技術分享 | 水電電力監控系統工控安全典型實踐案例

1、行業背景

近年來，電力行業中的自動化與控制系統的網絡安全問題受到關注與重視。網絡安全防護措施不再是“錦上添花”，而是至關重要。在過去10年內，包括水電站在內的各種電站均配有自動化保護與控制系統。基于開放式標準(如:IEC61850或者IEC60870-5-104)并采用可靠以太網技術進行開發，使不同廠家間的產品和系統間實現了操作互通。

系統越來越復雜，互聯也越來越多，為電站的運行人員提供了更多信息，進一步提高了實時監控水平。該變化不是發生在單個電站，而是涉及到整個公用設施系統。隨伴著電力能源市場中電廠控制系統、調度和交易系統之間網絡通信應用的穩步發展，公用設施系統發展可謂是與時俱進，。

從經營角度看，先進技術帶來了巨大效益，但與傳統工業控制系統面臨的問題類似，電站業主和運行人員也面臨網絡安全威脅。過去幾年來，電力工業領域網絡攻擊事件顯著上升，控制系統中發現的漏洞也越來越多。國家主席習近平強調：“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障”。水電廠作為重要基礎設施，重要性高且具有一定的戰略意義，一旦遭受攻擊影響巨大，較易成為敵對勢力攻擊的目標。因此如何更有效的結合水電廠既有防護措施和業務系統，提高安全防護等級，保障業務持續穩定，是一個需要考慮的關鍵問題。

2、政策依據

? 工信部2011年下發451號文件《關于加強工業控制系統信息安全管理的通知》，明確規定加強重點領域工控信息系統安全管理措施

? 《中華人民共和國網絡安全法》

? 《信息安全技術 網絡安全等級保護基本要求》

? 《工業控制系統信息安全防護指南》

? 《電力監控系統安全防護規定》（國家發改委2014年第14號令）

? 《電力監控系統安全防護總體方案》（國能安全〔2015〕36號附件1）

? 《發電廠監控系統安全防護方案》（國能安全〔2015〕36號附件4）

3、客戶簡介

該電站是云南省實施西部大開發戰略的標志性工程和國家西電東送的骨干電源和重點工程，是瀾滄江河段梯級電站的“龍頭水庫”。工程以發電為主，兼有防洪、灌溉、攔沙及航運等綜合利用效益。電站裝機容量百萬級kW，是中國目前水電站單機容量最大的電站之一。

1、業務場景分析

該電站設置安全監管與預警平臺系統，整個系統以“分層管理、集中控制”為原則,在物理邏輯上分為兩級:上位機控制級和現地單元控制級。其中按照電站實際情況,上位機控制級又在地理位置上劃分為地下控制級和地上控制級。電站按“無人值班”、集控中心遠方監控的設計原則配置自動控制設備，其計算機監控系統監控對象包括了全廠所有設備。由于機組容量大、需要監視控制的設備多,因此它必須要求系統先進、可靠、安全。

2、安全需求分析

現電廠生產控制系統中，生產控制大區與管理信息區已實現單向隔離，與集控中心及調度遠動通道已實現縱向加密，控制Ⅰ區與Ⅱ區邏輯隔離。但與此同時，當前的安全措施也存在一定的不足，網絡邊界防護、監控大區病毒防護、安全審計、操作系統加固等還不完善，具體需求如下：

√?需要滿足《電力監控系統安全防護總體方案》（36號文）有關電廠安全防護的相關要求，需要滿足電網的電力調度安全防護和國家能源局電力監控系統安全防護的重點要求；

√?目前水電廠內各系統（各機組測溫系統、開關站系統、公用系統、廠用電系統和壩區系統等）之間未進行有效的網絡隔離，可隨意互訪，單區域或單節點遭受病毒感染或惡意攻擊將直接影響其它區域的正常運轉，尤其是底層控制系統，需按照相關要求采取安全隔離措施，防范病毒擴散及惡意攻擊行為對其它系統造成影響等；

√?隨著水電廠智能化、信息化等新技術的應用，“無人值班，少人值守”的遠程監控管理模式快速發展，機組和遠方集控中心通過網絡進行數據及控制指令傳輸，使生產控制大區遭受攻擊的風險增加，需采取相應手段對關鍵指令下發及誤操作等行為進行實時監測和告警；

