水电厂电力监控系统网络安全防护体系建设探析

2022-04-07曾体健

水电站设计 2022年1期

曾体健

(贵州乌江水电开发有限责任公司，贵州贵阳 550002)

0 前言

电力行业是我国重要的关键基础设施，关乎国计民生，其中发电厂电力监控系统是最核心和重要的系统之一。在满足“安全分区、网络专用、横向隔离、纵向认证”基本原则的基础上，结合国家信息安全等级保护工作的相关要求，如何开展好电力监控系统的综合安全防护建设工作成为需要迫切解决的问题。

1 发电企业网络安全面临的形势

电力系统已逐渐由封闭独立向开放互联转变。电力监控系统由专用平台、专用协议逐渐转变为开放平台和通用协议，原本孤立的系统开始大规模互联，系统开始使用通用硬件，并且广泛使用各类标准网络设备和商用软件，系统的开放性和网络高度连接性，无形中也提供了更多的攻击渠道。无线专网、电力线载波等新型接入方式的大量应用，将终端设备深入到用户侧的非可控环境中，终端的智能化和互联互通的迫切需求给传统的隔离式网络结构提出了新问题。物联网大数据技术在工控现场的深化应用导致网络基础环境也随之变化，网络结构复杂化、边界模糊化、威胁形态多样化导致物理隔离更加难以实施，这给当前电力工控系统网络安全防护工作带来严峻挑战[1]。

2 设计思路

在日益严峻的网络安全环境下，关键基础设施单位整体网络安全需满足行业(国能安全〔2015〕36号文)、法规(等级保护基本要求)等要求，可探索建设基于“白环境”的“纵深防御”安全防护技术体系，具体设计思路为：以“一个中心、三重防护”为指导思想，从“安全区域边界、安全通信网络、安全计算环境”三个维度，建立“可信电力监控系统白环境整体纵深防御结构”。总体设计思路示意见图1。

图1 总体设计思路示意

通过对电力监控系统网络边界、数据流量、计算环境等进行监控，收集并分析生产控制系统网络数据及系统软件运行状态，建立生产控制系统正常工作环境下的安全状态基线和模型，进而构筑生产控制系统安全“白环境”，确保：只有可信任的设备，才能接入系统网络；只有可信任的消息，才能在系统网络上传输；只有可信任的软件，才允许被执行。

3 具体措施

依据国能安全〔2015〕36号、等级保护基本要求，结合“白环境”实现整体纵深防御防护。

3.1 强化安全区域边界访问控制能力

生产控制大区到上级调度边界处，在纵向加密的基础上，部署工业防火墙强化安全边界访问控制能力。安全Ⅰ区和安全Ⅱ区之间部署工业防火墙，强化生产控制大区内部两个重要区域之间的边界访问控制能力。安全I区内部，上位机与各LCU之间部署工业防火墙，实现各水轮发电机组监控系统之间、与控制系统之间以及同一水轮发电机组不同功能的监控系统之间的边界隔离。

3.2 提高网络内、外入侵和恶意代码防御能力

生产控制大区到调度和集控中心边界处，在纵向加密和正向隔离的基础上，旁路部署网络威胁感知系统，利用强有效的入侵行为感知能力，有效发现从外部区域到发电企业生产控制系统的入侵行为，尤其是利用APT攻击的入侵行为。安全Ⅰ区业务网络内各关键网络节点处旁路部署工控安全监测与审计系统，利用白名单技术建立生产控制系统安全通信模型，实时监测生产网络异常流量，及时发现针对各水轮发电机组控制系统的入侵行为[2]。在生产控制大区内部安全管理中心区域内建立安全运维管理域，在安全运维管理域内部署准入控制系统，对接入生产控制网络的设备进行身份验证和设备合法性检测，保证接入的设备身份是合法的，保证接入设备自身是安全的。

3.3 提高系统内主机病毒防范能力

生产控制大区内部所有操作员站、工程师站、通信机等关键主机/服务器上安装主机加固软件，利用白名单技术对主机/服务器系统内所有可执行程序进行可信认证，保证只有认证过的程序才可以运行。有效阻止病毒/恶意代码等程序执行，从而提高系统主机的病毒防范能力。

3.4 提高主机安全基线

生产控制大区统一安全管理中心内部署安全运维管理系统，利用双因子认证技术，提高对网络设备的身份认证能力。利用主机加固功能模块，对主机进行一键式安全加固，提高主机安全基线。通过网络白名单技术，关闭不必要的服务端口，提高系统的入侵防范能力。通过访问控制策略，保证业务配置文件不被篡改。通过强制访问控制和自主访问控制技术对主机上关键配置文件进行访问控制权限控制，保证只有授权的用户才能访问，同时对操作行为进行管控[3-5]。

3.5 建立统一安全管理中心，强化集中管控能力

建立发电企业生产控制大区安全管理中心，其内部署统一安全管理平台，实现对安全产品统一管理、对安全资产的可视化展示、对运维人员身份授权、运维人员操作授权和运维人员行为审计。实现对网络内主机设备、网络设备、安全设备的日志进行统一采集并进行关联分析，帮助企业完成所有安全设备统一策略管理措施，对运维人员实施身份鉴别和行为管控。