水電站二次系統網絡安全防護方案

張繼康

(國網陜西省電力公司安康水力發電公司，陜西 安康 725000)

水電站二次系統網絡安全防護方案

張繼康

(國網陜西省電力公司安康水力發電公司，陜西 安康 725000)

介紹了安康水電站二次系統網絡現狀，闡述了網絡安全防護的規劃、目標和解決方案，并在此基礎上提出了一些建議，以促進安康水電站二次系統網絡安全防護工作的實施與提升，保障水電站和陜西電網的安全穩定運行。

水電站；二次系統；網絡安全防護；安全分區

0 引言

安康水電站位于漢江干流上游，下游距安康市城區18 km，是漢江上游陜西省境內7級梯級水電站開發中的第4級水電站，也是7級梯級水電站中調節能力最強、裝機容量最大的水電站。

該水電站于1978年開工建設，機組于1992年全部并網發電。電站最大壩高128 m，壩長541.5 m，控制流域面積35 700 km2，水庫正常高水位330 m，水電站總庫容25.85×108m3。水電站總裝機800 MW，以3回330 kV出線與西安市和漢中市電網相連，7回110 kV出線與安康市電網連接，是陜西電網調峰、調頻和事故備用的主力電廠之一，肩負著安康市城區及下游城鎮防洪度汛的重任。

1 網絡安全防護方案的規劃及目標

1.1 總體規劃

安康水電站結合現有自動化系統現狀制定二次系統網絡安全防護方案。其總體規劃是：

(1) 在保證安康水電站網絡架構原有業務功能的基礎上，增加4面服務器機柜、5臺服務器、1臺磁盤陣列以及通信光纜、網絡安全隔離與防護;

(2) 在堅固的安全網絡保護的基礎上，充分利用和挖掘網絡資源，增強企業局域網的信息處理和分析能力;

(3) 構筑面向各信息子系統的綜合數據信息平臺，在硬件、軟件及數據庫方面提供各層的規范接口，保證目前已經投運的各個子系統能安全可靠地接入平臺，確保子系統之間能共享信息資源。

1.2 防護目標

安康水電站二次系統安全防護的總目標是：

(1) 防止水電站監控系統服務的核心業務(即電力生產)中斷；

(2) 防止水電站監控系統崩潰；

(3) 抵御外部人員對水電站監控系統發起的惡意破壞和攻擊，以及可能對相連的調度自動化系統造成的影響；

(4) 防止利用病毒/木馬等惡意程序，從水電站監控系統局域網內部發起的對電力生產及相連的調度自動化系統的惡意破壞和攻擊；

(5) 保護水電站監控系統的實時和歷史數據，防止數據被非授權修改。

2 網絡安全防護現狀與防風險措施計劃

2.1 計算機監控系統

安康水電站計算機監控系統防護現狀與計劃增加的防風險措施如表1所示。

2.2 水庫調度自動化系統(水情測報系統)

安康水電站水庫調度自動化系統已形成一個綜合性的數據庫，所涉及的功能模塊在多個安全區均有分布，和水庫調度自動化系統交換數據的系統有：監控自動化系統(安全1區)、電量計費系統(安全2區)、西北網調自動化系統(安全3區)、藺河口水調自動化系統(安全3區)、安康市防汛辦(安全3區)、安康電廠后方通信科(安全3區)、MIS(Management Information System，管理信息系統)系統(安全3區)等。

由于安康水電站水庫調度自動化系統規模迅速擴大，其初期的整體設計理念，已無法滿足目前網絡的整體安全要求，所以在網絡安全防范方面只能盡量分模塊進行安全保護。

水庫調度自動化系統的網絡安全防護現狀與計劃增加的防風險措施如表2所示。

3 網絡安全防護方案

3.1 二次系統安全防護總體方案

本方案根據安康水電站網絡現狀以及二次安全防護總體方案——水電站防護方案要求，結合網絡及業務需求，對各應用系統進行了合理的安全分區，安康水電站二次系統安全防護方案如圖1所示。方案分為以下幾個部分。

(1) 生產控制大區與管理信息大區之間的橫向隔離。位于控制區(安全1區)的機組監控系統與MIS系統通過1臺單比特正向隔離裝置互聯，也可冗余配置2臺裝置，互為備用，實現安全1區與管理信息大區之間的安全隔離。由于不存在反向業務，所以2區之間無需部署反向隔離裝置。

(2) 正、反向隔離。位于非控制區(安全2區)的水調自動化系統、電量計費系統、內網數據中心與管理信息大區系統的外網數據中心、MIS系統之間通過1臺(或2臺，冗余配置)正向隔離裝置和1臺反向隔離裝置(或2臺，冗余配置)，其中因為內、外網數據中心需要數據雙向互傳文件，故在此部署反向隔離裝置。

表1 計算機監控系統防護現狀與計劃增加的防風險措施

表2 水庫調度自動化系統網絡安全防護現狀與計劃增加的防風險措施

本方案中所有隔離裝置為了配合應用應答，從物理層實現外網到內網1 bit。因此所有應用系統的外網服務器程序只能返回1 bit的應答給內網客戶端程序，同時規定11 bit的內容只能有2種狀態：0和1，分別用1 byte 0和255表示。應用程序只允許TCP(Transmission Control Protocol，傳輸控制協議)和UDP(Open System Interconnection，開放式系統互聯)應用，推薦使用UDP。要求安全1區各應用系統及MIS系統通信服務程序由相關開發廠商進行相應的改動。

