智能化水電站監控系統網絡安全問題與對策

陳 曦

(中國長江電力股份有限公司，湖北 宜昌 443000)

0 前 言

能源供給側和需求側改革的深化，推動清潔綠色安全高效發展的電力系統的智能化時代加速到來，依靠高效智能的電力系統工業監控系統，傳統能源和新能源發電協同，集中和分布式能源供應并舉，電力系統調峰強度和響應能力提升。智能化的電力系統工業監控系統將大數據、云計算、物聯網、移動互聯網等先進信息技術與電力系統工業生產監控系統高度融合，由此帶來對電力系統工業監控系統新的安全隱患。近年國際上電力行業的網絡安全事件不斷給我們敲響警鐘，如伊朗核電站因網絡攻擊而延緩建設、烏克蘭電力系統遭網絡攻擊致使供電系統癱瘓、委內瑞拉古里水電站因不明網絡攻擊引起電站監控系統事故而誘發全國大面積停電事故，這些均給所在國的經濟社會造成了極大的影響。電力系統的安全事關國家經濟社會的總體安全，因此，要積極應對智能化時代大型水電站監控系統的網絡安全問題，以確保電力系統的安全可靠運行。

1 大型水電站工程的社會影響力

以三峽工程為例，工程建成竣工至今，其防洪、補水、航運、發電、水資源利用等綜合效益顯著。作為長江中下游防洪體系的重要組成部分，三峽工程控制著洪水期間最危險河段荊江96%的來水，控制著武漢2/3以上的來水。2003—2019年，三峽水庫累計攔蓄洪水1 533億m3，在長江上游防洪減災中發揮著不可或缺的作用。據中國工程院測算，僅三峽工程每年的防洪效益就達88億元。此外，三峽工程還產生了綠色電力，為區域發展提供了寶貴的資源。初步測算，三峽電站2020年生產了1 118億kW·h清潔電能，與燃煤發電相比，可替代標準煤約3 439萬t，減排二氧化碳約9 402萬t、二氧化硫2.24萬t、氮氧化物2.12萬t，相當于種植3.7×109m2闊葉林，有利于構建清潔低碳、安全高效的能源體系，對我國力爭在2030年前實現二氧化碳排放達峰值，2060年前實現碳中和具有重要意義[1]。而這一切都必須建立在三峽工程安全的基礎上。

保護大型水電站安全就是保障人民生命財產安全，分析解決水電站監控系統網絡安全問題，就是防止黑客入侵監控系統后做出危險操作。

2 水電站監控系統網絡安全結構與區域劃分

大型水電站的工業監控系統即電站監控系統，由各種自動化元件、實施數據采集、控制流程組成，包括監督控制和數據采集系統(SCADA)、分布式控制系統(DCS)、可編程控制器(PLC)/遠程終端(RTU)/智能電子設備(IED)和組件接口的通信技術[2]。

電站監控系統按照結構可分成廠站層和現地控制單元層。廠站層又分為廠站控制層、廠站信息層和生產信息查詢層[3]。電站監控系統按網絡結構可分為電站控制網、電站信息網和生產信息查詢網。電站控制網主要用于連接現地控制層和廠站控制層設備，并實時傳輸現場監控的各類信息；電站信息網主要用于連接廠站控制層和廠站信息層設備，傳輸數據處理信息；生產信息查詢網主要用于連接信息查詢層設備，通過網絡安全設備與廠站信息層網絡連接。

根據電力二次系統的特點，劃分為生產控制大區和管理信息大區。生產控制大區分為控制區(Ⅰ區)和非控制區(Ⅱ區)。信息管理大區分為生產管理區(Ⅲ區)和管理信息區(Ⅳ區)[4]。不同安全區確定不同安全防護要求，其中Ⅰ區安全等級最高，Ⅱ區次之，其余依次類推。監控系統網絡遵循“安全分區、網絡專用、橫向隔離、縱向認證”的原則，實施網絡安全措施。

