水电站监控系统安全防护体系研究

第 6 期

2023 年 12 月

DOI：10.19364/j.1674-9405.2023.06.013

水利信息化

Water Resources Informatization

NO.6

Dec

.2023

水电站监控系统安全防护体系研究

荆 芳，葛创杰

（黄河勘测规划设计研究院有限公司，河南 郑州 450003）

摘 要：随着数字孪生水利工程建设的加速推进，原本封闭的水利工控系统逐步开放，水电站监控系统安全防护能

力亟待加强。针对水电站监控系统内部脆弱点增多、外部威胁面扩大等问题，从水电站监控系统架构和功能出发，

采用现场调研和工具测试等手段，对水电站监控系统当前存在的技术、管理安全风险进行识别和分析，并按照“逻

辑分区、流量监测、数据加密、综合管理”的基本思路，提出涵盖区域边界、通信网络、计算环境及安全管理 4 个方面

内容的安全防护体系。安全防护体系完全覆盖监控系统的过程监控层、网络传输层、现场控制层 3 个层面，能够有

效防范外部网络攻击，消除内部管理风险，对保障水电站监控系统安全稳定运行具有重要意义。

关键词：监控系统；安全防护体系；安全风险；水电站

中图分类号：TV736 文献标识码：A 文章编号：1674-9405(2023)06-0075-05

0 引言

水电站枢纽工程是水利关键信息基础设施，也是

区域电网的重要电源节点

[1]

。水电站监控系统作为

水电站枢纽工程的核心业务系统，直接关系到闸门、

水泵、发电机组等重要设备的管理运行，安全影响巨

大。随着工业化和信息化的加速融合，新技术越来越

多地使用，在提高自动化水平的同时，工业控制系统

（以下简称工控系统）和企业管理系统的连接更加密

切，系统间的跨区交互越来越多，导致原本独立、封闭

的工控系统更加开放，更易受到外部冲击

[2]

。

近年来网络安全事件频发，针对电力、石油、水利

等关键基础设施的高级可持续攻击和数据窃取行为越

来越频繁。国内二滩水电厂控制系统受到异常信号攻

击、伊朗核电站“震网”病毒、委内瑞拉电网控制计算机

遭到攻击等诸多网络攻击事件，充分暴露了关键基础

设施信息安全防御的脆弱性，针对包括水利工程在内的

重要基础设施的复杂信息攻击愈演愈烈

[3]

，因此，需要

重新审视关键基础设施存在的信息安全风险。为避免

黑客入侵、病毒感染、数据被窃取等安全风险，最大限度

地保障水利工控系统安全平稳运行，针对典型水电站工

程开展深入调研，充分掌握工程实际状况及现行管理措

施，深入剖析水利工控系统安全风险及问题，针对性地

提出一套完善的水电站监控系统纵深防御安全体系。

收稿日期：2022

-

12

-

27

1 水电站监控系统概述

1.1 基本构成及业务流程

水电站主要由挡水、泄水、取水等建筑物及发电

厂房组成，实现防洪、发电、灌溉、调水调沙等功能。监

控系统是水电站实现远程自动化控制的重要途径

[4]

，

其中最为重要的 2 项功能分析如下：

1） 发电控制功能。一般情况下，在收到电力调

度部门下发的发电指令后，现场操作人员登录监控系

统发电控制界面，发电业务以单个机组为单元进行操

作，点击启动按钮，系统将自动运行空转、空载、并网

发电等业务流程，期间需要持续关注油压、转子转速、

机组温度、隔离阀、油压阀、电源开关等状态是否正

常，业务流程如图 1 所示。

2） 闸门控制功能。闸门控制一般有现地和远方

2 种控制方式，现地控制权优先远方控制权。正常情

况下，闸门控制多采用远方控制方式，由操作人员通过

监控系统闸门控制界面下发闸门启闭指令，现地控制

单元接收指令后，依照事先注入 PLC （可编程逻辑控

制器）的控制逻辑，依次启动油压、动力等装置，期间

监视油泵启停信号、系统压力、缸旁压力、闸门开度信

号等，一旦发现异常立即停机 ， 业务流程如图 2 所示。

1.2 系统架构

水电站监控系统是一个集计算机、控制、通信、网

作者简介：荆芳（1979—），女，河南郑州人，硕士，高级工程师，研究方向为水利信息化与信息安全。E-mail：**************

通信作者：葛创杰（1993—），男，河南周口人，硕士，助理工程师，研究方向为水利工控安全和密码技术。E-mail：*******************

76

水利信息化

2023 (6)

