水电集控电力监控系统安全防护研究

左 进，孙永凯

（1.国电恩施水电开发有限公司，湖北 恩施 445000；2.北京中水科水电科技开发有限公司，北京 100038）

近年来，水力发电建设工程快速发展，以智能电网为建设核心的电力智能设备大量铺设，电力监控系统给电力设备接入和实时监控提供了平台，监控系统也向着结构更加复杂、接入设备点更多以及多系统联动控制的方向发展，因此，给系统的安全防御带来巨大困难。2010年伊朗铀浓缩系统被震网病毒侵入，精确攻击了千台铀离心机[1]。2015年底，BlackEnergy病毒侵入乌克兰多座变电站，造成乌克兰大面积停电事故[2]。由此，电力监控系统作为二次设备的大脑中枢，直接影响电力生产、运营和管理的安全水平。

电力监控系统的安全风险来源分析，主要聚焦于二次设备因素、信息系统因素、人为因素3个方面[3]。文章探讨了水电站集群电力监控系统，利用技术手段着力于上述3个方面进行安全加固，在《电力二次系统安全防护总体方案》（电监会[2006]34号令）提出安全分区的基础上，以电力监控系统安全区为安全加固对象，进行纵深防护技术设计，即基于安全分区管理的分层加固与纵深防护系统。水电集群电力监控系统满足安全分区、网络专用、横向隔离、纵向认证的原则，有效地保障电力监控系统和电力调度数据网络的安全。

1 基于安全分区防护设计思想

1.1 安全分区

依据《电力监控系统安全防护规定》，电力监控系统按照控制大区和管理信息大区进行区域划分。控制大区内安全Ⅰ区为实时控制区，其安全级别最高，安全Ⅱ区为非实时控制区，主要实现水调自动化各类应用和流域经济运行计算。管理信息大区即安全Ⅲ/Ⅳ区，承担信息发布汇总与决策任务。

横向隔离对安全区跨区域通信进行安全防护，横向隔离分为逻辑隔离与物理隔离[4]。防火墙对流过的数据流实行允许、拒绝、重定向的方法达到逻辑隔离效果，保障安全Ⅰ区与安全Ⅱ区数据安全传输。物理隔离为数据流只能进行单向传输，可阻断黑客对数据链路的攻击，达到分区安全可靠的目的。

1.2 分层加固与纵深设备安全防护

水电集群电力系统监控系统有若干个分布式子系统接入系统基础平台，并且系统基础平台需与上级调度系统进行纵向通信联系，因此，本设计将厂站监控子系统、系统基础调度平台和上级调度平台，自下而上的各环节设备、通信协议、数据维护等安全防护要素封装成一体化纵向防护系统。系统基础平台纵向防护示意见图1所示。

分层加固，则利用纵向封装的安全防护要素为对象，依据《电力行业信息系统安全等级保护基本要求》,构建形成电力监控系统层次化的等级保护体系，由物理部署与结构安全、网络通信安全、本机环境安全、应用服务安全和数据安全5层组成。本设计将安全加固技术嵌入至监控系统开发全过程中，使系统安全防护与系统服务成为整体，通过开发的配置软件即可对系统防护能力和防护策略进行动态实时调整。

图1 系统基础平台纵向防护示意图

2 分层加固与纵深防护系统技术实现

安全防护系统的构建思想是实行多层加固、多设备点纵深防御策略。将系统的硬件设备、通信网络、数据流等所有被保护的对象统称为防护要素，将防护要素按照其属性分成5层，各层挂载并管理对应的防护要素，并利用对象树的方法直观体现出来。各层防护技术架构示意见图2所示。

图2 各层防护技术架构示意图

2.1 物理部署与系统结构安全加固

物理硬件部署层，其包含对边界防护、纵向加密、横向隔离和外设接口管理4方面进行安全加固。边界防护确定明确的物理分类边界，对安全分区的设备有明确的区分，对网络链路拓扑以及对应服务器设备有明确的标注和安全防护守则。纵向加密设备加固，使用相关部门认证的电力专用纵向加密设备，实现身份双向认证、数据加密和访问控制功能，对向上层调度传输数据提供安全加固能力。横向隔离满足跨安全区传输的防护要求，设立病毒过滤网关以及黑白名单规则。外设接口管理严防系统随意接入U盘等移动设备，系统通过驱动检测外设接口生成运行日志并事件报警。

2.2 网络通信安全加固

网络通信安全部署层，其包含双网（A网、B网）冗余部署与自动切换、IP划分与入侵检测、数据通信与传输3个方面。双网结构不仅可提升系统通信的可靠性，而且在某节点遭遇攻击时，可启用备用网络维持正常的生产控制秩序。IP划分做到分段明确、不重不漏、长期固定的原则，避免因IP规划产生安全隐患，建立三权分立账户，提升密码复杂程度，设置登录失效时间，配置NTP服务同步时钟。防护系统提供了完整的跨安全分区数据同步机制，既满足了网络安全防护的要求，又实现了系统级的数据跨区同步功能。数据通信与传输加固，通过使用电力通信专网以及VPN加密协议等，在传输前对数据采用高强度的3DES、AES、Blowfish等算法进行数据加密。数据加密和数字双认证技术相结合确保数据传输安全。

