電力監(jiān)控系統(tǒng)安全防護(hù)與監(jiān)測預(yù)警平臺(tái)建設(shè)

艾遠(yuǎn)高，謝秋華，黃家志，楊 云

（長江電力股份有限公司三峽水力發(fā)電廠，湖北 宜昌 443133）

0 引言

電力系統(tǒng)作為重要基礎(chǔ)設(shè)施領(lǐng)域，已被不少國家視為“網(wǎng)絡(luò)戰(zhàn)”首選攻擊目標(biāo)，近些年國內(nèi)外報(bào)出的電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊事件頻出，如烏克蘭電網(wǎng)攻擊事件、以色列電力供應(yīng)系統(tǒng)遭重大網(wǎng)絡(luò)攻擊事件、委內(nèi)瑞拉大停電事件等等，電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全形勢異常嚴(yán)峻。國家對(duì)網(wǎng)絡(luò)安全的要求日益提高，《網(wǎng)絡(luò)安全法》要求：“應(yīng)采取監(jiān)測和記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)及網(wǎng)絡(luò)安全事件的技術(shù)措施”的要求;同時(shí)，國家發(fā)改委2014第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》和國家能源局2015第36號(hào)文等文件也對(duì)網(wǎng)絡(luò)安全防護(hù)做了明確的規(guī)定。

2002年以來，電力行業(yè)按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的邊界防護(hù)策略和監(jiān)控系統(tǒng)安全可控的基本原則，建立了柵格狀的電力監(jiān)控系統(tǒng)安全防護(hù)體系，實(shí)現(xiàn)網(wǎng)絡(luò)安全的動(dòng)態(tài)管控，始終維持安防體系的強(qiáng)健性，阻斷各種形式的網(wǎng)絡(luò)攻擊行為，將電力監(jiān)控系統(tǒng)安全防護(hù)體系由靜態(tài)布防提升為動(dòng)態(tài)管控。

三峽工程兼具防洪、航運(yùn)、發(fā)電、生態(tài)補(bǔ)水等綜合效益，三峽電站作為電網(wǎng)重要電源節(jié)點(diǎn)，其電力監(jiān)控系統(tǒng)安全防護(hù)倍受各級(jí)主管部門高度關(guān)注。“等保2.0”[1]系列國家標(biāo)準(zhǔn)于2019年正式發(fā)布，對(duì)工控系統(tǒng)安全防護(hù)提出了更高要求。在此背景下三峽左岸電站計(jì)算機(jī)監(jiān)控系統(tǒng)啟動(dòng)升級(jí)改造，新監(jiān)控系統(tǒng)安全防護(hù)設(shè)計(jì)的思路是依靠科學(xué)的技術(shù)手段和管理方式，實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)的預(yù)知、預(yù)防和預(yù)控，實(shí)現(xiàn)外部網(wǎng)絡(luò)威脅和內(nèi)部網(wǎng)絡(luò)不安全行為的在線管控。

1 平臺(tái)技術(shù)路線

1.1 國產(chǎn)安全可信

安全可信[2]，其核心思想是在計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，計(jì)算全程可測可控，不被干擾，使計(jì)算結(jié)果與預(yù)期一樣，是一種運(yùn)算和防護(hù)并存的主動(dòng)免疫的新計(jì)算模式。

水電站監(jiān)控系統(tǒng)建立基于自主可控軟硬件、國產(chǎn)密碼技術(shù)、可信計(jì)算的主動(dòng)免疫網(wǎng)絡(luò)安全防御平臺(tái)：即監(jiān)控系統(tǒng)安全平臺(tái)在硬件層面部署可信密碼模塊，在軟件層面部署可信軟件基，通過國產(chǎn)非對(duì)稱以及摘要SM2算法[3]，從操作系統(tǒng)引導(dǎo)開始對(duì)系統(tǒng)軟件、應(yīng)用軟件進(jìn)行鑒別，實(shí)現(xiàn)程序運(yùn)行“白名單”機(jī)制，防止未知或非法修改程序。相比可信2.0，可信3.0[4]構(gòu)建了一個(gè)邏輯上獨(dú)立的可信計(jì)算子系統(tǒng)作為可信節(jié)點(diǎn)，并通過可信連接將可信節(jié)點(diǎn)連接起來，通過可信節(jié)點(diǎn)間的可信協(xié)作形成完整的可信體系，通過可信節(jié)點(diǎn)對(duì)系統(tǒng)實(shí)施主動(dòng)監(jiān)控，為應(yīng)用提供可信支撐。

