張志輝，白 維，李 政

（四川革什扎水電開(kāi)發(fā)有限責(zé)任公司，四川 丹巴 626300）

1 概 述

吉牛水電站位于四川省甘孜州丹巴縣境內(nèi)，裝有2臺(tái)單機(jī)容量為120 MW的沖擊式水輪發(fā)電機(jī)組，擁有亞洲最長(zhǎng)的22.38 km引水隧洞，以發(fā)電為主，是藏區(qū)重要的水電站之一。

隨著科學(xué)技術(shù)的發(fā)展，逐漸形成了以物聯(lián)網(wǎng)技術(shù)、網(wǎng)絡(luò)通信技術(shù)、PLC技術(shù)以及計(jì)算機(jī)技術(shù)相融合的水電站自動(dòng)監(jiān)視和控制系統(tǒng)[1]。水電站在享受著信息科學(xué)技術(shù)的發(fā)展帶來(lái)的自動(dòng)化程度不斷提高的同時(shí)，也承受著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患。例如，2019年委內(nèi)瑞拉遭遇將近9個(gè)小時(shí)的全國(guó)大規(guī)模停電，2019年烏克蘭全國(guó)50%區(qū)域電網(wǎng)自動(dòng)斷電事件以及21世紀(jì)初期我國(guó)西南某大型水電站遭遇病毒攻擊造成全廠停電等。按照《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（中華人民共和國(guó)國(guó)家發(fā)展和改革委員會(huì)令第14號(hào)）[2]、《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國(guó)能安全〔2015〕36號(hào)）[3]的要求，為防范吉牛水電站電力二次系統(tǒng)受到惡意攻擊而引發(fā)安全事故，保障吉牛水電站的設(shè)備的安全穩(wěn)定運(yùn)行，吉牛水電站于2018年6月完成了該電站的二次系統(tǒng)安全防護(hù)建設(shè)工作。

2 電力二次系統(tǒng)安全防護(hù)分析

2.1 總體要求

堅(jiān)持以“安全第一、預(yù)防為主、管理和技術(shù)并重、綜合防范”為方針，以“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”為原則。

2.2 兩個(gè)特點(diǎn)

系統(tǒng)性和動(dòng)態(tài)性。

2.2.1 系統(tǒng)性

就水電站而言，二次系統(tǒng)由站內(nèi)基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的各業(yè)務(wù)單元組成。各業(yè)務(wù)單元的安全要求程度不一致，并且通過(guò)不同的網(wǎng)絡(luò)通信技術(shù)建立關(guān)聯(lián)。通過(guò)網(wǎng)絡(luò)分層分區(qū)模式，實(shí)現(xiàn)站內(nèi)的信息組織和管理。所以，吉牛水電站的二次安防在設(shè)計(jì)階段不但滿足大渡河集控和四川省調(diào)的相關(guān)網(wǎng)絡(luò)安全要求，還要做到網(wǎng)絡(luò)結(jié)構(gòu)清晰、明了、合理，形成對(duì)內(nèi)對(duì)外、區(qū)域局部相結(jié)合的二次安防防護(hù)體系。所以，眾多因素決定了二次安防是一個(gè)系統(tǒng)性工程。

2.2.2 動(dòng)態(tài)性

現(xiàn)代網(wǎng)絡(luò)通信技術(shù)的不斷發(fā)展和系統(tǒng)自身內(nèi)涵外延的變化兩個(gè)方面，決定了電力二次安防系統(tǒng)的動(dòng)態(tài)性。在新的網(wǎng)絡(luò)攻擊手段、計(jì)算機(jī)病毒以及惡意代碼層出不窮的情況下，一成不變的安全防護(hù)措施和方案已經(jīng)不能應(yīng)對(duì)日益變化的網(wǎng)絡(luò)攻擊，安全防護(hù)應(yīng)該變被動(dòng)為主動(dòng)。隨著智慧電廠的不斷發(fā)展，電站內(nèi)部設(shè)備也在不斷擴(kuò)建、改造和更換，這就決定了電力二次防護(hù)是需要不斷適應(yīng)、不斷更新和不斷完善的動(dòng)態(tài)工程。

