唐清弟，李 鶴，劉晉曦

(華能瀾滄江水電股份有限公司景洪水電廠，云南 景洪 666100)

0 前 言

我國工業(yè)控制基礎(chǔ)軟硬件發(fā)展滯后，核心競爭力差，成為提升工控領(lǐng)域自主安全水平的關(guān)鍵癥結(jié)。相關(guān)工業(yè)控制基礎(chǔ)軟硬件仍然較大程度地依賴從國外引進(jìn)，尤其部分涉及國家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)的重要行業(yè)，核心技術(shù)仍然受制于國外公司，企業(yè)自主創(chuàng)新能力仍然不強(qiáng)，如精密采集、精準(zhǔn)時鐘、智能算法、故障定位、中斷調(diào)度、安全漏洞等[1]。

水電監(jiān)控系統(tǒng)是水電站的“神經(jīng)中樞”，是水電站核心控制系統(tǒng)，可實(shí)現(xiàn)機(jī)組的自動啟停、負(fù)荷及運(yùn)行的智能調(diào)整，是保障安全穩(wěn)定運(yùn)行的重要基礎(chǔ)。長期以來，國內(nèi)大型水電機(jī)組的智能監(jiān)控系統(tǒng)大部分軟硬件依賴國外進(jìn)口，目前國產(chǎn)系統(tǒng)解決了這一“卡脖子”難題，而全國產(chǎn)水電監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全配套也同樣處在探索階段。

電力行業(yè)被定義為關(guān)鍵基礎(chǔ)設(shè)施單位，關(guān)鍵基礎(chǔ)設(shè)施單位網(wǎng)絡(luò)安全即國家安全。電力行業(yè)企業(yè)用戶除依據(jù)相關(guān)法規(guī)進(jìn)行“等級保護(hù)”建設(shè)外，同樣需滿足行業(yè)內(nèi)“國能安全36號文”相關(guān)網(wǎng)絡(luò)安全要求進(jìn)行整體建設(shè)[2]。

現(xiàn)階段國內(nèi)水電站已開始監(jiān)控系統(tǒng)國產(chǎn)化改造，其配套的工控網(wǎng)絡(luò)安全設(shè)備，同樣需在滿足法規(guī)及行業(yè)相關(guān)要求的基礎(chǔ)上對安全設(shè)備進(jìn)行國產(chǎn)化[3]。

網(wǎng)絡(luò)安全合規(guī)建設(shè)過程中，面臨設(shè)備繁多、信息孤立、監(jiān)測面不全、缺乏專業(yè)人員等問題，現(xiàn)階段網(wǎng)絡(luò)安全信息作為生產(chǎn)網(wǎng)絡(luò)數(shù)據(jù)的一部分往往孤立存在，未和機(jī)組實(shí)時監(jiān)測數(shù)據(jù)列為同等重要推送序列，不能實(shí)時反饋和預(yù)警，從而可能造成網(wǎng)絡(luò)安全反應(yīng)遲滯，給安全生產(chǎn)帶來不可預(yù)估風(fēng)險(xiǎn)。

1 技術(shù)路線

1.1 政策合規(guī)

等級保護(hù)2.0標(biāo)準(zhǔn)自2019年12月1日正式執(zhí)行，其適用范圍更廣泛，執(zhí)行標(biāo)準(zhǔn)更嚴(yán)格，其重點(diǎn)突出“一個中心、三重防護(hù)”：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心不同維度進(jìn)行立體化網(wǎng)絡(luò)安全建設(shè)[4]。

依據(jù)《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作的通知》(電監(jiān)信息〔2007〕34號)、《電力行業(yè)信息系統(tǒng)等級保護(hù)定級工作指導(dǎo)意見》電監(jiān)信息〔2007〕44號，發(fā)電企業(yè)電力監(jiān)控系統(tǒng)應(yīng)按照具體定級依據(jù)進(jìn)行系統(tǒng)定級。并結(jié)合對應(yīng)等級要求進(jìn)行安全防護(hù)，所涉及合規(guī)模塊及對應(yīng)關(guān)系如圖1所示。

