水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)探析

曾 體 健

(貴州烏江水電開(kāi)發(fā)有限責(zé)任公司，貴州 貴陽(yáng) 550002)

0 前 言

電力行業(yè)是我國(guó)重要的關(guān)鍵基礎(chǔ)設(shè)施，關(guān)乎國(guó)計(jì)民生，其中發(fā)電廠電力監(jiān)控系統(tǒng)是最核心和重要的系統(tǒng)之一。在滿足“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”基本原則的基礎(chǔ)上，結(jié)合國(guó)家信息安全等級(jí)保護(hù)工作的相關(guān)要求，如何開(kāi)展好電力監(jiān)控系統(tǒng)的綜合安全防護(hù)建設(shè)工作成為需要迫切解決的問(wèn)題。

1 發(fā)電企業(yè)網(wǎng)絡(luò)安全面臨的形勢(shì)

電力系統(tǒng)已逐漸由封閉獨(dú)立向開(kāi)放互聯(lián)轉(zhuǎn)變。電力監(jiān)控系統(tǒng)由專用平臺(tái)、專用協(xié)議逐漸轉(zhuǎn)變?yōu)殚_(kāi)放平臺(tái)和通用協(xié)議，原本孤立的系統(tǒng)開(kāi)始大規(guī)?；ヂ?lián)，系統(tǒng)開(kāi)始使用通用硬件，并且廣泛使用各類標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備和商用軟件，系統(tǒng)的開(kāi)放性和網(wǎng)絡(luò)高度連接性，無(wú)形中也提供了更多的攻擊渠道。無(wú)線專網(wǎng)、電力線載波等新型接入方式的大量應(yīng)用，將終端設(shè)備深入到用戶側(cè)的非可控環(huán)境中，終端的智能化和互聯(lián)互通的迫切需求給傳統(tǒng)的隔離式網(wǎng)絡(luò)結(jié)構(gòu)提出了新問(wèn)題。物聯(lián)網(wǎng)大數(shù)據(jù)技術(shù)在工控現(xiàn)場(chǎng)的深化應(yīng)用導(dǎo)致網(wǎng)絡(luò)基礎(chǔ)環(huán)境也隨之變化，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化、邊界模糊化、威脅形態(tài)多樣化導(dǎo)致物理隔離更加難以實(shí)施，這給當(dāng)前電力工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作帶來(lái)嚴(yán)峻挑戰(zhàn)[1]。

2 設(shè)計(jì)思路

在日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境下，關(guān)鍵基礎(chǔ)設(shè)施單位整體網(wǎng)絡(luò)安全需滿足行業(yè)(國(guó)能安全〔2015〕36號(hào)文)、法規(guī)(等級(jí)保護(hù)基本要求)等要求，可探索建設(shè)基于“白環(huán)境”的“縱深防御”安全防護(hù)技術(shù)體系，具體設(shè)計(jì)思路為：以“一個(gè)中心、三重防護(hù)”為指導(dǎo)思想，從“安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境”三個(gè)維度，建立“可信電力監(jiān)控系統(tǒng)白環(huán)境整體縱深防御結(jié)構(gòu)”?？傮w設(shè)計(jì)思路示意見(jiàn)圖1。

圖1 總體設(shè)計(jì)思路示意

通過(guò)對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)邊界、數(shù)據(jù)流量、計(jì)算環(huán)境等進(jìn)行監(jiān)控，收集并分析生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)及系統(tǒng)軟件運(yùn)行狀態(tài)，建立生產(chǎn)控制系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型，進(jìn)而構(gòu)筑生產(chǎn)控制系統(tǒng)安全“白環(huán)境”，確保：只有可信任的設(shè)備，才能接入系統(tǒng)網(wǎng)絡(luò)；只有可信任的消息，才能在系統(tǒng)網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行。

3 具體措施

依據(jù)國(guó)能安全〔2015〕36號(hào)、等級(jí)保護(hù)基本要求，結(jié)合“白環(huán)境”實(shí)現(xiàn)整體縱深防御防護(hù)。

3.1 強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力

生產(chǎn)控制大區(qū)到上級(jí)調(diào)度邊界處，在縱向加密的基礎(chǔ)上，部署工業(yè)防火墻強(qiáng)化安全邊界訪問(wèn)控制能力。安全Ⅰ區(qū)和安全Ⅱ區(qū)之間部署工業(yè)防火墻，強(qiáng)化生產(chǎn)控制大區(qū)內(nèi)部?jī)蓚€(gè)重要區(qū)域之間的邊界訪問(wèn)控制能力。安全I(xiàn)區(qū)內(nèi)部，上位機(jī)與各LCU之間部署工業(yè)防火墻，實(shí)現(xiàn)各水輪發(fā)電機(jī)組監(jiān)控系統(tǒng)之間、與控制系統(tǒng)之間以及同一水輪發(fā)電機(jī)組不同功能的監(jiān)控系統(tǒng)之間的邊界隔離。

