張志輝，白 維，李 政

（四川革什扎水電開發(fā)有限責任公司，四川 丹巴 626300）

1 概 述

吉牛水電站位于四川省甘孜州丹巴縣境內，裝有2臺單機容量為120 MW的沖擊式水輪發(fā)電機組，擁有亞洲最長的22.38 km引水隧洞，以發(fā)電為主，是藏區(qū)重要的水電站之一。

隨著科學技術的發(fā)展，逐漸形成了以物聯(lián)網技術、網絡通信技術、PLC技術以及計算機技術相融合的水電站自動監(jiān)視和控制系統(tǒng)[1]。水電站在享受著信息科學技術的發(fā)展帶來的自動化程度不斷提高的同時，也承受著網絡安全風險隱患。例如，2019年委內瑞拉遭遇將近9個小時的全國大規(guī)模停電，2019年烏克蘭全國50%區(qū)域電網自動斷電事件以及21世紀初期我國西南某大型水電站遭遇病毒攻擊造成全廠停電等。按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（中華人民共和國國家發(fā)展和改革委員會令第14號）[2]、《電力監(jiān)控系統(tǒng)安全防護總體方案》（國能安全〔2015〕36號）[3]的要求，為防范吉牛水電站電力二次系統(tǒng)受到惡意攻擊而引發(fā)安全事故，保障吉牛水電站的設備的安全穩(wěn)定運行，吉牛水電站于2018年6月完成了該電站的二次系統(tǒng)安全防護建設工作。

2 電力二次系統(tǒng)安全防護分析

2.1 總體要求

堅持以“安全第一、預防為主、管理和技術并重、綜合防范”為方針，以“安全分區(qū)、網絡專用、橫向隔離、縱向認證”為原則。

2.2 兩個特點

系統(tǒng)性和動態(tài)性。

2.2.1 系統(tǒng)性

就水電站而言，二次系統(tǒng)由站內基于計算機及網絡技術的各業(yè)務單元組成。各業(yè)務單元的安全要求程度不一致，并且通過不同的網絡通信技術建立關聯(lián)。通過網絡分層分區(qū)模式，實現(xiàn)站內的信息組織和管理。所以，吉牛水電站的二次安防在設計階段不但滿足大渡河集控和四川省調的相關網絡安全要求，還要做到網絡結構清晰、明了、合理，形成對內對外、區(qū)域局部相結合的二次安防防護體系。所以，眾多因素決定了二次安防是一個系統(tǒng)性工程。

2.2.2 動態(tài)性

現(xiàn)代網絡通信技術的不斷發(fā)展和系統(tǒng)自身內涵外延的變化兩個方面，決定了電力二次安防系統(tǒng)的動態(tài)性。在新的網絡攻擊手段、計算機病毒以及惡意代碼層出不窮的情況下，一成不變的安全防護措施和方案已經不能應對日益變化的網絡攻擊，安全防護應該變被動為主動。隨著智慧電廠的不斷發(fā)展，電站內部設備也在不斷擴建、改造和更換，這就決定了電力二次防護是需要不斷適應、不斷更新和不斷完善的動態(tài)工程。

2.3 基本原則

二次安防的基本原則是“安全分區(qū)、網絡專用、橫向隔離、縱向認證、綜合防護”。

安全分區(qū)。按照水電站各業(yè)務系統(tǒng)對水電站生產的重要作用和影響程度，可將電力二次系統(tǒng)分為控制大區(qū)和信息大區(qū)?？刂拼髤^(qū)可分為控制區(qū)（安全I區(qū)）和非控制區(qū)（安全II區(qū)）。

網絡專用。水電站的電力調度數(shù)據網應當在專用通道上使用獨立的網絡設備組網，控制區(qū)業(yè)務通過實時子網、非控制區(qū)業(yè)務通過實時子網傳遞至調度系統(tǒng)。實時子網和非實時子網之間完全邏輯隔離，網絡通道專網專用。

橫向隔離。橫向隔離是水電站二次安防護體系的橫向防線?？刂拼髤^(qū)的安全I區(qū)和安全II區(qū)之間應布置具有訪問功能的防火墻，控制大區(qū)和信息大區(qū)應布置單向隔離裝置，所選擇的防火墻和單向隔離設備需通過國家制定檢測。

