水電站監控系統安全防護體系研究

荊 芳，葛創杰

（黃河勘測規劃設計研究院有限公司，河南 鄭州 450003）

0 引言

水電站樞紐工程是水利關鍵信息基礎設施，也是區域電網的重要電源節點[1]。水電站監控系統作為水電站樞紐工程的核心業務系統，直接關系到閘門、水泵、發電機組等重要設備的管理運行，安全影響巨大。隨著工業化和信息化的加速融合，新技術越來越多地使用，在提高自動化水平的同時，工業控制系統（以下簡稱工控系統）和企業管理系統的連接更加密切，系統間的跨區交互越來越多，導致原本獨立、封閉的工控系統更加開放，更易受到外部沖擊[2]。

近年來網絡安全事件頻發，針對電力、石油、水利等關鍵基礎設施的高級可持續攻擊和數據竊取行為越來越頻繁。國內二灘水電廠控制系統受到異常信號攻擊、伊朗核電站“震網”病毒、委內瑞拉電網控制計算機遭到攻擊等諸多網絡攻擊事件，充分暴露了關鍵基礎設施信息安全防御的脆弱性，針對包括水利工程在內的重要基礎設施的復雜信息攻擊愈演愈烈[3]，因此，需要重新審視關鍵基礎設施存在的信息安全風險。為避免黑客入侵、病毒感染、數據被竊取等安全風險，最大限度地保障水利工控系統安全平穩運行，針對典型水電站工程開展深入調研，充分掌握工程實際狀況及現行管理措施，深入剖析水利工控系統安全風險及問題，針對性地提出一套完善的水電站監控系統縱深防御安全體系。

1 水電站監控系統概述

1.1 基本構成及業務流程

水電站主要由擋水、泄水、取水等建筑物及發電廠房組成，實現防洪、發電、灌溉、調水調沙等功能。監控系統是水電站實現遠程自動化控制的重要途徑[4]，其中最為重要的 2 項功能分析如下：

1）發電控制功能。一般情況下，在收到電力調度部門下發的發電指令后，現場操作人員登錄監控系統發電控制界面，發電業務以單個機組為單元進行操作，點擊啟動按鈕，系統將自動運行空轉、空載、并網發電等業務流程，期間需要持續關注油壓、轉子轉速、機組溫度、隔離閥、油壓閥、電源開關等狀態是否正常，業務流程如圖 1 所示。

2）閘門控制功能。閘門控制一般有現地和遠方2 種控制方式，現地控制權優先遠方控制權。正常情況下，閘門控制多采用遠方控制方式，由操作人員通過監控系統閘門控制界面下發閘門啟閉指令，現地控制單元接收指令后，依照事先注入 PLC（可編程邏輯控制器）的控制邏輯，依次啟動油壓、動力等裝置，期間監視油泵啟停信號、系統壓力、缸旁壓力、閘門開度信號等，一旦發現異常立即停機，業務流程如圖 2 所示。

1.2 系統架構

圖1 發電控制業務流程圖

圖2 開閘控制業務流程圖

水電站監控系統是一個集計算機、控制、通信、網絡、電力電子設備于一體的綜合自動化系統，多以獨立的局域網形式存在，主要實現設備運行監視、控制調節及操作、日志報告統計、發電自動控制、有功和無功功率自動調節等功能[5]。

隨著水電站信息化程度的飛速發展，設計時網絡獨立部署的水電站監控系統越來越多地與其他業務系統產生數據交換，目前與外部連接呈現“一網多系統”的特點：“一網”指電力調度網，監測系統經通信服務器接入電力調度網，向電力網發送發電過程的監測數據，接收來自電力系統的調度信息；“多系統”指水電站內部的其他業務系統，如水調自動化、數字孿生、生產管理等系統，其他業務系統一般需要從監控系統獲取機組發電狀態、閘門開度及狀態、發電量數據等現場監測數據。

