长江电力：水电站电力监控系统网络安全防护研究

随着工业化和信息化的深度融合与发展，水电站电力监控系统面临的网络安全问题日益严重。本文多角度分析了水电站电力监控系统面临的网络安全威胁，描述了水电站电力监控系统网络安全防护现状，为应对不同威胁，提出了提升水电站电力监控系统网络安全防护水平的措施和建议。最后，基于水电站电力监控系统与传统IT信息系统的区别，从水电站电力监控系统的网络安全需求出发，对如何提升现有防护水平以实现其本质安全提出了展望。

水电站电力监控系统网络安全防护研究

中国长江电力股份有限公司，陈果

1 概述

水电站电力监控系统是水电站监视和控制领域中的重要组成部分，在水电站安全生产乃至电力系统安全稳定运行中占有重要地位。它主要由各种自动化元件和实时数据采集、控制流程部件等组成，包括各类生产控制系统、可编程逻辑控制器、远程测控单元、在线监测系统、辅助决策系统等。随着计算机技术、通信技术、控制技术的快速进步，水电站电力监控系统实现了信息管理与自动控制一体化，在生产过程中发挥的作用越来越重要。

随着通用开发标准和互联网技术的广泛应用，针对电力监控系统的病毒、木马等恶意代码或攻击行为出现频率大幅增加。近年来，已出现“震网”病毒事件、乌克兰停电事件等多次恶性网络安全事件[1]。这些事件给我们敲响了警钟，证明了水电站电力监控系统所面临的网络安全威胁是时刻真实存在的，必须采取措施预防和减少网络安全事件造成的损失和危害。

2 水电站电力监控系统面临的网络安全威胁

根据水电站电力监控系统自身特点及所处的环境，其面临的网络安全威胁主要来自以下几个方面：系统自身的技术漏洞或故障、来自内部或外部的恶意代码侵害、内部人员的误操作或越权操作、管理制度漏洞等。

2.1 系统自身的技术漏洞或故障

电力监控系统的结构已从最初的CCS（计算机集中控制系统）到DCS（分散控制系统），发展到现在的FCS（现场总线控制系统），结构和功能都发生了巨大的变化。由于设计开发人员的水平所限、系统采用的软硬件设备存在缺陷或漏洞等原因，不可避免会存在技术漏洞，系统运行过程中也可能出现各种故障。[2]

2.2 来自内部或外部的恶意代码侵害

由于目前我国水电站电力监控系统软硬件未实现完全国产化，因而不能排除非国产设备或系统是否存在人为因素留下的后门或漏洞。由于电力监控系统越来越依赖“以太网标准”进行设计和构建，基于TCP/IP等协议的漏洞也就可能会使其更易受到内外部网络的安全威胁。

同时，出于对数据的采集、分析与管理等方面的需要，水电站电力监控系统需要与（企业内部）公共网络进行数据交互。在数据交互的过程中，尽管采取了必要的技术措施，但仍使得水电站电力监控系统的部分内部结构或信息暴露在（企业内部）公共网络环境中。由于公共网络环境的复杂性和不确定性，导致水电站电力监控系统可能受到的网络安全威胁显著增加。[3]

此外，新需求的出现和新技术的应用也给水电站电力监控系统带来了新的挑战。移动应用、无线连接、机器人等技术在电力系统已多有应用，受应用时间和范围限制，与其相关的网络安全问题已逐步显现。

2.3 内部人员的误操作或越权操作

尽管水电站电力监控系统的自动化和智能化程度越来越高，但是在重要工序或关键步骤仍需要人为操作或干预。通过设置合理的闭锁和限制条件，可以有效降低但无法完全消除误操作的概率。某种程度上，人为失误是无可避免的，且其造成的损失可能是极高的，甚至高于来自外部的安全威胁。同时，包括设置错误、配置错误及编程错误等在内的误操作也很容易被不法分子利用，成为系统防御的薄弱点。

由于传统的电力监控系统缺乏限制用户行为的认证和加密机制，使得某些用户在特定情况下可以毫无约束地访问任何设备或资源，这就为越权操作打开了方便之门。

2.4 管理制度漏洞

技术和管理作为网络安全管理的两翼，缺一不可。因此，管理制度的漏洞或缺失同样需要引起高度重视。比如重要操作的监护制度、重要部位的进出管理制度、台账记录要求等，这些制度不仅对于事前风险防范意义重大，对于事后调查也必不可少。合理有效的制度体系是安全生产的重要保证，但新技术的应用和新业务的拓展给企业制度建设带来了不小的挑战。管理制度和实际工作一旦脱节，就会使水电站网络安全风险大大增加。

