吴迪

白山发电厂电力二次系统安全防护改造

吴迪

（白山发电厂，吉林 吉林 132013）

按照信息安全等级保护规定对白山发电厂计算机监控系统进行安全防护改造，通过部署入侵检测装置、防火墙、防病毒设备等信息安全设备提升计算机监控系统信息安全防护水平。

信息安全；计算机监控系统；电力二次系统

1　基本概况

依据电监会第5号令《电力二次系统安全防护规定》和配套34号《电力二次系统安全防护总体方案》文件的基本原则，为确保白山发电厂计算机监控系统的安全稳定运行，结合白山发电厂的具体情况，对白山发电厂计算机监控系统安全防护进行规划、实施，部署相关安全防护产品，制定相应的安全管理制度和措施。使白山发电厂计算机监控系统能够达到全国先进电网的安全防护水平，起到抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击的作用，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪的目的而制定的。

本次改造涉及到白山发电厂吉林集控中心、白山站、红石站的计算机监控系统设备。主要对边界安全、防病毒、入侵检测等方面进行了改造。

2　系统设计

2.1白山发电厂计算机监控系统安全防护的安全策略

1）分区防护、突出重点。根据白山发电厂电力二次系统业务的重要性和对一次系统的影响程度进行分区，将所有系统都置于相应的安全区内。

2）实施全网病毒防护。在整个生产控制大区和吉林集控中心自动化系统安全区II和安全区III各配置一套防病毒软件系统，实行全网病毒监视。

3）加强网络接口边界的识别和保护。对白山发电厂二次系统中的网络接口边界（包括内部局域网和广域网、Internet网、远程拨号、无线网络等）进行识别，断开不必要的接口，并加强剩余接口的安全保护。在生产控制大区(I区)设置防病毒安全网关，防止在调试期间外来设备接入主交换机时带入病毒，影响I区设备安全的情况。

4）制定完善的备份与恢复策略，保障系统及数据的安全。对白山发电厂二次安全防护项目中涉及的关键应用数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性；对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性；在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。

5）建立完善的监控、应急响应体系，保证及时地发现问题、处理问题。建立白山发电厂集控中心及下属电站的二次系统安全事件监控、应急体系，用于保护、分析对在运行纵向加密装置的系统资源的非法访问和网络攻击，并配备必要的应急设施和资源，统一调度，形成对重大安全事件（遭到黑客、病毒攻击和其他人为破坏等）快速响应的能力，最大限度地降低系统的风险。

6）规范安全管理，建立健全各种管理制度。规范化管理是白山发电厂二次系统安全的保障。以“三分技术，七分管理”为原则，建立白山发电厂二次安全防护项目中纵向加密装置的规范化管理体系，落实责任制，明确各有关部门的工作职责，实行安全责任追究制度；建立健全各种安全管理制度，保证白山发电厂电力二次系统的安全运行；建立安全培训机制，对所有人员进行信息安全基本知识、相关法律法规，以及实际使用安全产品的工作原理、安装、使用、维护和故障处理等进行培训，以强化安全意识，提高技术水平和管理水平。

2.2整体网络结构

根据业务系统或功能模块的实时性、使用者、功能、场所、各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响，分别置于相应的安全区之中。

3　系统结构与要求

白山电厂计算机监控系统安全防护体系硬件配置主要包括防火墙、横向隔离装置、入侵检测装置以及管理机、拨号管理装置、纵向加密装置、防病毒安全网关等。此次改造是在原有计算机监控系统安全防护设备基础上，进行的扩展改造。

3.1防病毒安全网关设计方案

防病毒网关是对病毒等恶意软件进行防御的硬件网络防护设备，可以协助I区系统防护各类病毒和恶意软件，对其进行隔离和清除。在系统中设计五台防病毒网关，分别部署于I区白山、红石厂区和桦甸、吉林集控4个维护地点，布置在监控内网交换机和外部维护通道之间，即当使用拨号认证方式登录网络时，布置在拨号装置和内网交换机之间；当使用现场维护终端维护时，布置在维护终端和内网交换机之间。网关内侧提供两个不同网段的地址，对两个监控内网均能实现访问，外侧接拨号认证装置或者现场维护终端，实现通道的防病毒过滤。

