王芳平,陳超群
(三峽水力發(fā)電廠,湖北 宜昌 443133)
伴隨著計算機技術的日益發(fā)展,現(xiàn)代的水電站監(jiān)控系統(tǒng)已向數(shù)字化、智能化方向發(fā)展,所覆蓋的信息終端也越來越多,這勢必會將更多的IT技術應用到水電站監(jiān)控系統(tǒng)的控制中,如何加強水電站監(jiān)控系統(tǒng)的安全防護能力,形成有效發(fā)現(xiàn)風險和控制風險的技術手段,提升監(jiān)控系統(tǒng)安全保障水平成為當務之急。
目前的水電站監(jiān)控系統(tǒng)在規(guī)劃設計、工程實施、系統(tǒng)改造、運行管理等過程都已嚴格執(zhí)行《電力監(jiān)控系統(tǒng)安全防護總體方案》要求,根據(jù)安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向加密4個總原則來確定電力監(jiān)控系統(tǒng)安全防護的范圍和目標,并具體實施。本文以某巨型左岸電站二次安防部署為例,從總體防護和綜合防護兩個方面來探討水電站監(jiān)控系統(tǒng)的二次安防策略。
某巨型左岸電站監(jiān)控系統(tǒng)根據(jù)系統(tǒng)業(yè)務的重要性分為生產控制大區(qū)和管理信息大區(qū),其中生產控制大區(qū)分為控制區(qū)(又稱安全I區(qū))和非控制區(qū)(又稱安全Ⅱ區(qū)),監(jiān)控系統(tǒng)由廠級監(jiān)控層和現(xiàn)地控制層組成,控制網(wǎng)和信息網(wǎng)又分別由雙光纖星型網(wǎng)絡組成,控制網(wǎng)和信息網(wǎng)相互獨立運行,能夠確保數(shù)據(jù)傳輸?shù)姆€(wěn)定性,安全Ⅰ區(qū)、安全Ⅱ區(qū)與電力調度數(shù)據(jù)網(wǎng)之間通過部署加密裝置實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制,保證了業(yè)務系統(tǒng)接入的可信性。
安全Ⅰ區(qū)與安全Ⅱ區(qū)之間部署了電力專用正向安全隔離裝置進行單向隔離,安全Ⅰ區(qū)與安全Ⅲ區(qū)部署了電力專用正向安全隔離裝置進行單向隔離,安全Ⅲ區(qū)與安全Ⅳ區(qū)部署了電力專用正向安全隔離裝置進行單向隔離。網(wǎng)絡邊界部署防病毒網(wǎng)關實現(xiàn)從網(wǎng)絡層檢測和阻斷惡意代碼,能夠高效攔截常見漏洞入侵、間諜軟件、病毒、木馬、釣魚網(wǎng)站、惡意URL 訪問等網(wǎng)絡威脅。
監(jiān)控系統(tǒng)網(wǎng)絡防護框架如圖1所示。
圖1 水電站監(jiān)控系統(tǒng)網(wǎng)絡防護框架示意圖
電力調度數(shù)據(jù)網(wǎng)使用獨立的網(wǎng)絡設備組網(wǎng),在物理層面上實現(xiàn)與綜合業(yè)務數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離,采用MPLS-VPN技術劃分兩個相互邏輯隔離的業(yè)務子網(wǎng),即實時VPN和非實時VPN。實時VPN用于控制區(qū)業(yè)務系統(tǒng)的遠程數(shù)據(jù)通信,非實時VPN用于非控制區(qū)業(yè)務系統(tǒng)的遠程數(shù)據(jù)通信。站端的電力調度數(shù)據(jù)網(wǎng)有連通兩個方向的專用通道,并通過光纖專網(wǎng)連通梯調專用通道,采用獨立的網(wǎng)絡設備組網(wǎng),在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。