2.3 本机环境安全加固

2.3.1 Windows操作系统主机加固

本机操作系统从账户密码策略与认证授权加固、网络与服务加固、日志审计加固、IP协议加固4个方面进行安全防护。账户密码加固为规范工作账户管理，并将非工作登录账户删除，提升登录密码的复杂度并定期更换密码，采用静态口令认证技术，更改账户锁定阈值大小，同时建立不同账户的控制权限和相关访问权限。网络服务加固即开启系统防火墙，关闭不必要的端口，加固服务与通信安全。日志审计加固，配置应用日志、系统日志、安全日志属性中的日志大小，并启用审核策略。IP协议加固启用SYN攻击保护。

2.3.2 Linux操作系统主机加固

Linux操作系统从账户与密码、权限管理、网络与服务、终端管理4个方面加固。账户与密码设置生存周期、提升密码复杂度和身份鉴别失败锁定设置。权限管理对系统的文件权限进行严格设置，并将umask设置为027。服务设置禁止Root用户远程登录，禁用Telnet协议配置SSH协议，关闭不必要的服务和端口。终端管理设置操作超时锁定、终端接入方式和允许登录的网络地址范围等。

2.4 应用服务安全加固

应用服务安全加固从应用服务与权限管理方面进行技术设计与实现。智能一体化平台遵循面向服务的软件体系架构（SOA），采用分布式的服务组件模式，用户直接使用与业务有关的各服务集合称为应用服务[5]。为保证应用服务的安全，系统应用服务管理按对称冗余方式配置，具有自动切换和负载均衡功能。设计服务监控查阅机制，能够查询已注册服务的基本信息和运行信息，并且服务监控可监视、管理服务的运行状态，如对冗余配置的服务进行切换管理，对服务请求进行统计，对服务进行重启、同步等。同时，对重要的服务进程进行一级守护，对数据库、Web系统的访问等重要应用服务提供了不同级别的权限管理，系统内部的服务调用和消息通信均提供加密和认证机制。

除服务功能管理设计外，为防止内部人员留有规定以外的开放接口、通道，服务的开发程序审查、人员管理和程序封装也进行安全加固措施。在消息传输方面加固，消息总线利用Protobuf序列化协议进行结构化数据的封包/解包和数据加密处理，提升数据之间的安全性。在服务数据支持方面加固，各类应用服务划分权限用户，并在进行数据交换时进行合法用户请求验证和业务权限验证，杜绝自动触发式写数据和非控制区域写数据。资源控制方面加固，对数据库访问的API接口进行严格审查和统一规范，对重要资源文件进行二次加密保护。

权限管理平台设计，权限管理平台管理是对应用服务调用、配置、执行、销毁的权限规范，同时也是对调度主机顺序的配置，负责系统各类资源的权限分配管理工作。权限管理系统结构示意见图3所示。权限管理功能提供用户管理和角色管理等功能，通过用户与角色的实例化对应实现多层级、多粒度的权限控制；采用用户-角色-责任区设计机制进行权限控制。每个用户具有一种或多种角色，每个角色具有一种或多种操作权限，不同的操作类别需要用户具有相应的操作权限。每个用户关联一个或多个控制责任区，每个责任区包含一个或多个对象（设备），用户只能控制所关联的控制区域内的对象（设备）。

图3 权限管理系统结构示意图

支持双重权限与责任区模式。除了在系统配置界面设置用户与主机的永久权限与责任区，还需要在OIX人机操作界面设置用户与主机的临时权限与责任区，临时权限与责任区只能是永久权限与责任区的子集，默认为空。通过用户操作权限、用户控制责任区、主机控制责任区、双重权限与责任区模式、操作许可模式、操作闭锁等一系列安全措施，确保了可靠的控制操作与数据访问。

2.5 数据安全加固

数据灾备方案设计，系统使用的是达梦数据库并选择主备模式，确保大容量数据存储具备自主故障恢复的能力。数据备份功能，是从数据库文件中拷贝有效的数据页保存到备份集中，并将归档日志也保存到备份集中，当系统出现异常时，该备份集和归档日志可以用于恢复原数据库。安全管理方面采用了用户标识与鉴别、自主与强制访问控制、通信与存储加密、审计等方式加强对数据库访问的控制和数据安全防护。

3 防护系统的应用

恩施水电集群跨流域远程控制一体化平台建设项目中，对基于安全分区管理的分层加固与纵深防护系统进行技术开发应用，采用北京中水科水电科技开发有限公司研发的iP9000智能一体化监控平台系统，对安全Ⅰ区、安全Ⅱ区和管理信息大区进行一体化管理，分布式全冗余的系统结构确保了系统的安全性和可靠性。

4 总结

文中针对恩施水电集群跨流域远程控制智能一体化平台安全防护需求，提出分层加固与纵深防御的系统防护模型，并分别从物理部署与系统结构安全加固、网络通信安全加固、本机环境安全加固、应用服务安全加固和数据安全加固方面，对系统模型的设计结构和技术路线进行探讨，从多层加固、多设备点纵深防御策略的开发思想出发，达到恩施水电安全防护系统的预期效果。