技术分享 | 水电电力监控系统工控安全典型实践案例

1、行业背景

近年来，电力行业中的自动化与控制系统的网络安全问题受到关注与重视。网络安全防护措施不再是“锦上添花”，而是至关重要。在过去10年内，包括水电站在内的各种电站均配有自动化保护与控制系统。基于开放式标准(如:IEC61850或者IEC60870-5-104)并采用可靠以太网技术进行开发，使不同厂家间的产品和系统间实现了操作互通。

系统越来越复杂，互联也越来越多，为电站的运行人员提供了更多信息，进一步提高了实时监控水平。该变化不是发生在单个电站，而是涉及到整个公用设施系统。随伴着电力能源市场中电厂控制系统、调度和交易系统之间网络通信应用的稳步发展，公用设施系统发展可谓是与时俱进，。

从经营角度看，先进技术带来了巨大效益，但与传统工业控制系统面临的问题类似，电站业主和运行人员也面临网络安全威胁。过去几年来，电力工业领域网络攻击事件显著上升，控制系统中发现的漏洞也越来越多。国家主席习近平强调：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障”。水电厂作为重要基础设施，重要性高且具有一定的战略意义，一旦遭受攻击影响巨大，较易成为敌对势力攻击的目标。因此如何更有效的结合水电厂既有防护措施和业务系统，提高安全防护等级，保障业务持续稳定，是一个需要考虑的关键问题。

2、政策依据

 工信部2011年下发451号文件《关于加强工业控制系统信息安全管理的通知》，明确规定加强重点领域工控信息系统安全管理措施

 《中华人民共和国网络安全法》

 《信息安全技术 网络安全等级保护基本要求》

 《工业控制系统信息安全防护指南》

 《电力监控系统安全防护规定》（国家发改委2014年第14号令）

 《电力监控系统安全防护总体方案》（国能安全〔2015〕36号附件1）

 《发电厂监控系统安全防护方案》（国能安全〔2015〕36号附件4）

3、客户简介

该电站是云南省实施西部大开发战略的标志性工程和国家西电东送的骨干电源和重点工程，是澜沧江河段梯级电站的“龙头水库”。工程以发电为主，兼有防洪、灌溉、拦沙及航运等综合利用效益。电站装机容量百万级kW，是中国目前水电站单机容量最大的电站之一。

1、业务场景分析

该电站设置安全监管与预警平台系统，整个系统以“分层管理、集中控制”为原则,在物理逻辑上分为两级:上位机控制级和现地单元控制级。其中按照电站实际情况,上位机控制级又在地理位置上划分为地下控制级和地上控制级。电站按“无人值班”、集控中心远方监控的设计原则配置自动控制设备，其计算机监控系统监控对象包括了全厂所有设备。由于机组容量大、需要监视控制的设备多,因此它必须要求系统先进、可靠、安全。

2、安全需求分析

现电厂生产控制系统中，生产控制大区与管理信息区已实现单向隔离，与集控中心及调度远动通道已实现纵向加密，控制Ⅰ区与Ⅱ区逻辑隔离。但与此同时，当前的安全措施也存在一定的不足，网络边界防护、监控大区病毒防护、安全审计、操作系统加固等还不完善，具体需求如下：

√ 需要满足《电力监控系统安全防护总体方案》（36号文）有关电厂安全防护的相关要求，需要满足电网的电力调度安全防护和国家能源局电力监控系统安全防护的重点要求；

√ 目前水电厂内各系统（各机组测温系统、开关站系统、公用系统、厂用电系统和坝区系统等）之间未进行有效的网络隔离，可随意互访，单区域或单节点遭受病毒感染或恶意攻击将直接影响其它区域的正常运转，尤其是底层控制系统，需按照相关要求采取安全隔离措施，防范病毒扩散及恶意攻击行为对其它系统造成影响等；

√ 随着水电厂智能化、信息化等新技术的应用，“无人值班，少人值守”的远程监控管理模式快速发展，机组和远方集控中心通过网络进行数据及控制指令传输，使生产控制大区遭受攻击的风险增加，需采取相应手段对关键指令下发及误操作等行为进行实时监测和告警；

