王芳平，陈超群

（三峡水力发电厂，湖北 宜昌 443133）

0 引言

伴随着计算机技术的日益发展，现代的水电站监控系统已向数字化、智能化方向发展，所覆盖的信息终端也越来越多，这势必会将更多的IT技术应用到水电站监控系统的控制中，如何加强水电站监控系统的安全防护能力，形成有效发现风险和控制风险的技术手段，提升监控系统安全保障水平成为当务之急。

目前的水电站监控系统在规划设计、工程实施、系统改造、运行管理等过程都已严格执行《电力监控系统安全防护总体方案》要求，根据安全分区、网络专用、横向隔离、纵向加密4个总原则来确定电力监控系统安全防护的范围和目标，并具体实施。本文以某巨型左岸电站二次安防部署为例，从总体防护和综合防护两个方面来探讨水电站监控系统的二次安防策略。

1 总体防护体系建设

某巨型左岸电站监控系统根据系统业务的重要性分为生产控制大区和管理信息大区，其中生产控制大区分为控制区（又称安全I区）和非控制区（又称安全Ⅱ区），监控系统由厂级监控层和现地控制层组成，控制网和信息网又分别由双光纤星型网络组成，控制网和信息网相互独立运行，能够确保数据传输的稳定性，安全Ⅰ区、安全Ⅱ区与电力调度数据网之间通过部署加密装置实现双向身份认证、数据加密和访问控制，保证了业务系统接入的可信性。

安全Ⅰ区与安全Ⅱ区之间部署了电力专用正向安全隔离装置进行单向隔离，安全Ⅰ区与安全Ⅲ区部署了电力专用正向安全隔离装置进行单向隔离，安全Ⅲ区与安全Ⅳ区部署了电力专用正向安全隔离装置进行单向隔离。网络边界部署防病毒网关实现从网络层检测和阻断恶意代码，能够高效拦截常见漏洞入侵、间谍软件、病毒、木马、钓鱼网站、恶意URL 访问等网络威胁。

监控系统网络防护框架如图1所示。

图1 水电站监控系统网络防护框架示意图

电力调度数据网使用独立的网络设备组网，在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离，采用MPLS-VPN技术划分两个相互逻辑隔离的业务子网，即实时VPN和非实时VPN。实时VPN用于控制区业务系统的远程数据通信，非实时VPN用于非控制区业务系统的远程数据通信。站端的电力调度数据网有连通两个方向的专用通道，并通过光纤专网连通梯调专用通道，采用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。

当下虽然使用Windows等操作系统仍是主流，但国产操作系统如凝思磐石、中标麒麟等也日渐成熟，监控系统服务器工作站使用国产操作系统，并对操作系统进行相应的安全加固，关闭不使用的功能，确保包括补丁、软件包、安全设置在内的配置安全可靠，可将计算机系统所承担的安全风险降到最低。

2 综合防护措施应用

2015年2月国家能源局下发《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全[2015]36号），其中提出的安全防护的总体原则与之前的电力二次安全防护原则增加了“综合防护”。“综合防护”是对监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备用及容灾等多个层面进行安全防范的过程，这些防护手段的实施是目前所有水电站都在探索中的工作。下面介绍某巨型左岸电站采用的一些综合防护手段。

2.1 入侵检测技术

未经授权而通过非法手段进入电力信息系统的行为叫系统入侵，系统入侵会导致系统一系列的安全风险，因此引入入侵检测技术是防止非法入侵的有效手段。

入侵检测装置（IDS）系统的两大职责：实时监测和安全审计。实时监测是实时地监视网络中所有的数据报文以及系统中的访问行为，将待处理事件与以往确定入侵事件的模式以及方式进行对比，分析两者之间的匹配程度，以确定是否属于入侵行为，并实时处理来自内部和外部的攻击事件和越权访问。这种检测方式准确率较高，而且应用范围广泛，但是不能防范未出现过的新型入侵模式。安全审计是通过对IDS系统记录的违反安全策略的用户活动进行统计分析，得出网络系统的安全状态，并对重要事件进行记录，可对以往用户的访问记录进行统计排查，但是如果入侵者将入侵行为伪装成正常操作行为，就可以逃避系统检测。所以，需要在实际工作运用合理的检测搭配方式。入侵检测的动作原理如图2所示。

