基于全國產(chǎn)水電監(jiān)控系統(tǒng)的一體化網(wǎng)絡(luò)安全防護研究

唐清弟，李 鶴，劉晉曦

(華能瀾滄江水電股份有限公司景洪水電廠，云南 景洪 666100)

0 前 言

我國工業(yè)控制基礎(chǔ)軟硬件發(fā)展滯后，核心競爭力差，成為提升工控領(lǐng)域自主安全水平的關(guān)鍵癥結(jié)。相關(guān)工業(yè)控制基礎(chǔ)軟硬件仍然較大程度地依賴從國外引進，尤其部分涉及國家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)的重要行業(yè)，核心技術(shù)仍然受制于國外公司，企業(yè)自主創(chuàng)新能力仍然不強，如精密采集、精準時鐘、智能算法、故障定位、中斷調(diào)度、安全漏洞等[1]。

水電監(jiān)控系統(tǒng)是水電站的“神經(jīng)中樞”，是水電站核心控制系統(tǒng)，可實現(xiàn)機組的自動啟停、負荷及運行的智能調(diào)整，是保障安全穩(wěn)定運行的重要基礎(chǔ)。長期以來，國內(nèi)大型水電機組的智能監(jiān)控系統(tǒng)大部分軟硬件依賴國外進口，目前國產(chǎn)系統(tǒng)解決了這一“卡脖子”難題，而全國產(chǎn)水電監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全配套也同樣處在探索階段。

電力行業(yè)被定義為關(guān)鍵基礎(chǔ)設(shè)施單位，關(guān)鍵基礎(chǔ)設(shè)施單位網(wǎng)絡(luò)安全即國家安全。電力行業(yè)企業(yè)用戶除依據(jù)相關(guān)法規(guī)進行“等級保護”建設(shè)外，同樣需滿足行業(yè)內(nèi)“國能安全36號文”相關(guān)網(wǎng)絡(luò)安全要求進行整體建設(shè)[2]。

現(xiàn)階段國內(nèi)水電站已開始監(jiān)控系統(tǒng)國產(chǎn)化改造，其配套的工控網(wǎng)絡(luò)安全設(shè)備，同樣需在滿足法規(guī)及行業(yè)相關(guān)要求的基礎(chǔ)上對安全設(shè)備進行國產(chǎn)化[3]。

網(wǎng)絡(luò)安全合規(guī)建設(shè)過程中，面臨設(shè)備繁多、信息孤立、監(jiān)測面不全、缺乏專業(yè)人員等問題，現(xiàn)階段網(wǎng)絡(luò)安全信息作為生產(chǎn)網(wǎng)絡(luò)數(shù)據(jù)的一部分往往孤立存在，未和機組實時監(jiān)測數(shù)據(jù)列為同等重要推送序列，不能實時反饋和預(yù)警，從而可能造成網(wǎng)絡(luò)安全反應(yīng)遲滯，給安全生產(chǎn)帶來不可預(yù)估風險。

1 技術(shù)路線

1.1 政策合規(guī)

等級保護2.0標準自2019年12月1日正式執(zhí)行，其適用范圍更廣泛，執(zhí)行標準更嚴格，其重點突出“一個中心、三重防護”：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心不同維度進行立體化網(wǎng)絡(luò)安全建設(shè)[4]。

依據(jù)《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》(電監(jiān)信息〔2007〕34號)、《電力行業(yè)信息系統(tǒng)等級保護定級工作指導(dǎo)意見》電監(jiān)信息〔2007〕44號，發(fā)電企業(yè)電力監(jiān)控系統(tǒng)應(yīng)按照具體定級依據(jù)進行系統(tǒng)定級。并結(jié)合對應(yīng)等級要求進行安全防護，所涉及合規(guī)模塊及對應(yīng)關(guān)系如圖1所示。

發(fā)電企業(yè)需按照國家能源局 國能安全〔2015〕36號《電力監(jiān)控系統(tǒng)安全防護總體方案》等安全防護方案和評估規(guī)范要求，重點強化邊界防護，加強內(nèi)部的物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)安全，加強安全管理制度、機構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運維的管理，提高系統(tǒng)整體安全防護能力，保證電力監(jiān)控系統(tǒng)及重要數(shù)據(jù)的安全[5-6]。

同時根據(jù)附件4發(fā)電廠監(jiān)控系統(tǒng)安全防護方案應(yīng)滿足綜合防護要求，綜合防護是結(jié)合國家信息安全等級保護工作的相關(guān)要求對電力監(jiān)控系統(tǒng)從主機、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計、備份及容災(zāi)等多個層面進行信息安全防護的過程。具體流程見圖2。