當下雖然使用Windows等操作系統(tǒng)仍是主流,但國產操作系統(tǒng)如凝思磐石、中標麒麟等也日漸成熟,監(jiān)控系統(tǒng)服務器工作站使用國產操作系統(tǒng),并對操作系統(tǒng)進行相應的安全加固,關閉不使用的功能,確保包括補丁、軟件包、安全設置在內的配置安全可靠,可將計算機系統(tǒng)所承擔的安全風險降到最低。
2015年2月國家能源局下發(fā)《關于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》(國能安全[2015]36號),其中提出的安全防護的總體原則與之前的電力二次安全防護原則增加了“綜合防護”?!熬C合防護”是對監(jiān)控系統(tǒng)從主機、網(wǎng)絡設備、惡意代碼防范、應用安全控制、審計、備用及容災等多個層面進行安全防范的過程,這些防護手段的實施是目前所有水電站都在探索中的工作。下面介紹某巨型左岸電站采用的一些綜合防護手段。
未經(jīng)授權而通過非法手段進入電力信息系統(tǒng)的行為叫系統(tǒng)入侵,系統(tǒng)入侵會導致系統(tǒng)一系列的安全風險,因此引入入侵檢測技術是防止非法入侵的有效手段。
入侵檢測裝置(IDS)系統(tǒng)的兩大職責:實時監(jiān)測和安全審計。實時監(jiān)測是實時地監(jiān)視網(wǎng)絡中所有的數(shù)據(jù)報文以及系統(tǒng)中的訪問行為,將待處理事件與以往確定入侵事件的模式以及方式進行對比,分析兩者之間的匹配程度,以確定是否屬于入侵行為,并實時處理來自內部和外部的攻擊事件和越權訪問。這種檢測方式準確率較高,而且應用范圍廣泛,但是不能防范未出現(xiàn)過的新型入侵模式。安全審計是通過對IDS系統(tǒng)記錄的違反安全策略的用戶活動進行統(tǒng)計分析,得出網(wǎng)絡系統(tǒng)的安全狀態(tài),并對重要事件進行記錄,可對以往用戶的訪問記錄進行統(tǒng)計排查,但是如果入侵者將入侵行為偽裝成正常操作行為,就可以逃避系統(tǒng)檢測。所以,需要在實際工作運用合理的檢測搭配方式。入侵檢測的動作原理如圖2所示。
圖2 入侵檢測動作原理
入侵檢測系統(tǒng)可以作為防火墻和訪問控制機制的合理補充,是防火墻之后的第二道安全閘門,在具體實施中,網(wǎng)絡邊界部署IDS對內網(wǎng)核心網(wǎng)絡的運行狀態(tài)進行監(jiān)視并對流經(jīng)核心交換機的報文進行探測和分析,需要將入侵檢測裝置旁路接入核心交換機,并將交換機其余端口通過鏡像方式將流量映射到IDS接入的端口,以便入侵檢測裝置進行監(jiān)測。為了符合安全分區(qū)的原則,不建議入侵檢測裝置跨區(qū)使用。
2017年《國家電網(wǎng)公司關于加快推進電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理平臺建設的通知》文件明確指出:“在變電站、并網(wǎng)電廠電力監(jiān)控系統(tǒng)的安全Ⅱ區(qū)(或Ⅰ區(qū))部署網(wǎng)絡安全監(jiān)測裝置,實現(xiàn)對網(wǎng)絡安全事件的監(jiān)視與管理?!蓖ㄟ^網(wǎng)絡安全監(jiān)測采集裝置(以下簡稱“監(jiān)測裝置”)采集電廠涉網(wǎng)部分主機設備、網(wǎng)絡設備、通用及專用安防設備的告警信息,實時監(jiān)測電廠內部涉網(wǎng)主機的外設接入、網(wǎng)絡設備接入、人員登錄等安全事件。要求電廠電力監(jiān)控系統(tǒng)建設部署網(wǎng)絡安全監(jiān)測功能,實現(xiàn)本地網(wǎng)絡安全的監(jiān)視和管控。構建覆蓋安全I區(qū)和安全Ⅱ區(qū)的網(wǎng)絡安全數(shù)據(jù)采集網(wǎng),在不改變現(xiàn)有生產網(wǎng)絡的前提下,承載網(wǎng)絡安全監(jiān)視系統(tǒng)的運行和應用,最大化減少網(wǎng)絡安全監(jiān)管業(yè)務對生產控制系統(tǒng)生產業(yè)務流量和網(wǎng)絡架構的影響。
