鐘 健 ，倪雅琦

(1.中國電力工程顧問集團(tuán)公司西南電力設(shè)計院有限公司，四川 成都 610021；2.國網(wǎng)四川省電力公司信息通信公司，四川 成都 610041)

0 引 言

隨著計算機(jī)技術(shù)和通信技術(shù)在電力行業(yè)中的廣泛應(yīng)用，電力監(jiān)控系統(tǒng)逐漸由傳統(tǒng)生產(chǎn)控制設(shè)備范疇擴(kuò)大到整個信息系統(tǒng)和通信網(wǎng)絡(luò)，各系統(tǒng)之間的邊界隨著信息化逐漸模糊和融合，同時信息安全問題也從管理信息系統(tǒng)延伸到了生產(chǎn)控制系統(tǒng)的各個環(huán)節(jié)。因此，需要理清在《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)(以下簡稱等保2.0)和國家發(fā)展和改革委員會頒布的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》等法律、標(biāo)準(zhǔn)要求下，如何組織實施電力行業(yè)網(wǎng)絡(luò)安全防護(hù)，為發(fā)電企業(yè)等提供一個具備動態(tài)響應(yīng)、持續(xù)進(jìn)化的符合《中華人民共和國網(wǎng)絡(luò)安全法》和等保2.0標(biāo)準(zhǔn)的整網(wǎng)安全保障體系。

1 電力監(jiān)控系統(tǒng)安全防護(hù)與等保2.0的關(guān)系

《中華人民共和國網(wǎng)絡(luò)安全法》 自2017年6月1日開始施行?！缎畔踩夹g(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》自2019年12月1日開始施行，它是依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》 建立的國家層面的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，針對通用計算機(jī)信息系統(tǒng)，提出了安全技術(shù)應(yīng)用、安全管理體系建設(shè)等方面普遍適用的規(guī)范要求[1]。

《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》是國家能源局制定的網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)，電力監(jiān)控系統(tǒng)安全防護(hù)關(guān)注的重點是與電力安全生產(chǎn)中用于監(jiān)視、測量、控制和調(diào)度電力生產(chǎn)及傳輸?shù)臉I(yè)務(wù)系統(tǒng)和通信網(wǎng)絡(luò)，并根據(jù)其對安全生產(chǎn)的重要性和業(yè)務(wù)特點，提出相關(guān)的安全防護(hù)措施和安全管理規(guī)范要求[2]。

電力監(jiān)控系統(tǒng)安全防護(hù)的防護(hù)強(qiáng)度應(yīng)滿足或超過等級信息系統(tǒng)安全等級保護(hù)的要求。由于電力監(jiān)控系統(tǒng)內(nèi)部隨著生產(chǎn)業(yè)務(wù)系統(tǒng)的升級也在不斷更新、擴(kuò)充、結(jié)合，安全要求也相應(yīng)產(chǎn)生改變，《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》其相關(guān)安全防護(hù)措施更加具有系統(tǒng)性、動態(tài)性和可持續(xù)性。因此，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》是一個對信息網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系建設(shè)通用的規(guī)范要求，也是對信息網(wǎng)絡(luò)系統(tǒng)安全防護(hù)強(qiáng)度最基本的要求[3]；《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》則是根據(jù)電力行業(yè)信息網(wǎng)絡(luò)系統(tǒng)的特點，進(jìn)行了有針對性的細(xì)化和加強(qiáng)，網(wǎng)絡(luò)安全層級和界面清晰，操作性更強(qiáng)。

2 電力監(jiān)控系統(tǒng)安全防護(hù)總體要求

電力監(jiān)控系統(tǒng)安全防護(hù)的目的是防止電力監(jiān)控系統(tǒng)的崩潰、誤動和數(shù)據(jù)被非法訪問，并造成電力設(shè)備故障或電力安全事故。電力監(jiān)控系統(tǒng)安全防護(hù)的重點：一是防止來自系統(tǒng)外部非法訪問獲取信息和惡意攻擊，特別是集團(tuán)式攻擊；二是防止內(nèi)部非法訪問和違規(guī)操作[4-6]。