√?發電廠生產控制系統中的管理終端（如服務器、工程師站、操作員站等）存在移動介質、串口設備、并口設備等外設使用和主機安全策略配置級別較低的情況，需采取有效措施對移動U盤等外設的使用進行管理，并增強主機安全防護能力；

√?電廠在執行特定工作(如系統調試和維護)時，需要通過本地方式接入第三方調試設備，就需要對接入的人員及終端設備采取有效的安全監管措施，需要重點管控維護過程中的關鍵操作行為并對所有操作行為進行取證。

3、實施特點分析

現場實施需要在以生產運行安全規范為基礎，不影響生產業務正常運行的前提下進行，完善電力生產控制及其信息安全體系框架，形成成熟的、自主可控的生產控制信息安全監管平臺安全建設方案，具體特點如下：

√?現場施工要求較高，施工流程嚴謹；

√?需克服實施現場環境比較復雜，施工位置較為偏遠的困難；

√??安全防護產品設計需要基于工業現場的特點：

? 專用通信協議或規約：專用通信協議或規約（Modbus、S7、IEC104等）直接使用或作為TCP/IP協議的應用層使用；

??升級困難：專有系統兼容性差、軟硬件升級較困難，一般很少進行系統升級，如需升級可能需要整個系統升級換代；

??系統故障響應：不可預料的中斷會造成經濟損失或災難，故障必須緊急響應處理；

??集中監控運維：生產現場地域跨度大，集中監控及運維管理尤為重要；

√??現場工業防火墻接入、配置等操作所在的網絡大部分是在線運行狀態，需保證對業務無影響；

√?現場在運行的主機或其他設備，有很大部分投入使用的時間久遠，對于重啟等常見操作存在風險，需要提前做好應急預案；

√?現場對機柜實施要求較高，需要克服機柜部署的難度。

1、解決方案

經過對現場網絡結構、主機設備、系統軟件、安全設備等運行情況進行安全調研和分析，識別出系統資產和脆性性，確認了水電站現場所存在的安全隱患和安全防護缺失項，明確了采用自主可控的工控安全核心技術的技術路線。為加強水電站網絡安全防護，構建的安全防護方案如下：

√?在各機組LCU與控制網絡之間部署工業防火墻，通過對Modbus協議進行深度解析與“白名單”控制功能，能有效保護電廠使用的施耐德Quantum系列PLC，防止針對PLC漏洞的惡意攻擊行為及違規操作；

√?在水電廠環網交換機上旁路部署工控安全監測與審計系統，對控制網絡中的網絡流量進行實時監測，特別是異常指令下發、違規操作等行為，同時記錄原始pcap文件，以便調查取證。

√?旁路部署入侵檢測設備，通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。

√?在主控層的工程師站、操作員站和服務器上部署主機加固系統，對系統中安全相關的設置進行全面掃描及策略設置，對關鍵業務進程、程序予以保護，建立白名單庫，將普通操作系統透明提升為安全操作系統，大大提高工業主機的安全性；

√?在控制環網交換機上部署安全運維管理系統，實現賬號統一管理、資源和權限統一分配、操作全程審計，提升運維過程的安全性。

√?通過統一安全管理平臺對所部署的安全設備進行統一的安全管理，包括策略下發、日志審計、報警展示等，簡化運維管理工作流程、提高運維管理工作效率。

2、實施方案

基于現場情況，為保證快速安全的實施，威努特針對各安全產品采取適用于現場的實施方案。

√?工業防火墻實施方案

? 安裝部署前先做好基礎配置、線纜鋪設等工作，施工前準備好風險應急措施；

? 現場為雙網雙線路，工業防火墻施工時，需先對備網進行斷網及設備部署，確認更換成功后再對主網進行斷網及設備部署，以保障實時業務的連續性；

? 在防火墻接入業務網后，前期開啟學習模式，自學習網絡中的工控協議；中期開啟告警模式以驗證工控協議白名單的有效性，并對白名單進行優化調整；最后驗證策略無誤后開啟防護模式，實現網絡防護。

