電力監(jiān)控系統(tǒng)安全防護與監(jiān)測預警平臺建設

艾遠高，謝秋華，黃家志，楊 云

（長江電力股份有限公司三峽水力發(fā)電廠，湖北 宜昌 443133）

0 引言

電力系統(tǒng)作為重要基礎設施領域，已被不少國家視為“網絡戰(zhàn)”首選攻擊目標，近些年國內外報出的電力系統(tǒng)遭到網絡攻擊事件頻出，如烏克蘭電網攻擊事件、以色列電力供應系統(tǒng)遭重大網絡攻擊事件、委內瑞拉大停電事件等等，電力監(jiān)控系統(tǒng)的網絡安全形勢異常嚴峻。國家對網絡安全的要求日益提高，《網絡安全法》要求：“應采取監(jiān)測和記錄網絡運行狀態(tài)及網絡安全事件的技術措施”的要求;同時，國家發(fā)改委2014第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》和國家能源局2015第36號文等文件也對網絡安全防護做了明確的規(guī)定。

2002年以來，電力行業(yè)按照“安全分區(qū)、網絡專用、橫向隔離、縱向認證”的邊界防護策略和監(jiān)控系統(tǒng)安全可控的基本原則，建立了柵格狀的電力監(jiān)控系統(tǒng)安全防護體系，實現網絡安全的動態(tài)管控，始終維持安防體系的強健性，阻斷各種形式的網絡攻擊行為，將電力監(jiān)控系統(tǒng)安全防護體系由靜態(tài)布防提升為動態(tài)管控。

三峽工程兼具防洪、航運、發(fā)電、生態(tài)補水等綜合效益，三峽電站作為電網重要電源節(jié)點，其電力監(jiān)控系統(tǒng)安全防護倍受各級主管部門高度關注?！暗缺?.0”[1]系列國家標準于2019年正式發(fā)布，對工控系統(tǒng)安全防護提出了更高要求。在此背景下三峽左岸電站計算機監(jiān)控系統(tǒng)啟動升級改造，新監(jiān)控系統(tǒng)安全防護設計的思路是依靠科學的技術手段和管理方式，實現網絡風險的預知、預防和預控，實現外部網絡威脅和內部網絡不安全行為的在線管控。

1 平臺技術路線

1.1 國產安全可信

安全可信[2]，其核心思想是在計算運算的同時進行安全防護，計算全程可測可控，不被干擾，使計算結果與預期一樣，是一種運算和防護并存的主動免疫的新計算模式。

水電站監(jiān)控系統(tǒng)建立基于自主可控軟硬件、國產密碼技術、可信計算的主動免疫網絡安全防御平臺：即監(jiān)控系統(tǒng)安全平臺在硬件層面部署可信密碼模塊，在軟件層面部署可信軟件基，通過國產非對稱以及摘要SM2算法[3]，從操作系統(tǒng)引導開始對系統(tǒng)軟件、應用軟件進行鑒別，實現程序運行“白名單”機制，防止未知或非法修改程序。相比可信2.0，可信3.0[4]構建了一個邏輯上獨立的可信計算子系統(tǒng)作為可信節(jié)點，并通過可信連接將可信節(jié)點連接起來，通過可信節(jié)點間的可信協(xié)作形成完整的可信體系，通過可信節(jié)點對系統(tǒng)實施主動監(jiān)控，為應用提供可信支撐。

監(jiān)控系統(tǒng)網絡安全平臺禁止未持有合法數字證書簽名的可執(zhí)行代碼啟動運行，通過部署可信環(huán)境、水電站數字證書、強制訪問控制等安全可信技術，能夠充分防范緩沖器溢出、代碼注入、病毒、木馬和非授權訪問等安全威脅，滿足用戶的各類高安全要求，保障計算機監(jiān)控系統(tǒng)安全Ⅰ區(qū)處于安全可信環(huán)境，取代以“封堵查殺”為主的傳統(tǒng)信息安全防護體系，由被動防御轉為主動防御，安全可控，安全免疫。

1.2 網絡安全監(jiān)測

按照“設備自身感知、監(jiān)測裝置就地采集、平臺統(tǒng)一管控”的原則，部署網絡安全監(jiān)測[5]設備并形成集中的感知監(jiān)視系統(tǒng):