2.3 基本原則

二次安防的基本原則是“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證、綜合防護(hù)”。

安全分區(qū)。按照水電站各業(yè)務(wù)系統(tǒng)對(duì)水電站生產(chǎn)的重要作用和影響程度，可將電力二次系統(tǒng)分為控制大區(qū)和信息大區(qū)。控制大區(qū)可分為控制區(qū)（安全I(xiàn)區(qū)）和非控制區(qū)（安全I(xiàn)I區(qū)）。

網(wǎng)絡(luò)專(zhuān)用。水電站的電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專(zhuān)用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，控制區(qū)業(yè)務(wù)通過(guò)實(shí)時(shí)子網(wǎng)、非控制區(qū)業(yè)務(wù)通過(guò)實(shí)時(shí)子網(wǎng)傳遞至調(diào)度系統(tǒng)。實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)之間完全邏輯隔離，網(wǎng)絡(luò)通道專(zhuān)網(wǎng)專(zhuān)用。

橫向隔離。橫向隔離是水電站二次安防護(hù)體系的橫向防線。控制大區(qū)的安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)之間應(yīng)布置具有訪問(wèn)功能的防火墻，控制大區(qū)和信息大區(qū)應(yīng)布置單向隔離裝置，所選擇的防火墻和單向隔離設(shè)備需通過(guò)國(guó)家制定檢測(cè)。

縱向認(rèn)證?？v向加密是水電站二次安防護(hù)體系的縱向防線。水電站安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)的業(yè)務(wù)與調(diào)度系統(tǒng)之間應(yīng)布置具備雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制的加密裝置，所選用的裝置必須滿足國(guó)家有關(guān)部門(mén)的檢測(cè)要求。

綜合防護(hù)。綜合防護(hù)需要從主機(jī)加固、防惡意代碼和病毒、安全審計(jì)、漏洞掃描、入侵檢測(cè)以及管理制度等各方面對(duì)水電站系統(tǒng)進(jìn)行防護(hù)。

3 吉牛水電站二次系統(tǒng)安全防護(hù)方案

3.1 設(shè)計(jì)原則

按照水電站二次安防的總體要求、系統(tǒng)特點(diǎn)和基本原則，結(jié)合吉牛水電站網(wǎng)絡(luò)設(shè)備的配置現(xiàn)狀，確定設(shè)計(jì)原則如下[4]：計(jì)算機(jī)監(jiān)控系統(tǒng)應(yīng)作為防護(hù)核心；不能將電力調(diào)度數(shù)據(jù)網(wǎng)作為一個(gè)單獨(dú)的系統(tǒng)考慮，應(yīng)把其當(dāng)做調(diào)度自動(dòng)化的通信通道；所有業(yè)務(wù)系統(tǒng)必須正確分區(qū)，根據(jù)分區(qū)情況對(duì)業(yè)務(wù)采用相應(yīng)的安全防護(hù)措施；站內(nèi)各系統(tǒng)與調(diào)度及集控中心的縱向通信設(shè)備接口、配置策略為重點(diǎn)；對(duì)站內(nèi)所有主機(jī)進(jìn)行加固，重要服務(wù)器加裝專(zhuān)用加固軟件；部署防惡意代碼系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)以及入侵檢測(cè)系統(tǒng)，并進(jìn)行統(tǒng)一管理。

3.2 防護(hù)方案的實(shí)施

以吉牛水電站電力二次安防系統(tǒng)建設(shè)為例，闡述吉牛水電站二次安防系統(tǒng)的設(shè)計(jì)方案。

3.2.1 安全分區(qū)

