風(fēng)電場(chǎng)電力監(jiān)控系統(tǒng)安全防護(hù)的探討

楊 寧， 吳 敏

(1.安徽省立威網(wǎng)安科技有限公司，安徽 合肥 230601；2.安徽水利水電職業(yè)技術(shù)學(xué)院，安徽 合肥 231603)

0 引 言

2016-01-22日，國(guó)家電網(wǎng)公司安全監(jiān)察質(zhì)量部關(guān)于烏克蘭電網(wǎng)遭網(wǎng)絡(luò)黑客攻擊引發(fā)大面積停電情況進(jìn)行了通報(bào)。國(guó)家電網(wǎng)公司高度重視，組織相關(guān)部門和單位迅速開展信息搜集，分析暴露問題，吸取事故教訓(xùn)，研究提出公司系統(tǒng)相應(yīng)的防范措施。

本文依據(jù)國(guó)家相關(guān)文件，結(jié)合安徽省內(nèi)風(fēng)電場(chǎng)實(shí)際生產(chǎn)和運(yùn)維情況,系統(tǒng)闡述了在風(fēng)電場(chǎng)電力監(jiān)控系統(tǒng)安全防護(hù)的管理措施及技術(shù)措施。

1 風(fēng)電場(chǎng)電力監(jiān)控系統(tǒng)安全防護(hù)的主要原則

如圖1所示，生產(chǎn)控制大區(qū)與管理信息大區(qū)存在業(yè)務(wù)交互的數(shù)據(jù)流或信息流時(shí)，必須加裝電力專用橫向單向安全隔離裝置，其中數(shù)據(jù)流從高安全區(qū)往低安全區(qū)流動(dòng)需要經(jīng)過正向型隔離裝置，數(shù)據(jù)流從低安全區(qū)往高安全區(qū)流動(dòng)需要經(jīng)過反向型隔離裝置。電力專用橫向單向安全隔離裝置達(dá)到物理隔離或近似物理隔離的安全級(jí)別。

圖1 風(fēng)電場(chǎng)電力監(jiān)控系統(tǒng)安全分區(qū)

管理信息大區(qū)的業(yè)務(wù)系統(tǒng)與發(fā)電企業(yè)數(shù)據(jù)網(wǎng)或者公共網(wǎng)絡(luò)存在業(yè)務(wù)數(shù)據(jù)交互需經(jīng)過國(guó)產(chǎn)硬件防火墻以及VPN網(wǎng)關(guān)裝置，以到達(dá)安全要求。

風(fēng)電場(chǎng)的業(yè)務(wù)系統(tǒng)與所屬調(diào)度機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)進(jìn)行縱向交互時(shí)，必須通過電力專用縱向加密認(rèn)證裝置實(shí)現(xiàn)數(shù)據(jù)加密和身份認(rèn)證功能后，才可以經(jīng)由電力調(diào)度數(shù)據(jù)網(wǎng)實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)上傳和下行。

2 風(fēng)電場(chǎng)電力監(jiān)控系統(tǒng)安全防護(hù)存在的問題

2.1 管理方面

風(fēng)電場(chǎng)的安全管理制度建設(shè)很不完善，存在的主要問題在此不再贅述。

2.2 技術(shù)方面

(1)物理安全。絕大多數(shù)風(fēng)電場(chǎng)的通信機(jī)房未安裝防盜報(bào)警裝置，關(guān)鍵設(shè)備和磁介質(zhì)未實(shí)施電磁屏蔽。

(2)網(wǎng)絡(luò)安全。風(fēng)電場(chǎng)的網(wǎng)絡(luò)安全問題較嚴(yán)重，少數(shù)風(fēng)電場(chǎng)依然存在位于安全區(qū)I的業(yè)務(wù)系統(tǒng)服務(wù)器直接與互聯(lián)網(wǎng)相連的嚴(yán)重違規(guī)行為。其他較普遍的安全問題諸：在與一平面和二平面連接時(shí)部分隧道未進(jìn)行加密；未能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；未在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行清除等。

(3)主機(jī)安全。很多服務(wù)器和主機(jī)依然使用安全級(jí)別較低的windows操作系統(tǒng)，因此存在著諸口令未定期更換, 未配置登錄失敗處理功能, 未采用加密的方式進(jìn)行遠(yuǎn)程管理等常見問題。

(4)應(yīng)用安全。問題主要集中在應(yīng)用軟件未提供登錄失敗處理功能。

(5)數(shù)據(jù)安全與備份。未采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性；未提供異地?cái)?shù)據(jù)備份功能。

