沈志刚

摘要 针对某火力发电公司厂级信息监控系统近年来推进的信息系统安全等级保护改造，进行了归纳整理，其中涉及的普遍性问题解决方案，在同类型企业中具有较高的推广应用价值。

【关键词】厂级信息监控系统 信息系统安全等级保护 安全防护改造

1 前言

某火力发电公司厂级信息监控系统（以下简称SIS系统）于2005年投运，采集全厂生产过程数据，对生产过程进行优化分析，并向电厂管理信息系统（以下简称MIS系统）提供过程数据和计算分析结果，以满足公司对于生产过程的管理要求。自2015年以来，根据能源行业及地方政府下达的规范及文件，逐步推进信息系统安全等级保护改造，改造过程所涉及的问题在行业内普遍存在，其解决方案对于同类型企业及SIS系统开发具有极好的借鉴作用。

2 系统概述

某公司全厂SIS系统由西安热工研究院有限公司设计建造，于2005年投产，硬件主要服务器为IBM X306和IBM X346，接口机为研华工控IPC-610，防火墙为思科PIX-515E，网络隔离装置为珠海鸿瑞正向。底层数据库为北京印步公司eDNA产品，应用软件系统为西安热工研究院TPRI-SIS产品。信息安全等级保护测评定级二级。

3 风险分析

近年来等级保护推进工作中逐步归纳整理了以下内容，其中既有自查发现问题，也有外聘等级保护评估单位检查发现问题，择其精要，部分不具备普遍意义的，以及在SIS系统设计中的通识性内容则未收录（如专用安全产品）。

3.1 物理安全

如表1所示。

3.2 网络安全

如表2所示。

3.3 主机安全

如表3所示。

3.4 应用安全

见表4。

3.5 数据安全

见表5。

4 安全防护改造方案

4.1 方案综述

在设计改造方案之前，首先定义发电厂SIS系统几项特征，非控制、可短暂中断、实时数据分析、发布信息共享。个别发电厂参与生产控制的SIS系统需执行更严格的等级保护措施，不在本文所述范围。根据SIS系统特征，结合前文的风险分析，方案推进需遵循基础设施改造在前、先硬件后软件、数据完整迁移的原则。

4.2 机房改造

SIS系统机房必须独立布置，加装防盗报警系统、电子门禁系统以实现身份鉴别;机房敷设防静电地板;配置具备温湿度控制功能的单体空调，或结合中央空调改造实现温湿度控制;SIS系统配置双路自动切换电源，两路电源应取自不同动力段，避免整段停电检修影响SIS系统供电。

4.3 系統拓扑结构改造

早期设计的SIS系统大多不符合等级保护所要求的三层结构，在对硬件改造之前，需先优化系统拓扑结构，调整相应功能区，根据调整后的拓扑图规划硬件布置，添置关键设备。图1、图2为某公司规划前后的SIS系统网络拓扑图，有以下几点改造。

（1）边界完整性：DCS生产区的工控防火墙在早期发电厂SIS系统均未布置，作为关键网络设备应在SIS系统改造时统一配置;管理信息大区的MIS子交换机与MIS主交换机分属不同的系统，之间应布置防火墙。

（2）结构安全：拆分计算站业务，实时生产数据计算站迁至安全区II，管理信息大区增加MIS数据计算站，取消值长站及打印机等位于安全区II的管理区设备。

（3）安全审计及监测：安全区II的核心交换机部署经专用安全产品认证的监测审计平台。

（4）容灾配置：二级防火墙、网络单向隔离装置及镜像数据库增加灾备冗余设备，由于SIS系统可短暂中断的特点，除镜像数据库之外，其余设备均设为冷备用。

4.4 硬件改造。

对SIS系统早期部署的老化服务器、交换机集中更新，补充系统结构缺少的设备，主要为边界防护工业防火墙、监测审计平台服务器。由于结构的变化，值长站等跨区管理主机取消，在不同安全分区内分别配置独立的一体式共享机架，以实现对分区内设备的维护管理。

