邱波

摘要：核電廠電力監(jiān)控系統(tǒng)網(wǎng)絡安全設計比較簡單，同時電廠對這方面也不是特別重視。在國外經(jīng)歷幾次比較嚴重的網(wǎng)絡入侵事件后，目前國內(nèi)逐漸重視網(wǎng)絡安全防護，特別是核電廠涉及核安全問題。專業(yè)網(wǎng)絡安全公司對核電廠電力監(jiān)控系統(tǒng)進行安全評估及網(wǎng)絡安全防護技術(shù)發(fā)展的推動下，核電廠電力監(jiān)控系統(tǒng)網(wǎng)絡安全整體情況有較大提升。

關(guān)鍵詞：網(wǎng)絡安全;電力監(jiān)控

0.引言

在核電廠中，電力監(jiān)控系統(tǒng)主要負責與電網(wǎng)進行數(shù)據(jù)傳輸，是核電廠生產(chǎn)控制大區(qū)與外界的唯一接口，其安全性直接關(guān)系電廠生產(chǎn)系統(tǒng)能否安全穩(wěn)定運行。隨著國外及國內(nèi)多起電廠網(wǎng)絡安全事件發(fā)生，國內(nèi)電廠及電網(wǎng)公司已逐漸認識到電力監(jiān)控系統(tǒng)網(wǎng)絡安全的重要性，本文從核電廠典型電力監(jiān)控系統(tǒng)配置介紹，分析其存在的問題及改進后對安全性的提升作用。

1.改進前網(wǎng)絡結(jié)構(gòu)

從上圖看，核電廠500kV開關(guān)站系統(tǒng)網(wǎng)絡結(jié)構(gòu)主要包括：核心區(qū)和邊界接入?yún)^(qū)兩大安全區(qū)域。邊界接入?yún)^(qū)主要實現(xiàn)與上級單位的互聯(lián)，通過部署兩臺路由器接入廣域網(wǎng)，并且部署四臺加密認證網(wǎng)關(guān)提供縱向加密。核心區(qū)網(wǎng)絡主要提供服務器、數(shù)據(jù)庫、存儲設備等重要設備的數(shù)據(jù)交換功能。通過部署兩臺交換機為操作員站以及各安全區(qū)的設備提供接入，并且上聯(lián)邊界接入?yún)^(qū)的設備，部署兩臺防火墻對安全I 區(qū)和安全II 區(qū)進行橫向隔離，安全I 區(qū)與安全II 區(qū)之間通過橫向隔離防火墻進行訪問控制。

但該網(wǎng)絡結(jié)構(gòu)只具備過濾小風險的能力，在以下幾方面仍存在安全隱患：

a）業(yè)務交換機及邊界路由器兩條鏈路之間有連接，若出現(xiàn)網(wǎng)絡攻擊，很有可能兩條業(yè)務鏈路同時中斷，存在兩條鏈路相互影響的情況。

b）沒有在網(wǎng)絡邊界處采取措施，監(jiān)視網(wǎng)絡攻擊行為（端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊），并對攻擊行為進行記錄。

c）沒有在網(wǎng)絡邊界部署防惡意代碼設備對惡意代碼進行檢測和清除。

2、改進后網(wǎng)絡結(jié)構(gòu)

改進后的網(wǎng)絡結(jié)構(gòu)變化點：將電力監(jiān)控系統(tǒng)兩個平面完全隔離，不存在數(shù)據(jù)交互可能;增加了IDS、堡壘機及態(tài)勢感知等網(wǎng)絡監(jiān)控設備，預警并幫助分析網(wǎng)絡攻擊等行為。相對之前網(wǎng)絡，在網(wǎng)絡安全性提升方面主要有以下幾方面：

a）配置IDS系統(tǒng)，入侵檢測系統(tǒng)（IDS）采用協(xié)議分析、模式匹配、異常檢測等技術(shù)，通過將交換機上的關(guān)鍵接入端口的數(shù)據(jù)報文鏡像到IDS檢測引擎（IDS探頭）的接入端口，實現(xiàn)對網(wǎng)絡流量、數(shù)據(jù)包的動態(tài)監(jiān)視、記錄和管理、對異常事件進行告警等。

