水電站集控中心解決方案

3．水電站集控中心解決方案

3.1行業標準

IEC62443-3(工業過程測量和控制安全-3)關於網絡和系統信息安全提出了指導性的網絡防護要求和建議。

根據IEC62443-3,5.6.2節基於工業控制網絡區域劃分的縱深防禦的理念，提出將工業控制網絡劃分為獨立拓撲安全區域的建議，通過劃分層次和交錯分區，嚴格縮小接口功能，加強邊界訪問控制等措施來實現工業控制網絡各子區域的獨立安全。

通過各區域邊界的工業控制安全模塊實現受保護的控制網絡主機，高等級控制網絡以及關鍵設備及應用的安全，從而實現工業控制系統的安全。

根據IEC62443-3，7.3.4節關於工業控制網絡防護報警日誌的要求，所有信息安全相關日誌應包含事件、緊急情況、通信服務、源主機、目的主機、用戶標識、阻攔時間等信息，對所有日誌和審計信息進行監視、定期檢查、安全保管並存檔，監視和管理安全日誌和報警，及時得出結論並採取必要的措施。

GA/T671-2006《信息安全技術終端計算機系統安全等級技術要求》要求「三級及以上PC系統必須嵌入和使用可信硬體模塊(TCM)，防範和檢測惡意代碼和未授權的移動代碼的引入。

」

遵守發改委第14號令《電力監控系統安全防護規定》第九條技術要求： 「在生產控制大區內部的安全區之間應當採用具有訪問控制功能的設備、防火牆或者相當功能的設施，實現邏輯隔離。

」

國家能源局印發36號令《電力監控系統安全防護總體方案》中對安全防護措施陳述如下：

3.4節，控制區與非控制區之間應採用邏輯隔離措施，實現兩個區域的邏輯隔離、報文過濾、訪問控制等功能，其訪問控制規則應當正確有效。

生產控制大區應當選用可靠硬體防火牆，其功能、性能、電磁兼容性必須經過國家相關部門的檢測認證。

3.6節，生產控制大區主機作業系統應當進行安全加固。

加固方法包括：安全配置、安全補丁、採用專用軟體強化作業系統訪問控制能力、以及配置安全的應用程式。

3.11節，生產控制大區應當具備安全審計功能，可以對網絡運行日誌、作業系統運行日誌、資料庫重要操作日誌、業務應用系統運行日誌、安全設施運行日誌等進行集中收集、自動分析，及時發現各種違規行為以及病毒和黑客的攻擊行為。

3.12節，生產控制大區具備控制功能的系統應當逐步應用以密碼硬體為核心的可信計算技術，用於實現計算環境和網絡環境安全可信，免疫未知惡意代碼破壞，應對高級別的惡意攻擊。

3.2 安全區域分析與風險識別

隨著熱工自動化技術的不斷發展，工業乙太網在控制網絡得到不斷普及和應用，集中監控系統在水利發電企業得到廣發建設和應用。

信息化在水利電廠控制網絡的應用有效的提高了生產效率、降低發電生產成本、提高控制水平，但也使控制系統的信息安全面臨更大的威脅和挑戰，集中監控系統的縱深防禦體系亟待建立和完善。

目前水利發電企業的信息化建設按照系統功能不同進行安全區的劃分，安全區劃分的原則如下啊：

安全區I：實時控制區

集控中心計算機監控系統控制網劃分在安全區Ⅰ，例如：SCADA伺服器、應用程式伺服器、操作員工作站、工程師/編程員工作站、通信伺服器等。

安全區Ⅱ：非控制生產區

原則上不具備控制功能的生產業務和批發交易業務系統，且使用調度數據網絡、在線運行的系統均屬於該區，例如：仿真培訓系統、ON-CALL系統工作站、報表管理工作站等。

安全區Ⅲ：生產管理區

該區的系統為進行生產管理的系統，如：狀態監測及分析系統、發電及檢修計劃決策系統、Web伺服器等。

安全區Ⅳ：管理信息區

實現電力信息管理和辦公自動化功能，使用電力數據通信網絡，業務系統的訪問介面主要為桌面終端，如：管理信息系統（MIS）、辦公自動化系統（OA）等，其外部通信邊界為SGTnet-VPN2和網際網路。