3 智能化時代黑客的攻擊方式

智能化時代的到來，人為形式單一的網絡攻擊已經轉變成復雜機械化的智能攻擊，這種攻擊方式不需要程序員輸入一行行復雜的代碼，全部由電腦主機某個軟件自動完成。入侵者只需要連上互聯網啟動入侵軟件即可。入侵者由于是機器，那么就可每天24 h不間斷地入侵，入侵機器還有學習能力，可以通過之前入侵成功的案列來獲取經驗，從而提高入侵成功幾率。機器與機器之間也可以交換入侵成功或者失敗的經驗。當然了，也會有多臺入侵機器合作入侵，此時的入侵就不是單方面的或者個別幾種攻擊方式了，這就要考驗一個企業的綜合安全防護能力了，安全性薄弱的地方往往最容易被入侵者攻破。

面對如此嚴峻的網絡攻擊，必須組成一個牢不可破的網絡安全結構網，劃分其安全區域，并增加軟件和硬件設備的防護，提高員工網絡安全意識，這樣才能抵御入侵者，保障大型水電站網絡安全。筆者提出的電力系統安全防護設計示意見圖1。

圖1 電力系統安全防護示意

4 水電站監控系統的系統策略加固和防病毒軟件

如圖1所示，Ⅰ區、Ⅱ區、Ⅲ區、Ⅳ區、辦公網和堡壘機內的所有服務器、辦公電腦和調試電腦都必須進行系統安全策略加固并且安裝殺毒軟件。

4.1 系統安全策略加固

系統安全策略加固主要針對計算機安全薄弱的地方進行提前彌補，提高計算機預防病毒、木馬的能力，一般從以下7個方面考慮。

用戶方面：名稱規范，權限控制，開啟賬戶控制(UAC)。

密碼方面：禁止憑據管理器，長度不能短，復雜度要高，帶生存期。

網絡方面：IP地址規范，關閉硬盤共享、默認路由、無線網卡和遠程登錄。

介質方面：關閉存儲介質和光驅自動播放功能，清除虛擬內存。

軟件方面：刪除操作系統中與業務無關的軟件。

審計方面：開啟系統策略配置及日志文件權限設置。

防護方面：開啟SYN、防火墻、DEP、系統補丁更新和殺毒軟件，封閉危險端口，關閉RDP服務。

4.2 殺毒軟件

殺毒軟件通常集成監控識別、病毒掃描和清除、自動升級、主動防御等功能，有的殺毒軟件還帶有數據恢復、防范黑客入侵、網絡流量控制等功能，是計算機防御系統的重要組成部分。殺毒軟件一般對已有病毒庫內的病毒、木馬非常有效。

殺毒軟件是一種可以對病毒、木馬等一切已知危害程序代碼進行清除的程序工具。其原理是實時監控和掃描磁盤。部分殺毒軟件通過在系統添加驅動程序的方式進駐系統，并且隨操作系統啟動。大部分的殺毒軟件還具有防火墻功能，其實時監控方式因軟件而異。

殺毒軟件針對已有病毒庫內的病毒、木馬非常有效。所有服務器、辦公電腦、調試電腦都必須安裝殺毒軟件。但僅僅只用殺毒軟件是不夠的，還要用到硬件設備，因為病毒存在于殺毒軟件病毒庫里，殺毒軟件能查到但不一定能殺掉，而新型病毒一般不在常見殺毒軟件的病毒庫內，殺毒軟件更是難以察覺。

5 水電站監控系統網絡安全的硬件設備

95%以上的病毒和木馬都是來自外部因特網。外部因特網感染辦公網電腦，再通過辦公電腦入侵Ⅳ區服務器，然后通過Ⅳ區服務器入侵Ⅲ區服務器，以此類推。針對水電站監控系統網絡結構的特殊性，以及各個硬件防護設備的優缺點，用以下硬件設備會比較適合。

5.1 堡壘機

堡壘機在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。

堡壘機針對運維過程中存在的安全審計隱患非常有效。建議堡壘機裝在外部因特網與公司局域辦公網之間。

5.2 IDS

入侵檢測系統(IDS：Intrusion Detection System)是計算機的監視系統。通過實時監視系統，一旦發現異常情況就發出警告，依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網絡流量流經它便可以工作。建議IDS裝在堡壘機后面，隨時可以監視入侵者并把攻擊方法記錄下來。

5.3 蜜罐技術

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，攻擊者入侵后即可以知道自己是它們的攻擊方式和路徑，了解針對服務器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系，收集黑客所用的種種工具，掌握他們的社交網絡，對其攻擊行為進行捕獲和分析，推測攻擊意圖和動機。防御方在此基礎上可通過技術和管理手段來增強實際系統的安全防護能力。

