智能化水电站监控系统网络安全问题与对策

2022-04-07陈曦

水电站设计 2022年1期

陈曦

(中国长江电力股份有限公司，湖北宜昌 443000)

0 前言

能源供给侧和需求侧改革的深化，推动清洁绿色安全高效发展的电力系统的智能化时代加速到来，依靠高效智能的电力系统工业监控系统，传统能源和新能源发电协同，集中和分布式能源供应并举，电力系统调峰强度和响应能力提升。智能化的电力系统工业监控系统将大数据、云计算、物联网、移动互联网等先进信息技术与电力系统工业生产监控系统高度融合，由此带来对电力系统工业监控系统新的安全隐患。近年国际上电力行业的网络安全事件不断给我们敲响警钟，如伊朗核电站因网络攻击而延缓建设、乌克兰电力系统遭网络攻击致使供电系统瘫痪、委内瑞拉古里水电站因不明网络攻击引起电站监控系统事故而诱发全国大面积停电事故，这些均给所在国的经济社会造成了极大的影响。电力系统的安全事关国家经济社会的总体安全，因此，要积极应对智能化时代大型水电站监控系统的网络安全问题，以确保电力系统的安全可靠运行。

1 大型水电站工程的社会影响力

以三峡工程为例，工程建成竣工至今，其防洪、补水、航运、发电、水资源利用等综合效益显著。作为长江中下游防洪体系的重要组成部分，三峡工程控制着洪水期间最危险河段荆江96%的来水，控制着武汉2/3以上的来水。2003—2019年，三峡水库累计拦蓄洪水1 533亿m3，在长江上游防洪减灾中发挥着不可或缺的作用。据中国工程院测算，仅三峡工程每年的防洪效益就达88亿元。此外，三峡工程还产生了绿色电力，为区域发展提供了宝贵的资源。初步测算，三峡电站2020年生产了1 118亿kW·h清洁电能，与燃煤发电相比，可替代标准煤约3 439万t，减排二氧化碳约9 402万t、二氧化硫2.24万t、氮氧化物2.12万t，相当于种植3.7×109m2阔叶林，有利于构建清洁低碳、安全高效的能源体系，对我国力争在2030年前实现二氧化碳排放达峰值，2060年前实现碳中和具有重要意义[1]。而这一切都必须建立在三峡工程安全的基础上。

保护大型水电站安全就是保障人民生命财产安全，分析解决水电站监控系统网络安全问题，就是防止黑客入侵监控系统后做出危险操作。

2 水电站监控系统网络安全结构与区域划分

大型水电站的工业监控系统即电站监控系统，由各种自动化元件、实施数据采集、控制流程组成，包括监督控制和数据采集系统(SCADA)、分布式控制系统(DCS)、可编程控制器(PLC)/远程终端(RTU)/智能电子设备(IED)和组件接口的通信技术[2]。

电站监控系统按照结构可分成厂站层和现地控制单元层。厂站层又分为厂站控制层、厂站信息层和生产信息查询层[3]。电站监控系统按网络结构可分为电站控制网、电站信息网和生产信息查询网。电站控制网主要用于连接现地控制层和厂站控制层设备，并实时传输现场监控的各类信息；电站信息网主要用于连接厂站控制层和厂站信息层设备，传输数据处理信息；生产信息查询网主要用于连接信息查询层设备，通过网络安全设备与厂站信息层网络连接。

根据电力二次系统的特点，划分为生产控制大区和管理信息大区。生产控制大区分为控制区(Ⅰ区)和非控制区(Ⅱ区)。信息管理大区分为生产管理区(Ⅲ区)和管理信息区(Ⅳ区)[4]。不同安全区确定不同安全防护要求，其中Ⅰ区安全等级最高，Ⅱ区次之，其余依次类推。监控系统网络遵循“安全分区、网络专用、横向隔离、纵向认证”的原则，实施网络安全措施。

3 智能化时代黑客的攻击方式

智能化时代的到来，人为形式单一的网络攻击已经转变成复杂机械化的智能攻击，这种攻击方式不需要程序员输入一行行复杂的代码，全部由电脑主机某个软件自动完成。入侵者只需要连上互联网启动入侵软件即可。入侵者由于是机器，那么就可每天24 h不间断地入侵，入侵机器还有学习能力，可以通过之前入侵成功的案列来获取经验，从而提高入侵成功几率。机器与机器之间也可以交换入侵成功或者失败的经验。当然了，也会有多台入侵机器合作入侵，此时的入侵就不是单方面的或者个别几种攻击方式了，这就要考验一个企业的综合安全防护能力了，安全性薄弱的地方往往最容易被入侵者攻破。

