國(guó)網(wǎng)寧夏電力公司銀川供電公司 寇 琰 馬 帥

1 電力監(jiān)控系統(tǒng)二次安全防護(hù)的現(xiàn)狀

近年來(lái)，電力監(jiān)控系統(tǒng)當(dāng)中的網(wǎng)絡(luò)安全事件頻發(fā)，安全形勢(shì)異常嚴(yán)峻，隨著網(wǎng)絡(luò)安全問(wèn)題的凸顯，其內(nèi)涵也在不斷擴(kuò)展。目前，變電站電力監(jiān)控系統(tǒng)實(shí)施了二次安全防護(hù)項(xiàng)目，調(diào)度監(jiān)控系統(tǒng)、雙套電力調(diào)度數(shù)據(jù)網(wǎng)建設(shè)已全面完成，330kV 及以下變電站“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的安全防護(hù)目標(biāo)已基本實(shí)現(xiàn)[1]。但是隨著變電站自動(dòng)化系統(tǒng)的廣泛應(yīng)用，電力監(jiān)控系統(tǒng)二次安全防護(hù)不全面、針對(duì)性不強(qiáng)的問(wèn)題日益突顯，電力系統(tǒng)二次安全防護(hù)水平亟待加強(qiáng)。

在硬件方面，變電站的監(jiān)控服務(wù)器、數(shù)據(jù)通信網(wǎng)關(guān)機(jī)、保護(hù)信息子站等設(shè)備一方面肩負(fù)電網(wǎng)運(yùn)行數(shù)據(jù)實(shí)時(shí)監(jiān)控、信息記錄及傳送等任務(wù)，另一方面也為調(diào)度人員提供了電網(wǎng)無(wú)功實(shí)時(shí)調(diào)控、負(fù)荷預(yù)測(cè)、在線狀態(tài)評(píng)估等功能[2]。在系統(tǒng)日常維護(hù)及升級(jí)過(guò)程中，通過(guò)縱向加密認(rèn)證裝置進(jìn)行外部入侵防護(hù)是重要安全防護(hù)手段，但不能有效防止維護(hù)過(guò)程中內(nèi)部入侵對(duì)設(shè)備造成的大面積破壞，因此在變電站中配備內(nèi)部安全防護(hù)設(shè)備是解決上述問(wèn)題的關(guān)鍵手段。

在軟件方面，電力監(jiān)控系統(tǒng)仍大量采用基于Windows/Linux/Solaris 等混合平臺(tái)的管理系統(tǒng)，但部分操作系統(tǒng)無(wú)法部署防病毒軟件或防病毒軟件升級(jí)周期長(zhǎng)等問(wèn)題日益突出。雖然很多電力監(jiān)控系統(tǒng)對(duì)維護(hù)人員的權(quán)限、口令進(jìn)行了規(guī)范化管理，但是網(wǎng)絡(luò)滲透、攻擊威脅手段花樣翻新、層出不窮，攻擊者技術(shù)不斷更新[3]。系統(tǒng)漏洞、產(chǎn)品漏洞、管理漏洞、威脅手段等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)都在不斷變化，電力監(jiān)控系統(tǒng)二次安全防護(hù)一旦停滯不前則無(wú)異于坐以待斃，這在一定程度上大大增加了電力監(jiān)控系統(tǒng)的安全運(yùn)行風(fēng)險(xiǎn)。