建議蜜罐裝在堡壘機后面，讓入侵者花費大量的精力去攻擊一個事先設計好的“陷阱”，就算蜜罐被破壞，最壞的情況也只能攻擊到辦公電腦。所以蜜罐后面必須裝防火墻，并且用防火墻將該蜜罐IP地址隔斷。

5.4 APT攻擊預警平臺

APT(Advanced Persistent Threat)——高級持續性威脅。APT是黑客以竊取客戶核心資料為目的，所發動的網絡攻擊和侵襲行為是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。APT的攻擊手法在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為就是一種“網絡間諜”的行為。

APT針對木馬類的竊取軟件非常有效，建議APT裝在蜜罐和辦公電腦后面，這樣既可以將辦公電腦殺毒軟件沒檢查出來的病毒、木馬、惡意程序等及時報告給管理者，又可以監測蜜罐中是否有病毒。網絡安全管理員可以及時通過交換機封住該員工的網絡端口并告知該職工電腦已經中毒，應立即處理。這樣可以有效防止病毒借助該員工的電腦為“跳板”去攻擊別人。

5.5 防火墻

防火墻的功能主要在于及時發現并處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網絡安全當中的各項操作實施記錄與檢測，以確保計算機網絡運行的安全性。

防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。并且能禁止特定端口的通信流出，封鎖特洛伊木馬。最后，它還可以禁止來自特殊站點的訪問，從而防止來歷不明入侵者的所有攻擊。

所以每個區域之間(Ⅲ區與Ⅱ區之間除外)必須用防火墻，防火墻針對IP或端口固定的攻擊非常有效，它可以隔斷大量的IP和端口，只允許開個別管理IP和個別端口的計算機進入該區，其他設備全部會檔在防火墻外面。堡壘機與外部因特網之間可以裝個“隱蔽防火墻”，平時不做任何限制，當堡壘機被攻破后再發揮功效。

雖然防火墻有許多優點，但也有缺點，比如：防火墻主要是限制IP和端口出入情況，如果IP是變動的或者端口未知又或者一個端口控制了多個軟件，那么這個時候防火墻就很難限制了。

針對防火墻的這個缺點，有個設備正好彌補了防火墻的缺點，它就是IPS。

5.6 IPS

針對防火墻的這個缺點，入侵防御系統(IPS: Intrusion Prevention System)是電腦網絡安全設施，是對防病毒軟件和防火墻的補充。入侵防御系統是一個能夠監視網絡或網絡資料傳輸行為的計算機網絡安全設備，能夠及時地中斷、調整或隔離一些不正?；蚴蔷哂袀π缘木W絡資料傳輸行為。

IPS針對防火墻“漏網之魚”的彌補，建議IPS放在每個防火墻后面，可以彌補防火墻天生的缺陷，并且與IDS不同的是，監視到有傷害性的網絡行為后，可以立即中斷、調整或隔離，而IDS只能監視和報告，不具備中斷、調整或隔離的功能。

5.7 網絡安全隔離裝置(正向型)

網絡安全隔離裝置(正向型)是位于調度數據網絡與公用信息網絡之間的一個安全防護裝置，用于安全區I/II到安全區III的單向數據傳遞。它可以識別非法請求并阻止超越權限的數據訪問和操作，從而有效地抵御病毒、黑客等通過各種形式發起的對電力網絡系統的惡意破壞和攻擊活動，保護實時閉環監控系統和調度數據網絡的安全；同時它采用非網絡傳輸方式實現這兩個網絡的信息和資源共享，并且采用安全算法保證安全隔離裝置內外兩個處理系統不同時連通，保障電力系統的安全穩定運行。

物理上控制反向傳輸芯片的深度為4個字節，在物理上實現了數據流的純單向傳輸，數據只能從內網流向外網。

網絡專用安全隔離裝置(正向型)必須放在Ⅱ區到Ⅲ區之間，Ⅱ區到Ⅲ區是生產控制大區和管理信息大區的邊界，此裝置兩邊的設備是無法用PING命令的，裝置實現兩個安全區之間的非網絡方式的安全數據交換，并且保證安全隔離裝置內外兩個處理系統不同時連通。假設入侵者已經在Ⅲ區了，其雖然能得到少部分數據，但不知道數據是從何而來，且得到的數據都是被算法處理過的，所以入侵者想要破壞生產控制大區的設備是極困難的。