面对如此严峻的网络攻击，必须组成一个牢不可破的网络安全结构网，划分其安全区域，并增加软件和硬件设备的防护，提高员工网络安全意识，这样才能抵御入侵者，保障大型水电站网络安全。笔者提出的电力系统安全防护设计示意见图1。

图1 电力系统安全防护示意

4 水电站监控系统的系统策略加固和防病毒软件

如图1所示，Ⅰ区、Ⅱ区、Ⅲ区、Ⅳ区、办公网和堡垒机内的所有服务器、办公电脑和调试电脑都必须进行系统安全策略加固并且安装杀毒软件。

4.1 系统安全策略加固

系统安全策略加固主要针对计算机安全薄弱的地方进行提前弥补，提高计算机预防病毒、木马的能力，一般从以下7个方面考虑。

用户方面：名称规范，权限控制，开启账户控制(UAC)。

密码方面：禁止凭据管理器，长度不能短，复杂度要高，带生存期。

网络方面：IP地址规范，关闭硬盘共享、默认路由、无线网卡和远程登录。

介质方面：关闭存储介质和光驱自动播放功能，清除虚拟内存。

软件方面：删除操作系统中与业务无关的软件。

审计方面：开启系统策略配置及日志文件权限设置。

防护方面：开启SYN、防火墙、DEP、系统补丁更新和杀毒软件，封闭危险端口，关闭RDP服务。

4.2 杀毒软件

杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能，有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能，是计算机防御系统的重要组成部分。杀毒软件一般对已有病毒库内的病毒、木马非常有效。

杀毒软件是一种可以对病毒、木马等一切已知危害程序代码进行清除的程序工具。其原理是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式进驻系统，并且随操作系统启动。大部分的杀毒软件还具有防火墙功能，其实时监控方式因软件而异。

杀毒软件针对已有病毒库内的病毒、木马非常有效。所有服务器、办公电脑、调试电脑都必须安装杀毒软件。但仅仅只用杀毒软件是不够的，还要用到硬件设备，因为病毒存在于杀毒软件病毒库里，杀毒软件能查到但不一定能杀掉，而新型病毒一般不在常见杀毒软件的病毒库内，杀毒软件更是难以察觉。

5 水电站监控系统网络安全的硬件设备

95%以上的病毒和木马都是来自外部因特网。外部因特网感染办公网电脑，再通过办公电脑入侵Ⅳ区服务器，然后通过Ⅳ区服务器入侵Ⅲ区服务器，以此类推。针对水电站监控系统网络结构的特殊性，以及各个硬件防护设备的优缺点，用以下硬件设备会比较适合。

5.1 堡垒机

堡垒机在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

堡垒机针对运维过程中存在的安全审计隐患非常有效。建议堡垒机装在外部因特网与公司局域办公网之间。

5.2 IDS

入侵检测系统(IDS：Intrusion Detection System)是计算机的监视系统。通过实时监视系统，一旦发现异常情况就发出警告，依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。建议IDS装在堡垒机后面，随时可以监视入侵者并把攻击方法记录下来。

5.3 蜜罐技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，攻击者入侵后即可以知道自己是它们的攻击方式和路径，了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，掌握他们的社交网络，对其攻击行为进行捕获和分析，推测攻击意图和动机。防御方在此基础上可通过技术和管理手段来增强实际系统的安全防护能力。

建议蜜罐装在堡垒机后面，让入侵者花费大量的精力去攻击一个事先设计好的“陷阱”，就算蜜罐被破坏，最坏的情况也只能攻击到办公电脑。所以蜜罐后面必须装防火墙，并且用防火墙将该蜜罐IP地址隔断。

5.4 APT攻击预警平台

APT(Advanced Persistent Threat)——高级持续性威胁。APT是黑客以窃取客户核心资料为目的，所发动的网络攻击和侵袭行为是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为就是一种“网络间谍”的行为。

APT针对木马类的窃取软件非常有效，建议APT装在蜜罐和办公电脑后面，这样既可以将办公电脑杀毒软件没检查出来的病毒、木马、恶意程序等及时报告给管理者，又可以监测蜜罐中是否有病毒。网络安全管理员可以及时通过交换机封住该员工的网络端口并告知该职工电脑已经中毒，应立即处理。这样可以有效防止病毒借助该员工的电脑为“跳板”去攻击别人。

5.5 防火墙

防火墙的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性。

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。并且能禁止特定端口的通信流出，封锁特洛伊木马。最后，它还可以禁止来自特殊站点的访问，从而防止来历不明入侵者的所有攻击。

所以每个区域之间(Ⅲ区与Ⅱ区之间除外)必须用防火墙，防火墙针对IP或端口固定的攻击非常有效，它可以隔断大量的IP和端口，只允许开个别管理IP和个别端口的计算机进入该区，其他设备全部会档在防火墙外面。堡垒机与外部因特网之间可以装个“隐蔽防火墙”，平时不做任何限制，当堡垒机被攻破后再发挥功效。

