智能变电站安全运维策略研究

刘慕娴，陆力瑜，莫蓓蓓，刘桂华

（广西电网电力调度控制中心，南宁 530000）

0 引言

近年来，黑客攻击工控系统的事件频繁发生，并呈现增长趋势。根据工业安全事件信息库RISI（Repository of Industrial Security Incidents）的统计，截止2019年，全球已经发生了数百起专门针对工业控制系统的重大攻击事件。相关资料表明，通用软硬件和通信协议在数据采集监控系统和过程控制等方面的应用，安全事故的发生率明显上升，不利于工业控制系统的管理。破坏工业控制系统的方式较多，其中最主要的就是非法入侵系统，该方式不仅涉及网络技术和计算机领域，还涉及制造业和电力等行业，对国家经济产生不可估量的损失，影响国家信息战略的安全。

在众多工业行业中，电力行业的安全稳定对国家安全及民众生活显尤为重要。为此，国家及相关部门发布了一系列的政策要求以规范电力系统网络安全管理工作。2009年发布的国家电网公司企业标准Q/GDW 383-2009《智能变电站技术导则》中第11部分运行维护中提及应配置一体化检验装置或系统，实现整间隔检修及移动检修的要求，2015年国家能源局发布的国能安全36号令附件5《变电站监控系统安全防护方案》中第4部分安全部署提及对于已经投入运行的系统及设备，应当按照国家能源局及其派出机构的要求及时进行整改，同时应当加强相关系统及设备的运行管理和安全防护的要求。

1 变电站运维现状

随着外部网络攻击事件频发，为保障电力系统安全稳定的运行，各地电网调度主站逐步部署了网络安全管理平台，调度数据网主站端设备也随之达到安全加固。各省、市级电力监控系统以《电力监控系统安全防护总体方案》为标准，以“安全分区、网络专用、横向隔离、纵向认证”为原则，综合采用了防火墙、入侵检测、主机加固、病毒防护、日志审计、统一管理等多种手段进行了全面的安全防护。但是，变电站监控系统设备检修作业时，通常采用厂家运维人员自带的笔记本直接连接站控网络层进行维护操作的方式，存在检修作业事前无防护，事中无审计，事后无追踪等问题，也增加了网络结构性安全风险，缺乏有效的网络安全防护手段。

检修运维人员进入了工业现场（如变电站）后，跳过了层层设防的网络安全设备直接将笔记本电脑、移动存储设备等通过网络端口和USB接口接入现场系统，对设备进行检修运维操作。这种检修运维方式会产生如下一系列管控问题：

由于现场设备厂家较多，造成运维人员管理难度大增，且存在账号多人共用、密码未及时修改、弱口令、临时账号未删除等问题，容易被黑客入侵导致安全事件的发生；

检修运维过程中，由于缺少物理隔离和摆渡，不同网络交叉使用的移动存储介质和运维设备（如U盘，笔记本电脑）容易将恶意代码带入到工控系统之中，从而对系统安全性造成严重威胁；

由于缺少安全审计手段，在检修运维人员出现误操作甚至恶意操作的情况下，存在发生安全事故的隐患，而在安全事故发生之后又难以追踪溯源并定责；

在检修运维过程中，缺少对运维人员访问权限进行限制，运维人员可以随意访问其他资产信息，导致核心生产数据和配置信息被泄露。

由此可以看出，对电力系统现场检修运维操作进行有效的管控是保障工控信息安全不可或缺的一项重要环节。针对上述运维管控难点，广西电网公司资助的科技项目曾做了较为前沿的技术研究，并成功开发了一套针对变电站运维作业过程管控和审计的变电站电力监控系统检修作业安全运维装置（项目编号：GXKJXM20190682），并在试点运行过程中发挥了较为出色的效果，在不增加运维工作人员较多额外工作量的同时，保障了运维过程的安全性。

本文将针对如上风险问题通过技术手段对运维人员操作进行约束和监督。

2 总体策略研究

为了解决变电站现场运维的痛点，实现对外来运维人员的操作进行管控和审计。本文结合了GB/T22239-2019《信息安全技术网络安全等级保护基本要求》（以下简称“等保2.0”）中安全区域边界及安全计算环境相关安全要求，有针对性的制定了一套检修运维安全防护策略，分别从认证授权、恶意代码防范、访问控制、操作审计等几个方面对运维操作进行全程监管。

认证授权：内置身份管理模块，可通过登录口令、密码、USBkey、数字证书、生物技术等方式实现对检修员身份进行双因子验证。同时对检修运维过程中的操作行为进行相应的管控，避免出现恶意操作导致的安全事故；

安全审计：对检修运维操作过程全程监控并录制操作视频以供回放，为事后追溯问题时提供最直观有效的证据；

恶意代码防范：对移动介质进行防病毒处理，由于大多数工控主机并未安装防病毒软件，因而无法查杀移动介质自带的病毒；

访问控制：通过对装置部署安全防护策略，防止运维人员对未经授权的网络设备进行访问，同时，为避免将恶意代码带入工控系统，需要对移动介质数据通过摆渡进行操作；

图1 方法示意图

基于以上提出的四个维度的安全策略，通过设计一种便携式变电站安全调试装置并结合现场检修运维的实际情况进行安全有效地管控，可以大大降低工控系统现场检修运维的风险，有效保障工控设备资产的安全。