監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全平臺(tái)禁止未持有合法數(shù)字證書簽名的可執(zhí)行代碼啟動(dòng)運(yùn)行，通過部署可信環(huán)境、水電站數(shù)字證書、強(qiáng)制訪問控制等安全可信技術(shù)，能夠充分防范緩沖器溢出、代碼注入、病毒、木馬和非授權(quán)訪問等安全威脅，滿足用戶的各類高安全要求，保障計(jì)算機(jī)監(jiān)控系統(tǒng)安全Ⅰ區(qū)處于安全可信環(huán)境，取代以“封堵查殺”為主的傳統(tǒng)信息安全防護(hù)體系，由被動(dòng)防御轉(zhuǎn)為主動(dòng)防御，安全可控，安全免疫。

1.2 網(wǎng)絡(luò)安全監(jiān)測

按照“設(shè)備自身感知、監(jiān)測裝置就地采集、平臺(tái)統(tǒng)一管控”的原則，部署網(wǎng)絡(luò)安全監(jiān)測[5]設(shè)備并形成集中的感知監(jiān)視系統(tǒng):

（1）實(shí)時(shí)監(jiān)測計(jì)算機(jī)、網(wǎng)絡(luò)及安全設(shè)備運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量、用戶行為等內(nèi)容及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為：

（2）實(shí)時(shí)監(jiān)視系統(tǒng)內(nèi)所有信息資產(chǎn)的資源及運(yùn)行狀態(tài)，動(dòng)態(tài)感知評(píng)估和整個(gè)系統(tǒng)的健康狀況；

（3）搜集電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全信息數(shù)據(jù)，進(jìn)行智能學(xué)習(xí)、自主訓(xùn)練，從整體上綜合評(píng)估系統(tǒng)風(fēng)險(xiǎn)，預(yù)知系統(tǒng)威脅，自動(dòng)生成網(wǎng)絡(luò)安全應(yīng)急防御方案；

（4）協(xié)調(diào)控制所有網(wǎng)絡(luò)安全防護(hù)設(shè)備，按照防御方案動(dòng)態(tài)免疫各種狀況下的網(wǎng)絡(luò)威脅。

系統(tǒng)集成監(jiān)控系統(tǒng)設(shè)備UNIX、Windows等系列版本操作系統(tǒng)的主機(jī)安全監(jiān)測工具（Agent），將采集的網(wǎng)絡(luò)安全信息直接發(fā)送至監(jiān)測裝置，進(jìn)而對(duì)設(shè)備安全事件涉及的時(shí)間、區(qū)域、人員、設(shè)備、告警類型、告警信息等各個(gè)維度的安全數(shù)據(jù)進(jìn)行多維分析。

網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)對(duì)電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)采集、范式化處理、數(shù)據(jù)建模和關(guān)聯(lián)分析及預(yù)警，及時(shí)發(fā)現(xiàn)如非法跨區(qū)互聯(lián)、網(wǎng)絡(luò)非法接入、非法移動(dòng)介質(zhì)接入等各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及非法訪問事件，實(shí)現(xiàn)對(duì)電力監(jiān)控系統(tǒng)全方位、全天候的網(wǎng)絡(luò)安全監(jiān)測：通過對(duì)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安防設(shè)備等的實(shí)時(shí)告警與運(yùn)行狀態(tài)在線監(jiān)測，實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)施監(jiān)視告警、分析定位、追蹤處置、審計(jì)溯源和協(xié)同管控功能的集成，達(dá)到從靜態(tài)布防到實(shí)時(shí)管控轉(zhuǎn)變的目的。

2 平臺(tái)實(shí)施過程

2.1 整體方案設(shè)計(jì)

安全防護(hù)與網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)方案設(shè)計(jì)主要綜合考慮目前的水電站網(wǎng)絡(luò)安全風(fēng)險(xiǎn)實(shí)際情況、威脅環(huán)境、法律和監(jiān)管規(guī)定以及防護(hù)技術(shù)的發(fā)展，結(jié)合水電站監(jiān)控系統(tǒng)安全防護(hù)實(shí)際要求進(jìn)行制定。設(shè)計(jì)的主要思路以“主動(dòng)免疫，綜合防御，風(fēng)險(xiǎn)防范，災(zāi)難恢復(fù)”十六字方針為核心思想，以全面安全管理為基礎(chǔ)、安全防護(hù)技術(shù)為支撐、應(yīng)急備用措施為保障，充分利用“人防、技防、物防”全方位、無死角地建設(shè)整個(gè)防護(hù)方案體系，保障水電站電力監(jiān)控系統(tǒng)完全免疫已知或未知的網(wǎng)絡(luò)安全威脅，保障水電站業(yè)務(wù)系統(tǒng)正常穩(wěn)定運(yùn)行。