風險識別：

1、網絡安全防護應遵循區域隔離的原則，單區域或單節點所遭受的病毒感染和威脅不應影響到其他區域的正常運轉，尤其不能影響底層控制系統的正常運轉。

目前安全區Ⅰ、Ⅱ與安全區Ⅲ、Ⅳ之間使用了電力專用單向隔離網閘進行了隔離，但安全區Ⅰ與Ⅱ之間，安全內部缺乏有效的邏輯隔離的防火牆，區域間的病毒傳播無有效防護措施。

2、集控中心安全區Ⅰ與各水電站通訊的網絡為電網電力調度專網，採用MPLS-VPN技術構造的SGDnet網絡，對調度數據的安全、可靠、實時性有一定的保證，但仍有電力專網的公網接口及電力專網內設備已被入侵的情況對集中控制系統的信息安全構成威脅。

3、鑒於工控SCADA系統信息安全特殊性，各數據伺服器、控制伺服器、歷史記錄站、控制終端，操作員站等基於Windows系統的節點都存在環境限制所不可修復的漏洞，這些節點都存在被病毒感染和惡意代碼攻擊的危險。

4、工程師站是系統組態和系統維護的核心。

作為人機互動最為頻繁的節點，且同時具備對控制站進行下裝的關鍵節點，工程師站是整個系統中的高風險點，一旦受到人為或非人為的病毒感染或攻擊，都會對整個系統的運行安全造成威脅。

5、微軟對Windows XP系統已於2014年4月停止服務，但在現有電廠輔控網絡仍有超過50%的操作員站使用的是Windows XP系統，因殺毒軟體會影響系統運行時數據下裝或者趨勢調用，造成系統卡頓等一系列情況，操作員站處於無防護的高危情況下運行。

6、U盤是工控網絡內病毒傳播最高發的傳輸介質，但以「PC+Windows」的操作員站等工作站未進行有效的系統級防護。

7、 安全報警平台是網絡安全防護重要的組成部分，將及時收集網絡中的報警信息，以此定位網絡故障並查找潛在的網絡威脅，也能夠為系統的安全防護機制和改進措施提供有利依據，而輔控網絡內無網絡通訊報警與診斷平台。

3.2針對XXX中游梯級水電站集控中心的安全解決方案

防護產品部署說明：

1、在集控中心接入交換機與路由器之間部署Guard工業防火牆，實現集控中心對外通訊網絡接口與電力專網間的安全防護。

2、在各水電站的控制網絡核心交換機與路由器之間部署Guard工業防火牆，有效阻止來自集控中心網絡和電力專網的安全威脅。

3、在集中監控室的操作員站，數據冗餘伺服器，各水電站的操作員站上部署Intrust可信計算安全平台及客戶端，有效的對Windows XP系統停服後操作員的系統漏洞進行防護，在系統級對USB傳輸介質進行識別和管控，在晶片級依賴可信計算技術對操作員站等PC終端進行主機加固和防護，有效防止計算機後門程序、木馬、病毒、數據掃描、秘鑰數據塊攻擊以及黑客攻擊等多元化的風險和信息安全威脅。

4、在集控中心部署安全管理平台和可信計算授權伺服器，以可信計算授權伺服器和工業防火牆安全管理平台組成的伺服器將實時對網絡內的安全設備進行管理和監控，及時發現潛在的威脅風險點，及時查找網絡中的故障點，並為系統的安全防護機制和改進措施提供有利依據。

解決方案整體網絡拓撲示意圖：

4. 解決方案所實現的目標

1、對報警終端，控制終端等工作站進行單體主機加固，依賴可信計算核心晶片保證各網絡節點自身系統和應用的安全，從而降低對整個系統的安全風險，有效解決U盤感染終端的困擾，解決Windows XP等作業系統退役帶來的安全問題；有效的降低的操作站系統升級所造成的經濟成本。

2、確保系統對外通訊接口不會對本系統造成信息數據泄露的風險，憑藉特有的通訊數據檢測機制保證監控信息網不會對本網絡內的信息安全造成危害。

3、以區域隔離的理念對域間進行安全防護，保證區域系統所出現的安全威脅不會影響到整個控制系統

4、以可信計算授權伺服器和工業防火牆安全管理平台組成的伺服器將實時對網絡內的安全設備進行管理和監控，及時發現潛在的威脅風險點，及時查找網絡中的故障點，並為系統的安全防護機制和改進措施提供有利依據

5、有效減少計算機頻繁維護升級和病毒感染等事故帶來的停機等損失的人力、物力和時間成本。