左 進(jìn)，孫永凱

（1.國電恩施水電開發(fā)有限公司，湖北 恩施 445000；2.北京中水科水電科技開發(fā)有限公司，北京 100038）

近年來，水力發(fā)電建設(shè)工程快速發(fā)展，以智能電網(wǎng)為建設(shè)核心的電力智能設(shè)備大量鋪設(shè)，電力監(jiān)控系統(tǒng)給電力設(shè)備接入和實時監(jiān)控提供了平臺，監(jiān)控系統(tǒng)也向著結(jié)構(gòu)更加復(fù)雜、接入設(shè)備點更多以及多系統(tǒng)聯(lián)動控制的方向發(fā)展，因此，給系統(tǒng)的安全防御帶來巨大困難。2010年伊朗鈾濃縮系統(tǒng)被震網(wǎng)病毒侵入，精確攻擊了千臺鈾離心機(jī)[1]。2015年底，BlackEnergy病毒侵入烏克蘭多座變電站，造成烏克蘭大面積停電事故[2]。由此，電力監(jiān)控系統(tǒng)作為二次設(shè)備的大腦中樞，直接影響電力生產(chǎn)、運營和管理的安全水平。

電力監(jiān)控系統(tǒng)的安全風(fēng)險來源分析，主要聚焦于二次設(shè)備因素、信息系統(tǒng)因素、人為因素3個方面[3]。文章探討了水電站集群電力監(jiān)控系統(tǒng)，利用技術(shù)手段著力于上述3個方面進(jìn)行安全加固，在《電力二次系統(tǒng)安全防護(hù)總體方案》（電監(jiān)會[2006]34號令）提出安全分區(qū)的基礎(chǔ)上，以電力監(jiān)控系統(tǒng)安全區(qū)為安全加固對象，進(jìn)行縱深防護(hù)技術(shù)設(shè)計，即基于安全分區(qū)管理的分層加固與縱深防護(hù)系統(tǒng)。水電集群電力監(jiān)控系統(tǒng)滿足安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證的原則，有效地保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。

1 基于安全分區(qū)防護(hù)設(shè)計思想

1.1 安全分區(qū)

依據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，電力監(jiān)控系統(tǒng)按照控制大區(qū)和管理信息大區(qū)進(jìn)行區(qū)域劃分?？刂拼髤^(qū)內(nèi)安全Ⅰ區(qū)為實時控制區(qū)，其安全級別最高，安全Ⅱ區(qū)為非實時控制區(qū)，主要實現(xiàn)水調(diào)自動化各類應(yīng)用和流域經(jīng)濟(jì)運行計算。管理信息大區(qū)即安全Ⅲ/Ⅳ區(qū)，承擔(dān)信息發(fā)布匯總與決策任務(wù)。

橫向隔離對安全區(qū)跨區(qū)域通信進(jìn)行安全防護(hù)，橫向隔離分為邏輯隔離與物理隔離[4]。防火墻對流過的數(shù)據(jù)流實行允許、拒絕、重定向的方法達(dá)到邏輯隔離效果，保障安全Ⅰ區(qū)與安全Ⅱ區(qū)數(shù)據(jù)安全傳輸。物理隔離為數(shù)據(jù)流只能進(jìn)行單向傳輸，可阻斷黑客對數(shù)據(jù)鏈路的攻擊，達(dá)到分區(qū)安全可靠的目的。

1.2 分層加固與縱深設(shè)備安全防護(hù)

水電集群電力系統(tǒng)監(jiān)控系統(tǒng)有若干個分布式子系統(tǒng)接入系統(tǒng)基礎(chǔ)平臺，并且系統(tǒng)基礎(chǔ)平臺需與上級調(diào)度系統(tǒng)進(jìn)行縱向通信聯(lián)系，因此，本設(shè)計將廠站監(jiān)控子系統(tǒng)、系統(tǒng)基礎(chǔ)調(diào)度平臺和上級調(diào)度平臺，自下而上的各環(huán)節(jié)設(shè)備、通信協(xié)議、數(shù)據(jù)維護(hù)等安全防護(hù)要素封裝成一體化縱向防護(hù)系統(tǒng)。系統(tǒng)基礎(chǔ)平臺縱向防護(hù)示意見圖1所示。

