电力监控系统安全防护与监测预警平台建设

艾远高，谢秋华，黄家志，杨 云

（长江电力股份有限公司三峡水力发电厂，湖北 宜昌 443133）

0 引言

电力系统作为重要基础设施领域，已被不少国家视为“网络战”首选攻击目标，近些年国内外报出的电力系统遭到网络攻击事件频出，如乌克兰电网攻击事件、以色列电力供应系统遭重大网络攻击事件、委内瑞拉大停电事件等等，电力监控系统的网络安全形势异常严峻。国家对网络安全的要求日益提高，《网络安全法》要求：“应采取监测和记录网络运行状态及网络安全事件的技术措施”的要求;同时，国家发改委2014第14号令《电力监控系统安全防护规定》和国家能源局2015第36号文等文件也对网络安全防护做了明确的规定。

2002年以来，电力行业按照“安全分区、网络专用、横向隔离、纵向认证”的边界防护策略和监控系统安全可控的基本原则，建立了栅格状的电力监控系统安全防护体系，实现网络安全的动态管控，始终维持安防体系的强健性，阻断各种形式的网络攻击行为，将电力监控系统安全防护体系由静态布防提升为动态管控。

三峡工程兼具防洪、航运、发电、生态补水等综合效益，三峡电站作为电网重要电源节点，其电力监控系统安全防护倍受各级主管部门高度关注。“等保2.0”[1]系列国家标准于2019年正式发布，对工控系统安全防护提出了更高要求。在此背景下三峡左岸电站计算机监控系统启动升级改造，新监控系统安全防护设计的思路是依靠科学的技术手段和管理方式，实现网络风险的预知、预防和预控，实现外部网络威胁和内部网络不安全行为的在线管控。

1 平台技术路线

1.1 国产安全可信

安全可信[2]，其核心思想是在计算运算的同时进行安全防护，计算全程可测可控，不被干扰，使计算结果与预期一样，是一种运算和防护并存的主动免疫的新计算模式。

水电站监控系统建立基于自主可控软硬件、国产密码技术、可信计算的主动免疫网络安全防御平台：即监控系统安全平台在硬件层面部署可信密码模块，在软件层面部署可信软件基，通过国产非对称以及摘要SM2算法[3]，从操作系统引导开始对系统软件、应用软件进行鉴别，实现程序运行“白名单”机制，防止未知或非法修改程序。相比可信2.0，可信3.0[4]构建了一个逻辑上独立的可信计算子系统作为可信节点，并通过可信连接将可信节点连接起来，通过可信节点间的可信协作形成完整的可信体系，通过可信节点对系统实施主动监控，为应用提供可信支撑。

监控系统网络安全平台禁止未持有合法数字证书签名的可执行代码启动运行，通过部署可信环境、水电站数字证书、强制访问控制等安全可信技术，能够充分防范缓冲器溢出、代码注入、病毒、木马和非授权访问等安全威胁，满足用户的各类高安全要求，保障计算机监控系统安全Ⅰ区处于安全可信环境，取代以“封堵查杀”为主的传统信息安全防护体系，由被动防御转为主动防御，安全可控，安全免疫。

1.2 网络安全监测

按照“设备自身感知、监测装置就地采集、平台统一管控”的原则，部署网络安全监测[5]设备并形成集中的感知监视系统:

（1）实时监测计算机、网络及安全设备运行状态、网络流量、用户行为等内容及时发现、报告并处理网络攻击或异常行为：

（2）实时监视系统内所有信息资产的资源及运行状态，动态感知评估和整个系统的健康状况；

（3）搜集电力监控系统网络安全信息数据，进行智能学习、自主训练，从整体上综合评估系统风险，预知系统威胁，自动生成网络安全应急防御方案；

（4）协调控制所有网络安全防护设备，按照防御方案动态免疫各种状况下的网络威胁。

系统集成监控系统设备UNIX、Windows等系列版本操作系统的主机安全监测工具（Agent），将采集的网络安全信息直接发送至监测装置，进而对设备安全事件涉及的时间、区域、人员、设备、告警类型、告警信息等各个维度的安全数据进行多维分析。