縱向認證?？v向加密是水電站二次安防護體系的縱向防線。水電站安全I區(qū)和安全II區(qū)的業(yè)務與調度系統(tǒng)之間應布置具備雙向身份認證、數(shù)據加密和訪問控制的加密裝置，所選用的裝置必須滿足國家有關部門的檢測要求。

綜合防護。綜合防護需要從主機加固、防惡意代碼和病毒、安全審計、漏洞掃描、入侵檢測以及管理制度等各方面對水電站系統(tǒng)進行防護。

3 吉牛水電站二次系統(tǒng)安全防護方案

3.1 設計原則

按照水電站二次安防的總體要求、系統(tǒng)特點和基本原則，結合吉牛水電站網絡設備的配置現(xiàn)狀，確定設計原則如下[4]：計算機監(jiān)控系統(tǒng)應作為防護核心；不能將電力調度數(shù)據網作為一個單獨的系統(tǒng)考慮，應把其當做調度自動化的通信通道；所有業(yè)務系統(tǒng)必須正確分區(qū)，根據分區(qū)情況對業(yè)務采用相應的安全防護措施；站內各系統(tǒng)與調度及集控中心的縱向通信設備接口、配置策略為重點；對站內所有主機進行加固，重要服務器加裝專用加固軟件；部署防惡意代碼系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)以及入侵檢測系統(tǒng)，并進行統(tǒng)一管理。

3.2 防護方案的實施

以吉牛水電站電力二次安防系統(tǒng)建設為例，闡述吉牛水電站二次安防系統(tǒng)的設計方案。

3.2.1 安全分區(qū)

安全分區(qū)是整個二次安防的基礎工程，對吉牛水電站應用系統(tǒng)按照表1進行安全區(qū)劃分。（1）安全I區(qū)為（控制區(qū)），包括水電站監(jiān)控系統(tǒng)、消防系統(tǒng)、壓頻解列裝置、PMU、繼電保護系統(tǒng)、調速器系統(tǒng)以及勵磁系統(tǒng)。安全I區(qū)是電力二次系統(tǒng)的核心，安全防護的重點。（2）安全Ⅱ區(qū)（非控制區(qū)），包括電能量采集子站、繼電保護信息管理子站、OMS系統(tǒng)以及水情測報系統(tǒng)。（3）安全Ⅲ區(qū)（信息大區(qū)）包括庫壩監(jiān)測系統(tǒng)、機組狀態(tài)監(jiān)測系統(tǒng)、ONCALL系統(tǒng)工業(yè)電視與門禁系統(tǒng)。（4）安全Ⅳ區(qū)（管理信息區(qū)），包括MIS系統(tǒng)、安全風險管控系統(tǒng)以及生產管理系統(tǒng)。為了加強安全控制區(qū)的邊界防護，安全I區(qū)布置了一套IDS系統(tǒng)，入侵檢測系統(tǒng)探頭與調度網實時交換機1、2和集控中心交換機1、2連接，依照一定的安全策略，通過軟硬件對電站I區(qū)自動化設備與上級調度部門和集控中心之間的縱向通信進行監(jiān)視，對各種攻擊企圖、攻擊行為或者攻擊結果進行監(jiān)視；安全Ⅱ區(qū)同樣布置了一套IDS系統(tǒng)，入侵檢測系統(tǒng)探頭與調度網非實時交換機1、2連接，對電站Ⅱ區(qū)設備與上級調度部門之間的縱向通信進行監(jiān)視。

表1 吉牛水電站安全分區(qū)規(guī)劃表

3.2.2 網絡專用

電力調度數(shù)據網是吉牛水電站安全控制大區(qū)和調度端的專用通信網絡。電站安全I區(qū)和安全Ⅱ區(qū)的業(yè)務分別通過實時子網和非實時子網送達調度。對電力調度數(shù)據網絡設備進行安全配置，如關閉路由器和交換機consloe口并設置密碼、超時自動退出、關閉telnet服務、采用安全增強的SNMPv2及以上版本的網管協(xié)議等。