2.2 安全可信實(shí)施

安全可信是整個(gè)平臺(tái)安全的基礎(chǔ)，其實(shí)施主要內(nèi)容有：

（1）關(guān)鍵設(shè)備國產(chǎn)化。監(jiān)控系統(tǒng)廠站服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備等采用國產(chǎn)設(shè)備，系統(tǒng)網(wǎng)絡(luò)在結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面滿足國家、行業(yè)信息系統(tǒng)安全防護(hù)要求。

（2）主要軟件國產(chǎn)化。包括操作系統(tǒng)、數(shù)據(jù)庫及集成應(yīng)用軟件均國產(chǎn)化，平臺(tái)采用國產(chǎn)四級(jí)安全凝思安全操作系統(tǒng)(可信軟硬件僅在凝思OS運(yùn)行性能正常，數(shù)據(jù)采集、指令下達(dá)等功能正常)，系統(tǒng)主機(jī)及操作系統(tǒng)采用基于國產(chǎn)密碼技術(shù)SM2的USBKey或指紋Key用戶認(rèn)證，滿足雙因子認(rèn)證要求；數(shù)據(jù)庫采用國產(chǎn)達(dá)夢數(shù)據(jù)庫，應(yīng)用軟件有完全自主知識(shí)產(chǎn)權(quán)，安全可控。

（3）可信計(jì)算環(huán)境部署。可信計(jì)算軟硬件在國產(chǎn)環(huán)境的監(jiān)控系統(tǒng)下部署測試，驗(yàn)證其可行性、功能性及安全性，如下圖1 所示：可信密碼模塊是可信計(jì)算的信任根，同時(shí)也作為密碼的運(yùn)算引擎和存儲(chǔ)敏感數(shù)據(jù)，可信密碼模塊的核心功能包括度量設(shè)備的完整性，建立設(shè)備的免疫力[6]，為設(shè)備身份提供唯一性的標(biāo)識(shí)。所有可信加解密包括密鑰應(yīng)單獨(dú)保存在可信密碼模塊上，避免因保存于服務(wù)器上被利用；可信管理端是可信計(jì)算平臺(tái)策略管理和審計(jì)中心，用于對(duì)可信環(huán)境進(jìn)行統(tǒng)一配置和管理；同時(shí)，管理端也是可信環(huán)境與水電站數(shù)字證書系統(tǒng)對(duì)接的樞紐，負(fù)責(zé)應(yīng)用數(shù)字證書技術(shù)至可信環(huán)境中。

圖1 可信計(jì)算環(huán)境部署

2.3 網(wǎng)絡(luò)安全監(jiān)測

網(wǎng)絡(luò)安全監(jiān)測及分析平臺(tái)在監(jiān)控系統(tǒng)安全Ⅰ、Ⅱ區(qū)部署采集裝置，采集電站計(jì)算機(jī)監(jiān)控系統(tǒng)中的安全防護(hù)設(shè)備（防病毒軟件、IDS、防火墻、橫向隔離裝置、縱向加密裝置等）、主機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備的運(yùn)行信息、操作信息(包括系統(tǒng)操作信息、運(yùn)行信息，包括外設(shè)設(shè)備使用情況、CPU使用率、內(nèi)存使用率信息，及用戶的登錄、退出、登錄失敗和操作行為等信息)以及告警信息(包括文件權(quán)限變更、用戶權(quán)限變更、外設(shè)設(shè)備接入、用戶危險(xiǎn)操作等信息、非法MAC 接入、不符合安全策略的訪問、攻擊告警、CPU利用率超過閾值、內(nèi)存使用率超過閾值)，以及歷史數(shù)據(jù)庫主機(jī)磁盤使用情況、表空間的使用情況、數(shù)據(jù)庫操作記錄、數(shù)據(jù)庫用戶的變更、用戶登錄失敗、數(shù)據(jù)庫連接情況、數(shù)據(jù)庫并發(fā)連接數(shù)、數(shù)據(jù)庫運(yùn)行時(shí)長、數(shù)據(jù)庫運(yùn)行狀態(tài)等信息；安全事件包括數(shù)據(jù)庫用戶連續(xù)多次登錄失敗、數(shù)據(jù)庫計(jì)劃任務(wù)執(zhí)行失敗、數(shù)據(jù)庫鎖表異常等信息等，并將采集到的安全監(jiān)視信息匯總至安全Ⅱ區(qū)的安全監(jiān)視工作站。

