水電站監(jiān)控系統(tǒng)安全防護體系研究

荊 芳，葛創(chuàng)杰

（黃河勘測規(guī)劃設計研究院有限公司，河南 鄭州 450003）

0 引言

水電站樞紐工程是水利關鍵信息基礎設施，也是區(qū)域電網(wǎng)的重要電源節(jié)點[1]。水電站監(jiān)控系統(tǒng)作為水電站樞紐工程的核心業(yè)務系統(tǒng)，直接關系到閘門、水泵、發(fā)電機組等重要設備的管理運行，安全影響巨大。隨著工業(yè)化和信息化的加速融合，新技術越來越多地使用，在提高自動化水平的同時，工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)）和企業(yè)管理系統(tǒng)的連接更加密切，系統(tǒng)間的跨區(qū)交互越來越多，導致原本獨立、封閉的工控系統(tǒng)更加開放，更易受到外部沖擊[2]。

近年來網(wǎng)絡安全事件頻發(fā)，針對電力、石油、水利等關鍵基礎設施的高級可持續(xù)攻擊和數(shù)據(jù)竊取行為越來越頻繁。國內(nèi)二灘水電廠控制系統(tǒng)受到異常信號攻擊、伊朗核電站“震網(wǎng)”病毒、委內(nèi)瑞拉電網(wǎng)控制計算機遭到攻擊等諸多網(wǎng)絡攻擊事件，充分暴露了關鍵基礎設施信息安全防御的脆弱性，針對包括水利工程在內(nèi)的重要基礎設施的復雜信息攻擊愈演愈烈[3]，因此，需要重新審視關鍵基礎設施存在的信息安全風險。為避免黑客入侵、病毒感染、數(shù)據(jù)被竊取等安全風險，最大限度地保障水利工控系統(tǒng)安全平穩(wěn)運行，針對典型水電站工程開展深入調(diào)研，充分掌握工程實際狀況及現(xiàn)行管理措施，深入剖析水利工控系統(tǒng)安全風險及問題，針對性地提出一套完善的水電站監(jiān)控系統(tǒng)縱深防御安全體系。

1 水電站監(jiān)控系統(tǒng)概述

1.1 基本構成及業(yè)務流程

水電站主要由擋水、泄水、取水等建筑物及發(fā)電廠房組成，實現(xiàn)防洪、發(fā)電、灌溉、調(diào)水調(diào)沙等功能。監(jiān)控系統(tǒng)是水電站實現(xiàn)遠程自動化控制的重要途徑[4]，其中最為重要的 2 項功能分析如下：

1）發(fā)電控制功能。一般情況下，在收到電力調(diào)度部門下發(fā)的發(fā)電指令后，現(xiàn)場操作人員登錄監(jiān)控系統(tǒng)發(fā)電控制界面，發(fā)電業(yè)務以單個機組為單元進行操作，點擊啟動按鈕，系統(tǒng)將自動運行空轉、空載、并網(wǎng)發(fā)電等業(yè)務流程，期間需要持續(xù)關注油壓、轉子轉速、機組溫度、隔離閥、油壓閥、電源開關等狀態(tài)是否正常，業(yè)務流程如圖 1 所示。

2）閘門控制功能。閘門控制一般有現(xiàn)地和遠方2 種控制方式，現(xiàn)地控制權優(yōu)先遠方控制權。正常情況下，閘門控制多采用遠方控制方式，由操作人員通過監(jiān)控系統(tǒng)閘門控制界面下發(fā)閘門啟閉指令，現(xiàn)地控制單元接收指令后，依照事先注入 PLC（可編程邏輯控制器）的控制邏輯，依次啟動油壓、動力等裝置，期間監(jiān)視油泵啟停信號、系統(tǒng)壓力、缸旁壓力、閘門開度信號等，一旦發(fā)現(xiàn)異常立即停機，業(yè)務流程如圖 2 所示。

1.2 系統(tǒng)架構

圖1 發(fā)電控制業(yè)務流程圖

圖2 開閘控制業(yè)務流程圖

水電站監(jiān)控系統(tǒng)是一個集計算機、控制、通信、網(wǎng)絡、電力電子設備于一體的綜合自動化系統(tǒng)，多以獨立的局域網(wǎng)形式存在，主要實現(xiàn)設備運行監(jiān)視、控制調(diào)節(jié)及操作、日志報告統(tǒng)計、發(fā)電自動控制、有功和無功功率自動調(diào)節(jié)等功能[5]。

