智能化水电站网络安全防护设计研究

王 一

(北京天融信网络安全技术有限公司，北京 100000)

0 前 言

随着智能电网的发展，传统的第二代水电站监控系统由于定期检修成本高、效率低、难度大，突发非停事故仍不可预测和预防，系统大、多级通信故障风险高，升级改造扩展设备效率低、不灵活等特点，已经无法满足智能电网的需求，因此以工业4.0和工业互联网发展方向为目标的智能水电站解决方案被提出，同时国家能源局也发布了DL/T 1547—2016《智能水电厂技术导则》。智能水电站与传统水电站的分层分级架构最明显的区别是：将单元层分成了监控层(集中)和辅控层(分布式)。智能化水电站三层两网的核心是：将监控层和辅控层合并为单元层(全部采用分布式)，升级为智能测控单元[1]。因此网络安全防护的要求也发生了变化，需要监视安全防护设备实时状态，根据联动策略自动触发安全防护设备联动操作，为运行人员快速事件处理和关联设备操作提供支持。

1 智能水电站安全需求

智能水电站具备多元化的通信方式，对象设备多用IEC61850，集控和IT云端用OPC-UA，仪表用IEC104、ModbusTCP等，水电站从PLC变种到PAC，现在再从PAC变种到智能IED、小型智能IO，将单元层分成了监控层(集中)和辅控层(分布式)，将监控层和辅控层合并为单元层(全部采用分布式)，升级为智能测控单元，通过OT系统和IT系统的融合，采用人工智能和与机器学习等能力，实现一个平台的开放自动化的特点。

针对上述特点，智能水电站的安全防护需求如下：

(1)单元层设备全部采用分布式部署，传统的串接防护方式无法在该架构下进行部署，因此需要采用旁路监测及策略联动触发防御的方式进行安全防护；

(2)OT系统和IT系统融合，安全防护需要同时考虑OT系统及IT系统的防护[2]；

(3)由于IT系统采用了云计算技术，因此需同步考虑云安全的防护；

(4)应符合《电力二次系统安全防护规定》要求；

(5)应符合《电力监控系统安全防护总体方案》要求。

2 智能水电站安全防护设计

2.1 三层两网智能水电站区域划分设计

依据国家能源局〔2021〕36号文中相关规定[1]，对水电站生产网络进行安全域划分，目的旨在切割风险，即任意一点遭受攻击或网络风暴不会对其他生产过程产生影响，同时方便管理策略的执行。

安全域划分应遵守以下原则：

(1)基于业务类型进行安全域划分，保证业务的可靠性、连续性；

(2)充分认知业务对象，严谨定位业务范围；

(3)结合业务自身特性，准确识别业务数据流；

(4)充分识别业务风险，明确业务防护需求。

水电站安全区域划分遵照生产网络架构，原则上不同生产区域间禁止非授权访问。具体安全区域划分如图1所示。

图1 智能水电站区域划分逻辑拓扑示意

水电站生产网络包括生产控制大区安全Ⅰ区(控制区)、安全Ⅱ区(非控制区)、管理信息大区等不同的网络区域[3]。

安全Ⅰ区：即生产控制区，该区是电力系统中最为关键的部分，包括调速装置、励磁装置、机组保护 LCU、开关站 LCU、存储工作站等生产控制设备。

安全Ⅱ区：即生产非控制区，包括电能量采集装置、水情自动测报系统、故障录波信息管理终端等业务系统。

管理信息大区：包括雷电监测系统、气象信息系统、大坝自动监测系统、管理信息系统(MIS)等业务系统。

2.2 各区域安全监测及防护设计

2.2.1 生产大区设计

(1)常规水电站安全防护手段分析

在常规水电站中监控及辅控设备，通常以星形或者环网的方式进行自组网后再分别连接厂站层网和过程层网，如图2所示。

安全防护手段以安全分区、网络专用、横向隔离、纵向认证的安全防护为主，主要采用工控防火墙部署于生产控制网络内部各生产区域边界处，通过基于工业协议的识别对访问行为进行访问控制，如图3所示。