5.8 網絡安全隔離裝置(反向型)

網絡安全隔離裝置(反向型)是位于兩個不同安全防護等級網絡之間的安全防護裝置，用于低安全區向高安全防護區的單向數據傳遞。裝置采用電力專用隔離卡，只傳輸采用E語言格式書寫的文本文件，裝置對E語言文件進行合規檢查，實現這兩個網絡的信息和資源安全傳遞，保障電力系統的安全穩定運行。

此裝置將嵌入式內核進行了裁剪和優化。目前，內核中只包括用戶管理﹑進程管理，裁剪掉TCP/IP協議棧和其他不需要的系統功能，進一步提高了系統安全性和抗攻擊能力，防止黑客對操作系統的攻擊，并有效抵御DoS/DDoS攻擊。

網絡專用安全隔離裝置(反向型)必須放在Ⅱ區到Ⅲ區之間，網絡安全隔離裝置(反向型)是針對數據從Ⅲ區到Ⅱ區的單向隔離裝置，如果沒有數據從Ⅲ區到Ⅱ區，可以不裝此設備。

5.9 縱向加密認證裝置

縱向加密認證裝置是用于保護電力專用、電力調度、數據網、路由器和電力系統的局域網之間通信安全的電力專用網關機。該裝置實現了對電力數據的安全防護，避免了數據的丟失和信息的外泄等，保證了電力數據傳輸的穩定性、可靠性和及時性。認證裝置的密碼包括對稱加密算法、非對稱加密算法、隨機數生成算法等，從而使縱向加密認證裝置更安全，以實現數據網絡的安全防護。

裝置的管理系統不僅能設置和查詢加密認證網關，而且能夠實現對數字證書的管理及密鑰的初始化，對加密認證網關的工作模式、狀態等進行查詢和設置，并對各個加密裝置實施有效的監控和管理。

縱向加密認證裝置必須裝在同級區域上下級調度之間，該裝置可以為電力調度部門上下級控制中心多個業務系統之間的實時數據交換提供認證與加密服務，實現端到端的選擇性保護，保證電力實時數據傳輸的實時性、機密性、完整性和可靠性。

5.10 針對硬件漏洞的入侵

每個廠家生產出來的硬件都有漏洞的，入侵者可以通過漏洞繞過該硬件。如果用了同一廠家的設備，入侵者只需要跳過該廠家的一個漏洞就能入侵整個電力生產系統。

解決方案為防火墻、隔離裝置不可依賴同一廠家的設備。

如果全部用不同廠家的設備，入侵者需要尋找不同廠家設備漏洞才行，這樣就變相增加了入侵難度。如果條件允許，應該盡可能地用不同廠家的防護設備。比如外部公共因特網與Ⅳ區之間用A防火墻，Ⅳ區與Ⅲ區之間用B防火墻，Ⅲ區與Ⅱ區之間用C正向型隔離裝置和D反向型隔離裝置，Ⅱ區與Ⅰ區之間用E防火墻。這樣入侵者想破壞生產區系統需要攻克A防火墻、B防火墻、C正向型隔離裝置和D反向型隔離裝置，想破壞實時控制區系統還需要額外攻克E防火墻。因為A、B、C、D、E設備出自不同的生產廠家，他們設備的漏洞就不一樣。入侵者的攻克方式也要變換。就算入侵者本領在大，可以攻克所有不同廠家的防御設備也需要很長的時間。在此期間，巡檢人員在設備系統安全定期巡檢時會發現系統異常，從而發現有入侵者。

圖1的設計就是充分利用了各個防護設備的優點，彌補各個設備的缺點，各個設備相互配合，共同抵御入侵者。

6 人員管理措施

雖然軟件和硬件的共同防護可以大大提高抵御病毒和木馬的能力，但是如果員工網絡安全意識差，病毒和木馬還是會通過其他介質直接傳到公司計算機中，從而感染計算機。所以要提高員工網絡安全意識，定制網絡安全管理制度，具體按照以下幾個方面：