（1）實時監(jiān)測計算機、網絡及安全設備運行狀態(tài)、網絡流量、用戶行為等內容及時發(fā)現、報告并處理網絡攻擊或異常行為：

（2）實時監(jiān)視系統(tǒng)內所有信息資產的資源及運行狀態(tài)，動態(tài)感知評估和整個系統(tǒng)的健康狀況；

（3）搜集電力監(jiān)控系統(tǒng)網絡安全信息數據，進行智能學習、自主訓練，從整體上綜合評估系統(tǒng)風險，預知系統(tǒng)威脅，自動生成網絡安全應急防御方案；

（4）協(xié)調控制所有網絡安全防護設備，按照防御方案動態(tài)免疫各種狀況下的網絡威脅。

系統(tǒng)集成監(jiān)控系統(tǒng)設備UNIX、Windows等系列版本操作系統(tǒng)的主機安全監(jiān)測工具（Agent），將采集的網絡安全信息直接發(fā)送至監(jiān)測裝置，進而對設備安全事件涉及的時間、區(qū)域、人員、設備、告警類型、告警信息等各個維度的安全數據進行多維分析。

網絡安全監(jiān)測系統(tǒng)對電站電力監(jiān)控系統(tǒng)網絡安全數據采集、范式化處理、數據建模和關聯分析及預警，及時發(fā)現如非法跨區(qū)互聯、網絡非法接入、非法移動介質接入等各類網絡安全風險以及非法訪問事件，實現對電力監(jiān)控系統(tǒng)全方位、全天候的網絡安全監(jiān)測：通過對主機設備、網絡設備、數據庫、安防設備等的實時告警與運行狀態(tài)在線監(jiān)測，實現網絡安全實施監(jiān)視告警、分析定位、追蹤處置、審計溯源和協(xié)同管控功能的集成，達到從靜態(tài)布防到實時管控轉變的目的。

2 平臺實施過程

2.1 整體方案設計

安全防護與網絡安全監(jiān)測預警平臺方案設計主要綜合考慮目前的水電站網絡安全風險實際情況、威脅環(huán)境、法律和監(jiān)管規(guī)定以及防護技術的發(fā)展，結合水電站監(jiān)控系統(tǒng)安全防護實際要求進行制定。設計的主要思路以“主動免疫，綜合防御，風險防范，災難恢復”十六字方針為核心思想，以全面安全管理為基礎、安全防護技術為支撐、應急備用措施為保障，充分利用“人防、技防、物防”全方位、無死角地建設整個防護方案體系，保障水電站電力監(jiān)控系統(tǒng)完全免疫已知或未知的網絡安全威脅，保障水電站業(yè)務系統(tǒng)正常穩(wěn)定運行。

2.2 安全可信實施

安全可信是整個平臺安全的基礎，其實施主要內容有：

（1）關鍵設備國產化。監(jiān)控系統(tǒng)廠站服務器、工作站、網絡設備等采用國產設備，系統(tǒng)網絡在結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等方面滿足國家、行業(yè)信息系統(tǒng)安全防護要求。

（2）主要軟件國產化。包括操作系統(tǒng)、數據庫及集成應用軟件均國產化，平臺采用國產四級安全凝思安全操作系統(tǒng)(可信軟硬件僅在凝思OS運行性能正常，數據采集、指令下達等功能正常)，系統(tǒng)主機及操作系統(tǒng)采用基于國產密碼技術SM2的USBKey或指紋Key用戶認證，滿足雙因子認證要求；數據庫采用國產達夢數據庫，應用軟件有完全自主知識產權，安全可控。

（3）可信計算環(huán)境部署。可信計算軟硬件在國產環(huán)境的監(jiān)控系統(tǒng)下部署測試，驗證其可行性、功能性及安全性，如下圖1 所示：可信密碼模塊是可信計算的信任根，同時也作為密碼的運算引擎和存儲敏感數據，可信密碼模塊的核心功能包括度量設備的完整性，建立設備的免疫力[6]，為設備身份提供唯一性的標識。所有可信加解密包括密鑰應單獨保存在可信密碼模塊上，避免因保存于服務器上被利用；可信管理端是可信計算平臺策略管理和審計中心，用于對可信環(huán)境進行統(tǒng)一配置和管理；同時，管理端也是可信環(huán)境與水電站數字證書系統(tǒng)對接的樞紐，負責應用數字證書技術至可信環(huán)境中。