水電站監控系統分為過程監控層和現場控制層，系統架構如圖 3 所示。上層為過程監控層，即廠級計算機監控系統，主要負責監督和控制系統各環節物理過程的功能實現，如操作員站負責現場設備運行狀態監視，工程師站負責系統維護與功能調試，數據庫服務器負責歷史數據存儲，語音報警工作站負責故障報警等。下層為現場控制層，一般由多個現地控制單元組成，以實現現場控制為主要目的，包括面向設備的指令下發、從傳感器讀取數據、維護過程歷史記錄等功能，涉及的設備包括 PLC、繼電器、供電單元、交換機、集線器等。過程監控層與現場控制層之間一般由雙光纖以太網組網，通常使用工業以太網協議進行通信。

圖3 水電站監控系統及安全防護體系架構圖

2 水電站監控系統安全風險

通過對水電站監控系統的實地調研，結合工控模擬場景漏洞挖掘工作，從技術和管理 2 個方面梳理監控系統面臨的安全風險。

2.1 技術安全風險

2.1.1 區域邊界風險

主要面臨以下區域邊界風險：

1）數據跨區交互引發風險橫移。水調自動化、數字孿生等業務系統一般會與公共網絡連接，通過防火墻接入監控系統，客觀上打通 1 條外部網絡到監控網絡的通路，存在外部入侵跨區橫移的風險，一旦被黑客組織攻入上位機服務器，水電站核心設備可能會被非法控制，極易引發重大安全生產事故。

2）現場控制層各控制單元防護缺失。各 LCU（現地控制單元）接入同一臺交換機，之間沒有相互隔離的防護措施，一旦某個 LCU 被蠕蟲病毒感染，將造成 LCU 之間互相感染，易引發群體中毒事件。

2.1.2 通信網絡風險

主要面臨以下通信網絡風險：

1）網絡流量缺乏監控和審計。上位機與 LCU之間通信流量缺乏必要的監測和審計，難以對非法操作進行監控和溯源。

2）串行流量缺乏監視和檢測。缺乏對現場總線網絡有效通信流量的監視和檢測，難以及時發現威脅流量并進行預警。

3）數據傳輸缺少加密認證機制。LCU 內部存在Modbus，Profibus，Modbus Plus 等串行通信協議，這些協議都是多年前設計的，缺乏加密和認證機制[6]，易造成數據被竊取、被篡改等問題，無法抵擋拒絕服務、中間人、重放等常見的攻擊手段。

2.1.3 計算環境風險

主要面臨以下計算環境風險：

1）操作系統漏洞風險。當前很多水利工控場景的主機和服務器仍采用 Windows XP，RedHat 等操作系統，存在較高的系統漏洞風險。

2）自主可控風險。當前水利工控系統的大部分工控設備及服務由國外廠商主導，設備可能留有“后門”，且存在大量漏洞，無法實現自主可控[7]。

3）主機病毒風險。主機未安裝殺毒軟件或安裝后無法及時更新，一旦被病毒感染，極易造成系統宕機。

4）組件間缺乏安全認證。監控系統內主機與主機之間、主機與人員之間、主機與移動存儲介質之間、主機與 PLC 之間、PLC與PLC 之間、PLC 與移動存儲介質之間缺乏認證手段，極易導致非法訪問、接入、操作等。

5）重要數據明文存儲風險。監控系統中主機配置、歷史數據庫中積累的大量閘門操作等重要數據的存儲未采取加密措施，即使已有備份措施依然無法規避數據泄露、篡改風險。

2.2 管理安全風險

主要面臨以下管理安全風險：

1）安全管理制度落實不佳。存在未按規范流程升級病毒庫、賬號共享、弱口令、未定期更改密碼等問題，如 LCU 控制面板登錄時依然使用弱口令。

2）安全配置和補丁管理不到位。對端口禁用、遠程控制、默認賬戶管理等主機安全配置不夠細化，存在 Windows和Linux 等操作系統上線后一直運行的問題，且為確保系統穩定，基本沒打過補丁。

3）移動存儲介質缺少技術管控手段。雖然制定了移動存儲介質管理規定，但在日常使用中，為圖方便，常出現即插即用的情況，導致數據拷貝行為無記錄，另外，U 盤也是一個重要的病毒感染路徑[8]。

