變電站內網安全監測裝置的設計與實現

尤小明 湯震宇 胡紹謙 林 青 曹 翔

?

變電站內網安全監測裝置的設計與實現

尤小明 湯震宇 胡紹謙 林 青 曹 翔

（南京南瑞繼保電氣有限公司，南京 211102）

目前變電站二次系統安防體系缺乏集中監視及統計分析，本文針對此現狀研制了變電站內網安全監測裝置。該裝置實現對電力二次系統主機設備、網絡設備和安全防護設備運行狀況的實時監視，對安全事件進行集中展現、實時告警和量化分析，對變電站網絡架構進行拓撲展示，并將站端信息通過調度數據網向內網安全監管平臺主站上傳，為電力二次系統安全審計評估提供可靠的信息來源和有效的分析手段。在國網試點站的運行實踐表明，變電站內網安全監測裝置對于運行人員及時掌握和分析變電站安全設備運行情況、發現和處理安全隱患、保障變電站穩定運行具有重要意義。

二次系統；安全監測；安全分析；拓撲展示

近年來，隨著計算機和網絡技術的廣泛應用，電力生產自動化水平日益提高，遠方控制等功能大量采用，對變電站的安全性和可靠性提出了更高的要求。隨著國家發改委第14號令《電力監控系統安全防護規定》規定的“安全分區、網絡專用、橫向隔離、縱向加密”要求的推廣[1]以及變電站二次系統安全防護工作的深入開展[2-3]，變電站部署了大量的安防設備，同時對變電站的主機設備和網絡設備進行了安全加固[4]，在多個環節建立了安全防護系統[5]。但變電站中的主機設備、網絡設備和安防設備的運行和管理一直處于相對獨立的狀態，缺乏集中監視和統計分析手段，完全獨立的安全信息毫無關聯。運行維護和管理人員無法全面掌控變電站二次系統的安全狀態及網絡架構，難以及時發現安全隱患，同時安全統計分析工作也難以開展。因此，亟需一種設備，實現對變電站中的主機設備、網絡設備和安防設備運行狀況的實時監視，對安全事件進行集中展現、實時告警和量化分析以及拓撲展示網絡架構，為電力二次系統風險評估及安全審計提供充足的信息及高效的分析手段，提升電力二次系統安全防護的能力[6]。

基于以上出發點，研制了變電站內網安全監測裝置。該裝置以高性能的CPU及大容量的SSD（）為基礎，可實時處理和分析大規模的告警信息，動態展示變電站網絡拓撲信息，同時也可穩定高效的存儲告警和審計信息；功能模塊化的設計思想，將應用功能采用模塊化、標準化、可重用化設計；同時該裝置設計基于三權（管理員、操作員和審計員）分立的理念，保證了裝置權限管理的 安全。

1 功能定位

變電站內網安全監測裝置作為安全專業的網關機，是變電站與安全監管主站之間關于安全信息和安全操作交互的接口，獨立于監控系統，對站內監控系統網絡運行狀態、非法訪問、非法操作等信息進行監視、分析和上送，對網絡架構進行拓撲分析及展示。主要功能包括：

1）數據采集。采集主機信息，包括登錄信息、用戶操作信息、外設狀態（USB、串口、并口、光驅及網口）及外聯事件等；采集網絡設備信息，包括網口狀態、登錄信息、用戶操作信息、流量信息及mac地址綁定關系等；采集安防設備信息，包括登錄信息、非法訪問、配置變化及CPU和內存的利用率等信息。

2）安全分析及告警。對不同設備采集的不同格式的信息進行標準化處理、對過于頻繁上送的數據進行歸并處理，對不重要的數據進行過濾篩選處理。

3）本地展示及管理。提供圖形化的界面進行實時數據及統計分析數據的多維度多形態的展示。

4）主子站通信。實現告警事件的上傳及遠程維護、基線核查等功能。

5）高級應用。拓撲管理實現站端網絡架構的展示；安全審計實現站內安全事件的關聯系分析及操作流程的合法性審計；安全核查實現主機的配置信息、口令及鏈接等信息的核查。

變電站內網安全監測裝置實現對變電站中的關鍵設備運行狀況的實時監視，對安全事件進行集中展現、實時告警和量化分析以及拓撲展示網絡架構，為安全監管平臺提供全面的安全基礎支撐，可及時掌握系統存在的安全隱患。