納入整改方案的電力監(jiān)控系統(tǒng)安全防護(hù)分析的水電站核心電力監(jiān)控系統(tǒng)包括:水電站計算機(jī)監(jiān)控系統(tǒng)；相量測量裝置(PMU)；安全自動裝置系統(tǒng)；泄洪閘控制系統(tǒng)；船閘控制系統(tǒng)；消防火災(zāi)報警系統(tǒng)；110 kV變電站監(jiān)控系統(tǒng)；調(diào)功終端系統(tǒng)；電能量計量系統(tǒng)；故障信息處理系統(tǒng)；機(jī)組狀態(tài)監(jiān)測系統(tǒng)；水調(diào)自動化系統(tǒng)(水情自動測報系統(tǒng))市場報價終端；大壩安全監(jiān)測系統(tǒng)；工業(yè)電視系統(tǒng)；生產(chǎn)管理信息系統(tǒng)；臨時接地線管理系統(tǒng)；辦公OA系統(tǒng)；MIS網(wǎng)。

整改思路主要為：

1)調(diào)度數(shù)據(jù)網(wǎng)作為生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)與調(diào)度端實時信息的專用通信通道，是電力監(jiān)控系統(tǒng)安全防護(hù)縱向邊界安全防護(hù)的一個著重點；電力監(jiān)控系統(tǒng)與上級單位之間的縱向數(shù)據(jù)通信應(yīng)作為縱向邊界安全防護(hù)的一個重點；各電力監(jiān)控系統(tǒng)之間的橫向通信作為安全防護(hù)的另一個重點。

2)水電廠各系統(tǒng)之間通過硬接線傳輸信號因不存在網(wǎng)絡(luò)通信，應(yīng)確認(rèn)其為安全；而水電廠各系統(tǒng)之間的串行通信方式視其為安全。

3)閘門控制系統(tǒng)實際包括泄洪閘控制系統(tǒng)、船閘控制系統(tǒng)以及進(jìn)水口快速門。由于進(jìn)水口快速門通過I/O口與計算機(jī)監(jiān)控系統(tǒng)LCU相連實現(xiàn)遠(yuǎn)程控制，因此歸入計算機(jī)監(jiān)控系統(tǒng)。閘門控制系統(tǒng)在所提方案中由泄洪閘控制系統(tǒng)和船閘控制系統(tǒng)替代。

4)嚴(yán)格禁止生產(chǎn)控制系統(tǒng)/裝置的遠(yuǎn)程撥號維護(hù)接口。

5)各業(yè)務(wù)系統(tǒng)內(nèi)部的通信安全性應(yīng)由生產(chǎn)廠家按照國家相關(guān)標(biāo)準(zhǔn)實施，在這里不再考慮。

根據(jù)上述思路，水電站電力監(jiān)控系統(tǒng)安全防護(hù)邊界防護(hù)和系統(tǒng)內(nèi)部防護(hù)要求如下：

1)通信安全需求

生產(chǎn)業(yè)務(wù)系統(tǒng)之間采用點對點串口通信應(yīng)視為安全；生產(chǎn)業(yè)務(wù)系統(tǒng)設(shè)備之間網(wǎng)絡(luò)通信需根據(jù)各業(yè)務(wù)系統(tǒng)安全分區(qū)的不同情況采取相應(yīng)的橫向隔離措施；生產(chǎn)業(yè)務(wù)系統(tǒng)/設(shè)備與調(diào)度端經(jīng)調(diào)度數(shù)據(jù)網(wǎng)通信須采取縱向加密認(rèn)證裝置進(jìn)行隔離；MIS網(wǎng)與上級單位、調(diào)度端DMIS系統(tǒng)的網(wǎng)絡(luò)通信應(yīng)采取相應(yīng)的隔離措施；出差人員與MIS遠(yuǎn)程撥號訪問須采取VPN等技術(shù)和管理手段防止重要數(shù)據(jù)被竊取，防止該通道成為病毒傳播和惡意攻擊跨越防火墻的途徑。通信網(wǎng)絡(luò)連接圖如圖1所示。