監(jiān)測采集部署。為確保監(jiān)控系統(tǒng)運(yùn)行正常不受干擾，將監(jiān)控系統(tǒng)涉網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)設(shè)備及非涉網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)設(shè)備分開進(jìn)行采集感知及分析，左岸電站安全Ⅰ、Ⅱ區(qū)分別部署2臺(tái)采集裝置：Ⅰ區(qū)2臺(tái)采集裝置通過正向物理隔離裝置接入Ⅱ區(qū)交換機(jī)，Ⅰ區(qū)采集的安全監(jiān)視數(shù)據(jù)通過隔離裝置匯集到安全Ⅱ區(qū)，與2臺(tái)Ⅱ區(qū)采集裝置采集的安全監(jiān)視數(shù)據(jù)一并傳送至梯調(diào)中心安全Ⅱ區(qū)的網(wǎng)絡(luò)安全監(jiān)視平臺(tái)，由梯調(diào)網(wǎng)絡(luò)安全監(jiān)視平臺(tái)進(jìn)行集中的存儲(chǔ)、監(jiān)視、分析、告警與審計(jì)。電站部署網(wǎng)絡(luò)安全監(jiān)視工作站進(jìn)行生產(chǎn)系統(tǒng)的監(jiān)視、審計(jì)、預(yù)警，同時(shí)包括安全監(jiān)視數(shù)據(jù)的查詢與分析。

圖2 典型網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)分布圖

2.4 綜合防護(hù)及分析

監(jiān)控系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理大區(qū)，其中生產(chǎn)控制大區(qū)又可分為生產(chǎn)控制區(qū)和非生產(chǎn)控制區(qū)，各區(qū)間設(shè)置有隔離裝置及其他相應(yīng)的安全措施，實(shí)現(xiàn)各分區(qū)間的智能聯(lián)動(dòng)和協(xié)同防御；各分區(qū)均能獨(dú)立完成網(wǎng)絡(luò)安全事件的實(shí)時(shí)監(jiān)測與快速響應(yīng)；一旦發(fā)生安全事件，能通過斷開分區(qū)之間的網(wǎng)絡(luò)連接實(shí)現(xiàn)快速處置。同時(shí)，系統(tǒng)縱向上構(gòu)建電站系統(tǒng)與調(diào)度級(jí)系統(tǒng)之間（I區(qū)、Ⅱ區(qū)網(wǎng)絡(luò)專用）的縱向認(rèn)證管控，如圖3 所示：采取分區(qū)專網(wǎng)專用、加密認(rèn)證通信等安全措施，加密認(rèn)證中采用基于國產(chǎn)密碼算法的密鑰；存在網(wǎng)絡(luò)安全隱患或發(fā)生安全事件時(shí)，通過斷開縱向鏈路通信實(shí)現(xiàn)快速處置。

圖3 監(jiān)控系統(tǒng)綜合防護(hù)示意圖

平臺(tái)使用綜合分析手段，對(duì)設(shè)備安全監(jiān)視與告警數(shù)據(jù)進(jìn)行不同維度分析與挖掘，提供主機(jī)設(shè)備/網(wǎng)絡(luò)設(shè)備/數(shù)據(jù)庫/安全設(shè)備等多視角、多層次的分析結(jié)果，并對(duì)事件分析進(jìn)行安全審計(jì)，評(píng)估風(fēng)險(xiǎn)等預(yù)警：系統(tǒng)具備各類主機(jī)及多數(shù)據(jù)庫類型如ORACLE、MySQL、達(dá)夢等數(shù)據(jù)庫的安全監(jiān)測工具；同時(shí)，集成了防病毒的管理功能并提供防病毒客戶端引擎；安全分析高度靈活，滿足用戶各類維度安全分析需求，將安全事件涉及的時(shí)間、區(qū)域、人員、設(shè)備、告警類型、告警信息等各個(gè)維度的安全數(shù)據(jù)進(jìn)一步細(xì)化抽取，用戶可通過自定義開展各個(gè)維度的分析，能及時(shí)進(jìn)行網(wǎng)絡(luò)安全預(yù)警及定位。

同時(shí)，進(jìn)行基于可信的監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)防護(hù)2.0測評(píng)與評(píng)估，加強(qiáng)全面安全管理制度、機(jī)構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維及應(yīng)急預(yù)案的管理，提高系統(tǒng)整體安全防護(hù)能力，對(duì)各類風(fēng)險(xiǎn)進(jìn)行有效處置和管理，實(shí)現(xiàn)電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的動(dòng)態(tài)、閉環(huán)管理，提高監(jiān)控系統(tǒng)安全防護(hù)與網(wǎng)絡(luò)安全整體安全水平。