3 風(fēng)電場(chǎng)電力監(jiān)控系統(tǒng)安全防護(hù)工作建議

針對(duì)上述安全問題，提出安全防護(hù)工作建議如下：

(1)制定管理制度。建議聘請(qǐng)信息安全專業(yè)咨詢公司的專業(yè)人士針對(duì)自身風(fēng)電場(chǎng)電力監(jiān)控系統(tǒng)的實(shí)際情況和人員情況制定合規(guī)的、方便執(zhí)行和操作的管理制度。

(2)防盜。通信機(jī)房防盜裝置為主動(dòng)防范，可以任意選用以下2種之一達(dá)到防盜的目的：①聲光報(bào)警類裝置，可以定位出事地點(diǎn)；②氣體類裝置，噴出的溶膠煙霧充滿機(jī)房，迫使犯罪分子難以忍受環(huán)境放棄盜竊。③可以任意選用以下2種之一的改造方案到達(dá)電磁屏蔽目的：其一采用專用屏蔽機(jī)柜，防止機(jī)柜內(nèi)電磁泄露導(dǎo)致泄密，同時(shí)防止外界電磁干擾；其二是在窗戶加裝電磁屏蔽窗簾。建議采用后者，其成本低，改造實(shí)施過程簡(jiǎn)單方便。④通過部署身份及訪問管理系統(tǒng)，可以解決共享賬號(hào)問題。維護(hù)人員接入IT系統(tǒng)進(jìn)行維護(hù)操作具有接入方式多樣、接入點(diǎn)分散的特點(diǎn)。身份及訪問管理系統(tǒng)統(tǒng)一維護(hù)人員訪問系統(tǒng)和設(shè)備的入口，提供訪問控制功能，有效的解決運(yùn)維人員的操作問題，降低相關(guān)IT系統(tǒng)的安全風(fēng)險(xiǎn)。⑤主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等用戶賬號(hào)密碼管理策略建議按照以下策略執(zhí)行：口令復(fù)雜度(令長(zhǎng)度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令不得相同)、口令更換周期(三個(gè)月更換一次)、登錄失敗次數(shù)限制(失敗5-10次鎖定賬號(hào))、密碼加密傳輸及加密存儲(chǔ)。同時(shí)也應(yīng)制定賬號(hào)管理相關(guān)流程、規(guī)定或制度，相關(guān)規(guī)定制度的發(fā)布應(yīng)該通過信息部門、業(yè)務(wù)部門等的審批。⑥安全區(qū)之間的橫向隔離方面，生產(chǎn)控制大區(qū)和管理信息大區(qū)之間必須部署電力專用安全橫向單向隔離裝置，兩大區(qū)之間只能有數(shù)據(jù)的交換，其他所有訪問均不能直接在兩個(gè)大區(qū)之間進(jìn)行。防火墻則在安全隔離的基礎(chǔ)上，隔離控制區(qū)和非控制區(qū)、生產(chǎn)管理區(qū)和辦公區(qū)、辦公區(qū)與上級(jí)OA區(qū)、辦公區(qū)和互聯(lián)網(wǎng)區(qū)域，進(jìn)行嚴(yán)格的訪問控制，防范非授權(quán)和越權(quán)的訪問。⑦建議在主機(jī)安裝殺毒軟件，在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)或防毒墻對(duì)惡意代碼進(jìn)行有效的防護(hù)。殺毒軟件、入侵檢測(cè)系統(tǒng)、防毒墻的特征庫(kù)應(yīng)及時(shí)升級(jí)，并采用離線升級(jí)的方式完成特征庫(kù)的升級(jí)工作。⑧安全的技術(shù)措施需要安全的管理措施來(lái)保駕護(hù)航。建議在以下五個(gè)管理層面來(lái)完善管理措施：即安全管理制度；安全管理機(jī)構(gòu)；人員安全管理；系統(tǒng)建設(shè)管理；系統(tǒng)運(yùn)維管理。

4 結(jié)束語(yǔ)

風(fēng)電場(chǎng)的電力監(jiān)控系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)嚴(yán)格按照相關(guān)法律法規(guī)，行業(yè)規(guī)范等執(zhí)行并落實(shí)自身的信息安全防護(hù)工作，降低信息安全風(fēng)險(xiǎn)，為國(guó)家整體的信息安全建設(shè)添磚加瓦。

[參考文獻(xiàn)]

[1] 全國(guó)人民代表大會(huì)常務(wù)委員會(huì).中華人民共和國(guó)網(wǎng)絡(luò)安全法[Z].2016.

[2]國(guó)家能源局.電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范(國(guó)能安全[2015]36號(hào))[Z].2015.

[3]國(guó)家能源局.電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法(國(guó)能安全[2014]317號(hào))[Z].2014.

[4] 國(guó)家能源局.電力行業(yè)信息安全等級(jí)保護(hù)管理辦法(國(guó)能安全[2014]318號(hào))[Z].2014