藏木水电厂电力监控系统安全防护系统建设探索

(整期优先)网络出版时间:2021-06-22
/ 3

藏木水电厂电力监控系统安全防护系统建设探索

谢禹晨

华能西藏雅鲁藏布江水电开发投资有限公司藏木水电厂 西藏自治区山南市 856400

摘要:电力监控系统安全对于保障电力系统安全稳定运行和电力可靠供应具有重要意义。2019年,华能藏木水电厂针对所辖藏木水电站、山南集控中心和林芝集控中心的电力监控系统安全防护系统进行了升级改造建设。藏技改建设按照国家相关规程规范的要求,并充分结合现有安防系统的实际情况,对藏木水电厂所辖藏木水电站、山南集控中心以及林芝集控中心的电力监控系统安全防护系统设备进行部署并完成等保评级备案。建设完成的电力监控系统安全防护系统由被动防御转向主动防御建设,使得藏木水电厂电力监控系统安全防护系统的防护能力和水平大幅提高。

关键词:藏木水电站、电力监控系统、安全防护、信息安全、等级保护


一、引言

电力监控系统安全对于保障电力系统安全稳定运行和电力可靠供应具有重要意义。电力监控系统安全防护系统是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等业务系统进行的信息安全防护的系统设备。2004年起,随着国外电力系统相继发生了众多网络不安全事件,对电力系统信息安全造成的重大的影响,电力监控系统安全防护问题得到了电力行业的广泛关注。2019年,华能藏木水电厂针对所辖藏木水电站、山南集控中心和林芝集控中心按照《电力监控系统安全防护规定》(国家发展和改革委员会令第14号)、《国家能源局关于印发〈电力行业信息安全等级保护管理办法〉的通知》(国能安全〔2014〕318号)、《国家能源局关于印发〈电力监控系统安全防护总体方案等安全防护方案和评估规范〉的通知》等要求开展电力监控系统安全防护系统的升级改造。

二、藏木水电厂安防系统技改前状况

藏木水电厂下辖的藏木水电站、山南集控中心和林芝集控中心在建设期间,安全防护系统设计按照《电力二次系统安全防护方案》(电监安全〔2006〕34号)的要求,对各业务系统进行了安全分区的划分,建成后基本满足要求。控制区内主要包括水电站计算机监控系统、同步向量测量系统、继电保护信息系统和消防监控系统。非控制区主要包括了在线监测系统、水情测报系统、故障录波系统和电能量采集系统。信息管理大区设置有水情测报系统的WEB应用服务器和工业电视系统。调度数据网方面,按照安防要求划分了逻辑上相互独立的实时区和非实时区,对应控制区和非控制区。在生产控制大区的控制区和非控制区设备之间配置有防火墙设备,生产控制大区和信息管理大区之间配置有横向隔离装置,生产控制大区纵向传输配置有纵向加密装置。入侵检测系统、主机加固软件、恶意代码防范软件仅部署在计算机监控系统。

随着电力监控系统安全防护理念的不断深化和电力监控系统安全防护要求的不断提升,藏木水电厂流域电力监控系统安全防护系统已经不能满足现有电力监控系统安全防护相关规定的要求以及西藏区调对信息上送的相关规定。其主要存在的问题有:

(1)入侵检测系统未覆盖整个生产控制大区;

(2)恶意代码防范功能未覆盖整个生产控制大区;

(3)漏洞扫描系统未覆盖整个生产控制大区;

(4)主机加固软件未覆盖整个生产控制大区各系统主机;

(5)生产控制大区未部署网络安全监测装置,对生产控制大区内各系统主机设备、网络设备以及安防设备网络行为安全风险的实时监视,并上送区调主站;

(6)生产控制大区各系统主机设备未部署探针软件,用于对生产控制大区各系统主机设备的网络安全进行监测;

(7)未建立集中安全审计系统,对网络运行、操作系统运行、数据库、应用程序等日志进行集中收集和分析;

(8)水情测报系统未设置安全接入区,用于与生产控制大区进行隔离;

(9)未开展安防评估及等保测评工作。

三、藏木水电厂安防系统技改建设

藏木水电厂电力监控系统安全防护系统技改建设按照《电力监控系统安全防护规定》(国家发展和改革委员会令第14号)、《国家能源局关于印发〈电力行业信息安全等级保护管理办法〉的通知》(国能安全〔2014〕318号)、《国家能源局关于印发〈电力监控系统安全防护总体方案等安全防护方案和评估规范〉的通知》等要求,并充分结合现有安防系统的实际情况,对藏木水电厂所辖藏木水电站、山南集控中心以及林芝集控中心的电力监控系统安全防护系统设备进行部署。在实际建设中藏木水电站新部署了1套入侵检测系统、2套网络安全监测装置,山南集控中心新部署了1套入侵检测系统、1套高威胁检测及分析系统、1套漏洞扫描系统以及2套网络安全监测装置,林芝集控中心新部署了1套入侵检测系统、1套高威胁检测及分析系统以及1套漏洞扫描系统。此外,在藏木水电站、山南集控中心、林芝集控中心统一部署了1套统一安全事件分析预警系统、1套一体化终端安全分析系统、1套安全加固及系统访问控制系统,其设备及管理权设置在山南集控中心。对于水情测报系统接入问题,新增设了横向隔离装置,建立了安全接入区。