分層加固，則利用縱向封裝的安全防護(hù)要素為對象，依據(jù)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》,構(gòu)建形成電力監(jiān)控系統(tǒng)層次化的等級保護(hù)體系，由物理部署與結(jié)構(gòu)安全、網(wǎng)絡(luò)通信安全、本機(jī)環(huán)境安全、應(yīng)用服務(wù)安全和數(shù)據(jù)安全5層組成。本設(shè)計將安全加固技術(shù)嵌入至監(jiān)控系統(tǒng)開發(fā)全過程中，使系統(tǒng)安全防護(hù)與系統(tǒng)服務(wù)成為整體，通過開發(fā)的配置軟件即可對系統(tǒng)防護(hù)能力和防護(hù)策略進(jìn)行動態(tài)實時調(diào)整。

圖1 系統(tǒng)基礎(chǔ)平臺縱向防護(hù)示意圖

2 分層加固與縱深防護(hù)系統(tǒng)技術(shù)實現(xiàn)

安全防護(hù)系統(tǒng)的構(gòu)建思想是實行多層加固、多設(shè)備點縱深防御策略。將系統(tǒng)的硬件設(shè)備、通信網(wǎng)絡(luò)、數(shù)據(jù)流等所有被保護(hù)的對象統(tǒng)稱為防護(hù)要素，將防護(hù)要素按照其屬性分成5層，各層掛載并管理對應(yīng)的防護(hù)要素，并利用對象樹的方法直觀體現(xiàn)出來。各層防護(hù)技術(shù)架構(gòu)示意見圖2所示。

圖2 各層防護(hù)技術(shù)架構(gòu)示意圖

2.1 物理部署與系統(tǒng)結(jié)構(gòu)安全加固

物理硬件部署層，其包含對邊界防護(hù)、縱向加密、橫向隔離和外設(shè)接口管理4方面進(jìn)行安全加固。邊界防護(hù)確定明確的物理分類邊界，對安全分區(qū)的設(shè)備有明確的區(qū)分，對網(wǎng)絡(luò)鏈路拓?fù)湟约皩?yīng)服務(wù)器設(shè)備有明確的標(biāo)注和安全防護(hù)守則?？v向加密設(shè)備加固，使用相關(guān)部門認(rèn)證的電力專用縱向加密設(shè)備，實現(xiàn)身份雙向認(rèn)證、數(shù)據(jù)加密和訪問控制功能，對向上層調(diào)度傳輸數(shù)據(jù)提供安全加固能力。橫向隔離滿足跨安全區(qū)傳輸?shù)姆雷o(hù)要求，設(shè)立病毒過濾網(wǎng)關(guān)以及黑白名單規(guī)則。外設(shè)接口管理嚴(yán)防系統(tǒng)隨意接入U盤等移動設(shè)備，系統(tǒng)通過驅(qū)動檢測外設(shè)接口生成運行日志并事件報警。

2.2 網(wǎng)絡(luò)通信安全加固

網(wǎng)絡(luò)通信安全部署層，其包含雙網(wǎng)（A網(wǎng)、B網(wǎng)）冗余部署與自動切換、IP劃分與入侵檢測、數(shù)據(jù)通信與傳輸3個方面。雙網(wǎng)結(jié)構(gòu)不僅可提升系統(tǒng)通信的可靠性，而且在某節(jié)點遭遇攻擊時，可啟用備用網(wǎng)絡(luò)維持正常的生產(chǎn)控制秩序。IP劃分做到分段明確、不重不漏、長期固定的原則，避免因IP規(guī)劃產(chǎn)生安全隱患，建立三權(quán)分立賬戶，提升密碼復(fù)雜程度，設(shè)置登錄失效時間，配置NTP服務(wù)同步時鐘。防護(hù)系統(tǒng)提供了完整的跨安全分區(qū)數(shù)據(jù)同步機(jī)制，既滿足了網(wǎng)絡(luò)安全防護(hù)的要求，又實現(xiàn)了系統(tǒng)級的數(shù)據(jù)跨區(qū)同步功能。數(shù)據(jù)通信與傳輸加固，通過使用電力通信專網(wǎng)以及VPN加密協(xié)議等，在傳輸前對數(shù)據(jù)采用高強(qiáng)度的3DES、AES、Blowfish等算法進(jìn)行數(shù)據(jù)加密。數(shù)據(jù)加密和數(shù)字雙認(rèn)證技術(shù)相結(jié)合確保數(shù)據(jù)傳輸安全。