該裝置典型的應用示意圖如圖1所示。

圖1 典型的應用示意圖

2 系統設計

2.1 硬件架構設計

裝置由高性能CPU、大容量固態存儲設備、大容量內存及豐富外設組成。硬件結構整體結構如圖2所示。

圖2 硬件架構圖

CPU采用4核1.2GHz的高性能PowerPC，負責裝置的所有數據處理及數據管理。大容量存儲設備采用256G的SSD，負責配置數據、采集數據和審計數據的存儲；豐富的外設包含LED、USBkey、千兆網卡、I/O、IRIG-b以及USB等。

2.2 系統軟件設計

為了能做到分布式、智能化、易擴展，將軟件分為“系統軟件”和“應用軟件”兩大塊。應用軟件基于系統軟件的支持，完成具體目標功能的實現。系統軟件作為應用軟件和硬件之間的聯系橋梁，負責為應用軟件實現I/O通信，以及完成應用軟件執行的調度和管理。

裝置軟件運行在嵌入式Linux平臺，總體上按照模塊化進行設計，每個模塊單獨為一個進程，由此可以將軟件整體分解為若干軟件子系統，分別實現相對獨立的功能。

圖3 系統軟件架構圖

3 功能實現

3.1 資產管理

裝置可以在就地的客戶端進行資產信息的錄入、修改、刪除等操作，同時資產信息也可通過調度遠程修改、添加和刪除，資產信息應包括：設備名稱、設備IP、MAC地址、設備類型、設備廠家、序列號、系統版本、責任人等。變電站內網安全監測裝置能將資產信息按照若干指定格式的文件進行導出及導入，進行管理備份或還原，同時導出的資產信息也可提供給其他業務系統使用。

3.2 數據采集

1）主機信息采集

裝置采集變電站站控層、發電廠涉網生產控制大區主機設備操作系統層面所有的用戶登錄、操作信息、移動存儲設備接入信息及網絡外聯等安全事件信息。主機探針負責主動收集采集信息，通過TCP/IP協議發送至安全監測裝置，安全監測裝置應作為服務端開啟8800端口監聽主機設備的連接請求。若站控層存在A、B雙網，則變電站內網安全監測裝置同時接入A、B雙網交換機。采集數據應由主機設備發出，若出現網絡故障，則切換至另一網絡發送采集信息。若變電站內網安全監測裝置未能在規定時間內（時間策略可配置）接收到主機設備發送的信息，則變電站內網安全監測裝置上報主機離線告警。

2）網絡設備信息采集

裝置采集變電站站控層、發電廠涉網生產控制大區的交換機相關的配置變更、流量信息、網口狀態等安全事件信息。采集方式包括以下兩種：①以SNMP V3、V2 TRAP方式主動發送采集信息；②以SNMP V3、V2協議主動輪詢采集信息，通常優先使用SNMP V3協議。

3）安防信息采集

裝置采集站內防火墻、正向隔離裝置和反向隔離裝置等安全防護裝置的Syslog日志，通過監聽固定端口實現日志采集，并將日志數據解析后，按照一定格式，進行存儲及轉發上送。Syslog采用用戶數據報協議（UDP）作為其底層傳輸機制，Syslog默認采用514端口，端口也可根據實際情況重新 配置。

3.3 安全分析與告警

1）信息標準化

目前主機、網絡設備及安防設備信息采集的方式不一樣，而且安防設備送出的Syslog信息的格式也是千差萬別，按照業務需要對原始事件中包含的信息進行重定義并標準化[7]，具體內容包括：將信息進行相關的修改定義，將事件的內容、描述信息、級別等進行規范，從而標準化事件信息，便于事件的處理。

2）信息歸并[8]