(一)纵向加密装置升级

纵向加密装置是边界防护的重要组成,采用认证、加密等技术措施实现安全传输及纵向边界防护。藏木水电厂现有纵向加密装置14台,包括电力数据专网8台、山南集控中心至林芝集控中心6台(监控系统2台、消防监控2台、继保信息子站及水情系统共用2台)。电力数据专网8台纵向加密装置为2014年投运、监控系统山南集控中心至林芝集控中心2台纵向加密装置为2017年投运,此10台纵向加密装置加密算法已不满足《电力系统专用纵向加密认证装置技术规范》的要求,现对其进行了升级更换改造。改造后的新纵向加密装置同时支持 RSA、SM2 算法数字证书,通信协议采用IEEE802.3、TCP/IP,密文数据包吞吐量404Mbps,支持隧道数 1024对;系统管理员、配置管理员、审计管理员管理三权分立,三个角色间相互制约,防止了权限过于集中。

(二)水情测报系统安全接入区建立

在水情测报系统通信服务器前增加反相隔离装置及相关设备,建立水情测报系统安全接入区。对山南集控中心水情测报系统主站和各水情站的子站间通信协议和端口进行限制,防止异常数据进入非控制区。

(三)健全入侵检测系统覆盖范围

入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。藏木水电厂的入侵检测系统原仅部署在计算机监控系统,技改建设后对原有的入侵检测系统的设备进行了升级更换并分别在藏木水电站、山南集控中心和林芝集控中心各部署了1套入侵检测系统。入侵检测系统分别通过网络设备端口镜像的方式接入计算机监控系统、继保及故障录波信息子站、消防监控系统、电力数据专网系统、水情测报系统、以及在线监测系统,对各业务系统出现的异常报文进行实时检测并告警。

(四)全面建立恶意代码防范系统

恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码,最常见的恶意代码有病毒、木马、蠕虫、后门、逻辑炸弹等,现在众多的恶意代码已经是电力监控系统各主机设备安全的重大威胁。此次技改建设在藏木水电站、山南集控中心、林芝集控中心统一部署一套一体化终端安全防护系统,该系统由管理端和客户端组成,管理端对客户端进行升级和监控管理,管理端及设备部署在山南集控中心。一体化终端安全防护系统的客户端安装在电力监控系统涉网区域的各业务系统主机设备,安防管理维护人员离线手动对管理端进行病毒库升级,管理端自动向部署在各主机设备的客户端下发更新病毒库进行升级。藏木水电厂一体化终端安全防护系统具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、安全审计等多种防护手段,从准入、防黑加固、病毒查杀、软件和终端行为控制等多个层次构建立体防护网,确保各主机设备终端安全,全面提升了电力监控系统对病毒及木马的防护能力。

(五)全面部署漏洞扫描系统

漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。此次技改建设在山南集控中心、林芝集控中心电力监控系统生产控制大区各配置1套漏洞扫描系统,对所辖区域电力监控系统内涉网主机设备使用基于脚本插件的规则库进行黑盒测试,建立自我监测评估机制,协助安防管理维护人员消除安全隐患、修补安全漏洞,并有效的利用现有系统,优化资源,提高网络的运行效率。

(六)新增部署高威胁检测及分析系统

藏木水电厂电力监控系统生产控制大区各业务系统一建设了一套高级威胁检测及分析系统,在林芝集控中心和山南集控中心各安装一台高级威胁检测及分析装置。高级威胁检测及分析系统通过对生产控制大区各业务核心交换机和网络边界的数据进行监测和分析,实现对木马、病毒等各种恶意代码进行检测,从流量、文件以及终端日志进行分析,实时监测网络攻击和流量异常情况,针对重要未知威胁、漏洞攻击等进行预警,主动防御APT攻击。藏木水电厂高级威胁检测及分析系统是电力监控系统安防系统中的主动防御安防设备,此系统的建立将藏木水电厂的安防系统由被动防御转向了主动防御,大大提升了藏木水电厂安防系统防御能力。