2 電力監(jiān)控系統(tǒng)二次安全防護(hù)策略

2.1 電力專(zhuān)用縱向加密認(rèn)證網(wǎng)關(guān)防護(hù)策略

電力專(zhuān)用縱向加密認(rèn)證網(wǎng)關(guān)部署于電力調(diào)度主站與變電站或并網(wǎng)廠站之間，根據(jù)電力調(diào)度數(shù)字證書(shū)系統(tǒng)和調(diào)度通信關(guān)系建立加密隧道，用于電力調(diào)度生產(chǎn)控制大區(qū)（實(shí)時(shí)控制I 區(qū)、非實(shí)時(shí)控制II 區(qū)）的廣域網(wǎng)邊界防護(hù)，可為本地生產(chǎn)控制大區(qū)提供一個(gè)網(wǎng)絡(luò)屏障，同時(shí)為調(diào)度主站與下屬?gòu)S站控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證、加密、訪問(wèn)控制等服務(wù)，實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸和電力數(shù)據(jù)網(wǎng)縱向邊界的安全防護(hù)。此外，電力專(zhuān)用縱向加密認(rèn)證網(wǎng)關(guān)對(duì)電力系統(tǒng)專(zhuān)用的應(yīng)用層通信協(xié)議進(jìn)行了轉(zhuǎn)換，實(shí)現(xiàn)了端到端的選擇性保護(hù)[4]。

變電站使用的電力專(zhuān)用縱向加密認(rèn)證網(wǎng)關(guān)應(yīng)依據(jù)實(shí)際業(yè)務(wù)數(shù)據(jù)傳輸訪問(wèn)關(guān)系，按照點(diǎn)對(duì)點(diǎn)的最小化網(wǎng)絡(luò)安全訪問(wèn)控制策略配置，要求設(shè)置密通隧道及密通策略，禁止設(shè)置明通隧道及明通策略。密通策略應(yīng)對(duì)源地址、目的地址、通訊協(xié)議及端口根據(jù)具體業(yè)務(wù)進(jìn)行細(xì)化，隧道下的安全策略應(yīng)實(shí)際有效，不存在多余、無(wú)用和寬泛策略，且不存在全網(wǎng)段IP 地址和默認(rèn)全網(wǎng)絡(luò)端口號(hào)的范圍策略。設(shè)備管理賬戶(hù)按照三權(quán)分立要求設(shè)置用戶(hù)及相應(yīng)角色權(quán)限，各用戶(hù)密碼均宜設(shè)置為含字母+數(shù)字+特殊符號(hào)及大小寫(xiě)在內(nèi)的8位以上的強(qiáng)口令，不宜設(shè)置為包含眾所周知、易猜易攻破的弱口令，口令應(yīng)每90天定期更換。

2.2 防火墻防護(hù)策略

在電力監(jiān)控系統(tǒng)二次安全防護(hù)體系建設(shè)中，防火墻是非常重要的安全防護(hù)設(shè)備，其在變電站內(nèi)部安全I(xiàn) 區(qū)（生產(chǎn)控制大區(qū)）和安全I(xiàn)I 區(qū)（非生產(chǎn)控制大區(qū)）之間實(shí)現(xiàn)重要的邊界防護(hù)功能。目前，變電站常用的防火墻為用戶(hù)提供了全面的安全防范體系和遠(yuǎn)程安全接入能力，支持DoS/DDoS攻擊防御、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）、虛擬防火墻、安全域策略等能夠有效的保證網(wǎng)絡(luò)的安全。防火墻的包過(guò)濾技術(shù)和應(yīng)用代理技術(shù)是電力監(jiān)控系統(tǒng)二次安全防護(hù)中最常用到的防火墻功能，包過(guò)濾技術(shù)是根據(jù)防火墻安全策略，對(duì)數(shù)據(jù)包中的源地址、目的地址、服務(wù)端口等標(biāo)志進(jìn)行判斷，只有符合安全策略的數(shù)據(jù)包才允許通過(guò)并轉(zhuǎn)發(fā)，不符合安全策略的數(shù)據(jù)包將被丟棄。

應(yīng)用代理技術(shù)則能較大程度地隔絕通信兩端的直接通信，所有通信都由應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問(wèn)者在任何時(shí)候不允許與服務(wù)器直接建立TCP 連接，應(yīng)用層的協(xié)議會(huì)話(huà)過(guò)程必須符合所設(shè)置代理的安全策略要求。此外，基于應(yīng)用層報(bào)文過(guò)濾（Application Specific Packet Filter，ASPF） 的檢測(cè)技術(shù)，使得防火墻可以解析并記錄每個(gè)應(yīng)用的每個(gè)連接所使用的端口，建立動(dòng)態(tài)過(guò)濾規(guī)則讓?xiě)?yīng)用連接的數(shù)據(jù)通過(guò)，數(shù)據(jù)連接結(jié)束后又能及時(shí)刪除該動(dòng)態(tài)規(guī)則，并能對(duì)連接狀態(tài)過(guò)程和異常命令進(jìn)行檢測(cè)記錄，實(shí)現(xiàn)對(duì)應(yīng)用連接的有效訪問(wèn)控制和協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理[5]。

