【数智技术】中大型水电厂网络信息安全建设的探索与展望

华能澜沧江水电股份有限公司黄登·大华桥电厂

黄世荣、李文金、罗蓓、马靖、方攀、罗成姝、马伟云、鲁泽睿

引言

关键信息基础设施（Critical Information Infrastructures，简称CII）涵盖能源、交通、水利等领域的核心业务系统，其安全性直接影响国民经济与社会稳定。中大型水电厂中的工业控制系统（如调速系统、励磁系统、筒阀控制、监控系统等）、通信系统，都是水电厂安全稳定运行的关键控制系统，其安全稳定运行关乎着国家能源供应安全，随着信息技术的高速发展，水电厂也不断的进行数字化、信息化、智能化改革，工业互联网等新的工业网络不断应运而生，工业控制系统也由原来的封闭网络、孤岛系统逐渐开放，由传统封闭式架构逐步向互联互通演进，各种网络架构的衍变引发了更为复杂、严峻的网络信息安全风险。据国家工业信息安全发展中心统计，2022年能源行业遭受的网络攻击中，35%针对工业控制系统，其中水电厂因系统复杂性成为重点目标。

笔者电厂作为流域核心电站，率先构建“管理-技术-人才”三位一体安全体系，通过国产密码应用、网络分区防护、态势感知联动等措施，有效抵御高级持续性威胁（APT）。本文结合其实践经验，提出水电厂网络信息安全建设的优化路径与未来研究方向。

网络信息安全建设的设计与探索

2.1网络信息安全管理制度及体系建设

2.1.1安全管理体系明确责任分工

电厂建立四级网络安全管理架构（见图1），涵盖决策层（领导小组）、管理层（办公室）、执行层（运维部）与监督层（安全审计组），明确各层级职责，科学合理的组织机构，在电厂内部形成一个严密的网络信息安全防护网络。电厂不仅成立了专门的安全生产信息化建设工作组织机构，还设立了具有权威性的安全生产信息化建设领导小组以及配套的安全生产信息化建设领导小组办公室。详细地规范了领导小组在统筹规划、决策指导、资源协调等方面的主要工作职责，为网络信息安全工作的顺利开展提供了有力的领导保障。并且，在电厂生产部门增设网络安全专责岗位，负责实时监控、漏洞修复及事件响应等工作，以确保电厂网络系统的持续稳定和安全；各部门设置信息安全管理专员，定期开展安全意识培训与保密协议签署，规范公共区域办公网络安全管理。构建起“横向到边、纵向到底”的责任网络体系，形成了职责明确、分工合理、协同高效的信息安全管理格局。

2.1.2制度保障规范运营管理

电厂依据《网络安全法》《电力监控系统安全防护规定》等法规，制定12项管理制度，如《信息化工作标准》、《信息网络安全管理标准》、《信息化应用系统管理标准》、《信息数据管理标准》、《信息机房管理标准》、《应急管理标准》等。覆盖数据分级、访问控制、机房管理等信息网络安全的各个方面。

根据以上的管理标准电厂在日常工作中形成相应的定期工作机制，实现闭环管理。定期进行安全检查、机房巡检、漏洞扫描和风险评估等，及时发现并解决潜在的安全隐患；定期开展保护工作，如防火墙更新、病毒库升级、系统补丁安装等，确保信息系统始终处于良好的防护状态；同时，定期进行安全测评、商用密码评估等工作，对网络信息安全管理体系的有效性和适应性进行检验和评估，以便及时进行调整和优化，不断提升网络信息安全管理水平。

在数据保护方面，采用“3-2-1”策略（3份备份、2种介质、1份异地存储），并严格管控移动存储设备使用，确保数据生命周期安全。对于重要的数据文件，日志文件实行定期备份异地备份，根据数据文件重要程度对数据进行分类分级管理，按日、周、月、季度进行分类备份，根据不同数据设置了专用的移动备份硬盘，对于日常的数据拷贝，电厂设置了专用的移动U盘。对接入I/II区网络设备以及接入调试本的介质和设备进行严格规范，对于移动备份硬盘和专业调试本的使用，实行严格登记审批制度，每次使用要经过专人的审批并做好登记，有利于责任落实和后期追踪回溯。对于重要区域（如信息机房、通信机房）安装了加密级电子门禁系统，对于非相关管理人员实行严格的人员出入登记审批制度，在此类重要区域实现了高安全的人员访问控制。此外，在公共办公管理区域对办公电脑区分涉密及非涉密计算机，并禁止在非涉密计算机中处理涉密信息，专兼职信息安全管理人员定期开展网络信息安全和保密培训，签订员工保密协议，不断提高员工信息安全意识水平。