2)各電力監(jiān)控系統(tǒng)安全需求

計算機(jī)監(jiān)控系統(tǒng)內(nèi)部應(yīng)部署防病毒軟件，防止病毒傳播。系統(tǒng)主機(jī)和工作站的操作系統(tǒng)漏洞和應(yīng)用系統(tǒng)漏洞存在被利用的風(fēng)險，應(yīng)及時封堵或升級，重要服務(wù)器和通信網(wǎng)關(guān)應(yīng)進(jìn)行主機(jī)加固。

水調(diào)自動化系統(tǒng)應(yīng)具有病毒防護(hù)能力。

機(jī)組狀態(tài)監(jiān)測系統(tǒng)應(yīng)部署防病毒軟件，防止病毒傳播。系統(tǒng)Web服務(wù)器與本系統(tǒng)的通信應(yīng)進(jìn)行物理隔離，實現(xiàn)數(shù)據(jù)單向傳輸，同時應(yīng)保證Web數(shù)據(jù)與機(jī)組狀態(tài)監(jiān)測系統(tǒng)同步。

安全自動裝置遠(yuǎn)方修改定值和控制的功能應(yīng)屏蔽。故障信息處理系統(tǒng)Web服務(wù)應(yīng)增加加密認(rèn)證功能實現(xiàn)安全Web，否則應(yīng)關(guān)閉。

圖1 通信網(wǎng)絡(luò)連接

市場報價系統(tǒng)作為電力市場運營系統(tǒng)的廠站側(cè)組件，必須專機(jī)專用，與辦公網(wǎng)絡(luò)進(jìn)行物理隔離；并配置防病毒系統(tǒng)。

MIS網(wǎng)內(nèi)重要服務(wù)器應(yīng)采取有效的訪問控制和隔離手段，封堵系統(tǒng)漏洞，過濾惡意代碼病毒，阻擋網(wǎng)絡(luò)攻擊。各應(yīng)用服務(wù)器應(yīng)具有病毒防護(hù)能力。

移動設(shè)備是網(wǎng)絡(luò)內(nèi)部病毒傳播的主要介質(zhì)，應(yīng)進(jìn)行嚴(yán)格管理控制，采用比如安全U盤等措施。

各業(yè)務(wù)系統(tǒng)管理與操作人員、各終端使用人員的操作行為應(yīng)得到有效監(jiān)控，防護(hù)措施應(yīng)能在一定程度上防止并可靠記錄操作行為和惡意違規(guī)操作。

3)全局安全需求

生產(chǎn)控制業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)應(yīng)能實時、可靠地響應(yīng)安全事故，進(jìn)行事故追憶，并具有學(xué)習(xí)功能。

水電站應(yīng)定期對電力監(jiān)控系統(tǒng)進(jìn)行安全性評價，具有全面合理的電力監(jiān)控系統(tǒng)安全防護(hù)管理體系。

3 業(yè)務(wù)系統(tǒng)保護(hù)等級測評

按照《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南》(GB/T 25058-2010)和《電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級指導(dǎo)意見》確定水電站電力監(jiān)控系統(tǒng)的安全保護(hù)等級。

電力監(jiān)控系統(tǒng)的安全保護(hù)等級確定后，根據(jù)測評結(jié)果出具的信息安全等級保護(hù)測評報告，按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開展電力監(jiān)控系統(tǒng)安全建設(shè)工作，達(dá)到電站安全防護(hù)體系合規(guī)合法的總體目標(biāo)。

4 電力監(jiān)控系統(tǒng)安全防護(hù)措施

電力監(jiān)控系統(tǒng)安全防護(hù)的總體策略是：安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證[2]。

