水電廠工控系統安全防護的設計與實現

吳 輝，向 歡，楊丹丹，陳 沖

（1.五凌電力有限公司三板溪水電廠，貴州 錦屏556700；2.中國水利水電第八工程局有限公司，湖南 長沙410004）

伴隨“互聯網+”的來臨，電力行業與“互聯網+”深度融合是未來的發展趨勢，移動互聯網、云計算、大數據、物聯網等先進信息技術應用到電廠的安全生產中，促進電廠向智能化、數字化等方向發展。同時隨著電力自動化生產技術的迅猛發展，工控系統產品越來越多地采用通用協議/規約，通用硬/軟件和網絡設備，工控系統在物理環境上的封閉性以及軟/硬件的專用性逐漸被打破，工控系統的智能化提高了生產效率和管理效率，同時也為惡意攻擊者創造了可乘之機。

工控系統作為電力行業生產的最重要控制系統，在高度對抗的安全環境下受到了前所未有的威脅，成為了眾多對象打擊和滲透的目標，各種針對電力生產控制系統網絡的病毒、木馬等威脅事件層出不窮。面對攻擊技術與手段日益先進、復雜、成熟的針對電力工控系統進行攻擊的行為，電力工控系統所面臨的安全威脅也日益嚴峻。因此，如何保障水電廠工控系統安全，保障水電廠的安全生產，為水電廠設計安全、有效的工控系統安全防護方案，已成為一個日益突出的問題。

1 水電廠工控系統安全現狀

水電廠工控系統由生產控制大區和管理信息大區組成，其中生產控制大區可以分為控制區（安全I區）和非控制區（安全II區），控制區主要由計算機監控系統上位機、機組LCU、公用LCU、開關站LCU、閘門監控系統、穩控裝置、PMU等不同子系統組成，非控制區主要由電量計量、故障錄波、水情等系統組成。管理信息區由信息內網和信息外網組成，信息內網主要由門戶網站、辦公OA、生產管理系統等組成，信息外網為互聯網。

盡管水電廠工控系統已按照電力二次安全防護規定的要求，建立了“安全分區，網絡專用，橫向隔離，縱向認證”的網絡結構，對生產控制大區和管理信息系統進行了安全分區，管理信息系統、調度數據網等系統網絡專用，在安全I區和安全II區之間部署了防火墻，在與調度中心通信鏈路中部署了縱向加密認證裝置，部分水電廠根據自身的需要，在網絡中還增加了其他網絡安全設備。然而水電廠工控系統依然面臨復雜的外部和內部威脅，主要集中在以下幾個方面：

（1）主機安全風險。生產控制大區的服務器/網絡設備等存在弱口令，用戶權限設置不合理，存在默認賬號，空閑端口未關閉，系統軟件、操作系統漏洞升級困難，缺少必要的應用安全控制策略，對用戶登錄應用系統，訪問系統資源等操作進行身份認證、訪問控制和安全審計。

（2）網絡安全風險。水電廠工控系統中安全I區與安全II區之間部署的防火墻，缺乏對工業協議的支持和工業病毒的防護，水情系統服務器通過微波或GPRS等無線信號直接接收來自遙測站的數據，缺乏對接收數據進行安全防護，安全II區的非實時業務至調度中心數據網采用防火墻，未使用縱向認證加密裝置。

（3）移動存儲介質使用風險。隨著移動存儲介質的廣泛應用，運維人員使用移動存儲介質方便的接入操作員站/工程師站等服務器上，主機中的工控數據和配置文件存在外泄的可能，給工控數據的完整性、保密性帶來嚴重威脅，同時給病毒木馬進入工控系統提供有利的感染通道。

（4）病毒引入風險。病毒控制手段缺乏，病毒可通過移動存儲設備、外來運維的電腦，無線系統等進入系統，水電廠工控系統中很多控制單元都是封閉的系統，無法通過病毒軟件進行病毒清理，同時缺少病毒在工控網絡中傳播的控制手段，一旦感染病毒將傳播到整個工控系統網絡。