隨著水電站信息化程度的飛速發(fā)展，設計時網(wǎng)絡獨立部署的水電站監(jiān)控系統(tǒng)越來越多地與其他業(yè)務系統(tǒng)產(chǎn)生數(shù)據(jù)交換，目前與外部連接呈現(xiàn)“一網(wǎng)多系統(tǒng)”的特點：“一網(wǎng)”指電力調(diào)度網(wǎng)，監(jiān)測系統(tǒng)經(jīng)通信服務器接入電力調(diào)度網(wǎng)，向電力網(wǎng)發(fā)送發(fā)電過程的監(jiān)測數(shù)據(jù)，接收來自電力系統(tǒng)的調(diào)度信息；“多系統(tǒng)”指水電站內(nèi)部的其他業(yè)務系統(tǒng)，如水調(diào)自動化、數(shù)字孿生、生產(chǎn)管理等系統(tǒng)，其他業(yè)務系統(tǒng)一般需要從監(jiān)控系統(tǒng)獲取機組發(fā)電狀態(tài)、閘門開度及狀態(tài)、發(fā)電量數(shù)據(jù)等現(xiàn)場監(jiān)測數(shù)據(jù)。

水電站監(jiān)控系統(tǒng)分為過程監(jiān)控層和現(xiàn)場控制層，系統(tǒng)架構如圖 3 所示。上層為過程監(jiān)控層，即廠級計算機監(jiān)控系統(tǒng)，主要負責監(jiān)督和控制系統(tǒng)各環(huán)節(jié)物理過程的功能實現(xiàn)，如操作員站負責現(xiàn)場設備運行狀態(tài)監(jiān)視，工程師站負責系統(tǒng)維護與功能調(diào)試，數(shù)據(jù)庫服務器負責歷史數(shù)據(jù)存儲，語音報警工作站負責故障報警等。下層為現(xiàn)場控制層，一般由多個現(xiàn)地控制單元組成，以實現(xiàn)現(xiàn)場控制為主要目的，包括面向設備的指令下發(fā)、從傳感器讀取數(shù)據(jù)、維護過程歷史記錄等功能，涉及的設備包括 PLC、繼電器、供電單元、交換機、集線器等。過程監(jiān)控層與現(xiàn)場控制層之間一般由雙光纖以太網(wǎng)組網(wǎng)，通常使用工業(yè)以太網(wǎng)協(xié)議進行通信。

圖3 水電站監(jiān)控系統(tǒng)及安全防護體系架構圖

2 水電站監(jiān)控系統(tǒng)安全風險

通過對水電站監(jiān)控系統(tǒng)的實地調(diào)研，結合工控模擬場景漏洞挖掘工作，從技術和管理 2 個方面梳理監(jiān)控系統(tǒng)面臨的安全風險。

2.1 技術安全風險

2.1.1 區(qū)域邊界風險

主要面臨以下區(qū)域邊界風險：

1）數(shù)據(jù)跨區(qū)交互引發(fā)風險橫移。水調(diào)自動化、數(shù)字孿生等業(yè)務系統(tǒng)一般會與公共網(wǎng)絡連接，通過防火墻接入監(jiān)控系統(tǒng)，客觀上打通 1 條外部網(wǎng)絡到監(jiān)控網(wǎng)絡的通路，存在外部入侵跨區(qū)橫移的風險，一旦被黑客組織攻入上位機服務器，水電站核心設備可能會被非法控制，極易引發(fā)重大安全生產(chǎn)事故。

2）現(xiàn)場控制層各控制單元防護缺失。各 LCU（現(xiàn)地控制單元）接入同一臺交換機，之間沒有相互隔離的防護措施，一旦某個 LCU 被蠕蟲病毒感染，將造成 LCU 之間互相感染，易引發(fā)群體中毒事件。

2.1.2 通信網(wǎng)絡風險

主要面臨以下通信網(wǎng)絡風險：

1）網(wǎng)絡流量缺乏監(jiān)控和審計。上位機與 LCU之間通信流量缺乏必要的監(jiān)測和審計，難以對非法操作進行監(jiān)控和溯源。

2）串行流量缺乏監(jiān)視和檢測。缺乏對現(xiàn)場總線網(wǎng)絡有效通信流量的監(jiān)視和檢測，難以及時發(fā)現(xiàn)威脅流量并進行預警。