針對水電站電力監(jiān)控系統(tǒng)安全防護(hù)總體需求，同時遵循系統(tǒng)性、實用與先進(jìn)結(jié)合、風(fēng)險代價相平衡等原則，提出建立實時、主動、動態(tài)、由邊界到核心的安全防護(hù)體系方案。

4.1 安全分區(qū)

防護(hù)方案所涵蓋的電力監(jiān)控系統(tǒng)依據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南》(GB/T 25058-2010)和《電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級指導(dǎo)意見》所確定的保護(hù)等級納入相應(yīng)的安全分區(qū)中。本期水電站業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個大區(qū)。生產(chǎn)控制大區(qū)由具有實時控制功能的安全區(qū)Ⅰ和具有非實時控制功能的安全區(qū)Ⅱ組成，業(yè)務(wù)系統(tǒng)安全分區(qū)見圖2所示。管理信息大區(qū)按照水電站業(yè)務(wù)管理需求劃分為安全區(qū)Ⅲ、安全區(qū)Ⅳ[7]。業(yè)務(wù)系統(tǒng)安全分區(qū)如圖3所示。

圖2 安全分區(qū)Ⅰ/Ⅱ

圖3 安全分區(qū)Ⅲ/Ⅳ

水電站計算機(jī)監(jiān)控系統(tǒng)和機(jī)組狀態(tài)監(jiān)測系統(tǒng)向MIS網(wǎng)提供的Web服務(wù)調(diào)整為獨立的系統(tǒng)，遷移至安全區(qū)Ⅲ運行。

根據(jù)水電站的各業(yè)務(wù)網(wǎng)絡(luò)連接情況，防護(hù)方案采用如圖4所示鏈?zhǔn)酵負(fù)浣Y(jié)構(gòu)實現(xiàn)安全區(qū)互連。

圖4 鏈?zhǔn)浇Y(jié)構(gòu)

4.2 縱向通信防護(hù)

水電站縱向網(wǎng)絡(luò)通信包括：1)生產(chǎn)控制系統(tǒng)經(jīng)調(diào)度數(shù)據(jù)網(wǎng)與調(diào)度端的通信；2)DIMS客戶端經(jīng)電力數(shù)據(jù)通信網(wǎng)與調(diào)度端通信；3)MIS網(wǎng)絡(luò)經(jīng)同集團(tuán)公司通信。

第1項通信屬于生產(chǎn)控制業(yè)務(wù)，遠(yuǎn)程通信采用縱向加密認(rèn)證裝置進(jìn)行隔離；通過加密隧道、加載在加密隧道上的訪問控制策略以及系統(tǒng)通信主機(jī)IP地址和端口的對應(yīng)關(guān)系保證其傳輸數(shù)據(jù)的機(jī)密性、完整性?？v向加密認(rèn)證裝置可配置雙機(jī)熱備，確保設(shè)備高可靠性。

第2、第3項通信屬于管理信息業(yè)務(wù)，采用國產(chǎn)硬件防火墻完成數(shù)據(jù)過濾和訪問控制。防火墻應(yīng)基于網(wǎng)絡(luò)地址、通訊協(xié)議、通訊端口、用戶、信息傳輸方向、操作方式、通訊時間、服務(wù)類型等因素配置控制策略，并能快速重組分片報文抵御分片攻擊。

