傅水祥

（浙江浙能華光潭水力發(fā)電有限公司，浙江 杭州 310000）

0 引言

傳統(tǒng)電力企業(yè)建設(shè)及電力生產(chǎn)系統(tǒng)最初設(shè)計(jì)大多以實(shí)時(shí)生產(chǎn)為主，隨著計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)的高速發(fā)展，使得工控系統(tǒng)亦得到快速發(fā)展，尤其是電力系統(tǒng)數(shù)字化、智能化程度越來越高，但網(wǎng)絡(luò)信息安全事件不斷發(fā)生，如何有效防范網(wǎng)絡(luò)安全攻擊、提升電力監(jiān)控系統(tǒng)安全防護(hù)能力已逐漸成為電力行業(yè)重點(diǎn)深入研究的課題[1]，習(xí)總書記針對(duì)網(wǎng)絡(luò)信息安全等方面工作講話時(shí)，多次提出要求加強(qiáng)網(wǎng)絡(luò)安全預(yù)警監(jiān)測(cè)，感知網(wǎng)絡(luò)安全態(tài)勢(shì)，實(shí)現(xiàn)全方位感知和有效防護(hù)[2]。本文以華光潭水電廠為例，重點(diǎn)對(duì)安全防護(hù)方案的總體設(shè)計(jì)、態(tài)勢(shì)感知平臺(tái)部署等方面進(jìn)行研究建設(shè)，提升電廠網(wǎng)絡(luò)安全防護(hù)能力。

1 概況

華光潭水電廠生產(chǎn)控制區(qū)部署有計(jì)算機(jī)監(jiān)控系統(tǒng)，其通過廠外通信服務(wù)器經(jīng)電力調(diào)制解調(diào)器與地方調(diào)度通信（CDT 規(guī)約），同時(shí)通過串口通信形式將數(shù)據(jù)傳送給水情測(cè)報(bào)系統(tǒng)和機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)，無直接數(shù)據(jù)網(wǎng)絡(luò)形式連接；非控制區(qū)部署的電量系統(tǒng)、機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)則是通過南瑞隔離裝置實(shí)現(xiàn)數(shù)據(jù)單向傳輸，將Ⅱ區(qū)采集數(shù)據(jù)發(fā)送至管理區(qū)WEB服務(wù)器?？傮w上，華光潭水電廠安全I(xiàn) 區(qū)計(jì)算機(jī)監(jiān)控系統(tǒng)一直以來與調(diào)度網(wǎng)、Ⅱ區(qū)系統(tǒng)均無直接數(shù)據(jù)網(wǎng)絡(luò)形式連接，Ⅱ區(qū)部分系統(tǒng)作為獨(dú)立系統(tǒng)運(yùn)行，因此未在Ⅰ區(qū)、Ⅱ區(qū)布置防火墻、IDS、核心交換機(jī)等。為實(shí)現(xiàn)集團(tuán)公司及可再生能源分公司信息化建設(shè)對(duì)生產(chǎn)數(shù)據(jù)的采集要求，以國家電力監(jiān)控各項(xiàng)規(guī)范及標(biāo)準(zhǔn)為依據(jù)，結(jié)合電廠計(jì)算機(jī)監(jiān)控系統(tǒng)改造實(shí)施，對(duì)整體防護(hù)進(jìn)行總體設(shè)計(jì)、升級(jí)建設(shè)、強(qiáng)化部署，實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)全面覆蓋。

2 安全防護(hù)建設(shè)總體思路和架構(gòu)設(shè)計(jì)

