智能化水電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全問題與對(duì)策

陳 曦

(中國長江電力股份有限公司，湖北 宜昌 443000)

0 前 言

能源供給側(cè)和需求側(cè)改革的深化，推動(dòng)清潔綠色安全高效發(fā)展的電力系統(tǒng)的智能化時(shí)代加速到來，依靠高效智能的電力系統(tǒng)工業(yè)監(jiān)控系統(tǒng)，傳統(tǒng)能源和新能源發(fā)電協(xié)同，集中和分布式能源供應(yīng)并舉，電力系統(tǒng)調(diào)峰強(qiáng)度和響應(yīng)能力提升。智能化的電力系統(tǒng)工業(yè)監(jiān)控系統(tǒng)將大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等先進(jìn)信息技術(shù)與電力系統(tǒng)工業(yè)生產(chǎn)監(jiān)控系統(tǒng)高度融合，由此帶來對(duì)電力系統(tǒng)工業(yè)監(jiān)控系統(tǒng)新的安全隱患。近年國際上電力行業(yè)的網(wǎng)絡(luò)安全事件不斷給我們敲響警鐘，如伊朗核電站因網(wǎng)絡(luò)攻擊而延緩建設(shè)、烏克蘭電力系統(tǒng)遭網(wǎng)絡(luò)攻擊致使供電系統(tǒng)癱瘓、委內(nèi)瑞拉古里水電站因不明網(wǎng)絡(luò)攻擊引起電站監(jiān)控系統(tǒng)事故而誘發(fā)全國大面積停電事故，這些均給所在國的經(jīng)濟(jì)社會(huì)造成了極大的影響。電力系統(tǒng)的安全事關(guān)國家經(jīng)濟(jì)社會(huì)的總體安全，因此，要積極應(yīng)對(duì)智能化時(shí)代大型水電站監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問題，以確保電力系統(tǒng)的安全可靠運(yùn)行。

1 大型水電站工程的社會(huì)影響力

以三峽工程為例，工程建成竣工至今，其防洪、補(bǔ)水、航運(yùn)、發(fā)電、水資源利用等綜合效益顯著。作為長江中下游防洪體系的重要組成部分，三峽工程控制著洪水期間最危險(xiǎn)河段荊江96%的來水，控制著武漢2/3以上的來水。2003—2019年，三峽水庫累計(jì)攔蓄洪水1 533億m3，在長江上游防洪減災(zāi)中發(fā)揮著不可或缺的作用。據(jù)中國工程院測(cè)算，僅三峽工程每年的防洪效益就達(dá)88億元。此外，三峽工程還產(chǎn)生了綠色電力，為區(qū)域發(fā)展提供了寶貴的資源。初步測(cè)算，三峽電站2020年生產(chǎn)了1 118億kW·h清潔電能，與燃煤發(fā)電相比，可替代標(biāo)準(zhǔn)煤約3 439萬t，減排二氧化碳約9 402萬t、二氧化硫2.24萬t、氮氧化物2.12萬t，相當(dāng)于種植3.7×109m2闊葉林，有利于構(gòu)建清潔低碳、安全高效的能源體系，對(duì)我國力爭(zhēng)在2030年前實(shí)現(xiàn)二氧化碳排放達(dá)峰值，2060年前實(shí)現(xiàn)碳中和具有重要意義[1]。而這一切都必須建立在三峽工程安全的基礎(chǔ)上。

保護(hù)大型水電站安全就是保障人民生命財(cái)產(chǎn)安全，分析解決水電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全問題，就是防止黑客入侵監(jiān)控系統(tǒng)后做出危險(xiǎn)操作。

2 水電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全結(jié)構(gòu)與區(qū)域劃分

大型水電站的工業(yè)監(jiān)控系統(tǒng)即電站監(jiān)控系統(tǒng)，由各種自動(dòng)化元件、實(shí)施數(shù)據(jù)采集、控制流程組成，包括監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程控制器(PLC)/遠(yuǎn)程終端(RTU)/智能電子設(shè)備(IED)和組件接口的通信技術(shù)[2]。