發(fā)電企業(yè)需按照國家能源局 國能安全〔2015〕36號《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等安全防護(hù)方案和評估規(guī)范要求，重點(diǎn)強(qiáng)化邊界防護(hù)，加強(qiáng)內(nèi)部的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全，加強(qiáng)安全管理制度、機(jī)構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維的管理，提高系統(tǒng)整體安全防護(hù)能力，保證電力監(jiān)控系統(tǒng)及重要數(shù)據(jù)的安全[5-6]。

同時根據(jù)附件4發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案應(yīng)滿足綜合防護(hù)要求，綜合防護(hù)是結(jié)合國家信息安全等級保護(hù)工作的相關(guān)要求對電力監(jiān)控系統(tǒng)從主機(jī)、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計(jì)、備份及容災(zāi)等多個層面進(jìn)行信息安全防護(hù)的過程。具體流程見圖2。

圖1 合規(guī)模塊對應(yīng)關(guān)系

圖2 信息安全防護(hù)過程示意

1.2 一體化需求

水電監(jiān)控系統(tǒng)作為電力企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)，可以清晰了解生產(chǎn)實(shí)時狀態(tài)；同時，生產(chǎn)網(wǎng)絡(luò)的安全作為生產(chǎn)業(yè)務(wù)一部分，現(xiàn)今尤為重要。

為實(shí)時掌握“生產(chǎn)安全”，將網(wǎng)絡(luò)安全數(shù)據(jù)以“IEC104協(xié)議”接入監(jiān)控系統(tǒng)，確保監(jiān)控系統(tǒng)運(yùn)行穩(wěn)定、網(wǎng)絡(luò)安全數(shù)據(jù)傳輸安全、數(shù)據(jù)反饋呈現(xiàn)的真實(shí)預(yù)警效果，需要從工業(yè)協(xié)議、生產(chǎn)工藝流程等多維度進(jìn)行考量對接。

2 安全建設(shè)

水電監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)，在安全防護(hù)技術(shù)上以大數(shù)據(jù)分析為基礎(chǔ)，結(jié)合機(jī)器學(xué)習(xí)、可信計(jì)算、行為分析等能力，形成全國產(chǎn)化的協(xié)同防御體系。防護(hù)設(shè)計(jì)思路為：以國家網(wǎng)絡(luò)安全政策標(biāo)準(zhǔn)為依據(jù)，結(jié)合電力行業(yè)自身的特性，在安全防護(hù)設(shè)計(jì)思路上，按照“2個體系、1個中心、1個支撐”的“211防護(hù)”思路進(jìn)行安全設(shè)計(jì)。

2個體系：指在電力生產(chǎn)控制大區(qū)內(nèi)建立起“白環(huán)境可信體系”和“黑名單防護(hù)體系”。

通過設(shè)備入網(wǎng)白環(huán)境、通信傳輸白環(huán)境和主機(jī)運(yùn)行白環(huán)境的建設(shè)，建立起工控網(wǎng)可信運(yùn)行環(huán)境。保證只有可信任的設(shè)備才能接入到生產(chǎn)網(wǎng)絡(luò)、只有可信任的流量才能在網(wǎng)絡(luò)中傳輸、只有可信任的程序才能在主機(jī)上執(zhí)行的“白環(huán)境可信體系”。

通過病毒檢測、網(wǎng)絡(luò)入侵檢測、漏洞利用攻擊檢測、APT攻擊檢測的建設(shè)，建立起基于訪問控制、病毒庫、入侵規(guī)則庫、漏洞利用規(guī)則庫、威脅情報(bào)庫的“黑名單防護(hù)體系”。

1個中心：指建立具有電力行業(yè)屬性的安全運(yùn)營中心，一方面通過工業(yè)安全態(tài)勢感知平臺、集中日志審計(jì)、統(tǒng)一安全運(yùn)維、統(tǒng)一威脅發(fā)現(xiàn)、統(tǒng)一安全設(shè)備管理的建設(shè)，建立起工控網(wǎng)安全管理中心。另外，會利用IEC104協(xié)議等進(jìn)行威脅事件的上報(bào)和告警，匹配電力行業(yè)工控網(wǎng)絡(luò)的業(yè)務(wù)特點(diǎn)。