（5）應用安全風險。水電廠工控系統普遍缺乏網絡準入和控制機制，上位機與下位機通信缺乏身份鑒別和認證機制，只要能夠從協議層面跟下位機建立連接，即可以對下位機進行修改，普遍缺乏限制系統最高權限的限制，高權限賬號往往掌握著數據庫和業務系統的命脈，任何一個操作都可能導致數據的修改和泄漏，同時也缺乏事后追查的有效工具，讓責任劃分和威脅追蹤變得更加困難。

2 系統總體設計原則

水電廠工控系統設計以滿足我國電力監控系統安全防護總體原則為依據，同時考慮當前國內外工控安全防護技術的發展趨勢，結合水電廠工控系統測評和安全防護評估發現的風險點，提出構建水電廠一體化縱深防御的安全防護方案，即安全分區、網絡專用、橫向隔離、縱向認證、綜合防護。

（1）安全分區是工控系統安全防護體系的結構基礎，結合工控系統的業務系統和網絡結構，根據業務功能組、安全需求、物理位置等信息將整個工控系統網絡劃分成不同的安全區域，各安全區域之間可通過鏈式、三角以及星型等方式建立連接，同時也需避免不同安全區的縱向交叉連接。

（2）網絡專用是工控系統安全防護體系的物理網絡基礎，工控系統網絡應使用物理獨立的網絡設備組網，在物理層面上實現與其他數據網及外部公共信息網的安全隔離，管理信息網應使用邏輯獨立的虛擬專用網絡。

（3）橫向隔離是工控系統安全防護體系的橫向防線，在安全分區的基礎上，水電廠內部不同安全區域之間采用不同強度的橫向隔離措施。

（4）縱向認證是工控系統安全防護體系的縱向防線，水電廠在安全分區的基礎上，與調度中心通信的縱向數據網絡，應采用認證、加密、訪問控制等技術措施實現數據遠程安全傳輸和縱向數據網邊界的安全防護。

（5）綜合防護是指通過長期技術與管理措施做到工控系統的安全運營，包括定期滲透測試、設備加固、軟硬件安全可控、白名單策略控制、安全滲透、評估與測試和管理持續化等幾個方面。

2.1 安全分區

水電廠的工控系統由實時業務區、非實時業務區、信息管理業務區和獨立系統組成。實時業務區和非實時業務區的信息系統通過電力調度數據網與上級調度進行連接，生產控制大區和管理信息大區之間沒有連接。

2.2 橫向隔離

橫向隔離是電力監控系統安全防護體系的橫向防線。應當采用不同強度的安全設備隔離各安全區，以實現對重點安全區域的嚴格網絡隔離和訪問控制，保障電力二次安全防護體系的整體安全性。水電廠橫向隔離主要包含以下幾個方面：

（1）生產控制大區與管理信息大區之間。通常水電廠的兩大網絡之間沒有直接的物理連接，可不加防護裝置，如以后相連則必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應當接近或達到物理隔離。

（2）控制區（安全I區）與非控制區（安全II區）之間。安全I區是整個工控系統的防護重點，盡管水電廠安全I區和安全II區之間通常已經部署了傳統防火墻，但難以對IEC104規約進行精確防護，需要進行升級并部署工業防火墻，實現對工業協議數據深度過濾，防范各種非法操作和數據，保障工控系統安全。

（3）監控區和現場控制區之間。由于PLC控制器的安全防護級別要高于上位機的安全防護，因此在集中監控區上位機和現地控制區下位機之間部署智能保護裝置，允許上位機通過特定的工控協議與下位機進行交互，同時對上下位機之間傳輸的報文內容做深度檢查，識別正常的操作行為并生成白名單，發現其用戶節點的行為不符合白名單中的行為特征，對此行為進行阻斷或告警。

（4）第三方邊界安全防護。在非控制區第三方邊界部署安全隔離裝置，保障數據傳輸安全。在水電廠非控制區中，水情系統通過無線信號收集來自遙測站的水情數據用于水情分析，采集的數據經水電廠的水情服務器接收處理后，送往上級調度部門，應采取電力系統專用隔離裝置進行保護。

2.3 縱向認證

采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。因此在水電廠生產控制大區與電力調度數據網的縱向連接處部署電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現雙向身份認證、數據加密和訪問控制，同時具有安全過濾功能，實現對數據通信應用層協議及報文的處理功能。