電站監(jiān)控系統(tǒng)按照結(jié)構(gòu)可分成廠站層和現(xiàn)地控制單元層。廠站層又分為廠站控制層、廠站信息層和生產(chǎn)信息查詢層[3]。電站監(jiān)控系統(tǒng)按網(wǎng)絡(luò)結(jié)構(gòu)可分為電站控制網(wǎng)、電站信息網(wǎng)和生產(chǎn)信息查詢網(wǎng)。電站控制網(wǎng)主要用于連接現(xiàn)地控制層和廠站控制層設(shè)備，并實(shí)時(shí)傳輸現(xiàn)場(chǎng)監(jiān)控的各類信息；電站信息網(wǎng)主要用于連接廠站控制層和廠站信息層設(shè)備，傳輸數(shù)據(jù)處理信息；生產(chǎn)信息查詢網(wǎng)主要用于連接信息查詢層設(shè)備，通過網(wǎng)絡(luò)安全設(shè)備與廠站信息層網(wǎng)絡(luò)連接。

根據(jù)電力二次系統(tǒng)的特點(diǎn)，劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)分為控制區(qū)(Ⅰ區(qū))和非控制區(qū)(Ⅱ區(qū))。信息管理大區(qū)分為生產(chǎn)管理區(qū)(Ⅲ區(qū))和管理信息區(qū)(Ⅳ區(qū))[4]。不同安全區(qū)確定不同安全防護(hù)要求，其中Ⅰ區(qū)安全等級(jí)最高，Ⅱ區(qū)次之，其余依次類推。監(jiān)控系統(tǒng)網(wǎng)絡(luò)遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則，實(shí)施網(wǎng)絡(luò)安全措施。

3 智能化時(shí)代黑客的攻擊方式

智能化時(shí)代的到來，人為形式單一的網(wǎng)絡(luò)攻擊已經(jīng)轉(zhuǎn)變成復(fù)雜機(jī)械化的智能攻擊，這種攻擊方式不需要程序員輸入一行行復(fù)雜的代碼，全部由電腦主機(jī)某個(gè)軟件自動(dòng)完成。入侵者只需要連上互聯(lián)網(wǎng)啟動(dòng)入侵軟件即可。入侵者由于是機(jī)器，那么就可每天24 h不間斷地入侵，入侵機(jī)器還有學(xué)習(xí)能力，可以通過之前入侵成功的案列來獲取經(jīng)驗(yàn)，從而提高入侵成功幾率。機(jī)器與機(jī)器之間也可以交換入侵成功或者失敗的經(jīng)驗(yàn)。當(dāng)然了，也會(huì)有多臺(tái)入侵機(jī)器合作入侵，此時(shí)的入侵就不是單方面的或者個(gè)別幾種攻擊方式了，這就要考驗(yàn)一個(gè)企業(yè)的綜合安全防護(hù)能力了，安全性薄弱的地方往往最容易被入侵者攻破。

面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)攻擊，必須組成一個(gè)牢不可破的網(wǎng)絡(luò)安全結(jié)構(gòu)網(wǎng)，劃分其安全區(qū)域，并增加軟件和硬件設(shè)備的防護(hù)，提高員工網(wǎng)絡(luò)安全意識(shí)，這樣才能抵御入侵者，保障大型水電站網(wǎng)絡(luò)安全。筆者提出的電力系統(tǒng)安全防護(hù)設(shè)計(jì)示意見圖1。

圖1 電力系統(tǒng)安全防護(hù)示意

4 水電站監(jiān)控系統(tǒng)的系統(tǒng)策略加固和防病毒軟件

如圖1所示，Ⅰ區(qū)、Ⅱ區(qū)、Ⅲ區(qū)、Ⅳ區(qū)、辦公網(wǎng)和堡壘機(jī)內(nèi)的所有服務(wù)器、辦公電腦和調(diào)試電腦都必須進(jìn)行系統(tǒng)安全策略加固并且安裝殺毒軟件。

