陳 翔，孟凡磊，陳婉茹，李海學(xué)

（1.中海石油（中國(guó)）有限公司天津分公司，天津 300459；2.中海油安全技術(shù)服務(wù)有限公司，天津 300450）

0 引言

近年來(lái)，隨著岸電工程海上油田群電力監(jiān)控系統(tǒng)（以下簡(jiǎn)稱“電力監(jiān)控系統(tǒng)”）的大規(guī)模應(yīng)用，電力監(jiān)控系統(tǒng)的重要性也越來(lái)越高，系統(tǒng)中各種信息技術(shù)的應(yīng)用和挑戰(zhàn)也將越來(lái)越多。在網(wǎng)絡(luò)環(huán)境日益復(fù)雜和安全威脅日益嚴(yán)峻的背景下，電力監(jiān)控系統(tǒng)信息安全問(wèn)題已成為系統(tǒng)運(yùn)行的新類型風(fēng)險(xiǎn)。因此，基于電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題方面的網(wǎng)絡(luò)安全防護(hù)研究具有重要意義，對(duì)于保障海陸電網(wǎng)的穩(wěn)定與可靠性具有重要作用。

本文從電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估兩個(gè)方面出發(fā)，對(duì)系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行研究，提出一種基于測(cè)評(píng)評(píng)估設(shè)計(jì)的二次系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)體系，包括網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)、安全控制策略、網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)和安全應(yīng)急響應(yīng)等內(nèi)容。

1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)

隨著《網(wǎng)絡(luò)安全法》的發(fā)布將網(wǎng)絡(luò)安全等級(jí)保護(hù)工作提升到法律層面，本文依據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范開(kāi)展網(wǎng)絡(luò)安全合規(guī)性測(cè)評(píng)和安全整改措施的工作。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作需在遵循通用要求的基礎(chǔ)上，同時(shí)遵循工業(yè)控制安全擴(kuò)展要求，以滿足工控場(chǎng)景下的安全防護(hù)需求。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作，可以從以下4 個(gè)方面入手。

1.1 系統(tǒng)定級(jí)備案

電力監(jiān)控系統(tǒng)屬于變電站自動(dòng)化系統(tǒng)（含開(kāi)關(guān)站、換流站），參照《電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn)》（電監(jiān)信息〔2007〕44 號(hào)），GB/T 22240—2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》[1]，以及相關(guān)標(biāo)準(zhǔn)文件，220 kV 及以上系統(tǒng)建議定級(jí)為第三級(jí)。定級(jí)備案完成后整理系統(tǒng)備案材料提交公安網(wǎng)安部門(mén)申請(qǐng)備案，最終獲取備案證明。

1.2 安全建設(shè)整改

系統(tǒng)定級(jí)完成后，參照系統(tǒng)所定級(jí)別開(kāi)展安全建設(shè)整改工作，對(duì)照相應(yīng)級(jí)別的安全防護(hù)要求采取安全措施。例如，采用“一個(gè)中心三重防護(hù)”思想“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的電力行業(yè)十六字方針等體系思想，保證系統(tǒng)具備基礎(chǔ)的安全防護(hù)要求。

1.3 現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施

現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施階段主要是實(shí)施評(píng)估活動(dòng)的過(guò)程，依據(jù)相應(yīng)級(jí)別的標(biāo)準(zhǔn)要求開(kāi)展測(cè)評(píng)準(zhǔn)備、方案編制、評(píng)估實(shí)施等工作。GB/T 28448—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》[2]，包括兩方面、10 個(gè)層面，其中技術(shù)方面包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心，管理方面包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理，在此基礎(chǔ)上同時(shí)遵循電力行業(yè)要求以及工控系統(tǒng)擴(kuò)展要求。

1.4 測(cè)評(píng)結(jié)論形成

測(cè)評(píng)機(jī)構(gòu)完成現(xiàn)場(chǎng)測(cè)評(píng)后，依據(jù)量化評(píng)估標(biāo)準(zhǔn)開(kāi)展風(fēng)險(xiǎn)的計(jì)算和分析工作，并形成電力監(jiān)控系統(tǒng)測(cè)評(píng)報(bào)告。2021 版測(cè)評(píng)報(bào)告改版后，測(cè)評(píng)結(jié)論的計(jì)算發(fā)生一些變化，下面簡(jiǎn)述結(jié)論計(jì)算方式。