(3) 生產控制大區內部控制區(安全1區)與非控制大區(安全2區)之間安全防護。根據二次安全防護方案要求，安全1，2區之間應采用防火墻進行邏輯隔離，用于監控系統與內網數據中心的數據交互。

(4) 管理信息大區與外網(因特網)互聯。管理信息大區與外網互聯通過1臺防火墻進行安全防護，建議根據交換機的接口狀況采用千兆防火墻。

(5) 縱向加密認證裝置部署。根據二次系統安全防護方案“縱向認證”的要求，在已有的調度數據網絡路由器和交換機(安全1，2區核心交換機)之間分別部署1臺(共2臺)縱向加密認證裝置。通過對數據加密隧道的建立和訪問控制策略的配置，保證廣域縱向數據傳輸的安全性和可靠性。

(6) 生產控制大區和管理信息大區入侵檢測系統部署。根據需求，對照二次系統安全防護方案規定，生產控制大區和管理信息大區不可以共用1套系統。因此，本方案中在生產控制大區部署1套IDS(Intrusion Detection Systems，入侵檢測系統)，將IDS裝置和管理服務器部署在安全2區，探頭分別部署在安全1，2區交換機的網絡邊界，監測來自內網的攻擊和流量異常等情況。在管理信息大區部署1套IDS系統，部署在管理信息大區核心交換機上，主要監測來自外網和MIS系統網絡邊界的攻擊和數據流量異常情況。

圖1中的虛線部分為設備的雙機冗余配置，為可選項。采用冗余配置將更有利于系統安全、穩定地運行。

圖1方案實際上符合二次系統安全防護方案中三角鏈接模式，即組成安全1，2區之間通過防火墻互聯，安全1區與管理信息大區通過橫向隔離裝置互聯，完成數據的正向傳輸；安全2區與管理信息大區通過橫向隔離裝置互聯，完成數據的正、反相傳輸。

3.2 水庫調度自動化系統防護方案

由于安康水電站水庫調度自動化系統目前為獨立系統，通過防火墻與當地防汛部分互聯，不符合二次系統安全防護規定。

隨著水調自動化系統的建立，安康水電站水庫調度自動化系統將通過調度數據網絡與省調互聯，因此不能直接將其與防汛系統通過公網互聯，必須經過隔離裝置進行隔離后再互聯。對于該系統的防護有2種方案可供選擇。

(1) 方案1。將水庫調度自動化系統置于安全2區，通過正向隔離裝置將數據倒至位于管理信息大區MIS系統的Web服務器，再通過防火墻與外網互聯，以滿足安防要求。

(2) 方案2。安康水電站水庫調度自動化系統統防護方案2如圖2所示。

圖2 安康水電站水庫調度自動化系統防護方案2示意

方案2與方案1的區別在于，方案2在水庫調度自動化系統單獨增加了1臺正向隔離裝置，將Web服務器直接與隔離裝置互聯，不將其與管理信息大區的MIS網交換機互聯，通過原有防火墻與外網防汛系統互聯。

3.3 入侵檢測系統部署方案

在生產控制大區和管理信息大區各部署1套IDS系統，每套系統包括1臺入侵檢測裝置和1臺管理服務器，管理服務器用于數據的存儲和作為管理軟件的平臺。

安全1，2區入侵檢測原理如圖3所示，其中安全1，2區共用1套系統，將IDS裝置和管理服務器部署在安全2區，即將IDS裝置和管理服務器接入安全2區核心交換機，其地址均為安全2區地址段地址。將裝置探頭分別部署在安全1，2區交換機的網絡邊界，通過交換機的鏡像功能，監測來自內網的攻擊和流量異常等情況。要求有探頭部署時交換機應為3層交換，且具有鏡像功能。

本次工程配置的IDS共有3個網口，其中1個網口用于管理用，需要配置地址，該網口通過電力廣域網調度中心IDS日志查看服務器在1個VLAN(Vitrual Local Area Netuout，虛擬局域網)，IDS設備的管理軟件就裝在當地服務器上；其余2個網口就接在1，2區交換機上，在混雜模式下，無需配置地址。在2臺交換機上配置鏡像功能，把需要監視的端口或數據流傳遞到IDS設備上。

圖3 1，2區入侵檢測原理示意

3.4 其他建議

(1) 由于管理信息大區的病毒防護和可能受到的攻擊更為突出，建議在管理信息大區部署IPS(Instrusion Prevention System，入侵防御系統)，其與IDS最大的區別在于具有阻斷功能。好的IPS系統集成了入侵防御與檢測、病毒過濾、帶寬管理等多項功能，可實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件及攻擊和惡意行為。

(2) 由于管理信息大區對外網的數據流量較大，建議采用千兆防火墻(應根據管理信息大區的核心交換機是否具有千兆接口確定)，以提高網絡速率和可靠性。

1 董玉香，田家英．電力二次系統安全防護探討[J]．電子世界，2014，36(22)：82-83.

2 郭積才，曹金元．智能變電站二次系統安全性探討[J]．電力安全技術，2014，16(3)：19-21.

3 國家質量技術監督局．GB 17859—1999計算機信息系統安全保護等級劃分準則[S]．北京：中國標準出版社，1999. 4 劉常勇，劉 雙．三門核電站二次系統安全防護方案[J].中國核電，2015，8(3)：266-270.

2016-12-18。

張繼康(1984—)，男，工程師，主要從事電力系統自動化設備維護檢修和技術改造工作，email：qwer970@126.com。