(七)全区域部署网络安全监测装置

藏木水电站和山南集控中心电力监控系统生产控制大区的控制器区和非控制区在技改建设中各部署了一套网络安全监测装置,网络安全监测装置在不影响业务系统的情况下,重点监视藏木水电站、山南集控中心电力监控系统涉网区域的主机设备、网络设备、通用及专用安防设备的各类行为以及安全事件,能够实时监测发电站内部涉网主机的外设接入、网络设备接入、人员登录等安全事件。网络安全监测装置通过安装在藏木水电站、山南集控中心、林芝集控中心各涉网业务系统主机设备上的探针软件采集涉网区域的主机设备的安全事件,网络设备和通用及专用安防设备分别通过SNMP协议和日志协议将安全事件信息接入网络安全监测装置,网络安全监测装置将电力监控系统涉网区域的主机设备、网络设备、通用及专用安防设备的各类行为以及安全事件通过电力数据专网上送至区调端网络安全管理平台主站。

(八)建立统一的集中安全审计系统

集中安全审计系统是对网络运行、操作系统运行、数据库、应用程序等日志进行集中收集和分析的审计系统。此次技改建设在藏木水电站、山南集控中心、林芝集控中心统一部署了1套统一安全事件分析预警系统,在山南集控中心部署安全事件分析预警系统设备1套,在藏木水电站、山南集控中心、林芝集控中心分别部署独立的管理客户端。安全事件分析预警系统对电力监控系统涉网区域内的主机设备、网络设备、安全设备以及前述设备的应用系统日志,通过多种方式进行数据收集生成相应的日志。系统通过安全规则设定、事件发生次数阈值设定、重复事件的属性特征等对日志进行分析,将安全事件与当前网络和业务的实际运行环境进行关联,识别安全威胁。

(九)全业务系统安装主机加固软件

对电力监控系统关键服务器实现主机加固,合理配置检查规则,强制进行权限分配,保证对系统资源(包括数据和进程)的访问符合定义的主机安全策略,防止主机权限被滥用。藏木水电站、山南集控中心、林芝集控中心的电力监控系统内涉网主机在此次技改建设中全部安装了专业加固软件进行安全加固。此外还采用手动策略调整的方式进行安全加固,加固策略参照《国调中心关于印发Windows操作系统安全加固指导手册的通知》以及操作系统电力行业加固规范等要求,对操作系统密码策略、系统日志审核策略、用户策略等进行规范调整,对高危端口、服务进程等进行封闭或关闭。

(十)开展安防评估及等保测评工作

在建设完成藏木水电厂电力监控系统安全防护系统后,由具有相关资质的评估测评单位对藏木水电厂电力监控系统开展了安防评估及等保测评工作。

安防评估通过文档审查、顾问访谈、安全漏洞扫描、人工安全检查、应用及数据安全调研等方法,对藏木水电厂电力监控系统的管理层面、网络层面、主机层面、及物理层面等进行了安全评估,形成了包括信息资产分类、信息资产评估、资产CIA三性分级、技术脆弱性评估、管理脆弱性评估、威胁识别与分析、漏洞结果统计分析、安全配置检查结果分析、风险分析等方面的评估结果并形成了相关文档。

等保测评工作对藏木水电厂电力监控系统的安全保障体系的物理安全、网络安全、主机安全、应用安全、数据安全五个技术方面和安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个管理方面进行测评和分析,并形成报告。完成藏木水电厂电力监控系统等级测评工作后,将等级保护测评报告提交至了山南市公安局网络安全保卫支队进行备案定级。藏木水电厂所辖藏木水电站、山南集控中心和林芝集控中心最终的等保评级等级为第二级。

四、结语

藏木水电厂电力监控系统安全防护系统技改建设工作于2019年12月完成,并顺利通过了国网西藏电力有限公司调控中心的验收和山南市公安局网络安全保卫支队的等保备案定级。虽然藏木水电厂电力监控系统安全防护系统已按照现有规范要求完成了建设,但是电力监控系统安全防护工作是一项全面、系统的工作,在后期的运维管理工作中要重点加强设备运行维护安全、审计体系建设和技术管理完善,要确保电力监控系统安全防护系统三权管理分立。因此,只有不断提升电力监控系统安全防护技术能力和运维管理水平,才能建立一个安全水平相对较高的电力监控系统网络,才能保证藏木水电站生产控制系统安全可靠,保证西藏自治区电网的安全稳定运行。



参考文献

[1] 《电力监控系统安全防护规定》(国家发展和改革委员会令第14号)

[2] 国家能源局关于印发《电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2014〕36号)

[3] 李宇峰.浅谈电力系统安全防护的解决方案.水电自动化与大坝监测.2013.37(3)

[4] 吴迪.水白山发电厂电力二次系统安全防护改造.水电站机电技术.2016.39(8)

[5] 赵延涛.电力二次系统安全防护策略探究.电子世界.2016.2

[6] 韩清禹. 藏木水电厂流域电力监控系统安全防护探讨