張繼康

(國(guó)網(wǎng)陜西省電力公司安康水力發(fā)電公司，陜西 安康 725000)

水電站二次系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案

張繼康

(國(guó)網(wǎng)陜西省電力公司安康水力發(fā)電公司，陜西 安康 725000)

介紹了安康水電站二次系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀，闡述了網(wǎng)絡(luò)安全防護(hù)的規(guī)劃、目標(biāo)和解決方案，并在此基礎(chǔ)上提出了一些建議，以促進(jìn)安康水電站二次系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作的實(shí)施與提升，保障水電站和陜西電網(wǎng)的安全穩(wěn)定運(yùn)行。

水電站；二次系統(tǒng)；網(wǎng)絡(luò)安全防護(hù)；安全分區(qū)

0 引言

安康水電站位于漢江干流上游，下游距安康市城區(qū)18 km，是漢江上游陜西省境內(nèi)7級(jí)梯級(jí)水電站開發(fā)中的第4級(jí)水電站，也是7級(jí)梯級(jí)水電站中調(diào)節(jié)能力最強(qiáng)、裝機(jī)容量最大的水電站。

該水電站于1978年開工建設(shè)，機(jī)組于1992年全部并網(wǎng)發(fā)電。電站最大壩高128 m，壩長(zhǎng)541.5 m，控制流域面積35 700 km2，水庫(kù)正常高水位330 m，水電站總庫(kù)容25.85×108m3。水電站總裝機(jī)800 MW，以3回330 kV出線與西安市和漢中市電網(wǎng)相連，7回110 kV出線與安康市電網(wǎng)連接，是陜西電網(wǎng)調(diào)峰、調(diào)頻和事故備用的主力電廠之一，肩負(fù)著安康市城區(qū)及下游城鎮(zhèn)防洪度汛的重任。

1 網(wǎng)絡(luò)安全防護(hù)方案的規(guī)劃及目標(biāo)

1.1 總體規(guī)劃

安康水電站結(jié)合現(xiàn)有自動(dòng)化系統(tǒng)現(xiàn)狀制定二次系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案。其總體規(guī)劃是：

(1) 在保證安康水電站網(wǎng)絡(luò)架構(gòu)原有業(yè)務(wù)功能的基礎(chǔ)上，增加4面服務(wù)器機(jī)柜、5臺(tái)服務(wù)器、1臺(tái)磁盤陣列以及通信光纜、網(wǎng)絡(luò)安全隔離與防護(hù);

(2) 在堅(jiān)固的安全網(wǎng)絡(luò)保護(hù)的基礎(chǔ)上，充分利用和挖掘網(wǎng)絡(luò)資源，增強(qiáng)企業(yè)局域網(wǎng)的信息處理和分析能力;

(3) 構(gòu)筑面向各信息子系統(tǒng)的綜合數(shù)據(jù)信息平臺(tái)，在硬件、軟件及數(shù)據(jù)庫(kù)方面提供各層的規(guī)范接口，保證目前已經(jīng)投運(yùn)的各個(gè)子系統(tǒng)能安全可靠地接入平臺(tái)，確保子系統(tǒng)之間能共享信息資源。

1.2 防護(hù)目標(biāo)

安康水電站二次系統(tǒng)安全防護(hù)的總目標(biāo)是：

(1) 防止水電站監(jiān)控系統(tǒng)服務(wù)的核心業(yè)務(wù)(即電力生產(chǎn))中斷；

(2) 防止水電站監(jiān)控系統(tǒng)崩潰；

(3) 抵御外部人員對(duì)水電站監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，以及可能對(duì)相連的調(diào)度自動(dòng)化系統(tǒng)造成的影響；

(4) 防止利用病毒/木馬等惡意程序，從水電站監(jiān)控系統(tǒng)局域網(wǎng)內(nèi)部發(fā)起的對(duì)電力生產(chǎn)及相連的調(diào)度自動(dòng)化系統(tǒng)的惡意破壞和攻擊；

(5) 保護(hù)水電站監(jiān)控系統(tǒng)的實(shí)時(shí)和歷史數(shù)據(jù)，防止數(shù)據(jù)被非授權(quán)修改。

2 網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀與防風(fēng)險(xiǎn)措施計(jì)劃

2.1 計(jì)算機(jī)監(jiān)控系統(tǒng)

安康水電站計(jì)算機(jī)監(jiān)控系統(tǒng)防護(hù)現(xiàn)狀與計(jì)劃增加的防風(fēng)險(xiǎn)措施如表1所示。

2.2 水庫(kù)調(diào)度自動(dòng)化系統(tǒng)(水情測(cè)報(bào)系統(tǒng))