2.3 本機(jī)環(huán)境安全加固

2.3.1 Windows操作系統(tǒng)主機(jī)加固

本機(jī)操作系統(tǒng)從賬戶密碼策略與認(rèn)證授權(quán)加固、網(wǎng)絡(luò)與服務(wù)加固、日志審計加固、IP協(xié)議加固4個方面進(jìn)行安全防護(hù)。賬戶密碼加固為規(guī)范工作賬戶管理，并將非工作登錄賬戶刪除，提升登錄密碼的復(fù)雜度并定期更換密碼，采用靜態(tài)口令認(rèn)證技術(shù)，更改賬戶鎖定閾值大小，同時建立不同賬戶的控制權(quán)限和相關(guān)訪問權(quán)限。網(wǎng)絡(luò)服務(wù)加固即開啟系統(tǒng)防火墻，關(guān)閉不必要的端口，加固服務(wù)與通信安全。日志審計加固，配置應(yīng)用日志、系統(tǒng)日志、安全日志屬性中的日志大小，并啟用審核策略。IP協(xié)議加固啟用SYN攻擊保護(hù)。

2.3.2 Linux操作系統(tǒng)主機(jī)加固

Linux操作系統(tǒng)從賬戶與密碼、權(quán)限管理、網(wǎng)絡(luò)與服務(wù)、終端管理4個方面加固。賬戶與密碼設(shè)置生存周期、提升密碼復(fù)雜度和身份鑒別失敗鎖定設(shè)置。權(quán)限管理對系統(tǒng)的文件權(quán)限進(jìn)行嚴(yán)格設(shè)置，并將umask設(shè)置為027。服務(wù)設(shè)置禁止Root用戶遠(yuǎn)程登錄，禁用Telnet協(xié)議配置SSH協(xié)議，關(guān)閉不必要的服務(wù)和端口。終端管理設(shè)置操作超時鎖定、終端接入方式和允許登錄的網(wǎng)絡(luò)地址范圍等。

2.4 應(yīng)用服務(wù)安全加固

應(yīng)用服務(wù)安全加固從應(yīng)用服務(wù)與權(quán)限管理方面進(jìn)行技術(shù)設(shè)計與實現(xiàn)。智能一體化平臺遵循面向服務(wù)的軟件體系架構(gòu)（SOA），采用分布式的服務(wù)組件模式，用戶直接使用與業(yè)務(wù)有關(guān)的各服務(wù)集合稱為應(yīng)用服務(wù)[5]。為保證應(yīng)用服務(wù)的安全，系統(tǒng)應(yīng)用服務(wù)管理按對稱冗余方式配置，具有自動切換和負(fù)載均衡功能。設(shè)計服務(wù)監(jiān)控查閱機(jī)制，能夠查詢已注冊服務(wù)的基本信息和運行信息，并且服務(wù)監(jiān)控可監(jiān)視、管理服務(wù)的運行狀態(tài)，如對冗余配置的服務(wù)進(jìn)行切換管理，對服務(wù)請求進(jìn)行統(tǒng)計，對服務(wù)進(jìn)行重啟、同步等。同時，對重要的服務(wù)進(jìn)程進(jìn)行一級守護(hù)，對數(shù)據(jù)庫、Web系統(tǒng)的訪問等重要應(yīng)用服務(wù)提供了不同級別的權(quán)限管理，系統(tǒng)內(nèi)部的服務(wù)調(diào)用和消息通信均提供加密和認(rèn)證機(jī)制。

除服務(wù)功能管理設(shè)計外，為防止內(nèi)部人員留有規(guī)定以外的開放接口、通道，服務(wù)的開發(fā)程序?qū)彶?、人員管理和程序封裝也進(jìn)行安全加固措施。在消息傳輸方面加固，消息總線利用Protobuf序列化協(xié)議進(jìn)行結(jié)構(gòu)化數(shù)據(jù)的封包/解包和數(shù)據(jù)加密處理，提升數(shù)據(jù)之間的安全性。在服務(wù)數(shù)據(jù)支持方面加固，各類應(yīng)用服務(wù)劃分權(quán)限用戶，并在進(jìn)行數(shù)據(jù)交換時進(jìn)行合法用戶請求驗證和業(yè)務(wù)權(quán)限驗證，杜絕自動觸發(fā)式寫數(shù)據(jù)和非控制區(qū)域?qū)憯?shù)據(jù)。資源控制方面加固，對數(shù)據(jù)庫訪問的API接口進(jìn)行嚴(yán)格審查和統(tǒng)一規(guī)范，對重要資源文件進(jìn)行二次加密保護(hù)。