虽然防火墙有许多优点，但也有缺点，比如：防火墙主要是限制IP和端口出入情况，如果IP是变动的或者端口未知又或者一个端口控制了多个软件，那么这个时候防火墙就很难限制了。

针对防火墙的这个缺点，有个设备正好弥补了防火墙的缺点，它就是IPS。

5.6 IPS

针对防火墙的这个缺点，入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件和防火墙的补充。入侵防御系统是一个能够监视网络或网络资料传输行为的计算机网络安全设备，能够及时地中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IPS针对防火墙“漏网之鱼”的弥补，建议IPS放在每个防火墙后面，可以弥补防火墙天生的缺陷，并且与IDS不同的是，监视到有伤害性的网络行为后，可以立即中断、调整或隔离，而IDS只能监视和报告，不具备中断、调整或隔离的功能。

5.7 网络安全隔离装置(正向型)

网络安全隔离装置(正向型)是位于调度数据网络与公用信息网络之间的一个安全防护装置，用于安全区I/II到安全区III的单向数据传递。它可以识别非法请求并阻止超越权限的数据访问和操作，从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动，保护实时闭环监控系统和调度数据网络的安全；同时它采用非网络传输方式实现这两个网络的信息和资源共享，并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通，保障电力系统的安全稳定运行。

物理上控制反向传输芯片的深度为4个字节，在物理上实现了数据流的纯单向传输，数据只能从内网流向外网。

网络专用安全隔离装置(正向型)必须放在Ⅱ区到Ⅲ区之间，Ⅱ区到Ⅲ区是生产控制大区和管理信息大区的边界，此装置两边的设备是无法用PING命令的，装置实现两个安全区之间的非网络方式的安全数据交换，并且保证安全隔离装置内外两个处理系统不同时连通。假设入侵者已经在Ⅲ区了，其虽然能得到少部分数据，但不知道数据是从何而来，且得到的数据都是被算法处理过的，所以入侵者想要破坏生产控制大区的设备是极困难的。

5.8 网络安全隔离装置(反向型)

网络安全隔离装置(反向型)是位于两个不同安全防护等级网络之间的安全防护装置，用于低安全区向高安全防护区的单向数据传递。装置采用电力专用隔离卡，只传输采用E语言格式书写的文本文件，装置对E语言文件进行合规检查，实现这两个网络的信息和资源安全传递，保障电力系统的安全稳定运行。

此装置将嵌入式内核进行了裁剪和优化。目前，内核中只包括用户管理﹑进程管理，裁剪掉TCP/IP协议栈和其他不需要的系统功能，进一步提高了系统安全性和抗攻击能力，防止黑客对操作系统的攻击，并有效抵御DoS/DDoS攻击。

网络专用安全隔离装置(反向型)必须放在Ⅱ区到Ⅲ区之间，网络安全隔离装置(反向型)是针对数据从Ⅲ区到Ⅱ区的单向隔离装置，如果没有数据从Ⅲ区到Ⅱ区，可以不装此设备。

5.9 纵向加密认证装置

纵向加密认证装置是用于保护电力专用、电力调度、数据网、路由器和电力系统的局域网之间通信安全的电力专用网关机。该装置实现了对电力数据的安全防护，避免了数据的丢失和信息的外泄等，保证了电力数据传输的稳定性、可靠性和及时性。认证装置的密码包括对称加密算法、非对称加密算法、随机数生成算法等，从而使纵向加密认证装置更安全，以实现数据网络的安全防护。

装置的管理系统不仅能设置和查询加密认证网关，而且能够实现对数字证书的管理及密钥的初始化，对加密认证网关的工作模式、状态等进行查询和设置，并对各个加密装置实施有效的监控和管理。

纵向加密认证装置必须装在同级区域上下级调度之间，该装置可以为电力调度部门上下级控制中心多个业务系统之间的实时数据交换提供认证与加密服务，实现端到端的选择性保护，保证电力实时数据传输的实时性、机密性、完整性和可靠性。

5.10 针对硬件漏洞的入侵

每个厂家生产出来的硬件都有漏洞的，入侵者可以通过漏洞绕过该硬件。如果用了同一厂家的设备，入侵者只需要跳过该厂家的一个漏洞就能入侵整个电力生产系统。

解决方案为防火墙、隔离装置不可依赖同一厂家的设备。

如果全部用不同厂家的设备，入侵者需要寻找不同厂家设备漏洞才行，这样就变相增加了入侵难度。如果条件允许，应该尽可能地用不同厂家的防护设备。比如外部公共因特网与Ⅳ区之间用A防火墙，Ⅳ区与Ⅲ区之间用B防火墙，Ⅲ区与Ⅱ区之间用C正向型隔离装置和D反向型隔离装置，Ⅱ区与Ⅰ区之间用E防火墙。这样入侵者想破坏生产区系统需要攻克A防火墙、B防火墙、C正向型隔离装置和D反向型隔离装置，想破坏实时控制区系统还需要额外攻克E防火墙。因为A、B、C、D、E设备出自不同的生产厂家，他们设备的漏洞就不一样。入侵者的攻克方式也要变换。就算入侵者本领在大，可以攻克所有不同厂家的防御设备也需要很长的时间。在此期间，巡检人员在设备系统安全定期巡检时会发现系统异常，从而发现有入侵者。

