高建伟，何晓亮，马依文

（华东桐柏抽水蓄能发电有限责任公司，浙江天台317200）

抽水蓄能电站工控系统安全防护探讨

高建伟，何晓亮，马依文

（华东桐柏抽水蓄能发电有限责任公司，浙江天台317200）

当前抽水蓄能电站机组启停广泛采用SCADA系统进行控制，而抽水蓄能电站在电网中承担日益繁重的调峰填谷的任务，抽蓄电站工控系统一旦出现风险而瘫痪，将影响电网的平稳运行。本文分析了抽水蓄能电站工控系统目前存在的安全威胁，并介绍了相应的安全防护方案。该方案详细介绍了如何在运行的电力监控系统中部署统一管理平台、日志审计系统及入侵检测装置；以及如何实现对工控系统的实时监测、监控及告警。

工控系统；统一管理平台；白名单；入侵检测

1 引言

电力监控系统是随着现代大型发电厂机组自动化的不断提高和过程控制要求的日益复杂应运而生的综合控制系统，它是计算机技术、系统控制技术、网络通讯技术和多媒体技术相结合的产物，可提供窗口友好的人机界面和强大的通讯功能。是实现机组运行过程控制、过程管理的现代化设备。

抽水蓄能电站在电网中承担日益繁重的调峰填谷的任务，对电网的平稳运行有着重要的作用。随着技术的发展，当前抽水蓄能电站电力监控系统广泛采用SCADA系统进行机组启停的控制。做好电力监控系统的安全防护，对抽水蓄能电站的正常运行有着至关重要的作用。

2 桐柏工控系统存在的问题与加固措施

桐柏公司电力监控系统，遵循“安全、可靠、先进、开放、经济、实时、实用”的原则，按照“无人值班、少人值守”的原则进行设计和配置，采用以计算机监控为主，简易常规控制为辅的监控方式。系统结构采用全智能、全开放、分层分布式模块化可配置冗余结构（数据库及功能分布等），以“分层管理、集中控制”为原则保证系统的互操作性、可扩展性和可移植性。整个系统共分两层：电厂控制层和现地控制层，是一个完整的实时闭环控制系统。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，抽水蓄能电站工控系统已经广泛的采用通用协议、通用硬件和软件，以多种不同方式与互联网等公共网络连接，病毒、木马等威胁正在向工控系统蔓延，工控系统信息安全问题日益突出。尤其是2010年震惊全球的“震网”病毒事件之后，相继出现“毒区”、“火焰”等超级病毒，能源行业首当其冲成为攻击的目标。抽水蓄能电站作为电网中重要的调峰填谷节点，其工控系统也将面临越来越多的威胁。

2.1.力监控系统的威胁分析

2.1.1.理安全

桐柏电站电力监控系统机房由于建设时间较早，设计初期缺少相关管理条例参考，因此在物理位置的选择、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面满足《电力行业信息系统安全等级保护基本要求》S2A3G3相应测评项要求；但仍存在部分测评项不满足要求，具体为：

（1）物理访问控制

机房与监控室隔离，重要区域（SCADA服务器与工作站之间）并未使用物理隔断方式隔离。

（2）防盗窃和防破坏

目前系统机房可通过视频、门禁感应报警等技术手段实现防盗报警，但视频存在监控死角且未利用红外光、电等技术手段防盗。

（3）防火

1）机房、操作间墙壁、地板、天花板等均采用了具有耐火等级的建筑材料，但窗帘不满足防火要求。

2）系统关键设备未与其他设备之间有明显区域。

（4）防水和防潮

地板下未安装水敏感的检测元件，不能够对机房空调周围进行防水检测和报警。

（5）温湿度控制

机房使用普通空调，能保证温度在正常范围，室内湿度低容易产生静电。

2.1.2.机安全

SCADA主机在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范方面、资源控制方面均存在部分测评项不满足《电力行业信息系统安全等级保护基本要求》S2A3G3相应要求，具体为：

（1）身份鉴别

远程连接未强制使用加密措施。

（2）访问控制

1）操作系统未关闭不需要的端口（135、445），未关闭文件共享。未开启本地防火墙对资源进行控制。

2）操作系统未重命名administrator账户。

（3）安全审计

1）未开启操作系统审计功能。

2）无综合审计系统，无法生成审计报表。

（4）入侵防范

操作系统存在多余组件和应用程序，补丁更新不及时。

（5）恶意代码防范

未安装杀毒软件。

（6）资源控制

防火墙已关闭，未限制管理登录地址。

数据库CAE主机在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制方面均存在部分测评项不满足《电力行业信息系统安全等级保护基本要求》S2A3G3相应要求，具体为：

