水电站二次系统网络安全防护方案

张继康

(国网陕西省电力公司安康水力发电公司，陕西 安康 725000)

水电站二次系统网络安全防护方案

张继康

(国网陕西省电力公司安康水力发电公司，陕西 安康 725000)

介绍了安康水电站二次系统网络现状，阐述了网络安全防护的规划、目标和解决方案，并在此基础上提出了一些建议，以促进安康水电站二次系统网络安全防护工作的实施与提升，保障水电站和陕西电网的安全稳定运行。

水电站；二次系统；网络安全防护；安全分区

0 引言

安康水电站位于汉江干流上游，下游距安康市城区18 km，是汉江上游陕西省境内7级梯级水电站开发中的第4级水电站，也是7级梯级水电站中调节能力最强、装机容量最大的水电站。

该水电站于1978年开工建设，机组于1992年全部并网发电。电站最大坝高128 m，坝长541.5 m，控制流域面积35 700 km2，水库正常高水位330 m，水电站总库容25.85×108m3。水电站总装机800 MW，以3回330 kV出线与西安市和汉中市电网相连，7回110 kV出线与安康市电网连接，是陕西电网调峰、调频和事故备用的主力电厂之一，肩负着安康市城区及下游城镇防洪度汛的重任。

1 网络安全防护方案的规划及目标

1.1 总体规划

安康水电站结合现有自动化系统现状制定二次系统网络安全防护方案。其总体规划是：

(1) 在保证安康水电站网络架构原有业务功能的基础上，增加4面服务器机柜、5台服务器、1台磁盘阵列以及通信光缆、网络安全隔离与防护;

(2) 在坚固的安全网络保护的基础上，充分利用和挖掘网络资源，增强企业局域网的信息处理和分析能力;

(3) 构筑面向各信息子系统的综合数据信息平台，在硬件、软件及数据库方面提供各层的规范接口，保证目前已经投运的各个子系统能安全可靠地接入平台，确保子系统之间能共享信息资源。

1.2 防护目标

安康水电站二次系统安全防护的总目标是：

(1) 防止水电站监控系统服务的核心业务(即电力生产)中断；

(2) 防止水电站监控系统崩溃；

(3) 抵御外部人员对水电站监控系统发起的恶意破坏和攻击，以及可能对相连的调度自动化系统造成的影响；

(4) 防止利用病毒/木马等恶意程序，从水电站监控系统局域网内部发起的对电力生产及相连的调度自动化系统的恶意破坏和攻击；

(5) 保护水电站监控系统的实时和历史数据，防止数据被非授权修改。

2 网络安全防护现状与防风险措施计划

2.1 计算机监控系统

安康水电站计算机监控系统防护现状与计划增加的防风险措施如表1所示。

2.2 水库调度自动化系统(水情测报系统)

安康水电站水库调度自动化系统已形成一个综合性的数据库，所涉及的功能模块在多个安全区均有分布，和水库调度自动化系统交换数据的系统有：监控自动化系统(安全1区)、电量计费系统(安全2区)、西北网调自动化系统(安全3区)、蔺河口水调自动化系统(安全3区)、安康市防汛办(安全3区)、安康电厂后方通信科(安全3区)、MIS(Management Information System，管理信息系统)系统(安全3区)等。

由于安康水电站水库调度自动化系统规模迅速扩大，其初期的整体设计理念，已无法满足目前网络的整体安全要求，所以在网络安全防范方面只能尽量分模块进行安全保护。

水库调度自动化系统的网络安全防护现状与计划增加的防风险措施如表2所示。

3 网络安全防护方案

3.1 二次系统安全防护总体方案

本方案根据安康水电站网络现状以及二次安全防护总体方案——水电站防护方案要求，结合网络及业务需求，对各应用系统进行了合理的安全分区，安康水电站二次系统安全防护方案如图1所示。方案分为以下几个部分。

(1) 生产控制大区与管理信息大区之间的横向隔离。位于控制区(安全1区)的机组监控系统与MIS系统通过1台单比特正向隔离装置互联，也可冗余配置2台装置，互为备用，实现安全1区与管理信息大区之间的安全隔离。由于不存在反向业务，所以2区之间无需部署反向隔离装置。

(2) 正、反向隔离。位于非控制区(安全2区)的水调自动化系统、电量计费系统、内网数据中心与管理信息大区系统的外网数据中心、MIS系统之间通过1台(或2台，冗余配置)正向隔离装置和1台反向隔离装置(或2台，冗余配置)，其中因为内、外网数据中心需要数据双向互传文件，故在此部署反向隔离装置。

表1 计算机监控系统防护现状与计划增加的防风险措施

表2 水库调度自动化系统网络安全防护现状与计划增加的防风险措施

本方案中所有隔离装置为了配合应用应答，从物理层实现外网到内网1 bit。因此所有应用系统的外网服务器程序只能返回1 bit的应答给内网客户端程序，同时规定11 bit的内容只能有2种状态：0和1，分别用1 byte 0和255表示。应用程序只允许TCP(Transmission Control Protocol，传输控制协议)和UDP(Open System Interconnection，开放式系统互联)应用，推荐使用UDP。要求安全1区各应用系统及MIS系统通信服务程序由相关开发厂商进行相应的改动。