3 應(yīng)用案例

三峽左岸電站計(jì)算機(jī)監(jiān)控系統(tǒng)安全Ⅰ區(qū)服務(wù)器和主機(jī)均配置由全球能源互聯(lián)網(wǎng)研究院有限公司提供的可信軟件基及可信加密卡，保障計(jì)算機(jī)監(jiān)控系統(tǒng)安全Ⅰ區(qū)處于安全可信環(huán)境，取代以“封堵查殺”為主的傳統(tǒng)信息安全防護(hù)體系，由被動(dòng)防御轉(zhuǎn)為主動(dòng)防御，如圖4所示。

圖4 電力監(jiān)控系統(tǒng)安全防護(hù)與網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)示意圖

該計(jì)算機(jī)監(jiān)控系統(tǒng)基于等保2.0的要求，采用了國產(chǎn)安全操作系統(tǒng)、基于國產(chǎn)密碼的數(shù)字證書認(rèn)證，部署了防病毒軟件及入侵檢測、正向隔離裝置、縱向加密認(rèn)證裝置等安防設(shè)備。對(duì)所有可執(zhí)行程序采用白名單管理機(jī)制，僅允許通過可信計(jì)算安全模塊驗(yàn)證審核通過的程序運(yùn)行，同時(shí)按照預(yù)設(shè)的配置策略對(duì)程序的關(guān)鍵模塊和進(jìn)程的資源訪問進(jìn)行控制，實(shí)現(xiàn)對(duì)已知/未知惡意代碼的主動(dòng)防御，降低可執(zhí)行程序被破壞被篡改的風(fēng)險(xiǎn)，保障可執(zhí)行程序安全穩(wěn)定運(yùn)行。

通過部署網(wǎng)絡(luò)安全監(jiān)控平臺(tái)，使以前需要人工逐臺(tái)設(shè)備查看分析日志和報(bào)警信息，辨識(shí)可能存在的異常和風(fēng)險(xiǎn)，轉(zhuǎn)變?yōu)橛砂踩O(jiān)測平臺(tái)自動(dòng)采集匯聚系統(tǒng)內(nèi)各設(shè)備的安全信息，進(jìn)行專業(yè)的分析處理，從而確保電力監(jiān)控系統(tǒng)安全穩(wěn)定運(yùn)行。

同時(shí)，電站建立了由安全防護(hù)技術(shù)、應(yīng)急備用措施、全面安全管理組成的綜合防護(hù)體系。特別是對(duì)應(yīng)用于生產(chǎn)計(jì)算機(jī)設(shè)備的調(diào)試筆記本、移動(dòng)介質(zhì)進(jìn)行嚴(yán)格管理，對(duì)密碼修改、補(bǔ)丁升級(jí)等定期工作進(jìn)行了規(guī)定，并嚴(yán)格閉環(huán)落實(shí)。針對(duì)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)制訂了應(yīng)急預(yù)案并定期演練。本系統(tǒng)改造完成并投產(chǎn)后，高分通過了權(quán)威測評(píng)機(jī)構(gòu)等保三級(jí)測評(píng)。

4 結(jié)語

三峽左岸電站計(jì)算機(jī)監(jiān)控系統(tǒng)安全防護(hù)措施及網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)對(duì)業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運(yùn)行起到了保障作用，是不可或缺的安全支撐。可信計(jì)算使系統(tǒng)針對(duì)已知/未知風(fēng)險(xiǎn)具備自主免疫能力，網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)使網(wǎng)絡(luò)安全管理從“靜態(tài)布防、邊界監(jiān)視”向“實(shí)時(shí)管控、縱深防御”轉(zhuǎn)變，這些新技術(shù)顯著增加了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全可靠性，監(jiān)控系統(tǒng)綜合防護(hù)措施得到了權(quán)威測評(píng)機(jī)構(gòu)的認(rèn)可。

通過三峽左岸電機(jī)計(jì)算機(jī)監(jiān)控系統(tǒng)的成功實(shí)踐證明，國產(chǎn)可信計(jì)算平臺(tái)可以很好地支撐國產(chǎn)操作系統(tǒng)和國產(chǎn)大型計(jì)算機(jī)監(jiān)控系統(tǒng)，網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)的部署也達(dá)到了預(yù)期效果。