權(quán)限管理平臺設(shè)計，權(quán)限管理平臺管理是對應(yīng)用服務(wù)調(diào)用、配置、執(zhí)行、銷毀的權(quán)限規(guī)范，同時也是對調(diào)度主機(jī)順序的配置，負(fù)責(zé)系統(tǒng)各類資源的權(quán)限分配管理工作。權(quán)限管理系統(tǒng)結(jié)構(gòu)示意見圖3所示。權(quán)限管理功能提供用戶管理和角色管理等功能，通過用戶與角色的實例化對應(yīng)實現(xiàn)多層級、多粒度的權(quán)限控制；采用用戶-角色-責(zé)任區(qū)設(shè)計機(jī)制進(jìn)行權(quán)限控制。每個用戶具有一種或多種角色，每個角色具有一種或多種操作權(quán)限，不同的操作類別需要用戶具有相應(yīng)的操作權(quán)限。每個用戶關(guān)聯(lián)一個或多個控制責(zé)任區(qū)，每個責(zé)任區(qū)包含一個或多個對象（設(shè)備），用戶只能控制所關(guān)聯(lián)的控制區(qū)域內(nèi)的對象（設(shè)備）。

圖3 權(quán)限管理系統(tǒng)結(jié)構(gòu)示意圖

支持雙重權(quán)限與責(zé)任區(qū)模式。除了在系統(tǒng)配置界面設(shè)置用戶與主機(jī)的永久權(quán)限與責(zé)任區(qū)，還需要在OIX人機(jī)操作界面設(shè)置用戶與主機(jī)的臨時權(quán)限與責(zé)任區(qū)，臨時權(quán)限與責(zé)任區(qū)只能是永久權(quán)限與責(zé)任區(qū)的子集，默認(rèn)為空。通過用戶操作權(quán)限、用戶控制責(zé)任區(qū)、主機(jī)控制責(zé)任區(qū)、雙重權(quán)限與責(zé)任區(qū)模式、操作許可模式、操作閉鎖等一系列安全措施，確保了可靠的控制操作與數(shù)據(jù)訪問。

2.5 數(shù)據(jù)安全加固

數(shù)據(jù)災(zāi)備方案設(shè)計，系統(tǒng)使用的是達(dá)夢數(shù)據(jù)庫并選擇主備模式，確保大容量數(shù)據(jù)存儲具備自主故障恢復(fù)的能力。數(shù)據(jù)備份功能，是從數(shù)據(jù)庫文件中拷貝有效的數(shù)據(jù)頁保存到備份集中，并將歸檔日志也保存到備份集中，當(dāng)系統(tǒng)出現(xiàn)異常時，該備份集和歸檔日志可以用于恢復(fù)原數(shù)據(jù)庫。安全管理方面采用了用戶標(biāo)識與鑒別、自主與強(qiáng)制訪問控制、通信與存儲加密、審計等方式加強(qiáng)對數(shù)據(jù)庫訪問的控制和數(shù)據(jù)安全防護(hù)。

3 防護(hù)系統(tǒng)的應(yīng)用

恩施水電集群跨流域遠(yuǎn)程控制一體化平臺建設(shè)項目中，對基于安全分區(qū)管理的分層加固與縱深防護(hù)系統(tǒng)進(jìn)行技術(shù)開發(fā)應(yīng)用，采用北京中水科水電科技開發(fā)有限公司研發(fā)的iP9000智能一體化監(jiān)控平臺系統(tǒng)，對安全Ⅰ區(qū)、安全Ⅱ區(qū)和管理信息大區(qū)進(jìn)行一體化管理，分布式全冗余的系統(tǒng)結(jié)構(gòu)確保了系統(tǒng)的安全性和可靠性。

4 總結(jié)

文中針對恩施水電集群跨流域遠(yuǎn)程控制智能一體化平臺安全防護(hù)需求，提出分層加固與縱深防御的系統(tǒng)防護(hù)模型，并分別從物理部署與系統(tǒng)結(jié)構(gòu)安全加固、網(wǎng)絡(luò)通信安全加固、本機(jī)環(huán)境安全加固、應(yīng)用服務(wù)安全加固和數(shù)據(jù)安全加固方面，對系統(tǒng)模型的設(shè)計結(jié)構(gòu)和技術(shù)路線進(jìn)行探討，從多層加固、多設(shè)備點縱深防御策略的開發(fā)思想出發(fā)，達(dá)到恩施水電安全防護(hù)系統(tǒng)的預(yù)期效果。