4.5 软件改造

4.5.1 数据库改造

数据库在原有软件版本基础上进行升级，主要解决运行中不稳定、历史服务进程易宕机，并改善原数据库日志策略过于简单的缺陷，避免遗漏重要异常事件。

4.5.2 操作系统改造

SIS系统所有主机均使用Windows操作系统，作为非安全操作系统，需做全面加固改造，安装漏洞补丁，修改本地安全策略。

4.5.3 防恶意代码改造

SIS系统作为边界防护完整，未直接连接互联网的内部局域网业务系统，防恶意代码改造主要手段为安装白名单软件，并按等级保护要求定期更新病毒特征库。

4.5.4 应用软件改造

SIS应用软件改造由原系统集成商进行二次开发，主要增强局域网内web用户身份鉴别，对系统内信息执行分级策略，高密信息进行加密验证，加装数据库在线不停机备份系统。

5 改造难点分析

5.1 基础设施规划

需在原机房机位因地制宜，在不扩充占地的前提下，满足双路电源扩充、强电弱电分槽、增强机柜散热以及按安全区分柜的要求，同时每个分区需配备独立的一体式共享机架，在考察其他单位机房时发现大部分厂级SIS系统机柜还在使用普通民用电源插座，在此应配备防雷击防浪涌的工业PDU服务器电源，整个施工完成后应形成完备的电源线缆竣工图、网络布线竣工图、系统网络拓扑图、机柜设备布置图，在线缆的两端均有打印标识，这一点在配合相关部门检查时可做到一目了然，摆脱系统边界不清晰等嫌疑。

5.2 设备更新选型

在满足电源冗余、专用安全产品认证等基础要求外，防火墙等关键网络节点设备要求提供针对工业协议的深度过滤，实现对Modbus、OPC等主流工业协议和规约的高细粒度的过滤，针对工业网络协议的内容和数据进行细致的合规性检查。这方面在以往的SIS系统设计中有所忽略，在有关部门进行网络边界设备配置策略检查中发现，SIS系统为实现与工业DCS系统的数据传输，在网络边界防火墙均未启用访问控制功能，未能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度仅为网段级，究其根本还是在于设备选型时未考虑工业网络的传输协议类型。

5.3 兼容性问题

在SIS系统改造过程中尤为突出。数据传输应用主干三大部分之间（DCS系统软件、SIS系统数据库软件、SIS系统应用软件），由于分属不同公司，在各自开发安全补丁后，通讯协议变化造成了数据传输的中断;服务器主机加固补了对于整个数据传输链路的影响，主要体现在135、139、445等端口关闭后，各主机的远程访问服务以及文件共享服务均被禁止，对于原先设有值长站以及网络打印机的SIS系统，这些设备将失去作用;防恶意代码软件与数据库软件不兼容，数据库软件相关进程被识别为恶意代码而关闭。以上这些兼容性问题有些可以通过调整系统功能配置来解决，但大部分仍需要软件开发单位协调后进行二次开发。

6 应用情况及经验总结

经历近三年的改造，某公司SIS系统在保证业务系统平稳运行的同时，先后多次接受省、市公安系统及能源监管办的评估检测以及模拟攻击试验，进步极为显著，已达到信息安全等级保护二级系统样板水平。

回顾几年来的改造过程，受限于条文规范发布时序，先期规划不足，存在一些二次改造的方面，例如升级数据库时未同期配置防恶意代码软件。综合来说，信息安全等级保护工作与网络信息技术发展密切相关，无法一劳永逸，尤其是在软件方面，加强与开发方的联动，保证补丁更新的时效方能确保无虞。

参考文献

[1]《电力行业网络与信息安全管理办法》（国能安全[2014]317号）.

[2]《电力行业信息安全等级保护管理办法》（国能安全[2014]318号）.

[3]《电力行业信息系统安全等级保护基本要求》（电监信息[2012] 62号）.

[4]《电力监控系统安全防护规定》（发改委第14号令）.

[5]《电力监控系统安全防护总体方案》等安全防护方案和评估规范（国能安全[2015]36号）.