网络安全监测系统对电站电力监控系统网络安全数据采集、范式化处理、数据建模和关联分析及预警，及时发现如非法跨区互联、网络非法接入、非法移动介质接入等各类网络安全风险以及非法访问事件，实现对电力监控系统全方位、全天候的网络安全监测：通过对主机设备、网络设备、数据库、安防设备等的实时告警与运行状态在线监测，实现网络安全实施监视告警、分析定位、追踪处置、审计溯源和协同管控功能的集成，达到从静态布防到实时管控转变的目的。

2 平台实施过程

2.1 整体方案设计

安全防护与网络安全监测预警平台方案设计主要综合考虑目前的水电站网络安全风险实际情况、威胁环境、法律和监管规定以及防护技术的发展，结合水电站监控系统安全防护实际要求进行制定。设计的主要思路以“主动免疫，综合防御，风险防范，灾难恢复”十六字方针为核心思想，以全面安全管理为基础、安全防护技术为支撑、应急备用措施为保障，充分利用“人防、技防、物防”全方位、无死角地建设整个防护方案体系，保障水电站电力监控系统完全免疫已知或未知的网络安全威胁，保障水电站业务系统正常稳定运行。

2.2 安全可信实施

安全可信是整个平台安全的基础，其实施主要内容有：

（1）关键设备国产化。监控系统厂站服务器、工作站、网络设备等采用国产设备，系统网络在结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面满足国家、行业信息系统安全防护要求。

（2）主要软件国产化。包括操作系统、数据库及集成应用软件均国产化，平台采用国产四级安全凝思安全操作系统(可信软硬件仅在凝思OS运行性能正常，数据采集、指令下达等功能正常)，系统主机及操作系统采用基于国产密码技术SM2的USBKey或指纹Key用户认证，满足双因子认证要求；数据库采用国产达梦数据库，应用软件有完全自主知识产权，安全可控。

（3）可信计算环境部署。可信计算软硬件在国产环境的监控系统下部署测试，验证其可行性、功能性及安全性，如下图1 所示：可信密码模块是可信计算的信任根，同时也作为密码的运算引擎和存储敏感数据，可信密码模块的核心功能包括度量设备的完整性，建立设备的免疫力[6]，为设备身份提供唯一性的标识。所有可信加解密包括密钥应单独保存在可信密码模块上，避免因保存于服务器上被利用；可信管理端是可信计算平台策略管理和审计中心，用于对可信环境进行统一配置和管理；同时，管理端也是可信环境与水电站数字证书系统对接的枢纽，负责应用数字证书技术至可信环境中。

图1 可信计算环境部署

2.3 网络安全监测

网络安全监测及分析平台在监控系统安全Ⅰ、Ⅱ区部署采集装置，采集电站计算机监控系统中的安全防护设备（防病毒软件、IDS、防火墙、横向隔离装置、纵向加密装置等）、主机设备和网络设备的运行信息、操作信息(包括系统操作信息、运行信息，包括外设设备使用情况、CPU使用率、内存使用率信息，及用户的登录、退出、登录失败和操作行为等信息)以及告警信息(包括文件权限变更、用户权限变更、外设设备接入、用户危险操作等信息、非法MAC 接入、不符合安全策略的访问、攻击告警、CPU利用率超过阈值、内存使用率超过阈值)，以及历史数据库主机磁盘使用情况、表空间的使用情况、数据库操作记录、数据库用户的变更、用户登录失败、数据库连接情况、数据库并发连接数、数据库运行时长、数据库运行状态等信息；安全事件包括数据库用户连续多次登录失败、数据库计划任务执行失败、数据库锁表异常等信息等，并将采集到的安全监视信息汇总至安全Ⅱ区的安全监视工作站。

监测采集部署。为确保监控系统运行正常不受干扰，将监控系统涉网业务网络设备及非涉网业务网络设备分开进行采集感知及分析，左岸电站安全Ⅰ、Ⅱ区分别部署2台采集装置：Ⅰ区2台采集装置通过正向物理隔离装置接入Ⅱ区交换机，Ⅰ区采集的安全监视数据通过隔离装置汇集到安全Ⅱ区，与2台Ⅱ区采集装置采集的安全监视数据一并传送至梯调中心安全Ⅱ区的网络安全监视平台，由梯调网络安全监视平台进行集中的存储、监视、分析、告警与审计。电站部署网络安全监视工作站进行生产系统的监视、审计、预警，同时包括安全监视数据的查询与分析。