安康水電站水庫(kù)調(diào)度自動(dòng)化系統(tǒng)已形成一個(gè)綜合性的數(shù)據(jù)庫(kù)，所涉及的功能模塊在多個(gè)安全區(qū)均有分布，和水庫(kù)調(diào)度自動(dòng)化系統(tǒng)交換數(shù)據(jù)的系統(tǒng)有：監(jiān)控自動(dòng)化系統(tǒng)(安全1區(qū))、電量計(jì)費(fèi)系統(tǒng)(安全2區(qū))、西北網(wǎng)調(diào)自動(dòng)化系統(tǒng)(安全3區(qū))、藺河口水調(diào)自動(dòng)化系統(tǒng)(安全3區(qū))、安康市防汛辦(安全3區(qū))、安康電廠后方通信科(安全3區(qū))、MIS(Management Information System，管理信息系統(tǒng))系統(tǒng)(安全3區(qū))等。

由于安康水電站水庫(kù)調(diào)度自動(dòng)化系統(tǒng)規(guī)模迅速擴(kuò)大，其初期的整體設(shè)計(jì)理念，已無(wú)法滿足目前網(wǎng)絡(luò)的整體安全要求，所以在網(wǎng)絡(luò)安全防范方面只能盡量分模塊進(jìn)行安全保護(hù)。

水庫(kù)調(diào)度自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀與計(jì)劃增加的防風(fēng)險(xiǎn)措施如表2所示。

3 網(wǎng)絡(luò)安全防護(hù)方案

3.1 二次系統(tǒng)安全防護(hù)總體方案

本方案根據(jù)安康水電站網(wǎng)絡(luò)現(xiàn)狀以及二次安全防護(hù)總體方案——水電站防護(hù)方案要求，結(jié)合網(wǎng)絡(luò)及業(yè)務(wù)需求，對(duì)各應(yīng)用系統(tǒng)進(jìn)行了合理的安全分區(qū)，安康水電站二次系統(tǒng)安全防護(hù)方案如圖1所示。方案分為以下幾個(gè)部分。

(1) 生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的橫向隔離。位于控制區(qū)(安全1區(qū))的機(jī)組監(jiān)控系統(tǒng)與MIS系統(tǒng)通過(guò)1臺(tái)單比特正向隔離裝置互聯(lián)，也可冗余配置2臺(tái)裝置，互為備用，實(shí)現(xiàn)安全1區(qū)與管理信息大區(qū)之間的安全隔離。由于不存在反向業(yè)務(wù)，所以2區(qū)之間無(wú)需部署反向隔離裝置。

(2) 正、反向隔離。位于非控制區(qū)(安全2區(qū))的水調(diào)自動(dòng)化系統(tǒng)、電量計(jì)費(fèi)系統(tǒng)、內(nèi)網(wǎng)數(shù)據(jù)中心與管理信息大區(qū)系統(tǒng)的外網(wǎng)數(shù)據(jù)中心、MIS系統(tǒng)之間通過(guò)1臺(tái)(或2臺(tái)，冗余配置)正向隔離裝置和1臺(tái)反向隔離裝置(或2臺(tái)，冗余配置)，其中因?yàn)閮?nèi)、外網(wǎng)數(shù)據(jù)中心需要數(shù)據(jù)雙向互傳文件，故在此部署反向隔離裝置。

表1 計(jì)算機(jī)監(jiān)控系統(tǒng)防護(hù)現(xiàn)狀與計(jì)劃增加的防風(fēng)險(xiǎn)措施

表2 水庫(kù)調(diào)度自動(dòng)化系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀與計(jì)劃增加的防風(fēng)險(xiǎn)措施

本方案中所有隔離裝置為了配合應(yīng)用應(yīng)答，從物理層實(shí)現(xiàn)外網(wǎng)到內(nèi)網(wǎng)1 bit。因此所有應(yīng)用系統(tǒng)的外網(wǎng)服務(wù)器程序只能返回1 bit的應(yīng)答給內(nèi)網(wǎng)客戶端程序，同時(shí)規(guī)定11 bit的內(nèi)容只能有2種狀態(tài)：0和1，分別用1 byte 0和255表示。應(yīng)用程序只允許TCP(Transmission Control Protocol，傳輸控制協(xié)議)和UDP(Open System Interconnection，開放式系統(tǒng)互聯(lián))應(yīng)用，推薦使用UDP。要求安全1區(qū)各應(yīng)用系統(tǒng)及MIS系統(tǒng)通信服務(wù)程序由相關(guān)開發(fā)廠商進(jìn)行相應(yīng)的改動(dòng)。

