叶波 向星霖
国家电投贵州金元黔北水力发电总厂;贵州遵义563000
【摘 要】网络安全,国家安全。黔北水力发电总厂始终坚持安全第一、坚持管理创新、技术创新作为企业安全管理的有效手段。特别是跨区域、跨流域中小水电站的远程集控中心建成后,网络安全暴露的问题诸多,“三重防护”未得到有效的体现,未实现一个中心管理。
【关键词】网络安全 国家安全 体系 远程集控 一个中心 三重防护
0 引 言
黔北水力发电总厂运营水电站11座,大坝10座,水轮机组23台,总装机容量395.1MW,年发电量12.5亿千瓦时,承担着贵州省黔北地区重要的调峰、调频和事故备用任务。电站分布于贵州省3个行政区7个县市内,辐射范围宽,管理难度大。
1问题的提出
洪渡河集控中心受控电站分布于贵州省三个行政区7个县市,11座水电站分布于七条流域;电站地处偏远山区,交通不便,待遇偏低,留不住人;点多面广,管理难度大;新设计和先后收购的小水电站,设计标准低,设备自动化程度低;送出线路电压等级不高,远离主电网;人员配置不合理,技能偏低;集控中心集成了通信、计算机监控、水情水调、保信系统、电能量等相关高精尖技术系统,网络安全风险骤增。存在以下问题:集控中心无法实现对各电站的网络安全进行管控;由于缺乏有效的技术手段,存在实际操作的困难,难以梳理统计存在问题;由于缺乏自动化、工具化技术手段,存在人工实施困难,人工服务方式存在较高安全风险;由于电站偏远,同时为节省维护费用,厂家工程师介入电站各系统进行远程运维,终端维护管理手段薄弱,用户账户、服务及端口等的开放关闭是动态变化的,管理存在监视不足的问题;未对电站安全设备、安全组件、网络设备进行集中管控,仅实现了部分安全设备的监视。基于上述问题,如何控制电站侧的网络安全风险,是远程集控管理面对的新课题,根据国家颁布的《中华人民共和国网络安全法》及其他相关规定,要求建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。在当今网络时代,对网络安全上升到国家安全的战略高度。因此建立“一中心,三重防护”网络安全体系有利于企业安全生产,有利于夯实电站“三基”管理,产生无穷无尽的社会效益。
2“一个中心,三重防护”的网络安全体系在中小水电站跨区域/流域远程集控模式的探索与应用
综合防护统一管控平台支持下的“三重防护”体系,采用广域消息传送机制,满足应用跨区、跨系统推送实时消息的业务需求,实现对工业控制系统终端行为记录与分析,对工业控制系统非法外连、移动设备连接、安全加固策略、防毒库更新提供告警,实现“安全防护事件实时预警,问题处置流程管控,防控效果量化考核,安全责任有效落实”的目标。
2.1一个平台支持下的三重防护体系架构
集控中心构架。安全统一管控平台使用了C/S架构运行于工业控制系统内网安全管理中心区域,集控中心完成“一个中心+三重防护”相关系统部署与调试,实现集控中心平台集中管控、态势感知;集控中心除与电站系统相对接外,预留上送贵州金元大集控中心智慧感知告警接收接口。
集控中心配置各电站上送安全设备、网络设备、安全组件基线核查、漏洞、安全策略、告警等智慧接收接口,实现安全监视、安全加固、安全管控的具体功能,及时发现安全问题和安全隐患,量化评估并及时解决,为业务系统提供安全保障。
区域划分按照等保2.0要求,划分出特定的安全管理区域,对分布在网络中的安全设备或安全组件进行管控;建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;通过安全管理中心对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;通过安全管理中心对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
2.2“一个中心,三重防护”安全网络体系部署效果
(1)安全产品、网络设备、主机系统集中监视与统一管控。统一管控平台按照设备自身感知、监测装置分布采集、管理平台统一管控的原则,构建网络安全管理的感知、采集、管控三层逻辑结构。平台实现对集控中心内部安全管理的全面监控,在数据采集方面支持全面的采集范围。通过采集网络监测装置、主机加固软件和网络加固软件上传的数据,收集所有主机和网络设备安全状态以及其他重要告警信息,实现安全产品、网络设备、主机系统集中监视、统一管控。
(2)安全态势、项目成果可视化。依据国家规程规制的最新要求,在数据全面采集的基础上,能够对数据进行量化评估、风险分析,为安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,全方位的展示防护成果。
(3)自动消缺,有效阻断内网攻击。统一管控平台通过设备自身网络安全事件的感知,能够直接、高效的发现安全事件,同时在主机和网络层面的入侵行为进行管控,从而实现对厂站侧外部侵入有效阻断,外力干扰有效隔离,内部介入有效遏制,安全风险有效管控,实现“安全防护事件实时预警,问题处置流程管控,防控效果量化考核,安全责任有效落实”的目标。
3. “一个中心,三重防护”安全网络体系在洪渡河集控中心实施范围及部署位置
.png)
洪渡河集控中心“一个平台,三重防护”安全网络实施范围示意图
如上图所示,统一管控平台部署在洪渡河集控中心的安全一区,主机加固软件部署在各电站侧的通信网关机中,在电站端其他服务器及工作站中部署探针软件收集主机的安全信息。平台采集数据由电站端的安全一区上传至集控端的安全二区,二区数据上传至集控端一区。通过统一的管控平台在集控中心实现跨区域/跨流域对全厂11座水电站和集控中心的统一管控。
4.项目效益
管理效益分析。通过洪渡河集控中心综合防护项目,深入推进我厂工业控制系统网络安全的标准化管理,保障各类工业控制系统达到消除垃圾软件、程序不良行为、缺省用户和弱口令,关闭不必要的硬件接口和网络服务的安全管控要求,具备网络结构参数、安全防护策略、用户权限配置合理,运维操作行为规范的运行保障条件,实现网络安全事件处置能力的显著提升,消除主机各种安全隐患,保障工业控制系统网络空间的清朗、有序和安全,为工业控制系统安全可靠运行创造良好环境,使得整体安全性得到进一步提高,进一步保障了集控端及电站端的安全,整体网络安全管理水平、抗风险能力和业务运作的效率,促进了发电企业核心竞争力的提升。
经济效益。通过洪渡河集控综合防护项目,进一步提升发电企业整体网络安全防护水平,确保集控中心和所辖电站不受病毒、黑客攻击等而导致重大损失,有助于防止由于安全事件导致的机组非停、电网解列停运而带来的直接或间接经济损失,提高了电能质量,降低了各系统运维成本。
社会效益。通过持续的安全保障体系建设,增强了洪渡河集控中心与所辖电站的检测能力、保护能力、安全预警能力及应急处理能力,为社会稳定奠定了坚实基础,履行了中央企业对社会的尽责的承诺。
叶波: 男 国家电投贵州金元黔北水力发电总厂副总工程师