4.3 橫向隔離

安全區(qū)Ⅱ和安全區(qū)Ⅲ區(qū)內(nèi)交換機(jī)之間采用正向物理隔離裝置實現(xiàn)數(shù)據(jù)以非網(wǎng)絡(luò)方式從安全區(qū)Ⅱ發(fā)送到安全區(qū)Ⅲ，保證傳輸層以上數(shù)據(jù)完全單向傳輸，且最多返回1個字節(jié)的TCP應(yīng)答數(shù)據(jù)。為確保設(shè)備高可用性，要求隔離裝置采用雙機(jī)網(wǎng)絡(luò)熱備份連接方式。同時，為提供安全區(qū)Ⅱ中水調(diào)自動化等系統(tǒng)從安全區(qū)Ⅲ獲取數(shù)據(jù)的通道，須在安全區(qū)Ⅱ、Ⅲ區(qū)內(nèi)交換機(jī)之間部署反向物理隔離裝置，使用數(shù)字認(rèn)證、病毒查殺和有效性檢查等手段對純文本數(shù)據(jù)進(jìn)行過濾后將其從安全區(qū)Ⅲ擺渡到安全區(qū)Ⅱ。物理隔離裝置的使用可極大提高生產(chǎn)控制大區(qū)的安全性，但同時也會造成FTP、SQL等應(yīng)用層通信無法跨越隔離裝置。因此必須對計算機(jī)監(jiān)控系統(tǒng)和機(jī)組狀態(tài)監(jiān)測系統(tǒng)軟件進(jìn)行調(diào)整，以確保其Web功能的正常運行。

安全區(qū)Ⅰ、Ⅱ之間和安全區(qū)Ⅲ、Ⅳ之間采用國產(chǎn)防火墻邏輯隔離，對跨區(qū)的訪問進(jìn)行嚴(yán)格控制。

安全區(qū)Ⅳ采用國產(chǎn)防火墻與Internet隔離，配置完整的路由策略，對開放的協(xié)議、服務(wù)、端口、時段、用戶、數(shù)據(jù)流向、連接數(shù)等進(jìn)行嚴(yán)格控制。

4.4 入侵檢測

生產(chǎn)控制大區(qū)統(tǒng)一部署一套分布式IDS，分別在安全區(qū)Ⅰ和安全區(qū)Ⅱ的區(qū)內(nèi)交換機(jī)和調(diào)度數(shù)據(jù)網(wǎng)接入交換機(jī)鏡像端口配置探測引擎，實時主動偵測攻擊和非法操作?？刂浦行能浖惭b在安全區(qū)Ⅱ綜合管理服務(wù)器上，接收掃描引擎事件上報并向掃描引擎下發(fā)安全策略。特征庫的升級要求定期采用離線方式。

需要注意的是，目前商業(yè)化的入侵檢測系統(tǒng)多數(shù)采用基于異常的檢測方法，該檢測方法誤報率高，故不宜配置IDS與防火墻的聯(lián)動策略。

4.5 病毒防護(hù)

由于安全區(qū)Ⅰ、安全區(qū)Ⅱ內(nèi)的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)相對獨立，不便于統(tǒng)一防病毒系統(tǒng)的形式，根據(jù)系統(tǒng)規(guī)模采用單機(jī)或網(wǎng)絡(luò)方式的防病毒系統(tǒng)。

管理信息大區(qū)的應(yīng)用基本上都建立在MIS網(wǎng)上，采用網(wǎng)絡(luò)方式的防病毒系統(tǒng)。

病毒庫由負(fù)責(zé)人定期采用離線方式升級。對UNIX或LINUX服務(wù)器和工作站以及嵌入式系統(tǒng)暫不考慮病毒防護(hù)。

4.6 漏洞掃描

漏洞掃描是一種主動的防范措施。漏洞掃描與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫的掃描，及時發(fā)現(xiàn)安全漏洞，評估網(wǎng)絡(luò)風(fēng)險；并根據(jù)掃描結(jié)果采取安裝升級包、補(bǔ)丁包，修改各種網(wǎng)絡(luò)隔離設(shè)備和數(shù)據(jù)庫的訪問控制策略等手段，避免非授權(quán)個人利用系統(tǒng)安全漏洞進(jìn)行攻擊或者非法訪問。