防火墻實施過程中，除了插拔網線短暫的時間，對整體網絡的業務運行幾乎未產生影響。

√?核心交換機更換方案

因多臺設備需要旁路部署到核心交換機，當前核心交換機端口數量已不滿足要求，且交換機無法滿足N:1的鏡像，因此需要更換。

? 為避免更換對實時業務產生影響，實施前先對兩臺核心交換機進行檢查、備份，并使用同一型號的交換機進行靜態測試；

? 對所有節點網絡通訊進行檢查，再按照先備網交換機更換后主網交換機更換的步驟進行操作；

? 更換后，充分檢查，確保通訊正常。

√?主機加固實施方案

? 先在簡單的、相對不重要的、備用的服務器上實施，在實施過程中早發現、早處理異常問題，盡量避免在重要服務器系統實施過程中出現問題而造成大的影響。

? 施工前先選擇1臺相同安裝環境的機器進行安全加固靜態測試，充分驗證后再進行實施。

? 統一安全管理平臺、工控安全監測與審計系統、入侵檢測設備、安全運維管理系統實施方案

? 這些設備均為旁路部署模式，并且核心交換機已經更換完畢，做好鏡像配置后直接部署，對現場的業務不會產生任何影響。

3、運維方案

基于電廠業務的重要性及運維需求，以客戶網絡安全的總體框架為基礎、以安全策略為指導，配備經驗豐富的安全運維團隊、借助專業的技術工具、依托成熟的服務管理體系，為客戶提供完善的安全運維服務，幫助客戶發現并處理日常安全問題、規范安全運維流程、促進安全管理制度落地。運維服務內容包括：安全培訓、安全巡檢、應急響應等。

√?安全培訓面向管理和操作人員，培訓前提供詳細的培訓材料，講解工控系統目前面臨的威脅態勢、當前解決方案的特點、產品功能實現方式、安全策略配置、簡單故障處理和應急操作等內容；

√?通過定期安全巡檢，能夠發現系統運行異常。安全巡檢的目的在于發現和消除系統安全隱患，保障系統的正常平穩的運行，能更好地摸清系統運行環境情況。巡檢采用人工訪談、現場檢查、工具檢查等方式對系統運行狀況及告警情況進行檢查，收集相關信息進行分析，并結合客戶實際需求進行整改；

√?由于突發安全事件的不確定性，為提高快速處理突發事件的能力，縮短響應時間，保證水電廠系統的安全、可靠運行，威努特提供完善的應急響應服務。應急響應能夠向客戶提供必須的資源來處理突發事件，從而減少可能造成的損失。

通過為水電廠提供“以安全技術為支撐，以安全服務為保障”的安全運維方案，提升了網絡安全投入與產出比，增強電廠整個控制網絡的安全預警能力、安全防護能力和安全審計能力。

1、防護方案特點描述

通過建立可信任網絡“白環境”和“白名單”防護理念，以自主可控的核心技術投入，以完全符合工業現場的產品設計，為電廠構筑 “安全白環境”整體防護體系，保護電廠生產控制系統信息安全監管與預警平臺系統設施的穩定運行，達到“只有可信任的設備，才能接入控制網絡”、“只有可信任的消息，才能在網絡上傳輸”、“只有可信任的軟件，才允許被執行”的防護效果。該方案打破了傳統“黑”的防護模式，打破工控安全信息孤島，以更符合工業現場特性的防護手段，以“一個中心，三重防護”的防御體系，將傳統的“被動防護”轉化為“主動防御”。

2、應用價值

√??解決方案具有完全自主的知識產權，滿足《電力監控系統安全防護總體方案》（36號文）要求；

√?有效檢測工業網絡中通信異常和協議異常并進行阻斷，實現控制系統的安全網絡隔離、訪問控制以及專用工控協議的深度解析，避免關鍵控制設備被攻擊，防止造成重大生產事故、人員傷亡和不良社會影響；

√?提升了現有操作系統的安全等級，有效的防止來自內部的誤操作和惡意操作；

√?對服務器日常訪問、操作進行監控和審計，實現對用戶運維過程的標準化管理；

√?實時監測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播，幫助客戶及時采取應對措施，避免發生安全事故；

√?將工控網絡中的安全設備和系統統一管理，減少管理人員的工作量，降低企業人力資源的投入，通過技術手段彌補人工管理方式上的不足，提高企業工控網絡安全管理效率；

√?實現水電站總體安全現狀分析，幫助客戶實時了解自身安全狀況，并提供簡便易用的回溯功能，為工業控制系統安全事故調查提供技術手段；

√?全面提高生產控制網絡的整體安全性，為水電廠安全生產保駕護航。