图 1 发电控制业务流程图图 2 开闸控制业务流程图

络、电力电子设备于一体的综合自动化系统，多以独

立的局域网形式存在，主要实现设备运行监视、控制

调节及操作、日志报告统计、发电自动控制、有功和无

功功率自动调节等功能

[5]

。

随着水电站信息化程度的飞速发展，设计时网络

独立部署的水电站监控系统越来越多地与其他业务

系统产生数据交换，目前与外部连接呈现“一网多系

统”的特点：“一网”指电力调度网，监测系统经通信

服务器接入电力调度网，向电力网发送发电过程的监

测数据，接收来自电力系统的调度信息；“多系统”指

水电站内部的其他业务系统，如水调自动化、数字孪

生、生产管理等系统，其他业务系统一般需要从监控

系统获取机组发电状态、闸门开度及状态、发电量数

据等现场监测数据。

水电站监控系统分为过程监控层和现场控制层，

系统架构如图 3 所示。上层为过程监控层，即厂级计

算机监控系统，主要负责监督和控制系统各环节物理

过程的功能实现，如操作员站负责现场设备运行状态

监视，工程师站负责系统维护与功能调试，数据库服务

器负责历史数据存储，语音报警工作站负责故障报警

等。下层为现场控制层，一般由多个现地控制单元组

成，以实现现场控制为主要目的，包括面向设备的指令

下发、从传感器读取数据、维护过程历史记录等功能，

涉及的设备包括 PLC、继电器、供电单元、交换机、集

线器等。过程监控层与现场控制层之间一般由双光

纤以太网组网，通常使用工业以太网协议进行通信。

图 3 水电站监控系统及安全防护体系架构图

第 6 期荆 芳等：水电站监控系统安全防护体系研究

77

2 水电站监控系统安全风险

通过对水电站监控系统的实地调研，结合工控模

拟场景漏洞挖掘工作，从技术和管理 2 个方面梳理监

控系统面临的安全风险。

2.1 技术安全风险

2.1.1 区域边界风险

主要面临以下区域边界风险：

1） 数据跨区交互引发风险横移。水调自动化、

数字孪生等业务系统一般会与公共网络连接，通过防

火墙接入监控系统，客观上打通 1 条外部网络到监控

网络的通路，存在外部入侵跨区横移的风险，一旦被

黑客组织攻入上位机服务器，水电站核心设备可能会

被非法控制，极易引发重大安全生产事故。

2） 现场控制层各控制单元防护缺失。各 LCU

现地控制单元）接入同一台交换机，之间没有相互隔

离的防护措施，一旦某个 LCU 被蠕虫病毒感染，将造

成 LCU 之间互相感染，易引发群体中毒事件。

2.1.2 通信网络风险

主要面临以下通信网络风险：

1） 网络流量缺乏监控和审计。上位机与 LCU

之间通信流量缺乏必要的监测和审计，难以对非法操

作进行监控和溯源。

2） 串行流量缺乏监视和检测。缺乏对现场总线

网络有效通信流量的监视和检测，难以及时发现威胁

流量并进行预警。

3） 数据传输缺少加密认证机制。LCU 内部存在

Modbus，Profi bus，Modbus Plus 等串行通信协议，这些

协议都是多年前设计的，缺乏加密和认证机制

[6]

，易

造成数据被窃取、被篡改等问题，无法抵挡拒绝服务、

中间人、重放等常见的攻击手段。

2.1.3 计算环境风险

主要面临以下计算环境风险：

1） 操作系统漏洞风险。当前很多水利工控场景

的主机和服务器仍采用 Windows XP，RedHat 等操作

系统，存在较高的系统漏洞风险。

2） 自主可控风险。当前水利工控系统的大部分

工控设备及服务由国外厂商主导，设备可能留有“后

门”，且存在大量漏洞，无法实现自主可控

[7]