防病毒安全网关技术要求：

每秒用户连接数：>100

最大用户数：500

接口数：不少于4个10/100/1000MBase-TX

防病毒数据吞吐量：>200Mb/s

数据包转发延迟：<1ms

满负荷数据包丢弃率：0

每秒新建连接数：>20000

最大并发连接数：>50万

MTBF：>5万h

具有全面的网络应用内容识别过滤技术，对HTTP、HTTPS、FTP、SMTP、POP3等进行实时的双向扫描过滤，检测并拦截进出网络的各种病毒、木马、蠕虫、间谍软件、网络钓鱼、灰色软件、后门程序、恶意应用攻击等网络威胁。

3.2网络入侵检测装置设计方案

白山发电厂二次系统整体结构较复杂，分为4个地点，3个大区，需要对不同的区域进行监听，探测引擎安装于大型网络的各个物理子网中，分布式监控网络的各个部分，1台管理器可管理多台服务器，达到分布安装，全网监控，集中管理。因此白山发电厂二次安全防护项目中IDS设备采用分布式检测方式，对于安全I区4个地点，分别在每个地点的机房交换机机柜内增加1台入侵检测装置，在双网的交换机配置广播口，监测各网络节点的所有报文动态。

吉林市集控中心安全II/III区的网络连接方式，2台入侵检测引擎监听口分别部署在吉林市集控中心智能化统一平台安全II/III区的核心交换机上的广播口，监控安全II/III区的所有报文动态，检测引擎将捕获的报文信息发送到IDS管理工作站。管理口连接IDS管理工作站，IDS管理工作站连接到各个安全区内核交换机上。

根据吉林市集控中心智能化统一平台双网接入的特点，安全II区IDS监听引擎和IDS管理机双网接入；安全III区IDS监听引擎和IDS管理机双网接入。

考虑到吉林集控中心内的综合网管系统的应用实际，IDS管理工作站可将筛选的报文信息通过syslog的方式发送到综合网管系统，再由综合网管系统定制呈现。

技术要求如下：

1）入侵检测引擎

平均无故障运行时间：>20000h

系统恢复时间：<1min

最大PPS：千兆引擎≥100万

新建TCP连接：千兆引擎≥10万/s

维持最大连接数：千兆引擎≥100万

可检测事件数量不小于2000

并发TCP会话数量≥100000

最大并发TCP会话数量≥200000

处理能力≥200Mb

2）入侵检测管理工作站

可以检测并阻断蠕虫、网络病毒、间谍软件与木马等危害程序；

支持实时的3～7层的网络流量分析功能，用户可自定义统计指定网络范围或指定协议的数据流量；

能够实现会话的记录和重组，对包括HTTP、SMTP、FTP、Telnet、POP3等多种会话进行记录及回放；

控制台界面良好，方便实现远程管理；

对重大安全漏洞在厂商没有提供解决方案前提供临时解决方案。

网络攻击检测功能：

具备网络设备攻击、安全扫描、蠕虫病毒、安全审计、可疑行为、网络娱乐、安全漏洞、欺骗劫持、网络通讯、脆弱口令、穷举探测、间谍软件、流量事件、分布事件及CGI访问功能。

3）事件库

事件库规模：不少于2000种；

事件自定义：可自定义网络特征匹配事件和行为关联事件；

可进行事件分类查询、提供对事件和解决方案的详细描述；

能进行至少每周1次事件库升级，如果遇到突发事件和安全警报，应能进行紧急升级。

4）协议分析功能

协议解码种类：至少含40种，如ARP、AUTH、BT、CHARGEN、DNS、ECHO、ETHER、FINGER、FTP、HTTP、ICMP、IGMP、IMAP、IP、IRC、MSNP、MSPROXY、MSRPC、NETBIOS-SSN、NFS、NNTP、NTALK、PCT、PMAP、POP3、Q931、RIP、RLOGIN、RTSP、SMTP、SNMP、SUNRPC、TCP、TCQ、TDS、TELNET、TFTP、TNS、UDP、WHOIS等。