3 水电站电力监控系统网络安全防护现状

针对以上威胁，水电站电力监控系统有针对性地采取了技术和管理上的防护措施，主要包括以下几方面：

3.1 消除自身的技术漏洞

近年来，通过将水电站电力监控系统全面纳入信息安全等级保护，严格执行等级保护和安全风险评估的相关要求，有效发现并消除了许多技术漏洞。由于国外设备的封闭性和保密性，使得进一步提升其网络安全防护能力变得十分困难，因此我国水电站电力监控系统已广泛应用国产软硬件设备替代国外产品，以便牢牢掌握网络安全防护的主动权，实现本体安全和本质安全。

对于新建电力监控系统，水电站相关单位均高度重视系统架构安全规划设计、网络安全分区设计、区域访问控制策略设计及不同区域之间的隔离和认证等方面，在水电站电力监控系统全生命周期推广使用安全编程方法、安全测试方法、漏洞扫描等安全技术。

此外，水电站各相关单位越来越重视关键敏感信息的处理、保存、传输等环节，有效降低了技术漏洞等敏感信息被不法分子截获、盗取的风险。

3.2 防御外部威胁

目前，水电站电力监控系统主要通过白名单安全机制、边界防护和入侵检测（防御）等技术实现对外部网络安全威胁的防御。[4]

其中，白名单安全机制是来自于传统防火墙设置规则的安全规范，通过提前设定具体的规则或协议来限制数据的交互，从而从根源上消除恶意代码的传播和运行。不仅如此，白名单机制在水电站设备管理和实际业务操作中也得到广泛应用，例如指定可信任的人员使用指定的调试设备、移动介质按照指定的流程进行作业等。

物理隔离技术在我国多个行业部门均有广泛应用，对于文件数据交换、HTTP访问、WWW服务、FTP访问、电子邮件等业务均有较好的防护效果。在水电站电力监控系统领域，物理隔离技术能够建立安全通道实现安全快速的数据交换，对于关键网络设备的防护必不可少。

作为以上防范策略的补充，水电站电力监控系统普遍禁止远程维护管理和协助，禁用无线接入功能，并在关键网络中部署入侵检测（防御）设备。当外部威胁进入水电站电力监控系统内部时，可以及时发现、阻断、遏制相关威胁。

3.3 人员管理和制度建设

按照信息安全等级保护的自主保护、重点保护、同步建设、动态调整原则，各水电站均制定了全面的网络安全管理制度，加强了人员培训和管理。重点加强了权限管理、日志审计、应急演练等方面的管控工作，包括制定合理的权限管理流程、根据业务需要实现权限分离、建设覆盖所有关键设备的日志审计系统、开展全员网络安全培训和应急演练，通过多种形式提升员工网络安全防护意识和水平。

对于云计算、物联网、大数据等新技术应用，各电力企业积极面对谨慎探索，在满足现有要求、标准的基础上，不断积累实际使用经验，不断丰富和完善内部制度体系。

4 提升水电站电力监控系统网络安全防护水平的措施

传统的单一技术手段已不能保证水电站电力监控系统的安全能稳定运行，更无法提升其整体网络安全防护水平。只有依据自身业务特点，综合运用功能安全、信息安全等技术手段，结合健全有效的管理制度体系，才有可能实现水电站电力监控系统的本质安全。

4.1 边界管控

无论水电站电力监控系统结构如何变化，边界管控始终是网络安全防护中最重要的环节。用于监视和控制电力生产过程的基于计算机及网络技术的业务系统及智能设备，以及作为支撑的通信网络等是边界管控的重点。通过部署国产边界防护设备，重点强化水电站电力监控系统的边界防护，同时也可加强对内部设备、主机、应用和数据安全的防护。严格禁止水电站电力监控系统面向互联网开通HTTP、FTP、Telnet、无线通信等容易被入侵、攻击和利用的高风险通用网络服务。[5]

“震网”病毒事件为电力监控系统敲响了警钟，除筑牢边界管控防线外，还应重视开发测试环境、调试设备、移动介质的管理。在开发测试环境与生产环境之间应部署高强度隔离设备。在开发测试环境和生产环境中应部署终端管控系统，可有效实现对非法外联、非法内联、非授权设备接入等行为的识别和阻断。