3.2.3 橫線隔離

對于生產控制區(qū)，安全I區(qū)與安全Ⅱ區(qū)之前的隔離，在計算機監(jiān)控系統(tǒng)與水情系統(tǒng)之前布置了一臺防火墻，通過橫向邏輯隔離阻止來自區(qū)域之間的越權訪問、入侵攻擊等，將危險源控制在有限范圍內。對于生產控制大區(qū)與管理信息大區(qū)的隔離，水情系統(tǒng)通過反向橫向隔離裝置從安全區(qū)Ⅲ相關系統(tǒng)獲取水文、氣象信息，并對信息進行嚴格簽名認證和檢查過濾，進而保護安全級別要求更高的控制大區(qū)的安全。需要注意，必須采購經國家指定部門檢測認證的、隔離強度接近或達到物理隔離的防火墻和隔離裝置。

3.2.4 縱向認證

吉牛水電站生產控制大區(qū)業(yè)務系統(tǒng)所連接的廣域網為電力調度與大渡河集控中心端。為保證交換信息的保密性、完整性和可用性，在電力調度數(shù)據網接入系統(tǒng)的實時和非實時VPN交換機和接入路由器之間布置了國家指定部門檢測認證的電力專用縱向加密認證裝置，在大渡河集控中心數(shù)據網接入系統(tǒng)實時VPN交換機端布置了國家指定部門檢測認證的電力專用縱向加密認證裝置。縱向加密裝置支持SM2算法，配置了相應的安全策略，禁用了高風險的網絡服務，實現(xiàn)雙向身份認證、數(shù)據加密和訪問控制。支持系統(tǒng)告警，支持完備的安全事件告警機制。當發(fā)生非法入侵、裝置異常、通信中斷或丟失應用數(shù)據時，可通過加密認證設備專用的告警串口或網絡輸出報警信息，日志格式遵循Syslog標準。

3.2.5 綜合防護

為了防止計算機受到非法訪問和惡意攻擊，對不合法命令進行命令阻斷。電站對系統(tǒng)所有主機進行加固配置，對電站核心服務器安裝了專業(yè)的主機加固軟件進行防護。在安全區(qū)I和安全Ⅱ分別部署金山防病毒和惡意代碼防護系統(tǒng)，在管理信息大區(qū)部署集團公司統(tǒng)一規(guī)劃的署防病毒和惡意代碼系統(tǒng)。同時，定期對惡意代碼病毒庫、木馬庫、防病毒策略進行離線更新，定期檢查防惡意代碼系統(tǒng)日志，及時隔離未知病毒。為保證實時、動態(tài)應對不安全事件，對不安全事件進行監(jiān)測，增強對生產大區(qū)網絡行為的監(jiān)察、控制和審計能力，在安全區(qū)I和安全Ⅱ分別部署網絡人侵檢測系統(tǒng)。此外，設計上禁止IDS與防火墻聯(lián)動，以防止IDS誤報影響生產大區(qū)網絡的正常運行。為了對生產大區(qū)網絡運行日志、操作系統(tǒng)運行日志、業(yè)務應用系統(tǒng)運行日志以及安防設備運行日志等進行集中收集、自動分析、及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為，在安全區(qū)I和安全Ⅱ分別部署了一套安全審計系統(tǒng)。在安全區(qū)I和安全Ⅱ分別部署了一套漏洞掃描系統(tǒng)，目的是通過定期掃描發(fā)現(xiàn)生產大區(qū)網絡和主機的安全漏洞，并根據提供的安全解決建議，對生產大區(qū)網絡進行安全配置。

3.2.6 網絡安全管理策略

據統(tǒng)計，96%以上的網絡、計算機受到的攻擊和病毒侵害都是由于管理不善造成的。吉牛水電站作為藏區(qū)重要的電站，需建立完善的網絡信息安全管理制度，成立專門的信息化安全小組，嚴格按照對不安全事件和個人進行追究和考核。建議完備的網絡和信息安全應急預案，并定期開展演練、評估和修訂，目的是在突發(fā)緊急狀況時指導電站進行處置突發(fā)應急事件。加強用戶權限管理和存儲介質的管理，定期開展風險評估和等級保護測評，及時了解整個網路的安全狀況。

4 結 論

水電站在享受網絡技術的發(fā)展帶來的便利時承受著網絡安全多元化的威脅，所以水電站安全防護技術需要不斷升級改進，不斷提升管理水平，建立更加可靠、完備、全覆蓋的二次安防體系，變被動防護為主動防護，確保電站安全穩(wěn)定運行。