4.7 安全審計

縱向加密認(rèn)證裝置、橫向物理隔離裝置、防火墻、入侵檢測、防病毒系統(tǒng)、主機(jī)、工作站等電力監(jiān)控系統(tǒng)安全防護(hù)設(shè)備以及調(diào)度數(shù)據(jù)網(wǎng)接入設(shè)備本身都會產(chǎn)生自身運行狀況和系統(tǒng)安全的日志。生產(chǎn)控制大區(qū)應(yīng)建立安全審計管理平臺，方便運行維護(hù)人員集中管理日志信息，借助相應(yīng)工具分析、判斷、預(yù)防和及時響應(yīng)處理系統(tǒng)的安全事件， 完成全面的日志分析、告警和綜合安全管理[2]。

安全審計管理平臺部署在安全區(qū)Ⅱ和管理信息大區(qū)的MIS網(wǎng)內(nèi)，通過SNMP協(xié)議或SYSLOG等方式獲取安全設(shè)備(如縱向加密認(rèn)證裝置、橫向物理隔離裝置、防火墻、IDS 、防病毒系統(tǒng)等)、調(diào)度數(shù)據(jù)網(wǎng)接入設(shè)備的安全事件信息，對網(wǎng)絡(luò)安全事件信息進(jìn)行集中分析過濾、處理、保存。通過合理的事件配置為管理人員提供及時、可靠的告警，實現(xiàn)全網(wǎng)的實時安全檢測，清晰的記錄可為安全審計提供有力的支持，統(tǒng)一標(biāo)準(zhǔn)化的管理功能可有效的整合生產(chǎn)控制大區(qū)的安全防護(hù)體系，銜接安全技術(shù)和安全管理，從全局高度維護(hù)網(wǎng)絡(luò)的安全性。

4.8 主機(jī)加固

防火墻、IDS等網(wǎng)絡(luò)安全產(chǎn)品解決了當(dāng)前網(wǎng)絡(luò)系統(tǒng)的一些問題，但由于這些安全產(chǎn)品大多獨立于應(yīng)用系統(tǒng)之外，并不能完全防護(hù)外部的入侵行為，也不能防止內(nèi)部用戶的破壞行為。而且通過滲透攻擊，黑客最終將獲得服務(wù)器系統(tǒng)管理員的權(quán)限，基于網(wǎng)絡(luò)的安全產(chǎn)品將不再起作用。

水電站重要的主機(jī)(如：監(jiān)控主服務(wù)器、重要的工作站/操作員站、通信服務(wù)器)運行的是實時系統(tǒng)的重要數(shù)據(jù)和業(yè)務(wù)進(jìn)程，對可靠性要求更高。一旦出現(xiàn)了事故，事后無法追查、判斷責(zé)任，無法迅速找到解決方案。因此主機(jī)加固做為核心防護(hù)是一項必須的措施，要保證重要的業(yè)務(wù)不停頓，重要的數(shù)據(jù)不被更改、刪除、非法拷貝。除加強(qiáng)操作系統(tǒng)補(bǔ)丁管理、安全配置外，在核心系統(tǒng)上部署主機(jī)加固防護(hù)產(chǎn)品，對計算機(jī)監(jiān)控系統(tǒng)、110 kV變電站監(jiān)控系統(tǒng)、船閘控制系統(tǒng)、泄洪閘控制系統(tǒng)、水調(diào)自動化、生產(chǎn)管理信息系統(tǒng)的服務(wù)器、操作員站和通信服務(wù)器等進(jìn)行安全配置和主機(jī)加固。

4.9 MIS網(wǎng)安全監(jiān)控

水電站MIS網(wǎng)與Internet連接，且涉及的業(yè)務(wù)量大，終端多，用戶類型相對復(fù)雜。雖然MIS網(wǎng)重要性不及生產(chǎn)控制系統(tǒng)，但由于內(nèi)部存在相當(dāng)數(shù)量的企業(yè)級保密數(shù)據(jù)且網(wǎng)絡(luò)化的管理和辦公方式日益深入，維護(hù)其安全將是電廠生產(chǎn)管理工作正常運行的重要保障。