(3) 生產(chǎn)控制大區(qū)內(nèi)部控制區(qū)(安全1區(qū))與非控制大區(qū)(安全2區(qū))之間安全防護(hù)。根據(jù)二次安全防護(hù)方案要求，安全1，2區(qū)之間應(yīng)采用防火墻進(jìn)行邏輯隔離，用于監(jiān)控系統(tǒng)與內(nèi)網(wǎng)數(shù)據(jù)中心的數(shù)據(jù)交互。

(4) 管理信息大區(qū)與外網(wǎng)(因特網(wǎng))互聯(lián)。管理信息大區(qū)與外網(wǎng)互聯(lián)通過(guò)1臺(tái)防火墻進(jìn)行安全防護(hù)，建議根據(jù)交換機(jī)的接口狀況采用千兆防火墻。

(5) 縱向加密認(rèn)證裝置部署。根據(jù)二次系統(tǒng)安全防護(hù)方案“縱向認(rèn)證”的要求，在已有的調(diào)度數(shù)據(jù)網(wǎng)絡(luò)路由器和交換機(jī)(安全1，2區(qū)核心交換機(jī))之間分別部署1臺(tái)(共2臺(tái))縱向加密認(rèn)證裝置。通過(guò)對(duì)數(shù)據(jù)加密隧道的建立和訪問(wèn)控制策略的配置，保證廣域縱向數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

(6) 生產(chǎn)控制大區(qū)和管理信息大區(qū)入侵檢測(cè)系統(tǒng)部署。根據(jù)需求，對(duì)照二次系統(tǒng)安全防護(hù)方案規(guī)定，生產(chǎn)控制大區(qū)和管理信息大區(qū)不可以共用1套系統(tǒng)。因此，本方案中在生產(chǎn)控制大區(qū)部署1套IDS(Intrusion Detection Systems，入侵檢測(cè)系統(tǒng))，將IDS裝置和管理服務(wù)器部署在安全2區(qū)，探頭分別部署在安全1，2區(qū)交換機(jī)的網(wǎng)絡(luò)邊界，監(jiān)測(cè)來(lái)自內(nèi)網(wǎng)的攻擊和流量異常等情況。在管理信息大區(qū)部署1套IDS系統(tǒng)，部署在管理信息大區(qū)核心交換機(jī)上，主要監(jiān)測(cè)來(lái)自外網(wǎng)和MIS系統(tǒng)網(wǎng)絡(luò)邊界的攻擊和數(shù)據(jù)流量異常情況。

圖1中的虛線部分為設(shè)備的雙機(jī)冗余配置，為可選項(xiàng)。采用冗余配置將更有利于系統(tǒng)安全、穩(wěn)定地運(yùn)行。

圖1方案實(shí)際上符合二次系統(tǒng)安全防護(hù)方案中三角鏈接模式，即組成安全1，2區(qū)之間通過(guò)防火墻互聯(lián)，安全1區(qū)與管理信息大區(qū)通過(guò)橫向隔離裝置互聯(lián)，完成數(shù)據(jù)的正向傳輸；安全2區(qū)與管理信息大區(qū)通過(guò)橫向隔離裝置互聯(lián)，完成數(shù)據(jù)的正、反相傳輸。

3.2 水庫(kù)調(diào)度自動(dòng)化系統(tǒng)防護(hù)方案

由于安康水電站水庫(kù)調(diào)度自動(dòng)化系統(tǒng)目前為獨(dú)立系統(tǒng)，通過(guò)防火墻與當(dāng)?shù)胤姥床糠只ヂ?lián)，不符合二次系統(tǒng)安全防護(hù)規(guī)定。

隨著水調(diào)自動(dòng)化系統(tǒng)的建立，安康水電站水庫(kù)調(diào)度自動(dòng)化系統(tǒng)將通過(guò)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與省調(diào)互聯(lián)，因此不能直接將其與防汛系統(tǒng)通過(guò)公網(wǎng)互聯(lián)，必須經(jīng)過(guò)隔離裝置進(jìn)行隔離后再互聯(lián)。對(duì)于該系統(tǒng)的防護(hù)有2種方案可供選擇。

(1) 方案1。將水庫(kù)調(diào)度自動(dòng)化系統(tǒng)置于安全2區(qū)，通過(guò)正向隔離裝置將數(shù)據(jù)倒至位于管理信息大區(qū)MIS系統(tǒng)的Web服務(wù)器，再通過(guò)防火墻與外網(wǎng)互聯(lián)，以滿足安防要求。

