吉牛水电站二次系统安全防护系统建设

张志辉，白 维，李 政

（四川革什扎水电开发有限责任公司，四川 丹巴 626300）

1 概 述

吉牛水电站位于四川省甘孜州丹巴县境内，装有2台单机容量为120 MW的冲击式水轮发电机组，拥有亚洲最长的22.38 km引水隧洞，以发电为主，是藏区重要的水电站之一。

随着科学技术的发展，逐渐形成了以物联网技术、网络通信技术、PLC技术以及计算机技术相融合的水电站自动监视和控制系统[1]。水电站在享受着信息科学技术的发展带来的自动化程度不断提高的同时，也承受着网络安全风险隐患。例如，2019年委内瑞拉遭遇将近9个小时的全国大规模停电，2019年乌克兰全国50%区域电网自动断电事件以及21世纪初期我国西南某大型水电站遭遇病毒攻击造成全厂停电等。按照《电力监控系统安全防护规定》（中华人民共和国国家发展和改革委员会令第14号）[2]、《电力监控系统安全防护总体方案》（国能安全〔2015〕36号）[3]的要求，为防范吉牛水电站电力二次系统受到恶意攻击而引发安全事故，保障吉牛水电站的设备的安全稳定运行，吉牛水电站于2018年6月完成了该电站的二次系统安全防护建设工作。

2 电力二次系统安全防护分析

2.1 总体要求

坚持以“安全第一、预防为主、管理和技术并重、综合防范”为方针，以“安全分区、网络专用、横向隔离、纵向认证”为原则。

2.2 两个特点

系统性和动态性。

2.2.1 系统性

就水电站而言，二次系统由站内基于计算机及网络技术的各业务单元组成。各业务单元的安全要求程度不一致，并且通过不同的网络通信技术建立关联。通过网络分层分区模式，实现站内的信息组织和管理。所以，吉牛水电站的二次安防在设计阶段不但满足大渡河集控和四川省调的相关网络安全要求，还要做到网络结构清晰、明了、合理，形成对内对外、区域局部相结合的二次安防防护体系。所以，众多因素决定了二次安防是一个系统性工程。

2.2.2 动态性

现代网络通信技术的不断发展和系统自身内涵外延的变化两个方面，决定了电力二次安防系统的动态性。在新的网络攻击手段、计算机病毒以及恶意代码层出不穷的情况下，一成不变的安全防护措施和方案已经不能应对日益变化的网络攻击，安全防护应该变被动为主动。随着智慧电厂的不断发展，电站内部设备也在不断扩建、改造和更换，这就决定了电力二次防护是需要不断适应、不断更新和不断完善的动态工程。

2.3 基本原则

二次安防的基本原则是“安全分区、网络专用、横向隔离、纵向认证、综合防护”。

安全分区。按照水电站各业务系统对水电站生产的重要作用和影响程度，可将电力二次系统分为控制大区和信息大区。控制大区可分为控制区（安全I区）和非控制区（安全II区）。

网络专用。水电站的电力调度数据网应当在专用通道上使用独立的网络设备组网，控制区业务通过实时子网、非控制区业务通过实时子网传递至调度系统。实时子网和非实时子网之间完全逻辑隔离，网络通道专网专用。

横向隔离。横向隔离是水电站二次安防护体系的横向防线。控制大区的安全I区和安全II区之间应布置具有访问功能的防火墙，控制大区和信息大区应布置单向隔离装置，所选择的防火墙和单向隔离设备需通过国家制定检测。

纵向认证。纵向加密是水电站二次安防护体系的纵向防线。水电站安全I区和安全II区的业务与调度系统之间应布置具备双向身份认证、数据加密和访问控制的加密装置，所选用的装置必须满足国家有关部门的检测要求。

综合防护。综合防护需要从主机加固、防恶意代码和病毒、安全审计、漏洞扫描、入侵检测以及管理制度等各方面对水电站系统进行防护。

3 吉牛水电站二次系统安全防护方案

3.1 设计原则

按照水电站二次安防的总体要求、系统特点和基本原则，结合吉牛水电站网络设备的配置现状，确定设计原则如下[4]：计算机监控系统应作为防护核心；不能将电力调度数据网作为一个单独的系统考虑，应把其当做调度自动化的通信通道；所有业务系统必须正确分区，根据分区情况对业务采用相应的安全防护措施；站内各系统与调度及集控中心的纵向通信设备接口、配置策略为重点；对站内所有主机进行加固，重要服务器加装专用加固软件；部署防恶意代码系统、漏洞扫描系统、安全审计系统以及入侵检测系统，并进行统一管理。