管理信息大區(qū)應(yīng)配置一套內(nèi)網(wǎng)安全管理系統(tǒng)，實現(xiàn)嚴(yán)格可靠的網(wǎng)絡(luò)管理，形成健康有序的網(wǎng)絡(luò)環(huán)境，避免內(nèi)部安全隱患造成邊界防護(hù)的失效。

內(nèi)網(wǎng)安全管理系統(tǒng)不間斷監(jiān)測服務(wù)器和網(wǎng)絡(luò)設(shè)備的運行狀況，采集相關(guān)運行日志，實現(xiàn)網(wǎng)絡(luò)資源狀態(tài)的集中監(jiān)管；對重點業(yè)務(wù)系統(tǒng)進(jìn)行精細(xì)化的監(jiān)管；將網(wǎng)絡(luò)設(shè)備、關(guān)鍵服務(wù)器及業(yè)務(wù)整合，發(fā)生故障時，及時告知故障點及故障可能波及的范圍，盡可能減少故障修復(fù)時間和關(guān)鍵數(shù)據(jù)的損失；能夠?qū)?nèi)部網(wǎng)絡(luò)操作進(jìn)行監(jiān)控和管理；具備遠(yuǎn)程監(jiān)測和報警功能；并提供詳細(xì)的網(wǎng)絡(luò)性能和網(wǎng)絡(luò)行為報告。

4.10 網(wǎng)絡(luò)安全設(shè)置

在維護(hù)網(wǎng)絡(luò)安全的同時，安全設(shè)備以及組網(wǎng)設(shè)備自身應(yīng)由專人執(zhí)行嚴(yán)格的安全設(shè)置，采取建立強(qiáng)健的身份認(rèn)證、合理分配管理權(quán)限、限制不安全應(yīng)用協(xié)議、關(guān)閉默認(rèn)設(shè)置、信息加密等措施確保網(wǎng)絡(luò)及安全設(shè)備的安全可靠。

5 建立安全管理機(jī)制

“技術(shù)是基礎(chǔ)，日常管理是根本”，健全的管理是人與技術(shù)設(shè)備協(xié)調(diào)統(tǒng)一的保證。所提方案對水電站電力監(jiān)控系統(tǒng)安全管理提出了以下幾個方面的建議：1)建立完善的安全管理組織機(jī)構(gòu)和責(zé)任制度；2)設(shè)備、應(yīng)用及服務(wù)的接入管理；3)建立日常運行的安全管理制度；4)工程實施過程中的安全管理；5)建立快速的安全事件響應(yīng)機(jī)制；6)建立分級的安全評估制度。

前3個方面對安全管理組織安排、安全職責(zé)劃分、系統(tǒng)接入管理、人員管理、資源管理、保密工作、訪問控制、系統(tǒng)維護(hù)、安全審計、應(yīng)急備份、安全培訓(xùn)等提出了全面的建議，是安全管理工作的基礎(chǔ)，更詳細(xì)的內(nèi)容可參考《信息系統(tǒng)安全管理要求》(GB/T 20269-2006)、《信息安全實用管理規(guī)則》(GB/T 19716-2005)等標(biāo)準(zhǔn)，作為安全管理機(jī)制基本思路和建設(shè)框架的參考，通過實際的執(zhí)行、調(diào)整應(yīng)盡早形成初步可行的電力監(jiān)控系統(tǒng)安全防護(hù)管理規(guī)范。

6 安全評估

電力監(jiān)控系統(tǒng)安全防護(hù)是一個長期動態(tài)的過程，方案設(shè)計僅是處在安全防護(hù)的初級階段，在安全防護(hù)的基礎(chǔ)框架上，定期的安全評估可促使新問題的發(fā)現(xiàn)和及時修正，在不斷的循環(huán)中完善防護(hù)體系。

提出建立分級的安全評估制度，水電站作為基層單位首先必須配合上級的安全工作，定期進(jìn)行全面安全評估，同時需建立可行的自評估辦法，利用自評估逐步規(guī)范和加強(qiáng)安全管理，促進(jìn)安全意識、機(jī)制的建立。同時自評估項目和標(biāo)準(zhǔn)也應(yīng)不斷完善和提高。