2.4 綜合防護

為保障水電廠工控系統安全，除了遵循“十六字方針”外，還應考慮綜合防護方面的需求，如實現入侵檢測裝置、主機與網絡設備加固、應用安全控制、安全審計、專用安全產品管理、備用與容災、惡意代碼防護、設備選型及漏洞整改等以及其他安全需求。

（1）安全審計。發現網絡安全威脅，并對威脅進行分析，是保護工控系統網絡安全的首要任務，工控安全監測審計以旁路鏡像交換機數據端口的方式，對水電廠工控系統網絡各層級可能存在的威脅和內部人員的操作行為實時在線監測和分析。通過在水電廠安全I區的監控系統核心交換機、調度數據網實時業務交換機、安全II區的非實時業務交換機處部署工控安全監測審計設備，從生產控制網絡環境監測、安全形式評價、安全事件審計、安全接入等方面建立工控系統網絡安全保障體系，以便實時檢測工控網絡流量中的惡意代碼或利用漏洞攻擊的行為，分析潛在威脅并進行安全預警，同時，可審計經過現地控制系統匯聚交換機的操作指令，及時發現違規操作行為，便于事后追溯和分析。

（2）入侵檢測。入侵檢測系統可以對工控系統可能面臨的攻擊行為進行有效檢測，并通過事前告警、事中防護、事后取證3個角度，實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、后門木馬等惡意流量，及時捕獲網絡異常行為，分析潛在威脅，保護信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機。該系統旁路部署在安全I區，安全II區，管理信息大區的核心交換機上。

（3）主機加固。水電廠主機加固主要是對計算機監控系統、水情系統、閘門監控系統等操作員站、工程師站以及數據服務器進行防護，通過在工作站上安裝主機加固軟件，以白名單的技術方式監控工控主機的進程狀態、網絡端口狀態、USB端口狀態，全方位地保護主機的資源使用。根據白名單的配置，主機防護軟件會禁止非法進程的運行，禁止非法網絡端口的打開與服務，禁止非法USB設備的接入，從而切斷病毒和木馬的傳播與破壞路徑，保證各控制系統指令安全、正確執行，各生產系統安全穩定運行。

（4）移動介質防護。移動介質防護主要對水電廠工控系統工程師站、操作員站、數據服務器、水情上位機等USB接口進行防護，通過在工作站上安裝部署USB保護裝置，利用文件過濾技術，根據用戶系統特點及相應配置，過濾所有可疑文件，切斷病毒傳播途徑；通過對U盤的認證、權限設置以及行為記錄，從而實現對內網U盤的行為管理，可全面防護USB病毒及攻擊，徹底消除了USB使用中的安全威脅；可有效攔截死亡藍屏攻擊、BadUSB攻擊、LNK攻擊等USB高級攻擊；通過單向拷貝技術，防止數據泄漏事故。該設備安裝之后，必須使用專業的鑰匙才能打開，如果強制拔出，將會導致USB口損壞，從而無法使用。

（5）安全預警。工控安全預警平臺主要是實時監測水電廠工控系統的計算機網絡及安全設備運行狀態，及時發現非法外聯、外部入侵等安全事件并告警，收集廠站側原有網絡設備、安全設備以及上位機監控軟件的日志信息。通過監測工控系統網絡的通信流量與安全事件，從整體視角進行安全事件分析、安全攻擊溯源、安全事件根因挖掘等，為工控系統網絡當前的狀態以及未來可能受到的攻擊做出態勢評估與預測，為專業人員提供可靠、有效的決策依據，最大程度上降低工控系統可能遭受的風險和損失。

3 結論

本文以國務院14號令和國家能源局“36號文”為依據，以水電廠工控系統網絡為基礎，設計實施的工控系統安全防護方案，創新性地采用基于白名單的主機加固軟件，應用軟硬件結合的認證策略，USB保護設備，安全監測審計等，解決了水電行業工控系統中普遍存在的上位機未進行加固，USB接口未關閉，網絡邊界缺乏防護等問題，實現工控系統集中監控管理，減少現有水電廠工控系統安全風險點，降低水電廠遭受網絡攻擊的可能性，多維度、全方位的提升水電廠安全防護能力，為水電行業工控系統安全防護機制積累寶貴經驗，具有廣泛的推廣應用前景。