（1）身份鉴别

1）数据库密码为8位以上，由数字、字母和符号组成，但未设置密码复杂度校验。

2）未配置登录失败处理功能。

（2）访问控制

操作系统未关闭不需要的端口（135、445），未关闭文件共享。未开启本地防火墙对资源进行控制。

（3）安全审计

1）审计记录无法保证不被修改覆盖。

2）未部署第三方审计系统，不能对记录数据进行自动分析和生成审计报表。

（4）入侵防范

操作系统存在多余组件和应用程序，补丁更新不及时。

（5）恶意代码防范

未安装杀毒软件。

（6）资源控制

数据库未设置终端登录超时。

2.1.3.络安全

I区交换机基本满足《电力行业信息系统安全等级保护基本要求》S2A3G3相应要求；但仍存在部分测评项不满足要求，具体为：

（1）访问控制

在网络出口和核心网络接口处未限制网络最大流量数及网络连接数。

（2）安全审计

1）生产控制大区未部署集中审计设备，设备不支持生成审计报表功能。

2）日志本地存放，存在不可预期的覆盖和掉电丢失的可能。

（3）网络设备防护

1）未对网络设备远程管理地址进行限制。

2）未部署两种或两种以上组合鉴别技术。

3）设备标识唯一，用户标识唯一,未禁止多个人员共用一个账号。

4）交换机的口令长度大于8位，由字母、数字和符号组成，满足口令复杂度要求，并密文存储；但口令未定期更换。

5）交换机使用http远程管理交换机，http为明文传输协议，不能防止鉴别的信息在传输过程中被偷听。

6）未关闭不需要的网络端口和服务，snmp团体名称为Public未修改。

（4）恶意代码防范

网络边界无恶意代码检测系统。

I/II区防火墙基本满足《电力行业信息系统安全等级保护基本要求》S2A3G3相应要求；但仍存在部分测评项不满足要求，具体为：

（1）访问控制

在网络出口和核心网络接口处未限制网络最大流量数及网络连接数。

（2）安全审计

1）生产控制大区未部署集中审计设备，设备不支持生成审计报表功能。

2）日志本地存放，存在不可预期的覆盖和掉电丢失的可能。

（3）网络设备防护

1）未对网络设备远程管理地址进行限制。

2）未部署两种或两种以上组合鉴别技术。

3）设备标识唯一，用户标识唯一,未禁止多个人员共用一个账号。

4）防火墙的口令长度等于8位，console用户名和密码出厂默认值，由字母组成，未满足口令复杂度要求且未定期更改。

5）未关闭不需要的网络端口和服务。

（4）恶意代码防范

网络边界无恶意代码检测系统。

2.1.4.用安全

桐柏电站电力监控系统在安全审计、通信完整性、通信保密性、抗抵赖、软件容错方面均满足《电力行业信息系统安全等级保护基本要求》S2A3G3相应要求；在身份鉴别、访问控制、资源控制方面均存在部分测评项不满足《电力行业信息系统安全等级保护基本要求》S2A3G3相应要求，具体为：

（1）身份鉴别

1）应用系统无口令长度限制，无字母加数字组合要求，对复杂度无限制。

2）应用系统无登录失败处理功能，可以持续尝试登录。

3）系统对身份鉴别、用户身份标识唯一性进行检查，但是无用户信息复杂度进行检验以及无配置登录失败处理功能。

（2）访问控制

应用系统存在管理账号且未限制默认账号的访问权限。

（3）资源控制

1）系统操作控制台暂未设置最大并发会话连接数限制。

2）系统不具备根据业务紧急情况及用户请求，为帐户或进程占用的资源分配最大和最小限额的功能。

2.2.力监控系统安全防护加固方案

2.2.1.理安全加固

（1）中控楼计算机房加装艾默生精密空调，适合机房主设备散热特点，为机房各设备提供连续稳定的温湿度环境。并能实时监测室内环境温湿度，如超出设定值及时报警。

（2）增加机房动环及网络一体化监控系统，通过对环境、动力、消防、保安、服务器、网络设备、链路等进行监控建设，对机房内的温湿度、市电、烟雾、漏水、安防、服务器、网络设备、链路等建立一套较完整的机房动力监控、环境监控、安全防范监控、服务器监控、网络监控的管理体系，建立统一、规范、面向业务的监控指标体系，通过数据整合工具实现监控数据的集中统一管理。

2.2.2.机安全加固

（1）安装瑞星杀毒软件（企业版），并使用WSUS或从http://www.microsoft.com/china下载最新的安装补丁，将补丁文件进行杀毒软件扫描后在目标主机上进行离线安装，安装完毕后进行白名单扫描并固化。

（2）设置强登录口令、删除多余账户、禁用Guest账户。修改密码策略，密码策略启用后立即更改系统管理员密码以及其他所有用户的密码，密码必须由大小写字母、数字、特殊符号组成。密码在180 d内必须进行更改，更改时注意最近使用过的3个密码无效。