7 待進(jìn)一步探討的問題

所提水電站電力監(jiān)控系統(tǒng)安全防護(hù)方案僅處于安全防護(hù)體系生命周期的初步建設(shè)階段。從效率、安全等角度看，該方案尚存在以下需進(jìn)一步研究和解決的問題：

1)所提方案關(guān)注的主要是邊界防護(hù)和核心防護(hù)兩方面的安全需求?！缎畔踩夹g(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》已經(jīng)將信息網(wǎng)絡(luò)擴(kuò)展到工業(yè)控制網(wǎng)絡(luò)，其中安全計算環(huán)境關(guān)系到工控系統(tǒng)的主機(jī)應(yīng)用安全、數(shù)據(jù)存儲保護(hù)，是網(wǎng)絡(luò)安全等級保護(hù)中三重防護(hù)重要組成部分。這將是下一步水電站電力監(jiān)控系統(tǒng)安全防護(hù)的重點內(nèi)容[4]。

2)漏洞掃描、安全審計、入侵檢測系統(tǒng)等安全防護(hù)設(shè)備提供了詳細(xì)的資料輔助安全策略制定。但由于電廠安全防護(hù)負(fù)責(zé)人員大多只是電力專業(yè)背景，在缺乏專門訓(xùn)練的情況下，面對龐大的分析數(shù)據(jù)要堅持長期跟蹤變化并實時做出應(yīng)急反有一定的困難?？梢钥紤]建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知體系，實現(xiàn)對主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等的實時告警與運行狀態(tài)在線監(jiān)測，從靜態(tài)布防到實時管控轉(zhuǎn)變[5]，達(dá)到以下目標(biāo)：①外部侵入有效阻斷。對外部侵入行為能夠?qū)崟r監(jiān)視，及時阻斷危害鏈路，保證電力監(jiān)控系統(tǒng)不受入侵事件影響。②外力干擾有效隔離。對于外部產(chǎn)生緊急威脅事件，能夠通過有效手段對涉及主機(jī)或設(shè)備進(jìn)行有效隔離，保證威脅事件不會擴(kuò)散傳播。③內(nèi)部違規(guī)及時發(fā)現(xiàn)。對于內(nèi)部的越權(quán)訪問和惡意操作，可及時發(fā)現(xiàn)并預(yù)警。

3)區(qū)域電力數(shù)字證書系統(tǒng)的缺乏使得要在電廠等基層單位實現(xiàn)統(tǒng)一的身份認(rèn)證機(jī)制和普及加密通信還需時日。

8 結(jié) 語

水電站電力監(jiān)控系統(tǒng)安全防護(hù)實施方案如圖5所示。方案嚴(yán)格地執(zhí)行了相關(guān)文件的規(guī)定，符合電力監(jiān)控系統(tǒng)安全防護(hù)和信息安全的原則性要求。盡管如此，上述問題仍應(yīng)該在今后的生產(chǎn)管理中繼續(xù)得到高度關(guān)注和進(jìn)一步研究，根據(jù)技術(shù)的發(fā)展、環(huán)境因素的改變對方案做出合理的調(diào)整，以保證跟上安全形勢的變化；為水電站提供一個具備動態(tài)響應(yīng)、持續(xù)進(jìn)化的符合《中華人民共和國網(wǎng)絡(luò)安全法》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》的整網(wǎng)安全保障體系。

圖5 電力監(jiān)控系統(tǒng)安全防護(hù)實施方案

滿足文件要求不是最終目的，安全工作要努力實現(xiàn)的是人員安全意識的提高、安全機(jī)制的建立和事故保障體系的完善，最終形成滲入生產(chǎn)管理各個細(xì)節(jié)的安全體系，而不僅僅是浮于文字的規(guī)定。