4.1 系統(tǒng)安全策略加固

系統(tǒng)安全策略加固主要針對(duì)計(jì)算機(jī)安全薄弱的地方進(jìn)行提前彌補(bǔ)，提高計(jì)算機(jī)預(yù)防病毒、木馬的能力，一般從以下7個(gè)方面考慮。

用戶方面：名稱規(guī)范，權(quán)限控制，開啟賬戶控制(UAC)。

密碼方面：禁止憑據(jù)管理器，長度不能短，復(fù)雜度要高，帶生存期。

網(wǎng)絡(luò)方面：IP地址規(guī)范，關(guān)閉硬盤共享、默認(rèn)路由、無線網(wǎng)卡和遠(yuǎn)程登錄。

介質(zhì)方面：關(guān)閉存儲(chǔ)介質(zhì)和光驅(qū)自動(dòng)播放功能，清除虛擬內(nèi)存。

軟件方面：刪除操作系統(tǒng)中與業(yè)務(wù)無關(guān)的軟件。

審計(jì)方面：開啟系統(tǒng)策略配置及日志文件權(quán)限設(shè)置。

防護(hù)方面：開啟SYN、防火墻、DEP、系統(tǒng)補(bǔ)丁更新和殺毒軟件，封閉危險(xiǎn)端口，關(guān)閉RDP服務(wù)。

4.2 殺毒軟件

殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除、自動(dòng)升級(jí)、主動(dòng)防御等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)、防范黑客入侵、網(wǎng)絡(luò)流量控制等功能，是計(jì)算機(jī)防御系統(tǒng)的重要組成部分。殺毒軟件一般對(duì)已有病毒庫內(nèi)的病毒、木馬非常有效。

殺毒軟件是一種可以對(duì)病毒、木馬等一切已知危害程序代碼進(jìn)行清除的程序工具。其原理是實(shí)時(shí)監(jiān)控和掃描磁盤。部分殺毒軟件通過在系統(tǒng)添加驅(qū)動(dòng)程序的方式進(jìn)駐系統(tǒng)，并且隨操作系統(tǒng)啟動(dòng)。大部分的殺毒軟件還具有防火墻功能，其實(shí)時(shí)監(jiān)控方式因軟件而異。

殺毒軟件針對(duì)已有病毒庫內(nèi)的病毒、木馬非常有效。所有服務(wù)器、辦公電腦、調(diào)試電腦都必須安裝殺毒軟件。但僅僅只用殺毒軟件是不夠的，還要用到硬件設(shè)備，因?yàn)椴《敬嬖谟跉⒍拒浖《編炖铮瑲⒍拒浖懿榈降灰欢軞⒌?，而新型病毒一般不在常見殺毒軟件的病毒庫?nèi)，殺毒軟件更是難以察覺。

5 水電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的硬件設(shè)備

95%以上的病毒和木馬都是來自外部因特網(wǎng)。外部因特網(wǎng)感染辦公網(wǎng)電腦，再通過辦公電腦入侵Ⅳ區(qū)服務(wù)器，然后通過Ⅳ區(qū)服務(wù)器入侵Ⅲ區(qū)服務(wù)器，以此類推。針對(duì)水電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的特殊性，以及各個(gè)硬件防護(hù)設(shè)備的優(yōu)缺點(diǎn)，用以下硬件設(shè)備會(huì)比較適合。

5.1 堡壘機(jī)

堡壘機(jī)在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運(yùn)用各種技術(shù)手段監(jiān)控和記錄運(yùn)維人員對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。

堡壘機(jī)針對(duì)運(yùn)維過程中存在的安全審計(jì)隱患非常有效。建議堡壘機(jī)裝在外部因特網(wǎng)與公司局域辦公網(wǎng)之間。