3 安全运维策略方法

3.1 认证授权

在2019年国家正式发布的等保2.0针对设备以及计算安全类别第三级中明确要求需要加强对政企内部安全的管控，需对用户身份具有二次鉴别能力。作为变电站运维工作开始前的第一道门槛，便携式变电站安全调试装置配备了双因子身份认证模块，并可设置账户锁定策略，从而完成了运维人员的身份验证并保障了账户防破解的能力。

因便携式变电站安全调试装置是通过网口直连到现场的交换机与被检修对象进行连接通信的，为了防止装置与同一网络内存在的其他工控设备发生IP地址冲突，需要在配置IP前先做IP地址冲突检测。进行该步骤时，运维人员需要先通过检测后方可保存装置IP地址，有效防止因IP冲突而导致的系统异常情况发生。

变电站在进行检修运维作业时，对作业过程中运维人员行为操作的控制非常重要，装置侧可通过识别当前开启的应用进程，捕获应用窗口对其进行键盘记录和指令审计，并记录相应操作日志信息。内置可由厂家自定义导入的高危指令集，且当检测到高危指令时立即阻断并触发审批策略。有效阻止并避免危险、违规操作，确保运维安全。

3.2 恶意代码防范

恶意代码是防范是工控系统安全运行的根基，等保2.0中明确要求：应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整性检测，并在检测到破坏后进行恢复。为保障系统的安全性和稳定性，便携式变电站安全调试装置基于Linux进行开发。由于工控系统封闭的特殊性，现场的设备基本都未安装杀毒软件，对恶意代码的防护能力几乎为零。运维作业时装置侧将成为恶意代码入侵的一条高危路径，因此，装置侧的恶意代码防范能力将成为保障目标系统安全性的关键一环。

便携式变电站安全调试装置内置恶意代码库，可基于恶意代码特征进行检查。每次运维作业开始前，装置侧需要对自身系统关键位置进行恶意代码检查，同时可自定义其余检查路径，保障装置自身安全性。其操作也将记录进系统操作日志，避免运维人员随意恢复被隔离文件，增加系统风险。

在现场运维过程中，运维人员通常会用到U盘等外接存储设备。装置侧对每次接入的存储设备进行恶意代码检查，检查通过后方可允许运维人员对存储设备进行读取操作，以保障运维作业处于安全的环境之中。

3.3 访问控制

因变电站运维作业的特殊性，对运维时间有非常严格的要求。为了有效管控运维人员对目标系统的接入权限，管理员可根据任务实际情况在装置侧设定该次任务的开始时间和结束时间，防止运维人员在非计划运维时间内接入目标系统进行作业而导致安全事故的发生。

装置侧集成了防火墙功能，默认禁止未授权的网络服务访问。管理员可在装置侧根据访问控制策略自定义设置访问控制规则，默认情况下除了控制规则内允许的通信外，其余受控接口均拒绝所有通信。每次检修任务开始前，管理员以最小化访问控制规则的原则，根据该次任务的实际需求设置访问控制规则，访问控制规则包括检修对象IP地址、端口、传输协议。比如管理员设置了该次任务的目标IP为192.168.1.2，端口为21，则运维人员无法通过装置侧访问其余IP的设备和端口，可以有效保障其余资产信息的安全。

3.4 操作审计

根据等保2.0中安全审计一节的要求，需要对重要的用户行为和重要安全事件进行审计，审计记录应包括事件的日期和时间、用户、事件类型等。装置侧对检修运维作业全过程事件信息、操作记录、安全报警信息等内容进行完整记录，并将记录文件有效地进行归档保存，方便事后进行问题追溯。同时还支持按照事件开始和结束的时间范围以及事件名称进行相关查询并可将查询结果导出。

事后对任务的审计手段中，除了日志和事件信息外，视频是最直观的取证方式。装置侧后台通过全程录像的方式静默记录运维人员对目标系统的全部操作，生成的视频录像将与操作日志和事件信息等内容进行关联，审计人员可通过检索的方式进行事件定位，方便审计人员对运维操作进行回溯追踪的同时节约大量观看视频的时间，以提高工作效率。

4 应用部署

考虑到变电站点多面广的现状，装置通过采用便携式三防笔记本的设计，可以应对各种复杂的现场环境，并满足一台设备支撑多个站点检修运维工作的需求。业务的大致流程可以分为如下4步：①管理员配置任务授权规则；②厂家运维人员申领装置并带至现场；③现场检修运维作业；④结束任务返还装置。

图2 业务流程示意图

现场部署操作简单，只需将装置侧通过网线连接至现场交换机，通过任一身份鉴别方式+密码的方式登录到任务界面即可开始检修运维作业。

图3 现场部署示意图

5 结语

随着科技的不断发展，国家和各级主管部门对电力监控系统的安全性要求也越来越高。变电站作为国内最重要的基础设施之一，其安全性不言而喻。本文通过对目前变电站运维现状所碰到的痛点进行了详细分析，并且针对上述痛点提出了安全运维的策略及方法，为电力部门运维管理人员面对运维人员在现场检修运维作业管控难的问题提供了一套有效可行的方案。