基于全國產水電監控系統的一體化網絡安全防護研究

唐清弟，李 鶴，劉晉曦

(華能瀾滄江水電股份有限公司景洪水電廠，云南 景洪 666100)

0 前 言

我國工業控制基礎軟硬件發展滯后，核心競爭力差，成為提升工控領域自主安全水平的關鍵癥結。相關工業控制基礎軟硬件仍然較大程度地依賴從國外引進，尤其部分涉及國家關鍵基礎設施建設的重要行業，核心技術仍然受制于國外公司，企業自主創新能力仍然不強，如精密采集、精準時鐘、智能算法、故障定位、中斷調度、安全漏洞等[1]。

水電監控系統是水電站的“神經中樞”，是水電站核心控制系統，可實現機組的自動啟停、負荷及運行的智能調整，是保障安全穩定運行的重要基礎。長期以來，國內大型水電機組的智能監控系統大部分軟硬件依賴國外進口，目前國產系統解決了這一“卡脖子”難題，而全國產水電監控系統的網絡安全配套也同樣處在探索階段。

電力行業被定義為關鍵基礎設施單位，關鍵基礎設施單位網絡安全即國家安全。電力行業企業用戶除依據相關法規進行“等級保護”建設外，同樣需滿足行業內“國能安全36號文”相關網絡安全要求進行整體建設[2]。

現階段國內水電站已開始監控系統國產化改造，其配套的工控網絡安全設備，同樣需在滿足法規及行業相關要求的基礎上對安全設備進行國產化[3]。

網絡安全合規建設過程中，面臨設備繁多、信息孤立、監測面不全、缺乏專業人員等問題，現階段網絡安全信息作為生產網絡數據的一部分往往孤立存在，未和機組實時監測數據列為同等重要推送序列，不能實時反饋和預警，從而可能造成網絡安全反應遲滯，給安全生產帶來不可預估風險。

1 技術路線

1.1 政策合規

等級保護2.0標準自2019年12月1日正式執行，其適用范圍更廣泛，執行標準更嚴格，其重點突出“一個中心、三重防護”：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心不同維度進行立體化網絡安全建設[4]。

依據《關于開展電力行業信息系統安全等級保護定級工作的通知》(電監信息〔2007〕34號)、《電力行業信息系統等級保護定級工作指導意見》電監信息〔2007〕44號，發電企業電力監控系統應按照具體定級依據進行系統定級。并結合對應等級要求進行安全防護，所涉及合規模塊及對應關系如圖1所示。

發電企業需按照國家能源局 國能安全〔2015〕36號《電力監控系統安全防護總體方案》等安全防護方案和評估規范要求，重點強化邊界防護，加強內部的物理、網絡、主機、應用和數據安全，加強安全管理制度、機構、人員、系統建設、系統運維的管理，提高系統整體安全防護能力，保證電力監控系統及重要數據的安全[5-6]。

同時根據附件4發電廠監控系統安全防護方案應滿足綜合防護要求，綜合防護是結合國家信息安全等級保護工作的相關要求對電力監控系統從主機、網絡設備、惡意代碼防范、應用安全控制、審計、備份及容災等多個層面進行信息安全防護的過程。具體流程見圖2。

圖1 合規模塊對應關系

圖2 信息安全防護過程示意

1.2 一體化需求

水電監控系統作為電力企業關鍵業務系統，可以清晰了解生產實時狀態；同時，生產網絡的安全作為生產業務一部分，現今尤為重要。

為實時掌握“生產安全”，將網絡安全數據以“IEC104協議”接入監控系統，確保監控系統運行穩定、網絡安全數據傳輸安全、數據反饋呈現的真實預警效果，需要從工業協議、生產工藝流程等多維度進行考量對接。

2 安全建設

水電監控系統的網絡安全防護，在安全防護技術上以大數據分析為基礎，結合機器學習、可信計算、行為分析等能力，形成全國產化的協同防御體系。防護設計思路為：以國家網絡安全政策標準為依據，結合電力行業自身的特性，在安全防護設計思路上，按照“2個體系、1個中心、1個支撐”的“211防護”思路進行安全設計。

2個體系：指在電力生產控制大區內建立起“白環境可信體系”和“黑名單防護體系”。

通過設備入網白環境、通信傳輸白環境和主機運行白環境的建設，建立起工控網可信運行環境。保證只有可信任的設備才能接入到生產網絡、只有可信任的流量才能在網絡中傳輸、只有可信任的程序才能在主機上執行的“白環境可信體系”。

通過病毒檢測、網絡入侵檢測、漏洞利用攻擊檢測、APT攻擊檢測的建設，建立起基于訪問控制、病毒庫、入侵規則庫、漏洞利用規則庫、威脅情報庫的“黑名單防護體系”。

1個中心：指建立具有電力行業屬性的安全運營中心，一方面通過工業安全態勢感知平臺、集中日志審計、統一安全運維、統一威脅發現、統一安全設備管理的建設，建立起工控網安全管理中心。另外，會利用IEC104協議等進行威脅事件的上報和告警，匹配電力行業工控網絡的業務特點。