5.2 IDS

入侵檢測(cè)系統(tǒng)(IDS：Intrusion Detection System)是計(jì)算機(jī)的監(jiān)視系統(tǒng)。通過實(shí)時(shí)監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告，依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。建議IDS裝在堡壘機(jī)后面，隨時(shí)可以監(jiān)視入侵者并把攻擊方法記錄下來。

5.3 蜜罐技術(shù)

蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，攻擊者入侵后即可以知道自己是它們的攻擊方式和路徑，了解針對(duì)服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，掌握他們的社交網(wǎng)絡(luò)，對(duì)其攻擊行為進(jìn)行捕獲和分析，推測(cè)攻擊意圖和動(dòng)機(jī)。防御方在此基礎(chǔ)上可通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

建議蜜罐裝在堡壘機(jī)后面，讓入侵者花費(fèi)大量的精力去攻擊一個(gè)事先設(shè)計(jì)好的“陷阱”，就算蜜罐被破壞，最壞的情況也只能攻擊到辦公電腦。所以蜜罐后面必須裝防火墻，并且用防火墻將該蜜罐IP地址隔斷。

5.4 APT攻擊預(yù)警平臺(tái)

APT(Advanced Persistent Threat)——高級(jí)持續(xù)性威脅。APT是黑客以竊取客戶核心資料為目的，所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法在于隱匿自己，針對(duì)特定對(duì)象，長期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報(bào)的行為就是一種“網(wǎng)絡(luò)間諜”的行為。

APT針對(duì)木馬類的竊取軟件非常有效，建議APT裝在蜜罐和辦公電腦后面，這樣既可以將辦公電腦殺毒軟件沒檢查出來的病毒、木馬、惡意程序等及時(shí)報(bào)告給管理者，又可以監(jiān)測(cè)蜜罐中是否有病毒。網(wǎng)絡(luò)安全管理員可以及時(shí)通過交換機(jī)封住該員工的網(wǎng)絡(luò)端口并告知該職工電腦已經(jīng)中毒，應(yīng)立即處理。這樣可以有效防止病毒借助該員工的電腦為“跳板”去攻擊別人。

5.5 防火墻

防火墻的功能主要在于及時(shí)發(fā)現(xiàn)并處理計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行時(shí)可能存在的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)葐栴}，其中處理措施包括隔離與保護(hù)，同時(shí)可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全當(dāng)中的各項(xiàng)操作實(shí)施記錄與檢測(cè)，以確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性。

防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。并且能禁止特定端口的通信流出，封鎖特洛伊木馬。最后，它還可以禁止來自特殊站點(diǎn)的訪問，從而防止來歷不明入侵者的所有攻擊。

所以每個(gè)區(qū)域之間(Ⅲ區(qū)與Ⅱ區(qū)之間除外)必須用防火墻，防火墻針對(duì)IP或端口固定的攻擊非常有效，它可以隔斷大量的IP和端口，只允許開個(gè)別管理IP和個(gè)別端口的計(jì)算機(jī)進(jìn)入該區(qū)，其他設(shè)備全部會(huì)檔在防火墻外面。堡壘機(jī)與外部因特網(wǎng)之間可以裝個(gè)“隱蔽防火墻”，平時(shí)不做任何限制，當(dāng)堡壘機(jī)被攻破后再發(fā)揮功效。

雖然防火墻有許多優(yōu)點(diǎn)，但也有缺點(diǎn)，比如：防火墻主要是限制IP和端口出入情況，如果IP是變動(dòng)的或者端口未知又或者一個(gè)端口控制了多個(gè)軟件，那么這個(gè)時(shí)候防火墻就很難限制了。