2021 版報(bào)告中測(cè)評(píng)結(jié)果計(jì)算公式改為缺陷扣分法，首先將測(cè)評(píng)指標(biāo)分為技術(shù)和管理兩大類，然后采用缺陷扣分法分別計(jì)算技術(shù)和管理兩類的得分，最后將技術(shù)和管理的得分相加作為最終得分。

該測(cè)評(píng)報(bào)告風(fēng)險(xiǎn)最終得分計(jì)算過(guò)程如下：

（1）f（ωk）×（1-xk）×S 用于計(jì)算每一項(xiàng)的得分情況，如果每一項(xiàng)包含多個(gè)資產(chǎn)，綜合此項(xiàng)所有資產(chǎn)的符合情況。需要注意的是，所有資產(chǎn)均不符合，此項(xiàng)按照不符合計(jì)算；所有資產(chǎn)均符合，此項(xiàng)按照符合計(jì)算；具有符合、部分符合和不符合中兩種的，此項(xiàng)按照部分符合計(jì)算。

（8）M=Vt+Vm匯總技術(shù)和管理層面的得分，得出報(bào)告的最終得分。

2 電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是指對(duì)電力監(jiān)控系統(tǒng)中存在的網(wǎng)絡(luò)安全隱患和安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并提出相應(yīng)的安全控制和防護(hù)措施的過(guò)程。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，可以從以下4 個(gè)方面入手。

（1）安全需求規(guī)劃。對(duì)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全要求進(jìn)行規(guī)劃和描述，制定相關(guān)的安全策略和安全標(biāo)準(zhǔn)，主要包括安全保密性、完整性、可用性、法律合規(guī)等方面。

（2）安全風(fēng)險(xiǎn)識(shí)別。確定電力監(jiān)控系統(tǒng)中可能存在的安全風(fēng)險(xiǎn)和威脅，包括網(wǎng)絡(luò)攻擊、病毒攻擊、黑客攻擊、信息盜竊等方式。對(duì)于每種安全風(fēng)險(xiǎn)進(jìn)行詳細(xì)描述和評(píng)估。

（3）安全風(fēng)險(xiǎn)分析。對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析，確定安全風(fēng)險(xiǎn)的危害程度、概率和影響范圍，并盡可能多地獲取安全風(fēng)險(xiǎn)的相關(guān)信息和可靠數(shù)據(jù)。

（4）安全風(fēng)險(xiǎn)評(píng)估。評(píng)估已確定的安全風(fēng)險(xiǎn)，確定是否需要采取相應(yīng)的安全措施來(lái)降低風(fēng)險(xiǎn)。

根據(jù)資產(chǎn)賦值、資產(chǎn)面臨的威脅和存在的脆弱性賦值情況，對(duì)資產(chǎn)面臨的風(fēng)險(xiǎn)進(jìn)行分析計(jì)算。

風(fēng)險(xiǎn)值=R（A，T，V）

其中，R 表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A 表示資產(chǎn)，T表示威脅，V 表示脆弱性。可采用矩陣法或相乘法計(jì)算風(fēng)險(xiǎn)評(píng)估結(jié)果。

基于電力安全風(fēng)險(xiǎn)評(píng)估的分析結(jié)果，可以制定出一系列有效的安全控制和防護(hù)措施，包括網(wǎng)絡(luò)安全防御、應(yīng)急響應(yīng)、攻擊溯源、信息安全管理等方面。

3 基于測(cè)評(píng)評(píng)估設(shè)計(jì)的二次系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系

岸電工程海上油田群電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)化程度和復(fù)雜性較高，無(wú)法單獨(dú)采用傳統(tǒng)的網(wǎng)絡(luò)安全防御手段來(lái)對(duì)其進(jìn)行防護(hù)，因此需要尋求新的研究方向來(lái)提高其網(wǎng)絡(luò)安全性。