圖1 合規(guī)模塊對應(yīng)關(guān)系

圖2 信息安全防護過程示意

1.2 一體化需求

水電監(jiān)控系統(tǒng)作為電力企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)，可以清晰了解生產(chǎn)實時狀態(tài)；同時，生產(chǎn)網(wǎng)絡(luò)的安全作為生產(chǎn)業(yè)務(wù)一部分，現(xiàn)今尤為重要。

為實時掌握“生產(chǎn)安全”，將網(wǎng)絡(luò)安全數(shù)據(jù)以“IEC104協(xié)議”接入監(jiān)控系統(tǒng)，確保監(jiān)控系統(tǒng)運行穩(wěn)定、網(wǎng)絡(luò)安全數(shù)據(jù)傳輸安全、數(shù)據(jù)反饋呈現(xiàn)的真實預(yù)警效果，需要從工業(yè)協(xié)議、生產(chǎn)工藝流程等多維度進行考量對接。

2 安全建設(shè)

水電監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護，在安全防護技術(shù)上以大數(shù)據(jù)分析為基礎(chǔ)，結(jié)合機器學習、可信計算、行為分析等能力，形成全國產(chǎn)化的協(xié)同防御體系。防護設(shè)計思路為：以國家網(wǎng)絡(luò)安全政策標準為依據(jù)，結(jié)合電力行業(yè)自身的特性，在安全防護設(shè)計思路上，按照“2個體系、1個中心、1個支撐”的“211防護”思路進行安全設(shè)計。

2個體系：指在電力生產(chǎn)控制大區(qū)內(nèi)建立起“白環(huán)境可信體系”和“黑名單防護體系”。

通過設(shè)備入網(wǎng)白環(huán)境、通信傳輸白環(huán)境和主機運行白環(huán)境的建設(shè)，建立起工控網(wǎng)可信運行環(huán)境。保證只有可信任的設(shè)備才能接入到生產(chǎn)網(wǎng)絡(luò)、只有可信任的流量才能在網(wǎng)絡(luò)中傳輸、只有可信任的程序才能在主機上執(zhí)行的“白環(huán)境可信體系”。

通過病毒檢測、網(wǎng)絡(luò)入侵檢測、漏洞利用攻擊檢測、APT攻擊檢測的建設(shè)，建立起基于訪問控制、病毒庫、入侵規(guī)則庫、漏洞利用規(guī)則庫、威脅情報庫的“黑名單防護體系”。

1個中心：指建立具有電力行業(yè)屬性的安全運營中心，一方面通過工業(yè)安全態(tài)勢感知平臺、集中日志審計、統(tǒng)一安全運維、統(tǒng)一威脅發(fā)現(xiàn)、統(tǒng)一安全設(shè)備管理的建設(shè)，建立起工控網(wǎng)安全管理中心。另外，會利用IEC104協(xié)議等進行威脅事件的上報和告警，匹配電力行業(yè)工控網(wǎng)絡(luò)的業(yè)務(wù)特點。

1個支撐：指建立以專業(yè)安全服務(wù)為支撐的主動管理能力。通過風險評估、安全巡檢、應(yīng)急響應(yīng)、安全培訓(xùn)等的全方位專業(yè)化安全服務(wù)，主動發(fā)現(xiàn)安全風險，建立工控網(wǎng)運轉(zhuǎn)高效、處置得當?shù)陌踩\營工作機制。

2.1 合規(guī)建設(shè)

在安全區(qū)Ⅰ和安全區(qū)Ⅱ之間部署工業(yè)防火墻，通過訪問控制和工控協(xié)議深度解析，建立業(yè)務(wù)通信白名單，實現(xiàn)區(qū)域間的安全訪問控制[7]。

在安全防護交換機旁路部署工控安全監(jiān)測與審計系統(tǒng)?；诠た貐f(xié)議深度解析技術(shù)，智能學習建立業(yè)務(wù)系統(tǒng)安全通信模型，實時監(jiān)測生產(chǎn)網(wǎng)絡(luò)異常流量和行為，提高計算機監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全審計能力。

在安全防護交換機旁路部署入侵檢測系統(tǒng)和高級威脅檢測系統(tǒng)，通過開啟入侵檢測功能，及時告警網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)掃描、入侵攻擊、APT攻擊等違反安全策略的行為和被攻擊的跡象。

在安全防護交換機旁路部署防毒墻設(shè)備，通過開啟病毒防護功能，及時告警網(wǎng)絡(luò)中存在的病毒傳播事件。

建設(shè)安全防護管理區(qū)實現(xiàn)集中管理，在管理區(qū)內(nèi)部署安全運維管理系統(tǒng)，完成賬號統(tǒng)一管理、資源和權(quán)限統(tǒng)一分配、操作全程審計，提升運維過程的安全性；部署統(tǒng)一安全管理平臺，對機組部署的安全設(shè)備進行統(tǒng)一的安全管理，包括策略下發(fā)、日志審計、報警展示等，簡化運維管理工作流程、提高運維管理工作效率；部署日志審計與分析系統(tǒng)，實現(xiàn)日志數(shù)據(jù)和告警數(shù)據(jù)統(tǒng)一收集和關(guān)聯(lián)分析；部署數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)庫的重要操作行為進行監(jiān)控和審計；部署工控漏洞掃描平臺，對計算機監(jiān)控系統(tǒng)進行漏洞掃描，實現(xiàn)對工控設(shè)備、系統(tǒng)、軟件等漏洞的掌控及管理。