針對(duì)防火墻的這個(gè)缺點(diǎn)，有個(gè)設(shè)備正好彌補(bǔ)了防火墻的缺點(diǎn)，它就是IPS。

5.6 IPS

針對(duì)防火墻的這個(gè)缺點(diǎn)，入侵防御系統(tǒng)(IPS: Intrusion Prevention System)是電腦網(wǎng)絡(luò)安全設(shè)施，是對(duì)防病毒軟件和防火墻的補(bǔ)充。入侵防御系統(tǒng)是一個(gè)能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠及時(shí)地中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。

IPS針對(duì)防火墻“漏網(wǎng)之魚”的彌補(bǔ)，建議IPS放在每個(gè)防火墻后面，可以彌補(bǔ)防火墻天生的缺陷，并且與IDS不同的是，監(jiān)視到有傷害性的網(wǎng)絡(luò)行為后，可以立即中斷、調(diào)整或隔離，而IDS只能監(jiān)視和報(bào)告，不具備中斷、調(diào)整或隔離的功能。

5.7 網(wǎng)絡(luò)安全隔離裝置(正向型)

網(wǎng)絡(luò)安全隔離裝置(正向型)是位于調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與公用信息網(wǎng)絡(luò)之間的一個(gè)安全防護(hù)裝置，用于安全區(qū)I/II到安全區(qū)III的單向數(shù)據(jù)傳遞。它可以識(shí)別非法請(qǐng)求并阻止超越權(quán)限的數(shù)據(jù)訪問和操作，從而有效地抵御病毒、黑客等通過各種形式發(fā)起的對(duì)電力網(wǎng)絡(luò)系統(tǒng)的惡意破壞和攻擊活動(dòng)，保護(hù)實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全；同時(shí)它采用非網(wǎng)絡(luò)傳輸方式實(shí)現(xiàn)這兩個(gè)網(wǎng)絡(luò)的信息和資源共享，并且采用安全算法保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。

物理上控制反向傳輸芯片的深度為4個(gè)字節(jié)，在物理上實(shí)現(xiàn)了數(shù)據(jù)流的純單向傳輸，數(shù)據(jù)只能從內(nèi)網(wǎng)流向外網(wǎng)。

網(wǎng)絡(luò)專用安全隔離裝置(正向型)必須放在Ⅱ區(qū)到Ⅲ區(qū)之間，Ⅱ區(qū)到Ⅲ區(qū)是生產(chǎn)控制大區(qū)和管理信息大區(qū)的邊界，此裝置兩邊的設(shè)備是無法用PING命令的，裝置實(shí)現(xiàn)兩個(gè)安全區(qū)之間的非網(wǎng)絡(luò)方式的安全數(shù)據(jù)交換，并且保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通。假設(shè)入侵者已經(jīng)在Ⅲ區(qū)了，其雖然能得到少部分?jǐn)?shù)據(jù)，但不知道數(shù)據(jù)是從何而來，且得到的數(shù)據(jù)都是被算法處理過的，所以入侵者想要破壞生產(chǎn)控制大區(qū)的設(shè)備是極困難的。

5.8 網(wǎng)絡(luò)安全隔離裝置(反向型)

網(wǎng)絡(luò)安全隔離裝置(反向型)是位于兩個(gè)不同安全防護(hù)等級(jí)網(wǎng)絡(luò)之間的安全防護(hù)裝置，用于低安全區(qū)向高安全防護(hù)區(qū)的單向數(shù)據(jù)傳遞。裝置采用電力專用隔離卡，只傳輸采用E語言格式書寫的文本文件，裝置對(duì)E語言文件進(jìn)行合規(guī)檢查，實(shí)現(xiàn)這兩個(gè)網(wǎng)絡(luò)的信息和資源安全傳遞，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。

此裝置將嵌入式內(nèi)核進(jìn)行了裁剪和優(yōu)化。目前，內(nèi)核中只包括用戶管理﹑進(jìn)程管理，裁剪掉TCP/IP協(xié)議棧和其他不需要的系統(tǒng)功能，進(jìn)一步提高了系統(tǒng)安全性和抗攻擊能力，防止黑客對(duì)操作系統(tǒng)的攻擊，并有效抵御DoS/DDoS攻擊。

