◆林 磊

发电厂SIS的安全防护策略探讨

◆林 磊

（深圳市广前电力有限公司 广东 518054）

关键信息基础设施是国家实行重点保护的部分，SIS作为电力行业关键信息基础设施的一部分，保障其安全意义重大。如何对其进行有效的安全防护，将直接关系到国家发展和国民经济命脉。本文结合深圳某发电厂SIS的情况，从六个方面对SIS的安全防护策略进行分析和探讨，以求将SIS的防护等级提升到一个相对比较安全的高度。

电厂；SIS；信息；安全

0 引言

随着信息技术的高速发展，网络全球化的迅速蔓延，人们对信息化技术水平的普遍提高，各种破坏信息系统的安全事件频发，如何提供一个安全的信息网络环境已成为全球共同关注的焦点。对于国内发电厂的信息系统而言，系统架构的优劣、数据的安全与否、抵御风险能力的强弱以及对信息系统安全性关注力度等情况，都将影响到国家的长治久安和国民的经济命脉，保障信息系统安全的意义非同寻常。

在电力行业发电厂的信息系统中，主要是针对发电设备实施控制的信息系统（以下简称“工控系统”），是发电厂众多信息系统的核心，属于国家关键信息基础设施的范畴，是重点保护的对象。

在“互联网+”的引导下，工业4.0、两化融合、大数据、云计算、物联网等技术的驱动下，工控系统已接纳和融合大众化的商用硬件、通用的软件、量身定制的控制程序、开放的TCP/IP、UDP通信协议。在信息技术为工控系统带来便利和生产效率提升的同时，也将互联网络中的安全威胁引入到工控系统中，并对在运的工控系统造成影响。因此，加强对工控系统的监管和安全加固就显得十分迫切和必要了。

1 发电厂SIS概述

深圳某发电厂的厂级实时监控信息系统（Supervisory Information System in Plant Level，SIS）作为发电厂重要的工控系统之一，以分散控制系统（Distributed Control System，DCS）的数据为基础，联接发电厂管理信息系统（Management Information System，MIS），是全厂生产数据处理的中心。它可以对整个发电厂的各个生产过程进行全面的监视、分析、判断、决策，具有功能强大、兼容面广、安全可靠等特点。还能有效地解决发电厂信息一体化管理系统中对生产过程信息共享出现的“信息孤岛”的难题。

按照电力安全防护的理念，SIS的主体功能部署在生产控制大区的非控制区，对它实施安全加固和重点防护，既有利于保护生产控制大区的各个控制系统，也有助于抵御来自互联网络和管理信息大区中的威胁，还能对发电厂其它工控系统起到防护和屏障的作用。

2 SIS的威胁从何而来

SIS作为工控系统的一部分，基于信息系统的设计理念，与MIS保持着彼此互联的通信接口，来自MIS中的各种威胁，对于SIS同样有效。而SIS的安全防护工作是按照工控系统边界防护的理念展开，外部威胁对SIS的影响更为严重。

从SIS威胁的本质和种类分析，可以分为环境因素（如潮湿、非计划断电、设备故障、政府行为等）、自然因素（如台风、地震、海啸、洪水、雷击等）、系统自身因素（如系统中应用程序冲突、系统高危漏洞未及时修复、系统防火墙未启用及不常用端口未关闭等）、动物破坏（如蛇、鼠、白蚁、蟑螂等）、人为破坏（如黑客攻击、移动设备非法接入、无线网络渗透入侵等）以及不可抗力影响（如战争、罢工、骚乱等）等六个方面。任何一种威胁的影响，对于SIS甚至是工控系统的安全都有可能是致命的。因此，要保证工控系统的安全和稳定，就必须对其进行严格的预防和控制。

3 SIS的安全防护策略

应对上述的安全威胁，不能只停留在理论上，应采取强有力的安全措施，从系统本体的脆弱性着手，在源头上对威胁进行阻断，可以从以下六个方面进行：

3.1完善制度，管控并重

俗话说“无以规矩，不成方圆”，规矩就是规章制度，是做好相关工作的根本。要实现对SIS威胁的安全防护，制定相关的规章制度不但不能省略，相反，还应该尽可能地详尽和全面地对相关人员所从事的工作、行为以及产生的后果进行规范。根据制度的实施情况定期进行修编，以保障人身、系统、设备的全方位安全。

如果只有规矩，而没有践行规矩的个体，那规矩就如同摆设。要做好SIS的安全防护，必须按照“谁主管谁负责，谁运营谁负责”的原则，将责任落实到人。管理是对相关工作的整体把握和对异常进行必要的调整过程，是大的方向；而监控则是对于实际实施的过程进行监督和控制的过程，是具体的执行过程。此二者必须同时进行，相辅相成，缺一不可。

3.2加强培训，响应及时

对于SIS的安全运行，需要通过相关的人员对它进行运行和维护（以下简称“运维”）。加强对管理、运维等相关工作人员的安全意识、安全操作等相关的培训，有助于增强他们对SIS安全的责任感、使命感，提高他们应对网络安全事件的水平和协同配合的能力。

常言道“光说不练空把式”。SIS的安全维护，单凭培训而不进行实操演练，是难以实现工控系统的真正安全。制定网络安全事件应急预案和定期组织进行应急演练是检验培训效果的最佳途径，它不仅有理论知识的积累，还能对突发事件、SIS的整体安全、存在的风险等进行总体分析和实操锻炼。