對主機關鍵文件變更、用戶權限變更、危險操作，對網絡設備流量超過閾值，配置變更等事件進行安全性分析，并將大量的重復事件進行歸并，同時提供告警事件的第一次發生的時間和最后一次發生的時間以及次數。

3）信息過濾

明確定義采集數據的模板，同時配置采集數據的屏蔽規則，可以對指定的事件進行過濾從而提高事件的處理效率和時效性，也可配置轉發上送數據的屏蔽規則，確保主站不關注的信息直接在站端進行過濾，減少主站處理事件的數據量，減輕主站處理事件的壓力[9]。

3.4 本地安全管理

裝置從時間、設備類型、告警等級、告警對象等多維度提供事件匯總及分析，并自動生成安全運行態勢報告；本地能夠實現顯示資產的在線及離線的統計信息；能夠展示近12個月的告警統計信息；界面能夠按照表格編輯器、餅圖、棒圖、實施曲線圖等多種手段展示。

3.5 綜合數據傳輸

主子站通信子采用基于調度數字證書[10]的上線認證機制的擴展DL/T 634.5.104規約進行實時告警信息的傳輸，保證電力監控系統網絡安全監視平臺采集裝置的安全性；同時通過服務代理規約實現資產的遠程調閱及修改，采集信息和上傳信息的調閱，對主機的基線核查、主動斷網和關鍵文件清單、危險操作定義等參數的查看和修改，以及遠程升級，從而實現變電站內網安全監測裝置的遠程維護。

3.6 高級應用

1）拓撲管理

網絡拓撲主要從交換機中讀取拓撲信息，利用拓撲算法形成全站網絡拓撲模型，并通過動態掃描得到MAC地址和IP地址之間的關聯，根據網絡拓撲模型及MAC地址和IP地址之間的關聯，進行網絡拓撲圖像成圖，拓撲圖的分層分布要符合現場的實際情況，并支持拓撲圖的放大、縮小，圖元的拖拽，結合資產信息可以更加詳細的展示實際拓撲信息。拓撲圖可以按照分層圖、星狀圖和總線圖進行多種方式的展示。

2）安全審計

對主機、網絡設備、安全設備的歷史登錄信息的關聯分析，提取出用戶操作的行為特征及操作軌跡，聚合離散的歷史登錄操作行為記錄，建立歷史記錄間的關聯關系，實現對用戶整個操作流程的審計。

對主機、網絡設備的外設設備接入歷史記錄與主機操作歷史記錄的關聯分析，實現對設備接入后的相關操作行為關聯審計及操作回溯。

對歷史安全告警信息的記錄分析與挖掘。提取出告警信息間的關聯關系，挖掘出告警事件發生的趨勢及告警事件的源頭。

3）安全核查

對主機設備的配置信息進行安全基線核查，實現主機安全加固配置核查，主機用戶與口令合規性核查，主機通用網絡服務關閉情況核查，主機審計功能檢查，并最終形成核查報告。

4 性能指標

本文研制的變電站內網安全監測裝置充分考慮了不同應用場景下的需求，提供方便的應用開發接口，適合大規模模塊化應用開發，各項性能指標滿足站內各業務相應的技術標準。主要性能指標見表1。

表1 主要性能指標

5 試驗與運行

研制成功的變電站內網安全監測裝置已經在國網所屬的變電站實現了工程實用化運行。變電站內網安全監測裝置部署在二區，共接入Ⅰ區和Ⅱ區的18臺設備。變電站內網安全監測裝置工程配置如圖4所示。

圖4 現場實施圖

試點站變電站內網安全監測裝置通過站控層網絡實現了對站內Ⅰ區、Ⅱ區的監控主機、網關機、綜合應用服務器、交換機、防火墻、正向隔離及反向隔離進行數據采集；同時通過雙平面的非實時通道實現了與主站安全監管平臺進行告警上送及服務代理功能的調用。