基于岸電工程海上油田群電力監(jiān)控系統(tǒng)中的二次系統(tǒng)網(wǎng)絡(luò)，本文提出了一種安全防護(hù)體系，通過(guò)多層次、多維度的安全控制和監(jiān)測(cè)機(jī)制來(lái)保障電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)、安全控制策略、網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)和安全應(yīng)急響應(yīng)等方面的內(nèi)容。

3.1 網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)

為了保證電力監(jiān)控系統(tǒng)的安全，需要從架構(gòu)設(shè)計(jì)到安全建設(shè)時(shí)符合進(jìn)入網(wǎng)絡(luò)安全等級(jí)保護(hù)以及安全防護(hù)評(píng)估的要求，如“一個(gè)中心三重防護(hù)”體系、電力行業(yè)十六字方針等。

3.1.1 “一個(gè)中心三重防護(hù)”體系

（1）網(wǎng)絡(luò)安全等級(jí)保護(hù)“一個(gè)中心三重防護(hù)”體系，主要在電力監(jiān)控系統(tǒng)中建立一個(gè)管理中心，用于對(duì)系統(tǒng)的安全狀態(tài)監(jiān)測(cè)、對(duì)安全運(yùn)維操作日志存儲(chǔ)分析、對(duì)安全設(shè)備進(jìn)行集中管理等（圖1）。其中，管理中心可以由多種安全功能的設(shè)備組成，如流量監(jiān)測(cè)類、攻擊檢測(cè)類、審計(jì)類、態(tài)勢(shì)分析類、運(yùn)行監(jiān)控類等；建立三重防護(hù)機(jī)制，從網(wǎng)絡(luò)架構(gòu)區(qū)域的安全劃分，到區(qū)域邊界的防護(hù)機(jī)制建立，再到核心的主機(jī)層安全防護(hù)，構(gòu)建層層防護(hù)機(jī)制以及縱深防護(hù)體系。

圖1 “一個(gè)中心三重防護(hù)”體系

3.1.2 十六字方針

電力行業(yè)的十六字方針為，“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。

（1）安全分區(qū)主要是在電力監(jiān)控系統(tǒng)中對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行劃分。依據(jù)36 號(hào)文[5]等相關(guān)要求，將電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)劃分為安全I(xiàn) 區(qū)、安全I(xiàn)I 區(qū)、安全I(xiàn)II 區(qū)和安全I(xiàn)V 區(qū)，其中安全I(xiàn) 區(qū)和安全I(xiàn)I 區(qū)屬生產(chǎn)大區(qū)，安全I(xiàn)II 區(qū)和安全I(xiàn)V 區(qū)屬管理信息大區(qū)。另外，生產(chǎn)大區(qū)的安全I(xiàn) 區(qū)控制區(qū)為電力監(jiān)控系統(tǒng)的核心，主要部署電力監(jiān)控系統(tǒng)工作站、五防站、測(cè)控控制以及遠(yuǎn)東裝置等；安全I(xiàn)I 區(qū)生產(chǎn)非控制區(qū)主要用于部署電能采集終端、保護(hù)信息子站等（圖2）。

圖2 電力監(jiān)控系統(tǒng)安全分區(qū)示意

（2）網(wǎng)絡(luò)專用是指生產(chǎn)大區(qū)的數(shù)據(jù)通過(guò)電力調(diào)度數(shù)據(jù)網(wǎng)傳輸，通過(guò)采用MSTP 和ASON 等技術(shù)具備良好的安全性和通信效率。電力調(diào)度數(shù)據(jù)網(wǎng)獨(dú)立于運(yùn)營(yíng)商的基站和通信鏈路，隔離公網(wǎng)帶來(lái)的安全威脅和風(fēng)險(xiǎn)，提升數(shù)據(jù)通信安全。

（3）橫向隔離主要指由于電力安全防護(hù)的需要，電力專網(wǎng)對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行了安全分區(qū)。根據(jù)36 號(hào)文相關(guān)要求，生產(chǎn)大區(qū)和管理信息大區(qū)之間采用物理隔離措施，可采用通過(guò)電力認(rèn)證的單向傳輸?shù)母綦x裝置實(shí)現(xiàn)防護(hù)；生產(chǎn)大區(qū)的實(shí)時(shí)區(qū)與非實(shí)時(shí)區(qū)之間采用邏輯隔離裝置，如國(guó)產(chǎn)防火墻等。通過(guò)橫向隔離保證數(shù)據(jù)不出區(qū)，或者在保證安全的情況下出區(qū)轉(zhuǎn)發(fā)。

