抽水蓄能電站工控系統安全防護探討

高建偉，何曉亮，馬依文

（華東桐柏抽水蓄能發電有限責任公司，浙江天臺317200）

抽水蓄能電站工控系統安全防護探討

高建偉，何曉亮，馬依文

（華東桐柏抽水蓄能發電有限責任公司，浙江天臺317200）

當前抽水蓄能電站機組啟停廣泛采用SCADA系統進行控制，而抽水蓄能電站在電網中承擔日益繁重的調峰填谷的任務，抽蓄電站工控系統一旦出現風險而癱瘓，將影響電網的平穩運行。本文分析了抽水蓄能電站工控系統目前存在的安全威脅，并介紹了相應的安全防護方案。該方案詳細介紹了如何在運行的電力監控系統中部署統一管理平臺、日志審計系統及入侵檢測裝置；以及如何實現對工控系統的實時監測、監控及告警。

工控系統；統一管理平臺；白名單；入侵檢測

1 引言

電力監控系統是隨著現代大型發電廠機組自動化的不斷提高和過程控制要求的日益復雜應運而生的綜合控制系統，它是計算機技術、系統控制技術、網絡通訊技術和多媒體技術相結合的產物，可提供窗口友好的人機界面和強大的通訊功能。是實現機組運行過程控制、過程管理的現代化設備。

抽水蓄能電站在電網中承擔日益繁重的調峰填谷的任務，對電網的平穩運行有著重要的作用。隨著技術的發展，當前抽水蓄能電站電力監控系統廣泛采用SCADA系統進行機組啟停的控制。做好電力監控系統的安全防護，對抽水蓄能電站的正常運行有著至關重要的作用。

2 桐柏工控系統存在的問題與加固措施

桐柏公司電力監控系統，遵循“安全、可靠、先進、開放、經濟、實時、實用”的原則，按照“無人值班、少人值守”的原則進行設計和配置，采用以計算機監控為主，簡易常規控制為輔的監控方式。系統結構采用全智能、全開放、分層分布式模塊化可配置冗余結構（數據庫及功能分布等），以“分層管理、集中控制”為原則保證系統的互操作性、可擴展性和可移植性。整個系統共分兩層：電廠控制層和現地控制層，是一個完整的實時閉環控制系統。

隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合，抽水蓄能電站工控系統已經廣泛的采用通用協議、通用硬件和軟件，以多種不同方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工控系統蔓延，工控系統信息安全問題日益突出。尤其是2010年震驚全球的“震網”病毒事件之后，相繼出現“毒區”、“火焰”等超級病毒，能源行業首當其沖成為攻擊的目標。抽水蓄能電站作為電網中重要的調峰填谷節點，其工控系統也將面臨越來越多的威脅。

2.1.力監控系統的威脅分析

2.1.1.理安全

桐柏電站電力監控系統機房由于建設時間較早，設計初期缺少相關管理條例參考，因此在物理位置的選擇、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護方面滿足《電力行業信息系統安全等級保護基本要求》S2A3G3相應測評項要求；但仍存在部分測評項不滿足要求，具體為：

（1）物理訪問控制

機房與監控室隔離，重要區域（SCADA服務器與工作站之間）并未使用物理隔斷方式隔離。

（2）防盜竊和防破壞

目前系統機房可通過視頻、門禁感應報警等技術手段實現防盜報警，但視頻存在監控死角且未利用紅外光、電等技術手段防盜。

（3）防火

1）機房、操作間墻壁、地板、天花板等均采用了具有耐火等級的建筑材料，但窗簾不滿足防火要求。

2）系統關鍵設備未與其他設備之間有明顯區域。

（4）防水和防潮

地板下未安裝水敏感的檢測元件，不能夠對機房空調周圍進行防水檢測和報警。

（5）溫濕度控制

機房使用普通空調，能保證溫度在正常范圍，室內濕度低容易產生靜電。

2.1.2.機安全

SCADA主機在身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范方面、資源控制方面均存在部分測評項不滿足《電力行業信息系統安全等級保護基本要求》S2A3G3相應要求，具體為：

（1）身份鑒別

遠程連接未強制使用加密措施。

（2）訪問控制

1）操作系統未關閉不需要的端口（135、445），未關閉文件共享。未開啟本地防火墻對資源進行控制。

2）操作系統未重命名administrator賬戶。

（3）安全審計

1）未開啟操作系統審計功能。

2）無綜合審計系統，無法生成審計報表。

（4）入侵防范

操作系統存在多余組件和應用程序，補丁更新不及時。

（5）惡意代碼防范

未安裝殺毒軟件。

（6）資源控制

防火墻已關閉，未限制管理登錄地址。

數據庫CAE主機在身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制方面均存在部分測評項不滿足《電力行業信息系統安全等級保護基本要求》S2A3G3相應要求，具體為：

