曾 體 健

(貴州烏江水電開發(fā)有限責任公司，貴州 貴陽 550002)

0 前 言

電力行業(yè)是我國重要的關鍵基礎設施，關乎國計民生，其中發(fā)電廠電力監(jiān)控系統(tǒng)是最核心和重要的系統(tǒng)之一。在滿足“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”基本原則的基礎上，結合國家信息安全等級保護工作的相關要求，如何開展好電力監(jiān)控系統(tǒng)的綜合安全防護建設工作成為需要迫切解決的問題。

1 發(fā)電企業(yè)網(wǎng)絡安全面臨的形勢

電力系統(tǒng)已逐漸由封閉獨立向開放互聯(lián)轉(zhuǎn)變。電力監(jiān)控系統(tǒng)由專用平臺、專用協(xié)議逐漸轉(zhuǎn)變?yōu)殚_放平臺和通用協(xié)議，原本孤立的系統(tǒng)開始大規(guī)?；ヂ?lián)，系統(tǒng)開始使用通用硬件，并且廣泛使用各類標準網(wǎng)絡設備和商用軟件，系統(tǒng)的開放性和網(wǎng)絡高度連接性，無形中也提供了更多的攻擊渠道。無線專網(wǎng)、電力線載波等新型接入方式的大量應用，將終端設備深入到用戶側(cè)的非可控環(huán)境中，終端的智能化和互聯(lián)互通的迫切需求給傳統(tǒng)的隔離式網(wǎng)絡結構提出了新問題。物聯(lián)網(wǎng)大數(shù)據(jù)技術在工控現(xiàn)場的深化應用導致網(wǎng)絡基礎環(huán)境也隨之變化，網(wǎng)絡結構復雜化、邊界模糊化、威脅形態(tài)多樣化導致物理隔離更加難以實施，這給當前電力工控系統(tǒng)網(wǎng)絡安全防護工作帶來嚴峻挑戰(zhàn)[1]。

2 設計思路

在日益嚴峻的網(wǎng)絡安全環(huán)境下，關鍵基礎設施單位整體網(wǎng)絡安全需滿足行業(yè)(國能安全〔2015〕36號文)、法規(guī)(等級保護基本要求)等要求，可探索建設基于“白環(huán)境”的“縱深防御”安全防護技術體系，具體設計思路為：以“一個中心、三重防護”為指導思想，從“安全區(qū)域邊界、安全通信網(wǎng)絡、安全計算環(huán)境”三個維度，建立“可信電力監(jiān)控系統(tǒng)白環(huán)境整體縱深防御結構”。總體設計思路示意見圖1。

圖1 總體設計思路示意

通過對電力監(jiān)控系統(tǒng)網(wǎng)絡邊界、數(shù)據(jù)流量、計算環(huán)境等進行監(jiān)控，收集并分析生產(chǎn)控制系統(tǒng)網(wǎng)絡數(shù)據(jù)及系統(tǒng)軟件運行狀態(tài)，建立生產(chǎn)控制系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型，進而構筑生產(chǎn)控制系統(tǒng)安全“白環(huán)境”，確保：只有可信任的設備，才能接入系統(tǒng)網(wǎng)絡；只有可信任的消息，才能在系統(tǒng)網(wǎng)絡上傳輸；只有可信任的軟件，才允許被執(zhí)行。

3 具體措施

依據(jù)國能安全〔2015〕36號、等級保護基本要求，結合“白環(huán)境”實現(xiàn)整體縱深防御防護。

3.1 強化安全區(qū)域邊界訪問控制能力

生產(chǎn)控制大區(qū)到上級調(diào)度邊界處，在縱向加密的基礎上，部署工業(yè)防火墻強化安全邊界訪問控制能力。安全Ⅰ區(qū)和安全Ⅱ區(qū)之間部署工業(yè)防火墻，強化生產(chǎn)控制大區(qū)內(nèi)部兩個重要區(qū)域之間的邊界訪問控制能力。安全I區(qū)內(nèi)部，上位機與各LCU之間部署工業(yè)防火墻，實現(xiàn)各水輪發(fā)電機組監(jiān)控系統(tǒng)之間、與控制系統(tǒng)之間以及同一水輪發(fā)電機組不同功能的監(jiān)控系統(tǒng)之間的邊界隔離。