華光潭水電廠電力監(jiān)控系統(tǒng)安全防護(hù)建設(shè)總體思路：按照國家能源局《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（（國能安全）[2015]36 號(hào)文件）要求進(jìn)行規(guī)劃設(shè)計(jì)，在滿足橫向隔離和縱向認(rèn)證詳細(xì)要求的同時(shí)，實(shí)現(xiàn)生產(chǎn)控制大區(qū)的安全審計(jì)和管控、管理信息大區(qū)的安全隔離和防護(hù)。在電廠的邊界，采取各項(xiàng)技術(shù)手段，將眾多的安全威脅屏蔽在電力監(jiān)控系統(tǒng)的邊界之外；部署態(tài)勢(shì)感知系統(tǒng)，監(jiān)測(cè)感知生產(chǎn)工控系統(tǒng)實(shí)時(shí)動(dòng)態(tài)，以便第一時(shí)間發(fā)現(xiàn)異常行為并及時(shí)告警；對(duì)各類服務(wù)器、工作站等設(shè)備部署統(tǒng)一防病毒軟件進(jìn)行查殺，確保能夠穩(wěn)定、可靠運(yùn)行，為整個(gè)水電廠的電力監(jiān)控系統(tǒng)營造安全可控的運(yùn)行環(huán)境。

安全運(yùn)行檢測(cè)：在 I/II 區(qū)部署入侵檢測(cè)設(shè)備 IDS進(jìn)行風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)測(cè)，部署態(tài)勢(shì)感知平臺(tái)對(duì)各類數(shù)據(jù)流量，包括給主機(jī)、安全設(shè)備等安全日志進(jìn)行實(shí)時(shí)檢測(cè)分析。

行為安全審計(jì)：部署運(yùn)維安全審計(jì)系統(tǒng)（堡壘機(jī)），統(tǒng)一身份認(rèn)證，規(guī)范運(yùn)維訪問的統(tǒng)一入口，對(duì)運(yùn)維人員和服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的操作行為進(jìn)行監(jiān)控和記錄，可提供精準(zhǔn)的責(zé)任認(rèn)定和時(shí)間追溯，確保用戶的行為符合安全管理規(guī)范；在管理信息區(qū)部署上網(wǎng)行為管理系統(tǒng)，強(qiáng)化上網(wǎng)行為的管控。

主機(jī)安全防護(hù)：管理信息大區(qū)終端權(quán)全面部署防病毒軟件，通過統(tǒng)一服務(wù)器進(jìn)行在線實(shí)時(shí)升級(jí)病毒庫；對(duì)生產(chǎn)大區(qū)主機(jī)強(qiáng)化惡意代碼防護(hù)，對(duì)工控系統(tǒng)操作員站、工程師站等主機(jī)外接設(shè)備進(jìn)行管控，封閉未使用的 USB 接口等。

安全防護(hù)總體架構(gòu)設(shè)計(jì)如圖1 所示，主要安全防護(hù)設(shè)備如表1 所示。

圖1 華光潭梯級(jí)水電站電力監(jiān)控系統(tǒng)安全防護(hù)架構(gòu)

華光潭水電廠安全Ⅰ區(qū)與上級(jí)集控中心之間冗余雙通道部署，包括雙套縱向加密裝置、雙套連接交換機(jī)、雙通信機(jī)及雙數(shù)據(jù)網(wǎng)關(guān)機(jī)；安全Ⅰ區(qū)保持串口通信方式通過廠外通信服務(wù)器經(jīng)電力調(diào)制解調(diào)器以101 規(guī)約與調(diào)度通信[3]；安全Ⅰ區(qū)冗余部署雙套核心交換機(jī)、入侵檢測(cè)設(shè)備IDS，安全Ⅰ區(qū)與安全Ⅱ區(qū)之間部署防火墻。

安全Ⅱ區(qū)與上級(jí)集控中心之間冗余部署雙套縱向加密裝置，對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密，提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃裕话踩獻(xiàn)I 區(qū)冗余部署雙套核心交換機(jī)、入侵檢測(cè)設(shè)備IDS、日志審計(jì)裝置，安全Ⅱ區(qū)與管理信息大區(qū)之間部署橫向隔離裝置（正向）。

管理信息區(qū)以落實(shí)互聯(lián)網(wǎng)邊界安全與上級(jí)管理公司的廣域網(wǎng)安全為主，與上級(jí)管理公司廣域網(wǎng)之間冗余部署兩套路由器、防火墻和核心交換機(jī)，在外網(wǎng)邊界則設(shè)置防火墻、入侵防御設(shè)備等信息安全設(shè)備，同時(shí)在各終端設(shè)備上統(tǒng)一部署防病毒軟件等。

