电力监控系统二次安全防护策略探讨

国网宁夏电力公司银川供电公司 寇 琰 马 帅

1 电力监控系统二次安全防护的现状

近年来，电力监控系统当中的网络安全事件频发，安全形势异常严峻，随着网络安全问题的凸显，其内涵也在不断扩展。目前，变电站电力监控系统实施了二次安全防护项目，调度监控系统、双套电力调度数据网建设已全面完成，330kV 及以下变电站“安全分区、网络专用、横向隔离、纵向认证”的安全防护目标已基本实现[1]。但是随着变电站自动化系统的广泛应用，电力监控系统二次安全防护不全面、针对性不强的问题日益突显，电力系统二次安全防护水平亟待加强。

在硬件方面，变电站的监控服务器、数据通信网关机、保护信息子站等设备一方面肩负电网运行数据实时监控、信息记录及传送等任务，另一方面也为调度人员提供了电网无功实时调控、负荷预测、在线状态评估等功能[2]。在系统日常维护及升级过程中，通过纵向加密认证装置进行外部入侵防护是重要安全防护手段，但不能有效防止维护过程中内部入侵对设备造成的大面积破坏，因此在变电站中配备内部安全防护设备是解决上述问题的关键手段。

在软件方面，电力监控系统仍大量采用基于Windows/Linux/Solaris 等混合平台的管理系统，但部分操作系统无法部署防病毒软件或防病毒软件升级周期长等问题日益突出。虽然很多电力监控系统对维护人员的权限、口令进行了规范化管理，但是网络渗透、攻击威胁手段花样翻新、层出不穷，攻击者技术不断更新[3]。系统漏洞、产品漏洞、管理漏洞、威胁手段等网络安全风险都在不断变化，电力监控系统二次安全防护一旦停滞不前则无异于坐以待毙，这在一定程度上大大增加了电力监控系统的安全运行风险。

2 电力监控系统二次安全防护策略

2.1 电力专用纵向加密认证网关防护策略

电力专用纵向加密认证网关部署于电力调度主站与变电站或并网厂站之间，根据电力调度数字证书系统和调度通信关系建立加密隧道，用于电力调度生产控制大区（实时控制I 区、非实时控制II 区）的广域网边界防护，可为本地生产控制大区提供一个网络屏障，同时为调度主站与下属厂站控制系统之间的广域网通信提供认证、加密、访问控制等服务，实现数据的远方安全传输和电力数据网纵向边界的安全防护。此外，电力专用纵向加密认证网关对电力系统专用的应用层通信协议进行了转换，实现了端到端的选择性保护[4]。

变电站使用的电力专用纵向加密认证网关应依据实际业务数据传输访问关系，按照点对点的最小化网络安全访问控制策略配置，要求设置密通隧道及密通策略，禁止设置明通隧道及明通策略。密通策略应对源地址、目的地址、通讯协议及端口根据具体业务进行细化，隧道下的安全策略应实际有效，不存在多余、无用和宽泛策略，且不存在全网段IP 地址和默认全网络端口号的范围策略。设备管理账户按照三权分立要求设置用户及相应角色权限，各用户密码均宜设置为含字母+数字+特殊符号及大小写在内的8位以上的强口令，不宜设置为包含众所周知、易猜易攻破的弱口令，口令应每90天定期更换。

2.2 防火墙防护策略

在电力监控系统二次安全防护体系建设中，防火墙是非常重要的安全防护设备，其在变电站内部安全I 区（生产控制大区）和安全II 区（非生产控制大区）之间实现重要的边界防护功能。目前，变电站常用的防火墙为用户提供了全面的安全防范体系和远程安全接入能力，支持DoS/DDoS攻击防御、网络地址转换（Network Address Translation，NAT）、虚拟防火墙、安全域策略等能够有效的保证网络的安全。防火墙的包过滤技术和应用代理技术是电力监控系统二次安全防护中最常用到的防火墙功能，包过滤技术是根据防火墙安全策略，对数据包中的源地址、目的地址、服务端口等标志进行判断，只有符合安全策略的数据包才允许通过并转发，不符合安全策略的数据包将被丢弃。

应用代理技术则能较大程度地隔绝通信两端的直接通信，所有通信都由应用层的代理转发，访问者在任何时候不允许与服务器直接建立TCP 连接，应用层的协议会话过程必须符合所设置代理的安全策略要求。此外，基于应用层报文过滤（Application Specific Packet Filter，ASPF） 的检测技术，使得防火墙可以解析并记录每个应用的每个连接所使用的端口，建立动态过滤规则让应用连接的数据通过，数据连接结束后又能及时删除该动态规则，并能对连接状态过程和异常命令进行检测记录，实现对应用连接的有效访问控制和协助网络管理员完成网络的安全管理[5]。

