◆陳亞燕

水電廠信息網(wǎng)絡(luò)安全防護(hù)策略探究

◆陳亞燕

（廣東粵海樂(lè)昌峽水力發(fā)電有限公司 廣東 512200）

隨著信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全受到了人們的高度重視，尤其是隨著信息化技術(shù)在水電廠信息管理和監(jiān)控系統(tǒng)中的廣泛應(yīng)用，計(jì)算機(jī)監(jiān)控系統(tǒng)成了水電廠安全生產(chǎn)、監(jiān)控運(yùn)作的主要設(shè)備，更是信息網(wǎng)絡(luò)安全防控重點(diǎn)。但在水電廠信息監(jiān)控系統(tǒng)運(yùn)轉(zhuǎn)過(guò)程中，仍存在一些網(wǎng)絡(luò)安全問(wèn)題，這給水電廠信息網(wǎng)絡(luò)系統(tǒng)埋下安全隱患。為了有效提高水電廠信息網(wǎng)絡(luò)安全性能，保障水電廠穩(wěn)定運(yùn)行是當(dāng)前亟須考慮的問(wèn)題之一。本文首先分析了水電廠監(jiān)控信息系統(tǒng)中存在的問(wèn)題，其次闡述了水電廠網(wǎng)絡(luò)安全防控的重要性，并提出相對(duì)應(yīng)的防控措施，以期能有效提高水電廠網(wǎng)絡(luò)安全系統(tǒng)可靠性及應(yīng)用水平，進(jìn)一步確保水電廠的正常運(yùn)轉(zhuǎn)。

水電廠；監(jiān)控系統(tǒng)；信息網(wǎng)絡(luò)安全問(wèn)題；安全防護(hù)措施

近幾年，隨著網(wǎng)絡(luò)信息化技術(shù)在各行各業(yè)的深入應(yīng)用，信息安全問(wèn)題開(kāi)始出現(xiàn)，這使得各行業(yè)也加強(qiáng)了信息網(wǎng)絡(luò)安全防控力度。而水電廠作為發(fā)電系統(tǒng)的重要組成部分，其生產(chǎn)運(yùn)行管理系統(tǒng)、MIS系統(tǒng)、操作管理系統(tǒng)等各個(gè)系統(tǒng)功能的運(yùn)轉(zhuǎn)都離不開(kāi)信息化技術(shù)，因此，為了保障水電廠正常運(yùn)作，應(yīng)提高對(duì)水電廠各個(gè)信息系統(tǒng)安全性的重視，以避免各個(gè)系統(tǒng)中存在信息安全風(fēng)險(xiǎn)，同時(shí)，通過(guò)采取相對(duì)應(yīng)的安全防控措施，提升水電廠系統(tǒng)的安全性能與運(yùn)行效率。

1 水電廠監(jiān)控信息系統(tǒng)中主要存在的網(wǎng)絡(luò)安全問(wèn)題

當(dāng)前，水電廠的監(jiān)控信息系統(tǒng)仍存在一些網(wǎng)絡(luò)安全問(wèn)題亟須解決，為此，筆者根據(jù)當(dāng)前水電廠監(jiān)控信息系統(tǒng)的現(xiàn)狀，大概舉了幾個(gè)典型的網(wǎng)絡(luò)安全問(wèn)題，具體如下：

1.1 防火墻

防火墻作為水電廠網(wǎng)絡(luò)安全最有效的保護(hù)手段之一，其主要是由軟件與硬件所組成，在水電廠監(jiān)控信息系統(tǒng)（SIS）中，其防火墻主要是采用軟件設(shè)計(jì)，通過(guò)軟件來(lái)增強(qiáng)監(jiān)控系統(tǒng)的安全性能，當(dāng)SIS在監(jiān)控水電廠電網(wǎng)調(diào)度信息時(shí)，防火墻便會(huì)處在一種比較被迫防衛(wèi)的處境。此時(shí)，如果水電廠不能及時(shí)對(duì)軟件防火墻進(jìn)行更新，那后期防火墻只能對(duì)一些常規(guī)的病毒起到作用，但對(duì)于一些攻擊性比較強(qiáng)的病毒完全沒(méi)有抵抗力，這時(shí)，防火墻受到病毒攻擊的影響處境更加艱難，無(wú)法繼續(xù)保護(hù)系統(tǒng)正常運(yùn)行，造成系統(tǒng)上的資料丟失，這對(duì)水電廠的調(diào)度產(chǎn)生了極大的影響。