圖1 可信計算環(huán)境部署

2.3 網絡安全監(jiān)測

網絡安全監(jiān)測及分析平臺在監(jiān)控系統(tǒng)安全Ⅰ、Ⅱ區(qū)部署采集裝置，采集電站計算機監(jiān)控系統(tǒng)中的安全防護設備（防病毒軟件、IDS、防火墻、橫向隔離裝置、縱向加密裝置等）、主機設備和網絡設備的運行信息、操作信息(包括系統(tǒng)操作信息、運行信息，包括外設設備使用情況、CPU使用率、內存使用率信息，及用戶的登錄、退出、登錄失敗和操作行為等信息)以及告警信息(包括文件權限變更、用戶權限變更、外設設備接入、用戶危險操作等信息、非法MAC 接入、不符合安全策略的訪問、攻擊告警、CPU利用率超過閾值、內存使用率超過閾值)，以及歷史數據庫主機磁盤使用情況、表空間的使用情況、數據庫操作記錄、數據庫用戶的變更、用戶登錄失敗、數據庫連接情況、數據庫并發(fā)連接數、數據庫運行時長、數據庫運行狀態(tài)等信息；安全事件包括數據庫用戶連續(xù)多次登錄失敗、數據庫計劃任務執(zhí)行失敗、數據庫鎖表異常等信息等，并將采集到的安全監(jiān)視信息匯總至安全Ⅱ區(qū)的安全監(jiān)視工作站。

監(jiān)測采集部署。為確保監(jiān)控系統(tǒng)運行正常不受干擾，將監(jiān)控系統(tǒng)涉網業(yè)務網絡設備及非涉網業(yè)務網絡設備分開進行采集感知及分析，左岸電站安全Ⅰ、Ⅱ區(qū)分別部署2臺采集裝置：Ⅰ區(qū)2臺采集裝置通過正向物理隔離裝置接入Ⅱ區(qū)交換機，Ⅰ區(qū)采集的安全監(jiān)視數據通過隔離裝置匯集到安全Ⅱ區(qū)，與2臺Ⅱ區(qū)采集裝置采集的安全監(jiān)視數據一并傳送至梯調中心安全Ⅱ區(qū)的網絡安全監(jiān)視平臺，由梯調網絡安全監(jiān)視平臺進行集中的存儲、監(jiān)視、分析、告警與審計。電站部署網絡安全監(jiān)視工作站進行生產系統(tǒng)的監(jiān)視、審計、預警，同時包括安全監(jiān)視數據的查詢與分析。

圖2 典型網絡安全監(jiān)測系統(tǒng)分布圖

2.4 綜合防護及分析

監(jiān)控系統(tǒng)劃分為生產控制大區(qū)和管理大區(qū)，其中生產控制大區(qū)又可分為生產控制區(qū)和非生產控制區(qū)，各區(qū)間設置有隔離裝置及其他相應的安全措施，實現各分區(qū)間的智能聯動和協(xié)同防御；各分區(qū)均能獨立完成網絡安全事件的實時監(jiān)測與快速響應；一旦發(fā)生安全事件，能通過斷開分區(qū)之間的網絡連接實現快速處置。同時，系統(tǒng)縱向上構建電站系統(tǒng)與調度級系統(tǒng)之間（I區(qū)、Ⅱ區(qū)網絡專用）的縱向認證管控，如圖3 所示：采取分區(qū)專網專用、加密認證通信等安全措施，加密認證中采用基于國產密碼算法的密鑰；存在網絡安全隱患或發(fā)生安全事件時，通過斷開縱向鏈路通信實現快速處置。