網(wǎng)絡(luò)專用安全隔離裝置(反向型)必須放在Ⅱ區(qū)到Ⅲ區(qū)之間，網(wǎng)絡(luò)安全隔離裝置(反向型)是針對(duì)數(shù)據(jù)從Ⅲ區(qū)到Ⅱ區(qū)的單向隔離裝置，如果沒有數(shù)據(jù)從Ⅲ區(qū)到Ⅱ區(qū)，可以不裝此設(shè)備。

5.9 縱向加密認(rèn)證裝置

縱向加密認(rèn)證裝置是用于保護(hù)電力專用、電力調(diào)度、數(shù)據(jù)網(wǎng)、路由器和電力系統(tǒng)的局域網(wǎng)之間通信安全的電力專用網(wǎng)關(guān)機(jī)。該裝置實(shí)現(xiàn)了對(duì)電力數(shù)據(jù)的安全防護(hù)，避免了數(shù)據(jù)的丟失和信息的外泄等，保證了電力數(shù)據(jù)傳輸?shù)姆€(wěn)定性、可靠性和及時(shí)性。認(rèn)證裝置的密碼包括對(duì)稱加密算法、非對(duì)稱加密算法、隨機(jī)數(shù)生成算法等，從而使縱向加密認(rèn)證裝置更安全，以實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)。

裝置的管理系統(tǒng)不僅能設(shè)置和查詢加密認(rèn)證網(wǎng)關(guān)，而且能夠?qū)崿F(xiàn)對(duì)數(shù)字證書的管理及密鑰的初始化，對(duì)加密認(rèn)證網(wǎng)關(guān)的工作模式、狀態(tài)等進(jìn)行查詢和設(shè)置，并對(duì)各個(gè)加密裝置實(shí)施有效的監(jiān)控和管理。

縱向加密認(rèn)證裝置必須裝在同級(jí)區(qū)域上下級(jí)調(diào)度之間，該裝置可以為電力調(diào)度部門上下級(jí)控制中心多個(gè)業(yè)務(wù)系統(tǒng)之間的實(shí)時(shí)數(shù)據(jù)交換提供認(rèn)證與加密服務(wù)，實(shí)現(xiàn)端到端的選擇性保護(hù)，保證電力實(shí)時(shí)數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性、機(jī)密性、完整性和可靠性。

5.10 針對(duì)硬件漏洞的入侵

每個(gè)廠家生產(chǎn)出來的硬件都有漏洞的，入侵者可以通過漏洞繞過該硬件。如果用了同一廠家的設(shè)備，入侵者只需要跳過該廠家的一個(gè)漏洞就能入侵整個(gè)電力生產(chǎn)系統(tǒng)。

解決方案為防火墻、隔離裝置不可依賴同一廠家的設(shè)備。

如果全部用不同廠家的設(shè)備，入侵者需要尋找不同廠家設(shè)備漏洞才行，這樣就變相增加了入侵難度。如果條件允許，應(yīng)該盡可能地用不同廠家的防護(hù)設(shè)備。比如外部公共因特網(wǎng)與Ⅳ區(qū)之間用A防火墻，Ⅳ區(qū)與Ⅲ區(qū)之間用B防火墻，Ⅲ區(qū)與Ⅱ區(qū)之間用C正向型隔離裝置和D反向型隔離裝置，Ⅱ區(qū)與Ⅰ區(qū)之間用E防火墻。這樣入侵者想破壞生產(chǎn)區(qū)系統(tǒng)需要攻克A防火墻、B防火墻、C正向型隔離裝置和D反向型隔離裝置，想破壞實(shí)時(shí)控制區(qū)系統(tǒng)還需要額外攻克E防火墻。因?yàn)锳、B、C、D、E設(shè)備出自不同的生產(chǎn)廠家，他們?cè)O(shè)備的漏洞就不一樣。入侵者的攻克方式也要變換。就算入侵者本領(lǐng)在大，可以攻克所有不同廠家的防御設(shè)備也需要很長的時(shí)間。在此期間，巡檢人員在設(shè)備系統(tǒng)安全定期巡檢時(shí)會(huì)發(fā)現(xiàn)系統(tǒng)異常，從而發(fā)現(xiàn)有入侵者。

