500kV變電站電力監控網絡安全態勢感知系統的實施與應用

韋建新

摘要：針對500kV變電站電力監控網絡安全態勢感知系統的實施與應用，分析了廠站端安全態勢感知的應用現狀與前景。以云南楚雄500kV和平變電站的網絡安全態勢感知廠站裝置加裝和調試為例，分析了網絡安全態勢感知的基本業務和功能特點，提出了相應的具體措施和對策。

關鍵詞：網絡安全;態勢感知;500kV變電站;二次安防

一、引言

變電站作為國家關鍵信息基礎設施，面臨的網絡安全形勢日趨嚴峻，一旦遭受網絡安全攻擊將可能導致大面積停電事件，嚴重威脅企業和國家安全。建立網絡安全態勢感知系統，對電力監控系統進行全方位、全天候的網絡安全態勢感知，及時發現各類網絡安全風險和非法訪問，實現網絡安全的態勢感知及預警，成為電力監控系統二次安防的迫切需求。

二、系統結構

500kV和平變電站監控后臺系統是楚雄供電局重要的電力監控系統，其上承載了自動化、保信、計量等多套業務。目前，該變電站的網絡安全風險主要依靠傳統的等級保護測評以及風險評估來發現問題。因此，整個系統的網絡安全風險監視、管理主要依靠人工日常運維，缺乏自動化的風險發現和監控措施。

通過在500kV和平變電站安全I區和Ⅲ區邊界，分別部署一套網絡安全監測終端，實現對變電站各電力監控系統網絡安全的數據采集、范式化處理、數據建模和關聯分析。具體實施內容包括：

（1）在500kV和平變站控層A/B網、控制區（安全區I）和生產管理區（安全區III）部署廠站安全監控終端，實現站控層A/B網、生產控制大區以及生產管理區的網絡安全數據采集以及風險在線識別。

（2）選擇典型的主機設備、網絡設備以及安全設備進行數據采集以及接入，數據采集方式包括Agent、SNMP、SNMP trap、syslog以及流量鏡像等方式。

（3）修改I區加密裝置，Ⅱ區縱向防火墻、I/II區橫向防火墻、I、II區互聯交換機、III區互聯交換機的ACL安全策略，實現站內及主子站之間系統數據的互聯互通。

變電站加裝感知裝置后的網絡拓撲圖如下：

三、具體實施與應用

500kV和平變態勢感知系統施工及接入工程涉及內容如下：

（1）現場勘察：進入變電站進行現場勘察，工作內容主要包含勘察設備上架、取電及綜合布線情況;勘察現場設備的型號及實際業務情況;對前期資產臺賬收集及網絡拓撲圖進行校驗核對。

（2）廠站采集裝置上架：和平變電站采集裝置為廣州兆和電力技術有限公司（簡稱兆和）廠家裝置，有兩臺裝置分別部署于I、III大區，每臺設備需要2U的安裝位置，設備采用220V交流雙電源。

（3）網絡綜合布線：和平變電站采集裝置分為I區采集與III區采集裝置。I區采集裝置需要與站控層交換機、調度數據網I、II區實時與非實時交換機和保信C網和故障錄波交換機進行網絡連接;III區裝置需要與綜合數據網交換機、進行網絡互聯。

（4）廠站采集裝置調試：對廠站采集裝置與主站的通信進行調試，確保廠站裝置與主站的通信正常。

（5）NMAP掃描：完善對變電站的資產詳情統計，可通過NMAP掃描達到收集設備信息的目的。

（6）交換機配置：為達到數據采集的目的，需對站內的交換機管理IP、SNMP、SNMP Trap、SYSLOG進行相關配置。

（7）主機設備配置：配合數據采集，還需在主機設備安裝配置SNMP、SYSLOG、Agent。主要包含監控后臺機、工作站和三區的辦公電腦等。

（8）站內設備接入：將站內的網絡設備全部接入兆和數據采集裝置，接入設備以交換機為核心。

（9）主廠站調試：接入站內設備后，通過采集裝置將數據上送至主站態勢感知平臺，確保上送數據及采集功能的準確性，完整性。

四、總體特點與主要風險

（一）網絡安全態勢感知裝置的標準

本次工程依據《南方電網電力監控系統網絡安全態勢感知廠站裝置技術規范》，具體檢測方法參見各廠家調試手冊。

（二）主站系統與廠站裝置

態勢感知主站系統指部署在各個調控中心（監控、檢修中心），具備網絡安全數據采集、安全監視、安全審計、預測分析等功能的系統。廠站裝置是指部署在廠站電力監控系統局域網網絡內部，對廠站電力監控系統網絡安全數據進行采集、分析處理并與主站系統通信的裝置。電力監控系統網絡安全態勢感知主站系統、廠站裝置在生產控制大區的態勢感知數據信息通過調度數據網非實時VPN 進行交互;主站系統、廠站裝置在管理信息大區的態勢感知數據信息通過綜合數據網進行交互。

500kV和平變電站態勢感知系統部署主要特點如下：（1）需提前規劃提交項目部署實施所需的IP、端口及網絡資源;（2）工作中涉及配置交換機、主機設備及二次安防設備，需要進行相應的風險評估，做好數據備份工作、數據封鎖工作;（3）工作中設計設備上架、取電及綜合布線，需要進行相應的風險評估，做好安全防范工作;（4）部署接入完成后需與中調主站平臺核對數據與功能無誤，經其確認數據與功能無誤后方可結束工作。

同時，本次工程的主要風險有以下幾點：（1）在設備上架、取電及綜合布線時走錯機房，動錯設備;（2）在進行主子站通信配置時二次安防設備增加配置影響現有策略;（3）在設備安裝時上電及線纜敷設影響現有設備的正常運行;（4）被監視的設備開啟協議與配置時導致交換機故障、重啟;主機設備安裝Agent時導致主機故障、重啟;主機開啟Agent時導致主機設備性能下降，導致服務器運行緩慢或者宕機;（5）監視站內設備時網絡安全監測廠站終端調試過程中存在異常網絡行為，影響到站內其它設備;網絡安全監測廠站終端數據采集過于頻繁導致被監視設備變慢或宕機;（6）I區主子站通信通道調試時誤配置終端IP引起地址沖突，導致運行業務通道中斷;

五、結束語

為滿足電力監控系統安全防護的需求，通過部署電力監控系統網絡安全廠站監測裝置，實現變電站網絡安全數據接入、分析，達到變電站網絡安全風險可發現、可控制、可溯源的目的。這樣能顯著提升電力監控系統的網絡安全水平，及時感知和防止不法分子通過電網控制系統影響電網安全運行，降低網絡安全事故事件的發生概率，不斷提升用戶對電網企業的信心，樹立企業良好形象。

（作者單位：楚雄供電局）