（1）身份鑒別

1）數據庫密碼為8位以上，由數字、字母和符號組成，但未設置密碼復雜度校驗。

2）未配置登錄失敗處理功能。

（2）訪問控制

操作系統未關閉不需要的端口（135、445），未關閉文件共享。未開啟本地防火墻對資源進行控制。

（3）安全審計

1）審計記錄無法保證不被修改覆蓋。

2）未部署第三方審計系統，不能對記錄數據進行自動分析和生成審計報表。

（4）入侵防范

操作系統存在多余組件和應用程序，補丁更新不及時。

（5）惡意代碼防范

未安裝殺毒軟件。

（6）資源控制

數據庫未設置終端登錄超時。

2.1.3.絡安全

I區交換機基本滿足《電力行業信息系統安全等級保護基本要求》S2A3G3相應要求；但仍存在部分測評項不滿足要求，具體為：

（1）訪問控制

在網絡出口和核心網絡接口處未限制網絡最大流量數及網絡連接數。

（2）安全審計

1）生產控制大區未部署集中審計設備，設備不支持生成審計報表功能。

2）日志本地存放，存在不可預期的覆蓋和掉電丟失的可能。

（3）網絡設備防護

1）未對網絡設備遠程管理地址進行限制。

2）未部署兩種或兩種以上組合鑒別技術。

3）設備標識唯一，用戶標識唯一,未禁止多個人員共用一個賬號。

4）交換機的口令長度大于8位，由字母、數字和符號組成，滿足口令復雜度要求，并密文存儲；但口令未定期更換。

5）交換機使用http遠程管理交換機，http為明文傳輸協議，不能防止鑒別的信息在傳輸過程中被偷聽。

6）未關閉不需要的網絡端口和服務，snmp團體名稱為Public未修改。

（4）惡意代碼防范

網絡邊界無惡意代碼檢測系統。

I/II區防火墻基本滿足《電力行業信息系統安全等級保護基本要求》S2A3G3相應要求；但仍存在部分測評項不滿足要求，具體為：

（1）訪問控制

在網絡出口和核心網絡接口處未限制網絡最大流量數及網絡連接數。

（2）安全審計

1）生產控制大區未部署集中審計設備，設備不支持生成審計報表功能。

2）日志本地存放，存在不可預期的覆蓋和掉電丟失的可能。

（3）網絡設備防護

1）未對網絡設備遠程管理地址進行限制。

2）未部署兩種或兩種以上組合鑒別技術。

3）設備標識唯一，用戶標識唯一,未禁止多個人員共用一個賬號。

4）防火墻的口令長度等于8位，console用戶名和密碼出廠默認值，由字母組成，未滿足口令復雜度要求且未定期更改。

5）未關閉不需要的網絡端口和服務。

（4）惡意代碼防范

網絡邊界無惡意代碼檢測系統。

2.1.4.用安全

桐柏電站電力監控系統在安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯方面均滿足《電力行業信息系統安全等級保護基本要求》S2A3G3相應要求；在身份鑒別、訪問控制、資源控制方面均存在部分測評項不滿足《電力行業信息系統安全等級保護基本要求》S2A3G3相應要求，具體為：

（1）身份鑒別

1）應用系統無口令長度限制，無字母加數字組合要求，對復雜度無限制。

2）應用系統無登錄失敗處理功能，可以持續嘗試登錄。

3）系統對身份鑒別、用戶身份標識唯一性進行檢查，但是無用戶信息復雜度進行檢驗以及無配置登錄失敗處理功能。

（2）訪問控制

應用系統存在管理賬號且未限制默認賬號的訪問權限。

（3）資源控制

1）系統操作控制臺暫未設置最大并發會話連接數限制。

2）系統不具備根據業務緊急情況及用戶請求，為帳戶或進程占用的資源分配最大和最小限額的功能。

2.2.力監控系統安全防護加固方案

2.2.1.理安全加固

（1）中控樓計算機房加裝艾默生精密空調，適合機房主設備散熱特點，為機房各設備提供連續穩定的溫濕度環境。并能實時監測室內環境溫濕度，如超出設定值及時報警。

（2）增加機房動環及網絡一體化監控系統，通過對環境、動力、消防、保安、服務器、網絡設備、鏈路等進行監控建設，對機房內的溫濕度、市電、煙霧、漏水、安防、服務器、網絡設備、鏈路等建立一套較完整的機房動力監控、環境監控、安全防范監控、服務器監控、網絡監控的管理體系，建立統一、規范、面向業務的監控指標體系，通過數據整合工具實現監控數據的集中統一管理。

2.2.2.機安全加固

（1）安裝瑞星殺毒軟件（企業版），并使用WSUS或從http://www.microsoft.com/china下載最新的安裝補丁，將補丁文件進行殺毒軟件掃描后在目標主機上進行離線安裝，安裝完畢后進行白名單掃描并固化。

（2）設置強登錄口令、刪除多余賬戶、禁用Guest賬戶。修改密碼策略，密碼策略啟用后立即更改系統管理員密碼以及其他所有用戶的密碼，密碼必須由大小寫字母、數字、特殊符號組成。密碼在180 d內必須進行更改，更改時注意最近使用過的3個密碼無效。

