傅水祥

（浙江浙能华光潭水力发电有限公司，浙江 杭州 310000）

0 引言

传统电力企业建设及电力生产系统最初设计大多以实时生产为主，随着计算机信息网络技术的高速发展，使得工控系统亦得到快速发展，尤其是电力系统数字化、智能化程度越来越高，但网络信息安全事件不断发生，如何有效防范网络安全攻击、提升电力监控系统安全防护能力已逐渐成为电力行业重点深入研究的课题[1]，习总书记针对网络信息安全等方面工作讲话时，多次提出要求加强网络安全预警监测，感知网络安全态势，实现全方位感知和有效防护[2]。本文以华光潭水电厂为例，重点对安全防护方案的总体设计、态势感知平台部署等方面进行研究建设，提升电厂网络安全防护能力。

1 概况

华光潭水电厂生产控制区部署有计算机监控系统，其通过厂外通信服务器经电力调制解调器与地方调度通信（CDT 规约），同时通过串口通信形式将数据传送给水情测报系统和机组状态监测系统，无直接数据网络形式连接；非控制区部署的电量系统、机组状态监测系统则是通过南瑞隔离装置实现数据单向传输，将Ⅱ区采集数据发送至管理区WEB服务器。总体上，华光潭水电厂安全I 区计算机监控系统一直以来与调度网、Ⅱ区系统均无直接数据网络形式连接，Ⅱ区部分系统作为独立系统运行，因此未在Ⅰ区、Ⅱ区布置防火墙、IDS、核心交换机等。为实现集团公司及可再生能源分公司信息化建设对生产数据的采集要求，以国家电力监控各项规范及标准为依据，结合电厂计算机监控系统改造实施，对整体防护进行总体设计、升级建设、强化部署，实现网络安全防护全面覆盖。

2 安全防护建设总体思路和架构设计

华光潭水电厂电力监控系统安全防护建设总体思路：按照国家能源局《电力监控系统安全防护总体方案》（（国能安全）[2015]36 号文件）要求进行规划设计，在满足横向隔离和纵向认证详细要求的同时，实现生产控制大区的安全审计和管控、管理信息大区的安全隔离和防护。在电厂的边界，采取各项技术手段，将众多的安全威胁屏蔽在电力监控系统的边界之外；部署态势感知系统，监测感知生产工控系统实时动态，以便第一时间发现异常行为并及时告警；对各类服务器、工作站等设备部署统一防病毒软件进行查杀，确保能够稳定、可靠运行，为整个水电厂的电力监控系统营造安全可控的运行环境。

安全运行检测：在 I/II 区部署入侵检测设备 IDS进行风险实时监测，部署态势感知平台对各类数据流量，包括给主机、安全设备等安全日志进行实时检测分析。

行为安全审计：部署运维安全审计系统（堡垒机），统一身份认证，规范运维访问的统一入口，对运维人员和服务器、网络设备、安全设备等的操作行为进行监控和记录，可提供精准的责任认定和时间追溯，确保用户的行为符合安全管理规范；在管理信息区部署上网行为管理系统，强化上网行为的管控。

主机安全防护：管理信息大区终端权全面部署防病毒软件，通过统一服务器进行在线实时升级病毒库；对生产大区主机强化恶意代码防护，对工控系统操作员站、工程师站等主机外接设备进行管控，封闭未使用的 USB 接口等。

安全防护总体架构设计如图1 所示，主要安全防护设备如表1 所示。

图1 华光潭梯级水电站电力监控系统安全防护架构

华光潭水电厂安全Ⅰ区与上级集控中心之间冗余双通道部署，包括双套纵向加密装置、双套连接交换机、双通信机及双数据网关机；安全Ⅰ区保持串口通信方式通过厂外通信服务器经电力调制解调器以101 规约与调度通信[3]；安全Ⅰ区冗余部署双套核心交换机、入侵检测设备IDS，安全Ⅰ区与安全Ⅱ区之间部署防火墙。

安全Ⅱ区与上级集控中心之间冗余部署双套纵向加密装置，对业务数据进行加密，提高数据传输的安全性和可靠性；安全II 区冗余部署双套核心交换机、入侵检测设备IDS、日志审计装置，安全Ⅱ区与管理信息大区之间部署横向隔离装置（正向）。

管理信息区以落实互联网边界安全与上级管理公司的广域网安全为主，与上级管理公司广域网之间冗余部署两套路由器、防火墙和核心交换机，在外网边界则设置防火墙、入侵防御设备等信息安全设备，同时在各终端设备上统一部署防病毒软件等。