在具體實施中,采集裝置依據(jù)分區(qū)要求,需要分別在安全Ⅰ區(qū)和安全II區(qū)部署,通過采集裝置多網(wǎng)口,分別實現(xiàn)向各級調度系統(tǒng)Ⅱ區(qū)內網(wǎng)監(jiān)視平臺上報網(wǎng)絡安全事件。其部署的網(wǎng)絡結構圖如圖3所示。
圖3 內網(wǎng)監(jiān)視平臺網(wǎng)絡部署示意圖
安全Ⅰ區(qū)的采集裝置通過正向隔離裝置后將采集信息發(fā)送至安全Ⅱ區(qū)采集裝置,由安全Ⅱ區(qū)監(jiān)測裝置進行告警日志匯總,安全Ⅱ區(qū)涉網(wǎng)部分監(jiān)測裝置將相關日志告警信息通過調度數(shù)據(jù)網(wǎng)上報上級調度機構,安全Ⅱ區(qū)非涉網(wǎng)部分監(jiān)測裝置將相關日志告警信息通過集體網(wǎng)絡上報梯調安全Ⅱ區(qū)網(wǎng)絡安全管理平臺。
安全Ⅰ區(qū)涉網(wǎng)采集裝置只采集直接接入調度數(shù)據(jù)網(wǎng)的設備,包括調度通信網(wǎng)關機、PMU等涉網(wǎng)實時業(yè)務,安全I區(qū)非涉網(wǎng)采集裝置采集包括監(jiān)控系統(tǒng)核心服務器、交換機、入侵檢測、隔離裝置等所有電廠監(jiān)控系統(tǒng)中非涉網(wǎng)的設備。安全Ⅱ區(qū)涉網(wǎng)業(yè)務包括故障錄波、關口計量裝置等,非涉網(wǎng)業(yè)務包括暖通、抄表系統(tǒng)等。
當今,雖然電力部門實現(xiàn)了電力通信網(wǎng)絡的隔離,構建了保證電力系統(tǒng)網(wǎng)絡安全的三道防線,但是由于電力系統(tǒng)的重要性和網(wǎng)絡攻擊的復雜性,在隔離條件下依然對電力系統(tǒng)進行網(wǎng)絡攻擊也是可能的。隨著國際安全形勢日益嚴峻,大量新型攻擊方式快速涌現(xiàn),使得以查殺為核心的被動防御缺失了效率,為應對更為復雜的信息安全威脅,更為高效地主動防御體系開始在二次安防中得到運用。
可信計算其核心思想是計算機運算的同時進行安全防護,計算全程可測可控,不會被打擾,是一種運算和防護并行結構、主動免疫的新計算模式。其基本原理是:在平臺上電開始,從信任根到硬件平臺、操作系統(tǒng)、應用程序,構建完整的信任鏈,一級認證一級,一級信任一級,并且能夠通過可信報告功能將這種信任關系通過網(wǎng)絡連接延伸到整個信息系統(tǒng),應用可信計算技術,未獲認證的程序將不能被執(zhí)行,從而保證了系統(tǒng)的自身安全。
可信計算平臺由可信策略管理端和可信計算安全模塊客戶端組成。客戶端在管理端注冊后,管理端能夠對已注冊的客戶端提供安全策略的定制、集中的運維管理、系統(tǒng)資源監(jiān)控、審計信息統(tǒng)一收集等功能,其中集中的運維管理模式可大大提高運維人員的工作效率、提高客戶端的集中監(jiān)控能力,保障整體業(yè)務系統(tǒng)環(huán)境的安全可信??尚牌脚_組成架構如圖4所示。
圖4 可信平臺組成架構
總體上,電力監(jiān)控系統(tǒng)在電力行業(yè)中承擔的控制、通信、交換、計算等任務越來越重,其安全性足以影響電廠安全生產,其工作涉及電廠的運行、檢修和信息化等多個部門,是跨專業(yè)的系統(tǒng)工作。加強和規(guī)范管理是確保水電站監(jiān)控系統(tǒng)安全的重要措施,建立健全安全防護體系,首先需要有完善的安全管理制度,并能落實到人,明確各級專業(yè)人員的安全職責;其次才是安全防護軟硬件配置到位不留漏洞。只有實現(xiàn)對電力監(jiān)控系統(tǒng)充分可靠的安全防護,才能有效保障電力生產安全穩(wěn)定運行。