變電站內網安全監測裝置于2017年在實際工程實用以來，各對象數據采集、分析及轉發未出現任何問題，CPU負荷一直在低位運行，現場運行性能完全滿足實際要求。

安全監視在現場應用效果顯著，現場有違規操作的時候（例如主機插拔U盤）、安防設備有非法訪問或特殊操作（交換機上插拔網線）等裝置均正常進行告警和記錄并實時上送安全監管平臺。

拓撲管理為現場高效的分析處理網絡問題提供了有力支撐，圖5為現場實際的星狀拓撲圖，可以便捷的查看實際通信鏈路，與物理鏈路進行比對可以快速定位網絡異常。

圖5 拓撲星狀圖

6 結論

變電站內網安全監測裝置作為電力二次系統內網安全監測建設中站內核心設備，承擔著站內安全信息數據中心、監視中心和控制中心的作用，其運行可靠性、數據處理實時性以及與主站應用的互動貫通功能是其關鍵考核指標，目前處于試點運行階段。變電站內網安全監測裝置的建設有助于廠站安全防護體系由邊界防護向縱深防御發展，解決了對關鍵安全設備的集中采集和統一管理的問題，為主站提供全面的安全基礎支撐，有利于及時掌握系統存在的安全隱患，對保證電網安全穩定運行具有重要意義。

[1] 肖建民. 電力調度自動化二次安全防護方案分析[J].電氣技術, 2016, 17(7): 157-160.

[2] 胡炎, 辛耀中, 韓英鐸. 二次系統安全體系結構化設計方案[J]. 電力系統自動化, 2003, 27(21): 63-68.

[3] 鄭潔. 智能變電站網絡可靠性和信息安全的研究[J]. 電氣技術, 2015, 16(11): 118-121.

[4] 王益民, 辛耀中, 向力, 等. 調度自動化系統及數據網絡的安全防護[J]. 電力系統自動化, 2001, 25(21): 5-8.

[5] 湯震宇, 胡紹謙, 林青, 等. 一種三位一體的變電站安全防護架構的設計探討[J]. 網絡安全技術與應用, 2017(9): 129-130.

[6] 陳茂源, 孫煒, 梁野, 等. 電力二次系統內網安全監視功能的研究及實現[J]. 江蘇電機工程, 2014, 33(3): 31-34.

[7] 黃學慶, 夏友斌, 潘文虎, 等. 分布式電網二次設備管控平臺的研究[J]. 電氣技術, 2017, 18(8): 114-117.

[8] 劉巍, 李鵬, 李猛, 等. 面向智能配電網的大數據統一支撐平臺體系與架構[J]. 電工技術學報, 2014, 29(S1): 486-491.

[9] 周國亮, 朱永利, 王桂蘭, 等. 實時大數據處理技術在狀態監測領域中的應用[J]. 電工技術學報, 2014, 29(S1): 432-437.

[10] 劉剛, 梁野, 李毅松, 等. 數字證書技術在電力二次系統中的實現及應用[J]. 電網技術, 2006(30): 71-75.

Design and implementation of internal network security monitoring device for substations

You Xiaoming Tang Zhenyu Hu Shaoqian Lin Qing Cao Xiang

(NARI-Relays Electric Co., Ltd, Nanjing 211102)

At present, there is a lack of unified management and statistical analysis for the security protection of the secondary system in substations，so the internal network security monitoring device for substations is developed for this situation. The device realizes the real-time monitoring of the running status of the mainframe equipment, network equipment and security protection equipment. The device displays the security events in a centralized way, the real-time alarm and the quantitative analysis, the topology of the substation network architecture, and send the station information to the safety supervision platform through the dispatching data network. Uploading provides reliable information sources and effective analytical tools for the secondary system security audit evaluation. The operation practice of the pilot station in State Grid shows that the internal network security monitoring device is of great significance for the operators to master and analyze the operation of the safety equipment in time, find and deal with the hidden danger of security, and ensure the stable operation of the substation.

secondary system; safety monitoring; safety analysis; topology display

2018-06-14

尤小明（1983-），男，湖北省襄陽市人，碩士，工程師，從事變電站自動化系統、通信協議和信息安全方面工作。