3 信息安全态势感知平台建设

态势感知具备网络空间安全持续监控能力，能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态，能够及时发现各种攻击威胁与异常，特别是针对性攻击；通过全流量分析技术可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别来实现完整的网络攻击溯源取证，从而支撑有效的安全决策和响应，帮助安全人员采取针对性处置措施；能够建立安全预警机制，全面掌握攻击者技术手段、攻击目的等信息情报，完善风险控制、应急响应和防御体系，全面提升整体安全防护水平。

华光潭水电厂的态势感知平台部署建设以主要以覆盖全厂非涉网测的生产及管理相关业务系统为原则，采用独立组网的方式，进行数据采集和单向传输，安全信息流量日志采集主要采用两种模式，一种是采集流量数据（采集交换机需支持镜像配置），另外一种则是采集各主机、安全及网络通信设备的日志。流量采集主要针对数据交互的原始流量，采集接入以核心交换机或者根交换机为对象，通过交换机配置镜像方式实现；主机日志则是通过安装Agent采集主机事件日志进行行为安全审计，安全及网络设备的日志经授权管理密码从而采集设备日志监测其行为和告警。主要组网架构情况如图1 中所示，主要设备配置见表2。

表2 态势感知平台主要设备配置情况

3.1 详细采集情况设计

安全Ⅰ区重点采集核心交换机的syslog 日志与镜像流量，对核心交换机配置镜像功能与syslog 日志功能后，使用网线完成物理连接，并将数据传输至安全I 区流量日志分析系统。

安全Ⅰ区流量日志分析系统采集到数据后，系统将数据经兴唐单向隔离传输到安全区交换机，分别将syslog 日志与镜像流量发送至工控统一安全管理平台（主、备双机）进行数据分析，备平台分析镜像流量后，将分析结果发送至主平台。

安全Ⅱ区重点采集核心交换机的镜像流量，对Ⅱ区核心交换机配置镜像功能后，通过网线与分析系统完成物理连接，并将数据传输至安全Ⅱ区流量日志分析系统。系统采集到数据后，系统将数据经兴唐单向隔离传输到到安全区交换机，将镜像流量发送至工控统一安全管理平台（主、备双机）进行数据分析，备平台分析镜像流量后，将分析结果发送至主平台。

管理区重点采集办公信息核心交换机的syslog日志与镜像流量，配置镜像功能与syslog 日志功能后，通过网线与安全III 区流量日志分析系统完成物理连接，并将数据传输至管理区流量日志分析系统。系统采集到数据后，系统将数据经兴唐单向隔离传输到安全区交换机，分别将syslog 日志与镜像流量发送至工控统一安全管理平台（主、备双机）进行数据分析，备平台分析镜像流量后，将分析结果发送至主平台。

主平台依次经过VPN 安全网关、防火墙、VPDN将数据发送至中能云平台。

3.2 采集链路调试方案

检查态势感知统一管理平台中是否都有Ⅰ、Ⅱ、Ⅲ区安全流量日志分析系统发送过来的数据，如果没有以此按Ⅲ、Ⅱ、Ⅰ区的顺序检查各个设备配置情况，步骤如下：

（1）断开I、Ⅱ区设备，只连接Ⅲ区安全流量日志分析系统，检查其日数据发送地址及IP 地址配置情况，检查Ⅲ区交换机配置情况，确认没有IP 地址冲突；

（2）断开Ⅰ区设备，只连接Ⅱ、Ⅲ区安全流量日志分析系统，检查Ⅱ区安全流量日志分析系统日数据发送地址及IP 地址配置情况，检查Ⅱ区交换机配置情况，确认没有IP 地址冲突；

（3） 检查Ⅰ区安全流量日志分析系统日数据发送地址及IP 地址配置情况，检查Ⅰ区交换机配置情况，确认没有IP 地址冲突。

4 结束语

综上所述，华光潭水电厂按照国家电力监控系统16 字方针为基本原则进行整体构架设计建设[4]，同时在此基础上探索建设信息安全态势感知平台，推动信息网络安全从“静态布控、边界监视”向“实时管控、纵深防御”转变。下一步电厂将持续深化安全防护建设，从管理上建立电厂电力监控系统安全防护管理体系，明确各级职责，制定防护方案、开展应急演练，借助第三方安全检测机构定期开展等保定级测评及安全评估工作，全面提升了电厂电力监控系统安全防护整体能力；后续将考虑实现电厂管理区内外网隔离，从技术措施上进一步完善电厂网络安全防护。