王 一

(北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，北京 100000)

0 前 言

隨著智能電網(wǎng)的發(fā)展，傳統(tǒng)的第二代水電站監(jiān)控系統(tǒng)由于定期檢修成本高、效率低、難度大，突發(fā)非停事故仍不可預(yù)測和預(yù)防，系統(tǒng)大、多級通信故障風(fēng)險高，升級改造擴展設(shè)備效率低、不靈活等特點，已經(jīng)無法滿足智能電網(wǎng)的需求，因此以工業(yè)4.0和工業(yè)互聯(lián)網(wǎng)發(fā)展方向為目標(biāo)的智能水電站解決方案被提出，同時國家能源局也發(fā)布了DL/T 1547—2016《智能水電廠技術(shù)導(dǎo)則》。智能水電站與傳統(tǒng)水電站的分層分級架構(gòu)最明顯的區(qū)別是：將單元層分成了監(jiān)控層(集中)和輔控層(分布式)。智能化水電站三層兩網(wǎng)的核心是：將監(jiān)控層和輔控層合并為單元層(全部采用分布式)，升級為智能測控單元[1]。因此網(wǎng)絡(luò)安全防護的要求也發(fā)生了變化，需要監(jiān)視安全防護設(shè)備實時狀態(tài)，根據(jù)聯(lián)動策略自動觸發(fā)安全防護設(shè)備聯(lián)動操作，為運行人員快速事件處理和關(guān)聯(lián)設(shè)備操作提供支持。

1 智能水電站安全需求

智能水電站具備多元化的通信方式，對象設(shè)備多用IEC61850，集控和IT云端用OPC-UA，儀表用IEC104、ModbusTCP等，水電站從PLC變種到PAC，現(xiàn)在再從PAC變種到智能IED、小型智能IO，將單元層分成了監(jiān)控層(集中)和輔控層(分布式)，將監(jiān)控層和輔控層合并為單元層(全部采用分布式)，升級為智能測控單元，通過OT系統(tǒng)和IT系統(tǒng)的融合，采用人工智能和與機器學(xué)習(xí)等能力，實現(xiàn)一個平臺的開放自動化的特點。

針對上述特點，智能水電站的安全防護需求如下：

(1)單元層設(shè)備全部采用分布式部署，傳統(tǒng)的串接防護方式無法在該架構(gòu)下進行部署，因此需要采用旁路監(jiān)測及策略聯(lián)動觸發(fā)防御的方式進行安全防護；

(2)OT系統(tǒng)和IT系統(tǒng)融合，安全防護需要同時考慮OT系統(tǒng)及IT系統(tǒng)的防護[2]；

(3)由于IT系統(tǒng)采用了云計算技術(shù)，因此需同步考慮云安全的防護；

(4)應(yīng)符合《電力二次系統(tǒng)安全防護規(guī)定》要求；

(5)應(yīng)符合《電力監(jiān)控系統(tǒng)安全防護總體方案》要求。

2 智能水電站安全防護設(shè)計

2.1 三層兩網(wǎng)智能水電站區(qū)域劃分設(shè)計

依據(jù)國家能源局〔2021〕36號文中相關(guān)規(guī)定[1]，對水電站生產(chǎn)網(wǎng)絡(luò)進行安全域劃分，目的旨在切割風(fēng)險，即任意一點遭受攻擊或網(wǎng)絡(luò)風(fēng)暴不會對其他生產(chǎn)過程產(chǎn)生影響，同時方便管理策略的執(zhí)行。

安全域劃分應(yīng)遵守以下原則：

(1)基于業(yè)務(wù)類型進行安全域劃分，保證業(yè)務(wù)的可靠性、連續(xù)性；

(2)充分認(rèn)知業(yè)務(wù)對象，嚴(yán)謹(jǐn)定位業(yè)務(wù)范圍；

(3)結(jié)合業(yè)務(wù)自身特性，準(zhǔn)確識別業(yè)務(wù)數(shù)據(jù)流；

(4)充分識別業(yè)務(wù)風(fēng)險，明確業(yè)務(wù)防護需求。

水電站安全區(qū)域劃分遵照生產(chǎn)網(wǎng)絡(luò)架構(gòu)，原則上不同生產(chǎn)區(qū)域間禁止非授權(quán)訪問。具體安全區(qū)域劃分如圖1所示。

