谢秋华，杨廷勇，杨 云，张卫君

（1.中国长江电力股份有限公司，湖北 宜昌 443000；2.北京中水科水电科技开发有限公司，北京 100038）

0 引言

电力行业安全事关国家安全，水电站电力监控系统作为重要领域的工业控制系统电力监控系统，其网络信息安全受到各方面高度的关注。在具体防护工作的开展中，电力行业的监督主体部门包括中央网信办、工信部、发改委、能源局、公安部以及国家密码管理局等，防护要求涵盖了从法律到条例，从政府部门通知到国家、行业标准规范，为切实落实各个监管部门的管理要求，本文以电力监控系统网络安全防护体系三维立体防护模型为蓝本，综合考虑当前水电站网络安全风险实际情况、威胁环境、法律和监管规定以及防护技术的发展，确定了适合水电站电力监控系统的三维立体防护模型，在电力监控系统网络安全防护体系的“综合防御”基础上，提出了基于国产装备、国密技术、可信计算的“主动免疫，综合防御，风险防范，灾难恢复”十六字方针，形成了主动免疫的水电站电力监控系统网络安全防护方案。

1 水电站电力监控系统网络安全重难点

1.1 技术措施落地难

水电站电力监控系统网络安全防护工作要求多、细、严，但在具体执行过程中多数企业存在技术措施落地难的问题，分析原因有2个方面：①对电力监控系统各项安全防护监管要求的认知与理解不足。电力监控系统安全防护，不同监管部门有不同的管理重点与要求，从业人员缺乏对相关要求的正确认识，以及落实监管要求与电力监控系统本身安全运行之间“度”的把握。电力监控系统安全防护相关规定是针对网络安全工作中的薄弱环节提出防护要求，有些并未落实到具体的安全防护产品或技术，市场上林林总总的安全防护产品是否具备相关的防护能力、能否在不影响系统运行安全的基础上满足防护的功能、是否成熟产品等，要求从业人员具备选择、评估、判断的能力。

②人员的专业技术能力欠缺。水电站电力监控系统网络安全工作早期从专业管理角度出发，人员均是自动化相关专业，对电力监控系统运维、发改委的《电力监控系统安全防护规定》执行的比较到位，但网络安全防护工作同时涉及到信息系统等级保护相关内容，人员普遍存在知识储备不足。此外水电站电力监控系统网络安全防护工作一段时间一直处于“被动上马”的状态：为满足监管部门要求购买一些安全防护装备，这些设备犹如一个黑匣子，配置由产品供货商说了算，技术人员不清楚配备的安全防护设备是否适当和足够，不清楚设备的功能与性能，更缺乏根据系统网络安全状态变化实时调整网络安全防护设置的能力。

1.2 管理职能、应急备用待提升

水电站电力监控系统网络安全防护相对于水电站生产管理属于新兴业务，在近20年网络安全防护工作开展中，管理制度经历了从无到有、从简单到完善、从单纯的设备维护职责到涵盖资产管理、人员管理的发展历程。相对网络安全防护的技术措施，不同水电企业在管理制度的制定与执行方面差异性更大，具体表现在：在人员方面，发电企业是否设置网络安全管理专职人员；设备维护部门“三权分立”的设置与执行情况；全员网络安全防护意识的培养；电力监控系统人员管理是否除本单位安全防护人员，还涵盖了设备的供货商、开发商以及系统维护商等。在设备方面，是否建立清晰、明确的全系统设备资产清册和拓扑图；设备空闲端口、移动存储介质与调试用电脑等的规范管理情况；新投运设备、退役设备管理盲区的排查；设备运行期间的密码管理、病毒库升级规范执行等等。

体现水电站电力监控系统安全与否的一个最重要的指标就是各系统在任何状况下都能“可用”，电力监控系统在设计时，通常都考虑了冗余备用，这对电力监控系统来说是必要的，可以应对单设备故障；但从电力监控系统整体安全考虑，还需从边界防护的“多道防线”以及极端情况下的灾难恢复两方面做考虑，从而使水电站电力监控系统可应对高级别的恶意攻击，以及网络安全事件发生时，电力监控系统整体安全处于可接受的水平。