3.2 防护方案的实施

以吉牛水电站电力二次安防系统建设为例，阐述吉牛水电站二次安防系统的设计方案。

3.2.1 安全分区

安全分区是整个二次安防的基础工程，对吉牛水电站应用系统按照表1进行安全区划分。（1）安全I区为（控制区），包括水电站监控系统、消防系统、压频解列装置、PMU、继电保护系统、调速器系统以及励磁系统。安全I区是电力二次系统的核心，安全防护的重点。（2）安全Ⅱ区（非控制区），包括电能量采集子站、继电保护信息管理子站、OMS系统以及水情测报系统。（3）安全Ⅲ区（信息大区）包括库坝监测系统、机组状态监测系统、ONCALL系统工业电视与门禁系统。（4）安全Ⅳ区（管理信息区），包括MIS系统、安全风险管控系统以及生产管理系统。为了加强安全控制区的边界防护，安全I区布置了一套IDS系统，入侵检测系统探头与调度网实时交换机1、2和集控中心交换机1、2连接，依照一定的安全策略，通过软硬件对电站I区自动化设备与上级调度部门和集控中心之间的纵向通信进行监视，对各种攻击企图、攻击行为或者攻击结果进行监视；安全Ⅱ区同样布置了一套IDS系统，入侵检测系统探头与调度网非实时交换机1、2连接，对电站Ⅱ区设备与上级调度部门之间的纵向通信进行监视。

表1 吉牛水电站安全分区规划表

3.2.2 网络专用

电力调度数据网是吉牛水电站安全控制大区和调度端的专用通信网络。电站安全I区和安全Ⅱ区的业务分别通过实时子网和非实时子网送达调度。对电力调度数据网络设备进行安全配置，如关闭路由器和交换机consloe口并设置密码、超时自动退出、关闭telnet服务、采用安全增强的SNMPv2及以上版本的网管协议等。

3.2.3 横线隔离

对于生产控制区，安全I区与安全Ⅱ区之前的隔离，在计算机监控系统与水情系统之前布置了一台防火墙，通过横向逻辑隔离阻止来自区域之间的越权访问、入侵攻击等，将危险源控制在有限范围内。对于生产控制大区与管理信息大区的隔离，水情系统通过反向横向隔离装置从安全区Ⅲ相关系统获取水文、气象信息，并对信息进行严格签名认证和检查过滤，进而保护安全级别要求更高的控制大区的安全。需要注意，必须采购经国家指定部门检测认证的、隔离强度接近或达到物理隔离的防火墙和隔离装置。

3.2.4 纵向认证

吉牛水电站生产控制大区业务系统所连接的广域网为电力调度与大渡河集控中心端。为保证交换信息的保密性、完整性和可用性，在电力调度数据网接入系统的实时和非实时VPN交换机和接入路由器之间布置了国家指定部门检测认证的电力专用纵向加密认证装置，在大渡河集控中心数据网接入系统实时VPN交换机端布置了国家指定部门检测认证的电力专用纵向加密认证装置。纵向加密装置支持SM2算法，配置了相应的安全策略，禁用了高风险的网络服务，实现双向身份认证、数据加密和访问控制。支持系统告警，支持完备的安全事件告警机制。当发生非法入侵、装置异常、通信中断或丢失应用数据时，可通过加密认证设备专用的告警串口或网络输出报警信息，日志格式遵循Syslog标准。

3.2.5 综合防护

为了防止计算机受到非法访问和恶意攻击，对不合法命令进行命令阻断。电站对系统所有主机进行加固配置，对电站核心服务器安装了专业的主机加固软件进行防护。在安全区I和安全Ⅱ分别部署金山防病毒和恶意代码防护系统，在管理信息大区部署集团公司统一规划的署防病毒和恶意代码系统。同时，定期对恶意代码病毒库、木马库、防病毒策略进行离线更新，定期检查防恶意代码系统日志，及时隔离未知病毒。为保证实时、动态应对不安全事件，对不安全事件进行监测，增强对生产大区网络行为的监察、控制和审计能力，在安全区I和安全Ⅱ分别部署网络人侵检测系统。此外，设计上禁止IDS与防火墙联动，以防止IDS误报影响生产大区网络的正常运行。为了对生产大区网络运行日志、操作系统运行日志、业务应用系统运行日志以及安防设备运行日志等进行集中收集、自动分析、及时发现各种违规行为以及病毒和黑客的攻击行为，在安全区I和安全Ⅱ分别部署了一套安全审计系统。在安全区I和安全Ⅱ分别部署了一套漏洞扫描系统，目的是通过定期扫描发现生产大区网络和主机的安全漏洞，并根据提供的安全解决建议，对生产大区网络进行安全配置。

3.2.6 网络安全管理策略

据统计，96%以上的网络、计算机受到的攻击和病毒侵害都是由于管理不善造成的。吉牛水电站作为藏区重要的电站，需建立完善的网络信息安全管理制度，成立专门的信息化安全小组，严格按照对不安全事件和个人进行追究和考核。建议完备的网络和信息安全应急预案，并定期开展演练、评估和修订，目的是在突发紧急状况时指导电站进行处置突发应急事件。加强用户权限管理和存储介质的管理，定期开展风险评估和等级保护测评，及时了解整个网路的安全状况。

4 结 论

水电站在享受网络技术的发展带来的便利时承受着网络安全多元化的威胁，所以水电站安全防护技术需要不断升级改进，不断提升管理水平，建立更加可靠、完备、全覆盖的二次安防体系，变被动防护为主动防护，确保电站安全稳定运行。