◆陈亚燕

水电厂信息网络安全防护策略探究

◆陈亚燕

（广东粤海乐昌峡水力发电有限公司 广东 512200）

随着信息网络技术的快速发展，网络安全受到了人们的高度重视，尤其是随着信息化技术在水电厂信息管理和监控系统中的广泛应用，计算机监控系统成了水电厂安全生产、监控运作的主要设备，更是信息网络安全防控重点。但在水电厂信息监控系统运转过程中，仍存在一些网络安全问题，这给水电厂信息网络系统埋下安全隐患。为了有效提高水电厂信息网络安全性能，保障水电厂稳定运行是当前亟须考虑的问题之一。本文首先分析了水电厂监控信息系统中存在的问题，其次阐述了水电厂网络安全防控的重要性，并提出相对应的防控措施，以期能有效提高水电厂网络安全系统可靠性及应用水平，进一步确保水电厂的正常运转。

水电厂；监控系统；信息网络安全问题；安全防护措施

近几年，随着网络信息化技术在各行各业的深入应用，信息安全问题开始出现，这使得各行业也加强了信息网络安全防控力度。而水电厂作为发电系统的重要组成部分，其生产运行管理系统、MIS系统、操作管理系统等各个系统功能的运转都离不开信息化技术，因此，为了保障水电厂正常运作，应提高对水电厂各个信息系统安全性的重视，以避免各个系统中存在信息安全风险，同时，通过采取相对应的安全防控措施，提升水电厂系统的安全性能与运行效率。

1 水电厂监控信息系统中主要存在的网络安全问题

当前，水电厂的监控信息系统仍存在一些网络安全问题亟须解决，为此，笔者根据当前水电厂监控信息系统的现状，大概举了几个典型的网络安全问题，具体如下：

1.1 防火墙

防火墙作为水电厂网络安全最有效的保护手段之一，其主要是由软件与硬件所组成，在水电厂监控信息系统（SIS）中，其防火墙主要是采用软件设计，通过软件来增强监控系统的安全性能，当SIS在监控水电厂电网调度信息时，防火墙便会处在一种比较被迫防卫的处境。此时，如果水电厂不能及时对软件防火墙进行更新，那后期防火墙只能对一些常规的病毒起到作用，但对于一些攻击性比较强的病毒完全没有抵抗力，这时，防火墙受到病毒攻击的影响处境更加艰难，无法继续保护系统正常运行，造成系统上的资料丢失，这对水电厂的调度产生了极大的影响。

1.2 网络连接

当前，水电厂与其他设备网络连接，如：与MIS系统、生产运行管理系统、厂内智能控制设备、操作管理系统等进行连接时，由于其数据传输主要是选用单向的方式，无法向实时信息监控系统的服务器输入数据，在与厂内其他智能控制设备进行连接时，如果没有进行光电隔离，容易发生高压或短路的情况；若与MIS系统网上连接时，由于MIS系统安全管理中存在很多不稳定因素，容易收到病毒、黑客的入侵，容易给SIS带来极大的安全隐患；此时，如果水电厂SIS网络连接过程中出现安全漏洞，系统非常容易受到黑客的入侵攻击，从而造成SIS的连接存在网络安全隐患，这一常见的网络连接问题对水电厂的安全、正常运转会产生极大的不良影响。

1.3 网络通讯

水电厂SIS主要是由交换机与通信服务器相连接，水电厂SIS网络通讯的等级要比管理和操作系统的等级还高，为此，尽管在SIS网络通讯过程中做好了安全防护，但网络通讯仍要按照单向传输方式进行，如果能从通讯的角度换到结构的角度去看待问题，那么，网络通讯还是存在许多安全问题。比如：水电厂在SIS中，其通讯访问过程不存在隐藏性，而是透明、公开的，它可以向任何一个编程进行访问，而任何表明身份的计算机也可以对SIS的网络通讯进行访问，以取得水电厂监控网络通讯信息，此时，缺少安全保护措施的网络，很容易给网络通讯数据交流埋下安全隐患。

2 水电厂加强网络安全防护的重要性

根据上文存在的网络安全问题可以看出，加强水电厂网络安全防护显得十分重要。但随着信息技术在水电厂的深入应用，信息网络安全危险随之增加，尤其是系统安全漏洞，病毒入侵、黑客攻击、软件安全漏洞以及数据安全存在威胁等，以上这些常见网络安全问题的存在，会影响到水电厂网络系统的正常运行，降低水电厂自动化运行、操作效率，严重的还会造成水电厂系统瘫痪，这对水电厂的发展产生极大的不良影响，基于此，一定要提高水电厂网络信息安全的重视程度。此外，水电厂是保障人们生活与我国经济的重要枢纽，其各个系统的运行都离不开信息技术，为此，加强水电厂信息网络系统的安全防御性能，有助于确保网络信息系统的安全、稳定，从而提高水电厂自动化运行、生产操作效率，进而促进水电厂的健康发展。由此可见，网络信息安全防控在水电厂中发挥了至关重要的作用。