。

3） 主机病毒风险。主机未安装杀毒软件或安装

后无法及时更新，一旦被病毒感染，极易造成系统宕机。

4） 组件间缺乏安全认证。监控系统内主机与主

机之间、主机与人员之间、主机与移动存储介质之间、主

机与 PLC 之间、PLC 与 PLC 之间、PLC 与移动存储介质

之间缺乏认证手段，极易导致非法访问、接入、操作等。

5） 重要数据明文存储风险。监控系统中主机配

置、历史数据库中积累的大量闸门操作等重要数据的

存储未采取加密措施，即使已有备份措施依然无法规

避数据泄露、篡改风险。

2.2 管理安全风险

主要面临以下管理安全风险：

1） 安全管理制度落实不佳。存在未按规范流程

升级病毒库、账号共享、弱口令、未定期更改密码等问

题，如 LCU 控制面板登录时依然使用弱口令。

2） 安全配置和补丁管理不到位。对端口禁用、

远程控制、默认账户管理等主机安全配置不够细化，

存在 Windows 和 Linux 等操作系统上线后一直运行

的问题，且为确保系统稳定，基本没打过补丁。

3） 移动存储介质缺少技术管控手段。虽然制定

了移动存储介质管理规定，但在日常使用中，为图方

便，常出现即插即用的情况，导致数据拷贝行为无记

录，另外，U 盘也是一个重要的病毒感染路径

[8]

。

4） 未设置专职工控安全管理人员。存在工控安

全工作由网络安全部门统一管理的问题，网络安全人

员往往缺乏足够的工控安全知识，不具备工控安全事

件管理能力。

5） 人员安全风险意识薄弱。未定期开展工控安

全教育培训，部分监控系统工作人员缺乏足够的风险

意识，存在“系统从建成运行至今一直没发生问题，

以后也不会有问题”“系统在独立的局域网内，不会

被外部入侵”等错误认识。

3 水电站监控系统安全防护体系

针对水电站监控系统面临的安全风险，结合水电

站监控系统整体架构，根据《关键信息基础设施安全

保护要求》《水利网络安全保护技术规范》《数字孪生

水利工程建设技术导则（试行）》《电力监控系统安全

防护总体方案》要求，提出水电站监控系统安全防护

体系。防护体系基于多层、多维的安全思想，从区域

边界、通信网络、计算环境等 3 个维度出发，涵盖过程

监控层、网络传输层、现场控制层 3 个层面，最终形成

技术与管理协同、由外到内的立体防御体系，防护体

系架构见图 3 中红色部分。

3.1 区域边界防护

区域边界防护包括系统外部和内部防护。依据

（试行）》建议，将

（

《数字孪生水利工程建设技术导则

78

水利信息化

2023 (6)

水电站监控系统划分到安全Ⅰ区，水调自动化、数字

孪生等信息化系统横跨Ⅱ，Ⅲ和Ⅳ区。监控系统至外

部系统的数据出口处部署工业隔离网闸，配置严格的

数据流通策略，确保数据单向流动，阻断通过跨安全

区数据交互发生风险横移的可能性。

在监控系统内部，通过在各 LCU 处部署安全网

关，既能实现上层过程监控层和下层现场控制层的安

全隔离，形成 2 个安全子域，限制安全子域间的非法

访问，又能实现各 LCU 之间的逻辑隔离，阻断蠕虫、

木马等恶意程序的传播扩散，即使某个 LCU 遭受攻

击，仍能保证其他控制器正常运行。

3.2 通信网络防护

通信网络的安全防护包括以下 2 个方面：

1） 工业以太网。在交换机侧旁路部署网络安全

审计、入侵检测、漏洞扫描系统，对通信流量进行有效

监视和检测。对各种敏感信息、违规行为进行实时告

警响应，全面记录网络中的各种会话和事件，根据内

置工控规则库，实现针对工控攻击行为的准确检测，

定期开展工控网络漏洞扫描并及时修补漏洞，实现对

工控网络风险的全程跟踪定位和监测审计。

2） 现场总线。对于现场总线网络，目前多基于

Modbus，Profi bus，Modbus Plus 等协议进行串口通信。

在线路中串入通信监测模块，可对总线协议进行深度

解析，对网络流量进行实时监测，基于内置特征库对

异常行为进行报警。

3.3 计算环境防护

对操作员站、数据服务器等主机设备，可在主机

部署主机加固系统，实现对操作系统的补丁更新，支

持定期扫描并更新病毒库，支持对进程运行、外接设

备等事件的记录与告警，并配备防病毒功能。对于

PLC 等控制器，从信息和功能安全 2 个角度考量

[9]