圖1的設(shè)計(jì)就是充分利用了各個(gè)防護(hù)設(shè)備的優(yōu)點(diǎn)，彌補(bǔ)各個(gè)設(shè)備的缺點(diǎn)，各個(gè)設(shè)備相互配合，共同抵御入侵者。

6 人員管理措施

雖然軟件和硬件的共同防護(hù)可以大大提高抵御病毒和木馬的能力，但是如果員工網(wǎng)絡(luò)安全意識(shí)差，病毒和木馬還是會(huì)通過其他介質(zhì)直接傳到公司計(jì)算機(jī)中，從而感染計(jì)算機(jī)。所以要提高員工網(wǎng)絡(luò)安全意識(shí)，定制網(wǎng)絡(luò)安全管理制度，具體按照以下幾個(gè)方面：

及時(shí)處理系統(tǒng)漏洞，持續(xù)提升員工網(wǎng)絡(luò)安全意識(shí)。

禁止開發(fā)和運(yùn)維人員電腦中保存用戶名、密碼等敏感信息。

解散除企業(yè)微信外其他即時(shí)通訊軟件上的工作聯(lián)系群。

嚴(yán)控外來人員，及時(shí)核準(zhǔn)人員身份。

IT運(yùn)維須通過審批流程申報(bào)，嚴(yán)禁通過電話等其他聯(lián)系方式私自處理。

梳理信息系統(tǒng)資產(chǎn)，及時(shí)填報(bào)到網(wǎng)絡(luò)安全管理系統(tǒng)，確保信息資產(chǎn)完備。

嚴(yán)禁在互聯(lián)廣域網(wǎng)中傳遞或保存用戶名、密碼、拓?fù)鋱D、漏洞整改報(bào)告等敏感信息。

關(guān)閉在公有云上搭建的與公司有關(guān)聯(lián)的應(yīng)用系統(tǒng)。排查供應(yīng)商是否違規(guī)使用公司標(biāo)識(shí)或公司名稱。

按最小化權(quán)限策略設(shè)置各單位Ⅲ區(qū)到Ⅳ區(qū)和各區(qū)域廣域網(wǎng)出口防火墻等安全設(shè)備。

辦公網(wǎng)絡(luò)需安裝終端管控軟件和殺毒軟件，開啟防火墻，做好計(jì)算機(jī)本地安全措施。

開展網(wǎng)絡(luò)安全隱患排查和安全加固工作，提高安全防范能力。

全面落實(shí)值班值守制度，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊情況要迅速處理并及時(shí)報(bào)公司信息部。

清理信息系統(tǒng)的遠(yuǎn)程維護(hù)功能。生產(chǎn)控制大區(qū)嚴(yán)禁開通遠(yuǎn)程維護(hù)。

嚴(yán)禁點(diǎn)擊郵箱、短信、微信等互聯(lián)網(wǎng)應(yīng)用中來路不明的鏈接和附件，嚴(yán)禁通過外部郵箱轉(zhuǎn)發(fā)公司內(nèi)部郵件。

辦公電腦須設(shè)置屏保和超時(shí)休眠機(jī)制，下班后須關(guān)閉電腦，及時(shí)更新操作系統(tǒng)補(bǔ)丁。

辦公電腦不下載使用除辦公需要以外的軟件。

生產(chǎn)控制大區(qū)信息系統(tǒng)有明確的安全責(zé)任部門、責(zé)任人，對(duì)系統(tǒng)運(yùn)行、維護(hù)、使用人員進(jìn)行分類分級(jí)授權(quán)管理，定期巡檢。