（4）縱向加密裝置是電力安全縱向防護(hù)措施，通過(guò)安全認(rèn)證及加密傳輸，保證在電力調(diào)度數(shù)據(jù)網(wǎng)傳輸?shù)臄?shù)據(jù)保密性和完整性，避免非授權(quán)的篡改及訪問(wèn)。

3.2 安全控制策略

為了保障電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全，需要制定相應(yīng)的安全控制策略，并采取有效的控制措施來(lái)規(guī)避安全風(fēng)險(xiǎn)。

（1）操作系統(tǒng)的安全配置：與電力監(jiān)控系統(tǒng)相關(guān)的計(jì)算機(jī)終端，需要采取國(guó)產(chǎn)化操作系統(tǒng)，并基于穩(wěn)定版本運(yùn)行，同時(shí)對(duì)其進(jìn)行相關(guān)的安全配置，如升級(jí)補(bǔ)丁程序、關(guān)閉不必要的端口、配置防火墻等，關(guān)閉135、139、445等高危端口。

（2）信息安全管理。涉及電力監(jiān)控系統(tǒng)運(yùn)行的任何信息，都需要進(jìn)行詳細(xì)的管理和記錄，包括訪問(wèn)權(quán)限授權(quán)、加密技術(shù)、備份技術(shù)等方面。

（3）安全訪問(wèn)控制。對(duì)于網(wǎng)絡(luò)中的所有節(jié)點(diǎn)，需要嚴(yán)格控制其訪問(wèn)權(quán)限，在防止攻擊的同時(shí)保護(hù)重要數(shù)據(jù)的安全。

3.3 網(wǎng)絡(luò)監(jiān)測(cè)

電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)監(jiān)測(cè)是保障網(wǎng)絡(luò)安全的重要措施。通過(guò)對(duì)電力監(jiān)控系統(tǒng)中的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行監(jiān)測(cè)和分析，可以預(yù)防和發(fā)現(xiàn)安全威脅。

（1）網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控。采用網(wǎng)絡(luò)安全監(jiān)測(cè)類、攻擊檢測(cè)類、審計(jì)類、態(tài)勢(shì)分析類、運(yùn)行監(jiān)控類等措施，對(duì)系統(tǒng)中的各個(gè)關(guān)鍵節(jié)點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控，包括系統(tǒng)的運(yùn)行狀態(tài)、入侵狀態(tài)等方面。

（2）網(wǎng)絡(luò)流量分析。采用流量監(jiān)測(cè)類措施，對(duì)電力監(jiān)控系統(tǒng)中的網(wǎng)絡(luò)流量進(jìn)行分析，以發(fā)現(xiàn)異常流量和威脅，并對(duì)其進(jìn)行有效防護(hù)。

（3）網(wǎng)絡(luò)行為分析。對(duì)電力監(jiān)控系統(tǒng)中的用戶行為進(jìn)行分析，以識(shí)別惡意行為和隱含風(fēng)險(xiǎn)，并通過(guò)安全控制策略進(jìn)行有效防護(hù)。

（4）通過(guò)在岸電工程海上油田群電力監(jiān)控系統(tǒng)中部署攻擊檢測(cè)類、審計(jì)類、態(tài)勢(shì)分析類，集中監(jiān)控電力監(jiān)控系統(tǒng)內(nèi)攻擊事件、資產(chǎn)運(yùn)行狀態(tài)，實(shí)現(xiàn)實(shí)時(shí)的運(yùn)行監(jiān)控及安全監(jiān)控。

3.4 應(yīng)急處置

應(yīng)急處置是保障電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的關(guān)鍵環(huán)節(jié)。一般會(huì)通過(guò)應(yīng)急預(yù)案建立、應(yīng)急演練工作以及應(yīng)急處理，減少系統(tǒng)異常的影響及損失。