3）數(shù)據(jù)傳輸缺少加密認證機制。LCU 內(nèi)部存在Modbus，Profibus，Modbus Plus 等串行通信協(xié)議，這些協(xié)議都是多年前設計的，缺乏加密和認證機制[6]，易造成數(shù)據(jù)被竊取、被篡改等問題，無法抵擋拒絕服務、中間人、重放等常見的攻擊手段。

2.1.3 計算環(huán)境風險

主要面臨以下計算環(huán)境風險：

1）操作系統(tǒng)漏洞風險。當前很多水利工控場景的主機和服務器仍采用 Windows XP，RedHat 等操作系統(tǒng)，存在較高的系統(tǒng)漏洞風險。

2）自主可控風險。當前水利工控系統(tǒng)的大部分工控設備及服務由國外廠商主導，設備可能留有“后門”，且存在大量漏洞，無法實現(xiàn)自主可控[7]。

3）主機病毒風險。主機未安裝殺毒軟件或安裝后無法及時更新，一旦被病毒感染，極易造成系統(tǒng)宕機。

4）組件間缺乏安全認證。監(jiān)控系統(tǒng)內(nèi)主機與主機之間、主機與人員之間、主機與移動存儲介質(zhì)之間、主機與 PLC 之間、PLC與PLC 之間、PLC 與移動存儲介質(zhì)之間缺乏認證手段，極易導致非法訪問、接入、操作等。

5）重要數(shù)據(jù)明文存儲風險。監(jiān)控系統(tǒng)中主機配置、歷史數(shù)據(jù)庫中積累的大量閘門操作等重要數(shù)據(jù)的存儲未采取加密措施，即使已有備份措施依然無法規(guī)避數(shù)據(jù)泄露、篡改風險。

2.2 管理安全風險

主要面臨以下管理安全風險：

1）安全管理制度落實不佳。存在未按規(guī)范流程升級病毒庫、賬號共享、弱口令、未定期更改密碼等問題，如 LCU 控制面板登錄時依然使用弱口令。

2）安全配置和補丁管理不到位。對端口禁用、遠程控制、默認賬戶管理等主機安全配置不夠細化，存在 Windows和Linux 等操作系統(tǒng)上線后一直運行的問題，且為確保系統(tǒng)穩(wěn)定，基本沒打過補丁。

3）移動存儲介質(zhì)缺少技術管控手段。雖然制定了移動存儲介質(zhì)管理規(guī)定，但在日常使用中，為圖方便，常出現(xiàn)即插即用的情況，導致數(shù)據(jù)拷貝行為無記錄，另外，U 盤也是一個重要的病毒感染路徑[8]。

4）未設置專職工控安全管理人員。存在工控安全工作由網(wǎng)絡安全部門統(tǒng)一管理的問題，網(wǎng)絡安全人員往往缺乏足夠的工控安全知識，不具備工控安全事件管理能力。

5）人員安全風險意識薄弱。未定期開展工控安全教育培訓，部分監(jiān)控系統(tǒng)工作人員缺乏足夠的風險意識，存在“系統(tǒng)從建成運行至今一直沒發(fā)生問題，以后也不會有問題”“系統(tǒng)在獨立的局域網(wǎng)內(nèi)，不會被外部入侵”等錯誤認識。

3 水電站監(jiān)控系統(tǒng)安全防護體系

針對水電站監(jiān)控系統(tǒng)面臨的安全風險，結合水電站監(jiān)控系統(tǒng)整體架構，根據(jù)《關鍵信息基礎設施安全保護要求》《水利網(wǎng)絡安全保護技術規(guī)范》《數(shù)字孿生水利工程建設技術導則（試行）》《電力監(jiān)控系統(tǒng)安全防護總體方案》要求，提出水電站監(jiān)控系統(tǒng)安全防護體系。防護體系基于多層、多維的安全思想，從區(qū)域邊界、通信網(wǎng)絡、計算環(huán)境等 3 個維度出發(fā)，涵蓋過程監(jiān)控層、網(wǎng)絡傳輸層、現(xiàn)場控制層 3 個層面，最終形成技術與管理協(xié)同、由外到內(nèi)的立體防御體系，防護體系架構見圖 3 中紅色部分。