及時處理系統漏洞，持續提升員工網絡安全意識。

禁止開發和運維人員電腦中保存用戶名、密碼等敏感信息。

解散除企業微信外其他即時通訊軟件上的工作聯系群。

嚴控外來人員，及時核準人員身份。

IT運維須通過審批流程申報，嚴禁通過電話等其他聯系方式私自處理。

梳理信息系統資產，及時填報到網絡安全管理系統，確保信息資產完備。

嚴禁在互聯廣域網中傳遞或保存用戶名、密碼、拓撲圖、漏洞整改報告等敏感信息。

關閉在公有云上搭建的與公司有關聯的應用系統。排查供應商是否違規使用公司標識或公司名稱。

按最小化權限策略設置各單位Ⅲ區到Ⅳ區和各區域廣域網出口防火墻等安全設備。

辦公網絡需安裝終端管控軟件和殺毒軟件，開啟防火墻，做好計算機本地安全措施。

開展網絡安全隱患排查和安全加固工作，提高安全防范能力。

全面落實值班值守制度，發現網絡攻擊情況要迅速處理并及時報公司信息部。

清理信息系統的遠程維護功能。生產控制大區嚴禁開通遠程維護。

嚴禁點擊郵箱、短信、微信等互聯網應用中來路不明的鏈接和附件，嚴禁通過外部郵箱轉發公司內部郵件。

辦公電腦須設置屏保和超時休眠機制，下班后須關閉電腦，及時更新操作系統補丁。

辦公電腦不下載使用除辦公需要以外的軟件。

生產控制大區信息系統有明確的安全責任部門、責任人，對系統運行、維護、使用人員進行分類分級授權管理，定期巡檢。

涉及與信息系統相關的項目，應與系統開發商、維保單位簽訂《網絡安全保密協議》。

生產控制大區計算機對必需保留的軟驅、光驅和端口應加強管控，并建立臺賬。

禁止在生產控制大區主機和生產專用便攜機安裝非工作需要的軟件。

生產專用便攜機和移動硬盤嚴禁跨區使用或接入互聯網。生產控制大區禁止使用U盤、外來調試計算機和移動存儲介質。

制訂和完善生產控制大區網絡安全事件應急預案，定期開展應急演練。

7 思考與建議

隨著科學技術的發展，仍然會有新的病毒和木馬甚至是未知領域的東西會對水電站的網絡安全構成威脅，所以圖1的方案并非一勞永逸。這些新型病毒、木馬可以通過系統某個必須開放的端口入侵，而這個端口是存在漏洞的，入侵者就是利用這個漏洞來入侵他人系統；也可以通過某個硬件上的漏洞來入侵，比如：在CPU出廠前先裝個后門程序。希望科研人員探索開發一款新軟件，作用類似“白細胞”。

病毒、木馬已經入侵系統后，只靠殺毒軟件是無法完全清除的，殺毒軟件殺的病毒必須在其病毒庫或者特征庫里面。但新病毒、木馬大多數會不在其病毒庫里面，等病毒、木馬已經達到其破壞目的后，再由殺毒軟件公司發現這個新病毒，提供病毒更新包，最后才能去殺毒，這樣對企業來說損失是很大的。

殺毒軟件好比一個人的免疫抗體，它是有針對性的。白細胞根據入侵者的趨勢進行防御。如果該文件的趨勢化是破壞系統，那么“白細胞”會自動吞噬該文件，這步吞噬操作不需要特征庫和病毒庫。被吞噬的文件處于停止執行任何操作的狀態，可由人來判斷是否是一個病毒文件，最后決定是否刪除。因此，該功能如果過于“敏感”，則會大大降低原有系統的效率，還會出現大量誤報情況影響生產。如果過于“遲鈍”，則很難觸發使其發揮作用，從而無法有效地吞噬入侵者。所以要控制該功能的“敏感度”，讓其既能發揮作用又不降低原有系統的效率。

8 結 語

互聯網加速了世界各國經濟社會發展的高度融合，沒有網絡安全就沒有國家安全?；诠I互聯網、現代信息技術的大型水電站的監控智能化水平不斷提升，為保證大型水電站的運行安全，需要在已有的安全防護措施基礎上不斷更新提升安全防護水平，以確保事關國計民生的關鍵基礎設施的網絡安全。