（3）關閉非必須服務，包括：

Alerter遠程發送警告信息

Computer Browser維護網絡上更新的計算機清單

DHCP Client

Messenger允許網絡之間互相傳送提示信息的功能

remote Registry遠程管理注冊表

PrintSpooler打印機服務

Task Scheduler計劃任務

SNMP簡單網管協議

（4）在電力監控系統一區各主機安裝威努特工控可信衛士，并由統一管理平臺集中管理各主機。在初次安裝軟件后，對主機進行全盤掃描，此過程掃描到的本地磁盤所有可執行文件生產數字簽名，并創建白名單數據庫。統一管理平臺實時監測系統內各主機運行情況，當某主機執行非白名單內的可執行文件、用戶對移動存儲的訪問權限違規時，該平臺將會產生實時報警。

2.2.3.絡安全加固

（1）在電力監控系統一區核心交換機做鏡像端口，在鏡像端口加裝工控安全監測與審計系統，支持網絡連接狀態檢測、工業協議深度解析、工業協議規約檢測、全網流量歷史數據審計、網絡異常檢測、工業關鍵事件檢測、用戶自定義規則告警、工業協議無流量檢測。

該系統采用旁路部署，對電站機組運行過程“零風險”，基于對工業控制協議（如modbus TCP、OPC、DNP3、IEC 60870-5-104等）的通信報文進行深度解析（DPI、Deep packet inspection），能夠實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警，同時詳實記錄一切網絡通信行為，包括指令級的工業控制協議通信記錄，為工業控制系統的安全事故調查提供基礎。

（2）在電力監控系統一區核心交換機與保護信息子站之間加裝可信網關（防火墻），由統一管理平臺進行配置管理。管理員可在任意聯通到組態管理平臺的設備上進行訪問和管理。網關硬件經過CE、CC和FCC等業內頂級標準認證，可以穩定長期不間斷運行，減少用戶系統停車時間。

網關軟件采用自主可控的架構設計，各主要功能模塊互相配合，對流通在電力監控網絡中的所有數據進行全方位的解析、判斷和控制，能有效保障用戶正常數據的傳輸，完全杜絕非法數據和病毒在客戶工控網絡中的分散和傳播。

（3）在工控安全審計探針后加裝上元信安入侵防御系統，該產品站在應用的視角，將應用中的異常行為、異常流量也作為威脅的一種有效防護，對于未知的威脅以及日益盛行的高級持續威脅會送往云端進一步分析，形成對網絡基礎設施、網絡應用、網絡性能、云端安全的全面立體防護。

2.2.4.用安全加固

（1）在電力監控系統一區各主機安裝威努特工控可信衛士，并由統一管理平臺集中管理。在初次安裝該軟件后，會對主機進行一次全盤掃描，此過程掃描到的本地磁盤所有可執行文件生產數字簽名，自動生成白名單庫文件，并顯示可執行文件的數量以及生成白名單庫的時間。待全盤掃描完成后才能開啟系統安全防護。開啟后，任何不在白名單內的可執行文件都將被阻止運行。

（2）對登陸SCADA系統用戶設置來賓、操作員、管理員3類權限賬戶。其中，來賓賬戶用于地下廠房監控主機和日常工程師站主機，作為機組信號監視客戶端；操作員賬戶用于中控室操作員站，作為機組啟停發令客戶端；管理員賬戶正常情況下不允許登陸使用，只有經過授權的監控系統專業人員可以登陸修改SCADA系統設置。對操作員權限設置多個賬戶，每一個具備中控室值守資格的人員分配一個單獨賬戶。

3 結論

隨著抽水蓄能電站在電網中承擔的任務越來重，保障電站工控系統的安全運行，對于電網以及社會的正常運轉有著重大的意義。在當前新形勢下，如何對工控系統進行防護，防止來自內部、外部的安全威脅和惡意攻擊，是工控安全領域面臨的重大挑戰。本文通過分析桐柏電站在等保測評期間發現的問題，并詳細介紹了相應的加固方案，解決了早期建設電站監控系統普遍存在的安全防護能力不足的問題。為運行中的大中型抽蓄電站工控系統安全加固，提供了可靠的實踐基礎。

[1]李奀林.電力工控系統安全面臨的威脅與對策[J].信息安全與通信保密，2014(6):62-63.

[2]王文宇，劉玉紅.工控系統安全威脅分析及防護研究[J].信息安全與通信保密，2012(2):33-35.

[3]王琦魁，李昕，趙甫.工控系統信息安全與加工網絡防護方案研究[J].信息網絡安全，2014（9）：120-122.

[4]張五一，李圣泉.能源行業工控系統信息安全分析與防護[J].信息安全與通信保密，2015(4):41-44.

[5]W IS-工控安全監測與審計系統使用指南_V2.0-201511 [Z].

[6]電力行業信息系統安全等級保護基本要求[Z].

TV736

B

1672-5387（2017）09-0063-04

10.13599/j.cnki.11-5130.2017.09.022

2017-06-19

高建偉（1992-），男，助理工程師，從事抽水蓄能電站自動化專業運維工作。