3 信息安全態(tài)勢(shì)感知平臺(tái)建設(shè)

態(tài)勢(shì)感知具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力，能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)，能夠及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常，特別是針對(duì)性攻擊；通過全流量分析技術(shù)可以對(duì)威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別來實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，從而支撐有效的安全決策和響應(yīng)，幫助安全人員采取針對(duì)性處置措施；能夠建立安全預(yù)警機(jī)制，全面掌握攻擊者技術(shù)手段、攻擊目的等信息情報(bào)，完善風(fēng)險(xiǎn)控制、應(yīng)急響應(yīng)和防御體系，全面提升整體安全防護(hù)水平。

華光潭水電廠的態(tài)勢(shì)感知平臺(tái)部署建設(shè)以主要以覆蓋全廠非涉網(wǎng)測(cè)的生產(chǎn)及管理相關(guān)業(yè)務(wù)系統(tǒng)為原則，采用獨(dú)立組網(wǎng)的方式，進(jìn)行數(shù)據(jù)采集和單向傳輸，安全信息流量日志采集主要采用兩種模式，一種是采集流量數(shù)據(jù)（采集交換機(jī)需支持鏡像配置），另外一種則是采集各主機(jī)、安全及網(wǎng)絡(luò)通信設(shè)備的日志。流量采集主要針對(duì)數(shù)據(jù)交互的原始流量，采集接入以核心交換機(jī)或者根交換機(jī)為對(duì)象，通過交換機(jī)配置鏡像方式實(shí)現(xiàn)；主機(jī)日志則是通過安裝Agent采集主機(jī)事件日志進(jìn)行行為安全審計(jì)，安全及網(wǎng)絡(luò)設(shè)備的日志經(jīng)授權(quán)管理密碼從而采集設(shè)備日志監(jiān)測(cè)其行為和告警。主要組網(wǎng)架構(gòu)情況如圖1 中所示，主要設(shè)備配置見表2。

表2 態(tài)勢(shì)感知平臺(tái)主要設(shè)備配置情況

3.1 詳細(xì)采集情況設(shè)計(jì)

安全Ⅰ區(qū)重點(diǎn)采集核心交換機(jī)的syslog 日志與鏡像流量，對(duì)核心交換機(jī)配置鏡像功能與syslog 日志功能后，使用網(wǎng)線完成物理連接，并將數(shù)據(jù)傳輸至安全I(xiàn) 區(qū)流量日志分析系統(tǒng)。

安全Ⅰ區(qū)流量日志分析系統(tǒng)采集到數(shù)據(jù)后，系統(tǒng)將數(shù)據(jù)經(jīng)興唐單向隔離傳輸?shù)桨踩珔^(qū)交換機(jī)，分別將syslog 日志與鏡像流量發(fā)送至工控統(tǒng)一安全管理平臺(tái)（主、備雙機(jī)）進(jìn)行數(shù)據(jù)分析，備平臺(tái)分析鏡像流量后，將分析結(jié)果發(fā)送至主平臺(tái)。

安全Ⅱ區(qū)重點(diǎn)采集核心交換機(jī)的鏡像流量，對(duì)Ⅱ區(qū)核心交換機(jī)配置鏡像功能后，通過網(wǎng)線與分析系統(tǒng)完成物理連接，并將數(shù)據(jù)傳輸至安全Ⅱ區(qū)流量日志分析系統(tǒng)。系統(tǒng)采集到數(shù)據(jù)后，系統(tǒng)將數(shù)據(jù)經(jīng)興唐單向隔離傳輸?shù)降桨踩珔^(qū)交換機(jī)，將鏡像流量發(fā)送至工控統(tǒng)一安全管理平臺(tái)（主、備雙機(jī)）進(jìn)行數(shù)據(jù)分析，備平臺(tái)分析鏡像流量后，將分析結(jié)果發(fā)送至主平臺(tái)。

