华光潭水电厂电力监控系统网络安全防护建设研究.pdf

1、42第 46 卷 第 10 期2023 年 10 月Vol.46No.10Oct.2023水 电 站 机 电 技 术Mechanical&ElectricalTechniqueofHydropowerStation0 引言传统电力企业建设及电力生产系统最初设计大多以实时生产为主，随着计算机信息网络技术的高速发展，使得工控系统亦得到快速发展，尤其是电力系统数字化、智能化程度越来越高，但网络信息安全事件不断发生，如何有效防范网络安全攻击、提升电力监控系统安全防护能力已逐渐成为电力行业重点深入研究的课题1，习总书记针对网络信息安全等方面工作讲话时，多次提出要求加强网络安全预警监测，感知网络安全态势，

2、实现全方位感知和有效防护2。本文以华光潭水电厂为例，重点对安全防护方案的总体设计、态势感知平台部署等方面进行研究建设，提升电厂网络安全防护能力。1 概况华光潭水电厂生产控制区部署有计算机监控系统，其通过厂外通信服务器经电力调制解调器与地方调度通信（CDT 规约），同时通过串口通信形式将数据传送给水情测报系统和机组状态监测系统，无直接数据网络形式连接；非控制区部署的电量系统、机组状态监测系统则是通过南瑞隔离装置实现数据单向传输，将区采集数据发送至管理区 WEB服务器。总体上，华光潭水电厂安全 I 区计算机监控系统一直以来与调度网、区系统均无直接数据网络形式连接，区部分系统作为独立系统运行，因此未

3、在区、区布置防火墙、IDS、核心交换机等。为实现集团公司及可再生能源分公司信息化建设对生产数据的采集要求，以国家电力监控各项规范及标准为依据，结合电厂计算机监控系统改造实施，对整体防护进行总体设计、升级建设、强化部署，实现网络安全防护全面覆盖。2 安全防护建设总体思路和架构设计华光潭水电厂电力监控系统安全防护建设总体思路：按照国家能源局 电力监控系统安全防护总体方案（国能安全）201536 号文件）要求进行规划设计，在满足横向隔离和纵向认证详细要求的同时，实现生产控制大区的安全审计和管控、管理信息大区的安全隔离和防护。在电厂的边界，采取各项技术手段，将众多的安全威胁屏蔽在电力监控系统的边界之外

4、；部署态势感知系统，监测感知生产工控系统实时动态，以便第一时间发现异常行为并及时告警；对各类服务器、工作站等设备部署统一防病毒软件进行查杀，确保能够稳定、可靠运行，为整个水电厂的电力监控系统营造安全可控的运行环境。安全运行检测：在 I/II 区部署入侵检测设备 IDS进行风险实时监测，部署态势感知平台对各类数据收稿日期：2023-06-21作者简介：傅水祥(1987-)，男，工程师，从事水电厂生产技术管理工作。华光潭水电厂电力监控系统网络安全防护建设研究傅水祥（浙江浙能华光潭水力发电有限公司，浙江 杭州 310000）摘 要：随着计算机信息网络技术的不断高速发展，电力行业在数字信息智能化不断提

5、升的同时也面临严峻的网络信息安全挑战，电力监控系统安全防护建设已成为重点研究课题。本文介绍了华光潭水电厂电力监控系统安全防护建设方案，重点阐述了建设方案的总体设计、态势感知部署等方面内容。关键词：水电厂；电力监控系统；安全防护；态势感知中图分类号：TV736文献标识码：B文章编号：1672-5387（2023）10-0042-03D O I：10.13599/ki.11-5130.2023.10.01343第 46 卷水 电 站 机 电 技 术流量，包括给主机、安全设备等安全日志进行实时检测分析。行为安全审计：部署运维安全审计系统（堡垒机），统一身份认证，规范运维访问的统一入口，对运维人员和服

6、务器、网络设备、安全设备等的操作行为进行监控和记录，可提供精准的责任认定和时间追溯，确保用户的行为符合安全管理规范；在管理信息区部署上网行为管理系统，强化上网行为的管控。主机安全防护：管理信息大区终端权全面部署防病毒软件，通过统一服务器进行在线实时升级病毒库；对生产大区主机强化恶意代码防护，对工控系统操作员站、工程师站等主机外接设备进行管控，封闭未使用的 USB 接口等。安全防护总体架构设计如图 1 所示，主要安全防护设备如表 1 所示。图 1 华光潭梯级水电站电力监控系统安全防护架构华光潭水电厂安全区与上级集控中心之间冗余双通道部署，包括双套纵向加密装置、双套连接交换机、双通信机及双数据网关

7、机；安全区保持串口通信方式通过厂外通信服务器经电力调制解调器以101 规约与调度通信3；安全区冗余部署双套核心交换机、入侵检测设备 IDS，安全区与安全区之间部署防火墙。安全区与上级集控中心之间冗余部署双套纵向加密装置，对业务数据进行加密，提高数据传输的安全性和可靠性；安全 II 区冗余部署双套核心交换机、入侵检测设备 IDS、日志审计装置，安全区与管理信息大区之间部署横向隔离装置（正向）。管理信息区以落实互联网边界安全与上级管理公司的广域网安全为主，与上级管理公司广域网之间冗余部署两套路由器、防火墙和核心交换机，在外网边界则设置防火墙、入侵防御设备等信息安全设备，同时在各终端设备上统一部署防

8、病毒软件等。表 1 主要网络安全防护设备配置情况设备名称品牌型号数量所属安全区纵向加密装置南瑞 NetKeeper-20002区入侵检测设备IDS天融信 TS-216101区核心交换机华为 S57202区防火墙天融信 TG-210001区/区纵向加密装置南瑞 NetKeeper-20002区入侵检测设备IDS天融信 TS-216101区核心交换机华为 S5735S2区横向隔离装置南瑞 SyKeeper-20002区/管理信息大区防火墙天融信 TG-210001区/区入侵防御设备IPS天融信 TopIDP 20001区防火墙天融信 NGFW40001区/互联网核心交换机华为 S77032区防火墙