1.2 網(wǎng)絡(luò)連接

當(dāng)前，水電廠與其他設(shè)備網(wǎng)絡(luò)連接，如：與MIS系統(tǒng)、生產(chǎn)運(yùn)行管理系統(tǒng)、廠內(nèi)智能控制設(shè)備、操作管理系統(tǒng)等進(jìn)行連接時(shí)，由于其數(shù)據(jù)傳輸主要是選用單向的方式，無(wú)法向?qū)崟r(shí)信息監(jiān)控系統(tǒng)的服務(wù)器輸入數(shù)據(jù)，在與廠內(nèi)其他智能控制設(shè)備進(jìn)行連接時(shí)，如果沒(méi)有進(jìn)行光電隔離，容易發(fā)生高壓或短路的情況；若與MIS系統(tǒng)網(wǎng)上連接時(shí)，由于MIS系統(tǒng)安全管理中存在很多不穩(wěn)定因素，容易收到病毒、黑客的入侵，容易給SIS帶來(lái)極大的安全隱患；此時(shí)，如果水電廠SIS網(wǎng)絡(luò)連接過(guò)程中出現(xiàn)安全漏洞，系統(tǒng)非常容易受到黑客的入侵攻擊，從而造成SIS的連接存在網(wǎng)絡(luò)安全隱患，這一常見(jiàn)的網(wǎng)絡(luò)連接問(wèn)題對(duì)水電廠的安全、正常運(yùn)轉(zhuǎn)會(huì)產(chǎn)生極大的不良影響。

1.3 網(wǎng)絡(luò)通訊

水電廠SIS主要是由交換機(jī)與通信服務(wù)器相連接，水電廠SIS網(wǎng)絡(luò)通訊的等級(jí)要比管理和操作系統(tǒng)的等級(jí)還高，為此，盡管在SIS網(wǎng)絡(luò)通訊過(guò)程中做好了安全防護(hù)，但網(wǎng)絡(luò)通訊仍要按照單向傳輸方式進(jìn)行，如果能從通訊的角度換到結(jié)構(gòu)的角度去看待問(wèn)題，那么，網(wǎng)絡(luò)通訊還是存在許多安全問(wèn)題。比如：水電廠在SIS中，其通訊訪問(wèn)過(guò)程不存在隱藏性，而是透明、公開(kāi)的，它可以向任何一個(gè)編程進(jìn)行訪問(wèn)，而任何表明身份的計(jì)算機(jī)也可以對(duì)SIS的網(wǎng)絡(luò)通訊進(jìn)行訪問(wèn)，以取得水電廠監(jiān)控網(wǎng)絡(luò)通訊信息，此時(shí)，缺少安全保護(hù)措施的網(wǎng)絡(luò)，很容易給網(wǎng)絡(luò)通訊數(shù)據(jù)交流埋下安全隱患。

2 水電廠加強(qiáng)網(wǎng)絡(luò)安全防護(hù)的重要性

根據(jù)上文存在的網(wǎng)絡(luò)安全問(wèn)題可以看出，加強(qiáng)水電廠網(wǎng)絡(luò)安全防護(hù)顯得十分重要。但隨著信息技術(shù)在水電廠的深入應(yīng)用，信息網(wǎng)絡(luò)安全危險(xiǎn)隨之增加，尤其是系統(tǒng)安全漏洞，病毒入侵、黑客攻擊、軟件安全漏洞以及數(shù)據(jù)安全存在威脅等，以上這些常見(jiàn)網(wǎng)絡(luò)安全問(wèn)題的存在，會(huì)影響到水電廠網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，降低水電廠自動(dòng)化運(yùn)行、操作效率，嚴(yán)重的還會(huì)造成水電廠系統(tǒng)癱瘓，這對(duì)水電廠的發(fā)展產(chǎn)生極大的不良影響，基于此，一定要提高水電廠網(wǎng)絡(luò)信息安全的重視程度。此外，水電廠是保障人們生活與我國(guó)經(jīng)濟(jì)的重要樞紐，其各個(gè)系統(tǒng)的運(yùn)行都離不開(kāi)信息技術(shù)，為此，加強(qiáng)水電廠信息網(wǎng)絡(luò)系統(tǒng)的安全防御性能，有助于確保網(wǎng)絡(luò)信息系統(tǒng)的安全、穩(wěn)定，從而提高水電廠自動(dòng)化運(yùn)行、生產(chǎn)操作效率，進(jìn)而促進(jìn)水電廠的健康發(fā)展。由此可見(jiàn)，網(wǎng)絡(luò)信息安全防控在水電廠中發(fā)揮了至關(guān)重要的作用。

