电厂监控系统网络安全防护分析

钟丽波,周 洋,李 然，马 煜，刘大泉

(国网沈阳供电公司，辽宁 沈阳 110003)

电厂作为电力系统的重要环节，依托分散控制系统、厂级监控系统以及众多工控系统的协调控制，有序配合保证电力可靠供应，其安全稳定运行一直受到广泛关注。综合分析近几年全球范围内针对电力监控系统发起的网络攻击[1]，表现出的趋势是攻击手段层出不穷，影响范围不断增大，利用网络攻击电力监控系统、破坏电网安全运行已成为不容忽视的重大威胁。在此背景下，保证电厂监控系统的安全成为保证电力供应安全的关键。

1 电厂监控系统概述

1.1 监控系统现状

伴随能源综合消纳和有序用电需求不断提升，除传统的火电、核电之外，风电、光伏及各种新能源电厂陆续接入电网运行，电力监控系统数据监视和应用范围逐步扩大[2]。在数字化、智能化全面普及的背景下，各类电厂监控系统与其他工控系统、节点之间的交互通信变得日益频繁，接入设备多、边界分布广是目前电力监控系统的发展趋势。各电厂内部为提高数据采集应用水平，部署了复杂的计算机网络系统，系统之间的关联密切，数据共享需求迫切，伴生的是电力监控系统网络安全防护难度的不断提高的问题。

1.2 监控系统安全防护技术体系

当前，各电厂依据类型、容量及地理位置等因素选择不同的数据交互方式，在国家相关法律、法规、标准的框架之下采取必要的防护措施建立起网络安全防护体系，以保证数据传输和网络通信的安全。

a.基础安全防护

按照“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则[3]，电厂将不同的业务系统划分不同安全区，在外部公共因特网、管理信息大区、生产控制大区的控制区及非控制区等横向边界，以及电厂监控系统与所属调度机构之间的纵向边界，部署相应安全措施[4]，建立横向、纵向安全防线，形成核心控制区安全防护强度的累积效应。

b.内网安全监视

电厂侧通过在生产控制大区逐步推广内网安全监视功能，实时监测厂内监控系统的计算机、网络及安全防护设备运行状态，及时发现非法外联、外部入侵等安全事件并进行告警[5]。通过部署网络安全监测装置，将生产控制大区主机设备、网络设备、安全防护设备纳入监测范围，及时发现人为异常登录、设备接入及危险操作等信息，以防范黑客及恶意代码的攻击和破坏。

c.防御手段建设

传统的防御手段习惯在网络边界部署防火墙，对进出网络的行为进行内容过滤和访问控制，也有通过入侵检测装置和防火墙联动的防护策略，但由于防火墙防护能力制约，加上“瞬时攻击”特点，使得上述2种手段在实际应用中的效果不显著。相对有效的做法是在网络边界串接入侵防御装置，对某些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，阻断深层入侵威胁。

d.网络安全态势感知

网络安全态势感知系统由主站系统和采集装置组成。主站系统部署在各级调控中心，是具备网络安全实时监视、日志审计、预测分析等功能的应用系统，采集终端部署在电厂监控系统局域网络内部，对电厂侧网络安全数据进行采集、分析、处理，并与主站系统通信[6-8]。基于网络环境动态整体洞悉安全风险，以安全大数据为基础全面提升对安全威胁的识别、分析、处置能力。

e.安全免疫技术

在电厂监控系统生产控制大区内部逐步推广应用以密码硬件为核心的可信计算技术，是实现安全免疫的重要途径。通过在电厂侧安全Ⅰ区的服务器、主机安装可信软件基模块，提供可信度量机制，用于实现计算环境和网络环境安全免疫，免疫未知恶意代码，防范有组织、高级别的恶意攻击[9]，通过静态免疫和动态免疫结合的方式，保证电力监控系统业务的安全运行。

f.厂级监控管理信息系统安全防护

电厂厂级监控管理信息系统对电厂内部机组DCS以及外围PLC控制系统的运行进行优化控制管理，有效连接电厂中办公系统与生产控制系统，这一特性使其安全防护策略选择成为制约电厂内部监控管理效果的重要因素[10]。为保证生产控制系统安全，在厂级监控管理信息系统与办公系统之间部署防护隔离器等装置，保证数据单向传输，维护厂级监控系统安全。