：

信息安全方面，做到对 PLC 本身操作行为的审计和

编程设备的接入认证等；功能安全方面，设置内存、

连接数等安全阈值，一旦达到阈值，立即限制相关操

作，以免造成设备物理损坏。

对组件间的安全认证，可采用基于商用密码的数

字签名技术，为接入系统的用户、移动设备及系统内各

组件间提供统一的身份鉴别和授权管理，保证只有授

权合法用户才有权访问系统，授权设备才能接入系统。

数据安全存储方面，由于涉及的数据体量较大，

考虑系统性能，只对系统内的关键核心数据进行加密

存储，使用 SM3 杂凑算法和 SM4 分组加密算法实现

数据库字段和配置文件存取的加/解密功能，借助服

务器密码机实现数据的实时加密存储。

3.4 安全管理

安全是“三分技术、七分管理”

[10]

，一个完整的安

全防御体系不能缺少安全管理的内容。主要从以下

8 个方面实现水电站安全管理：

1） 设置专门工控安全管理岗位。由专人负责监

控系统的风险排查、安全维护工作，如具备条件，还应

设立专门的工控系统安全管理机构，负责制定工控安

全管理方案，统一管理工控系统的安全事宜。

2） 做到细粒度权限管理。对关键 PLC 设备做

好外部物理加固，保证授权人员通过钥匙才能打开保

护柜，为系统用户设置相应的访问权限，做到使用权、

管理权、审计权分离。

3） 定期开展安全风险评估工作。评估工作包括

系统资产、威胁、脆弱性识别与分析，并做好漏洞扫

描、病毒查杀、固件升级等工作。

4） 做好接口和端口管控。拆除或封堵主机上多

余的 USB，RJ45，DB9 等物理接口，阻断病毒、木马等

通过移动介质入侵的途径，关闭 PLC 和主机上不必要

的端口和服务，防止被恶意利用，降低系统运行风险。

5） 制定安全管理制度。依据国家网络安全要求

及行业相关规定，建立一套适用于水电站监控系统的

安全管理制度，明确安全管理目标和任务。

6） 保障系统运维安全。借助集中统一的管控平

台，全面集成安全设备资源，做到对安全设备的统一

管理，同时要严格管理运维人员账号及认证授权工

作，防止权限滥用。

7） 做好应急响应和处置。建立完善的应急响应

预案，借助冗余设备搭建模拟工控场景，定期开展内

外部攻击应急演练，对安全事件进行研判分析、响应

处置，提高现场人员的应急能力和安全意识。

8） 保障供应链安全。建立完善的供应链安全管

理制度，优先采购安全可信的工控产品和服务，并对

供应商开展定期评估，及时消除安全隐患。

4 水电站工控安全防护发展方向

随着信息化建设的不断深入，水电站监控系统将

打破以往传统的独立网络运行模式，更多与水调自动

化、数字孪生等外部系统联通，未来还有进一步扩大

趋势，必将面临更多来自外部世界的风险挑战。因此，

须及早考虑水电站监控系统安全防护水平的提档升

级，建议从以下 3 个方面推进：

1） 打造自主可控体系。随着国产化品牌的崛起，

第 6 期荆 芳等：水电站监控系统安全防护体系研究

79

越来越多的水利工控系统在设计之初已经考虑使用

国产设备，应力争做到全要素自主可控，将有效杜绝

国外厂商留有“后门”的风险。

2） 根植密码安全基因。采用嵌入国产密码芯片

的可信 PLC、植入轻量级密码算法的加密传输协议

等，为水利工控系统注入密码基因，形成国产密码应

用的一体化管理能力，以及面向服务的快速、集约、统

一的支撑能力，提升内生安全，解决身份仿冒、信息泄

露、数据篡改等安全风险问题，强化密码的统一管控

力度，提升密码管理应用的整体效能。

3） 融入拟态防御技术。拟态防御可以有效应对

“未知的未知”，即未知的漏洞、“后门”和攻击造成的

未知后果，基本思路是构建一种动态异构、冗余分布

的系统架构，以变化的状态迎接未知的外部威胁

[11]