4）未設置專職工控安全管理人員。存在工控安全工作由網絡安全部門統一管理的問題，網絡安全人員往往缺乏足夠的工控安全知識，不具備工控安全事件管理能力。

5）人員安全風險意識薄弱。未定期開展工控安全教育培訓，部分監控系統工作人員缺乏足夠的風險意識，存在“系統從建成運行至今一直沒發生問題，以后也不會有問題”“系統在獨立的局域網內，不會被外部入侵”等錯誤認識。

3 水電站監控系統安全防護體系

針對水電站監控系統面臨的安全風險，結合水電站監控系統整體架構，根據《關鍵信息基礎設施安全保護要求》《水利網絡安全保護技術規范》《數字孿生水利工程建設技術導則（試行）》《電力監控系統安全防護總體方案》要求，提出水電站監控系統安全防護體系。防護體系基于多層、多維的安全思想，從區域邊界、通信網絡、計算環境等 3 個維度出發，涵蓋過程監控層、網絡傳輸層、現場控制層 3 個層面，最終形成技術與管理協同、由外到內的立體防御體系，防護體系架構見圖 3 中紅色部分。

3.1 區域邊界防護

區域邊界防護包括系統外部和內部防護。依據《數字孿生水利工程建設技術導則（試行）》建議，將水電站監控系統劃分到安全Ⅰ區，水調自動化、數字孿生等信息化系統橫跨Ⅱ，Ⅲ和Ⅳ區。監控系統至外部系統的數據出口處部署工業隔離網閘，配置嚴格的數據流通策略，確保數據單向流動，阻斷通過跨安全區數據交互發生風險橫移的可能性。

在監控系統內部，通過在各 LCU 處部署安全網關，既能實現上層過程監控層和下層現場控制層的安全隔離，形成 2 個安全子域，限制安全子域間的非法訪問，又能實現各 LCU 之間的邏輯隔離，阻斷蠕蟲、木馬等惡意程序的傳播擴散，即使某個 LCU 遭受攻擊，仍能保證其他控制器正常運行。

3.2 通信網絡防護

通信網絡的安全防護包括以下 2 個方面：

1）工業以太網。在交換機側旁路部署網絡安全審計、入侵檢測、漏洞掃描系統，對通信流量進行有效監視和檢測。對各種敏感信息、違規行為進行實時告警響應，全面記錄網絡中的各種會話和事件，根據內置工控規則庫，實現針對工控攻擊行為的準確檢測，定期開展工控網絡漏洞掃描并及時修補漏洞，實現對工控網絡風險的全程跟蹤定位和監測審計。

2）現場總線。對于現場總線網絡，目前多基于Modbus，Profibus，Modbus Plus 等協議進行串口通信。在線路中串入通信監測模塊，可對總線協議進行深度解析，對網絡流量進行實時監測，基于內置特征庫對異常行為進行報警。

3.3 計算環境防護

對操作員站、數據服務器等主機設備，可在主機部署主機加固系統，實現對操作系統的補丁更新，支持定期掃描并更新病毒庫，支持對進程運行、外接設備等事件的記錄與告警，并配備防病毒功能。對于PLC 等控制器，從信息和功能安全 2 個角度考量[9]：信息安全方面，做到對 PLC 本身操作行為的審計和編程設備的接入認證等；功能安全方面，設置內存、連接數等安全閾值，一旦達到閾值，立即限制相關操作，以免造成設備物理損壞。

對組件間的安全認證，可采用基于商用密碼的數字簽名技術，為接入系統的用戶、移動設備及系統內各組件間提供統一的身份鑒別和授權管理，保證只有授權合法用戶才有權訪問系統，授權設備才能接入系統。

數據安全存儲方面，由于涉及的數據體量較大，考慮系統性能，只對系統內的關鍵核心數據進行加密存儲，使用 SM3 雜湊算法和 SM4 分組加密算法實現數據庫字段和配置文件存取的加/解密功能，借助服務器密碼機實現數據的實時加密存儲。