2 网络安全存在的突出问题

电厂侧在《电力监控系统安全防护规定》和《电力监控系统安全防护总体方案》的框架下，积极采取各类主动、被动防御措施，应对愈加严峻的网络安全形势。综合分析电厂侧安全防护管理现状，仍然存在若干制约整体安全防护水平的突出问题。

a.设备本体安全水平不高

部分早期投运的电厂在本体安全方面问题突出。一是生产控制大区主机未采用安全加固的操作系统，或系统、数据库存在高危漏洞未及时进行补丁更新；二是关键主机设备、网络设备等空闲的物理端口未关闭，系统存在违规服务及端口开放情况；三是生产控制大区关键设备软、硬件版本落后，升级改造不及时，无法纳入实时监测范围，难以适应网络安全形势的动态变化。

b.安全防护体系建设不足

一是电厂与所属集团、设备厂商等远程监视中心进行数据传输时，未设立专用的转发服务器，缺少必要的安全防护措施；二是生产控制大区内部除安全接入区外违规使用无安全防护措施的无线通信设备；三是传输边界安全防护缺失，如风(光)功率预测等服务器非法连接外部网络，管理信息大区与调度机构之间直连等；四是新能源场站就地采集终端与站控系统之间的通信未进行有效防护。

c.网络安全风险管控不严

部分电厂未建立明确的管理机构、制度，未配备专职网络安全管理人员，导致网络安全责任泛化，在设备运行维护、防护体系建设、入网安全管控、作业现场风险防范等方面管理不到位，防护水平参差不齐。部分电厂未配置专用调试设备和存储介质，未定期开展等级保护测评及安全评估，在设备运行维护、隐患排查治理和全过程安全管理等方面难以满足网络安全防护要求。

3 网络安全典型案例分析

在梳理电厂监控系统网络安全存在的突出问题基础上，本文例举各地网络安全管理平台监测到的几个告警信息，作为典型案例进行针对性分析。

a.私自接入外设

案例1：某风电场Ⅰ区风机监控工作站接入设备类型“无线网卡”，设备名称“MT7601U”，设备厂商“MTK”。经查为运行值班人员从工作站拷贝数据时，误将360随身WiFi当做安全U盘接入工作站，触发监测装置告警。

案例2：某220 kV电厂Ⅱ区后台监控工作站接入设备类型“手机”，设备名称“K20 Pro”，设备厂商“MI”。经查为厂商调试人员将手机接入工作站进行充电，触发监测装置告警。

案例分析：产生违规接入手机/无线网卡的行为，最根本的原因是部分电厂管理人员和外部作业人员对于网络安全要求贯彻落实不到位，网络安全意识淡薄，对自身行为可能产生的危害性认识不足，同时也暴露出作业现场安全风险管控不足的突出问题。

b.设备超期服役

案例1：某电厂Ⅰ区从随机地址(* .* .53.18)向随机地址(* .* .202.6)发起ICMP异常访问，被纵向加密装置拦截告警。经查该电厂纵向加密装置由于超期运行及版本问题，偶发性出现数据包解密异常，导致产生随机地址访问。

案例2：某风电场Ⅰ区主机先后发生nobody、gdm、root等20个用户的删除与新增可疑操作。经查为主机探针Agent版本过低存在兼容性问题，几率性发生读取文件失败，造成Agent误判断用户已被删除，当探针下次检测到该文件时，程序对比前次检测结果，从而触发新增用户的告警。

案例分析：设备超期服役状态下，因电源、网卡、芯片等硬件老化问题，会导致安防设备主要功能失效或异常。部分纵向加密认证装置固件版本较低，易发生数据解析异常等情况，部分厂商的Agent版本功能存在缺陷，偶发性上报无效告警信息，干扰运行管理。

c.管理缺位

案例1：某电厂Ⅱ区电能计量工作站地址相继发生对天津电信地址(* .* .222.133)的53端口、广东深圳电信地址(* .* .234.102)的443端口、北京电信地址(* .* .231.8)的80端口异常访问，被站内纵向加密认证装置拦截。经查为厂商人员在排查站内网络问题时，擅自将个人笔记本(Windows系统)更换为电能计量工作站IP地址后接入站内交换机进行调试，因该笔记本同时运行有微信、360等软件导致向多个互联网地址发起访问行为。