电厂通过制度规范及日常工作中实施系列具体措施，规范电厂对于网络及信息系统的使用，从多层次、多方位的来保障网络信息安全。

2.1.3应急管理体系保驾护航

电厂构建起“监测-预警-处置-恢复”四级应急体系（见图2），确保能够在第一时间发现并响应安全事件。体系包括先进的监测预警技术手段和应急响应体系。电厂I区、II区、III区设备分区接入安全监测设备，能够实时监控网络和系统的状态。流量探针与日志审计系统，实现异常行为秒级告警及时捕捉，并通过部署在中控室的终端发出警报，帮助运行人员及时发现并了解信息。同时电厂制定了《应急管理标准》和详细的各类应急预案，明确在不同类型安全事件发生时的应急响应体系及应对措施和流程，指导电厂值班人员在突发事件来临时实现快速汇报，处理与恢复。

图1 应急处置流程

此外，电厂高度重视人才培养，通过内部培训、外部进修、技术交流、定期开展应急演练等多种方式，培养出一支具备高度专业素养和快速应急处理能力的网络信息安全人才队伍，能够熟练应对各种复杂的安全情况，为电厂的网络信息安全提供坚实的人才保障，确保网络信息安全工作能够持续稳定的开展，同时在网络及信息系统出现安全事故时能够迅速处理，保障生产安全。

2.2网络安全建设

2.2.1网络架构设计

电厂基于“安全分区、网络专用、横向隔离、纵向认证”原则，将生产网络划分为控制区（I区）、非控制区（II区）、管理区（III区）及信息区（IV区），各区之间通过单向隔离装置与加密网关连接（见图3）。

在Ⅰ区、Ⅱ区网络安防的建设中装设态势感知系统、IDS入侵检测设备进行风险实时检测，部署SIP流量分析系统、APT高级可持续威胁防护系统和蜜罐提升对攻击的溯源能力。SIP流量分析系统会对各种数据流量进行实时监控与分析，涵盖了诸如主机和安全设备等生成的安全日志，实现可疑流量可视化，并提供安全防护，防止恶意攻击和网络滥用，优化网络性能，提高通信质量。通过引入APT高级可持续威胁防护系统，有助于记录和分析系统的操作日志，进而提供对攻击源的追踪能力。这种能力对于后续分析攻击手段、识别受攻击系统以及构建更为高效的安全措施具有关键作用。蜜罐技术可以引诱攻击者对其发动攻击，从而观察、记录并分析攻击者的具体行动，以此来洞察攻击者的攻击方式和目标。

在集控数据网和集控综合数据网中均加装了APT高级可持续威胁防护系统、SIP流量分析系统、蜜罐系统和防病毒网关。防病毒网关在网络边界处部署防病毒技术，监控和过滤进出网络的流量，及时识别和阻止携带恶意软件、病毒或其他威胁的数据包，通过实时扫描和检测传输的文件和数据流量，防病毒网关可以有效地防止恶意代码的传播，保护网络和终端设备免受恶意攻击的侵害。同时，集控数据网实时区采用旁挂模式接IPS入侵防御系统，集控数据网非实时区采用串行方式接入IPS，IPS内部采用VLAN实现业务隔离，提高业务的可靠性。

此外，Ⅲ区和省调数据网之间加装了防火墙，部署了日志审计与分析系统、入侵检测系统和防病毒网关，实现边界安防和管理。日志审计与分析系统通过监控记录系统、应用程序以及网络设备产生的日志信息，方便进行安全审计、故障排查、性能优化和合规性检查。对日志数据进行分析，可以及时发现安全异常事件或潜在的风险隐患，指导管理员迅速做出响应和调整，保障系统的安全稳定。

2.3本质安全提升

2.3.1监控系统加密建设

水电监控系统的主要系统分为两部分，厂内的生产控制大区和与集控及调度的通信系统。电厂计算机监控系统加密建设后相比较于传统的工业控制系统，在支持可信计算的基础上，采用国产密码进行用户的认证和数据的加密通信，构建主动免疫的内生安全防御体系，确保工业系统的网络信息安全。

采用经国家密码管理部门认证核准的密码产品保证用户身份真实性功能，采用经国家密码管理部门认证核准的密码产品保证密钥管理安全。使用合规的密码技术对重要可执行程序进行完整性验证、真实性验证，远程管理时对登录设备的管理员进行身份鉴别、建立安全的信息传输通道。采用密码技术对信息系统应用重要数据进行机密性保护、实现应用系统用户数据原发行为和数据接收行为不可否认性功能。

通信链路采用商用密码算法和技术协议对通信数据进行完整性、机密性保护。采用密码技术保证网络边界访问控制信息的完整性，避免网络边界被破坏、通信传输过程中数据被非授权的截取、篡改。

（1）应用系统身份鉴别-登录认证

1）数字证书认证系统主要提供了数字证书的发放管理及密钥管理功能，为应用系统所有参与个体提供数字证书签发和管理服务，例如SCADA 服务器、WEB 发布服务器、操作员工作站、厂内通信服务器、集控通信服务器、历史服务器、历史数据库服务器、南网通信服务器、云网通信服务器、数据库应采用密码技术进行身份鉴别等。

2）系统采用双证书（加密证书和签名证书）、双中心（签发中心和密钥管理中心）、三算法的要求建设。整个架构布局采用 B/S 模式。系统前端在应用登录界面使用UKEY身份认证方式，前端通过系统接口调用身份认证中间件，产生身份鉴别数据，后端服对数据进行验证，验证通过后身份鉴别过程完成。