1個支撐：指建立以專業(yè)安全服務(wù)為支撐的主動管理能力。通過風(fēng)險(xiǎn)評估、安全巡檢、應(yīng)急響應(yīng)、安全培訓(xùn)等的全方位專業(yè)化安全服務(wù)，主動發(fā)現(xiàn)安全風(fēng)險(xiǎn)，建立工控網(wǎng)運(yùn)轉(zhuǎn)高效、處置得當(dāng)?shù)陌踩\(yùn)營工作機(jī)制。

2.1 合規(guī)建設(shè)

在安全區(qū)Ⅰ和安全區(qū)Ⅱ之間部署工業(yè)防火墻，通過訪問控制和工控協(xié)議深度解析，建立業(yè)務(wù)通信白名單，實(shí)現(xiàn)區(qū)域間的安全訪問控制[7]。

在安全防護(hù)交換機(jī)旁路部署工控安全監(jiān)測與審計(jì)系統(tǒng)?；诠た貐f(xié)議深度解析技術(shù)，智能學(xué)習(xí)建立業(yè)務(wù)系統(tǒng)安全通信模型，實(shí)時監(jiān)測生產(chǎn)網(wǎng)絡(luò)異常流量和行為，提高計(jì)算機(jī)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全審計(jì)能力。

在安全防護(hù)交換機(jī)旁路部署入侵檢測系統(tǒng)和高級威脅檢測系統(tǒng)，通過開啟入侵檢測功能，及時告警網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)掃描、入侵攻擊、APT攻擊等違反安全策略的行為和被攻擊的跡象。

在安全防護(hù)交換機(jī)旁路部署防毒墻設(shè)備，通過開啟病毒防護(hù)功能，及時告警網(wǎng)絡(luò)中存在的病毒傳播事件。

建設(shè)安全防護(hù)管理區(qū)實(shí)現(xiàn)集中管理，在管理區(qū)內(nèi)部署安全運(yùn)維管理系統(tǒng)，完成賬號統(tǒng)一管理、資源和權(quán)限統(tǒng)一分配、操作全程審計(jì)，提升運(yùn)維過程的安全性；部署統(tǒng)一安全管理平臺，對機(jī)組部署的安全設(shè)備進(jìn)行統(tǒng)一的安全管理，包括策略下發(fā)、日志審計(jì)、報(bào)警展示等，簡化運(yùn)維管理工作流程、提高運(yùn)維管理工作效率；部署日志審計(jì)與分析系統(tǒng)，實(shí)現(xiàn)日志數(shù)據(jù)和告警數(shù)據(jù)統(tǒng)一收集和關(guān)聯(lián)分析；部署數(shù)據(jù)庫審計(jì)系統(tǒng)，對數(shù)據(jù)庫的重要操作行為進(jìn)行監(jiān)控和審計(jì)；部署工控漏洞掃描平臺，對計(jì)算機(jī)監(jiān)控系統(tǒng)進(jìn)行漏洞掃描，實(shí)現(xiàn)對工控設(shè)備、系統(tǒng)、軟件等漏洞的掌控及管理。

在安全Ⅱ區(qū)和調(diào)度數(shù)據(jù)網(wǎng)之間部署入侵防御系統(tǒng)，對病毒傳播、漏洞攻擊、掃描探測等各類攻擊實(shí)時檢測和阻斷，保障電廠與調(diào)度之間的安全通信。

2.2 一體化建設(shè)

水電監(jiān)控系統(tǒng)統(tǒng)一生產(chǎn)環(huán)境工業(yè)協(xié)議，使用IEC104向水電監(jiān)控系統(tǒng)傳輸網(wǎng)絡(luò)安全事件信息。