√ 发电厂生产控制系统中的管理终端（如服务器、工程师站、操作员站等）存在移动介质、串口设备、并口设备等外设使用和主机安全策略配置级别较低的情况，需采取有效措施对移动U盘等外设的使用进行管理，并增强主机安全防护能力；

√ 电厂在执行特定工作(如系统调试和维护)时，需要通过本地方式接入第三方调试设备，就需要对接入的人员及终端设备采取有效的安全监管措施，需要重点管控维护过程中的关键操作行为并对所有操作行为进行取证。

3、实施特点分析

现场实施需要在以生产运行安全规范为基础，不影响生产业务正常运行的前提下进行，完善电力生产控制及其信息安全体系框架，形成成熟的、自主可控的生产控制信息安全监管平台安全建设方案，具体特点如下：

√ 现场施工要求较高，施工流程严谨；

√ 需克服实施现场环境比较复杂，施工位置较为偏远的困难；

√  安全防护产品设计需要基于工业现场的特点：

 专用通信协议或规约：专用通信协议或规约（Modbus、S7、IEC104等）直接使用或作为TCP/IP协议的应用层使用；

 升级困难：专有系统兼容性差、软硬件升级较困难，一般很少进行系统升级，如需升级可能需要整个系统升级换代；

 系统故障响应：不可预料的中断会造成经济损失或灾难，故障必须紧急响应处理；

 集中监控运维：生产现场地域跨度大，集中监控及运维管理尤为重要；

√  现场工业防火墙接入、配置等操作所在的网络大部分是在线运行状态，需保证对业务无影响；

√ 现场在运行的主机或其他设备，有很大部分投入使用的时间久远，对于重启等常见操作存在风险，需要提前做好应急预案；

√ 现场对机柜实施要求较高，需要克服机柜部署的难度。

1、解决方案

经过对现场网络结构、主机设备、系统软件、安全设备等运行情况进行安全调研和分析，识别出系统资产和脆性性，确认了水电站现场所存在的安全隐患和安全防护缺失项，明确了采用自主可控的工控安全核心技术的技术路线。为加强水电站网络安全防护，构建的安全防护方案如下：

√ 在各机组LCU与控制网络之间部署工业防火墙，通过对Modbus协议进行深度解析与“白名单”控制功能，能有效保护电厂使用的施耐德Quantum系列PLC，防止针对PLC漏洞的恶意攻击行为及违规操作；

√ 在水电厂环网交换机上旁路部署工控安全监测与审计系统，对控制网络中的网络流量进行实时监测，特别是异常指令下发、违规操作等行为，同时记录原始pcap文件，以便调查取证。

√ 旁路部署入侵检测设备，通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

√ 在主控层的工程师站、操作员站和服务器上部署主机加固系统，对系统中安全相关的设置进行全面扫描及策略设置，对关键业务进程、程序予以保护，建立白名单库，将普通操作系统透明提升为安全操作系统，大大提高工业主机的安全性；

√ 在控制环网交换机上部署安全运维管理系统，实现账号统一管理、资源和权限统一分配、操作全程审计，提升运维过程的安全性。

√ 通过统一安全管理平台对所部署的安全设备进行统一的安全管理，包括策略下发、日志审计、报警展示等，简化运维管理工作流程、提高运维管理工作效率。

2、实施方案

基于现场情况，为保证快速安全的实施，威努特针对各安全产品采取适用于现场的实施方案。

√ 工业防火墙实施方案

 安装部署前先做好基础配置、线缆铺设等工作，施工前准备好风险应急措施；

 现场为双网双线路，工业防火墙施工时，需先对备网进行断网及设备部署，确认更换成功后再对主网进行断网及设备部署，以保障实时业务的连续性；

 在防火墙接入业务网后，前期开启学习模式，自学习网络中的工控协议；中期开启告警模式以验证工控协议白名单的有效性，并对白名单进行优化调整；最后验证策略无误后开启防护模式，实现网络防护。