安全分區(qū)是整個(gè)二次安防的基礎(chǔ)工程，對(duì)吉牛水電站應(yīng)用系統(tǒng)按照表1進(jìn)行安全區(qū)劃分。（1）安全I(xiàn)區(qū)為（控制區(qū)），包括水電站監(jiān)控系統(tǒng)、消防系統(tǒng)、壓頻解列裝置、PMU、繼電保護(hù)系統(tǒng)、調(diào)速器系統(tǒng)以及勵(lì)磁系統(tǒng)。安全I(xiàn)區(qū)是電力二次系統(tǒng)的核心，安全防護(hù)的重點(diǎn)。（2）安全Ⅱ區(qū)（非控制區(qū)），包括電能量采集子站、繼電保護(hù)信息管理子站、OMS系統(tǒng)以及水情測(cè)報(bào)系統(tǒng)。（3）安全Ⅲ區(qū)（信息大區(qū)）包括庫(kù)壩監(jiān)測(cè)系統(tǒng)、機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)、ONCALL系統(tǒng)工業(yè)電視與門(mén)禁系統(tǒng)。（4）安全Ⅳ區(qū)（管理信息區(qū)），包括MIS系統(tǒng)、安全風(fēng)險(xiǎn)管控系統(tǒng)以及生產(chǎn)管理系統(tǒng)。為了加強(qiáng)安全控制區(qū)的邊界防護(hù)，安全I(xiàn)區(qū)布置了一套IDS系統(tǒng)，入侵檢測(cè)系統(tǒng)探頭與調(diào)度網(wǎng)實(shí)時(shí)交換機(jī)1、2和集控中心交換機(jī)1、2連接，依照一定的安全策略，通過(guò)軟硬件對(duì)電站I區(qū)自動(dòng)化設(shè)備與上級(jí)調(diào)度部門(mén)和集控中心之間的縱向通信進(jìn)行監(jiān)視，對(duì)各種攻擊企圖、攻擊行為或者攻擊結(jié)果進(jìn)行監(jiān)視；安全Ⅱ區(qū)同樣布置了一套IDS系統(tǒng)，入侵檢測(cè)系統(tǒng)探頭與調(diào)度網(wǎng)非實(shí)時(shí)交換機(jī)1、2連接，對(duì)電站Ⅱ區(qū)設(shè)備與上級(jí)調(diào)度部門(mén)之間的縱向通信進(jìn)行監(jiān)視。

表1 吉牛水電站安全分區(qū)規(guī)劃表

3.2.2 網(wǎng)絡(luò)專(zhuān)用

電力調(diào)度數(shù)據(jù)網(wǎng)是吉牛水電站安全控制大區(qū)和調(diào)度端的專(zhuān)用通信網(wǎng)絡(luò)。電站安全I(xiàn)區(qū)和安全Ⅱ區(qū)的業(yè)務(wù)分別通過(guò)實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)送達(dá)調(diào)度。對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置，如關(guān)閉路由器和交換機(jī)consloe口并設(shè)置密碼、超時(shí)自動(dòng)退出、關(guān)閉telnet服務(wù)、采用安全增強(qiáng)的SNMPv2及以上版本的網(wǎng)管協(xié)議等。

3.2.3 橫線隔離

對(duì)于生產(chǎn)控制區(qū)，安全I(xiàn)區(qū)與安全Ⅱ區(qū)之前的隔離，在計(jì)算機(jī)監(jiān)控系統(tǒng)與水情系統(tǒng)之前布置了一臺(tái)防火墻，通過(guò)橫向邏輯隔離阻止來(lái)自區(qū)域之間的越權(quán)訪問(wèn)、入侵攻擊等，將危險(xiǎn)源控制在有限范圍內(nèi)。對(duì)于生產(chǎn)控制大區(qū)與管理信息大區(qū)的隔離，水情系統(tǒng)通過(guò)反向橫向隔離裝置從安全區(qū)Ⅲ相關(guān)系統(tǒng)獲取水文、氣象信息，并對(duì)信息進(jìn)行嚴(yán)格簽名認(rèn)證和檢查過(guò)濾，進(jìn)而保護(hù)安全級(jí)別要求更高的控制大區(qū)的安全。需要注意，必須采購(gòu)經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的、隔離強(qiáng)度接近或達(dá)到物理隔離的防火墻和隔離裝置。

3.2.4 縱向認(rèn)證

吉牛水電站生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)所連接的廣域網(wǎng)為電力調(diào)度與大渡河集控中心端。為保證交換信息的保密性、完整性和可用性，在電力調(diào)度數(shù)據(jù)網(wǎng)接入系統(tǒng)的實(shí)時(shí)和非實(shí)時(shí)VPN交換機(jī)和接入路由器之間布置了國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置，在大渡河集控中心數(shù)據(jù)網(wǎng)接入系統(tǒng)實(shí)時(shí)VPN交換機(jī)端布置了國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置。縱向加密裝置支持SM2算法，配置了相應(yīng)的安全策略，禁用了高風(fēng)險(xiǎn)的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制。支持系統(tǒng)告警，支持完備的安全事件告警機(jī)制。當(dāng)發(fā)生非法入侵、裝置異常、通信中斷或丟失應(yīng)用數(shù)據(jù)時(shí)，可通過(guò)加密認(rèn)證設(shè)備專(zhuān)用的告警串口或網(wǎng)絡(luò)輸出報(bào)警信息，日志格式遵循Syslog標(biāo)準(zhǔn)。