图1的设计就是充分利用了各个防护设备的优点，弥补各个设备的缺点，各个设备相互配合，共同抵御入侵者。

6 人员管理措施

虽然软件和硬件的共同防护可以大大提高抵御病毒和木马的能力，但是如果员工网络安全意识差，病毒和木马还是会通过其他介质直接传到公司计算机中，从而感染计算机。所以要提高员工网络安全意识，定制网络安全管理制度，具体按照以下几个方面：

及时处理系统漏洞，持续提升员工网络安全意识。

禁止开发和运维人员电脑中保存用户名、密码等敏感信息。

解散除企业微信外其他即时通讯软件上的工作联系群。

严控外来人员，及时核准人员身份。

IT运维须通过审批流程申报，严禁通过电话等其他联系方式私自处理。

梳理信息系统资产，及时填报到网络安全管理系统，确保信息资产完备。

严禁在互联广域网中传递或保存用户名、密码、拓扑图、漏洞整改报告等敏感信息。

关闭在公有云上搭建的与公司有关联的应用系统。排查供应商是否违规使用公司标识或公司名称。

按最小化权限策略设置各单位Ⅲ区到Ⅳ区和各区域广域网出口防火墙等安全设备。

办公网络需安装终端管控软件和杀毒软件，开启防火墙，做好计算机本地安全措施。

开展网络安全隐患排查和安全加固工作，提高安全防范能力。

全面落实值班值守制度，发现网络攻击情况要迅速处理并及时报公司信息部。

清理信息系统的远程维护功能。生产控制大区严禁开通远程维护。

严禁点击邮箱、短信、微信等互联网应用中来路不明的链接和附件，严禁通过外部邮箱转发公司内部邮件。

办公电脑须设置屏保和超时休眠机制，下班后须关闭电脑，及时更新操作系统补丁。

办公电脑不下载使用除办公需要以外的软件。

生产控制大区信息系统有明确的安全责任部门、责任人，对系统运行、维护、使用人员进行分类分级授权管理，定期巡检。

涉及与信息系统相关的项目，应与系统开发商、维保单位签订《网络安全保密协议》。

生产控制大区计算机对必需保留的软驱、光驱和端口应加强管控，并建立台账。

禁止在生产控制大区主机和生产专用便携机安装非工作需要的软件。

生产专用便携机和移动硬盘严禁跨区使用或接入互联网。生产控制大区禁止使用U盘、外来调试计算机和移动存储介质。

制订和完善生产控制大区网络安全事件应急预案，定期开展应急演练。

7 思考与建议

随着科学技术的发展，仍然会有新的病毒和木马甚至是未知领域的东西会对水电站的网络安全构成威胁，所以图1的方案并非一劳永逸。这些新型病毒、木马可以通过系统某个必须开放的端口入侵，而这个端口是存在漏洞的，入侵者就是利用这个漏洞来入侵他人系统；也可以通过某个硬件上的漏洞来入侵，比如：在CPU出厂前先装个后门程序。希望科研人员探索开发一款新软件，作用类似“白细胞”。

病毒、木马已经入侵系统后，只靠杀毒软件是无法完全清除的，杀毒软件杀的病毒必须在其病毒库或者特征库里面。但新病毒、木马大多数会不在其病毒库里面，等病毒、木马已经达到其破坏目的后，再由杀毒软件公司发现这个新病毒，提供病毒更新包，最后才能去杀毒，这样对企业来说损失是很大的。

杀毒软件好比一个人的免疫抗体，它是有针对性的。白细胞根据入侵者的趋势进行防御。如果该文件的趋势化是破坏系统，那么“白细胞”会自动吞噬该文件，这步吞噬操作不需要特征库和病毒库。被吞噬的文件处于停止执行任何操作的状态，可由人来判断是否是一个病毒文件，最后决定是否删除。因此，该功能如果过于“敏感”，则会大大降低原有系统的效率，还会出现大量误报情况影响生产。如果过于“迟钝”，则很难触发使其发挥作用，从而无法有效地吞噬入侵者。所以要控制该功能的“敏感度”，让其既能发挥作用又不降低原有系统的效率。