图2 典型网络安全监测系统分布图

2.4 综合防护及分析

监控系统划分为生产控制大区和管理大区，其中生产控制大区又可分为生产控制区和非生产控制区，各区间设置有隔离装置及其他相应的安全措施，实现各分区间的智能联动和协同防御；各分区均能独立完成网络安全事件的实时监测与快速响应；一旦发生安全事件，能通过断开分区之间的网络连接实现快速处置。同时，系统纵向上构建电站系统与调度级系统之间（I区、Ⅱ区网络专用）的纵向认证管控，如图3 所示：采取分区专网专用、加密认证通信等安全措施，加密认证中采用基于国产密码算法的密钥；存在网络安全隐患或发生安全事件时，通过断开纵向链路通信实现快速处置。

图3 监控系统综合防护示意图

平台使用综合分析手段，对设备安全监视与告警数据进行不同维度分析与挖掘，提供主机设备/网络设备/数据库/安全设备等多视角、多层次的分析结果，并对事件分析进行安全审计，评估风险等预警：系统具备各类主机及多数据库类型如ORACLE、MySQL、达梦等数据库的安全监测工具；同时，集成了防病毒的管理功能并提供防病毒客户端引擎；安全分析高度灵活，满足用户各类维度安全分析需求，将安全事件涉及的时间、区域、人员、设备、告警类型、告警信息等各个维度的安全数据进一步细化抽取，用户可通过自定义开展各个维度的分析，能及时进行网络安全预警及定位。

同时，进行基于可信的监控系统网络安全等级防护2.0测评与评估，加强全面安全管理制度、机构、人员、系统建设、系统运维及应急预案的管理，提高系统整体安全防护能力，对各类风险进行有效处置和管理，实现电站电力监控系统网络安全的动态、闭环管理，提高监控系统安全防护与网络安全整体安全水平。

3 应用案例

三峡左岸电站计算机监控系统安全Ⅰ区服务器和主机均配置由全球能源互联网研究院有限公司提供的可信软件基及可信加密卡，保障计算机监控系统安全Ⅰ区处于安全可信环境，取代以“封堵查杀”为主的传统信息安全防护体系，由被动防御转为主动防御，如图4所示。

图4 电力监控系统安全防护与网络安全监测预警平台示意图

该计算机监控系统基于等保2.0的要求，采用了国产安全操作系统、基于国产密码的数字证书认证，部署了防病毒软件及入侵检测、正向隔离装置、纵向加密认证装置等安防设备。对所有可执行程序采用白名单管理机制，仅允许通过可信计算安全模块验证审核通过的程序运行，同时按照预设的配置策略对程序的关键模块和进程的资源访问进行控制，实现对已知/未知恶意代码的主动防御，降低可执行程序被破坏被篡改的风险，保障可执行程序安全稳定运行。

通过部署网络安全监控平台，使以前需要人工逐台设备查看分析日志和报警信息，辨识可能存在的异常和风险，转变为由安全监测平台自动采集汇聚系统内各设备的安全信息，进行专业的分析处理，从而确保电力监控系统安全稳定运行。

同时，电站建立了由安全防护技术、应急备用措施、全面安全管理组成的综合防护体系。特别是对应用于生产计算机设备的调试笔记本、移动介质进行严格管理，对密码修改、补丁升级等定期工作进行了规定，并严格闭环落实。针对重大网络安全风险制订了应急预案并定期演练。本系统改造完成并投产后，高分通过了权威测评机构等保三级测评。

4 结语

三峡左岸电站计算机监控系统安全防护措施及网络安全监测预警平台对业务系统的正常稳定运行起到了保障作用，是不可或缺的安全支撑。可信计算使系统针对已知/未知风险具备自主免疫能力，网络安全监测预警平台使网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”转变，这些新技术显著增加了电力监控系统网络安全可靠性，监控系统综合防护措施得到了权威测评机构的认可。

通过三峡左岸电机计算机监控系统的成功实践证明，国产可信计算平台可以很好地支撑国产操作系统和国产大型计算机监控系统，网络安全监测预警平台的部署也达到了预期效果。