電力監(jiān)控系統(tǒng)中防火墻應(yīng)配置安全的登錄方式，允許啟用HTTPS、SSH 等安全的加密登錄方式，修改默認(rèn)登錄端口號(hào)，禁用telnet、http、FTP、rlogin 等非安全通用網(wǎng)絡(luò)服務(wù)，以及不安全的訪問(wèn)登錄方式，啟用并設(shè)置登錄次數(shù)失敗的限制控制策略[6]。啟用本地安全策略的控制選項(xiàng)，可通過(guò)串口或以上述安全加密的網(wǎng)絡(luò)登錄方式登陸防火墻方便策略配置等維護(hù)工作。各防火墻所接兩側(cè)不同安全分區(qū)的網(wǎng)絡(luò)IP 地址段不應(yīng)設(shè)置為同一網(wǎng)絡(luò)段地址，訪問(wèn)控制策略均使用白名單方式，依據(jù)實(shí)際業(yè)務(wù)數(shù)據(jù)橫向傳輸訪問(wèn)關(guān)系。依據(jù)實(shí)際業(yè)務(wù)需求的最小化原則配置策略路由，指明具體的IP 地址與用戶(hù)。各允許通行訪問(wèn)控制策略均應(yīng)通過(guò)安全域進(jìn)行配置，明確清晰的設(shè)置信任域、非信任域和隔離區(qū)的IP 地址列表，各域的IP 地址列表須明確依據(jù)實(shí)際業(yè)務(wù)橫向數(shù)據(jù)傳輸訪問(wèn)需求的具體靜態(tài)IP 地址、以最小化具體化原則列入設(shè)置，明確設(shè)置域間允許或拒絕訪問(wèn)動(dòng)作，動(dòng)作策略且設(shè)為啟用。按照訪問(wèn)通行控制策略匹配順序，添加最后一條禁止策略，禁止任何源地址至任何目的地址、任何網(wǎng)絡(luò)協(xié)議及任何網(wǎng)絡(luò)端口號(hào)的禁止訪問(wèn)策略，除允許的橫向穿越防火墻訪問(wèn)策略之外的任何訪問(wèn)均默認(rèn)禁止訪問(wèn)。各項(xiàng)正式策略均應(yīng)設(shè)置為啟用狀態(tài)，刪除或禁用默認(rèn)策略。

2.3 網(wǎng)絡(luò)安全監(jiān)測(cè)裝置防護(hù)策略

目前，通過(guò)部署電力專(zhuān)用橫向隔離、縱向加密設(shè)備、硬件防火墻、入侵監(jiān)測(cè)系統(tǒng)、VPN 設(shè)備、惡意代碼檢測(cè)等安全產(chǎn)品，初步建立了基礎(chǔ)性的電力監(jiān)控系統(tǒng)二次網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，并取得了不錯(cuò)的效果。但是，因電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)空間巨大造成安全管控任務(wù)艱巨的實(shí)際情況依舊存在，國(guó)際上電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)非法接入事件頻發(fā)，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，國(guó)家電網(wǎng)公司按照“監(jiān)測(cè)對(duì)象自身感知、網(wǎng)絡(luò)安全監(jiān)測(cè)裝置分布采集、網(wǎng)絡(luò)安全管理平臺(tái)統(tǒng)一管控”的原則，推進(jìn)建設(shè)了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)（以下簡(jiǎn)稱(chēng)管理平臺(tái)），實(shí)現(xiàn)了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)空間的實(shí)時(shí)監(jiān)控和閉環(huán)管理。