圖1 智能水電站區(qū)域劃分邏輯拓?fù)涫疽?/p>

水電站生產(chǎn)網(wǎng)絡(luò)包括生產(chǎn)控制大區(qū)安全Ⅰ區(qū)(控制區(qū))、安全Ⅱ區(qū)(非控制區(qū))、管理信息大區(qū)等不同的網(wǎng)絡(luò)區(qū)域[3]。

安全Ⅰ區(qū)：即生產(chǎn)控制區(qū)，該區(qū)是電力系統(tǒng)中最為關(guān)鍵的部分，包括調(diào)速裝置、勵磁裝置、機組保護 LCU、開關(guān)站 LCU、存儲工作站等生產(chǎn)控制設(shè)備。

安全Ⅱ區(qū)：即生產(chǎn)非控制區(qū)，包括電能量采集裝置、水情自動測報系統(tǒng)、故障錄波信息管理終端等業(yè)務(wù)系統(tǒng)。

管理信息大區(qū)：包括雷電監(jiān)測系統(tǒng)、氣象信息系統(tǒng)、大壩自動監(jiān)測系統(tǒng)、管理信息系統(tǒng)(MIS)等業(yè)務(wù)系統(tǒng)。

2.2 各區(qū)域安全監(jiān)測及防護設(shè)計

2.2.1 生產(chǎn)大區(qū)設(shè)計

(1)常規(guī)水電站安全防護手段分析

在常規(guī)水電站中監(jiān)控及輔控設(shè)備，通常以星形或者環(huán)網(wǎng)的方式進行自組網(wǎng)后再分別連接廠站層網(wǎng)和過程層網(wǎng)，如圖2所示。

安全防護手段以安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證的安全防護為主，主要采用工控防火墻部署于生產(chǎn)控制網(wǎng)絡(luò)內(nèi)部各生產(chǎn)區(qū)域邊界處，通過基于工業(yè)協(xié)議的識別對訪問行為進行訪問控制，如圖3所示。

圖2 常規(guī)水電站監(jiān)控系統(tǒng)示意

圖3 常規(guī)水電站安全防護示意

(2)智能化水電站安全防護設(shè)計

在智能化水電站中最大的變化在單元層。智能化水電站已經(jīng)實現(xiàn)了去中心化及扁平化，各設(shè)備之間通過廠站層網(wǎng)和過程層網(wǎng)之間進行通信，各設(shè)備不再集中或者串行部署，而采用分布式部署的方式，如圖4所示。

圖4 智能化水電站示意

在分布式部署模式下工控防火墻已經(jīng)無法對單元層設(shè)備進行防護，因此需要轉(zhuǎn)換安全防護思路，從區(qū)域邊界訪問控制變?yōu)榉植际奖O(jiān)測、聯(lián)動訪問控制，從而實現(xiàn)安全防護的目的。

在廠站層網(wǎng)和過程層網(wǎng)的網(wǎng)絡(luò)交換節(jié)點部署工控安全監(jiān)測設(shè)備，監(jiān)測生產(chǎn)控制區(qū)的所有交換流量，工控安全監(jiān)測設(shè)備采用攻擊規(guī)則檢測+業(yè)務(wù)白名單兩種方式，對工業(yè)控制網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包進行相應(yīng)的行為匹配，及時發(fā)現(xiàn)來自生產(chǎn)網(wǎng)內(nèi)外部攻擊威脅。一旦確定安全威脅，工控安全監(jiān)測設(shè)備立即與生產(chǎn)控制區(qū)邊界工控防火墻聯(lián)動，及時對安全威脅進行處置。同時生產(chǎn)控制區(qū)邊界工控防火墻借助網(wǎng)絡(luò)白名單功能對通信報文進行過濾，在區(qū)域邊界進行隔離，防范來自外來區(qū)域的安全風(fēng)險。