3.1 區(qū)域邊界防護

區(qū)域邊界防護包括系統(tǒng)外部和內(nèi)部防護。依據(jù)《數(shù)字孿生水利工程建設技術導則（試行）》建議，將水電站監(jiān)控系統(tǒng)劃分到安全Ⅰ區(qū)，水調(diào)自動化、數(shù)字孿生等信息化系統(tǒng)橫跨Ⅱ，Ⅲ和Ⅳ區(qū)。監(jiān)控系統(tǒng)至外部系統(tǒng)的數(shù)據(jù)出口處部署工業(yè)隔離網(wǎng)閘，配置嚴格的數(shù)據(jù)流通策略，確保數(shù)據(jù)單向流動，阻斷通過跨安全區(qū)數(shù)據(jù)交互發(fā)生風險橫移的可能性。

在監(jiān)控系統(tǒng)內(nèi)部，通過在各 LCU 處部署安全網(wǎng)關，既能實現(xiàn)上層過程監(jiān)控層和下層現(xiàn)場控制層的安全隔離，形成 2 個安全子域，限制安全子域間的非法訪問，又能實現(xiàn)各 LCU 之間的邏輯隔離，阻斷蠕蟲、木馬等惡意程序的傳播擴散，即使某個 LCU 遭受攻擊，仍能保證其他控制器正常運行。

3.2 通信網(wǎng)絡防護

通信網(wǎng)絡的安全防護包括以下 2 個方面：

1）工業(yè)以太網(wǎng)。在交換機側旁路部署網(wǎng)絡安全審計、入侵檢測、漏洞掃描系統(tǒng)，對通信流量進行有效監(jiān)視和檢測。對各種敏感信息、違規(guī)行為進行實時告警響應，全面記錄網(wǎng)絡中的各種會話和事件，根據(jù)內(nèi)置工控規(guī)則庫，實現(xiàn)針對工控攻擊行為的準確檢測，定期開展工控網(wǎng)絡漏洞掃描并及時修補漏洞，實現(xiàn)對工控網(wǎng)絡風險的全程跟蹤定位和監(jiān)測審計。

2）現(xiàn)場總線。對于現(xiàn)場總線網(wǎng)絡，目前多基于Modbus，Profibus，Modbus Plus 等協(xié)議進行串口通信。在線路中串入通信監(jiān)測模塊，可對總線協(xié)議進行深度解析，對網(wǎng)絡流量進行實時監(jiān)測，基于內(nèi)置特征庫對異常行為進行報警。

3.3 計算環(huán)境防護

對操作員站、數(shù)據(jù)服務器等主機設備，可在主機部署主機加固系統(tǒng)，實現(xiàn)對操作系統(tǒng)的補丁更新，支持定期掃描并更新病毒庫，支持對進程運行、外接設備等事件的記錄與告警，并配備防病毒功能。對于PLC 等控制器，從信息和功能安全 2 個角度考量[9]：信息安全方面，做到對 PLC 本身操作行為的審計和編程設備的接入認證等；功能安全方面，設置內(nèi)存、連接數(shù)等安全閾值，一旦達到閾值，立即限制相關操作，以免造成設備物理損壞。

對組件間的安全認證，可采用基于商用密碼的數(shù)字簽名技術，為接入系統(tǒng)的用戶、移動設備及系統(tǒng)內(nèi)各組件間提供統(tǒng)一的身份鑒別和授權管理，保證只有授權合法用戶才有權訪問系統(tǒng)，授權設備才能接入系統(tǒng)。

數(shù)據(jù)安全存儲方面，由于涉及的數(shù)據(jù)體量較大，考慮系統(tǒng)性能，只對系統(tǒng)內(nèi)的關鍵核心數(shù)據(jù)進行加密存儲，使用 SM3 雜湊算法和 SM4 分組加密算法實現(xiàn)數(shù)據(jù)庫字段和配置文件存取的加/解密功能，借助服務器密碼機實現(xiàn)數(shù)據(jù)的實時加密存儲。

3.4 安全管理

安全是“三分技術、七分管理”[10]，一個完整的安全防御體系不能缺少安全管理的內(nèi)容。主要從以下8 個方面實現(xiàn)水電站安全管理：

1）設置專門工控安全管理崗位。由專人負責監(jiān)控系統(tǒng)的風險排查、安全維護工作，如具備條件，還應設立專門的工控系統(tǒng)安全管理機構，負責制定工控安全管理方案，統(tǒng)一管理工控系統(tǒng)的安全事宜。