水電監(jiān)控系統(tǒng)作為重要生產(chǎn)系統(tǒng)，為保障其穩(wěn)定性防止網(wǎng)絡(luò)安全告警信息過載影響生產(chǎn)系統(tǒng)并兼顧網(wǎng)絡(luò)安全信息及時反饋，具體思路如下：

(1)現(xiàn)階段優(yōu)先支持部分重要告警信息，告警類型編號包含設(shè)備無流量(01)、異常流量(02)、工控協(xié)議操作異常(03)、違反ACL規(guī)則(04)、會話異常行為(05)、地址欺詐(06)、程序報(bào)警事件(07)、非法外聯(lián)(08)、未知設(shè)備接入(09)、非法外設(shè)接入(10)。

(2)以IEC104協(xié)議暫定兩種發(fā)送告警狀態(tài)方式。一是水電監(jiān)控系統(tǒng)主動發(fā)送總召喚，統(tǒng)一安全平臺反饋需求十種告警的狀態(tài)(是否有告警)；二是在兩次總召喚之間告警狀態(tài)發(fā)生改變，主動上傳變化的告警類型以及對應(yīng)的告警狀態(tài)。

3 技術(shù)特點(diǎn)

3.1 白名單可信技術(shù)

利用工業(yè)協(xié)議白名單、指令白名單、進(jìn)程白名單等技術(shù)構(gòu)建起工控網(wǎng)可信運(yùn)行環(huán)境，以白名單技術(shù)為主的核心產(chǎn)品也更加適用于以可用性為主的工業(yè)現(xiàn)場。有效解決了傳統(tǒng)的“黑名單”技術(shù)在解決工控安全問題時存在的兼容性、易用性、日常管理工作量大等問題[8]。

3.2 工業(yè)級通信性能

采用高性能ARM架構(gòu)，運(yùn)用白名單規(guī)則匹配算法，在開啟深度報(bào)文檢測(DPI)的情況下可實(shí)現(xiàn)30000PPS的吞吐量。時延小于100 μs，是業(yè)界同類產(chǎn)品的1/10。

3.3 軟硬件國產(chǎn)化

全國產(chǎn)水電監(jiān)控系統(tǒng)配套網(wǎng)絡(luò)安全設(shè)備，均采用國產(chǎn)軟硬件安全設(shè)備進(jìn)行整體配套，依據(jù)當(dāng)前國內(nèi)主流架構(gòu)設(shè)計(jì)普遍采用“PK”(飛騰+麒麟)架構(gòu)設(shè)計(jì)。

3.4 監(jiān)控系統(tǒng)與網(wǎng)絡(luò)安全信息對接

通過將網(wǎng)絡(luò)安全信息統(tǒng)一匯總，并以IEC104協(xié)議按需求發(fā)送至監(jiān)控系統(tǒng)，充分考慮時效性、有效性因素，完善了監(jiān)控系統(tǒng)生產(chǎn)數(shù)據(jù)完整性。

4 結(jié) 論

基于全國產(chǎn)水電監(jiān)控系統(tǒng)的一體化網(wǎng)絡(luò)安全防護(hù)及應(yīng)用項(xiàng)目，水電站采取國產(chǎn)化水電站監(jiān)控系統(tǒng)平臺配套國產(chǎn)化工控安全方案，滿足國能安全36號文、等級保護(hù)2.0要求，并補(bǔ)充數(shù)據(jù)庫操作審計(jì)，APT攻擊防范能力，完善電廠的安全防護(hù)體系，同時通過安全統(tǒng)一管理平臺與水電監(jiān)控系統(tǒng)對接，完善生產(chǎn)業(yè)務(wù)數(shù)據(jù)，實(shí)時把控安全生產(chǎn)，確保生產(chǎn)工藝安全和生產(chǎn)網(wǎng)絡(luò)安全，對水電站在國產(chǎn)化工控安全的建設(shè)與完善國產(chǎn)水電監(jiān)控系統(tǒng)研究與試點(diǎn)推廣上提供了寶貴的經(jīng)驗(yàn)。