4.2 权限管理

根据岗位职责对用户进行最小化授权，可保证因事故、错误等原因造成的损失最小化。对不同的管理人员和用户分配与职责相适应的权限，尤其应加强对关键岗位人员、离岗人员、接触内部敏感信息的第三方人员的权限管理，还应定期审计分配的账户权限是否超过工作需要。

此外，还应根据业务重要性，为水电站电力监控系统的各软件、硬件等设定不同的登录账户和口令，并定期进行更新，避免使用默认口令或弱口令，必要时可采取USB-key、指纹、虹膜等多重身份认证手段。

4.3 行为审计和态势预警

对水电站电力监控系统的各种安全信息进行采集和分析，实现对系统的安全状况评估。审计的对象包括通过安全代理、镜像流量、抓取等方式获得的水电站电力监控系统的各类日志、通信会话和安全事件等。还应在不影响水电站安全稳定运行前提下，对操作过程和授权过程进行安全审计。对日志进行定期备份，通过第三方日志审计系统对日志进行定期审计，追踪非授权访问行为。

为有效发现异常行为，同时避免对水电站电力监控系统造成破坏，应研究和设计适合现有工业控制协议的行为审计模型和方法。此外，还应大力推广应用安全可视化技术，为水电站电力监控系统管理者和用户提供安全全局视图，便于开展安全状态追踪、监视和控制，提供准确有效的参考信息，降低安全决策和应急响应的时间成本，减少人为失误提升管理效能。

为对水电站电力监控系统的网络安全态势进行全面评估，应建立全方位多层次的安全态势评估模型，在传统的资产、威胁、脆弱性评估基础上细化评估粒度，对水电站电力监控系统的不同层次设备采取不同评估方法。

4.4 管理保障

建立健全水电站电力监控系统网络安全管控机制，明确主体责任，成立由信息化、生产管理、设备管理等相关部门组成的网络安全协调机构，负责水电站电力监控系统的网络安全防护体系建设和管理。

在现有设备管理制度体系基础上建立水电站电力监控系统及网络安全防护设备资产清单，包括信息资产、软件资产、硬件资产等。明确水电站电力监控系统及网络安全防护设备的责任人及职责，建立资产使用制度，定期进行安全巡视，实时监视水电站电力监控系统运行状态，及时发现风险或隐患。

完善人员管理制度，加强对水电站电力监控系统管理员、用户的行为约束，通过技术手段保证制度要求严格执行。

加强供应链管理，优先选择具备电力监控系统安全防护经验的国有企事业单位实施水电站电力监控系统的规划、设计、建设、运维和评估等工作，全面推广国产设备。明确与水电站电力监控系统相关的供应商、服务商承担的网络安全保密责任，严控网络安全敏感信息的传播范围，防范相关配置文件、运行数据、控制指令等敏感信息外泄。

5 展望

在《中国制造2025》、“工业4.0”背景下，面向用户需求的服务模式逐渐成为主流，各类工业系统融合趋势愈发明显，水电站电力监控系统已不再完全封闭。同时，工业互联网和信息化的发展和融合不断产生了新的安全问题，水电站电力监控系统面临的安全形势愈加严峻。

但水电站电力监控系统与典型信息系统区别较大，关注点不同，必须区别对待。水电站电力监控系统一般对实时性和可靠性较为敏感，对于数据传输质量和实效要求极高。因此，对于水电站电力监控系统的网络安全防护，必须将保证可用性和可靠性放在首位。不可简单地套用传统信息安全技术，仅关注水电站电力监控系统中的网络和计算机设备，忽视对PLC等现场装置的安全防护，必须建立覆盖所有生产环节的基于生产流程的行为审计和分析平台。此外，行业相关机构应加快制定针对水电站电力监控系统业务场景的安全测试、测评标准，为各水电站主管单位提供更加准确有效的网络安全防护评价方法。

参考文献

[1] 童晓阳，王晓茹.乌克兰停电事件引起的网络攻击与电网信息安全防范思考，电力系统自动化，2016，7：144-148.

[2] 林枫.电力监控系统网络安全防护体系的思考.信息通信，2017，5：123-125.

[3] 罗常.电力监控系统信息安全防护体系在电力系统中的应用研究，机电工程技术，2016，45：97-100.

[4] 郭春梅，毕学尧.对电力监控系统网络安全的思考.信息安全与通信保密，2013，3：42-44.

[5] 陈亚亮，杨海军，姚钦锋，戴沁芸.电力监控系统网络安全防护体系研究，第28次全国计算机安全学术交流会论文集.2013，10：57-59.

声明：本文来自电力科技创新，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。