3 水电厂网络安全防控的几点措施

结合上文水电厂SIS对信息网络安全的需要，下文对水电厂提出了三个方面的防控措施，以期能有效提高SIS在水电厂的安全性。具体如下：

3.1 硬件防护

为了保障水电厂SIS系统的安全运转，水电厂SIS在设置硬件防控措施时，都会设置硬件隔离防护，以确保SIS的安全运转。比如：水电厂SIS在连接厂内其他智能控制设备时，一般会在两个系统之间采用光电隔离，这样，两个系统之间除了有数据交换外，再无任何网络上的联系；在与MIS系统连接时，一般会采用通讯服务或路由器进行隔离，并安装单向传输装置，使MIS系统只能单向与通讯服务器联系，以此规范硬件中信息流，控制MIS系统对水电厂SIS的访问，进一步阻挡非法信息的入侵（如图1）所示；此外，水电厂的内网与外网之间也加装物理隔离设备，当内网向外网发送数据时，其数据需通过内部网关机上的通信进程，再通过单向物理隔离设备将数据转到外网，“外网”关机通信进程在收到内网传送过来的数据后，再将其写入外网公共数据区，而“外网”向内网传输数据的方式一样，但其方向相反（如图2）所示。通过对以上硬件进行防控，能有效保护水电厂数据传输的安全，避免数据传输过程中存在的安全隐患。

3.2 IDS入侵防护

IDS入侵监测系统，其主要是监视网络系统的运作状况，检测网络是否受到非法入侵攻击，并进行阻止，以保护信息网络系统结构的安全、完整。当前，水电厂SIS除了不断更新防火墙之外，还增加了IDS入侵防护检测系统，该入侵检测系统不仅能测出网络中存在的病毒信息，还能根据病毒入侵信息进行等级分析，并及时做出响应，然后设置相对应的防护策略。如：水电厂SIS受到黑客攻击时，IDS检测到黑客入侵攻击行为时，传感器便会向安全管理控制平台发出警报，并将黑客入侵的详细内容通知安全管理员，同时，控制路由器断开非法对话，以此保障SIS网络的安全。由此可见，IDS入侵检测系统作为维护网络安全的重要防控技术，其能在确保网络安全的前提下，对水电厂的网络运行状态进行检测，从而实现对水电厂内的网络进行实时保护。

图1 与MIS的连接方式

图2 内外网数据传输图

图3 入侵检测/响应流程图

3.3 态势感知系统防护

目前，水电厂通过在安全“I区”部署一套电力监控系统网络安全态势感知厂站终端，该终端主要是通过SNMP、SNMP trap、Syslog等技术，在I区进行纵向加密装置、横向防火墙、互联交换机的信息采集；在横向防火墙使用NAT技术将I区厂站装置IP映射成II区IP，然后通过SNMP、SNMP trap、Syslog等技术，实现II区的纵向加密装置、工作站的信息采集。在交换机上对网络流量的镜像，网络安全态势感知厂站终端具备以太网接口和流量获取端口。I区装置分别接入控制区交换机，非控制区交换机实现设备配置/日志信息以及设备流量信息的获取。“I区”网络安全态势感知厂站终端采集到的数据将通过II区调度数据网IP，向广东中调II区的主站平台服务器上送数据。厂站装置还可以通过ICMP、snmp、镜像三种来源来自动获取站内的资产信息，包括资产的IP地址、软件版本、内核信息等数据并形成拓扑结构，还可以通过手工录入、主动录入来手动添加资产。镜像来源还可以发现站内的数据通信（TCP、UDP协议）告警并上报主站。从而实现对水电厂各电力监控系统网络安全的数据采集、“范式化”处理、数据建模和关联分析，以便及时发现非法跨区互联、网络非法接入、非法移动介质接入等各类网络安全风险以及非法访问事件，以达到网络安全风险在线识别（如图4所示）。这对促进水电厂电力监控系统全方位、全天候的网络安全监测，以及电厂电力监控系统网络安全的闭环管理具有十分重要的意义。通过全面提高电厂电力监控系统网络安全防护的整体水平，提升电厂网络风险预警和病毒处理能力，达到电力监控系统网络安全风险可发现、可控制、可溯源的目的。

图4 网络安全态势感知系统体系结构图

4 总结

根据上文所述可以看出，水电厂网络的安全稳定关乎水电厂的正常生产运转，为此，需要提高对网络安全防控工作的重视程度，通过硬件隔离、IDS入侵检测，态势感知系统等安全防护来强化水电厂网络病毒防御系统，提高水电厂信息网络安全管理水平及病毒防控能力，切切实实的保障水电厂各个系统的正常运转，由此可见，做好网络信息安全防控工作对水电厂智能控制设备的正常运转十分重要。

[1]罗光涛.水电厂监控信息系统网络安全防控研究[J].信息与安全技术，2015（07）.

[2]黄开泰.水电厂信息网络安全防护的探究[J].科教导刊（电子版），2018（17）.

[3]季金付.发电厂厂级监控信息系统的网络安全防护[J].安徽电力，2013（04）.