建设具有较好的指导意义。

参考文献：

[1] 向异，王学斌，马晓伟，等.黄河上游梯级水电站储能作

用在新型电力系统中的应用[J].人民黄河，2023，45（1）：

151-155，162.

[2] 赵悦琪，赵德政，林浩，等.工业控制系统安全防护体系研

究[J].电子技术应用，2021，47（1）：69-72，77.

[3] 沈智镔，张潮，高剑峰，等.水利部密码基础设施建设实践

[J].水利信息化，2020（4）：4-8.

[4] 杨旭，谢丰，任旭诚.水利工程工业控制系统网络安全研

究[J].水利信息化，2017（3）：20-23.

[5] 蒋小峰.水电站综合自动化系统设计和应用[J].自动化

应用，2019（4）：123-124.

[6] 郭江，陈服军，张志华.水利工控系统网络安全防护的问

题与对策[J].中国水利水电科学研究院学报，2018，16

（5）：466-471.

[7] 胡明远，张志华.水电站工控网络安全现状及解决方案

[C]//中国水力发电工程学会信息化专委会、中国水力发

电工程学会水电控制设备专委会 2017 年学术交流会论

文集. 北京：中国水力发电工程学会信息化专委会、中国

水力发电工程学会水电控制设备专委会，2017：352-356.

[8] 王智民.工业互联网安全[M].北京：清华大学出版社，

2020：99-109.

[9] 李连全，李润伟.引调水工程控制系统及信息安全防护设

计思考[J].信息技术与网络安全，2018，37（3）：20-23，44.

[10] 管虎.三分技术，七分管理[J].信息安全与通信保密，

2006，4（5）：39-40.

[11] 王永杰.网络动态防御技术发展概况研究[J].保密科学

技术，2020（6）：9-14.

。

拟态防御技术实现需要耗费大量资源，与工控系统能

否完美结合，仍需要大量实践，将拟态防御融入传统

安全体系是现阶段一种可行的架构方式。

5 结语

在对水电站监控系统基本构成和业务现状进行

充分调研的基础上，从技术和管理层面分析存在的安

全风险，结果表明当前水电站监控系统仍面临较为严

峻的外部威胁和复杂的内部脆弱性。结合现行的国

家和行业标准规范，技术层面上，提出一套针对水电

站监控系统的区域边界

-通信网络-计算环境的纵深

防御架构；管理层面上，针对现存的突出问题，给出

针对性建议，从而形成一套较为完善的水电站监控系

统安全防护体系，对其他水利工控系统安全防护体系

Research on security defense system of hydropower station monitoring system

JING Fang，GE Chuangjie

Ltd.

，

Zhengzhou

450003，

China

）（

Yellow River Engineering Consulting Co.

，

Abstract：With the rapid development of digital twin water conservancy projects，the original closed water industrial

control system gradually opens，thus the security defense capacity of hydropower station monitoring system needs

to be strengthened. In view of increasing internal vulnerabilities and the expansion of external threats，current

technical and management security risks are identified and analyzed from the architecture and functions of the

hydropower station monitoring system by means of field research and tool testing. Following the basic idea of

“logical partitioning，discharge monitoring，data encryption，and integrated management”，this paper proposes a

security defense system covering four aspects：regional boundary，communication network，computing environment，

and security management. The security defense system completely covers 3 layers of monitoring system：process

monitoring layer，network transmission layer and onsite control layer. The security defense system can eff ectively

prevent external network attacks and eliminate internal management risks，which is of great signifi cance to ensure safe

and stable operation of hydropower station monitoring system.

Key words：monitoring system；security defense system；security risk；hydropower station

（责任编辑：陆 燕）