3.2 提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力

生產(chǎn)控制大區(qū)到調(diào)度和集控中心邊界處，在縱向加密和正向隔離的基礎(chǔ)上，旁路部署網(wǎng)絡(luò)威脅感知系統(tǒng)，利用強(qiáng)有效的入侵行為感知能力，有效發(fā)現(xiàn)從外部區(qū)域到發(fā)電企業(yè)生產(chǎn)控制系統(tǒng)的入侵行為，尤其是利用APT攻擊的入侵行為。安全Ⅰ區(qū)業(yè)務(wù)網(wǎng)絡(luò)內(nèi)各關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處旁路部署工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)，利用白名單技術(shù)建立生產(chǎn)控制系統(tǒng)安全通信模型，實(shí)時(shí)監(jiān)測(cè)生產(chǎn)網(wǎng)絡(luò)異常流量，及時(shí)發(fā)現(xiàn)針對(duì)各水輪發(fā)電機(jī)組控制系統(tǒng)的入侵行為[2]。在生產(chǎn)控制大區(qū)內(nèi)部安全管理中心區(qū)域內(nèi)建立安全運(yùn)維管理域，在安全運(yùn)維管理域內(nèi)部署準(zhǔn)入控制系統(tǒng)，對(duì)接入生產(chǎn)控制網(wǎng)絡(luò)的設(shè)備進(jìn)行身份驗(yàn)證和設(shè)備合法性檢測(cè)，保證接入的設(shè)備身份是合法的，保證接入設(shè)備自身是安全的。

3.3 提高系統(tǒng)內(nèi)主機(jī)病毒防范能力

生產(chǎn)控制大區(qū)內(nèi)部所有操作員站、工程師站、通信機(jī)等關(guān)鍵主機(jī)/服務(wù)器上安裝主機(jī)加固軟件，利用白名單技術(shù)對(duì)主機(jī)/服務(wù)器系統(tǒng)內(nèi)所有可執(zhí)行程序進(jìn)行可信認(rèn)證，保證只有認(rèn)證過(guò)的程序才可以運(yùn)行。有效阻止病毒/惡意代碼等程序執(zhí)行，從而提高系統(tǒng)主機(jī)的病毒防范能力。

3.4 提高主機(jī)安全基線

生產(chǎn)控制大區(qū)統(tǒng)一安全管理中心內(nèi)部署安全運(yùn)維管理系統(tǒng)，利用雙因子認(rèn)證技術(shù)，提高對(duì)網(wǎng)絡(luò)設(shè)備的身份認(rèn)證能力。利用主機(jī)加固功能模塊，對(duì)主機(jī)進(jìn)行一鍵式安全加固，提高主機(jī)安全基線。通過(guò)網(wǎng)絡(luò)白名單技術(shù)，關(guān)閉不必要的服務(wù)端口，提高系統(tǒng)的入侵防范能力。通過(guò)訪問(wèn)控制策略，保證業(yè)務(wù)配置文件不被篡改。通過(guò)強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制技術(shù)對(duì)主機(jī)上關(guān)鍵配置文件進(jìn)行訪問(wèn)控制權(quán)限控制，保證只有授權(quán)的用戶才能訪問(wèn)，同時(shí)對(duì)操作行為進(jìn)行管控[3-5]。

3.5 建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力

建立發(fā)電企業(yè)生產(chǎn)控制大區(qū)安全管理中心，其內(nèi)部署統(tǒng)一安全管理平臺(tái)，實(shí)現(xiàn)對(duì)安全產(chǎn)品統(tǒng)一管理、對(duì)安全資產(chǎn)的可視化展示、對(duì)運(yùn)維人員身份授權(quán)、運(yùn)維人員操作授權(quán)和運(yùn)維人員行為審計(jì)。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的日志進(jìn)行統(tǒng)一采集并進(jìn)行關(guān)聯(lián)分析，幫助企業(yè)完成所有安全設(shè)備統(tǒng)一策略管理措施，對(duì)運(yùn)維人員實(shí)施身份鑒別和行為管控。

4 技術(shù)特點(diǎn)

打造“白環(huán)境”的工控安全解決方案，可以幫助企業(yè)滿足電力監(jiān)控系統(tǒng)信息安全防護(hù)的相關(guān)要求。具備諸多優(yōu)勢(shì)。

4.1 安全設(shè)備的統(tǒng)一管理

統(tǒng)一安全管理平臺(tái)將工控網(wǎng)絡(luò)中的所有安全設(shè)備和系統(tǒng)進(jìn)行集中管理，減少管理人員的工作量，降低企業(yè)人力成本的投入。統(tǒng)一安全管理平臺(tái)具有豐富的管理功能，友好的用戶界面，人性化的統(tǒng)計(jì)報(bào)表，極大地提高企業(yè)工控系統(tǒng)安全運(yùn)維管理的效率。

4.2 化繁為簡(jiǎn)的安全防護(hù)體系

統(tǒng)一安全管理平臺(tái)可以通過(guò)對(duì)工控網(wǎng)絡(luò)內(nèi)全部的安全產(chǎn)品進(jìn)行集中管理，從而實(shí)現(xiàn)全網(wǎng)信息安全的可視化展示、安全設(shè)備的統(tǒng)一配置等功能，簡(jiǎn)化電力監(jiān)控網(wǎng)絡(luò)內(nèi)的信息安全防護(hù)工作流程，提升工作效率。

4.3 全面體系化的方案

該系統(tǒng)是覆蓋電力監(jiān)控系統(tǒng)邊界、主機(jī)、控制設(shè)備、控制軟件等全方位安全的縱深防護(hù)體系，覆蓋檢測(cè)、防護(hù)、響應(yīng)、審計(jì)的全過(guò)程，不留安全死角。

5 結(jié) 論

基于“白環(huán)境”的電力監(jiān)控系統(tǒng)安全解決方案，相比較傳統(tǒng)的安全防護(hù)設(shè)備及殺毒軟件，能更有效地防御區(qū)域邊界非法訪問(wèn)、監(jiān)控非法的網(wǎng)絡(luò)通信、防御病毒、木馬及非授權(quán)軟件的安裝與運(yùn)行，更符合電力監(jiān)控系統(tǒng)的行業(yè)特點(diǎn)，“白環(huán)境”解決方案對(duì)電力監(jiān)控系統(tǒng)有更強(qiáng)的針對(duì)性。