（1）建立應(yīng)急預(yù)案，結(jié)合岸電工程海上油田群電力監(jiān)控系統(tǒng)特點(diǎn)，建立針對(duì)性的安全應(yīng)急預(yù)案，包括物理安全事件、網(wǎng)絡(luò)故障、網(wǎng)絡(luò)攻擊等場(chǎng)景。

（2）定期開(kāi)展應(yīng)急演練，根據(jù)應(yīng)急預(yù)案的方案，結(jié)合系統(tǒng)運(yùn)行的情況、檢修間隔等情況，選擇性開(kāi)展應(yīng)急演練工作，通過(guò)應(yīng)急演練工作提升運(yùn)維人員的應(yīng)急處置能力。

（3）通過(guò)上述的應(yīng)急措施建立，提升人員的應(yīng)急處置能力。如果系統(tǒng)發(fā)生安全事件，第一時(shí)間進(jìn)行事件處置，以減少事件造成的損失。

4 實(shí)驗(yàn)驗(yàn)證

為驗(yàn)證基于電力監(jiān)控系統(tǒng)的安全防護(hù)體系的有效性和實(shí)用性，本文采用工具接入掃描測(cè)試的方式，對(duì)系統(tǒng)的網(wǎng)絡(luò)防護(hù)體系進(jìn)行驗(yàn)證。通過(guò)建立實(shí)驗(yàn)網(wǎng)絡(luò)，模擬了電力監(jiān)控系統(tǒng)中的一些常見(jiàn)攻擊行為，并對(duì)其進(jìn)行詳細(xì)的分析和溯源。

4.1 確定工具的接入點(diǎn)

在實(shí)驗(yàn)網(wǎng)絡(luò)中接入工具。工具接入點(diǎn)的確定遵循不影響目標(biāo)系統(tǒng)正常運(yùn)行的前提下嚴(yán)格按照方案選定范圍進(jìn)行測(cè)試，需要遵循如下5 個(gè)原則：①由低級(jí)別系統(tǒng)向高級(jí)別系統(tǒng)探測(cè)；②同一系統(tǒng)同等重要程度功能區(qū)域之間要相互探測(cè)；③有較低重要程度區(qū)域向較高重要程度區(qū)域探測(cè)；④由外鏈接口向系統(tǒng)內(nèi)部探測(cè)；⑤跨網(wǎng)絡(luò)隔離設(shè)備（包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備）要分段探測(cè)。

4.2 開(kāi)展工具掃描測(cè)試

采用漏洞掃描、驗(yàn)證測(cè)試等方式開(kāi)展測(cè)試。測(cè)試中應(yīng)依據(jù)工具接入原則，開(kāi)展跨網(wǎng)測(cè)試、直接測(cè)試等，驗(yàn)證安全設(shè)備及安全策略的有效性。

4.3 分析入侵監(jiān)測(cè)及日志記錄情況

漏洞掃描完成后，在入侵監(jiān)測(cè)設(shè)備查看，是否存在入侵攻擊行為；登錄邊界防火墻設(shè)備查看，是否存在攔截記錄，分析攔截有效性；登錄日志審計(jì)系統(tǒng)查看日志記錄情況，分析日志記錄的有效性。

實(shí)驗(yàn)結(jié)果表明，本文提出的防護(hù)體系能有效防御和發(fā)現(xiàn)各種安全威脅，并追蹤和定位攻擊源和攻擊路徑。

5 總結(jié)與展望

本文基于岸電工程海上油田群電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)及安全防護(hù)評(píng)估，對(duì)系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行研究，提出了一種基于電力監(jiān)控系統(tǒng)的安全防護(hù)體系，包括網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)、安全控制策略、網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)和安全應(yīng)急響應(yīng)等內(nèi)容，并通過(guò)實(shí)驗(yàn)驗(yàn)證該體系的有效性和實(shí)用性。在岸電工程海上油田群電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全方面，未來(lái)還需要進(jìn)一步深入探討多層次、多維度的網(wǎng)絡(luò)安全策略和防御機(jī)制，從而為系統(tǒng)安全提供更加完善的技術(shù)支持。