管理區(qū)重點(diǎn)采集辦公信息核心交換機(jī)的syslog日志與鏡像流量，配置鏡像功能與syslog 日志功能后，通過網(wǎng)線與安全I(xiàn)II 區(qū)流量日志分析系統(tǒng)完成物理連接，并將數(shù)據(jù)傳輸至管理區(qū)流量日志分析系統(tǒng)。系統(tǒng)采集到數(shù)據(jù)后，系統(tǒng)將數(shù)據(jù)經(jīng)興唐單向隔離傳輸?shù)桨踩珔^(qū)交換機(jī)，分別將syslog 日志與鏡像流量發(fā)送至工控統(tǒng)一安全管理平臺(tái)（主、備雙機(jī)）進(jìn)行數(shù)據(jù)分析，備平臺(tái)分析鏡像流量后，將分析結(jié)果發(fā)送至主平臺(tái)。

主平臺(tái)依次經(jīng)過VPN 安全網(wǎng)關(guān)、防火墻、VPDN將數(shù)據(jù)發(fā)送至中能云平臺(tái)。

3.2 采集鏈路調(diào)試方案

檢查態(tài)勢(shì)感知統(tǒng)一管理平臺(tái)中是否都有Ⅰ、Ⅱ、Ⅲ區(qū)安全流量日志分析系統(tǒng)發(fā)送過來的數(shù)據(jù)，如果沒有以此按Ⅲ、Ⅱ、Ⅰ區(qū)的順序檢查各個(gè)設(shè)備配置情況，步驟如下：

（1）斷開I、Ⅱ區(qū)設(shè)備，只連接Ⅲ區(qū)安全流量日志分析系統(tǒng)，檢查其日數(shù)據(jù)發(fā)送地址及IP 地址配置情況，檢查Ⅲ區(qū)交換機(jī)配置情況，確認(rèn)沒有IP 地址沖突；

（2）斷開Ⅰ區(qū)設(shè)備，只連接Ⅱ、Ⅲ區(qū)安全流量日志分析系統(tǒng)，檢查Ⅱ區(qū)安全流量日志分析系統(tǒng)日數(shù)據(jù)發(fā)送地址及IP 地址配置情況，檢查Ⅱ區(qū)交換機(jī)配置情況，確認(rèn)沒有IP 地址沖突；

（3） 檢查Ⅰ區(qū)安全流量日志分析系統(tǒng)日數(shù)據(jù)發(fā)送地址及IP 地址配置情況，檢查Ⅰ區(qū)交換機(jī)配置情況，確認(rèn)沒有IP 地址沖突。

4 結(jié)束語

綜上所述，華光潭水電廠按照國家電力監(jiān)控系統(tǒng)16 字方針為基本原則進(jìn)行整體構(gòu)架設(shè)計(jì)建設(shè)[4]，同時(shí)在此基礎(chǔ)上探索建設(shè)信息安全態(tài)勢(shì)感知平臺(tái)，推動(dòng)信息網(wǎng)絡(luò)安全從“靜態(tài)布控、邊界監(jiān)視”向“實(shí)時(shí)管控、縱深防御”轉(zhuǎn)變。下一步電廠將持續(xù)深化安全防護(hù)建設(shè)，從管理上建立電廠電力監(jiān)控系統(tǒng)安全防護(hù)管理體系，明確各級(jí)職責(zé)，制定防護(hù)方案、開展應(yīng)急演練，借助第三方安全檢測(cè)機(jī)構(gòu)定期開展等保定級(jí)測(cè)評(píng)及安全評(píng)估工作，全面提升了電廠電力監(jiān)控系統(tǒng)安全防護(hù)整體能力；后續(xù)將考慮實(shí)現(xiàn)電廠管理區(qū)內(nèi)外網(wǎng)隔離，從技術(shù)措施上進(jìn)一步完善電廠網(wǎng)絡(luò)安全防護(hù)。