防火墙实施过程中，除了插拔网线短暂的时间，对整体网络的业务运行几乎未产生影响。

√ 核心交换机更换方案

因多台设备需要旁路部署到核心交换机，当前核心交换机端口数量已不满足要求，且交换机无法满足N:1的镜像，因此需要更换。

 为避免更换对实时业务产生影响，实施前先对两台核心交换机进行检查、备份，并使用同一型号的交换机进行静态测试；

 对所有节点网络通讯进行检查，再按照先备网交换机更换后主网交换机更换的步骤进行操作；

 更换后，充分检查，确保通讯正常。

√ 主机加固实施方案

 先在简单的、相对不重要的、备用的服务器上实施，在实施过程中早发现、早处理异常问题，尽量避免在重要服务器系统实施过程中出现问题而造成大的影响。

 施工前先选择1台相同安装环境的机器进行安全加固静态测试，充分验证后再进行实施。

 统一安全管理平台、工控安全监测与审计系统、入侵检测设备、安全运维管理系统实施方案

 这些设备均为旁路部署模式，并且核心交换机已经更换完毕，做好镜像配置后直接部署，对现场的业务不会产生任何影响。

3、运维方案

基于电厂业务的重要性及运维需求，以客户网络安全的总体框架为基础、以安全策略为指导，配备经验丰富的安全运维团队、借助专业的技术工具、依托成熟的服务管理体系，为客户提供完善的安全运维服务，帮助客户发现并处理日常安全问题、规范安全运维流程、促进安全管理制度落地。运维服务内容包括：安全培训、安全巡检、应急响应等。

√ 安全培训面向管理和操作人员，培训前提供详细的培训材料，讲解工控系统目前面临的威胁态势、当前解决方案的特点、产品功能实现方式、安全策略配置、简单故障处理和应急操作等内容；

√ 通过定期安全巡检，能够发现系统运行异常。安全巡检的目的在于发现和消除系统安全隐患，保障系统的正常平稳的运行，能更好地摸清系统运行环境情况。巡检采用人工访谈、现场检查、工具检查等方式对系统运行状况及告警情况进行检查，收集相关信息进行分析，并结合客户实际需求进行整改；

√ 由于突发安全事件的不确定性，为提高快速处理突发事件的能力，缩短响应时间，保证水电厂系统的安全、可靠运行，威努特提供完善的应急响应服务。应急响应能够向客户提供必须的资源来处理突发事件，从而减少可能造成的损失。

通过为水电厂提供“以安全技术为支撑，以安全服务为保障”的安全运维方案，提升了网络安全投入与产出比，增强电厂整个控制网络的安全预警能力、安全防护能力和安全审计能力。

1、防护方案特点描述

通过建立可信任网络“白环境”和“白名单”防护理念，以自主可控的核心技术投入，以完全符合工业现场的产品设计，为电厂构筑 “安全白环境”整体防护体系，保护电厂生产控制系统信息安全监管与预警平台系统设施的稳定运行，达到“只有可信任的设备，才能接入控制网络”、“只有可信任的消息，才能在网络上传输”、“只有可信任的软件，才允许被执行”的防护效果。该方案打破了传统“黑”的防护模式，打破工控安全信息孤岛，以更符合工业现场特性的防护手段，以“一个中心，三重防护”的防御体系，将传统的“被动防护”转化为“主动防御”。

2、应用价值

√  解决方案具有完全自主的知识产权，满足《电力监控系统安全防护总体方案》（36号文）要求；

√ 有效检测工业网络中通信异常和协议异常并进行阻断，实现控制系统的安全网络隔离、访问控制以及专用工控协议的深度解析，避免关键控制设备被攻击，防止造成重大生产事故、人员伤亡和不良社会影响；

√ 提升了现有操作系统的安全等级，有效的防止来自内部的误操作和恶意操作；

√ 对服务器日常访问、操作进行监控和审计，实现对用户运维过程的标准化管理；

√ 实时监测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播，帮助客户及时采取应对措施，避免发生安全事故；

√ 将工控网络中的安全设备和系统统一管理，减少管理人员的工作量，降低企业人力资源的投入，通过技术手段弥补人工管理方式上的不足，提高企业工控网络安全管理效率；

√ 实现水电站总体安全现状分析，帮助客户实时了解自身安全状况，并提供简便易用的回溯功能，为工业控制系统安全事故调查提供技术手段；

√ 全面提高生产控制网络的整体安全性，为水电厂安全生产保驾护航。