图2 常规水电站监控系统示意

图3 常规水电站安全防护示意

(2)智能化水电站安全防护设计

在智能化水电站中最大的变化在单元层。智能化水电站已经实现了去中心化及扁平化，各设备之间通过厂站层网和过程层网之间进行通信，各设备不再集中或者串行部署，而采用分布式部署的方式，如图4所示。

图4 智能化水电站示意

在分布式部署模式下工控防火墙已经无法对单元层设备进行防护，因此需要转换安全防护思路，从区域边界访问控制变为分布式监测、联动访问控制，从而实现安全防护的目的。

在厂站层网和过程层网的网络交换节点部署工控安全监测设备，监测生产控制区的所有交换流量，工控安全监测设备采用攻击规则检测+业务白名单两种方式，对工业控制网络上捕获的数据包进行相应的行为匹配，及时发现来自生产网内外部攻击威胁。一旦确定安全威胁，工控安全监测设备立即与生产控制区边界工控防火墙联动，及时对安全威胁进行处置。同时生产控制区边界工控防火墙借助网络白名单功能对通信报文进行过滤，在区域边界进行隔离，防范来自外来区域的安全风险。

同时，在IDMZ区部署工控漏扫承担对生产网中非运行状态以及未上线前主机、应用以及控制器的脆弱性扫描，实现对网络脆弱性的识别。扫描结果通过 SYSLOG 或 SNMP 将日志上传至工控大数据态势感知系统。部署工控大数据态势感知系统，工控大数据态势感知系统是安全态势分析体系的重要组成部分，承担态势感知分析存储以及展示部分，通过安全大数据建模分析，帮助安全技术人员及管理人员看清现在遭受的网络威胁，并对防护策略进行评估，通过对业务的全流量监控，可在检测攻击，还原被攻击场景，对攻击流量成分、攻击时间等进行详细描述，对业务影响进行有效评估。

部署工控主机卫士系统，工控主机卫士系统管理端部署于运维管理区域，客户端部署于生产网上位机、服务器、采集终端等PC，通过对终端运行进程、服务等以白名单方式进行识别，策略范围外进程、服务禁用。在服务器上对移动存储介质进行授权，非授权介质从驱动层面禁用。

2.2.2 管理信息大区设计

在智能化水电站的设计中，管理信息大区与常规水电站没有太大的变化，因此安全防护手段亦无太大变化。根据《电力监控系统安全防护总体方案》要求统一部署防火墙、IDS、恶意代码防护系统及桌面终端控制系统等通用安全防护设施，如图5所示。

图5 智能化水电站安全防护系统示意

在管理信息大区边界部署下一代防火墙，同时在下一代防火墙上开启防病毒、入侵防御、应用识别功能模块，实现区域边界的病毒防护、入侵防护及检测和应用控制功能。

部署EDR及终端管控系统，EDR及终端管控系统管理端部署于运维管理区域，客户端部署于PC终端上，实现对终端运行进程、服务等以白名单方式进行识别，策略范围外进程、服务禁用，病毒检测及防护等功能。客户端部署于服务器上对移动存储介质进行授权，非授权介质从驱动层面禁用，病毒检测及防护等功能。

在管理信息大区与生产控制大区边界部署两套电力专用横向单向隔离装置，生产控制区域与电力调度系统之间部署电力专用纵向加密认证装置，实现区域边界安全隔离。

3 结 论

本文研究结果表明，通过构建智能化水电站信息安全防护体系，可以带来以下经济和社会效益：

(1)满足网络安全法、等级保护2.0等政策法规要求，从政策合规性层面保障企业生产系统网络安全；

(2)在保证智能化水电站安全、稳定运行的同时，提升企业工业生产系统网络安全防护水平，确保设备、系统、网络的可靠性、稳定性和安全性；

(3)保障生产网络内的数据私密性，避免企业相关信息、关键参数、隐私信息泄漏。