智能化水電站網絡安全防護設計研究

王 一

(北京天融信網絡安全技術有限公司，北京 100000)

0 前 言

隨著智能電網的發展，傳統的第二代水電站監控系統由于定期檢修成本高、效率低、難度大，突發非停事故仍不可預測和預防，系統大、多級通信故障風險高，升級改造擴展設備效率低、不靈活等特點，已經無法滿足智能電網的需求，因此以工業4.0和工業互聯網發展方向為目標的智能水電站解決方案被提出，同時國家能源局也發布了DL/T 1547—2016《智能水電廠技術導則》。智能水電站與傳統水電站的分層分級架構最明顯的區別是：將單元層分成了監控層(集中)和輔控層(分布式)。智能化水電站三層兩網的核心是：將監控層和輔控層合并為單元層(全部采用分布式)，升級為智能測控單元[1]。因此網絡安全防護的要求也發生了變化，需要監視安全防護設備實時狀態，根據聯動策略自動觸發安全防護設備聯動操作，為運行人員快速事件處理和關聯設備操作提供支持。

1 智能水電站安全需求

智能水電站具備多元化的通信方式，對象設備多用IEC61850，集控和IT云端用OPC-UA，儀表用IEC104、ModbusTCP等，水電站從PLC變種到PAC，現在再從PAC變種到智能IED、小型智能IO，將單元層分成了監控層(集中)和輔控層(分布式)，將監控層和輔控層合并為單元層(全部采用分布式)，升級為智能測控單元，通過OT系統和IT系統的融合，采用人工智能和與機器學習等能力，實現一個平臺的開放自動化的特點。

針對上述特點，智能水電站的安全防護需求如下：

(1)單元層設備全部采用分布式部署，傳統的串接防護方式無法在該架構下進行部署，因此需要采用旁路監測及策略聯動觸發防御的方式進行安全防護；

(2)OT系統和IT系統融合，安全防護需要同時考慮OT系統及IT系統的防護[2]；

(3)由于IT系統采用了云計算技術，因此需同步考慮云安全的防護；

(4)應符合《電力二次系統安全防護規定》要求；

(5)應符合《電力監控系統安全防護總體方案》要求。

2 智能水電站安全防護設計

2.1 三層兩網智能水電站區域劃分設計

依據國家能源局〔2021〕36號文中相關規定[1]，對水電站生產網絡進行安全域劃分，目的旨在切割風險，即任意一點遭受攻擊或網絡風暴不會對其他生產過程產生影響，同時方便管理策略的執行。

安全域劃分應遵守以下原則：

(1)基于業務類型進行安全域劃分，保證業務的可靠性、連續性；

(2)充分認知業務對象，嚴謹定位業務范圍；

(3)結合業務自身特性，準確識別業務數據流；

(4)充分識別業務風險，明確業務防護需求。

水電站安全區域劃分遵照生產網絡架構，原則上不同生產區域間禁止非授權訪問。具體安全區域劃分如圖1所示。

圖1 智能水電站區域劃分邏輯拓撲示意

水電站生產網絡包括生產控制大區安全Ⅰ區(控制區)、安全Ⅱ區(非控制區)、管理信息大區等不同的網絡區域[3]。

安全Ⅰ區：即生產控制區，該區是電力系統中最為關鍵的部分，包括調速裝置、勵磁裝置、機組保護 LCU、開關站 LCU、存儲工作站等生產控制設備。

安全Ⅱ區：即生產非控制區，包括電能量采集裝置、水情自動測報系統、故障錄波信息管理終端等業務系統。

管理信息大區：包括雷電監測系統、氣象信息系統、大壩自動監測系統、管理信息系統(MIS)等業務系統。

2.2 各區域安全監測及防護設計

2.2.1 生產大區設計

(1)常規水電站安全防護手段分析

在常規水電站中監控及輔控設備，通常以星形或者環網的方式進行自組網后再分別連接廠站層網和過程層網，如圖2所示。

安全防護手段以安全分區、網絡專用、橫向隔離、縱向認證的安全防護為主，主要采用工控防火墻部署于生產控制網絡內部各生產區域邊界處，通過基于工業協議的識別對訪問行為進行訪問控制，如圖3所示。