3.3防病毒软件设计方案

根据吉林集控中心的实际情况，建议在白山、红石、吉林集控中心内建立整体的网络防病毒体系。该范围涵盖了I区、II区和III区的windows系统主机设备，并在吉林集控中心的I、II、III区分别配有3台专门的防病毒管理计算机进行维护和管理。

分别在吉林集控中心的I、II、III区内的智能化统一平台内接入防病毒服务器，防病毒服务器上运行病毒监控管理中心及病毒库中心，所有吉林市集控中心及下属电厂的windows系统上安装杀毒软件客户端，杀毒软件客户端的病毒库更新源指向防病毒服务器。

安全I区防病毒服务器连接在I区监控系统主交换机内;安全II区防病毒服务器连接安全II区智能化统一平台交换机上；安全III区防病毒服务器连接安全III区智能化统一平台交换机上。结合白山发电厂的实际情况，可将防病毒服务器和IDS管理机工作站合二为一。

3.3.1杀毒软件

1）先进的查杀病毒技术

选择的反病毒厂家具有先进的反病毒技术，选择的产品能够查杀当前已知的病毒，并且能够有效拦截和查杀未知病毒。

2）厂商开发、服务的本地化

反病毒厂家在中国具有自己的研发基地和完善的服务网。能快速响应国内的计算机病毒事件和技术支持服务。

3）安装、操作、管理简单

防病毒具有多种远程安装方式，满足在复杂局域网中方便、快速布置防病毒客户端。

4）能够实现病毒防护的实时性

能够对病毒可能传播的途径（网络、光驱、软驱、内存、）进行实时监控，阻止病毒通过这些途径传播。

5）可以扫描网络中的系统漏洞

可以在网络中扫描每个系统的漏洞、未打的补丁，并且帮助有漏洞的系统安装补丁程序，更有效的保护整个网络系统。

6）具备对网络内服务器、工作站等所有计算机的防病毒能力

反病毒产品具有对全系列的操作平台的监控产品，实现网络内的层层布防。

7）在广域网范围内可具有跨路由、防火墙等的全网集中与分级防病毒管理能力

反病毒产品具有支持大型复杂网络的多级管理功能，实现网络内的多级管理，实现统一集中管理，内部责任明确。

8）具备可实施远程自动分发、自动产品版本及防病毒引擎文件升级等远程控制功能

产品具有全网统一升级功能，实现内部所有防病毒产品的统一升级、自动更新病毒代码和反病毒引擎，保证网内所有防病毒产品具有最新、一致的防病毒能力。

3.3.2技术要求

1）所有硬件系统均需符合下述标准

通用规范：GB/T9813-2000；

电磁学规范：FCCClassB或CISPR22ClassB；

安全规范：ULListed（美国）或EN60950（国际）；

质量标准：ISO9000认证。

2）硬件系统环境要求

温度：0～40℃；

湿度:20%～85%；

电源：220V（±10%）交流50Hz（±2%）单相电源，额定电流最高16A和32A。

3）硬件系统配置要求

英特尔CPU，主频不低于2.10GHz；

内存不低于2GB；

硬盘容量不低于320GB；

一个1000M网络接口；

Windows200332位操作系统；

显卡显存不小于1GB；

6芯电池，连续运行时间不小于4h。

4　结论

通过对白山发电厂计算机监控系统安全防护改造，增强了监控系统安全防护手段，解决了以往对程序更新、数据复制等会发生的病毒威胁。在系统边界原有隔离装置的基础上增加了入侵检测装置，增加了边界防御手段。

[1]张海华.基于可信计算和主动防御的等级保护在电厂的应用[J].信息安全与通信保密，2013（12）.

[2]唐斐.信息安全等级保护标准在电力行业的应用[C]//2012年电力通信管理暨智能电网通信技术论坛论文集，2012.

TP393

B

1672-5387（2016）08-0060-04

10.13599/j.cnki.11-5130.2016.08.018

2016-06-29

吴迪（1979-），男，工程师，从事水电站计算机监控系统及自动化系统维护管理工作。