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置是管理平臺(tái)的重要組成部分，分為I 型和II 型，分別部署于電力調(diào)度主站與變電站或并網(wǎng)廠站電力監(jiān)控系統(tǒng)的局域網(wǎng)網(wǎng)絡(luò)中，用以對(duì)局域網(wǎng)中主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、硬件防火墻、電力專(zhuān)用橫向隔離等設(shè)備進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)，具有數(shù)據(jù)采集上傳、服務(wù)代理、命令控制和靈活的本地管理功能[7]。這些被監(jiān)測(cè)設(shè)備采用自身感知技術(shù)或安裝第三方網(wǎng)絡(luò)安全探針程序（Agent），產(chǎn)生網(wǎng)絡(luò)安全事件信息發(fā)送至網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，經(jīng)處理后將結(jié)果按照《網(wǎng)絡(luò)安全管理平臺(tái)采集信息規(guī)范》通過(guò)通信手段上送至調(diào)度主站部署的管理平臺(tái)。此外，通過(guò)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置或管理平臺(tái)還可對(duì)被監(jiān)測(cè)對(duì)象進(jìn)行網(wǎng)絡(luò)阻斷、配置修改等操作，實(shí)現(xiàn)本地或遠(yuǎn)程對(duì)被監(jiān)測(cè)對(duì)象進(jìn)行控制和管理。

2.4 軟件系統(tǒng)安全防護(hù)策略

在電力系統(tǒng)中，包括變電站監(jiān)控系統(tǒng)、綜合自動(dòng)化系統(tǒng)、數(shù)據(jù)通信網(wǎng)關(guān)機(jī)等所使用的服務(wù)器都應(yīng)采用經(jīng)過(guò)安全加固的操作系統(tǒng)，在這些主機(jī)的安全加固防護(hù)中應(yīng)滿(mǎn)足如下要求：

刪除或禁用操作系統(tǒng)的默認(rèn)、無(wú)用、無(wú)效賬戶(hù)，Linux/Unix 操作系統(tǒng)保持無(wú)ROOT 用戶(hù)模式，Windows 操作系統(tǒng)要?jiǎng)h除或停用操作系統(tǒng)中的缺省賬號(hào)，按照三權(quán)分立要求設(shè)置用戶(hù)及相應(yīng)角色權(quán)限，啟用密碼管理策略，口令應(yīng)設(shè)置為密文存儲(chǔ)，各用戶(hù)密碼均宜設(shè)置為含字母、數(shù)字、特殊符號(hào)及大小寫(xiě)在內(nèi)的8位以上強(qiáng)口令，口令應(yīng)每90天定期更換，各主機(jī)設(shè)備用戶(hù)名及密碼由專(zhuān)人安全收?qǐng)?zhí)管理。

刪除或停用關(guān)系數(shù)據(jù)庫(kù)中的缺省賬號(hào)和無(wú)效賬號(hào)，刪除或停用業(yè)務(wù)系統(tǒng)中的無(wú)效賬號(hào)，及時(shí)清理離崗人員賬號(hào)。按最小化原則，嚴(yán)格分配和管理操作系統(tǒng)、關(guān)系數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)中各類(lèi)賬號(hào)的權(quán)限，操作系統(tǒng)、關(guān)系數(shù)據(jù)庫(kù)要根據(jù)角色分配實(shí)際工作所需要的最小權(quán)限，業(yè)務(wù)系統(tǒng)堅(jiān)持實(shí)名制原則，其權(quán)限滿(mǎn)足最小化的要求[8]。嚴(yán)格管理關(guān)系數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)相關(guān)功能及參數(shù)，切斷用戶(hù)權(quán)限自動(dòng)提升的各種途徑，普通用戶(hù)嚴(yán)禁具有修改權(quán)限的功能，關(guān)系數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)等要對(duì)用戶(hù)修改權(quán)限有嚴(yán)格限制。

各主機(jī)設(shè)備配置系統(tǒng)日志策略和日志設(shè)置自動(dòng)覆蓋策略，覆蓋策略要以時(shí)間為參數(shù)，保存日志的磁盤(pán)要有足夠的容量，日志保存期限不能少于6個(gè)月，刪除無(wú)運(yùn)行價(jià)值的垃圾文件和保存時(shí)間超過(guò)1年以上的日志文件。全面設(shè)置主機(jī)安全防護(hù)策略、本地策略，刪除默認(rèn)共享等。