9、天融信 NGFW4000-UF2区路由器华三 H3C-SR66042区/广域网工控统一安全管理平台中能融合 ZNM60002区3 信息安全态势感知平台建设态势感知具备网络空间安全持续监控能力，能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态，能够及时发现各种攻击威胁与异常，特别是针对性攻击；通过全流量分析技术可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别来实现完整的网络攻击溯源取证，从而支撑有效的安全决策和响应，帮助安全人员采取针对性处置措施；能够建立安全预警机制，全面掌握攻击者技术手段、攻击目的等信息情报，完善风险控制、应急响应和防御体系，全面提升整体安全防护水平。华光潭

10、水电厂的态势感知平台部署建设以主要以覆盖全厂非涉网测的生产及管理相关业务系统为原则，采用独立组网的方式，进行数据采集和单向传输，安全信息流量日志采集主要采用两种模式，一种是采集流量数据（采集交换机需支持镜像配置），另外一种则是采集各主机、安全及网络通信设备的日志。流量采集主要针对数据交互的原始流量，采集接入以核心交换机或者根交换机为对象，通过交换机配置镜像方式实现；主机日志则是通过安装 Agent采集主机事件日志进行行为安全审计，安全及网络设备的日志经授权管理密码从而采集设备日志监测44第 46 卷水 电 站 机 电 技 术其行为和告警。主要组网架构情况如图 1 中所示，主要设备配置见表 2。

11、表 2 态势感知平台主要设备配置情况设备名称品牌型号数量备注工控安全流量日志分析系统中能融合ZNA90003区、区、区工控统一安全管理平台中能融合ZNM60002网络安全隔离设备兴唐 SDT-2000百兆型3交换机华为（S5720）1防火墙华为(USG6510E)1VPN 安全网关兴唐 SJJ1533（百兆型）13.1 详细采集情况设计安全区重点采集核心交换机的 syslog 日志与镜像流量，对核心交换机配置镜像功能与 syslog 日志功能后，使用网线完成物理连接，并将数据传输至安全 I 区流量日志分析系统。安全区流量日志分析系统采集到数据后，系统将数据经兴唐单向隔离传输到安全区交换机，分别

12、将 syslog 日志与镜像流量发送至工控统一安全管理平台（主、备双机）进行数据分析，备平台分析镜像流量后，将分析结果发送至主平台。安全区重点采集核心交换机的镜像流量，对区核心交换机配置镜像功能后，通过网线与分析系统完成物理连接，并将数据传输至安全区流量日志分析系统。系统采集到数据后，系统将数据经兴唐单向隔离传输到到安全区交换机，将镜像流量发送至工控统一安全管理平台（主、备双机）进行数据分析，备平台分析镜像流量后，将分析结果发送至主平台。管理区重点采集办公信息核心交换机的 syslog日志与镜像流量，配置镜像功能与 syslog 日志功能后，通过网线与安全 III 区流量日志分析系统完成物理连

13、接，并将数据传输至管理区流量日志分析系统。系统采集到数据后，系统将数据经兴唐单向隔离传输到安全区交换机，分别将 syslog 日志与镜像流量发送至工控统一安全管理平台（主、备双机）进行数据分析，备平台分析镜像流量后，将分析结果发送至主平台。主平台依次经过 VPN 安全网关、防火墙、VPDN将数据发送至中能云平台。3.2 采集链路调试方案检查态势感知统一管理平台中是否都有、区安全流量日志分析系统发送过来的数据，如果没有以此按、区的顺序检查各个设备配置情况，步骤如下：（1）断开 I、区设备，只连接区安全流量日志分析系统，检查其日数据发送地址及 IP 地址配置情况，检查区交换机配置情况，确认没有 I

14、P 地址冲突；（2）断开区设备，只连接、区安全流量日志分析系统，检查区安全流量日志分析系统日数据发送地址及 IP 地址配置情况，检查区交换机配置情况，确认没有 IP 地址冲突；（3）检查区安全流量日志分析系统日数据发送地址及 IP 地址配置情况，检查区交换机配置情况，确认没有 IP 地址冲突。4 结束语综上所述，华光潭水电厂按照国家电力监控系统 16 字方针为基本原则进行整体构架设计建设4，同时在此基础上探索建设信息安全态势感知平台，推动信息网络安全从“静态布控、边界监视”向“实时管控、纵深防御”转变。下一步电厂将持续深化安全防护建设，从管理上建立电厂电力监控系统安全防护管理体系，明确各级职责

15、，制定防护方案、开展应急演练，借助第三方安全检测机构定期开展等保定级测评及安全评估工作，全面提升了电厂电力监控系统安全防护整体能力；后续将考虑实现电厂管理区内外网隔离，从技术措施上进一步完善电厂网络安全防护。参考文献：1胡倩云.电力监控系统网络安全防护体系建设 J.技术与市场，2020，27（4）：93-94.2周力恒，杨龙保.大型流域水电企业多安全区一体化网络安全态势感知平台研发与应用 C/中国水力发电工程学会自动化专委会换届大会暨 2023 年全国水电厂智能化应用学术交流会 2007 年学术交流会论文集，2023.3傅水祥.华光潭梯级水电站计算机监控系统改造方案设计 J.水电站机电技术，2022，45（12）：95-97.4 宗和刚，赵频嫣，沈唯羽，等.论水电厂电力监控系统安全防护建设 J.云南水力发电，2023，39（3）：316-321.