3.2 提高網(wǎng)絡內(nèi)、外入侵和惡意代碼防御能力

生產(chǎn)控制大區(qū)到調(diào)度和集控中心邊界處，在縱向加密和正向隔離的基礎上，旁路部署網(wǎng)絡威脅感知系統(tǒng)，利用強有效的入侵行為感知能力，有效發(fā)現(xiàn)從外部區(qū)域到發(fā)電企業(yè)生產(chǎn)控制系統(tǒng)的入侵行為，尤其是利用APT攻擊的入侵行為。安全Ⅰ區(qū)業(yè)務網(wǎng)絡內(nèi)各關鍵網(wǎng)絡節(jié)點處旁路部署工控安全監(jiān)測與審計系統(tǒng)，利用白名單技術建立生產(chǎn)控制系統(tǒng)安全通信模型，實時監(jiān)測生產(chǎn)網(wǎng)絡異常流量，及時發(fā)現(xiàn)針對各水輪發(fā)電機組控制系統(tǒng)的入侵行為[2]。在生產(chǎn)控制大區(qū)內(nèi)部安全管理中心區(qū)域內(nèi)建立安全運維管理域，在安全運維管理域內(nèi)部署準入控制系統(tǒng)，對接入生產(chǎn)控制網(wǎng)絡的設備進行身份驗證和設備合法性檢測，保證接入的設備身份是合法的，保證接入設備自身是安全的。

3.3 提高系統(tǒng)內(nèi)主機病毒防范能力

生產(chǎn)控制大區(qū)內(nèi)部所有操作員站、工程師站、通信機等關鍵主機/服務器上安裝主機加固軟件，利用白名單技術對主機/服務器系統(tǒng)內(nèi)所有可執(zhí)行程序進行可信認證，保證只有認證過的程序才可以運行。有效阻止病毒/惡意代碼等程序執(zhí)行，從而提高系統(tǒng)主機的病毒防范能力。

3.4 提高主機安全基線

生產(chǎn)控制大區(qū)統(tǒng)一安全管理中心內(nèi)部署安全運維管理系統(tǒng)，利用雙因子認證技術，提高對網(wǎng)絡設備的身份認證能力。利用主機加固功能模塊，對主機進行一鍵式安全加固，提高主機安全基線。通過網(wǎng)絡白名單技術，關閉不必要的服務端口，提高系統(tǒng)的入侵防范能力。通過訪問控制策略，保證業(yè)務配置文件不被篡改。通過強制訪問控制和自主訪問控制技術對主機上關鍵配置文件進行訪問控制權限控制，保證只有授權的用戶才能訪問，同時對操作行為進行管控[3-5]。

3.5 建立統(tǒng)一安全管理中心，強化集中管控能力

建立發(fā)電企業(yè)生產(chǎn)控制大區(qū)安全管理中心，其內(nèi)部署統(tǒng)一安全管理平臺，實現(xiàn)對安全產(chǎn)品統(tǒng)一管理、對安全資產(chǎn)的可視化展示、對運維人員身份授權、運維人員操作授權和運維人員行為審計。實現(xiàn)對網(wǎng)絡內(nèi)主機設備、網(wǎng)絡設備、安全設備的日志進行統(tǒng)一采集并進行關聯(lián)分析，幫助企業(yè)完成所有安全設備統(tǒng)一策略管理措施，對運維人員實施身份鑒別和行為管控。

4 技術特點

打造“白環(huán)境”的工控安全解決方案，可以幫助企業(yè)滿足電力監(jiān)控系統(tǒng)信息安全防護的相關要求。具備諸多優(yōu)勢。

4.1 安全設備的統(tǒng)一管理

統(tǒng)一安全管理平臺將工控網(wǎng)絡中的所有安全設備和系統(tǒng)進行集中管理，減少管理人員的工作量，降低企業(yè)人力成本的投入。統(tǒng)一安全管理平臺具有豐富的管理功能，友好的用戶界面，人性化的統(tǒng)計報表，極大地提高企業(yè)工控系統(tǒng)安全運維管理的效率。

4.2 化繁為簡的安全防護體系

統(tǒng)一安全管理平臺可以通過對工控網(wǎng)絡內(nèi)全部的安全產(chǎn)品進行集中管理，從而實現(xiàn)全網(wǎng)信息安全的可視化展示、安全設備的統(tǒng)一配置等功能，簡化電力監(jiān)控網(wǎng)絡內(nèi)的信息安全防護工作流程，提升工作效率。

4.3 全面體系化的方案

該系統(tǒng)是覆蓋電力監(jiān)控系統(tǒng)邊界、主機、控制設備、控制軟件等全方位安全的縱深防護體系，覆蓋檢測、防護、響應、審計的全過程，不留安全死角。

5 結 論

基于“白環(huán)境”的電力監(jiān)控系統(tǒng)安全解決方案，相比較傳統(tǒng)的安全防護設備及殺毒軟件，能更有效地防御區(qū)域邊界非法訪問、監(jiān)控非法的網(wǎng)絡通信、防御病毒、木馬及非授權軟件的安裝與運行，更符合電力監(jiān)控系統(tǒng)的行業(yè)特點，“白環(huán)境”解決方案對電力監(jiān)控系統(tǒng)有更強的針對性。