案例2：某光伏电站Ⅱ区功率预测申报工作站向站内私网防火墙地址(* .* .151.76)的80端口发起异常访问，被站内纵向加密装置拦截。经查为运维人员计划使用功率预测工作站访问站内防火墙查看内部配置，误使用相邻放置的功率预测申报工作站进行查看，且该主机存在至调度数据网网关的缺省路由，导致数据包被纵向加密装置拦截。

案例分析：部分电厂缺乏相对专业的网络安全运维力量，设备配置和维护工作基本依赖厂商或非专业人员，调试设备安装有杀毒软件、输入法等第三方软件，且默认开启了自动更新，这些都会导致在日常运行中发起违规访问行为并触发告警。

d.安全加固不到位

案例1：某66 kV风电场Ⅱ区故障录波装置向广播地址(* .* .* .255)的137端口发起异常访问，被站内纵向加密装置拦截。经查为故障录波装置加固不到位，未关闭NETBIOS服务导致告警。

案例2：某66 kV光伏电站内部设备(* .* .0.1)的67端口通过UDP协议非法访问(* .* .255.255)的68端口，被网络安全监测装置监测告警。经查(* .* .0.1)为该站站控层交换机连接的防火墙网口默认IP地址，投入运行后该默认地址未取消，通过UDP协议发起广播服务。

案例分析：在设备安装调试或检修过程中，未严格按照要求关闭FTP、DNS、DHCP、NETBIOS等操作系统默认且与具体业务无关的服务，或者网络设备、安防设备普遍存在缺省路由、默认地址等情况，极易遗留安全隐患。

4 网络安全防护对策

a．提高设备本体安全水平

推进电厂生产控制大区老旧主机、网络设备、安全防护设备升级改造，在软硬件自主可控的框架下提高关键设备运行水平。升级改造完成前，组织对现有主机设备进行安全加固，定期进行漏洞补丁、病毒库、特征库离线更新，推进网络设备配置核查，规范权限及口令管理，制定严密的设备运行维护制度以保障设备安全运行。

b．完善安全防护体系建设

按照“安全分区、网络专用、横向隔离、纵向认证”的总体原则健全电厂网络安全防护体系，厘清网络结构，优化防护设备策略，强化边界防护能力，通过网络安全监测装置等手段扩大监测范围，提高网络安全事件实时监测能力，部署微型纵向加密认证装置，强化新能源场站户外终端就地物理防护，根据网络安全发展趋势和设备运行状态，及时更新完善安全防护体系。

c．加强作业现场风险管控

电厂内部应严格履行作业审批、监护制度，执行接入/检修工作流程，涉及站内监控系统、生产控制大区设备等作业，在“三措”中明确电力监控设备误碰、误接入风险，将违规外联作为重要危险点进行管控，加强调试设备和移动存储介质管理，严格管控外部作业人员施工范围和作业权限，外部人员入场作业需经安全培训合格，并签订技术维护保密协议和网络安全承诺书。

d.建立网络安全基线防护

电厂侧通过建立电力监控系统网络安全运行需求的基线，形成以其为基准进行检测和度量的风险管控手段，为设备入网、系统验收、日常维护及安全检查等工作提供可参照的统一标准。定期分析电力监控系统实际现状和面临的风险来源，结合网络安全基线的标准和要求，按需调整对应的安全策略，协调不同设备的防护能力，综合构成统一的安全基线。

5 结语

随着电力系统数据交互规模不断扩大，电力监控系统网络末端风险呈现“点多面广”的分布趋势，国家信息安全漏洞共享平台披露的针对工控系统的安全漏洞数量日益增多，各电厂需对当前严峻的网络安全形势保持敏感度，结合网络安全形势的动态变化，采取有效的安全防护技术措施和管理策略，消除安全防护管理工作中的短板，保障监控系统和数据传输的安全。