涉及與信息系統(tǒng)相關(guān)的項(xiàng)目，應(yīng)與系統(tǒng)開發(fā)商、維保單位簽訂《網(wǎng)絡(luò)安全保密協(xié)議》。

生產(chǎn)控制大區(qū)計(jì)算機(jī)對(duì)必需保留的軟驅(qū)、光驅(qū)和端口應(yīng)加強(qiáng)管控，并建立臺(tái)賬。

禁止在生產(chǎn)控制大區(qū)主機(jī)和生產(chǎn)專用便攜機(jī)安裝非工作需要的軟件。

生產(chǎn)專用便攜機(jī)和移動(dòng)硬盤嚴(yán)禁跨區(qū)使用或接入互聯(lián)網(wǎng)。生產(chǎn)控制大區(qū)禁止使用U盤、外來調(diào)試計(jì)算機(jī)和移動(dòng)存儲(chǔ)介質(zhì)。

制訂和完善生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期開展應(yīng)急演練。

7 思考與建議

隨著科學(xué)技術(shù)的發(fā)展，仍然會(huì)有新的病毒和木馬甚至是未知領(lǐng)域的東西會(huì)對(duì)水電站的網(wǎng)絡(luò)安全構(gòu)成威脅，所以圖1的方案并非一勞永逸。這些新型病毒、木馬可以通過系統(tǒng)某個(gè)必須開放的端口入侵，而這個(gè)端口是存在漏洞的，入侵者就是利用這個(gè)漏洞來入侵他人系統(tǒng)；也可以通過某個(gè)硬件上的漏洞來入侵，比如：在CPU出廠前先裝個(gè)后門程序。希望科研人員探索開發(fā)一款新軟件，作用類似“白細(xì)胞”。

病毒、木馬已經(jīng)入侵系統(tǒng)后，只靠殺毒軟件是無法完全清除的，殺毒軟件殺的病毒必須在其病毒庫或者特征庫里面。但新病毒、木馬大多數(shù)會(huì)不在其病毒庫里面，等病毒、木馬已經(jīng)達(dá)到其破壞目的后，再由殺毒軟件公司發(fā)現(xiàn)這個(gè)新病毒，提供病毒更新包，最后才能去殺毒，這樣對(duì)企業(yè)來說損失是很大的。

殺毒軟件好比一個(gè)人的免疫抗體，它是有針對(duì)性的。白細(xì)胞根據(jù)入侵者的趨勢(shì)進(jìn)行防御。如果該文件的趨勢(shì)化是破壞系統(tǒng)，那么“白細(xì)胞”會(huì)自動(dòng)吞噬該文件，這步吞噬操作不需要特征庫和病毒庫。被吞噬的文件處于停止執(zhí)行任何操作的狀態(tài)，可由人來判斷是否是一個(gè)病毒文件，最后決定是否刪除。因此，該功能如果過于“敏感”，則會(huì)大大降低原有系統(tǒng)的效率，還會(huì)出現(xiàn)大量誤報(bào)情況影響生產(chǎn)。如果過于“遲鈍”，則很難觸發(fā)使其發(fā)揮作用，從而無法有效地吞噬入侵者。所以要控制該功能的“敏感度”，讓其既能發(fā)揮作用又不降低原有系統(tǒng)的效率。

8 結(jié) 語

互聯(lián)網(wǎng)加速了世界各國經(jīng)濟(jì)社會(huì)發(fā)展的高度融合，沒有網(wǎng)絡(luò)安全就沒有國家安全?；诠I(yè)互聯(lián)網(wǎng)、現(xiàn)代信息技術(shù)的大型水電站的監(jiān)控智能化水平不斷提升，為保證大型水電站的運(yùn)行安全，需要在已有的安全防護(hù)措施基礎(chǔ)上不斷更新提升安全防護(hù)水平，以確保事關(guān)國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。