3.4 安全管理

安全是“三分技術、七分管理”[10]，一個完整的安全防御體系不能缺少安全管理的內容。主要從以下8 個方面實現水電站安全管理：

1）設置專門工控安全管理崗位。由專人負責監控系統的風險排查、安全維護工作，如具備條件，還應設立專門的工控系統安全管理機構，負責制定工控安全管理方案，統一管理工控系統的安全事宜。

2）做到細粒度權限管理。對關鍵 PLC 設備做好外部物理加固，保證授權人員通過鑰匙才能打開保護柜，為系統用戶設置相應的訪問權限，做到使用權、管理權、審計權分離。

3）定期開展安全風險評估工作。評估工作包括系統資產、威脅、脆弱性識別與分析，并做好漏洞掃描、病毒查殺、固件升級等工作。

4）做好接口和端口管控。拆除或封堵主機上多余的 USB，RJ45，DB9 等物理接口，阻斷病毒、木馬等通過移動介質入侵的途徑，關閉 PLC 和主機上不必要的端口和服務，防止被惡意利用，降低系統運行風險。

5）制定安全管理制度。依據國家網絡安全要求及行業相關規定，建立一套適用于水電站監控系統的安全管理制度，明確安全管理目標和任務。

6）保障系統運維安全。借助集中統一的管控平臺，全面集成安全設備資源，做到對安全設備的統一管理，同時要嚴格管理運維人員賬號及認證授權工作，防止權限濫用。

7）做好應急響應和處置。建立完善的應急響應預案，借助冗余設備搭建模擬工控場景，定期開展內外部攻擊應急演練，對安全事件進行研判分析、響應處置，提高現場人員的應急能力和安全意識。

8）保障供應鏈安全。建立完善的供應鏈安全管理制度，優先采購安全可信的工控產品和服務，并對供應商開展定期評估，及時消除安全隱患。

4 水電站工控安全防護發展方向

隨著信息化建設的不斷深入，水電站監控系統將打破以往傳統的獨立網絡運行模式，更多與水調自動化、數字孿生等外部系統聯通，未來還有進一步擴大趨勢，必將面臨更多來自外部世界的風險挑戰。因此，須及早考慮水電站監控系統安全防護水平的提檔升級，建議從以下 3 個方面推進：

1）打造自主可控體系。隨著國產化品牌的崛起，越來越多的水利工控系統在設計之初已經考慮使用國產設備，應力爭做到全要素自主可控，將有效杜絕國外廠商留有“后門”的風險。

2）根植密碼安全基因。采用嵌入國產密碼芯片的可信 PLC、植入輕量級密碼算法的加密傳輸協議等，為水利工控系統注入密碼基因，形成國產密碼應用的一體化管理能力，以及面向服務的快速、集約、統一的支撐能力，提升內生安全，解決身份仿冒、信息泄露、數據篡改等安全風險問題，強化密碼的統一管控力度，提升密碼管理應用的整體效能。

3）融入擬態防御技術。擬態防御可以有效應對“未知的未知”，即未知的漏洞、“后門”和攻擊造成的未知后果，基本思路是構建一種動態異構、冗余分布的系統架構，以變化的狀態迎接未知的外部威脅[11]。擬態防御技術實現需要耗費大量資源，與工控系統能否完美結合，仍需要大量實踐，將擬態防御融入傳統安全體系是現階段一種可行的架構方式。

5 結語

在對水電站監控系統基本構成和業務現狀進行充分調研的基礎上，從技術和管理層面分析存在的安全風險，結果表明當前水電站監控系統仍面臨較為嚴峻的外部威脅和復雜的內部脆弱性。結合現行的國家和行業標準規范，技術層面上，提出一套針對水電站監控系統的區域邊界-通信網絡-計算環境的縱深防御架構；管理層面上，針對現存的突出問題，給出針對性建議，從而形成一套較為完善的水電站監控系統安全防護體系，對其他水利工控系統安全防護體系建設具有較好的指導意義。