圖3 監(jiān)控系統(tǒng)綜合防護示意圖

平臺使用綜合分析手段，對設備安全監(jiān)視與告警數據進行不同維度分析與挖掘，提供主機設備/網絡設備/數據庫/安全設備等多視角、多層次的分析結果，并對事件分析進行安全審計，評估風險等預警：系統(tǒng)具備各類主機及多數據庫類型如ORACLE、MySQL、達夢等數據庫的安全監(jiān)測工具；同時，集成了防病毒的管理功能并提供防病毒客戶端引擎；安全分析高度靈活，滿足用戶各類維度安全分析需求，將安全事件涉及的時間、區(qū)域、人員、設備、告警類型、告警信息等各個維度的安全數據進一步細化抽取，用戶可通過自定義開展各個維度的分析，能及時進行網絡安全預警及定位。

同時，進行基于可信的監(jiān)控系統(tǒng)網絡安全等級防護2.0測評與評估，加強全面安全管理制度、機構、人員、系統(tǒng)建設、系統(tǒng)運維及應急預案的管理，提高系統(tǒng)整體安全防護能力，對各類風險進行有效處置和管理，實現電站電力監(jiān)控系統(tǒng)網絡安全的動態(tài)、閉環(huán)管理，提高監(jiān)控系統(tǒng)安全防護與網絡安全整體安全水平。

3 應用案例

三峽左岸電站計算機監(jiān)控系統(tǒng)安全Ⅰ區(qū)服務器和主機均配置由全球能源互聯網研究院有限公司提供的可信軟件基及可信加密卡，保障計算機監(jiān)控系統(tǒng)安全Ⅰ區(qū)處于安全可信環(huán)境，取代以“封堵查殺”為主的傳統(tǒng)信息安全防護體系，由被動防御轉為主動防御，如圖4所示。

圖4 電力監(jiān)控系統(tǒng)安全防護與網絡安全監(jiān)測預警平臺示意圖

該計算機監(jiān)控系統(tǒng)基于等保2.0的要求，采用了國產安全操作系統(tǒng)、基于國產密碼的數字證書認證，部署了防病毒軟件及入侵檢測、正向隔離裝置、縱向加密認證裝置等安防設備。對所有可執(zhí)行程序采用白名單管理機制，僅允許通過可信計算安全模塊驗證審核通過的程序運行，同時按照預設的配置策略對程序的關鍵模塊和進程的資源訪問進行控制，實現對已知/未知惡意代碼的主動防御，降低可執(zhí)行程序被破壞被篡改的風險，保障可執(zhí)行程序安全穩(wěn)定運行。

通過部署網絡安全監(jiān)控平臺，使以前需要人工逐臺設備查看分析日志和報警信息，辨識可能存在的異常和風險，轉變?yōu)橛砂踩O(jiān)測平臺自動采集匯聚系統(tǒng)內各設備的安全信息，進行專業(yè)的分析處理，從而確保電力監(jiān)控系統(tǒng)安全穩(wěn)定運行。

同時，電站建立了由安全防護技術、應急備用措施、全面安全管理組成的綜合防護體系。特別是對應用于生產計算機設備的調試筆記本、移動介質進行嚴格管理，對密碼修改、補丁升級等定期工作進行了規(guī)定，并嚴格閉環(huán)落實。針對重大網絡安全風險制訂了應急預案并定期演練。本系統(tǒng)改造完成并投產后，高分通過了權威測評機構等保三級測評。

4 結語

三峽左岸電站計算機監(jiān)控系統(tǒng)安全防護措施及網絡安全監(jiān)測預警平臺對業(yè)務系統(tǒng)的正常穩(wěn)定運行起到了保障作用，是不可或缺的安全支撐?？尚庞嬎闶瓜到y(tǒng)針對已知/未知風險具備自主免疫能力，網絡安全監(jiān)測預警平臺使網絡安全管理從“靜態(tài)布防、邊界監(jiān)視”向“實時管控、縱深防御”轉變，這些新技術顯著增加了電力監(jiān)控系統(tǒng)網絡安全可靠性，監(jiān)控系統(tǒng)綜合防護措施得到了權威測評機構的認可。

通過三峽左岸電機計算機監(jiān)控系統(tǒng)的成功實踐證明，國產可信計算平臺可以很好地支撐國產操作系統(tǒng)和國產大型計算機監(jiān)控系統(tǒng)，網絡安全監(jiān)測預警平臺的部署也達到了預期效果。