2 水电站电力监控系统安全防护方案主体内容

2.1 水电站电力监控系统安全防护方案框架

针对水电站电力监控系统网络安全防护中存在的问题，本文提出了一套完整的可指导具体实施的设计方案。方案对当前成熟的防护技术进行详细的规定，明确其采用的软硬件实施方法，对先进的网络安全防护理念进行了实践和提炼。方案参考《电力监控系统网络安全防护导则》（以下简称导则），确定水电站电力监控系统安全防护框架由安全防护技术、应急备用措施、全面安全管理等3个方面组成，详细设计内容见图1。

图1 水电站电力监控系统安全防护框架

其中安全防护技术方面在导则“基础安全、结构安全、本体安全、安全免疫”四方面的基础上，进行了补充完善，形成以“基础安全、结构安全、本体安全、综合防御、安全免疫”全方位的技防手段，“综合防御”将目前网络安全防护采取的访问控制、入侵防范、恶意代码防范、内网监测平台、安全审计等技防措施进行了归类阐述；此外“安全免疫”也在导则中“版本管理、静态免疫、动态免疫”的基础上增加了数字证书的应用。

2.2 水电站电力监控系统安全防护应急管理

在应急备用措施方面，方案在导则的基础上结合水电站电力监控系统类型、特点进行了细化、优化设计。从外到内的横向三道防线将外部公共因特网、管理办公区的信息外网、管理办公区的信息内网、生产控制区进行了严格防范；从下到上的三道防线将现地级控制设备、厂站级设备、梯调中心设备、国调中心设备从纵向实施安全防护。

冗余备用措施根据系统不同，备用方式不同。以水电站计算机监控系统为例，现地层设备以“结构冗余”为主，对影响LCU可靠性的每一个环节采取双冗余配置，如PLC的CPU、I/O机箱电源、通信模块、I/O模块、机柜电源、总线等；对巨型水电站厂站层设备，兼顾“结构冗余”、“功能分布”、“功能冗余”，采用多机多网冗余配置、同功能的设备冗余配置，极端情况下，功能还可转移至其他设备；此外，对水电站计算机监控系统还设置了系统失灵情况下的手动操作机构与回路，确保自动控制失效时的应急备用措施。

2.3 水电站电力监控系统安全防护全面安全管理

在全面安全管理方面，方案沿用了导则关于“融入安全生产管理体系、全体人员管理、全部设备管理、全生命周期管理”的理念，具体设计时总结三峡电厂多年的防护管理经验进行了细化、优化，各项管理措施均有可执行的实施细则，并通过现场检查、督导使各管理措施落地。

在“融入安全生产管理体系”方面，建立与常规安全生产相类似的组织体系、目标责任体系、风险防控措施、考核实施细则，营造从上至下的“网络安全防护意识”。

在“全体人员管理”方面，分人员安全分级管理、重点区域人员管理、外协单位人员管理以及离职人员管理，从制度与流程上保证所有人员都可控在控。

在“全部设备管理”方面，分系统建立完善的设备资产清册，在此基础上编制电力监控系统网络安全防护拓扑图、开展对主机与通信设备的安全加固，同时通过网络安全检查持续完善。

在“全生命周期管理”方面，设计阶段重点把好设备选型关和系统结构设计关，开发阶段重点规避密码明文存储、固化存储以及代码中采用通用网络服务等不符合网络安全的编程习惯，系统上线前开展系统的等级保护与信息安全测评、漏洞分析与源代码安全检测，系统运行阶段运维人员全面、规范地执行各种技防措施、做好移动介质的管理，系统退役阶段做好关键设备及敏感信息的报废、销毁管理。

3 先进的网络安全防护理念与技术

水电站电力监控系统网络安全防护具体实施中，各项技术措施处于逐步完善中，本方案针对三峡电厂电力监控系统网络安全具体实践，总结提炼了一系列先进的安防理念的具体应用要求：