b）增加堡壘機設備，能夠自動將更換后的密碼下載到專用芯片級硬件加密設備，可通過指紋和管理權(quán)限對相應的服務器托管密碼進行查看和打印;內(nèi)部管理功能授權(quán)可以限制到某個樹形節(jié)點的范圍內(nèi);支持命令操作的黑白名單設置，命令權(quán)限控制規(guī)則應支持正則表達式，并可對命令的參數(shù)進行限制并記錄日志;為保證日志存儲的安全性，會話日志必須先備份才可以刪除，不可以覆蓋。

c）配備態(tài)勢感知設備，通過探測采集、鏡像流量、NMAP、SNMP等手段自動發(fā)現(xiàn)廠站裝置檢測范圍內(nèi)的資產(chǎn);資產(chǎn)關(guān)鍵屬性包括：IP、MAC、主機名、設備類型、軟件版本等;采集主機、安全設備、網(wǎng)絡設備的原始日志并已時間形式記錄于數(shù)據(jù)庫中;實施發(fā)現(xiàn)并采集敏感報文和可疑文件，主動將特征信息上送主站;支持采集安全設備、服務器、工作站的用戶登錄、操作信息、配置變更信息、流量信息、網(wǎng)口狀態(tài)信息的事件信息;主動將事件告警信息通過104通信協(xié)議上送主站;自動生成物理連接拓撲圖呈現(xiàn)設備端口與設備端口之間物理連接關(guān)系，并實時展示當前的設備端口流量情況。

d）系統(tǒng)切割為兩個獨立平面，每臺遠動機分別配置調(diào)度數(shù)據(jù)網(wǎng)A/B平面接口，改造后業(yè)務裝置A接口接入到A平面調(diào)度數(shù)據(jù)網(wǎng)，B接口接入到B平面調(diào)度數(shù)據(jù)網(wǎng)。增加下游重要業(yè)務系統(tǒng)的可靠性及安全性。

綜上分析，改進后的電力監(jiān)控系統(tǒng)網(wǎng)絡結(jié)構(gòu)較為合理，網(wǎng)絡中主要設備的業(yè)務處理能力具備冗余空間，能滿足業(yè)務高峰期的需要;網(wǎng)絡中部署有訪問控制設備和入侵檢測系統(tǒng)，但訪問控制策略和入侵檢測策略還需進一步完善，通過加強機房的物理安全管理，目前還算安全;并且電力監(jiān)控系統(tǒng)所處的網(wǎng)絡區(qū)域范圍較小，且管理上操作員站、工作站和裝置等均禁止接入U 盤，具有較為嚴格的訪問管理措施，可以降低未安裝防惡意代碼軟件和及時升級系統(tǒng)補丁、系統(tǒng)口令不足等帶來的安全風險。

3、結(jié)論

核電廠網(wǎng)絡安全在如下幾方面得到加強：

a）網(wǎng)絡鏈路完全冗余，提升系統(tǒng)的可靠性;

b）增加安全防護及檢測設備，抵抗網(wǎng)絡攻擊，并及時提醒維護人員系統(tǒng)健康狀況;

c）控制安全設備策略精細度，僅業(yè)務地址數(shù)據(jù)可以通過，達到更精準管控。

d）物理隔離設備得到加強，防社工攻擊進一步提升。

但是，新增設備的策略配置不合理、安全補丁更新不及時等問題，同時隨著網(wǎng)絡科技的發(fā)展，一些新的攻擊手段的出現(xiàn)也逐漸威脅核電廠電力監(jiān)控系統(tǒng)網(wǎng)絡正常運行，需要持續(xù)提升。

參考文獻：

1、電力監(jiān)控系統(tǒng)網(wǎng)絡安全態(tài)勢感知廠站裝置技術(shù)規(guī)范（試行） 中國南方電網(wǎng) 2018年4月;

2、南方電網(wǎng)總調(diào)直采廠站接入網(wǎng)級自動化主站技術(shù)方案 中國南方電網(wǎng) 2017年5月

3、國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案 國家能源局 2015年2月