(3) 生产控制大区内部控制区(安全1区)与非控制大区(安全2区)之间安全防护。根据二次安全防护方案要求，安全1，2区之间应采用防火墙进行逻辑隔离，用于监控系统与内网数据中心的数据交互。

(4) 管理信息大区与外网(因特网)互联。管理信息大区与外网互联通过1台防火墙进行安全防护，建议根据交换机的接口状况采用千兆防火墙。

(5) 纵向加密认证装置部署。根据二次系统安全防护方案“纵向认证”的要求，在已有的调度数据网络路由器和交换机(安全1，2区核心交换机)之间分别部署1台(共2台)纵向加密认证装置。通过对数据加密隧道的建立和访问控制策略的配置，保证广域纵向数据传输的安全性和可靠性。

(6) 生产控制大区和管理信息大区入侵检测系统部署。根据需求，对照二次系统安全防护方案规定，生产控制大区和管理信息大区不可以共用1套系统。因此，本方案中在生产控制大区部署1套IDS(Intrusion Detection Systems，入侵检测系统)，将IDS装置和管理服务器部署在安全2区，探头分别部署在安全1，2区交换机的网络边界，监测来自内网的攻击和流量异常等情况。在管理信息大区部署1套IDS系统，部署在管理信息大区核心交换机上，主要监测来自外网和MIS系统网络边界的攻击和数据流量异常情况。

图1中的虚线部分为设备的双机冗余配置，为可选项。采用冗余配置将更有利于系统安全、稳定地运行。

图1方案实际上符合二次系统安全防护方案中三角链接模式，即组成安全1，2区之间通过防火墙互联，安全1区与管理信息大区通过横向隔离装置互联，完成数据的正向传输；安全2区与管理信息大区通过横向隔离装置互联，完成数据的正、反相传输。

3.2 水库调度自动化系统防护方案

由于安康水电站水库调度自动化系统目前为独立系统，通过防火墙与当地防汛部分互联，不符合二次系统安全防护规定。

随着水调自动化系统的建立，安康水电站水库调度自动化系统将通过调度数据网络与省调互联，因此不能直接将其与防汛系统通过公网互联，必须经过隔离装置进行隔离后再互联。对于该系统的防护有2种方案可供选择。

(1) 方案1。将水库调度自动化系统置于安全2区，通过正向隔离装置将数据倒至位于管理信息大区MIS系统的Web服务器，再通过防火墙与外网互联，以满足安防要求。

(2) 方案2。安康水电站水库调度自动化系统统防护方案2如图2所示。

图2 安康水电站水库调度自动化系统防护方案2示意

方案2与方案1的区别在于，方案2在水库调度自动化系统单独增加了1台正向隔离装置，将Web服务器直接与隔离装置互联，不将其与管理信息大区的MIS网交换机互联，通过原有防火墙与外网防汛系统互联。

3.3 入侵检测系统部署方案

在生产控制大区和管理信息大区各部署1套IDS系统，每套系统包括1台入侵检测装置和1台管理服务器，管理服务器用于数据的存储和作为管理软件的平台。

安全1，2区入侵检测原理如图3所示，其中安全1，2区共用1套系统，将IDS装置和管理服务器部署在安全2区，即将IDS装置和管理服务器接入安全2区核心交换机，其地址均为安全2区地址段地址。将装置探头分别部署在安全1，2区交换机的网络边界，通过交换机的镜像功能，监测来自内网的攻击和流量异常等情况。要求有探头部署时交换机应为3层交换，且具有镜像功能。

本次工程配置的IDS共有3个网口，其中1个网口用于管理用，需要配置地址，该网口通过电力广域网调度中心IDS日志查看服务器在1个VLAN(Vitrual Local Area Netuout，虚拟局域网)，IDS设备的管理软件就装在当地服务器上；其余2个网口就接在1，2区交换机上，在混杂模式下，无需配置地址。在2台交换机上配置镜像功能，把需要监视的端口或数据流传递到IDS设备上。

图3 1，2区入侵检测原理示意

3.4 其他建议

(1) 由于管理信息大区的病毒防护和可能受到的攻击更为突出，建议在管理信息大区部署IPS(Instrusion Prevention System，入侵防御系统)，其与IDS最大的区别在于具有阻断功能。好的IPS系统集成了入侵防御与检测、病毒过滤、带宽管理等多项功能，可实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件及攻击和恶意行为。

(2) 由于管理信息大区对外网的数据流量较大，建议采用千兆防火墙(应根据管理信息大区的核心交换机是否具有千兆接口确定)，以提高网络速率和可靠性。

1 董玉香，田家英．电力二次系统安全防护探讨[J]．电子世界，2014，36(22)：82-83.

2 郭积才，曹金元．智能变电站二次系统安全性探讨[J]．电力安全技术，2014，16(3)：19-21.

3 国家质量技术监督局．GB 17859—1999计算机信息系统安全保护等级划分准则[S]．北京：中国标准出版社，1999. 4 刘常勇，刘 双．三门核电站二次系统安全防护方案[J].中国核电，2015，8(3)：266-270.

2016-12-18。

张继康(1984—)，男，工程师，主要从事电力系统自动化设备维护检修和技术改造工作，email：qwer970@126.com。