同時，在IDMZ區(qū)部署工控漏掃承擔(dān)對生產(chǎn)網(wǎng)中非運行狀態(tài)以及未上線前主機、應(yīng)用以及控制器的脆弱性掃描，實現(xiàn)對網(wǎng)絡(luò)脆弱性的識別。掃描結(jié)果通過 SYSLOG 或 SNMP 將日志上傳至工控大數(shù)據(jù)態(tài)勢感知系統(tǒng)。部署工控大數(shù)據(jù)態(tài)勢感知系統(tǒng)，工控大數(shù)據(jù)態(tài)勢感知系統(tǒng)是安全態(tài)勢分析體系的重要組成部分，承擔(dān)態(tài)勢感知分析存儲以及展示部分，通過安全大數(shù)據(jù)建模分析，幫助安全技術(shù)人員及管理人員看清現(xiàn)在遭受的網(wǎng)絡(luò)威脅，并對防護策略進行評估，通過對業(yè)務(wù)的全流量監(jiān)控，可在檢測攻擊，還原被攻擊場景，對攻擊流量成分、攻擊時間等進行詳細(xì)描述，對業(yè)務(wù)影響進行有效評估。

部署工控主機衛(wèi)士系統(tǒng)，工控主機衛(wèi)士系統(tǒng)管理端部署于運維管理區(qū)域，客戶端部署于生產(chǎn)網(wǎng)上位機、服務(wù)器、采集終端等PC，通過對終端運行進程、服務(wù)等以白名單方式進行識別，策略范圍外進程、服務(wù)禁用。在服務(wù)器上對移動存儲介質(zhì)進行授權(quán)，非授權(quán)介質(zhì)從驅(qū)動層面禁用。

2.2.2 管理信息大區(qū)設(shè)計

在智能化水電站的設(shè)計中，管理信息大區(qū)與常規(guī)水電站沒有太大的變化，因此安全防護手段亦無太大變化。根據(jù)《電力監(jiān)控系統(tǒng)安全防護總體方案》要求統(tǒng)一部署防火墻、IDS、惡意代碼防護系統(tǒng)及桌面終端控制系統(tǒng)等通用安全防護設(shè)施，如圖5所示。

圖5 智能化水電站安全防護系統(tǒng)示意

在管理信息大區(qū)邊界部署下一代防火墻，同時在下一代防火墻上開啟防病毒、入侵防御、應(yīng)用識別功能模塊，實現(xiàn)區(qū)域邊界的病毒防護、入侵防護及檢測和應(yīng)用控制功能。

部署EDR及終端管控系統(tǒng)，EDR及終端管控系統(tǒng)管理端部署于運維管理區(qū)域，客戶端部署于PC終端上，實現(xiàn)對終端運行進程、服務(wù)等以白名單方式進行識別，策略范圍外進程、服務(wù)禁用，病毒檢測及防護等功能?？蛻舳瞬渴鹩诜?wù)器上對移動存儲介質(zhì)進行授權(quán)，非授權(quán)介質(zhì)從驅(qū)動層面禁用，病毒檢測及防護等功能。

在管理信息大區(qū)與生產(chǎn)控制大區(qū)邊界部署兩套電力專用橫向單向隔離裝置，生產(chǎn)控制區(qū)域與電力調(diào)度系統(tǒng)之間部署電力專用縱向加密認(rèn)證裝置，實現(xiàn)區(qū)域邊界安全隔離。

3 結(jié) 論

本文研究結(jié)果表明，通過構(gòu)建智能化水電站信息安全防護體系，可以帶來以下經(jīng)濟和社會效益：

(1)滿足網(wǎng)絡(luò)安全法、等級保護2.0等政策法規(guī)要求，從政策合規(guī)性層面保障企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全；

(2)在保證智能化水電站安全、穩(wěn)定運行的同時，提升企業(yè)工業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護水平，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性和安全性；

(3)保障生產(chǎn)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)私密性，避免企業(yè)相關(guān)信息、關(guān)鍵參數(shù)、隱私信息泄漏。