3相應(yīng)要求；在身份鑒別、訪問控制、資源控制方面均存在部分測評項(xiàng)不滿足《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》S2A3G3相應(yīng)要求，具體為：

（1）身份鑒別

1）應(yīng)用系統(tǒng)無口令長度限制，無字母加數(shù)字組合要求，對復(fù)雜度無限制。

2）應(yīng)用系統(tǒng)無登錄失敗處理功能，可以持續(xù)嘗試登錄。

3）系統(tǒng)對身份鑒別、用戶身份標(biāo)識(shí)唯一性進(jìn)行檢查，但是無用戶信息復(fù)雜度進(jìn)行檢驗(yàn)以及無配置登錄失敗處理功能。

（2）訪問控制

應(yīng)用系統(tǒng)存在管理賬號且未限制默認(rèn)賬號的訪問權(quán)限。

（3）資源控制

1）系統(tǒng)操作控制臺(tái)暫未設(shè)置最大并發(fā)會(huì)話連接數(shù)限制。

2）系統(tǒng)不具備根據(jù)業(yè)務(wù)緊急情況及用戶請求，為帳戶或進(jìn)程占用的資源分配最大和最小限額的功能。

2.2.力監(jiān)控系統(tǒng)安全防護(hù)加固方案

2.2.1.理安全加固

（1）中控樓計(jì)算機(jī)房加裝艾默生精密空調(diào)，適合機(jī)房主設(shè)備散熱特點(diǎn)，為機(jī)房各設(shè)備提供連續(xù)穩(wěn)定的溫濕度環(huán)境。并能實(shí)時(shí)監(jiān)測室內(nèi)環(huán)境溫濕度，如超出設(shè)定值及時(shí)報(bào)警。

（2）增加機(jī)房動(dòng)環(huán)及網(wǎng)絡(luò)一體化監(jiān)控系統(tǒng)，通過對環(huán)境、動(dòng)力、消防、保安、服務(wù)器、網(wǎng)絡(luò)設(shè)備、鏈路等進(jìn)行監(jiān)控建設(shè)，對機(jī)房內(nèi)的溫濕度、市電、煙霧、漏水、安防、服務(wù)器、網(wǎng)絡(luò)設(shè)備、鏈路等建立一套較完整的機(jī)房動(dòng)力監(jiān)控、環(huán)境監(jiān)控、安全防范監(jiān)控、服務(wù)器監(jiān)控、網(wǎng)絡(luò)監(jiān)控的管理體系，建立統(tǒng)一、規(guī)范、面向業(yè)務(wù)的監(jiān)控指標(biāo)體系，通過數(shù)據(jù)整合工具實(shí)現(xiàn)監(jiān)控?cái)?shù)據(jù)的集中統(tǒng)一管理。

2.2.2.機(jī)安全加固

（1）安裝瑞星殺毒軟件（企業(yè)版），并使用WSUS或從http://www.microsoft.com/china下載最新的安裝補(bǔ)丁，將補(bǔ)丁文件進(jìn)行殺毒軟件掃描后在目標(biāo)主機(jī)上進(jìn)行離線安裝，安裝完畢后進(jìn)行白名單掃描并固化。

（2）設(shè)置強(qiáng)登錄口令、刪除多余賬戶、禁用Guest賬戶。修改密碼策略，密碼策略啟用后立即更改系統(tǒng)管理員密碼以及其他所有用戶的密碼，密碼必須由大小寫字母、數(shù)字、特殊符號組成。密碼在180 d內(nèi)必須進(jìn)行更改，更改時(shí)注意最近使用過的3個(gè)密碼無效。

（3）關(guān)閉非必須服務(wù)，包括：

Alerter遠(yuǎn)程發(fā)送警告信息

Computer Browser維護(hù)網(wǎng)絡(luò)上更新的計(jì)算機(jī)清單

DHCP Client

Messenger允許網(wǎng)絡(luò)之間互相傳送提示信息的功能

remote Registry遠(yuǎn)程管理注冊表

PrintSpooler打印機(jī)服務(wù)

Task Scheduler計(jì)劃任務(wù)

SNMP簡單網(wǎng)管協(xié)議

（4）在電力監(jiān)控系統(tǒng)一區(qū)各主機(jī)安裝威努特工控可信衛(wèi)士，并由統(tǒng)一管理平臺(tái)集中管理各主機(jī)。在初次安裝軟件后，對主機(jī)進(jìn)行全盤掃描，此過程掃描到的本地磁盤所有可執(zhí)行文件生產(chǎn)數(shù)字簽名，并創(chuàng)建白名單數(shù)據(jù)庫。統(tǒng)一管理平臺(tái)實(shí)時(shí)監(jiān)測系統(tǒng)內(nèi)各主機(jī)運(yùn)行情況，當(dāng)某主機(jī)執(zhí)行非白名單內(nèi)的可執(zhí)行文件、用戶對移動(dòng)存儲(chǔ)的訪問權(quán)限違規(guī)時(shí)，該平臺(tái)將會(huì)產(chǎn)生實(shí)時(shí)報(bào)警。

2.2.3.絡(luò)安全加固

（1）在電力監(jiān)控系統(tǒng)一區(qū)核心交換機(jī)做鏡像端口，在鏡像端口加裝工控安全監(jiān)測與審計(jì)系統(tǒng)，支持網(wǎng)絡(luò)連接狀態(tài)檢測、工業(yè)協(xié)議深度解析、工業(yè)協(xié)議規(guī)約檢測、全網(wǎng)流量歷史數(shù)據(jù)審計(jì)、網(wǎng)絡(luò)異常檢測、工業(yè)關(guān)鍵事件檢測、用戶自定義規(guī)則告警、工業(yè)協(xié)議無流量檢測。