3.1 电磁屏蔽

相关标准中对电磁屏蔽的要求比较含糊，信息系统等级保护第三级要求中描述为：“应对关键设备和磁介质实施电磁屏蔽”，导则中仅要求“应对关键电力监控系统（四级）关键区域或关键设备实施电磁屏蔽。”，水电站电力监控系统中，计算机监控系统为三级系统，因此为指导现场实施，方案规定水电站计算机监控系统中与国调、梯调通信的相关服务器需进行电磁屏蔽，同时对电磁屏蔽柜的功能、配置提出了具体要求。

3.2 国产设备及软件

本体安全的四部分包括“生产系统无恶意软件、操作系统无恶意后门、整机主板无恶意芯片、主要芯片无恶意指令”，根据水电站电力监控系统应用现状，应用软件国产化总体情况良好，操作系统和基础软件，工业用的计算机与网络设备仍以国外产品为主，因此导则中要求是相关软硬件设备“应通过国家有关机构的安全检测认证”，但为实现真正的本体安全，方案根据三峡电厂现有试点情况，提出应有计划地推进电力监控系统服务器、工作站，控制网及信息网交换机等硬件设备国产化，操作系统、数据库等软件产品国产化，目前国内主流的浪潮、曙光等服务器，麒麟、凝思等操作系统都是通过国家安全四级检测认证的设备，其安全性可以真正做到“自主可控”。

3.3 内网安全监视与审计平台建设

方案在导则“基础安全、结构安全、本体安全、安全免疫”四方面的技术措施上增加了“综合防御”环节，其中访问控制、入侵监测、恶意代码防范属于成熟技术的应用，内网安全监视和审计平台是针对电力监控系统网络安全防护“实时监视、集中审计”要求而开发的新型防护手段。具体做法是从发电厂到公司建设一个统一的平台，该平台同时实现统一调度体系内网络安全信息的共享。平台可实时监视系统内所有信息资产的资源及运行状态，动态感知评估和整个系统的健康状况；集中收集系统中所有设备的运行日志，实现全维度、跨设备、细粒度关联分析。内网安全监视与审计平台实现发电企业网络安全防护状态的集中、实时监视，操作系统、数据库、应用软件的集中审计，及时发现网络安全事件和潜在隐患。

3.4 可信安全免疫

《网络安全法》、《电力监控系统总体方案要求》以及导则中均有对可信安全免疫的描述，但由于相关技术与产品并不成熟，相关标准并无强制要求，而是要求“逐步采用”、“逐步推广”。三峡电站在两年的试点实践中，形成了国产密码与可信计算技术在水电站计算机监控系统应用的“可信安全免疫”方案，从根本上改变了传统的“以边界防护为主的网络安全防护体系”，形成攻击者进不去、非授权者重要信息拿不到、系统重要信息改不了、攻击行为赖不掉的主动免疫的网络安全防护体系。

方案中采用国产密码技术的可信密码模块以板卡形式安装于服务器的主板上，服务器中安装可信软件基。BIOS和可信密码模块共同构成系统的物理信任根，从系统引导开始逐级建立可信链，信任传递至可信软件基后，由可信软件基完成对操作系统、应用软件的静态度量，可信软件基同时在应用层面上对设备、程序、人员进行可信度量。

4 结语

水电站电力监控系统网络安全防护方案，一方面是需要将当前已有的成熟手段包括技术与管理措施做细、做实，已有的技术措施提炼出明确的软、硬件防护要求；管理手段应涵盖设备的全生命周期和运维的全体人员管理，并通过监督检查确保执行到位；应急备用措施从事前预防到事后处理，防范网络安全事件的发生并在发生网络安全事件的情况下将影响控制到最小。另一方面是要根据水电站电力监控系统现状、网络安全防护新理念与技术，在电力监控系统中全面采用国产服务器、国产操作系统、国产软件，实现系统重构可信主机、基础可信网络环境的建设；在操作系统、应用系统层级，部署可信计算平台和可信安全管理平台，实现可信计算环境的建设；研发水电站数字证书系统，为水电站监控系统中的用户、关键网络设备、服务器、业务程序等发放数字证书，实现高强度的身份认证、安全的数据传输和可靠的行为审计；部署内网监视平台用于监视机房内所有业务服务器、网络安全设备的资源及运行状态，动态感知评估和整个监控系统的健康状况，最终建设成为主动安全免疫的水电站电力监控系统。