3.3设备可控，严禁接入

SIS设备的可靠可控，对于保障SIS以及发电厂整个信息系统的安全至关重要。在对SIS设备选型和配置时，应充分考虑到设备对系统的影响，以及可能存在的风险。优先选用我国自主研发、生产并经过国家、电力行业安全检验合格的设备，禁止使用经国家相关管理部门检测认定或经国家能源局通报存在漏洞、风险和具有无线通信功能的设备。以此作为SIS设备采购、部署的主要参考依据，对于SIS后期的维护、升级、替换、存储扩容、功能扩展、安全性能提升等都有着决定性的意义。

在这些设备中，用于部署SIS的设备，通常都配备USB、光驱等外设接口，它们通常具有存储容量大、便于携带、即插即用等特点。对于工控系统而言，在为用户提供接入便利的同时，也为工控系统带来了不同程度的安全威胁，其危害性是不言而喻的。

对于SIS中常见移动存储设备，主要分为两类，一类是属于输入式的接入设备（如U盘、手机、加密狗等），另一类是属于嵌入式的设备（如光驱、软驱、蓝牙适配器等）。这些移动存储设备就是威胁着工控系统安全的头号杀手，对其接入的控制始终是工控系统安全工作中首先要解决的问题。既要防止因人为接入导致系统出现的异常，还要对于后期设备可能需要进行的升级、扩展提供方便。因此，对其隔离只能是采用暂时性而非永久的，比如通过将对应主机主板上的对应接口控制接线拔除，或在主机的接口面板上安装安全防护隔离罩并将其上锁的方式实现。

3.4有效隔离，分级授权

按国家《电力监控系统安全防护总体方案》（国能安全〔2015〕36号）的要求，对关键信息基础设施需进行有效的安全分区和防护隔离。对SIS而言，不能局限于SIS内部，其周边也需要进行相对应的设置。比如将SIS建设在具有防止电离辐射、静电干扰等与外界相对隔离的独立区域；设置身份验证和高清的视频监控系统，使进入该区域的人员都在可控的范围之内；对SIS设备区域设置防止上述六个方面威胁的措施，并确保SIS的设备主机操作系统上的远程桌面、远程协助、远程终端等一切用于远程维护的通道处于关闭或禁用状态。

对于SIS运维人员的防护，除通过相关的规章制度进行约束外，还应配套相关的分级和准入授权设置。比如进入SIS区域的人员应为系统的运维人员和系统的管理人员。负责SIS运维和操作的人员，在进入该区域前，应提供从事该工作的相关资质证明资料，办理相关的准入手续，通过身份认证系统验证、反恐安检方式验证等。

3.5备份数据，运维保密

SIS作为发电厂生产过程信息一体化管理信息系统中的重要环节，其数据的安全可靠直接关乎整个发电厂信息系统的安全。信息系统的安全与否，除了通过制度管控之外，还需要运维人员的全力配合，进行有效、完备的运维对于保障信息系统的安全意义重大。

保证SIS数据的安全，除定期对SIS数据进行备份，建立异地容灾系统、建设云堡垒机、搭建安全数据审计平台等方式将数据进行多方位、多层次的安全加密存储，辅以对SIS日常的设备巡视、系统运行日志的分析、运行过程中的异常和应急处理等手段之外，运维人员还应时刻做好对SIS可能出现的事故预想和应对突发事件的措施，以防止SIS出现不可修复的故障或危及工控系统安全的情况出现。

3.6等保测评，安防加固

进行关键信息基础设施的等级保护测评是《中华人民共和国网络安全法》中对保障关键信息基础设施进行安全监控方法和手段。对SIS实施等级保护测评的单位必须是具备国家相关部门授权的测评单位，它们依据国家法律法规的相关条款，结合SIS的实际情况，制定出针对性较强、行之有效的测评方案并根据方案开展工作，力保SIS在运行过程中数据的安全可控。

通过测评，可以第一时间发现SIS中存在的风险和漏洞，以提供相关的解决方案进行修复和防御。SIS的管理者应根据相关的测评结论材料，确定相应的防护加固措施和时间表，安排相关的运维人员，或协同第三方安全机构人员，对SIS实施安全加固的工作，以提升SIS的安全特性和增强其抵御风险的能力。对于一些有可能对社会造成严重危害的高危漏洞，必须在限期内整改完成，但在SIS设备上又无法直接进行修复和加固的，应考虑通过设置相关的安全防护装置来辅助实现。比如设置应对审计及故障分析处理的日志审计系统，应对身份授权、验证的堡垒机，应对数据传输安全的VPN，应对分区间隔离的智能防火墙、物理隔离网闸等，应对重要数据备份的异地灾备、云计算存储，应对蠕虫、入侵、渗透等安全威胁的蜜罐、蜜网等。

4 结束语

面对当今社会网络信息安全事件的频发，保障国家关键信息基础设施，尤其是保障电力行业的关键基础设施的安全，对于国家的发展和人民生活至关重要。作为承担着生产过程信息数据共享重任的发电厂SIS，确保其安全稳定可靠运行的意义非凡。要实现SIS乃至整个工控系统的安全，当前的首要任务是充分认识到问题的紧迫性和后果的严重性，要认识到SIS的安全不是一个单纯的技术问题，而是涉及到多方面的动态系统工程，需要在整个工控系统生命周期的各个阶段中持续实施，还应协同政府机构、控制系统厂商、安防设备供应商、SIS设备运维人员一起，采取强有力的信息安全手段，切实保障SIS、工控系统以及我国关键信息基础设施的安全可靠运行。

[1]侯子良.再论火电厂厂级监控信息系统[J].电力系统自动化，2002.

[2]关泽武，陈华军，蒋屹新.浅谈电力行业重要信息系统等级保护[J].全国信息安全等级保护技术大会会议，2013.

[3]于立业，薛向荣，张云贵，赵永丽，赵华，芦永明，张秀明.工业控制系统信息安全解决方案[J].冶金自动化，2013.