(2) 方案2。安康水電站水庫(kù)調(diào)度自動(dòng)化系統(tǒng)統(tǒng)防護(hù)方案2如圖2所示。

圖2 安康水電站水庫(kù)調(diào)度自動(dòng)化系統(tǒng)防護(hù)方案2示意

方案2與方案1的區(qū)別在于，方案2在水庫(kù)調(diào)度自動(dòng)化系統(tǒng)單獨(dú)增加了1臺(tái)正向隔離裝置，將Web服務(wù)器直接與隔離裝置互聯(lián)，不將其與管理信息大區(qū)的MIS網(wǎng)交換機(jī)互聯(lián)，通過(guò)原有防火墻與外網(wǎng)防汛系統(tǒng)互聯(lián)。

3.3 入侵檢測(cè)系統(tǒng)部署方案

在生產(chǎn)控制大區(qū)和管理信息大區(qū)各部署1套IDS系統(tǒng)，每套系統(tǒng)包括1臺(tái)入侵檢測(cè)裝置和1臺(tái)管理服務(wù)器，管理服務(wù)器用于數(shù)據(jù)的存儲(chǔ)和作為管理軟件的平臺(tái)。

安全1，2區(qū)入侵檢測(cè)原理如圖3所示，其中安全1，2區(qū)共用1套系統(tǒng)，將IDS裝置和管理服務(wù)器部署在安全2區(qū)，即將IDS裝置和管理服務(wù)器接入安全2區(qū)核心交換機(jī)，其地址均為安全2區(qū)地址段地址。將裝置探頭分別部署在安全1，2區(qū)交換機(jī)的網(wǎng)絡(luò)邊界，通過(guò)交換機(jī)的鏡像功能，監(jiān)測(cè)來(lái)自內(nèi)網(wǎng)的攻擊和流量異常等情況。要求有探頭部署時(shí)交換機(jī)應(yīng)為3層交換，且具有鏡像功能。

本次工程配置的IDS共有3個(gè)網(wǎng)口，其中1個(gè)網(wǎng)口用于管理用，需要配置地址，該網(wǎng)口通過(guò)電力廣域網(wǎng)調(diào)度中心IDS日志查看服務(wù)器在1個(gè)VLAN(Vitrual Local Area Netuout，虛擬局域網(wǎng))，IDS設(shè)備的管理軟件就裝在當(dāng)?shù)胤?wù)器上；其余2個(gè)網(wǎng)口就接在1，2區(qū)交換機(jī)上，在混雜模式下，無(wú)需配置地址。在2臺(tái)交換機(jī)上配置鏡像功能，把需要監(jiān)視的端口或數(shù)據(jù)流傳遞到IDS設(shè)備上。

圖3 1，2區(qū)入侵檢測(cè)原理示意

3.4 其他建議

(1) 由于管理信息大區(qū)的病毒防護(hù)和可能受到的攻擊更為突出，建議在管理信息大區(qū)部署IPS(Instrusion Prevention System，入侵防御系統(tǒng))，其與IDS最大的區(qū)別在于具有阻斷功能。好的IPS系統(tǒng)集成了入侵防御與檢測(cè)、病毒過(guò)濾、帶寬管理等多項(xiàng)功能，可實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件及攻擊和惡意行為。

(2) 由于管理信息大區(qū)對(duì)外網(wǎng)的數(shù)據(jù)流量較大，建議采用千兆防火墻(應(yīng)根據(jù)管理信息大區(qū)的核心交換機(jī)是否具有千兆接口確定)，以提高網(wǎng)絡(luò)速率和可靠性。

1 董玉香，田家英．電力二次系統(tǒng)安全防護(hù)探討[J]．電子世界，2014，36(22)：82-83.

2 郭積才，曹金元．智能變電站二次系統(tǒng)安全性探討[J]．電力安全技術(shù)，2014，16(3)：19-21.

3 國(guó)家質(zhì)量技術(shù)監(jiān)督局．GB 17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S]．北京：中國(guó)標(biāo)準(zhǔn)出版社，1999. 4 劉常勇，劉 雙．三門核電站二次系統(tǒng)安全防護(hù)方案[J].中國(guó)核電，2015，8(3)：266-270.

2016-12-18。

張繼康(1984—)，男，工程師，主要從事電力系統(tǒng)自動(dòng)化設(shè)備維護(hù)檢修和技術(shù)改造工作，email：qwer970@126.com。