在安全Ⅱ區(qū)和調(diào)度數(shù)據(jù)網(wǎng)之間部署入侵防御系統(tǒng)，對病毒傳播、漏洞攻擊、掃描探測等各類攻擊實時檢測和阻斷，保障電廠與調(diào)度之間的安全通信。

2.2 一體化建設(shè)

水電監(jiān)控系統(tǒng)統(tǒng)一生產(chǎn)環(huán)境工業(yè)協(xié)議，使用IEC104向水電監(jiān)控系統(tǒng)傳輸網(wǎng)絡(luò)安全事件信息。

水電監(jiān)控系統(tǒng)作為重要生產(chǎn)系統(tǒng)，為保障其穩(wěn)定性防止網(wǎng)絡(luò)安全告警信息過載影響生產(chǎn)系統(tǒng)并兼顧網(wǎng)絡(luò)安全信息及時反饋，具體思路如下：

(1)現(xiàn)階段優(yōu)先支持部分重要告警信息，告警類型編號包含設(shè)備無流量(01)、異常流量(02)、工控協(xié)議操作異常(03)、違反ACL規(guī)則(04)、會話異常行為(05)、地址欺詐(06)、程序報警事件(07)、非法外聯(lián)(08)、未知設(shè)備接入(09)、非法外設(shè)接入(10)。

(2)以IEC104協(xié)議暫定兩種發(fā)送告警狀態(tài)方式。一是水電監(jiān)控系統(tǒng)主動發(fā)送總召喚，統(tǒng)一安全平臺反饋需求十種告警的狀態(tài)(是否有告警)；二是在兩次總召喚之間告警狀態(tài)發(fā)生改變，主動上傳變化的告警類型以及對應(yīng)的告警狀態(tài)。

3 技術(shù)特點

3.1 白名單可信技術(shù)

利用工業(yè)協(xié)議白名單、指令白名單、進程白名單等技術(shù)構(gòu)建起工控網(wǎng)可信運行環(huán)境，以白名單技術(shù)為主的核心產(chǎn)品也更加適用于以可用性為主的工業(yè)現(xiàn)場。有效解決了傳統(tǒng)的“黑名單”技術(shù)在解決工控安全問題時存在的兼容性、易用性、日常管理工作量大等問題[8]。

3.2 工業(yè)級通信性能

采用高性能ARM架構(gòu)，運用白名單規(guī)則匹配算法，在開啟深度報文檢測(DPI)的情況下可實現(xiàn)30000PPS的吞吐量。時延小于100 μs，是業(yè)界同類產(chǎn)品的1/10。

3.3 軟硬件國產(chǎn)化

全國產(chǎn)水電監(jiān)控系統(tǒng)配套網(wǎng)絡(luò)安全設(shè)備，均采用國產(chǎn)軟硬件安全設(shè)備進行整體配套，依據(jù)當前國內(nèi)主流架構(gòu)設(shè)計普遍采用“PK”(飛騰+麒麟)架構(gòu)設(shè)計。

3.4 監(jiān)控系統(tǒng)與網(wǎng)絡(luò)安全信息對接

通過將網(wǎng)絡(luò)安全信息統(tǒng)一匯總，并以IEC104協(xié)議按需求發(fā)送至監(jiān)控系統(tǒng)，充分考慮時效性、有效性因素，完善了監(jiān)控系統(tǒng)生產(chǎn)數(shù)據(jù)完整性。

4 結(jié) 論

基于全國產(chǎn)水電監(jiān)控系統(tǒng)的一體化網(wǎng)絡(luò)安全防護及應(yīng)用項目，水電站采取國產(chǎn)化水電站監(jiān)控系統(tǒng)平臺配套國產(chǎn)化工控安全方案，滿足國能安全36號文、等級保護2.0要求，并補充數(shù)據(jù)庫操作審計，APT攻擊防范能力，完善電廠的安全防護體系，同時通過安全統(tǒng)一管理平臺與水電監(jiān)控系統(tǒng)對接，完善生產(chǎn)業(yè)務(wù)數(shù)據(jù)，實時把控安全生產(chǎn)，確保生產(chǎn)工藝安全和生產(chǎn)網(wǎng)絡(luò)安全，對水電站在國產(chǎn)化工控安全的建設(shè)與完善國產(chǎn)水電監(jiān)控系統(tǒng)研究與試點推廣上提供了寶貴的經(jīng)驗。