（3）关闭非必须服务，包括：

Alerter远程发送警告信息

Computer Browser维护网络上更新的计算机清单

DHCP Client

Messenger允许网络之间互相传送提示信息的功能

remote Registry远程管理注册表

PrintSpooler打印机服务

Task Scheduler计划任务

SNMP简单网管协议

（4）在电力监控系统一区各主机安装威努特工控可信卫士，并由统一管理平台集中管理各主机。在初次安装软件后，对主机进行全盘扫描，此过程扫描到的本地磁盘所有可执行文件生产数字签名，并创建白名单数据库。统一管理平台实时监测系统内各主机运行情况，当某主机执行非白名单内的可执行文件、用户对移动存储的访问权限违规时，该平台将会产生实时报警。

2.2.3.络安全加固

（1）在电力监控系统一区核心交换机做镜像端口，在镜像端口加装工控安全监测与审计系统，支持网络连接状态检测、工业协议深度解析、工业协议规约检测、全网流量历史数据审计、网络异常检测、工业关键事件检测、用户自定义规则告警、工业协议无流量检测。

该系统采用旁路部署，对电站机组运行过程“零风险”，基于对工业控制协议（如modbus TCP、OPC、DNP3、IEC 60870-5-104等）的通信报文进行深度解析（DPI、Deep packet inspection），能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供基础。

（2）在电力监控系统一区核心交换机与保护信息子站之间加装可信网关（防火墙），由统一管理平台进行配置管理。管理员可在任意联通到组态管理平台的设备上进行访问和管理。网关硬件经过CE、CC和FCC等业内顶级标准认证，可以稳定长期不间断运行，减少用户系统停车时间。

网关软件采用自主可控的架构设计，各主要功能模块互相配合，对流通在电力监控网络中的所有数据进行全方位的解析、判断和控制，能有效保障用户正常数据的传输，完全杜绝非法数据和病毒在客户工控网络中的分散和传播。

（3）在工控安全审计探针后加装上元信安入侵防御系统，该产品站在应用的视角，将应用中的异常行为、异常流量也作为威胁的一种有效防护，对于未知的威胁以及日益盛行的高级持续威胁会送往云端进一步分析，形成对网络基础设施、网络应用、网络性能、云端安全的全面立体防护。

2.2.4.用安全加固

（1）在电力监控系统一区各主机安装威努特工控可信卫士，并由统一管理平台集中管理。在初次安装该软件后，会对主机进行一次全盘扫描，此过程扫描到的本地磁盘所有可执行文件生产数字签名，自动生成白名单库文件，并显示可执行文件的数量以及生成白名单库的时间。待全盘扫描完成后才能开启系统安全防护。开启后，任何不在白名单内的可执行文件都将被阻止运行。

（2）对登陆SCADA系统用户设置来宾、操作员、管理员3类权限账户。其中，来宾账户用于地下厂房监控主机和日常工程师站主机，作为机组信号监视客户端；操作员账户用于中控室操作员站，作为机组启停发令客户端；管理员账户正常情况下不允许登陆使用，只有经过授权的监控系统专业人员可以登陆修改SCADA系统设置。对操作员权限设置多个账户，每一个具备中控室值守资格的人员分配一个单独账户。

3 结论

随着抽水蓄能电站在电网中承担的任务越来重，保障电站工控系统的安全运行，对于电网以及社会的正常运转有着重大的意义。在当前新形势下，如何对工控系统进行防护，防止来自内部、外部的安全威胁和恶意攻击，是工控安全领域面临的重大挑战。本文通过分析桐柏电站在等保测评期间发现的问题，并详细介绍了相应的加固方案，解决了早期建设电站监控系统普遍存在的安全防护能力不足的问题。为运行中的大中型抽蓄电站工控系统安全加固，提供了可靠的实践基础。

[1]李奀林.电力工控系统安全面临的威胁与对策[J].信息安全与通信保密，2014(6):62-63.

[2]王文宇，刘玉红.工控系统安全威胁分析及防护研究[J].信息安全与通信保密，2012(2):33-35.

[3]王琦魁，李昕，赵甫.工控系统信息安全与加工网络防护方案研究[J].信息网络安全，2014（9）：120-122.

[4]张五一，李圣泉.能源行业工控系统信息安全分析与防护[J].信息安全与通信保密，2015(4):41-44.

[5]W IS-工控安全监测与审计系统使用指南_V2.0-201511 [Z].

[6]电力行业信息系统安全等级保护基本要求[Z].

TV736

B

1672-5387（2017）09-0063-04

10.13599/j.cnki.11-5130.2017.09.022

2017-06-19

高建伟（1992-），男，助理工程师，从事抽水蓄能电站自动化专业运维工作。