圖2 常規水電站監控系統示意

圖3 常規水電站安全防護示意

(2)智能化水電站安全防護設計

在智能化水電站中最大的變化在單元層。智能化水電站已經實現了去中心化及扁平化，各設備之間通過廠站層網和過程層網之間進行通信，各設備不再集中或者串行部署，而采用分布式部署的方式，如圖4所示。

圖4 智能化水電站示意

在分布式部署模式下工控防火墻已經無法對單元層設備進行防護，因此需要轉換安全防護思路，從區域邊界訪問控制變為分布式監測、聯動訪問控制，從而實現安全防護的目的。

在廠站層網和過程層網的網絡交換節點部署工控安全監測設備，監測生產控制區的所有交換流量，工控安全監測設備采用攻擊規則檢測+業務白名單兩種方式，對工業控制網絡上捕獲的數據包進行相應的行為匹配，及時發現來自生產網內外部攻擊威脅。一旦確定安全威脅，工控安全監測設備立即與生產控制區邊界工控防火墻聯動，及時對安全威脅進行處置。同時生產控制區邊界工控防火墻借助網絡白名單功能對通信報文進行過濾，在區域邊界進行隔離，防范來自外來區域的安全風險。

同時，在IDMZ區部署工控漏掃承擔對生產網中非運行狀態以及未上線前主機、應用以及控制器的脆弱性掃描，實現對網絡脆弱性的識別。掃描結果通過 SYSLOG 或 SNMP 將日志上傳至工控大數據態勢感知系統。部署工控大數據態勢感知系統，工控大數據態勢感知系統是安全態勢分析體系的重要組成部分，承擔態勢感知分析存儲以及展示部分，通過安全大數據建模分析，幫助安全技術人員及管理人員看清現在遭受的網絡威脅，并對防護策略進行評估，通過對業務的全流量監控，可在檢測攻擊，還原被攻擊場景，對攻擊流量成分、攻擊時間等進行詳細描述，對業務影響進行有效評估。

部署工控主機衛士系統，工控主機衛士系統管理端部署于運維管理區域，客戶端部署于生產網上位機、服務器、采集終端等PC，通過對終端運行進程、服務等以白名單方式進行識別，策略范圍外進程、服務禁用。在服務器上對移動存儲介質進行授權，非授權介質從驅動層面禁用。

2.2.2 管理信息大區設計

在智能化水電站的設計中，管理信息大區與常規水電站沒有太大的變化，因此安全防護手段亦無太大變化。根據《電力監控系統安全防護總體方案》要求統一部署防火墻、IDS、惡意代碼防護系統及桌面終端控制系統等通用安全防護設施，如圖5所示。

圖5 智能化水電站安全防護系統示意

在管理信息大區邊界部署下一代防火墻，同時在下一代防火墻上開啟防病毒、入侵防御、應用識別功能模塊，實現區域邊界的病毒防護、入侵防護及檢測和應用控制功能。

部署EDR及終端管控系統，EDR及終端管控系統管理端部署于運維管理區域，客戶端部署于PC終端上，實現對終端運行進程、服務等以白名單方式進行識別，策略范圍外進程、服務禁用，病毒檢測及防護等功能。客戶端部署于服務器上對移動存儲介質進行授權，非授權介質從驅動層面禁用，病毒檢測及防護等功能。

在管理信息大區與生產控制大區邊界部署兩套電力專用橫向單向隔離裝置，生產控制區域與電力調度系統之間部署電力專用縱向加密認證裝置，實現區域邊界安全隔離。

3 結 論

本文研究結果表明，通過構建智能化水電站信息安全防護體系，可以帶來以下經濟和社會效益：

(1)滿足網絡安全法、等級保護2.0等政策法規要求，從政策合規性層面保障企業生產系統網絡安全；

(2)在保證智能化水電站安全、穩定運行的同時，提升企業工業生產系統網絡安全防護水平，確保設備、系統、網絡的可靠性、穩定性和安全性；

(3)保障生產網絡內的數據私密性，避免企業相關信息、關鍵參數、隱私信息泄漏。