3.2.5 綜合防護(hù)

為了防止計(jì)算機(jī)受到非法訪問(wèn)和惡意攻擊，對(duì)不合法命令進(jìn)行命令阻斷。電站對(duì)系統(tǒng)所有主機(jī)進(jìn)行加固配置，對(duì)電站核心服務(wù)器安裝了專(zhuān)業(yè)的主機(jī)加固軟件進(jìn)行防護(hù)。在安全區(qū)I和安全Ⅱ分別部署金山防病毒和惡意代碼防護(hù)系統(tǒng)，在管理信息大區(qū)部署集團(tuán)公司統(tǒng)一規(guī)劃的署防病毒和惡意代碼系統(tǒng)。同時(shí)，定期對(duì)惡意代碼病毒庫(kù)、木馬庫(kù)、防病毒策略進(jìn)行離線更新，定期檢查防惡意代碼系統(tǒng)日志，及時(shí)隔離未知病毒。為保證實(shí)時(shí)、動(dòng)態(tài)應(yīng)對(duì)不安全事件，對(duì)不安全事件進(jìn)行監(jiān)測(cè)，增強(qiáng)對(duì)生產(chǎn)大區(qū)網(wǎng)絡(luò)行為的監(jiān)察、控制和審計(jì)能力，在安全區(qū)I和安全Ⅱ分別部署網(wǎng)絡(luò)人侵檢測(cè)系統(tǒng)。此外，設(shè)計(jì)上禁止IDS與防火墻聯(lián)動(dòng)，以防止IDS誤報(bào)影響生產(chǎn)大區(qū)網(wǎng)絡(luò)的正常運(yùn)行。為了對(duì)生產(chǎn)大區(qū)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志以及安防設(shè)備運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析、及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為，在安全區(qū)I和安全Ⅱ分別部署了一套安全審計(jì)系統(tǒng)。在安全區(qū)I和安全Ⅱ分別部署了一套漏洞掃描系統(tǒng)，目的是通過(guò)定期掃描發(fā)現(xiàn)生產(chǎn)大區(qū)網(wǎng)絡(luò)和主機(jī)的安全漏洞，并根據(jù)提供的安全解決建議，對(duì)生產(chǎn)大區(qū)網(wǎng)絡(luò)進(jìn)行安全配置。

3.2.6 網(wǎng)絡(luò)安全管理策略

據(jù)統(tǒng)計(jì)，96%以上的網(wǎng)絡(luò)、計(jì)算機(jī)受到的攻擊和病毒侵害都是由于管理不善造成的。吉牛水電站作為藏區(qū)重要的電站，需建立完善的網(wǎng)絡(luò)信息安全管理制度，成立專(zhuān)門(mén)的信息化安全小組，嚴(yán)格按照對(duì)不安全事件和個(gè)人進(jìn)行追究和考核。建議完備的網(wǎng)絡(luò)和信息安全應(yīng)急預(yù)案，并定期開(kāi)展演練、評(píng)估和修訂，目的是在突發(fā)緊急狀況時(shí)指導(dǎo)電站進(jìn)行處置突發(fā)應(yīng)急事件。加強(qiáng)用戶權(quán)限管理和存儲(chǔ)介質(zhì)的管理，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)測(cè)評(píng)，及時(shí)了解整個(gè)網(wǎng)路的安全狀況。

4 結(jié) 論

水電站在享受網(wǎng)絡(luò)技術(shù)的發(fā)展帶來(lái)的便利時(shí)承受著網(wǎng)絡(luò)安全多元化的威脅，所以水電站安全防護(hù)技術(shù)需要不斷升級(jí)改進(jìn)，不斷提升管理水平，建立更加可靠、完備、全覆蓋的二次安防體系，變被動(dòng)防護(hù)為主動(dòng)防護(hù)，確保電站安全穩(wěn)定運(yùn)行。