1個支撐：指建立以專業安全服務為支撐的主動管理能力。通過風險評估、安全巡檢、應急響應、安全培訓等的全方位專業化安全服務，主動發現安全風險，建立工控網運轉高效、處置得當的安全運營工作機制。

2.1 合規建設

在安全區Ⅰ和安全區Ⅱ之間部署工業防火墻，通過訪問控制和工控協議深度解析，建立業務通信白名單，實現區域間的安全訪問控制[7]。

在安全防護交換機旁路部署工控安全監測與審計系統?；诠た貐f議深度解析技術，智能學習建立業務系統安全通信模型，實時監測生產網絡異常流量和行為，提高計算機監控系統的網絡安全審計能力。

在安全防護交換機旁路部署入侵檢測系統和高級威脅檢測系統，通過開啟入侵檢測功能，及時告警網絡中存在的網絡掃描、入侵攻擊、APT攻擊等違反安全策略的行為和被攻擊的跡象。

在安全防護交換機旁路部署防毒墻設備，通過開啟病毒防護功能，及時告警網絡中存在的病毒傳播事件。

建設安全防護管理區實現集中管理，在管理區內部署安全運維管理系統，完成賬號統一管理、資源和權限統一分配、操作全程審計，提升運維過程的安全性；部署統一安全管理平臺，對機組部署的安全設備進行統一的安全管理，包括策略下發、日志審計、報警展示等，簡化運維管理工作流程、提高運維管理工作效率；部署日志審計與分析系統，實現日志數據和告警數據統一收集和關聯分析；部署數據庫審計系統，對數據庫的重要操作行為進行監控和審計；部署工控漏洞掃描平臺，對計算機監控系統進行漏洞掃描，實現對工控設備、系統、軟件等漏洞的掌控及管理。

在安全Ⅱ區和調度數據網之間部署入侵防御系統，對病毒傳播、漏洞攻擊、掃描探測等各類攻擊實時檢測和阻斷，保障電廠與調度之間的安全通信。

2.2 一體化建設

水電監控系統統一生產環境工業協議，使用IEC104向水電監控系統傳輸網絡安全事件信息。

水電監控系統作為重要生產系統，為保障其穩定性防止網絡安全告警信息過載影響生產系統并兼顧網絡安全信息及時反饋，具體思路如下：

(1)現階段優先支持部分重要告警信息，告警類型編號包含設備無流量(01)、異常流量(02)、工控協議操作異常(03)、違反ACL規則(04)、會話異常行為(05)、地址欺詐(06)、程序報警事件(07)、非法外聯(08)、未知設備接入(09)、非法外設接入(10)。

(2)以IEC104協議暫定兩種發送告警狀態方式。一是水電監控系統主動發送總召喚，統一安全平臺反饋需求十種告警的狀態(是否有告警)；二是在兩次總召喚之間告警狀態發生改變，主動上傳變化的告警類型以及對應的告警狀態。

3 技術特點

3.1 白名單可信技術

利用工業協議白名單、指令白名單、進程白名單等技術構建起工控網可信運行環境，以白名單技術為主的核心產品也更加適用于以可用性為主的工業現場。有效解決了傳統的“黑名單”技術在解決工控安全問題時存在的兼容性、易用性、日常管理工作量大等問題[8]。

3.2 工業級通信性能

采用高性能ARM架構，運用白名單規則匹配算法，在開啟深度報文檢測(DPI)的情況下可實現30000PPS的吞吐量。時延小于100 μs，是業界同類產品的1/10。

3.3 軟硬件國產化

全國產水電監控系統配套網絡安全設備，均采用國產軟硬件安全設備進行整體配套，依據當前國內主流架構設計普遍采用“PK”(飛騰+麒麟)架構設計。

3.4 監控系統與網絡安全信息對接

通過將網絡安全信息統一匯總，并以IEC104協議按需求發送至監控系統，充分考慮時效性、有效性因素，完善了監控系統生產數據完整性。

4 結 論

基于全國產水電監控系統的一體化網絡安全防護及應用項目，水電站采取國產化水電站監控系統平臺配套國產化工控安全方案，滿足國能安全36號文、等級保護2.0要求，并補充數據庫操作審計，APT攻擊防范能力，完善電廠的安全防護體系，同時通過安全統一管理平臺與水電監控系統對接，完善生產業務數據，實時把控安全生產，確保生產工藝安全和生產網絡安全，對水電站在國產化工控安全的建設與完善國產水電監控系統研究與試點推廣上提供了寶貴的經驗。