身份鉴别系统采用最小权限授权原则，授予不同账户为完成各自承担任务所需的最小权限，保障系统资源访问控制信息不被非法篡改，同时对系统资源的访问、操作等进行细腻度审计。

（2）加密存储--应用系统数据保护

1）应用密码机进行完善的算法（支持国内及国际标准的对称、非对称及杂凑等主流算法）支持。对需要进行加密的字段数据的接口实现重要数据加密为密文后存储进数据库或者存储为受控安全内环境下加密文件，如果需要使用明文，则对密文进行解密后使用，实现机密性保护。数据加密后，只有授权用户可以查看明文数据，未授权用户无法访问明文数据，即使是系统管理员也无法在未授权时访问明文数据。

2）完整性保护。对机密数据增加了完整性计算功能。

3）密码卡使用：使用加密卡应作为存储加密设备数据库加密网关和身份认证网关等。

系统初始化阶段装载数据时通过密码加密接口读取，同样重要数据文件的持久化过程也需要在密码机或者密码卡的干预下，在受控的安全环境下进行保存。在重要数据装载之前也要对安全受控环境下的文件进行完备性和检查和校验，以确保所装载的系统数据文件是安全干净、未被人为篡改过的。

（3）网络链路层数据传输加密

计算机监控系统数据到集控、调度数据通信链路：1、应采用密码技术对通信实体进行身份鉴别，来保证通信实体身份的真实性；2、应采用商用密码算法和技术协议对通信数据进行完整性、机密性保护；3、应采用密码技术保证网络边界访问控制信息的完整性。

管理员用户访问应用系统通信信道：在电厂网络接入区部署符合 GM/T 0024-2014 《 SSL VPN  网关产品规范》的 SSL VPN 设备，通过在 VPN 服务器上部署支持国密的数字证书，与互联网运维 PC上的国密浏览器建立加密 SSL 隧道，以此保证通信过程中数据的完整性、及通信过程中敏感信息数据字段或整个报文的机密性。

用户登录SSL VPN身份鉴别实现，具体过程如下：用户插入智能密码钥匙访问应用系统首页；SSL VPN中生成随机数，并将随机数返回到客户端请求页面；客户端显示登录页面，输入智能密码钥匙PIN码；PIN码验证成功后，使用智能密码钥匙中的用户私钥对随机数进行签名，提交用户证书及签名值到SSL VPN；SSL VPN收到用户提交的证书及签名值后，进行验签，验签通过后登录成功。

2.3.2国密电子门禁系统及国密视频监控

电厂在重要机房区域布置了符合GM/T 0036的国密电子门禁系统和符合GM/T 0028《密码模块安全技术要求》的全方位、无死角的视频监控系统，实现进出人员身份鉴别以及保证电子门禁记录数据存储完整性、视频监控记录数据存储完整性及不可篡改性。这能够为后续的审查、追溯和安全管理提供坚实可靠的依据，也为重要区域网络信息安全的物理防范筑起了一道坚实的铜墙铁壁。

存在问题及研究展望

电厂虽然重视人才培养，但是由于培养周期尚短，网络安全复合型人才储备仍较薄弱，网络信息安全的防范主要还是偏管理防范和设备防范，在人才的专业素养和技能深度方面还有较大的提升空间，需继续创新网络信息安全人才成长、培训和激励的环境，适应数字化发展，提高信息安全人才的规模和层次结构。

核心设备依赖进口：PLC、SCADA等关键设备国产化率不足60%，主要核心设备还未完全实现自主可控，限制了我们对于技术和设备的自主选择权，存在供应链断供与后门风险，对产业的可持续发展和安全性存在潜在的威胁，后期需要继续加强对核心控制系统、操作系统进行国产化或自主可控的替换。

数据价值挖掘不足：历史数据存储周期短，缺乏AI分析平台，制约智能运维发展。数据中心建设能力不足，无法进行大容量数据的全量备份，导致很多生产数据无法进行长周期的保存，会对后期大数据开发，数字运维及工业互联网的发展形成制约，需开发大容量的数据池、数据海。在重要信息系统方面，目前主要还是停留在主备冗余设计的层面，没有构建起完善的信息系统的灾容中心建设，这就导致在遭遇重大灾害或突发状况时，信息系统的恢复能力和持续运行能力较为薄弱，难以有效应对复杂多变的情况，无法充分保障信息系统的稳定性和可靠性。

中大型水电厂网络信息安全建设是一项至关重要且具有挑战性的任务，通过不断的探索与实践，我们在技术应用、管理体系建设、人员培养等方面取得了一定的成果。但是面对日益复杂的网络安全形势和不断涌现的新技术、新威胁，我们需要紧跟科技发展的步伐，进一步深化技术创新，提升安全防护的智能化水平。同时，持续优化安全管理的流程与制度，减少沟通成本，加快对事故的响应和处理速度。加强与行业内外的交流与合作，分享经验、共同应对挑战，推动整个水电行业网络信息安全水平的不断提升。

论文&成果征文投稿流程

投稿步骤 从左至右 分别为第1-5步