3 水電廠網(wǎng)絡(luò)安全防控的幾點(diǎn)措施

結(jié)合上文水電廠SIS對(duì)信息網(wǎng)絡(luò)安全的需要，下文對(duì)水電廠提出了三個(gè)方面的防控措施，以期能有效提高SIS在水電廠的安全性。具體如下：

3.1 硬件防護(hù)

為了保障水電廠SIS系統(tǒng)的安全運(yùn)轉(zhuǎn)，水電廠SIS在設(shè)置硬件防控措施時(shí)，都會(huì)設(shè)置硬件隔離防護(hù)，以確保SIS的安全運(yùn)轉(zhuǎn)。比如：水電廠SIS在連接廠內(nèi)其他智能控制設(shè)備時(shí)，一般會(huì)在兩個(gè)系統(tǒng)之間采用光電隔離，這樣，兩個(gè)系統(tǒng)之間除了有數(shù)據(jù)交換外，再無(wú)任何網(wǎng)絡(luò)上的聯(lián)系；在與MIS系統(tǒng)連接時(shí)，一般會(huì)采用通訊服務(wù)或路由器進(jìn)行隔離，并安裝單向傳輸裝置，使MIS系統(tǒng)只能單向與通訊服務(wù)器聯(lián)系，以此規(guī)范硬件中信息流，控制MIS系統(tǒng)對(duì)水電廠SIS的訪問(wèn)，進(jìn)一步阻擋非法信息的入侵（如圖1）所示；此外，水電廠的內(nèi)網(wǎng)與外網(wǎng)之間也加裝物理隔離設(shè)備，當(dāng)內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)時(shí)，其數(shù)據(jù)需通過(guò)內(nèi)部網(wǎng)關(guān)機(jī)上的通信進(jìn)程，再通過(guò)單向物理隔離設(shè)備將數(shù)據(jù)轉(zhuǎn)到外網(wǎng)，“外網(wǎng)”關(guān)機(jī)通信進(jìn)程在收到內(nèi)網(wǎng)傳送過(guò)來(lái)的數(shù)據(jù)后，再將其寫(xiě)入外網(wǎng)公共數(shù)據(jù)區(qū)，而“外網(wǎng)”向內(nèi)網(wǎng)傳輸數(shù)據(jù)的方式一樣，但其方向相反（如圖2）所示。通過(guò)對(duì)以上硬件進(jìn)行防控，能有效保護(hù)水電廠數(shù)據(jù)傳輸?shù)陌踩?，避免?shù)據(jù)傳輸過(guò)程中存在的安全隱患。

3.2 IDS入侵防護(hù)

IDS入侵監(jiān)測(cè)系統(tǒng)，其主要是監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運(yùn)作狀況，檢測(cè)網(wǎng)絡(luò)是否受到非法入侵攻擊，并進(jìn)行阻止，以保護(hù)信息網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的安全、完整。當(dāng)前，水電廠SIS除了不斷更新防火墻之外，還增加了IDS入侵防護(hù)檢測(cè)系統(tǒng)，該入侵檢測(cè)系統(tǒng)不僅能測(cè)出網(wǎng)絡(luò)中存在的病毒信息，還能根據(jù)病毒入侵信息進(jìn)行等級(jí)分析，并及時(shí)做出響應(yīng)，然后設(shè)置相對(duì)應(yīng)的防護(hù)策略。如：水電廠SIS受到黑客攻擊時(shí)，IDS檢測(cè)到黑客入侵攻擊行為時(shí)，傳感器便會(huì)向安全管理控制平臺(tái)發(fā)出警報(bào)，并將黑客入侵的詳細(xì)內(nèi)容通知安全管理員，同時(shí)，控制路由器斷開(kāi)非法對(duì)話，以此保障SIS網(wǎng)絡(luò)的安全。由此可見(jiàn)，IDS入侵檢測(cè)系統(tǒng)作為維護(hù)網(wǎng)絡(luò)安全的重要防控技術(shù)，其能在確保網(wǎng)絡(luò)安全的前提下，對(duì)水電廠的網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行檢測(cè)，從而實(shí)現(xiàn)對(duì)水電廠內(nèi)的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)保護(hù)。

圖1 與MIS的連接方式

圖2 內(nèi)外網(wǎng)數(shù)據(jù)傳輸圖

圖3 入侵檢測(cè)/響應(yīng)流程圖

3.3 態(tài)勢(shì)感知系統(tǒng)防護(hù)