图2 入侵检测动作原理

入侵检测系统可以作为防火墙和访问控制机制的合理补充，是防火墙之后的第二道安全闸门，在具体实施中，网络边界部署IDS对内网核心网络的运行状态进行监视并对流经核心交换机的报文进行探测和分析，需要将入侵检测装置旁路接入核心交换机，并将交换机其余端口通过镜像方式将流量映射到IDS接入的端口，以便入侵检测装置进行监测。为了符合安全分区的原则，不建议入侵检测装置跨区使用。

2.2 内网监视平台

2017年《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》文件明确指出：“在变电站、并网电厂电力监控系统的安全Ⅱ区（或Ⅰ区）部署网络安全监测装置，实现对网络安全事件的监视与管理。”通过网络安全监测采集装置（以下简称“监测装置”）采集电厂涉网部分主机设备、网络设备、通用及专用安防设备的告警信息，实时监测电厂内部涉网主机的外设接入、网络设备接入、人员登录等安全事件。要求电厂电力监控系统建设部署网络安全监测功能，实现本地网络安全的监视和管控。构建覆盖安全I区和安全Ⅱ区的网络安全数据采集网，在不改变现有生产网络的前提下，承载网络安全监视系统的运行和应用，最大化减少网络安全监管业务对生产控制系统生产业务流量和网络架构的影响。

在具体实施中，采集装置依据分区要求，需要分别在安全Ⅰ区和安全II区部署，通过采集装置多网口，分别实现向各级调度系统Ⅱ区内网监视平台上报网络安全事件。其部署的网络结构图如图3所示。

图3 内网监视平台网络部署示意图

安全Ⅰ区的采集装置通过正向隔离装置后将采集信息发送至安全Ⅱ区采集装置，由安全Ⅱ区监测装置进行告警日志汇总，安全Ⅱ区涉网部分监测装置将相关日志告警信息通过调度数据网上报上级调度机构，安全Ⅱ区非涉网部分监测装置将相关日志告警信息通过集体网络上报梯调安全Ⅱ区网络安全管理平台。

安全Ⅰ区涉网采集装置只采集直接接入调度数据网的设备，包括调度通信网关机、PMU等涉网实时业务，安全I区非涉网采集装置采集包括监控系统核心服务器、交换机、入侵检测、隔离装置等所有电厂监控系统中非涉网的设备。安全Ⅱ区涉网业务包括故障录波、关口计量装置等，非涉网业务包括暖通、抄表系统等。

2.3 可信计算技术

当今,虽然电力部门实现了电力通信网络的隔离,构建了保证电力系统网络安全的三道防线，但是由于电力系统的重要性和网络攻击的复杂性,在隔离条件下依然对电力系统进行网络攻击也是可能的。随着国际安全形势日益严峻，大量新型攻击方式快速涌现，使得以查杀为核心的被动防御缺失了效率，为应对更为复杂的信息安全威胁，更为高效地主动防御体系开始在二次安防中得到运用。

可信计算其核心思想是计算机运算的同时进行安全防护，计算全程可测可控，不会被打扰，是一种运算和防护并行结构、主动免疫的新计算模式。其基本原理是：在平台上电开始，从信任根到硬件平台、操作系统、应用程序，构建完整的信任链，一级认证一级，一级信任一级，并且能够通过可信报告功能将这种信任关系通过网络连接延伸到整个信息系统，应用可信计算技术，未获认证的程序将不能被执行，从而保证了系统的自身安全。

可信计算平台由可信策略管理端和可信计算安全模块客户端组成。客户端在管理端注册后，管理端能够对已注册的客户端提供安全策略的定制、集中的运维管理、系统资源监控、审计信息统一收集等功能，其中集中的运维管理模式可大大提高运维人员的工作效率、提高客户端的集中监控能力，保障整体业务系统环境的安全可信。可信平台组成架构如图4所示。

图4 可信平台组成架构

3 结语

总体上，电力监控系统在电力行业中承担的控制、通信、交换、计算等任务越来越重，其安全性足以影响电厂安全生产，其工作涉及电厂的运行、检修和信息化等多个部门，是跨专业的系统工作。加强和规范管理是确保水电站监控系统安全的重要措施，建立健全安全防护体系，首先需要有完善的安全管理制度，并能落实到人，明确各级专业人员的安全职责；其次才是安全防护软硬件配置到位不留漏洞。只有实现对电力监控系统充分可靠的安全防护，才能有效保障电力生产安全稳定运行。