該系統(tǒng)采用旁路部署，對電站機(jī)組運(yùn)行過程“零風(fēng)險(xiǎn)”，基于對工業(yè)控制協(xié)議（如modbus TCP、OPC、DNP3、IEC 60870-5-104等）的通信報(bào)文進(jìn)行深度解析（DPI、Deep packet inspection），能夠?qū)崟r(shí)檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播并實(shí)時(shí)報(bào)警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供基礎(chǔ)。

（2）在電力監(jiān)控系統(tǒng)一區(qū)核心交換機(jī)與保護(hù)信息子站之間加裝可信網(wǎng)關(guān)（防火墻），由統(tǒng)一管理平臺(tái)進(jìn)行配置管理。管理員可在任意聯(lián)通到組態(tài)管理平臺(tái)的設(shè)備上進(jìn)行訪問和管理。網(wǎng)關(guān)硬件經(jīng)過CE、CC和FCC等業(yè)內(nèi)頂級標(biāo)準(zhǔn)認(rèn)證，可以穩(wěn)定長期不間斷運(yùn)行，減少用戶系統(tǒng)停車時(shí)間。

網(wǎng)關(guān)軟件采用自主可控的架構(gòu)設(shè)計(jì)，各主要功能模塊互相配合，對流通在電力監(jiān)控網(wǎng)絡(luò)中的所有數(shù)據(jù)進(jìn)行全方位的解析、判斷和控制，能有效保障用戶正常數(shù)據(jù)的傳輸，完全杜絕非法數(shù)據(jù)和病毒在客戶工控網(wǎng)絡(luò)中的分散和傳播。

（3）在工控安全審計(jì)探針后加裝上元信安入侵防御系統(tǒng)，該產(chǎn)品站在應(yīng)用的視角，將應(yīng)用中的異常行為、異常流量也作為威脅的一種有效防護(hù)，對于未知的威脅以及日益盛行的高級持續(xù)威脅會(huì)送往云端進(jìn)一步分析，形成對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)性能、云端安全的全面立體防護(hù)。

2.2.4.用安全加固

（1）在電力監(jiān)控系統(tǒng)一區(qū)各主機(jī)安裝威努特工控可信衛(wèi)士，并由統(tǒng)一管理平臺(tái)集中管理。在初次安裝該軟件后，會(huì)對主機(jī)進(jìn)行一次全盤掃描，此過程掃描到的本地磁盤所有可執(zhí)行文件生產(chǎn)數(shù)字簽名，自動(dòng)生成白名單庫文件，并顯示可執(zhí)行文件的數(shù)量以及生成白名單庫的時(shí)間。待全盤掃描完成后才能開啟系統(tǒng)安全防護(hù)。開啟后，任何不在白名單內(nèi)的可執(zhí)行文件都將被阻止運(yùn)行。

（2）對登陸SCADA系統(tǒng)用戶設(shè)置來賓、操作員、管理員3類權(quán)限賬戶。其中，來賓賬戶用于地下廠房監(jiān)控主機(jī)和日常工程師站主機(jī)，作為機(jī)組信號監(jiān)視客戶端；操作員賬戶用于中控室操作員站，作為機(jī)組啟停發(fā)令客戶端；管理員賬戶正常情況下不允許登陸使用，只有經(jīng)過授權(quán)的監(jiān)控系統(tǒng)專業(yè)人員可以登陸修改SCADA系統(tǒng)設(shè)置。對操作員權(quán)限設(shè)置多個(gè)賬戶，每一個(gè)具備中控室值守資格的人員分配一個(gè)單獨(dú)賬戶。

3 結(jié)論

隨著抽水蓄能電站在電網(wǎng)中承擔(dān)的任務(wù)越來重，保障電站工控系統(tǒng)的安全運(yùn)行，對于電網(wǎng)以及社會(huì)的正常運(yùn)轉(zhuǎn)有著重大的意義。在當(dāng)前新形勢下，如何對工控系統(tǒng)進(jìn)行防護(hù)，防止來自內(nèi)部、外部的安全威脅和惡意攻擊，是工控安全領(lǐng)域面臨的重大挑戰(zhàn)。本文通過分析桐柏電站在等保測評期間發(fā)現(xiàn)的問題，并詳細(xì)介紹了相應(yīng)的加固方案，解決了早期建設(shè)電站監(jiān)控系統(tǒng)普遍存在的安全防護(hù)能力不足的問題。為運(yùn)行中的大中型抽蓄電站工控系統(tǒng)安全加固，提供了可靠的實(shí)踐基礎(chǔ)。

[1]李?yuàn)C林.電力工控系統(tǒng)安全面臨的威脅與對策[J].信息安全與通信保密，2014(6):62-63.

[2]王文宇，劉玉紅.工控系統(tǒng)安全威脅分析及防護(hù)研究[J].信息安全與通信保密，2012(2):33-35.

[3]王琦魁，李昕，趙甫.工控系統(tǒng)信息安全與加工網(wǎng)絡(luò)防護(hù)方案研究[J].信息網(wǎng)絡(luò)安全，2014（9）：120-122.

[4]張五一，李圣泉.能源行業(yè)工控系統(tǒng)信息安全分析與防護(hù)[J].信息安全與通信保密，2015(4):41-44.

[5]W IS-工控安全監(jiān)測與審計(jì)系統(tǒng)使用指南_V2.0-201511 [Z].

[6]電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求[Z].

TV736

B

1672-5387（2017）09-0063-04

10.13599/j.cnki.11-5130.2017.09.022

2017-06-19

高建偉（1992-），男，助理工程師，從事抽水蓄能電站自動(dòng)化專業(yè)運(yùn)維工作。