电力监控系统中防火墙应配置安全的登录方式，允许启用HTTPS、SSH 等安全的加密登录方式，修改默认登录端口号，禁用telnet、http、FTP、rlogin 等非安全通用网络服务，以及不安全的访问登录方式，启用并设置登录次数失败的限制控制策略[6]。启用本地安全策略的控制选项，可通过串口或以上述安全加密的网络登录方式登陆防火墙方便策略配置等维护工作。各防火墙所接两侧不同安全分区的网络IP 地址段不应设置为同一网络段地址，访问控制策略均使用白名单方式，依据实际业务数据横向传输访问关系。依据实际业务需求的最小化原则配置策略路由，指明具体的IP 地址与用户。各允许通行访问控制策略均应通过安全域进行配置，明确清晰的设置信任域、非信任域和隔离区的IP 地址列表，各域的IP 地址列表须明确依据实际业务横向数据传输访问需求的具体静态IP 地址、以最小化具体化原则列入设置，明确设置域间允许或拒绝访问动作，动作策略且设为启用。按照访问通行控制策略匹配顺序，添加最后一条禁止策略，禁止任何源地址至任何目的地址、任何网络协议及任何网络端口号的禁止访问策略，除允许的横向穿越防火墙访问策略之外的任何访问均默认禁止访问。各项正式策略均应设置为启用状态，删除或禁用默认策略。

2.3 网络安全监测装置防护策略

目前，通过部署电力专用横向隔离、纵向加密设备、硬件防火墙、入侵监测系统、VPN 设备、恶意代码检测等安全产品，初步建立了基础性的电力监控系统二次网络安全防护系统，并取得了不错的效果。但是，因电力监控系统网络空间巨大造成安全管控任务艰巨的实际情况依旧存在，国际上电力监控系统网络非法接入事件频发，网络安全形势严峻，国家电网公司按照“监测对象自身感知、网络安全监测装置分布采集、网络安全管理平台统一管控”的原则，推进建设了电力监控系统网络安全管理平台（以下简称管理平台），实现了电力监控系统网络空间的实时监控和闭环管理。

网络安全监测装置是管理平台的重要组成部分，分为I 型和II 型，分别部署于电力调度主站与变电站或并网厂站电力监控系统的局域网网络中，用以对局域网中主机设备、网络设备、硬件防火墙、电力专用横向隔离等设备进行网络安全监测，具有数据采集上传、服务代理、命令控制和灵活的本地管理功能[7]。这些被监测设备采用自身感知技术或安装第三方网络安全探针程序（Agent），产生网络安全事件信息发送至网络安全监测装置，经处理后将结果按照《网络安全管理平台采集信息规范》通过通信手段上送至调度主站部署的管理平台。此外，通过网络安全监测装置或管理平台还可对被监测对象进行网络阻断、配置修改等操作，实现本地或远程对被监测对象进行控制和管理。

2.4 软件系统安全防护策略

在电力系统中，包括变电站监控系统、综合自动化系统、数据通信网关机等所使用的服务器都应采用经过安全加固的操作系统，在这些主机的安全加固防护中应满足如下要求：

删除或禁用操作系统的默认、无用、无效账户，Linux/Unix 操作系统保持无ROOT 用户模式，Windows 操作系统要删除或停用操作系统中的缺省账号，按照三权分立要求设置用户及相应角色权限，启用密码管理策略，口令应设置为密文存储，各用户密码均宜设置为含字母、数字、特殊符号及大小写在内的8位以上强口令，口令应每90天定期更换，各主机设备用户名及密码由专人安全收执管理。

删除或停用关系数据库中的缺省账号和无效账号，删除或停用业务系统中的无效账号，及时清理离岗人员账号。按最小化原则，严格分配和管理操作系统、关系数据库、业务系统中各类账号的权限，操作系统、关系数据库要根据角色分配实际工作所需要的最小权限，业务系统坚持实名制原则，其权限满足最小化的要求[8]。严格管理关系数据库、业务系统相关功能及参数，切断用户权限自动提升的各种途径，普通用户严禁具有修改权限的功能，关系数据库、业务系统等要对用户修改权限有严格限制。

各主机设备配置系统日志策略和日志设置自动覆盖策略，覆盖策略要以时间为参数，保存日志的磁盘要有足够的容量，日志保存期限不能少于6个月，删除无运行价值的垃圾文件和保存时间超过1年以上的日志文件。全面设置主机安全防护策略、本地策略，删除默认共享等。