目前，水電廠通過(guò)在安全“I區(qū)”部署一套電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知廠站終端，該終端主要是通過(guò)SNMP、SNMP trap、Syslog等技術(shù)，在I區(qū)進(jìn)行縱向加密裝置、橫向防火墻、互聯(lián)交換機(jī)的信息采集；在橫向防火墻使用NAT技術(shù)將I區(qū)廠站裝置IP映射成II區(qū)IP，然后通過(guò)SNMP、SNMP trap、Syslog等技術(shù)，實(shí)現(xiàn)II區(qū)的縱向加密裝置、工作站的信息采集。在交換機(jī)上對(duì)網(wǎng)絡(luò)流量的鏡像，網(wǎng)絡(luò)安全態(tài)勢(shì)感知廠站終端具備以太網(wǎng)接口和流量獲取端口。I區(qū)裝置分別接入控制區(qū)交換機(jī)，非控制區(qū)交換機(jī)實(shí)現(xiàn)設(shè)備配置/日志信息以及設(shè)備流量信息的獲取。“I區(qū)”網(wǎng)絡(luò)安全態(tài)勢(shì)感知廠站終端采集到的數(shù)據(jù)將通過(guò)II區(qū)調(diào)度數(shù)據(jù)網(wǎng)IP，向廣東中調(diào)II區(qū)的主站平臺(tái)服務(wù)器上送數(shù)據(jù)。廠站裝置還可以通過(guò)ICMP、snmp、鏡像三種來(lái)源來(lái)自動(dòng)獲取站內(nèi)的資產(chǎn)信息，包括資產(chǎn)的IP地址、軟件版本、內(nèi)核信息等數(shù)據(jù)并形成拓?fù)浣Y(jié)構(gòu)，還可以通過(guò)手工錄入、主動(dòng)錄入來(lái)手動(dòng)添加資產(chǎn)。鏡像來(lái)源還可以發(fā)現(xiàn)站內(nèi)的數(shù)據(jù)通信（TCP、UDP協(xié)議）告警并上報(bào)主站。從而實(shí)現(xiàn)對(duì)水電廠各電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的數(shù)據(jù)采集、“范式化”處理、數(shù)據(jù)建模和關(guān)聯(lián)分析，以便及時(shí)發(fā)現(xiàn)非法跨區(qū)互聯(lián)、網(wǎng)絡(luò)非法接入、非法移動(dòng)介質(zhì)接入等各類(lèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及非法訪問(wèn)事件，以達(dá)到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在線識(shí)別（如圖4所示）。這對(duì)促進(jìn)水電廠電力監(jiān)控系統(tǒng)全方位、全天候的網(wǎng)絡(luò)安全監(jiān)測(cè)，以及電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的閉環(huán)管理具有十分重要的意義。通過(guò)全面提高電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的整體水平，提升電廠網(wǎng)絡(luò)風(fēng)險(xiǎn)預(yù)警和病毒處理能力，達(dá)到電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可發(fā)現(xiàn)、可控制、可溯源的目的。

圖4 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)體系結(jié)構(gòu)圖

4 總結(jié)

根據(jù)上文所述可以看出，水電廠網(wǎng)絡(luò)的安全穩(wěn)定關(guān)乎水電廠的正常生產(chǎn)運(yùn)轉(zhuǎn)，為此，需要提高對(duì)網(wǎng)絡(luò)安全防控工作的重視程度，通過(guò)硬件隔離、IDS入侵檢測(cè)，態(tài)勢(shì)感知系統(tǒng)等安全防護(hù)來(lái)強(qiáng)化水電廠網(wǎng)絡(luò)病毒防御系統(tǒng)，提高水電廠信息網(wǎng)絡(luò)安全管理水平及病毒防控能力，切切實(shí)實(shí)的保障水電廠各個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)，由此可見(jiàn)，做好網(wǎng)絡(luò)信息安全防控工作對(duì)水電廠智能控制設(shè)備的正常運(yùn)轉(zhuǎn)十分重要。

[1]羅光濤.水電廠監(jiān)控信息系統(tǒng)網(wǎng)絡(luò)安全防控研究[J].信息與安全技術(shù)，2015（07）.

[2]黃開(kāi)泰.水電廠信息網(wǎng)絡(luò)安全防護(hù)的探究[J].科教導(dǎo)刊（電子版），2018（17）.

[3]季金付.發(fā)電廠廠級(jí)監(jiān)控信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)[J].安徽電力，2013（04）.