2）做到細粒度權限管理。對關鍵 PLC 設備做好外部物理加固，保證授權人員通過鑰匙才能打開保護柜，為系統(tǒng)用戶設置相應的訪問權限，做到使用權、管理權、審計權分離。

3）定期開展安全風險評估工作。評估工作包括系統(tǒng)資產(chǎn)、威脅、脆弱性識別與分析，并做好漏洞掃描、病毒查殺、固件升級等工作。

4）做好接口和端口管控。拆除或封堵主機上多余的 USB，RJ45，DB9 等物理接口，阻斷病毒、木馬等通過移動介質(zhì)入侵的途徑，關閉 PLC 和主機上不必要的端口和服務，防止被惡意利用，降低系統(tǒng)運行風險。

5）制定安全管理制度。依據(jù)國家網(wǎng)絡安全要求及行業(yè)相關規(guī)定，建立一套適用于水電站監(jiān)控系統(tǒng)的安全管理制度，明確安全管理目標和任務。

6）保障系統(tǒng)運維安全。借助集中統(tǒng)一的管控平臺，全面集成安全設備資源，做到對安全設備的統(tǒng)一管理，同時要嚴格管理運維人員賬號及認證授權工作，防止權限濫用。

7）做好應急響應和處置。建立完善的應急響應預案，借助冗余設備搭建模擬工控場景，定期開展內(nèi)外部攻擊應急演練，對安全事件進行研判分析、響應處置，提高現(xiàn)場人員的應急能力和安全意識。

8）保障供應鏈安全。建立完善的供應鏈安全管理制度，優(yōu)先采購安全可信的工控產(chǎn)品和服務，并對供應商開展定期評估，及時消除安全隱患。

4 水電站工控安全防護發(fā)展方向

隨著信息化建設的不斷深入，水電站監(jiān)控系統(tǒng)將打破以往傳統(tǒng)的獨立網(wǎng)絡運行模式，更多與水調(diào)自動化、數(shù)字孿生等外部系統(tǒng)聯(lián)通，未來還有進一步擴大趨勢，必將面臨更多來自外部世界的風險挑戰(zhàn)。因此，須及早考慮水電站監(jiān)控系統(tǒng)安全防護水平的提檔升級，建議從以下 3 個方面推進：

1）打造自主可控體系。隨著國產(chǎn)化品牌的崛起，越來越多的水利工控系統(tǒng)在設計之初已經(jīng)考慮使用國產(chǎn)設備，應力爭做到全要素自主可控，將有效杜絕國外廠商留有“后門”的風險。

2）根植密碼安全基因。采用嵌入國產(chǎn)密碼芯片的可信 PLC、植入輕量級密碼算法的加密傳輸協(xié)議等，為水利工控系統(tǒng)注入密碼基因，形成國產(chǎn)密碼應用的一體化管理能力，以及面向服務的快速、集約、統(tǒng)一的支撐能力，提升內(nèi)生安全，解決身份仿冒、信息泄露、數(shù)據(jù)篡改等安全風險問題，強化密碼的統(tǒng)一管控力度，提升密碼管理應用的整體效能。

3）融入擬態(tài)防御技術。擬態(tài)防御可以有效應對“未知的未知”，即未知的漏洞、“后門”和攻擊造成的未知后果，基本思路是構建一種動態(tài)異構、冗余分布的系統(tǒng)架構，以變化的狀態(tài)迎接未知的外部威脅[11]。擬態(tài)防御技術實現(xiàn)需要耗費大量資源，與工控系統(tǒng)能否完美結合，仍需要大量實踐，將擬態(tài)防御融入傳統(tǒng)安全體系是現(xiàn)階段一種可行的架構方式。

5 結語

在對水電站監(jiān)控系統(tǒng)基本構成和業(yè)務現(xiàn)狀進行充分調(diào)研的基礎上，從技術和管理層面分析存在的安全風險，結果表明當前水電站監(jiān)控系統(tǒng)仍面臨較為嚴峻的外部威脅和復雜的內(nèi)部脆弱性。結合現(xiàn)行的國家和行業(yè)標準規(guī)范，技術層面上，提出一套針對水電站監(jiān)控系統(tǒng)的區(qū)域邊界-通信網(wǎng)絡-計算環(huán)境的縱深防御架構；管理層面上，針對現(xiàn)存的突出問題，給出針對性建議，從而形成一套較為完善的水電站監(jiān)控系統(tǒng)安全防護體系，對其他水利工控系統(tǒng)安全防護體系建設具有較好的指導意義。